CN114285624A - 攻击报文识别方法、装置、网络设备和存储介质 - Google Patents

Abstract

本公开提供了一种攻击报文识别方法、装置、网络设备和存储介质，涉及网络安全技术领域。其中，攻击报文识别方法包括：构建防火墙特征库；响应于接收到的报文，识别报文的应用协议类型；基于应用协议类型对报文进行细粒度切分，生成多个切片；确定与切片对应的多模式转向表，并基于多模式匹配模型检测切片是否命中多模式转向表中的第一模式字符串；在检测到切片命中第一模式字符串时，基于单模式匹配模型检测切片是否命中单模式特征表中的第二模式字符串；在检测到命中第二模式字符串时，确定报文为攻击报文。通过本公开的技术方案，有利于简化防火墙的防护处理流程，以及有利于提升对云防火墙中应用协议内容防护的能力。

Description

攻击报文识别方法、装置、网络设备和存储介质

技术领域

本公开涉及网络安全技术领域，尤其涉及一种攻击报文识别方法、攻击报文识别装置、网络设备、用户终端和计算机可读存储介质。

背景技术

在网络传输中，通常使用的传统防火墙的基本原理是根据IP信息(地址或端口号)或协议标识符进行网络流量的识别和分类，并进一步执行相关的策略，因此从防火墙的角度看到的所有基于应用程序的网络流量完全一样，无法对应用程序进行区分，更无法区分哪些那些应用程序不当或不需要或不被允许，因此需要防火墙具备应用程序识别的能力，以及对需要进行防护的应用程序的防护能力，必须具备，识别出需要进行防护的应用，进行精确过滤防护。

相关技术中，使用基于扫描引擎加特征的防护方式，开启应用识别和应用防护，但是在应用过程中存在以下缺陷：(1)该防护方式处理流程较多，影响流量传输速率，并造成指数级降低；(2)对流量报文进行特征匹配，基于匹配结果确定流量是否为威胁，也就是说防护的准确率依据特征匹配的准确率，而匹配的准确性有待提高。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开的目的在于提供一种攻击报文识别方法、装置、网络设备、终端和存储介质，至少在一定程度上克服由于相关技术中基于扫描引擎加特征的防护方式影响流量传输速率以及威胁检测精确度不够高的问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一个方面，提供一种攻击报文识别方法，包括：构建防火墙特征库，所述防火墙特征库包括多模式转向表和单模式特征表；响应于接收到的报文，识别所述报文的应用协议类型；基于所述应用协议类型对所述报文进行细粒度切分，生成多个切片；确定与所述切片对应的所述多模式转向表，并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的第一模式字符串；在检测到所述切片命中所述第一模式字符串时，基于单模式匹配模型检测所述切片是否命中所述单模式特征表中的第二模式字符串；在检测到命中所述第二模式字符串时，确定所述报文为攻击报文。

在一个实施例中，所述构建防火墙特征库，具体包括：基于AC自动机对收集到的每条防火墙特征进行扫描，基于扫描结果生成对应的多模式转向表；基于每条所述防火墙特征生成对应的坏字符表和好后缀表；基于所述坏字符表和所述好后缀表生成所述单模式特征表；基于所述多模式转向表和所述单模式特征表生成所述防火墙特征库。

在一个实施例中，所述基于AC自动机对收集到的每条防火墙特征进行扫描，基于扫描结果生成对应的多模式转向表，具体包括：基于AC自动机对收集到的每条防火墙特征进行扫描，生成对应的多个模式串；为所述防火墙特征配置位置属性，基于所述位置属性配置在初始树结构的对应位置添加所述模式串，以构造出goto转向表；基于所述goto转向表中的转向节点进行编译操作，生成所述转向节点的失败态节点；将所述失败态节点添加至所述goto转向表，生成所述AC引擎树；对所述AC引擎树的状态节点基于广度优先搜索重新进行排序，生成所述多模式转向表，所述状态节点包括所述转向节点和所述失败态节点。

在一个实施例中，所述对所述AC引擎树的状态节点基于广度优先搜索重新进行排序，生成所述多模式转向表，具体包括：基于所述转向节点和所述失败态节点进行广度优先搜索；基于搜索结果对所述转向节点和所述失败态节点进行重新排序，基于排序结果生成所述多模式转向表；以及基于所述多模式转向表的节点数量确定所述多模式转向表的存储类型，以基于所述存储类型进行存储。

在一个实施例中，所述基于所述多模式转向表的节点数量确定所述多模式转向表的存储类型，具体包括：基于所述多模式转向表的节点数量确定匹配的数据类型；确定所述匹配的数据类型中最小数据类型；基于所述最小数据类型确定所述存储类型。

在一个实施例中，所述确定与所述切片对应的所述多模式转向表，并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的第一模式字符串，具体包括：将所述切片的起始位置作为匹配起点，基于所述匹配起点从所述多模式转向表的初始节点起执行状态跳转；在每跳转至下一所述转向节点时，检测是否具有匹配的所述第一模式字符串；在检测到具有匹配的所述第一模式字符串时，确定所述切片命中所述第一模式字符串；在继续检测到不存在可跳转的所述转向节点时，转移到对应的所述失败态节点，在基于所述广度优先搜索遍历所述状态节点，确定不存在非0的转移方案时，转移至所述切片的下一位置，在转移至所述切片的终点位置，均不具有匹配的所述第一模式字符串时，确定所述报文为非攻击报文。

在一个实施例中，所述在检测到所述切片命中所述第一模式字符串时，基于单模式匹配模型检测所述切片是否命中所述单模式特征表中的第二模式字符串，具体包括：在检测到所述切片命中所述第一模式字符串时，将所述切片与所述防火墙特征执行匹配操作；在检测到匹配失败的位置时，基于所述匹配失败的位置在所述好后缀表中查找第一偏移距离；在所述坏字符表中确定所述匹配失败的位置对应的索引；基于所述索引确定第二偏移距离；将所述第一偏移距离和所述第二偏移距离中的较大值确定为实际偏移距离；基于所述实际偏移距离滑动所述切片至防火墙特征的下一匹配位置，直至检测到匹配成功的位置时，确定所述切片命中所述第二模式字符串；在遍历整个所述防火墙特征未查找到所述匹配成功的位置时，确定所述切片未命中所述第二模式字符串，所述报文为非攻击报文。

在一个实施例中，所述应用协议类型包括DNS协议、FTP协议、SMTP协议、HTTP协议、SNMP协议和Telnet协议中的任意一种。

根据本公开的另一个方面，提供一种攻击报文识别装置，包括：构建模块，用于构建防火墙特征库，所述防火墙特征库包括多模式转向表和单模式特征表；识别模块，用于响应于接收到的报文，识别所述报文的应用协议类型；切分模块，用于基于所述应用协议类型对所述报文进行细粒度切分，生成多个切片；第一匹配模块，用于确定与所述切片对应的所述多模式转向表，并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的第一模式字符串；第二匹配模块，在检测到所述切片命中所述第一模式字符串时，基于单模式匹配模型检测所述切片是否命中所述单模式特征表中的第二模式字符串；确定模块，用于在检测到命中所述第二模式字符串时，确定所述报文为攻击报文。

根据本公开的再一个方面，提供一种网络设备，包括：处理器；以及存储器，用于存储处理器的可执行指令；其中，处理器配置为经由执行可执行指令来执行上述技术方案中任意一项的所述的攻击报文识别方法。

根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的攻击报文识别方法。

本公开的实施例所提供的攻击报文识别方法和装置，通过基于防火墙特征构造多模式转向表和单模式特征表，以由多模式转向表和单模式特征表构成防火墙特征库作为扫描引擎，实现了防火墙特征与扫描引擎之间的关联，在接收到报文时，对对报文进行细粒度切分，基于切分生成的切片以及生成的多模式转向表之间的多模式匹配操作，能够明确特征的模式字符串出现在何种协议的哪个部分才是攻击行为，对于任一切片，在检测到多模式转向表中具有与该切片匹配的第一模式字符串时，进一步基于单模式特征表对该切片执行单模式匹配操作，如果具有该切片匹配的第二模式字符串，则可以表明该报文为攻击报文，通过基于多模式转向表和单模式特征表对扫描隐情的优化，结合对报文的细粒度切分，以及包括多模式匹配与单模式匹配的二次检测，一方面，有利于简化防火墙的防护处理流程，防止流量传输速率大幅下降，另一方面，能够提升对报文中威胁的识别精度，再一方面，通过对应用协议类型的识别，完善了对应用协议的防护能力，从而提升了对云防火墙中应用协议内容防护的能力。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本公开实施例中一种攻击报文识别方法的流程图；

图2示出本公开实施例中另一种攻击报文识别方法的流程图；

图3示出本公开实施例中再一种攻击报文识别方法的流程图；

图4示出本公开实施例中又一种攻击报文识别方法的流程图；

图5示出本公开实施例中又一种攻击报文识别方法的流程图；

图6示出本公开实施例中又一种攻击报文识别方法的流程图；

图7示出本公开实施例中又一种攻击报文识别方法的流程图；

图8示出本公开实施例中又一种攻击报文识别方法的流程图；

图9示出本公开实施例中一种攻击报文识别装置的示意图；

图10示出本公开实施例中一种网络设备的结构框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

本申请提供的方案，通过基于防火墙特征构造多模式转向表和单模式特征表，以由多模式转向表和单模式特征表构成防火墙特征库作为扫描引擎，实现了防火墙特征与扫描引擎之间的关联，在接收到报文时，对对报文进行细粒度切分，基于切分生成的切片以及生成的多模式转向表之间的多模式匹配操作，能够明确特征的模式字符串出现在何种协议的哪个部分才是攻击行为，对于任一切片，在检测到多模式转向表中具有与该切片匹配的第一模式字符串时，进一步基于单模式特征表对该切片执行单模式匹配操作，如果具有该切片匹配的第二模式字符串，则可以表明该报文为攻击报文，通过基于多模式转向表和单模式特征表对扫描隐情的优化，结合对报文的细粒度切分，以及包括多模式匹配与单模式匹配的二次检测，一方面，有利于简化防护处理流程，防止流量传输速率大幅下降，另一方面，能够提升对报文中威胁的识别精度，再一方面，通过对应用协议类型的识别，完善了对应用协议的防护能力，从而提升了对云防火墙中应用协议内容防护的能力。

为了便于理解，下面首先对本申请涉及到的名词(缩写词)进行解释。

AC算法，Aho-Corasick自动机算法(简称AC自动机)，是一种多模式匹配算法，该算法应用有限自动机巧妙地将字符比较转化为了状态转移，可以保证对于给定的长度为n的文本，和模式集合P{p1,p2,...pm}，在O(n)时间复杂度内，找到文本中的所有目标模式，而与模式集合的规模m无关。具体地，基于字符串输入，使状态机进行状态的转换，当到达某些特定的状态时，说明发生模式匹配。

BM(Boyer-Moore)算法，为一种单模式匹配算法，BM算法定义了两个规则，好后缀规则和坏字符规则，利用好后缀和坏字符可以大大加快模式串的移动距离，在获得了更大的跳转幅度的同时，也能保证匹配的正确性。

下面，将结合附图及实施例对本示例实施方式中的攻击报文识别方法的各个步骤进行更详细的说明。

如图1所示，根据本公开的一个实施例的攻击报文识别方法，包括：

步骤S102，构建防火墙特征库，防火墙特征库包括多模式转向表和单模式特征表。

步骤S104，响应于接收到的报文，识别报文的应用协议类型。

在一个实施例中，应用协议类型包括DNS协议、FTP协议、SMTP协议、HTTP协议、SNMP协议和Telnet协议中的任意一种。

应用层协议如下：

(1)域名系统(Domain Name System，DNS)：用于实现网络设备名字到IP地址映射的网络服务。

(2)文件传输协议(File Transfer Protocol，FTP)：用于实现交互式文件传输功能。

(3)简单邮件传送协议(Simple Mail Transfer Protocol,SMTP)：用于实现电子邮箱传送功能。

(4)超文本传输协议(HyperText Transfer Protocol，HTTP)：用于实现WWW服务。

(5)简单网络管理协议(simple Network Management Protocol，SNMP)：用于管理与监视网络设备。

(6)远程登录协议(Telnet)：用于实现远程登录功能。

步骤S106，基于应用协议类型对报文进行细粒度切分，生成多个切片。

步骤S108，确定与切片对应的多模式转向表，并基于多模式匹配模型检测切片是否命中多模式转向表中的第一模式字符串。

其中，多模式匹配模型具体可以为AC算法模型，通过基使用AC状态机扫描一次防火墙特征，能够得到所有防火墙特征中的模式字符串，以进一步生成多模式转向表。

基于对报文进行细粒度切分以及生成的多模式转向表之间的多模式匹配，能够明确特征的模式字符串出现在何种协议的哪个部分才是攻击行为，并且丰富攻击行为的验证。

多模式转向表具体为将现有的goto表进行优化后生成的转向表。

步骤S110，在检测到切片命中第一模式字符串时，基于单模式匹配模型检测切片是否命中单模式特征表中的第二模式字符串。

单模式匹配模型具体可以为KMP算法模型或BM算法模型，在本公开张，优选BM算法模型，BM算法是一种高效的在目标字符串中查找是否有单个模式字符串存在的字符串查找算法。

具体地，通过进一步增加了基于BM的单字符串匹配，在命中AC的特征的基础上，再验证，是否也适配存在于BM中的模式字符串，二者皆具备，才表明命中威胁。

步骤S112，在检测到命中第二模式字符串时，确定报文为攻击报文。

在该实施例中，通过基于防火墙特征构造多模式转向表和单模式特征表，以由多模式转向表和单模式特征表构成防火墙特征库作为扫描引擎，实现了防火墙特征与扫描引擎之间的关联，在接收到报文时，对对报文进行细粒度切分，基于切分生成的切片以及生成的多模式转向表之间的多模式匹配操作，能够明确特征的模式字符串出现在何种协议的哪个部分才是攻击行为，对于任一切片，在检测到多模式转向表中具有与该切片匹配的第一模式字符串时，进一步基于单模式特征表对该切片执行单模式匹配操作，如果具有该切片匹配的第二模式字符串，则可以表明该报文为攻击报文，通过基于多模式转向表和单模式特征表对扫描隐情的优化，结合对报文的细粒度切分，以及包括多模式匹配与单模式匹配的二次检测，一方面，有利于简化防护处理流程，防止流量传输速率大幅下降，另一方面，能够提升对报文中威胁的识别精度，再一方面，通过对应用协议类型的识别，完善了对应用协议的防护能力，从而提升了对云防火墙中应用协议内容防护的能力。

如图2所示，在一个实施例中，步骤S102中，构建防火墙特征库的一种具体实现方式，包括：

步骤S202，基于AC自动机对收集到的每条防火墙特征进行扫描，基于扫描结果生成对应的多模式转向表。

其中，防火墙特征具体为具有防御属性的特征，也就是说，如果接收到的报文生成的切片与防火墙特征能够匹配时，表明该报文需要拦截，即该报文为攻击报文。

步骤S204，基于每条防火墙特征生成对应的坏字符表和好后缀表。

步骤S206，基于坏字符表和好后缀表生成单模式特征表。

具体地，坏字符表的定义为，对于输入字符集合中的字符c，如果c不在模式串中，则delta1[c]＝patlen(模式串的长度)，如果c在模式串中，则delta1[c]＝j-i，其中，j是模式串最末元素的索引值，i是字符c在模式串中最右出现的位置。

另外，部分匹配成功的字符串被称为为好后缀，通过找出好后缀的所有后缀子串、找出模式串的所有前缀子串，然后找到好后缀中最长的能和模式串的前缀子串匹配的后缀子串，从而实现在模式串中找到另外的对应匹配的字符。

步骤S208，基于多模式转向表和单模式特征表生成防火墙特征库。

在该实施例中，通过基于AC对收集到的每条防火墙特征进行扫描，能够得到该防火墙特征对应的多模式转向表，结合基于坏字符表和好后缀表生成的单模式特征表，得到防火墙特征库，基于该防火墙特征库生成的扫描引擎，能够保证对攻击报文识别的可靠性。

如图3所示，在一个实施例中，步骤S202中，基于AC自动机对收集到的每条防火墙特征进行扫描，基于扫描结果生成对应的多模式转向表的一种具体实现方式，包括：

步骤S302，基于AC自动机对收集到的每条防火墙特征进行扫描，生成对应的多个模式串。

具体地，在预处理阶段，AC自动机建立了三个函数，包括转向函数goto，失效函数failure和输出函数output，以构造树型有限自动机。

转向函数，指的是一种状态之间的转向关系，g(pre,x)＝next：状态pre在输入一个字符x后转换为状态next，如果在模式串中不存在这样的转换，则next＝failstate。

失效函数，指的也是状态和状态之间一种转向关系。f(per)＝next：是在比较失配的情况下使用的转换关系。在构造转向函数时，把不存在的转换用failstate表示，但是状态机转换到failstate状态的时候不知道如何转向，因此所以就要在状态机中找到一个有意义的状态代替failstate，当出现failstate状态时，自动切换到该状态，该状态节点即为失败态节点。

输出函数，指在匹配成功时，输出模式串。

步骤S304，为防火墙特征配置位置属性，基于位置属性配置在初始树结构的对应位置添加模式串，以构造出goto转向表。

通过将goto表精细拆分，减小每个goto表的规模，进一步和特征关联，建立基于不同特征的多个goto表，使每个goto表的规模降低。

具体地，防火墙特征配置位置属性，具体实现过程包括：

具体地，对于给定的集合P{p1,p2,...pm}，构建goto表的步骤包括：对于P中的每一个模式pi[1...j](1<＝i<m+1)，按照其包含的字母从前到后依次输入自动机，起始状态D[0]，如果自动机的当前状态D[p]，对于pi中的当前字母pi[k](1<＝k<＝j)，没有可用的转移，则将状态机的总状态数smax+1，并将当前状态输入pi[k]后的转移位置，置为D[p][pi[k]]＝smax，如果存在可用的转移方案D[p][pi[k]]＝q，则转移到状态D[q]，同时取出模式串的下一个字母pi[k+1]，继续进行上面的判断过程。这里我们所说的没有可用的转移方案，等同于转移到状态机D的初始状态D[0]，即对于自动机状态D[p]，输入字符pi[k]，有D[p][pi[k]]＝0。

步骤S306，基于goto转向表中的转向节点进行编译操作，生成转向节点的失败态节点。

失败态节点的特征具体为：从这个状态节点向上直到树根节点(状态0)所经历的输入字符，和从产生failstate状态的那个状态节点向上所经历的输入字符串完全相同。而且这个状态节点，是所有具备这些条件的节点中深度最大的那个节点。如果不存在满足条件的状态节点，则失效函数为0。

对于模式串she，其在字母e之后发生了匹配失败，此时其对应的模式串(回溯到状态D[0])就是she。对于she来说，它有两个包含后缀(除字符串自身外的所有后缀)，he和e，对于后缀he，将其输入自动机D，从状态D[0]可以转移到状态D[2]，对于后缀e，没有可行的状态转移方案。所以对于状态D[5]，如果对于新输入的字符c没有可行的转移方案，我们可以跳转到状态D[2]，考察D[2][c]是否等于0。

步骤S308，将失败态节点添加至goto转向表，生成AC引擎树。

步骤S310，对AC引擎树的状态节点基于广度优先搜索重新进行排序，生成多模式转向表，状态节点包括转向节点和失败态节点。

在该实施例中，由于原始goto表中状态ID基于深度优先搜索申请，在goto表中扫描目标字符串时，跳跃会比较大，memory cache-miss会较大，导致影响效率，通过采用广度优先搜索对状态ID进行ID重排，目标字符串在goto表中扫描时，状态间跳跃不会跨较大幅度的状态行，从而能够降低memory cache-miss，提高扫描处理效率。

如图4所示，在一个实施例中，步骤S310中，对AC引擎树的状态节点基于广度优先搜索重新进行排序，生成多模式转向表的一种具体实现方式，包括：

步骤S402，基于转向节点和失败态节点进行广度优先搜索。

步骤S404，基于搜索结果对转向节点和失败态节点进行重新排序，基于排序结果生成多模式转向表。

步骤S406，基于多模式转向表的节点数量确定多模式转向表的存储类型，以基于存储类型进行存储。

在一个实施例中，基于多模式转向表的节点数量确定多模式转向表的存储类型，具体包括：基于多模式转向表的节点数量确定匹配的数据类型；确定匹配的数据类型中最小数据类型；基于最小数据类型确定存储类型。

在该实施例中，根据多模式转向表的状态规格，确定在内存中多模式转向表的存储类型，例如在4个字节的整型和2个字节的短整型都满足状态规格的情况下，则选最小的数据类型，即短整作为存储类型，有利于减少占用的内存空间，优化memory cache-miss，提高检测速率。

如图5所示，根据本公开的一个实施例的防火墙特征库的构建方法，具体包括：

步骤S502，对每条防火墙特征进行处理。

步骤S504，基于AC自动机对防火墙特征进行扫描，生成对应的多个模式串，并形成初始树结构。

步骤S506，基于每个模式串的位置属性，在初始树结构对应的位置添加模式串对应的AC树，构造出goto表。

步骤S508，基于goto转向表中的转向节点进行编译操作，生成转向节点的失败态节点。

步骤S510，将失败态节点添加至goto转向表，生成AC引擎树。

步骤S512，对AC引擎树的状态节点基于广度优先搜索重新进行排序，生成多模式转向表。

步骤S514，基于BM算法生成每条防火墙特征对应的坏字符表和好后缀表。

步骤S518，基于坏字符表和好后缀表生成单模式特征表。

步骤S518，基于多模式转向表和单模式特征表生成防火墙特征库。

如图6所示，在一个实施例中，步骤S108，确定与切片对应的多模式转向表，并基于多模式匹配模型检测切片是否命中多模式转向表中的第一模式字符串的一种具体实现方式，包括：

步骤S602，将切片的起始位置作为匹配起点，基于匹配起点从多模式转向表的初始节点起执行状态跳转。

步骤S604，在每跳转至下一转向节点时，检测是否具有匹配的第一模式字符串。

步骤S606，在检测到具有匹配的第一模式字符串时，确定切片命中第一模式字符串。

步骤S608，在继续检测到不存在可跳转的转向节点时，转移到对应的失败态节点，在基于广度优先搜索遍历状态节点，确定不存在非0的转移方案时，转移至切片的下一位置，在转移至切片的终点位置，均不具有匹配的第一模式字符串时，确定报文为非攻击报文。

如图7所示，在一个实施例中，步骤S110，在检测到切片命中第一模式字符串时，基于单模式匹配模型检测切片是否命中单模式特征表中的第二模式字符串的一种具体实现方式，包括：

步骤S702，在检测到切片命中第一模式字符串时，将切片与防火墙特征执行匹配操作。

步骤S704，在检测到匹配失败的位置时，基于匹配失败的位置在好后缀表中查找第一偏移距离。

步骤S706，在坏字符表中确定匹配失败的位置对应的索引。

步骤S708，基于索引确定第二偏移距离。

步骤S710，将第一偏移距离和第二偏移距离中的较大值确定为实际偏移距离。

步骤S712，基于实际偏移距离滑动切片至防火墙特征的下一匹配位置，直至检测到匹配成功的位置时，确定切片命中第二模式字符串。

步骤S714，在遍历整个防火墙特征未查找到匹配成功的位置时，确定切片未命中第二模式字符串，报文为非攻击报文。

具体地，将切片[1]与防火墙特征[1]对齐，然后从防火墙特征[j]向前依次执行匹配操作。如果在切片[i]位置发现匹配失败，则在好后缀表里用i查找偏移距离goods[i]，在坏字符表中用防火墙特征[i]做索引，查找偏移距离badc[防火墙特征[i]]，假设前者返回的值为p，后者返回的值为q，这时我们取其中的较大者(假设为p)，然后将切片[j]与防火墙特征[i+p]对齐，然后依次向前匹配，直到发现匹配，或者遍历整个防火墙特征字符串没有找到目标切片为止。下面是BM算法的实现代码，该算法与之前KMP算法一样，都进行了扩展，可以找到目标串中的所有匹配切片。

在该实施例中，本发明优化AC多模匹配处理引擎，在相同特征规模下，处理引擎所占系统资源更小，处理速度更快；

本发明通过增加bm处理，实现更精确的对应用协议的攻击识别；

本发明通过特征在应用协议的精确定位，实现精确的扫描处理，提高了扫描处理的效率和准确率。

如图8所示，根据本公开的另一个实施例的攻击报文识别方法，具体包括：

步骤S802，进行特征库特征设计，增加对应位置的位置属性loc。

步骤S804，解析特征库，根据每条特征的ac部分的模式，加入该loc对应的AC引擎树，根据每条特征的bm部分生成该特征对应的坏字符和好后缀。

步骤S806，每个AC引擎树经过编译，生成各个状态节点的失败态节点。

步骤S808，对AC引擎树的状态节点，进行广度优先进行状态ID重排序。

步骤S810，根据AC引擎树的状态节点个数，确定goto表的保存数据类型，将广度优先的状态id加入该goto表，生成多模式转向表。

步骤S812，接收到报文时，识别出报文的应用协议类型。

步骤S814，根据应用协议类型的规范，对协议各个子部分进行识别和记录，每个切片在对应的AC的多模式转向表进行过滤处理。

步骤S816，如果检测到切片未命中多模式转向表中的第一模式字符串，确定该报文为非攻击报文，放行。

步骤S818，如果检测到切片命中多模式转向表中的第一模式字符串时，对切片进行BM匹配查找。

步骤S820，检测是否命中BM的单匹配特征表中的第二模式字符串，若“是”，进入步骤S822，若“否”，进入步骤S824。

步骤S822，命中成功，确定报文是攻击报文。

步骤S824，确定报文是非攻击报文。

需要注意的是，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图9来描述根据本发明的这种实施方式的一种攻击报文识别装置900。图9所示的攻击报文识别装置900仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

攻击报文识别装置900以硬件模块的形式表现。攻击报文识别装置900的组件可以包括但不限于：构建模块902，用于构建防火墙特征库，防火墙特征库包括多模式转向表和单模式特征表；识别模块904，用于响应于接收到的报文，识别报文的应用协议类型；切分模块906，用于基于应用协议类型对报文进行细粒度切分，生成多个切片；第一匹配模块908，用于确定与切片对应的多模式转向表，并基于多模式匹配模型检测切片是否命中多模式转向表中的第一模式字符串；第二匹配模块910，在检测到切片命中第一模式字符串时，基于单模式匹配模型检测切片是否命中单模式特征表中的第二模式字符串；确定模块912，用于在检测到命中第二模式字符串时，确定报文为攻击报文。

在一个实施例中，构建模块902还用于：基于AC自动机对收集到的每条防火墙特征进行扫描，基于扫描结果生成对应的多模式转向表；基于每条防火墙特征生成对应的坏字符表和好后缀表；基于坏字符表和好后缀表生成单模式特征表；基于多模式转向表和单模式特征表生成防火墙特征库。

在一个实施例中，构建模块902还用于：基于AC自动机对收集到的每条防火墙特征进行扫描，生成对应的多个模式串；为防火墙特征配置位置属性，基于位置属性配置在初始树结构的对应位置添加模式串，以构造出goto转向表；基于goto转向表中的转向节点进行编译操作，生成转向节点的失败态节点；将失败态节点添加至goto转向表，生成AC引擎树；对AC引擎树的状态节点基于广度优先搜索重新进行排序，生成多模式转向表，状态节点包括转向节点和失败态节点。

在一个实施例中，构建模块902还用于：基于转向节点和失败态节点进行广度优先搜索；基于搜索结果对转向节点和失败态节点进行重新排序，基于排序结果生成多模式转向表；以及基于多模式转向表的节点数量确定多模式转向表的存储类型，以基于存储类型进行存储。

在一个实施例中，构建模块902还用于：基于多模式转向表的节点数量确定匹配的数据类型；确定匹配的数据类型中最小数据类型；基于最小数据类型确定存储类型。

在一个实施例中，第一匹配模块908还用于：将切片的起始位置作为匹配起点，基于匹配起点从多模式转向表的初始节点起执行状态跳转；在每跳转至下一转向节点时，检测是否具有匹配的第一模式字符串；在检测到具有匹配的第一模式字符串时，确定切片命中第一模式字符串；在继续检测到不存在可跳转的转向节点时，转移到对应的失败态节点，在基于广度优先搜索遍历状态节点，确定不存在非0的转移方案时，转移至切片的下一位置，在转移至切片的终点位置，均不具有匹配的第一模式字符串时，确定报文为非攻击报文。

在一个实施例中，第二匹配模块910还用于：在检测到切片命中第一模式字符串时，将切片与防火墙特征执行匹配操作；在检测到匹配失败的位置时，基于匹配失败的位置在好后缀表中查找第一偏移距离；在坏字符表中确定匹配失败的位置对应的索引；基于索引确定第二偏移距离；将第一偏移距离和第二偏移距离中的较大值确定为实际偏移距离；基于实际偏移距离滑动切片至防火墙特征的下一匹配位置，直至检测到匹配成功的位置时，确定切片命中第二模式字符串；在遍历整个防火墙特征未查找到匹配成功的位置时，确定切片未命中第二模式字符串，报文为非攻击报文。

如图10所示，网络设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于：上述至少一个处理单元1010、上述至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元1010执行，使得所述处理单元1010执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元1010可以执行如图5中所示的步骤S102至步骤S112所描述的方案。

存储单元1020可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202，还可以进一步包括只读存储单元(ROM)10203。

存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204，这样的程序模块10205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线1030可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备1000也可以与一个或多个外部设备1060(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备1000交互的设备通信，和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1040进行。并且，电子设备1000还可以通过网络适配器1050与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器1050通过总线1030与电子设备1000的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备1000使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

根据本发明的实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。

Claims (11)

1.一种攻击报文识别方法，其特征在于，包括：

构建防火墙特征库，所述防火墙特征库包括多模式转向表和单模式特征表；

响应于接收到的报文，识别所述报文的应用协议类型；

基于所述应用协议类型对所述报文进行细粒度切分，生成多个切片；

确定与所述切片对应的所述多模式转向表，并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的第一模式字符串；

在检测到所述切片命中所述第一模式字符串时，基于单模式匹配模型检测所述切片是否命中所述单模式特征表中的第二模式字符串；

在检测到命中所述第二模式字符串时，确定所述报文为攻击报文。

2.根据权利要求1所述的攻击报文识别方法，其特征在于，所述构建防火墙特征库，具体包括：

基于AC自动机对收集到的每条防火墙特征进行扫描，基于扫描结果生成对应的所述多模式转向表；

基于每条所述防火墙特征生成对应的坏字符表和好后缀表；

基于所述坏字符表和所述好后缀表生成所述单模式特征表；

基于所述多模式转向表和所述单模式特征表生成所述防火墙特征库。

3.根据权利要求2所述的攻击报文识别方法，其特征在于，所述基于AC自动机对收集到的每条防火墙特征进行扫描，基于扫描结果生成对应的所述多模式转向表，具体包括：

基于所述AC自动机对所述每条防火墙特征进行扫描，生成对应的多个模式串；

为所述防火墙特征配置位置属性，基于所述位置属性配置在初始树结构的对应位置添加所述模式串，以构造出goto转向表；

基于所述goto转向表中的转向节点进行编译操作，生成所述转向节点的失败态节点；

将所述失败态节点添加至所述goto转向表，生成所述AC引擎树；

对所述AC引擎树的状态节点基于广度优先搜索重新进行排序，生成所述多模式转向表，所述状态节点包括所述转向节点和所述失败态节点。

4.根据权利要求2所述的攻击报文识别方法，其特征在于，所述对所述AC引擎树的状态节点基于广度优先搜索重新进行排序，生成所述多模式转向表，具体包括：

基于所述转向节点和所述失败态节点进行广度优先搜索；

基于搜索结果对所述转向节点和所述失败态节点进行重新排序，基于排序结果生成所述多模式转向表；以及

基于所述多模式转向表的节点数量确定所述多模式转向表的存储类型，以基于所述存储类型进行存储。

5.根据权利要求4所述的攻击报文识别方法，其特征在于，所述基于所述多模式转向表的节点数量确定所述多模式转向表的存储类型，具体包括：

基于所述多模式转向表的节点数量确定匹配的数据类型；

确定所述匹配的数据类型中最小数据类型；

基于所述最小数据类型确定所述存储类型。

6.根据权利要求4所述的攻击报文识别方法，其特征在于，所述确定与所述切片对应的所述多模式转向表，并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的第一模式字符串，具体包括：

将所述切片的起始位置作为匹配起点，基于所述匹配起点从所述多模式转向表的初始节点起执行状态跳转；

在每跳转至下一所述转向节点时，检测是否具有匹配的所述第一模式字符串；

在检测到具有匹配的所述第一模式字符串时，确定所述切片命中所述第一模式字符串；

在继续检测到不存在可跳转的所述转向节点时，转移到对应的所述失败态节点，在基于所述广度优先搜索遍历所述状态节点，确定不存在非0的转移方案时，转移至所述切片的下一位置，在转移至所述切片的终点位置，均不具有匹配的所述第一模式字符串时，确定所述报文为非攻击报文。

7.根据权利要求2所述的攻击报文识别方法，其特征在于，所述在检测到所述切片命中所述第一模式字符串时，基于单模式匹配模型检测所述切片是否命中所述单模式特征表中的第二模式字符串，具体包括：

在检测到所述切片命中所述第一模式字符串时，将所述切片与所述防火墙特征执行匹配操作；

在检测到匹配失败的位置时，基于所述匹配失败的位置在所述好后缀表中查找第一偏移距离；

在所述坏字符表中确定所述匹配失败的位置对应的索引；

基于所述索引确定第二偏移距离；

将所述第一偏移距离和所述第二偏移距离中的较大值确定为实际偏移距离；

基于所述实际偏移距离滑动所述切片至所述防火墙特征的下一匹配位置，直至检测到匹配成功的位置时，确定所述切片命中所述第二模式字符串；

在遍历整个所述防火墙特征未查找到所述匹配成功的位置时，确定所述切片未命中所述第二模式字符串，所述报文为非攻击报文。

8.根据权利要求1至7中任一项所述的攻击报文识别方法，其特征在于，

所述应用协议类型包括DNS协议、FTP协议、SMTP协议、HTTP协议、SNMP协议和Telnet协议中的任意一种。

9.一种攻击报文识别装置，其特征在于，包括：

构建模块，用于构建防火墙特征库，所述防火墙特征库包括多模式转向表和单模式特征表；

识别模块，用于响应于接收到的报文，识别所述报文的应用协议类型；

切分模块，用于基于所述应用协议类型对所述报文进行细粒度切分，生成多个切片；

第一匹配模块，用于确定与所述切片对应的所述多模式转向表，并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的第一模式字符串；

第二匹配模块，在检测到所述切片命中所述第一模式字符串时，基于单模式匹配模型检测所述切片是否命中所述单模式特征表中的第二模式字符串；

确定模块，用于在检测到命中所述第二模式字符串时，确定所述报文为攻击报文。

10.一种网络设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1～8中任意一项所述的攻击报文识别方法。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1～8中任意一项所述的攻击报文识别方法。

Images