CN106713254A - 一种匹配正则集的生成及深度包检测方法 - Google Patents

Abstract

本发明提供一种匹配正则集的生成方法，所述方法包括：步骤101)对接收到的网络数据包进行预处理；得到白名单数据集和黑名单数据集；步骤102)基于白名单数据集和黑名单数据集，根据正则表达式基本规则，分别生成黑名单数据集的原子规则和白名单数据集的原子规则；步骤103)基于白名单数据集的原子规则，构造白名单数据集的修饰规则树；基于黑名单数据集的原子规则，构造黑名单数据集的修饰规则树；步骤104)基于白名单数据集的修饰规则树和黑名单数据集的修饰规则树，在满足规则生成边界条件前提下，生成白名单正则集S1和黑名单正则集S2；两者的并集为匹配正则集。通过本发明的方法生成匹配正则集，可以减少人工归纳正则规则的工作量，节约人工成本。

Description

一种匹配正则集的生成及深度包检测方法

技术领域

本发明涉及深度包检测技术，具体涉及一种匹配正则集的生成及深度包检测方法。

背景技术

随着移动互联时代的到来，网络数据流量出现了指数爆炸式的增长。由此产生了网络攻击防范、网络包内容安全等问题。为了解决这类问题，深度包检测(DPI)技术应运而生。

深度包检测技术是一种面向网络数据的高速检测方法，主要用于检测网络包的载荷字段内容。该技术在入侵防御系统(IPS)、入侵检测系统(IDS)中被广泛应用。目前，在深度包检测系统中，所使用的规则多为正则表达式规则，然而大多数正则表达式需要人工抓取数据包，并根据数据包特点，归纳其中规律并编写相应正则规则。而对于新类型的攻击模式和攻击数据，不能针对性地快速生成规则进行匹配和防御。

发明内容

本发明的目的在于克服现有深度包检测技术中存在的上述缺陷，提供了一种匹配正则集的生成方法，该方法能够根据接收到的网络数据包自动生成匹配正则集，基于该正则集，本发明还提供了一种深度包检测方法。

为了实现上述目的，本发明提供了一种匹配正则集的生成方法，所述方法包括：

步骤101)对接收到的网络数据包进行预处理；得到白名单数据集和黑名单数据集；

步骤102)基于白名单数据集和黑名单数据集，根据正则表达式基本规则，分别生成黑名单数据集的原子规则和白名单数据集的原子规则；

步骤103)基于白名单数据集的原子规则，构造白名单数据集的修饰规则树；基于黑名单数据集的原子规则，构造黑名单数据集的修饰规则树；

步骤104)基于白名单数据集的修饰规则树和黑名单数据集的修饰规则树，在满足规则生成边界条件前提下，生成白名单正则集S1和黑名单正则集S2；所述匹配正则集为所述白名单正则集S1和黑名单正则集S2的并集。

上述技术方案中，所述步骤1)的预处理包括分类和清洗，具体过程为：对已有带标记的数据包进行黑白名单的分类，然后对黑名单和白名单中相同的数据包进行筛查和剔除得到黑名单数据集和白名单数据集。

上述技术方案中，所述步骤2)生成原子规则的过程为：对一个数据集的所有字符按照设定的正则匹配规则进行正则匹配。

上述技术方案中，所述步骤103)包括：

步骤103-1)根据白名单数据集各层对应的原子规则，生成初始规则树；

步骤103-2)对初始规则树按照修饰规则进行修饰；

所述修饰规则为：

(1)“.*”类叶子节点向根节点上移；

(2)添加同层级相同节点合并后的节点层；

步骤103-3)根据所述修饰规则对规则树进行反复修饰，直至没有可以修饰的节点；得到白名单的数据集修饰规则树；

步骤103-4)根据黑名单数据集各层对应的原子规则，生成初始规则树；

步骤103-5)对初始规则树进行修饰；

步骤103-6)根据所述修饰规则对规则树进行反复修饰，直至没有可以修饰的节点；得到黑名单数据集的修饰规则树。

上述技术方案中，所述步骤104)具体包括：

步骤104-1)构造边界条件；

步骤104-2)对白名单数据集内所有N个修饰规则树依次两两构造最深共同正则规则子树；

步骤104-3)对步骤104-2)生成的相同的最深共同正则规则子树进行合并，得到白名单正则规则子树；然后记录每棵子树对应的数据包编号index；

步骤104-4)将白名单正则规则子树转化为对应的白名单正则集，记作S1{r₀,r₁,…,r_n}；

步骤104-5)从白名单正则集S1中取出一个规则测试黑名单数据包，如果在S1中存在一个r_k，能够匹配黑名单的数据，则对r_k进行重构；

步骤104-6)判断白名单正则集S1中所有的规则是否被匹配完，如果判断结果是肯定的，转入步骤104-7)；否则，转入步骤104-4)；

步骤104-7)生成白名单正则集S1；

步骤104-8)对黑名单数据集内所有M个修饰规则树依次两两构造最深共同正则规则子树；

步骤104-9)对步骤104-8)生成的相同的最深共同正则规则子树进行合并，得到黑名单正则规则子树；然后记录每棵子树对应的数据包编号index；

步骤104-10)将黑名单正则规则子树转化为对应的黑名单正则集，记作S2{t₀,t₁,…,t_n}；

步骤104-11)从黑名单正则集S2中取出一个规则测试白名单数据包，如果在S2中存在一个t_k，能够匹配白名单的数据，则对t_k进行重构；

步骤104-12)判断黑名单正则集S2中所有的规则是否被匹配完，如果判断结果是肯定的，转入步骤104-13)；否则，转入步骤104-10)；

步骤104-13)生成黑名单正则集S2，所述匹配正则集为所述白名单正则集S1和黑名单正则集S2的并集。

上述技术方案中，所述步骤104-1)的边界条件是全局控制最后合并子树的数量的条件，所述边界条件包括：

(1)设定树的总量；在进行树合并时，最终生成的正则规则子树数量不得少于这个总量；

(2)设定子树的深度临界值，每个合并后的子树的深度不得小于这个临界值。

上述技术方案中，所述步骤104-5)的重构的过程为：设规则r_k对应的正则规则子树数记作tree_k，分别对tree_k的每个具有相同父节点的叶子节点集合进行的删去操作，重新生成新的子树集合T{sub-tree₀,sub-tree₁,…,sub-tree_t}。

基于上述匹配正则集的生成方法生成的匹配正则集，本发明还提供了一种深度包检测方法，该方法包括：

步骤201)根据黑名单正则集S2和白名单正则集S1，生成正则规则匹配自动状态机，分别定义为黑名单状态机A_b和白名单状态机A_w；

步骤202)从外部网络入口获取待检测的数据包；

步骤203)待检测的数据包先通过黑名单状态机A_b，若状态机A_b检测出该数据包为黑名单匹配数据，则按照黑名单的正则规则进行过滤处理；转入步骤206)；否则，转入步骤204)；

步骤204)待检测数据包进入白名单状态机A_w进行检测，若状态机A_w检测出该数据包为白名单匹配数据，则按照白名单的正则规则进行过滤处理，转入步骤206)；否则，判定该数据包为灰名单数据；转入步骤205)；

步骤205)按照系统的安全等级对灰名单数据包进行过滤处理；

步骤206)待检测数据包检测完毕。

本发明的优点在于：

1、本发明的方法可以利用已标记的数据包，自动生成正则规则，为深度包检测系统提供匹配规则；

2、本发明生成的匹配正则集，保证规则的准确性，可以有效减少误判错判的概率；

3、通过本发明的方法生成匹配正则集，可以减少人工归纳正则规则的工作量，节约人工成本。

附图说明

图1为本发明的匹配正则集的生成方法的流程图；

图2为本发明的黑名单数据集的修饰规则树的生成流程。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细的说明。

如图1所示，一种匹配正则集的生成方法，所述方法包括：

步骤101)对接收到的网络数据包进行预处理；得到白名单数据集和黑名单数据集；

所述预处理包括分类和清洗，具体过程为：对已有带标记的数据包进行黑白名单的分类，然后对黑名单和白名单中相同的数据包进行筛查和剔除得到黑名单数据集和白名单数据集；

步骤102)基于白名单数据集和黑名单数据集，根据正则表达式基本规则，分别生成黑名单数据集的原子规则和白名单数据集的原子规则；

所述生成原子规则的过程为：对一个数据集的所有字符按照正则匹配规则进行正则匹配，所述正则匹配规则见表1：

表1

步骤103)基于白名单数据集的原子规则，构造白名单数据集的修饰规则树；基于黑名单数据集的原子规则，构造黑名单数据集的修饰规则树；

所述步骤103)包括：

步骤103-1)根据白名单数据集各层对应的原子规则，生成初始规则树；

步骤103-2)对初始规则树按照修饰规则进行修饰；

所述修饰规则为：

(1)：“.*”类叶子节点向根节点上移；

(2)：添加同层级相同节点合并后的节点层。

步骤103-3)根据所述修饰规则对规则树进行反复修饰，直至没有可以修饰的节点；得到白名单的数据集修饰规则树；

步骤103-4)根据黑名单数据集各层对应的原子规则，生成初始规则树；

步骤103-5)对初始规则树按照上述修饰规则进行修饰；

步骤103-6)根据所述修饰规则对规则树进行反复修饰，直至没有可以修饰的节点；得到黑名单数据集的修饰规则树；

步骤104)基于白名单数据集的修饰规则树和黑名单数据集的修饰规则树，在满足规则生成边界条件前提下，生成白名单正则集S1和黑名单正则集S2；所述匹配正则集为所述白名单正则集S1和黑名单正则集S2的并集。

具体包括：

如图2所示，所述步骤104-1)到步骤104-7)的流程为：

步骤104-1)构造边界条件；

步骤104-2)对白名单数据集内所有N个修饰规则树依次两两构造最深共同正则规则子树；

步骤104-3)对步骤104-2)生成的相同的最深共同正则规则子树进行合并，得到白名单正则规则子树；然后记录每棵子树对应的数据包编号index；

步骤104-4)将白名单正则规则子树转化为对应的白名单正则集，记作S1{r₀,r₁,…,r_n}；

步骤104-5)从白名单正则集S1中取出一个规则测试黑名单数据包，如果在S1中存在一个r_k，能够匹配黑名单的数据，则对r_k进行重构；

步骤104-6)判断白名单正则集S1中所有的规则是否被匹配完，如果判断结果是肯定的，转入步骤104-7)；否则，转入步骤104-4)；

步骤104-7)生成白名单正则集S1；

步骤104-8)对黑名单数据集内所有M个修饰规则树依次两两构造最深共同正则规则子树；

步骤104-9)对步骤104-8)生成的相同的最深共同正则规则子树进行合并，得到黑名单正则规则子树；然后记录每棵子树对应的数据包编号index；

步骤104-10)将黑名单正则规则子树转化为对应的黑名单正则集，记作S2{t₀,t₁,…,t_n}；

步骤104-11)从黑名单正则集S2中取出一个规则测试白名单数据包，如果在S2中存在一个t_k，能够匹配白名单的数据，则对t_k进行重构；

步骤104-12)判断黑名单正则集S2中所有的规则是否被匹配完，如果判断结果是肯定的，转入步骤104-13)；否则，转入步骤104-10)；

步骤104-13)生成黑名单正则集S2；所述匹配正则集为所述白名单正则集S1和黑名单正则集S2的并集。

基于上述方法生成的匹配正则集，本发明还提供了一种深度包检测方法，所述方法包括：

步骤201)根据黑名单正则集S2和白名单正则集S1，生成正则规则匹配自动状态机，分别定义为黑名单状态机A_b和白名单状态机A_w；

步骤202)从外部网络入口获取待检测的数据包；

步骤203)待检测的数据包先通过黑名单状态机A_b，若状态机A_b检测出该数据包为黑名单匹配数据，则按照黑名单的正则规则进行过滤处理；转入步骤206)；否则，转入步骤204)；

步骤204)待检测数据包进入白名单状态机A_w进行检测，若状态机A_w检测出该数据包为白名单匹配数据，则按照白名单的正则规则进行过滤处理，转入步骤206)；否则，判定该数据包为灰名单数据；转入步骤205)；

步骤205)按照系统的安全等级对灰名单数据包进行过滤处理；

步骤206)待检测数据包检测完毕。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种匹配正则集的生成方法，所述方法包括：

步骤101)对接收到的网络数据包进行预处理；得到白名单数据集和黑名单数据集；

步骤102)基于白名单数据集和黑名单数据集，根据正则表达式基本规则，分别生成黑名单数据集的原子规则和白名单数据集的原子规则；

步骤103)基于白名单数据集的原子规则，构造白名单数据集的修饰规则树；基于黑名单数据集的原子规则，构造黑名单数据集的修饰规则树；

步骤104)基于白名单数据集的修饰规则树和黑名单数据集的修饰规则树，在满足规则生成边界条件前提下，生成白名单正则集S1和黑名单正则集S2；所述匹配正则集为所述白名单正则集S1和黑名单正则集S2的并集。

2.根据权利要求1所述的匹配正则集的生成方法，其特征在于，所述步骤1)的预处理包括分类和清洗，具体过程为：对已有带标记的数据包进行黑白名单的分类，然后对黑名单和白名单中相同的数据包进行筛查和剔除得到黑名单数据集和白名单数据集。

3.根据权利要求1所述的匹配正则集的生成方法，其特征在于，所述步骤2)生成原子规则的过程为：对一个数据集的所有字符按照设定的正则匹配规则进行正则匹配。

4.根据权利要求1所述的匹配正则集的生成方法，其特征在于，所述步骤103)包括：

步骤103-1)根据白名单数据集各层对应的原子规则，生成初始规则树；

步骤103-2)对初始规则树按照修饰规则进行修饰；

所述修饰规则为：

(1)“.*”类叶子节点向根节点上移；

(2)添加同层级相同节点合并后的节点层；

步骤103-3)根据所述修饰规则对规则树进行反复修饰，直至没有可以修饰的节点；得到白名单的数据集修饰规则树；

步骤103-4)根据黑名单数据集各层对应的原子规则，生成初始规则树；

步骤103-5)对初始规则树进行修饰；

步骤103-6)根据所述修饰规则对规则树进行反复修饰，直至没有可以修饰的节点；得到黑名单数据集的修饰规则树。

5.根据权利要求4所述的匹配正则集的生成方法，其特征在于，所述步骤104)具体包括：

步骤104-1)构造边界条件；

步骤104-2)对白名单数据集内所有N个修饰规则树依次两两构造最深共同正则规则子树；

步骤104-3)对步骤104-2)生成的相同的最深共同正则规则子树进行合并，得到白名单正则规则子树；然后记录每棵子树对应的数据包编号index；

步骤104-4)将白名单正则规则子树转化为对应的白名单正则集，记作S1{r₀,r₁,…,r_n}；

步骤104-5)从白名单正则集S1中取出一个规则测试黑名单数据包，如果在S1中存在一个r_k，能够匹配黑名单的数据，则对r_k进行重构；

步骤104-6)判断白名单正则集S1中所有的规则是否被匹配完，如果判断结果是肯定的，转入步骤104-7)；否则，转入步骤104-4)；

步骤104-7)生成白名单正则集S1；

步骤104-8)对黑名单数据集内所有M个修饰规则树依次两两构造最深共同正则规则子树；

步骤104-9)对步骤104-8)生成的相同的最深共同正则规则子树进行合并，得到黑名单正则规则子树；然后记录每棵子树对应的数据包编号index；

步骤104-10)将黑名单正则规则子树转化为对应的黑名单正则集，记作S2{t₀,t₁,…,t_n}；

步骤104-11)从黑名单正则集S2中取出一个规则测试白名单数据包，如果在S2中存在一个t_k，能够匹配白名单的数据，则对t_k进行重构；

步骤104-12)判断黑名单正则集S2中所有的规则是否被匹配完，如果判断结果是肯定的，转入步骤104-13)；否则，转入步骤104-10)；

步骤104-13)生成黑名单正则集S2；所述匹配正则集为所述白名单正则集S1和黑名单正则集S2的并集。

6.根据权利要求5所述的匹配正则集的生成方法，其特征在于，所述步骤104-1)的边界条件是全局控制最后合并子树的数量的条件，所述边界条件包括：

(1)设定树的总量；在进行树合并时，最终生成的正则规则子树数量不得少于这个总量；

(2)设定子树的深度临界值，每个合并后的子树的深度不得小于这个临界值。

7.根据权利要求5所述的匹配正则集的生成方法，其特征在于，所述步骤104-5)的重构的过程为：设规则r_k对应的正则规则子树数记作tree_k，分别对tree_k的每个具有相同父节点的叶子节点集合进行的删去操作，重新生成新的子树集合T{sub-tree₀,sub-tree₁,…,sub-tree_t}。

8.一种深度包检测方法，基于权利要求1-7之一所述的匹配正则集的生成方法生成的匹配正则集实现，该方法包括：

步骤201)根据黑名单正则集S2和白名单正则集S1，生成正则规则匹配自动状态机，分别定义为黑名单状态机A_b和白名单状态机A_w；

步骤202)从外部网络入口获取待检测的数据包；

步骤203)待检测的数据包先通过黑名单状态机A_b，若状态机A_b检测出该数据包为黑名单匹配数据，则按照黑名单的正则规则进行过滤处理；转入步骤206)；否则，转入步骤204)；

步骤204)待检测数据包进入白名单状态机A_w进行检测，若状态机A_w检测出该数据包为白名单匹配数据，则按照白名单的正则规则进行过滤处理，转入步骤206)；否则，判定该数据包为灰名单数据；转入步骤205)；

步骤205)按照系统的安全等级对灰名单数据包进行过滤处理；

步骤206)待检测数据包检测完毕。