发明名称 |
使用部分确定性有限自动模式匹配来进行网络攻击检测 |
摘要 |
本发明提供了一种用于确定网络流量是否包含一个或多个计算机安全威胁的技术。为了确定符号流是否符合符号模式,安全装置保存完全确定性有限自动机(fDFA),其接受符合符号模式的符号流。该安全装置还生成部分确定性有限自动机(pDFA),其包括对应于fDFA中具有最高访问级的节点的节点。该安全装置使用pDFA处理符号流中的每个符号,直到一个符号导致pDFA转换至失败节点或正在接受的节点。如果该符号导致pDFA转换至失败节点,则安全装置使用fDFA处理该符号以及在符号流中的后续符号。 |
申请公布号 |
CN101291323A |
申请公布日期 |
2008.10.22 |
申请号 |
CN200710130040.8 |
申请日期 |
2007.07.25 |
申请人 |
丛林网络公司 |
发明人 |
马庆鸣;布赖恩·伯恩斯;克里希纳·纳拉亚纳斯瓦米;维平·拉瓦特;迈克尔·君·希霍 |
分类号 |
H04L29/06(2006.01);H04L9/00(2006.01);H04L12/56(2006.01);G06F21/00(2006.01) |
主分类号 |
H04L29/06(2006.01) |
代理机构 |
北京康信知识产权代理有限责任公司 |
代理人 |
余刚;尚志峰 |
主权项 |
1.一种方法,包括:存储一组完全确定性有限自动机(fDFA)节点,其中,fDFA节点表示完全确定性有限自动机fDFA,其接受符合符号模式的符号流;生成一组pDFA节点,其中,所述pDFA节点表示部分确定性有限自动机(pDFA),其中,每个所述pDFA节点在fDFA节点中都具有对应的、超越访问阈的访问级的节点,其中,当所述fDFA节点中所对应的节点规定了符号向所述fDFA节点中的具有不超越所述访问阈的访问级的节点转换时,所述pDFA节点中的每个节点都规定所述符号向pDFA节点中的失败节点的转换;接收符号流中的符号;以及使用所述pDFA节点和所述fDFA节点来检测计算机安全威胁。 |
地址 |
美国加利福尼亚州 |