正则表达式匹配存储优化技术研究

发布时间：2017-04-20 00:04

本文关键词：正则表达式匹配存储优化技术研究，由笔耕文化传播整理发布。

【摘要】：网络安全问题成为关乎我国国计民生的大事,基于深度包检测(Deep Packet Inspection,DPI)技术的入侵检测系统(Intrusion Detection System, IDS)作为网络防护的重要手段,近年来得到广泛应用。正则表达式因其强大的功能和灵活表达手段成为DPI的核心算法。随着网络安全攻防双方的发展,攻击模式的不断复杂化和网络业务及应用的日新月异,IDS中正则表达式匹配技术仍存在诸多问题,其中最重要的是高速低存储的正则表达式匹配算法的设计。基于确定型有限状态自动机(Deterministic Finite Automata, DFA)的正则表达式算法因其线性的匹配速度得到广泛应用,但存在部分类型的规则编译时会产生状态爆炸问题、存储空间急剧增长的情况。本文从DFA的构建过程出发,分析当前算法的改进思路和存在的不足,对DFA算法进行存储优化,设计高速低存储的正则表达式算法。本文主要工作如下：多维立方体自动机(Multi-dimensional Finite Automata, MFA)利用多维结构的对称性,仅保留坐标轴和当前所处位置信息,通过状态的实时更新,降低存储空间。针对MFA适用规则类型较少问题,结合入侵检测系统克林闭包规则的特点,设计了扩展多维有限自动机算法(eXtend Multi-dimensional Finite Automata, XMFA)。对不满足对称性的结构,进行结构调整,增加辅助变量,增加适用的规则类型；为了完成快速状态更新,设计简单完备的状态跳转指针。理论分析和仿真实验表明,XMFA与DFA数量级相当的匹配时间,同时占用存储空间比基于DFA算法大大减少。采用分组算法解决DFA状态爆炸问题,随着分组数目的增加,时间效率大大降低。基于正则表达式引擎输入驱动特性理论,提出了驱动特性有限自动机(Drive Character Finite Automata, DCFA)分组算法。DCFA分组算法将规则类型作为正则表达式分组的依据,根据规则类型确定各分组采用的改进算法,保证各个类型的规则集不出现状态爆炸问题。实验表明,在简单规则情况下,DCFA用更少的分组数目达到Multiple DFAs(mDFA)算法存储压缩效果,提高了匹配效率。与经典的改进算法相比,DCFA预处理时间和存储空间比Hybrid-FA、D2FA算法降低了2～3个数量级；匹配时间与DFA算法相当。分析当前入侵检测系统Perl兼容的正则表达式(Perl Compatible Regular Expressions, PCRE)规则特点,基于驱动特性的分组方案和扩展多维有限自动机结构,设计一种可以应用于当前入侵检测系统的模板有限自动机(Templates Based Finite Automata, TFA)匹配算法。TFA算法根据IDS规则类型特点,设计规则分组模板,然后根据规则模板将规则集划分为若干个规则子集,各个规则子集根据系统结构分别构建高速低存储的匹配引擎。实验表明,与经典的改进算法相比,TFA预处理时间和存储空间比Hybrid-FA、D2FA算法降低了几个数量级；匹配时间与DFA算法数量级相当。
【关键词】：入侵检测系统 正则表达式匹配 确定性有限自动机 扩展多维有限自动机 分组算法 规则驱动特性 驱动特性有限自动机 模板有限自动机
【学位授予单位】：解放军信息工程大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：