一种进行网络报文规则匹配的方法和装置

摘要

本发明公开了一种进行网络报文规则匹配的方法和装置；方法包括：根据网络报文规则集合构建网络报文分类树；所构建的网络报文分类树中每个内部节点被标记为一个报文字段属性，内部节点的每个输出弧都被标记为该内部节点所标记的报文字段属性的值，该值为一数值或任意值；每个叶节点被标记为所述网络报文规则集合中的一个网络报文规则；每次捕获到网络报文后，根据该网络报文中包含的报文字段属性的值，在所构建的网络报文分类树中进行查找，如果能查找到完全匹配的分支，则该网络报文与该分支上的叶节点所标记的网络报文规则匹配。本发明大大提高了网络报文规则的匹配速度。

主权项

一种进行网络报文规则匹配的方法，包括：A、包括步骤A1～A4：A1、找出所述网络报文规则集合中出现过的所有网络报文字段属性；A2、对网络报文规则集合中每条网络报文规则，都根据步骤A1所找出的网络报文字段属性，添加该网络报文规则中没有的网络报文字段属性，并将所添加的网络报文字段属性的值定为任意值；添加后，对各条网络报文规则中的网络报文字段属性按照相同的顺序排序；A3、对于各条排序后的网络报文规则分别进行以下步骤：将各报文字段属性分别转换为一标记为该报文字段属性的内部节点，将各报文字段属性的值分别转换为该报文字段属性所转换的内部节点的一条标记为该值的输出弧，各内部节点按照所标记的报文字段属性排序的顺序依次通过输出弧相连，排序为第一的报文字段属性被转换为根节点，排序为最后一个的内部节点的输出弧指向标记为本条网络报文规则的叶节点；全部转换完成后，合并标记相同，并且是由同一其它内部节点的同一标记的输出弧指向的内部节点，得到网络报文分类树；A4、对步骤A3中得到的网络报文分类树，从网络报文分类树的根节点开始，依次检查网络报文分类树中除叶节点外的各层的所有内部节点，如果发现一内部节点包含被标记为任意值的输出弧，并且该内部节点还包含其它输出弧，则将该被标记为任意值的输出弧所指向的子树复制并合并到该内部节点其余每个输出弧所指向的子树上，合并标记相同，并且是由同一其它内部节点的同一标记的输出弧指向的内部节点；B、每次捕获到网络报文后，根据该网络报文中包含的报文字段属性的值，在所构建的网络报文分类树中进行查找，如果能查找到完全匹配的分支，则该网络报文与该分支上的叶节点所标记的网络报文规则匹配。