[发明专利]网络包检测方法及装置

权利要求书

1.一种网络包检测方法，其特征在于，包括：

获取待检测网络包；

将所述待检测网络包输入预先构建的更新后NFA状态关系网进行检测获得检测结果，其中所述更新后NFA状态关系网为对原始NFA状态关系网进行跳转关系更新处理后得到的，其中，

所述更新后NFA状态关系网的获取步骤包括：

获取用于进行检测的多个正则表达式，将多个正则表达式进行编译获得对应的NFA状态关系式；

根据所述NFA状态关系式生成原始NFA状态关系网；

对所述原始NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网，其中，对所述原始NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网，包括：

获取各个NFA状态关系式的头部状态信息和尾部状态信息，所述头部状态信息和尾部状态信息均包括输入边列表和输出边列表；

根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网。

2.根据权利要求1所述的网络包检测方法，其特征在于，所述根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网，包括：

根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行连接构造更新，和/或，或构造更新，和/或，闭包构造更新，获得更新后的NFA状态关系网，其中所述连接构造更新为根据各个NFA状态关系式的头部状态信息和尾部状态信息对各个NFA状态关系式间的连接操作进行的优化；所述或构造更新为根据各个NFA状态关系式的头部状态信息和尾部状态信息对各个NFA状态关系式间的或操作进行的优化；所述闭包构造更新为根据各个NFA状态关系式的头部状态信息和尾部状态信息对各个NFA状态关系式间的闭包操作进行的优化。

3.根据权利要求2所述的网络包检测方法，其特征在于，根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行连接构造更新，包括：

从各个NFA状态关系式确定相邻的两个NFA状态关系式，配置为当前NFA状态关系式和下一个NFA状态关系式；

确定当前NFA状态关系式为非空，若下一个NFA状态关系式的头部状态信息不存在输入边，则将当前NFA状态关系式的尾部状态信息与下一个NFA状态关系式的头部状态信息合并；

若当前NFA状态关系式的尾部状态信息不存在输出边，则将下一个NFA状态关系式的头部状态信息与当前NFA状态关系式的尾部状态信息合并；

若下一个NFA状态关系式的头部状态信息存在输入边，且当前NFA状态关系式的尾部状态信息存在输出边，则当前NFA状态关系式的尾部状态信息添加到下一个NFA状态关系式的头部状态信息的空跳转。