CN108563795B - 一种加速压缩流量正则表达式匹配的Pairs方法 - Google Patents
一种加速压缩流量正则表达式匹配的Pairs方法 Download PDFInfo
- Publication number
- CN108563795B CN108563795B CN201810420111.6A CN201810420111A CN108563795B CN 108563795 B CN108563795 B CN 108563795B CN 201810420111 A CN201810420111 A CN 201810420111A CN 108563795 B CN108563795 B CN 108563795B
- Authority
- CN
- China
- Prior art keywords
- state
- matching
- pairs
- automaton
- begin
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H03—ELECTRONIC CIRCUITRY
- H03M—CODING; DECODING; CODE CONVERSION IN GENERAL
- H03M7/00—Conversion of a code where information is represented by a given sequence or number of digits to a code where the same, similar or subset of information is represented by a different sequence or number of digits
- H03M7/30—Compression; Expansion; Suppression of unnecessary data, e.g. redundancy reduction
- H03M7/3084—Compression; Expansion; Suppression of unnecessary data, e.g. redundancy reduction using adaptive string matching, e.g. the Lempel-Ziv method
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Compression, Expansion, Code Conversion, And Decoders (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明一种加速压缩流量正则表达式匹配的Pairs方法,核心部件是压缩流量Pairs匹配引擎,其包括解码模块、Pairs匹配算法和有限状态自动机三个处理模块,以及处理过程所需的状态记录数据;压缩流量Pairs匹配引擎使用待匹配正则表达式构建有限状态自动机,之后对压缩流量字节内容进行解码,最后使用Pairs匹配算法进行匹配,输出匹配结果;Pairs匹配算法使用有限状态自动机扫描解码后的文本字符串,使用Pairs算法对编码字符串进行处理。该方法在保证得到与Naive方法相同的匹配结果的情况下,有效提升了对压缩流量进行正则匹配的吞吐率,匹配速度快,实现简便,扩展性强。
Description
技术领域
本发明属于压缩流量的模式匹配方法,涉及针对使用gzip/DEFLATE压缩编码的HTTP等网络流量进行正则表达式匹配的方法,具体为一种加速压缩流量正则表达式匹配的Pairs方法。
背景技术
随着压缩技术在网络流量中的广泛应用,越来越多的Web服务器将HTTP页面内容压缩后发送给浏览器。2010年7月Alexa Top 1000的站点中有66%使用了HTTP压缩,而2016年10月的Top 500站点中,该比例已超过90%。并且这些压缩流量约为20%的压缩比,严重影响了压缩流量的匹配速度。
另外,为了全面多层次的匹配,越来越多的基于深度包检测(Deep PacketInspection,DPI)的工具和应用采用正则表达式匹配引擎,识别流量中的特征。例如入侵检测系统、流量计价和防火墙等。这些工具面对压缩流量,通常采用以下两种做法:
(1)朴素方法(Naive):也就是先将压缩流量进行完全解压,之后再对解压后的数据进行逐字节地模式匹配。该方法是最为朴素的方法,实现简单,但由于压缩的存在,使得处理吞吐率大大降低,成为系统整体过程中的性能瓶颈。
(2)补丁方法(Patch):通过修改客户端的请求,告知服务端自身不接收压缩数据,从而强制服务端发送原始数据。这种方式相较于Naive来说,仅避免了流量解压过程的开销。但是破坏了客户端与服务端之间通信数据的完整性;而且使用未压缩的流量,也抛弃了HTTP设计压缩流量的初衷,不能减少对网络带宽的使用。
目前,有许多关于多模式匹配的相关专利,如2010年12月01日公开的中国专利“一种多字符串匹配方法”、2007年10月10日公开的中国专利“一种多字符串匹配方法和芯片”、2013年08月21日公开的中国专利“基于后缀自动机正则引擎构造的深度包检测方法”和2006年11月29日公开的中国专利“一种自适应多模式匹配方法及系统”,但它们均没有涉及针对压缩流量的多模式匹配。一些针对HTTP压缩流量进行DPI的工作,其中,2012年发表在IEEE/ACM Transactions on Networking的文章中ACCH和2017年发表在IEEE/ACMInternational Symposium on Quality of Service的文章中COIN,均通过先解压流量,之后利用解压过程中所保存的信息,在匹配过程跳过对部分字符的扫描,以加速模式匹配的过程。然而他们只能对压缩流量进行多字符串扫描,而不能应用于正则表达式的匹配中,进而也限制了应用场景。
2015年发表在IEEE Conference on Computer Communications的文章中ARCH是一种能够对压缩流量进行正则表达式匹配的方法,然而它的核心算法与ACCH相同,因此当编码字符串中存在完整的模式之时,无可避免地对其重复扫描。另外,为适应ACCH算法而提出的计算depth参数的方法耗时较多,以至于相较于Naive的方法性能提升有限。
为进一步说明本发明的具体内容,我们首先对发明所涉及的技术和定义的名词进行介绍:
A)gzip/DEFLATE;
gzip是HTTP1.1推荐的一种常用的内容编码方法,其中,我们根据2016年10月的Aleax Top 500列表,于2017年5月获取的460个页面中,434个使用压缩编码的页面均采用gzip作为其编码方法。而DEFLATE则是gzip所使用的压缩方法,它基于LZ77和哈夫曼编码分别实现压缩和编码。
图1显示的是gzip压缩过程示意图,,将原始文本压缩为文本字符串和编码字符串混合的数据,之后再进行哈夫曼编码,保存为gzip或DEFLATE数据格式。具体的,原始文本为两行表示网页URL的字符串,经过LZ77压缩,将第二行中的“http://www.”编码为<11,17>。表示该压缩内容长度为11字节,可由当前位置向前偏移17字节处拷贝得到。在这里,我们称<长度,距离>对,即<11,17>为编码字符串;称第一行中的“http://www.”为参考字符串,二者的位置关系示意图如图2所示。除去编码字符串之外的字符内容被称为文本字符串。
经LZ77压缩后的数据,包含文本字符串和编码字符串,之后使用哈夫曼编码方法对其编码,生成gzip所使用的DEFLATE数据格式。由于哈夫曼编码长度不等,且不全是8的倍数,因此DEFLATE数据为连续的位流,并且不会以字节为编码边界。这也是现有方法必须在解码之后才能进行字符串匹配的原因。
B)正则表达式匹配;
字符串匹配可以看作是正则表达式的一个子集,它仅能处理一些不包含克林闭包等运算的简单模式匹配。因此正则表达式匹配引擎能够处理字符串模式的匹配,反之则不可以。
在计算理论中,正则表达式、确定性有限状态自动机(Deterministic FiniteAutomaton,DFA)和非确定性有限状态自动机(Non-deterministic Finite Automaton,NFA)可等价地表示正则语言。有限状态自动机可以形式化地表示为5元组A=(Q,Σ,δ,q0,F),其中:
Q:非空有限的状态集合;Σ:非空有限的字符集合,通常称为输入字母表;δ:Q×Σ→Q转移函数;q0:一个初始状态,q0∈Q;F:接受状态的集合,
DFA和NFA的区别在于转移函数δ的返回值,DFA的转移函数返回单个状态,而NFA返回状态集合,可包含不止一个状态。
有限状态自动机从起始状态开始,逐个字符地读入待匹配的字符串,并根据给定的转移函数转移至下一个状态。在读完该字符串后,如果该自动机停在一个属于F的接受状态,那么它就接受该字符串,也即我们所说的匹配到模式;反之则拒绝该字符串。
一个正则表达式通常被称为一个模式,使用有限状态自动机描述的模式匹配过程,通常先将正则表达式编译为NFA,然后将NFA转换为DFA,并对DFA进行最小化处理,最后使用DFA或者直接使用NFA对待匹配的数据进行扫描处理。
实际应用中,通常以二维矩阵实现DFA的转移表,该方式有着较高的匹配速度。但是由于DFA状态膨胀的问题,使得转移表变得较大,致使该方式需要占用较多内存。因此,一些研究以压缩转移表的方式,牺牲部分匹配速度来降低所占用的内存,这些研究通常被称为压缩DFA。对于内存空间有限制,而匹配速度要求不是太高的场景中,压缩DFA有着较多的应用。
发明内容
针对现有技术中存在的问题,本发明提供一种加速压缩流量正则表达式匹配的Pairs方法,匹配速度快,实现简便,扩展性强。
本发明是通过以下技术方案来实现:
一种加速压缩流量正则表达式匹配的Pairs方法,核心部件是压缩流量Pairs匹配引擎,其包括解码模块、Pairs匹配算法和有限状态自动机三个处理模块,以及处理过程所需的状态记录数据;
压缩流量Pairs匹配引擎使用待匹配正则表达式构建有限状态自动机,之后对压缩流量字节内容进行解码,最后使用Pairs匹配算法进行匹配,输出匹配结果;Pairs匹配算法使用有限状态自动机扫描解码后的文本字符串,使用Pairs算法对编码字符串进行处理。
优选的,对构造的有限状态自动机的各个状态进行标记,区分出Initial状态、Begin状态、End状态和Normal状态;同时以待匹配正则表达式的序号,分别对Begin和End状态进行编号,使同一条正则表达式的具有相同的Begin和End状态编号;
其中,在构造NFA过程中,NFA的起始状态的ε闭包中的所有状态均为Initial状态;通过Initial状态读入待匹配正则表达式的第一个字符所到达的状态为Begin状态;NFA的接受状态为End状态,其他所有状态为Normal状态;
NFA转换为DFA过程中,子集中所有NFA状态均为Initial状态,则转换后的DFA状态标记为Initial状态;子集中只要有一个状态为Begin或者End状态,则转换后的DFA状态分别标记为Begin或者End状态;其余所有的DFA状态标记为Normal状态;
在标记Begin或End编号时,如果同一NFA或者DFA状态有对应多条正则表达式,则以可区分的方式记录标记Begin或End的编号。
优选的,可区分的方式包括使用可区分的NFA或DFA,使得每个状态只对应一条正则表达式规则;或者使用bitmap标记多条规则。
优选的,使用Pairs算法处理编码字符串时,根据可能出现的模式起始位置与编码字符串的位置关系,分为前缀和非前缀两种情况进行处理;可能出现的模式起始于编码字符串之前按前缀处理,可能出现的模式起始于编码字符串中按非前缀处理。
进一步,压缩流量正则表达式匹配引擎中Pairs匹配算法,对编码字符串两种情况进行顺序处理,步骤如下:
按前缀处理时,判断编码字符串前一字节处返回的状态是否为Initial状态,若不是,从编码字符串的开始位置继续进行之前的扫描,直至扫描字符后返回标记为Initial状态的状态,记录下结束时候的位置偏移offPos;否则,结束对该情况的处理,offPos=0;
按非前缀处理时,找到第一个标记为Begin状态的位置,记为scanPos,之后查找对应的参考字符串偏移scanPos位置之后的状态记录数据,如若在scanPos后发现Initial状态或者具有相同自动机状态的Begin状态,移动scanPos到该位置;如若发现End状态,则将此处的匹配信息记录到匹配结果,并移动scanPos到该位置的下一字节处;检查完成后,拷贝offPos和scanPos之间的状态记录值到编码字符串对应的位置处,并以自动机的初始状态,从scanPos处开始新的自动机匹配扫描。
优选的,Pairs匹配算法处理压缩流量时,包括以下步骤:
步骤1,构造匹配引擎:首先,解析待匹配正则表达式,构造匹配所用有限状态自动机,包括DFA或NFA,并标记自动机的各个状态类型;之后申请存储空间,保存处理过程的状态记录数据;
步骤2,解码:读取压缩流量数据,根据不同类型数据,使用静态哈夫曼编码,或者构造哈夫曼编码树,解析压缩数据;将压缩数据解码为两类:文本字符串和编码字符串;
步骤3,Pairs算法处理:对于解码后的文本字符串,直接使用有限状态自动机进行扫描;对于编码字符串,使用Pairs算法进行分类处理;扫描和处理过程中,随时更新状态记录数据和匹配结果;
步骤4,重复步骤2-3,直至处理完所有压缩流量。
优选的,所述解码模块,对采用gzip或DEFLATE方法压缩的数据进行哈夫曼解码;解码使得不以字节为边界的原始压缩流量,变为以字节为边界的文本字符串和编码字符串。
优选的,所述有限状态自动机,使用现有的自动机构造算法,将正则表达式编译为有限状态自动机,并在构造过程中标记其状态。
优选的,通过状态记录数据保存压缩流量Pairs匹配引擎工作过程所使用的状态,以及其他所需参数。
与现有技术相比,本发明具有以下有益的技术效果:
本发明所述方法对有限状态自动机的各个状态进行分类标记。之后使用这些标记在编码字符串中确定可以开始新的扫描的位置,以跳过对部分字节的扫描。同时使用Begin/End编号快速确定编码字符串中存在的完整模式,不对其进行重复扫描。该方法在保证得到与Naive方法相同的匹配结果的情况下,有效提升了对压缩流量进行正则匹配的吞吐率。其具有以下优点:
(1)匹配速度快
目前对压缩流量进行字符串匹配的方法中,Naive方法在压缩比为20%的情况下,其匹配吞吐率降为匹配未压缩数据吞吐率的20%左右。而ARCH是匹配速度最快的一种,相较于Naive方法,吞吐率提升3.2倍左右。而在Alexa Top 500和Alexa China Top20000两组数据集上的实验表明,本发明匹配性能均得到有效提升,相较于ARCH,平均吞吐率提升17.4%。
(2)实现简便
由于ARCH使用与ACCH相同的算法,因此其使用过程中,需要用户指定参数。另外ARCH需要为每一个待匹配的字符计算一项Input-Depth参数,之后将该参数应用于处理算法中,因此处理过程较为繁杂。本发明在匹配过程中,只需保存匹配过程返回的状态类别和Begin/End结点编号,而且整个算法过程中无需人为设定参数,实现简单。
(3)扩展性强
本发明中的有限状态自动机,可以选择已经被广泛使用的各种类型的压缩DFA或者其他有限状态自动机,这样以来,可以方便地对现有系统进行改造,以提升对压缩流量进行正则表达式匹配时的吞吐率。
附图说明
图1是现有技术中所述的gzip压缩过程示意图。
图2是使用图1中示例数据,经过gzip解压后参考字符串、编码字符串以及文本字符串三者的示例图。
图3为本发明实例中所述方法处理逻辑框图。
图4是说明对编码字符串的处理过程的示例数据。
图5是由正则表达式(ab+c)|(bc+d)示例生成的DFA。
图6是示例中编码字符串的处理过程和状态记录结果图。
图7是本发明与ARCH和Naive方法,基于压缩DFA的实现方案进行正则表达式匹配,在两组数据集下的吞吐率对比图。
具体实施方式
下面将结合实施例对本发明技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都应属于本发明保护的范围。
本发明公开了一种加速压缩流量正则表达式匹配方法,我们称之为Pairs方法,其核心部件是压缩流量Pairs匹配引擎。它使用待匹配正则表达式构建有限状态自动机,并对压缩流量数据内容进行解码,使用Pairs匹配算法扫描解码后的数据,输出匹配结果。该引擎包括解码、Pairs匹配算法和有限状态自动机三个模块,以及处理过程所保存的中间数据,即状态记录模块。本发明技术方案对压缩流量具有较高的吞吐率,便于使用,且具有较好的扩展性。
如图3所示,虚线框中是压缩流量Pairs匹配引擎101,该引擎使用待匹配正则表达式103构造有限状态自动机1013,对压缩流量102进行处理,输出匹配结果104。其核心部件是压缩流量Pairs匹配引擎101,它包括解码模块1011、Pairs匹配算法1012和有限状态自动机1013三个处理模块,以及处理过程所需的状态记录数据1014。该引擎使用待匹配正则表达式103构建有限状态自动机1013,之后对压缩流量102数据内容进行扫描、匹配,输出匹配结果104。
具体实现过程中,匹配引擎中的解码模块1011,对采用gzip或DEFLATE方法压缩的内容进行哈夫曼解码。解码时,根据压缩内容所使用的静态或者动态哈夫曼编码构造哈夫曼树,然后解析压缩格式数据,依次取出所编码的文本字符串和编码字符串,它们之间的关系示例如图2所示。
有限状态自动机1013,使用现有的自动机构造算法,将正则表达式编译为有限状态自动机1013,并在构造过程中标记其状态。在该实施例中,我们使用ARCH论文中进行性能评估时所使用的有限状态自动机,该自动机在进行模式匹配过程中,在牺牲一些匹配性能的情况下,通过压缩转移函数的数目减小了DFA的尺寸,在匹配长度为N的待匹配内容时,最多需要2N次处理。
在构造自动机的过程中,按照技术方案中所描述的方法对自动机的每个状态进行类别标记,标记的类别定义如下:
typedef enum STATE_CATE{
CATE_NORMAL=0;
CATE_INITIAL=1;
CATE_BEGIN=2;
CATE_END=4;
}
使用这样的定义能够区分出一个状态既是Begin又是End结点的情况。同时对Begin/End状态进编号,区分所表示的正则表达式序号。
状态记录数据1014,保存该引擎工作过程所使用的状态、参数等中间数据。在该实施例中,我们需要保存有限状态自动机1013扫描每个字符所返回状态的类别和ID、Begin/End编号。在DFA的实现中,我们保存所返回的状态作为状态ID,并且以此作为索引,从DFA的状态中得到状态类别和Begin/End编号。在NFA的实现中,则需要单独保存状态类别和Begin/End编号。同时对NFA扫描每个字节所返回的状态集合中的各个状态ID计算哈希值,以此作为需要记录的状态ID。
Pairs匹配算法1012,使用有限状态自动机1013直接扫描解码后的文本字符串。而对编码字符串使用Pairs算法进行处理。对编码字符串两种情况处理过程如下:
(1)前缀情况:判断编码字符串前一字节处返回的状态是否为Initial结点,若不是,从编码字符串的开始位置继续进行之前的扫描,直至扫描字符后返回标记为Initial结点的状态,记录下结束时候的位置偏移offPos。否则,结束对该情况的处理。
(2)非前缀情况:找到第一个标记为Begin结点的位置,记为scanPos。之后查找对应的参考字符串偏移scanPos位置之后的状态记录数据,如若在scanPos后发现Initial结点或者具有相同自动机状态的Begin结点,移动scanPos到该位置。如若发现End结点,则将此处的匹配信息记录到匹配结果,并移动scanPos到该位置的下一字节处。检查完成后,从参考字符串对应的位置向编码字符串对应的位置,拷贝offPos与scanPos之间的状态类别和ID,以及Begin、End编号等。最后以自动机的初始状态,从scanPos处开始新的自动机匹配扫描。
为了更为直观地说明对编码字符串的处理过程,本发明以图4中的数据和图5中的有限状态自动机,进行实例说明,处理的过程状态记录对应图6中(a)~(d)。其中,图4压缩数据中括号“<>”中的内容即是编码字符串。图5中每个状态中“x-y-z”分别表示该状态的ID、类别和Begin/End编号,状态类别中“i,b,n,e”分别表示Initial、Begin、Normal和End结点。图6中左侧浅灰色表示参考字符串区域,右侧深灰色表示编码字符串区域;第1行为自动机所扫描的字节,第2行(Id)为状态ID,即图5中的状态编号,通过Id可以在图5中查找到状态对应的类别和Begin/End编号。
1)Ex1:由于编码字符串前一字节“a”处Id为1,而状态1为Begin结点,因此需要处理前缀情况,继续扫描其编码字符串中字符“abcc”。而直至完成扫描,没有返回为Initial的状态,因此不再处理非前缀情况。在扫描过程中,匹配到模式“abc”,该过程没有跳过对编码字符串中字节的扫描。
2)Ex2:编码字符串前一字节处Id值为0,对应的是Initial结点,因此不处理前缀情况。处理非前缀情况时,在其参考字符串“bccdw”对应的状态中找到第一个标记Begin结点的位置,scanPos=0(第一字节偏移从0开始),此时状态Id为2,然后检查scanPos之后的状态类别。Id为3处发现类别为End的状态,由于其End编号为1,与scanPos处的Begin编号2不相同,因此不是完整的模式,不记录匹配结果。继续检查,在Id为6处发现End结点,且End编号为2与scanPos处的Begin编号相同,字符串“bccd”为一个匹配到的模式,记录当前位置的匹配结果。并将参考字符串对应的Id值拷贝到编码字符串对应的位置,之后将scanPos移动到下一字节处,即scanPos=4。此时已检查其最后一个字节,因此以初始状态,从scanPos=4处开始新的扫描。处理Ex2时,跳过了对编码字符串“bccd”的再次匹配。
3)Ex3:编码字符串前一字节处Id值为0,对应的是Initial结点,因此不处理前缀情况。之后,在其参考字符串“abbb”对应的状态中找到第一个标记Begin结点的位置,scanPos=0,此时状态Id为1,然后检查scanPos之后的状态类别。后续的连续三个字节的位置保存的Id为2,均为Begin结点,但与scanPos处的Id不相同,因此不移动scanPos位置。直至检查完成,scanPos保持为0。最后以初始状态,从scanPos=0处开始新的扫描,该过程没有跳过对编码字符串中字节的扫描。
4)Ex4:包含两个编码字符串,依照顺序处理。第一个编码字符串前一字节处Id为0,不处理前缀情况。之后在对应的参考字符串“sxabc”中找到第一个标记Begin的位置,scanPos=2,并在字符“c”处发现与scanPos Begin编号相同的End结点。拷贝Id、记录下匹配结果后,移动scanPos到下一字节。此时超出了检查的边界,因此结束对第一个编码字符串的处理,该过程跳过对字符串“abc”的再次匹配。
处理第二个编码字符串时,其前一字节处Id为3,是End结点,需要继续扫描编码字符串中字符“bsxa”。在扫描字符“bs”后返回状态为Initial结点,结束前缀情况的处理。之后找出第一个标记Begin的位置,得到scanPos=3,已经到达最后一个字节处,以该位置和初始状态开始新的扫描。该过程跳过对字符“x”的再次匹配。
为说明实际效果,本发明选取真实的压缩流量数据和待匹配字符串进行验证。其中压缩流量为爬虫程序从Alexa Top Sites获取的压缩页面数据,特征如表1所示。另外,待匹配正则表达式为ARCH论文中所使用的Snort24规则集。
表1采集到的压缩流量特征
| Alexa.com | Alexa.cn | |
| 页面数量 | 434 | 13747 |
| 压缩大小(MB) | 15.54 | 226.95 |
| 解压缩后大小(MB) | 70.24 | 1190.99 |
在Intel i5-4460和8G RAM平台下,分别对两组数据集进行匹配分析。本发明与ARCH和Naive方法在该实施例中,匹配过程的吞吐率对比结果如图7所示。从图中可以看出,两组数据中,本发明的吞吐率相较于ACCH和Naive方法均有明显提升。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施方式仅限于此,对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单的推演或替换,都应当视为属于本发明由所提交的权利要求书确定专利保护范围。
Claims (8)
1.一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,核心部件是压缩流量Pairs匹配引擎(101),其包括解码模块(1011)、Pairs匹配算法(1012)和有限状态自动机(1013)三个处理模块,以及处理过程所需的状态记录数据(1014);
压缩流量Pairs匹配引擎(101)使用待匹配正则表达式(103)构建有限状态自动机(1013),之后对压缩流量(102)字节内容进行解码,最后使用Pairs匹配算法(1012)进行匹配,输出匹配结果(104);Pairs匹配算法(1012)使用有限状态自动机(1013)扫描解码后的文本字符串,使用Pairs算法对编码字符串进行处理;
对构造的有限状态自动机(1013)的各个状态进行标记,区分出Initial状态、Begin状态、End状态和Normal状态;同时以待匹配正则表达式(103)的序号,分别对Begin和End状态进行编号,使同一条正则表达式的具有相同的Begin和End状态编号;
其中,在构造非确定性有限状态自动机过程中,非确定性有限状态自动机的起始状态的ε闭包中的所有状态均为Initial状态;通过Initial状态读入待匹配正则表达式(103)的第一个字符所到达的状态为Begin状态;非确定性有限状态自动机的接受状态为End状态,除被标记为Initial、Begin和End状态之外的其他所有非确定性有限状态自动机的状态标记为Normal状态;
非确定性有限状态自动机转换为确定性有限状态自动机过程中,子集中所有非确定性有限状态自动机状态均为Initial状态,则转换后的确定性有限状态自动机状态标记为Initial状态;子集中只要有一个状态为Begin状态或者End状态,则转换后的确定性有限状态自动机状态分别对应标记为Begin状态或者End状态;除被标记为Initial、Begin和End状态之外的其余所有的确定性有限状态自动机的状态标记为Normal状态;
在标记Begin或End编号时,如果同一非确定性有限状态自动机或者确定性有限状态自动机状态对应多条正则表达式,则以可区分的方式标记Begin或End的编号。
2.根据权利要求1所述的一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,可区分的方式包括使用可区分的非确定性有限状态自动机或确定性有限状态自动机,使得每个状态只对应一条正则表达式规则;或者使用bitmap标记多条规则。
3.根据权利要求1所述的一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,使用Pairs算法处理编码字符串时,根据出现的模式起始位置与编码字符串的位置关系,分为前缀和非前缀两种情况进行处理;出现的模式起始于编码字符串之前按前缀处理,出现的模式起始于编码字符串中按非前缀处理。
4.根据权利要求3所述的一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,压缩流量正则表达式匹配引擎中Pairs匹配算法(1012)对编码字符串两种情况进行顺序处理,步骤如下:
按前缀处理时,判断编码字符串前一字节处返回的状态是否为Initial状态,若不是,从编码字符串的开始位置继续进行之前的扫描,直至扫描字符后返回标记为Initial状态的状态,记录结束时候的位置偏移offPos;否则,结束按前缀处理,offPos=0;
按非前缀处理时,找到第一个标记为Begin状态的位置,记为scanPos,之后查找对应的参考字符串偏移scanPos位置之后的状态记录数据(1014),若在scanPos位置之后发现Initial状态或者具有相同自动机状态的Begin状态,则移动scanPos到发现Initial状态或者具有相同自动机状态的Begin状态的位置;若发现End状态,则将此处的匹配信息记录到匹配结果(104),并移动scanPos到发现End状态的位置的下一字节处;检查完成后,拷贝offPos和scanPos之间的状态记录值到编码字符串对应的位置处,并以自动机的初始状态,从scanPos处开始新的自动机匹配扫描。
5.根据权利要求1所述的一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,Pairs匹配算法处理压缩流量时,包括以下步骤:
步骤1,构造匹配引擎:首先,解析待匹配正则表达式(103),构造匹配有限状态自动机(1013),包括确定性有限状态自动机或非确定性有限状态自动机,并标记自动机的各个状态类型;之后申请存储空间,保存处理过程的状态记录数据(1014);
步骤2,解码:读取压缩流量(102)数据,根据不同类型数据,使用静态哈夫曼编码,或者构造哈夫曼编码树,解析压缩数据;将压缩数据解码为两类:文本字符串和编码字符串;
步骤3,Pairs算法处理:对于解码后的文本字符串,直接使用有限状态自动机进行扫描;对于编码字符串,使用Pairs算法进行分类处理;扫描和处理过程中,随时更新状态记录数据(1014)和匹配结果(104);
步骤4,重复步骤2-3,直至处理完所有压缩流量。
6.根据权利要求1所述的一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,所述解码模块(1011),对采用gzip或DEFLATE方法压缩的数据进行哈夫曼解码;解码使得不以字节为边界的压缩流量(102),变为以字节为边界的文本字符串和编码字符串。
7.根据权利要求1所述的一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,所述有限状态自动机(1013),使用现有的自动机构造算法,将正则表达式编译为有限状态自动机(1013),并在构造过程中标记有限状态自动机(1013)状态。
8.根据权利要求1所述的一种加速压缩流量正则表达式匹配的Pairs方法,其特征在于,通过状态记录数据(1014)保存压缩流量Pairs匹配引擎(101)工作过程所使用的状态,以及自动机状态的标记和Begin\End状态的编号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810420111.6A CN108563795B (zh) | 2018-05-04 | 2018-05-04 | 一种加速压缩流量正则表达式匹配的Pairs方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810420111.6A CN108563795B (zh) | 2018-05-04 | 2018-05-04 | 一种加速压缩流量正则表达式匹配的Pairs方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108563795A CN108563795A (zh) | 2018-09-21 |
| CN108563795B true CN108563795B (zh) | 2021-01-19 |
Family
ID=63537769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810420111.6A Active CN108563795B (zh) | 2018-05-04 | 2018-05-04 | 一种加速压缩流量正则表达式匹配的Pairs方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108563795B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110134941A (zh) * | 2019-04-01 | 2019-08-16 | 贵州力创科技发展有限公司 | 一种复合表达式解析方法及系统 |
| CN111177491B (zh) * | 2019-12-31 | 2023-08-25 | 奇安信科技集团股份有限公司 | 正则表达式的匹配方法、装置、电子设备及存储介质 |
| CN114168808A (zh) * | 2021-11-22 | 2022-03-11 | 中核核电运行管理有限公司 | 基于正则表达式的文档字符串编码识别方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008073824A1 (en) * | 2006-12-08 | 2008-06-19 | Pandya Ashish A | Dynamic programmable intelligent search memory |
| CN103023511A (zh) * | 2012-12-05 | 2013-04-03 | 云之朗科技有限公司 | 一种应用的压缩编码方法及装置 |
| CN103729452A (zh) * | 2013-12-31 | 2014-04-16 | 杭州华为数字技术有限公司 | 一种规则匹配方法及装置 |
| CN107277109A (zh) * | 2017-05-18 | 2017-10-20 | 西安交通大学 | 针对压缩流量的多字符串匹配方法 |
-
2018
- 2018-05-04 CN CN201810420111.6A patent/CN108563795B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008073824A1 (en) * | 2006-12-08 | 2008-06-19 | Pandya Ashish A | Dynamic programmable intelligent search memory |
| CN103023511A (zh) * | 2012-12-05 | 2013-04-03 | 云之朗科技有限公司 | 一种应用的压缩编码方法及装置 |
| CN103729452A (zh) * | 2013-12-31 | 2014-04-16 | 杭州华为数字技术有限公司 | 一种规则匹配方法及装置 |
| CN107277109A (zh) * | 2017-05-18 | 2017-10-20 | 西安交通大学 | 针对压缩流量的多字符串匹配方法 |
Non-Patent Citations (1)
| Title |
|---|
| 压缩流量的深度包检测技术研究综述;邝劲松 等;《网络安全技术与应用》;20150630;第117-120页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108563795A (zh) | 2018-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4456554B2 (ja) | データ圧縮方法及び圧縮データ送信方法 | |
| US8458354B2 (en) | Multi-pattern matching in compressed communication traffic | |
| CN108563795B (zh) | 一种加速压缩流量正则表达式匹配的Pairs方法 | |
| US9280600B2 (en) | Method and system for decompression-free inspection of shared dictionary compressed traffic over HTTP | |
| US8120516B2 (en) | Data compression using a stream selector with edit-in-place capability for compressed data | |
| JP4653381B2 (ja) | 構造化文書の圧縮/解凍方法 | |
| RU2608464C2 (ru) | Устройство, способ и сетевой сервер для обнаружения структур данных в потоке данных | |
| US6831575B2 (en) | Word aligned bitmap compression method, data structure, and apparatus | |
| US20030030575A1 (en) | Lossless data compression | |
| CN108156173A (zh) | 一种json数据包的动态无损压缩方法 | |
| CN107277109B (zh) | 针对压缩流量的多字符串匹配方法 | |
| CN109981599B (zh) | 一种通讯数据流的通用数据解析平台及方法 | |
| US8774194B2 (en) | Method and apparatus for a high-speed frame tagger | |
| CN110865970B (zh) | 一种基于fpga平台的压缩流量模式匹配引擎及模式匹配方法 | |
| CN103346800B (zh) | 一种数据压缩方法及装置 | |
| CN115630343B (zh) | 一种电子文档信息的处理方法、装置及设备 | |
| CN108573069B (zh) | 一种加速压缩流量正则表达式匹配的Twins方法 | |
| CN109150962A (zh) | 一种通过关键字快速识别http请求头的方法 | |
| Bremler-Barr et al. | Decompression-free inspection: Dpi for shared dictionary compression over http | |
| CN113065419B (zh) | 一种基于流量高频内容的模式匹配算法及系统 | |
| CN114338437A (zh) | 网络流量分类方法、装置、电子设备及存储介质 | |
| Sun et al. | Towards a fast regular expression matching method over compressed traffic | |
| JP2007129683A (ja) | 圧縮データ送信方法 | |
| CN110647578A (zh) | 页面信息同步显示的方法、装置、计算机设备和存储介质 | |
| CN115883263B (zh) | 基于多尺度载荷语义挖掘的加密应用协议类型识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |