一種基于多模式的惡意代碼匹配方法及裝置的制造方法
【專利說明】一種基于多模式的惡意代碼匹配方法及裝置
[0001]
技術領域
[0002]本發(fā)明涉及信息安全技術領域�����,尤其涉及一種基于多模式的惡意代碼匹配方法及
目.ο
【背景技術】
[0003]AC算法是Alfred V.Aho和Margaret J.Corasick于1974年提出的一個經(jīng)典的多模式匹配算法��,可以保證對于給定的長度為η的文本���,和模式集合P {pi, p2,...pm},在0(n)時間復雜度內(nèi)����,找到文本中的所有目標模式����,而與模式集合的規(guī)模m無關�。從本質來說,AC算法是一個有限狀態(tài)自動機算法���,在字符串的匹配和操作之前�,先對模式集進行預處理�����,建造自動機�。在處理字符串時只需要對文本掃描一次,即可匹配出模式串����。
[0004]目前,AC算法作為一種線性復雜度的多模式匹配算法���,在IDS(入侵檢測系統(tǒng))和惡意代碼特征匹配等方面具有很廣泛的應用��。但是���,當特征庫中的特征碼較多時���,就會因為創(chuàng)建自動機引起過大的內(nèi)存開銷。在AC狀態(tài)機中�,由于是按照字節(jié)匹配,所以每個節(jié)點都有256個指針以對應ASCII字符���,在實際匹配過程中�����,如果下一個字符在模式集中不存在�,則需要將指針置空�����,并利用fail表跳轉到下一節(jié)點�。實際應用中,由于模式集不可能包括全部256個ASCII碼字符�����,所以大量指針置空�,相應的,需要的指針空間也就越大�����,對內(nèi)存的要求也就越高�。因此,當特征庫中特征碼過多時��,傳統(tǒng)AC算法不僅不利于硬件實現(xiàn)�����,而且還會對算法的匹配速度造成影響���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明所述的技術方案通過縮短待檢測樣本長度和壓縮存儲生成的有限狀態(tài)機的手段�,減少系統(tǒng)資源占用�����;并通過壞字符跳轉的原則減少參與匹配的字符數(shù)量���,從而有效縮短匹配所需的時間���。
[0006]本發(fā)明采用如下方法來實現(xiàn):一種基于多模式的惡意代碼匹配方法,包括:
基于特征庫中特征碼的語義特征對待檢測樣本進行篩選,縮短待檢測樣本長度����;
判斷特征庫是否存在更新,若是�,則重新基于各特征碼前綴構建樹狀有限狀態(tài)機,否則沿用已生成的有限狀態(tài)機�����;
對于生成的有限狀態(tài)機進行壓縮存儲�;
基于壞字符跳轉的原則利用壓縮存儲的有限狀態(tài)機從后向前匹配待檢測樣本。
[0007]進一步地��,所述縮短待檢測樣本長度的方法為:利用多模式近似匹配算法在預設錯誤率下縮短待檢測樣本長度�。
[0008]進一步地,所述壓縮存儲方法包括:矩陣壓縮存儲或者Bitmap壓縮存儲���。
[0009]本發(fā)明可以采用如下裝置來實現(xiàn):一種基于多模式的惡意代碼匹配裝置���,包括: 預處理模塊,用于基于特征庫中特征碼的語義特征對待檢測樣本進行篩選�����,縮短待檢測樣本長度����;
狀態(tài)機生成模塊,用于判斷特征庫是否存在更新��,若是���,則重新基于各特征碼前綴構建樹狀有限狀態(tài)機�,否則沿用已生成的有限狀態(tài)機�����;
壓縮存儲模塊����,用于對于生成的有限狀態(tài)機進行壓縮存儲;
匹配模塊���,用于基于壞字符跳轉的原則利用壓縮存儲的有限狀態(tài)機從后向前匹配待檢測樣本��。
[0010]進一步地���,所述縮短待檢測樣本長度的方法為:利用多模式近似匹配算法在預設錯誤率下縮短待檢測樣本長度���。
[0011]進一步地,所述壓縮存儲方法包括:矩陣壓縮存儲或者Bitmap壓縮存儲���。
[0012]綜上���,本發(fā)明給出一種基于多模式的惡意代碼匹配方法及裝置,與傳統(tǒng)的AC算法匹配模式不同����,本發(fā)明首先將待檢測樣本進行縮短處理,去除無意義的字符�����;基于特征庫中的全部特征碼生成樹狀有限狀態(tài)機�;并將所述有限狀態(tài)機基于一定范圍進行壓縮存儲;基于壞字符跳轉的原則將有限狀態(tài)機與待檢測樣本進行匹配�����,最終給出匹配結果�����。
[0013]有益效果為:本發(fā)明通過縮短待檢測樣本長度的手段,減少匹配時間���;將特征庫中的特征碼生成有限狀態(tài)機并壓縮存儲,從而減小內(nèi)存壓力���;基于壞字符跳轉的原則進行匹配操作��,減少參與匹配的字符數(shù)量�,進一步縮短匹配所需時間���。
【附圖說明】
[0014]為了更清楚地說明本發(fā)明的技術方案�����,下面將對實施例中所需要使用的附圖作簡單地介紹���,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例���,對于本領域普通技術人員來講�,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖���。
[0015]圖1為本發(fā)明提供的一種基于多模式的惡意代碼匹配方法實施例流程圖�����;
圖2為本發(fā)明提供的方法實施例中構建的樹狀有限狀態(tài)機示意圖�����;
圖3為本發(fā)明提供的方法實施例中基于壞字符跳轉原則跳轉后的樹狀有限狀態(tài)機示意圖�;
圖4為本發(fā)明提供的一種基于多模式的惡意代碼匹配裝置實施例結構圖����。
【具體實施方式】
[0016]本發(fā)明給出了一種基于多模式的惡意代碼匹配方法及裝置實施例,為了使本技術領域的人員更好地理解本發(fā)明實施例中的技術方案���,并使本發(fā)明的上述目的��、特征和優(yōu)點能夠更加明顯易懂�,下面結合附圖對本發(fā)明中技術方案作進一步詳細的說明:
本發(fā)明首先提供了一種基于多模式的惡意代碼匹配方法實施例����,如圖1所示��,包括:SlOl基于特征庫中特征碼的語義特征對待檢測樣本進行篩選���,縮短待檢測樣本長度;S102判斷特征庫是否存在更新�,若是,則重新基于各特征碼前綴構建樹狀有限狀態(tài)機�,否則沿用已生成的有限狀態(tài)機��;
其中�,如果在匹配過程中特征庫中的特征碼沒有改變,則不需要重新構建有限狀態(tài)機��;
例如��,特征碼分別為 ethernetmovesme, ethernetisking�, ethernetisdead 和ethernetforever,要檢查的數(shù)據(jù)包內(nèi)容為nothingtoworryaboutinthis ;則基于各特征碼前綴構建的樹狀有限狀態(tài)機如圖2所示���;
S103對于生成的有限狀態(tài)機進行壓縮存儲�;
S104基于壞字符跳轉的原則利用壓縮存儲的有限狀態(tài)機從后向前匹配待檢測樣本�。
[0017]其中,所述壞字符跳轉的原則為:當樹狀有限狀態(tài)機與待檢測樣本從后向前匹配時����,當有限狀態(tài)機中的字符與待檢測樣本匹配失效時��,則有限狀態(tài)機向右跳轉到下一個失效字符處�,如果有限狀態(tài)機中并不存在該失效字符��,則有限狀態(tài)機向右跳轉到最小特征碼長度處���。
[0018]例如:如圖2所示的有限狀態(tài)機���,從待檢測樣本的字符r開始匹配,顯然r與特征碼中的字符e不匹配�����,由于有限狀態(tài)機的下一個r出現(xiàn)在深度5的位置�,特征碼中最小長度為14,根據(jù)壞字符跳轉�����,有限狀態(tài)機的字符串樹可以向左移動5個字符����,跳轉過程如圖3所不O
[0019]優(yōu)選地�,所述縮短待檢測樣本長度的方法為:利用多模式近似匹配算法在預設錯誤率下縮短待檢測樣本長度��。
[0020]其中����,所述多模式近似匹配算法可以采用散列多模