面向網(wǎng)絡(luò)安全的多維正則表達(dá)式匹配算法分析

王曉雨

（荊楚理工學(xué)院信息管理與信息系統(tǒng)教研室，荊門(mén) 448000）

近年來(lái)，全球信息化進(jìn)程不斷推進(jìn)，計(jì)算機(jī)技術(shù)也得到了飛速發(fā)展，互聯(lián)網(wǎng)如今已是人們生活中不可缺少的存在。相關(guān)研究資料顯示，我國(guó)網(wǎng)民規(guī)模數(shù)量已經(jīng)高達(dá)7.56億左右。但是，在各國(guó)網(wǎng)絡(luò)覆蓋規(guī)模不斷擴(kuò)大的背景下，很多現(xiàn)實(shí)企業(yè)紛紛看到了互聯(lián)網(wǎng)的各種優(yōu)勢(shì)，將現(xiàn)實(shí)中的業(yè)務(wù)一步步的轉(zhuǎn)移到網(wǎng)絡(luò)世界里。部分企業(yè)和銀行以及政府機(jī)關(guān)組織獎(jiǎng)互聯(lián)網(wǎng)作為重點(diǎn)基礎(chǔ)建設(shè)項(xiàng)目。而網(wǎng)絡(luò)購(gòu)物，網(wǎng)絡(luò)社交，電子商務(wù)等各種行業(yè)都在逐步擴(kuò)大普及，有研究資料統(tǒng)計(jì)，2017年，我國(guó)網(wǎng)絡(luò)購(gòu)物用戶(hù)多達(dá)4.12億，電子商務(wù)交易規(guī)模數(shù)量高達(dá)12.26億。但是，網(wǎng)絡(luò)是把雙刃劍。計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性也使得其受侵方式也逐漸增多，網(wǎng)絡(luò)安全問(wèn)題層出不窮。隨著網(wǎng)絡(luò)黑客攻擊事件的數(shù)量呈現(xiàn)逐年上升發(fā)展趨勢(shì)，攻擊行為也出現(xiàn)諸多新花樣。根據(jù)數(shù)據(jù)研究資料統(tǒng)計(jì)顯示，截止到2017年為止，我國(guó)有近6億網(wǎng)民遭遇過(guò)信息安全事件，國(guó)內(nèi)知名網(wǎng)站的幾百萬(wàn)用戶(hù)信息遭到黑客攻擊，個(gè)人信息被大量竊取。

1 網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀以及正則匹配表達(dá)式算法的由來(lái)

網(wǎng)絡(luò)安全問(wèn)題不僅僅會(huì)影響到人們正常使用計(jì)算機(jī)，正常使用互聯(lián)網(wǎng)，而且會(huì)給社會(huì)，國(guó)家，政府造成不小的麻煩。比如，2017年，伊朗的核電站被網(wǎng)絡(luò)病毒侵入，在啟用后連續(xù)發(fā)生故障，導(dǎo)致放射性物質(zhì)被泄露，五分之一的離心機(jī)報(bào)廢。在此之后，該病毒在全世界范圍內(nèi)開(kāi)始擴(kuò)散，之后震網(wǎng)病毒開(kāi)始感染全世界58%左右網(wǎng)民的電腦，在多個(gè)行業(yè)中均帶來(lái)巨大沖擊。斯諾登引爆的棱鏡門(mén)事件將網(wǎng)絡(luò)安全問(wèn)題提高到國(guó)家戰(zhàn)略層面上來(lái)，在全世界各個(gè)國(guó)家均高度重視網(wǎng)絡(luò)安全建設(shè)的歷史條件下，我國(guó)成立了網(wǎng)絡(luò)信息安全小組，由習(xí)近平同志擔(dān)任小組組長(zhǎng)。習(xí)近平同志明確提出：“沒(méi)有網(wǎng)絡(luò)安全就談不上國(guó)家安全”。基于此，加強(qiáng)網(wǎng)絡(luò)的安全成為人們現(xiàn)階段最為廣泛關(guān)注的課題之一，安全業(yè)務(wù)也已經(jīng)成為各大研究者的關(guān)注重點(diǎn)之一。目前最為廣泛熟知的網(wǎng)絡(luò)安全防護(hù)及時(shí)有：其一，防火墻；其二，入侵檢測(cè)系統(tǒng)。防火墻能夠簡(jiǎn)單構(gòu)成一道計(jì)算機(jī)防護(hù)工序，但是若病毒繞過(guò)防火墻，對(duì)計(jì)算機(jī)內(nèi)部進(jìn)行強(qiáng)烈攻擊，計(jì)算機(jī)將毫無(wú)還手之力。入侵檢測(cè)系統(tǒng)相對(duì)于防火墻而言，是一種更為主動(dòng)地防護(hù)手段。入侵檢測(cè)系統(tǒng)是針對(duì)防火墻技術(shù)的高度補(bǔ)充，入侵檢測(cè)系統(tǒng)雖然能夠需要分布在網(wǎng)絡(luò)中的各個(gè)關(guān)鍵點(diǎn)，在不影響網(wǎng)絡(luò)正常運(yùn)行，網(wǎng)絡(luò)正常使用的情況下能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)流量，能夠針對(duì)網(wǎng)絡(luò)攻擊，提供相應(yīng)保護(hù)措施。入侵檢測(cè)系統(tǒng)有兩種檢測(cè)技術(shù)：異常檢測(cè)方法與誤用檢測(cè)方法，異常檢測(cè)方法又包含：（1）基于貝葉斯推理檢測(cè)法：能夠在任何給定的時(shí)間內(nèi)，測(cè)量變量值，從而推斷是否發(fā)生網(wǎng)絡(luò)入侵事件；（2）基于特征選擇檢測(cè)法：能夠從一組度量中挑選能夠用于檢測(cè)網(wǎng)絡(luò)侵入的度量，從而預(yù)測(cè)網(wǎng)絡(luò)入侵行為或是將網(wǎng)絡(luò)侵入進(jìn)行分類(lèi)；（3）基于貝葉斯網(wǎng)絡(luò)檢測(cè)法：使用圖形表現(xiàn)隨機(jī)變量與隨機(jī)變量之間的關(guān)系，通過(guò)指定的或是與鄰接節(jié)點(diǎn)有關(guān)的一個(gè)概率集計(jì)算變量患者聯(lián)接概率分布情況，為其他變量提供計(jì)算框架圖；（4）基于模式預(yù)測(cè)的檢測(cè)法：能夠通過(guò)事件序列，并遵照某種能夠辨別網(wǎng)絡(luò)侵入的模式進(jìn)行檢測(cè)，能夠考慮到事件序列與事件的相關(guān)聯(lián)系，能夠檢出小范圍發(fā)生的網(wǎng)絡(luò)入侵現(xiàn)象；除此之外，還有基于統(tǒng)計(jì)的異常檢測(cè)法，基于機(jī)器學(xué)習(xí)檢測(cè)法，數(shù)據(jù)挖掘檢測(cè)法，基于應(yīng)用模式的異常檢測(cè)法，基于文本分類(lèi)的異常檢測(cè)法。誤用檢測(cè)方法又含有模式匹配法，專(zhuān)家系統(tǒng)法及基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)法。通過(guò)這些檢測(cè)方法能夠檢測(cè)出大部分的網(wǎng)絡(luò)入侵，能夠提高網(wǎng)絡(luò)安全性。

隨著網(wǎng)絡(luò)入侵方式的多樣化發(fā)展，網(wǎng)絡(luò)的防范措施也逐漸多樣化。我國(guó)越發(fā)重視網(wǎng)絡(luò)安全這一塊，網(wǎng)絡(luò)安全維護(hù)技術(shù)也不斷發(fā)展完善。但是現(xiàn)在基于字符串特征的提出方式變得越來(lái)越具有難度。正則表達(dá)式由于具備超強(qiáng)的描述能力而成為新一代的描述語(yǔ)言，采用正則表達(dá)式方法來(lái)描述通常可以顯示無(wú)限個(gè)字符串。

正則表達(dá)式匹配技術(shù)如今在網(wǎng)絡(luò)安全系統(tǒng)中應(yīng)用，能夠充分的發(fā)揮其價(jià)值。尤其是在商業(yè)領(lǐng)域中，Cisco網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)普及使用正則表達(dá)式匹配技術(shù)。以Snort入侵檢測(cè)系統(tǒng)為例，正則表達(dá)式匹配技術(shù)已經(jīng)成為全世界各個(gè)國(guó)家安全行業(yè)的入侵檢測(cè)系統(tǒng)代名詞，所表現(xiàn)出的特征語(yǔ)法成為行業(yè)金標(biāo)準(zhǔn)。

2 簡(jiǎn)要分析正則表達(dá)式匹配算法

模式匹配有四種模式，精確串匹配；擴(kuò)展串匹配；近似串匹配以及正則表達(dá)式匹配。但從現(xiàn)階段來(lái)看，則能夠發(fā)現(xiàn)，四種模式匹配法在網(wǎng)絡(luò)安全領(lǐng)域中應(yīng)用最廣的只有正則表達(dá)式匹配，正則表達(dá)式匹配擁有非常強(qiáng)大的描述能力，因此在不斷取代精確率匹配的地位。正則表達(dá)式匹配被廣泛應(yīng)用在商業(yè)入侵檢測(cè)系統(tǒng)的規(guī)則描述之中。正則表達(dá)式最早由神經(jīng)生理學(xué)家所提出，后來(lái)由數(shù)學(xué)家正式提出正則表達(dá)式概念。正則表達(dá)式目前在語(yǔ)法分析，文本檢索中應(yīng)用較多，也可以說(shuō)是計(jì)算機(jī)領(lǐng)域中應(yīng)用較多，比較重要的網(wǎng)絡(luò)安全防御工具之一了。正則表達(dá)式又被稱(chēng)為規(guī)則表達(dá)式，是計(jì)算機(jī)學(xué)的一個(gè)概念，其許多程序設(shè)計(jì)語(yǔ)言都支持利用正則表達(dá)式進(jìn)行字符串操作。同時(shí)，正則表達(dá)式也是一種對(duì)字符串操作的邏輯公式，就是通過(guò)一些特定的字符，與組合的特定字符，組成一個(gè)比較骨折的字符串，從而利用字符串表達(dá)對(duì)字符串的一種過(guò)濾邏輯。正則表達(dá)式的表達(dá)方式有表達(dá)式描述方式和有限自動(dòng)機(jī)描述方式，不同語(yǔ)言描述方式在不同的場(chǎng)合中有不同的作用。從自動(dòng)機(jī)理論研究來(lái)看，正則表達(dá)式與有限自動(dòng)機(jī)是等價(jià)的。有限自動(dòng)機(jī)是正則語(yǔ)言的具體描述形式，正則表達(dá)式是代數(shù)的描述形式，適合在計(jì)算機(jī)上應(yīng)用的描述形式。但是正則表達(dá)式通常是使用有限性，確定性自動(dòng)機(jī)與非確定性有限自動(dòng)機(jī)來(lái)加以實(shí)現(xiàn)。簡(jiǎn)而言之，正則表達(dá)式較為直觀明了，符合人類(lèi)的基本思維習(xí)慣。

有學(xué)者提出，將正則表達(dá)式分組進(jìn)行處理，按照聯(lián)合編譯后會(huì)不會(huì)出現(xiàn)包扎行為從而進(jìn)行分組（將不發(fā)生爆炸的正則表達(dá)式分為一組，將發(fā)生爆炸的正則表達(dá)式分為一組）。還有學(xué)者提出將正則表達(dá)式聯(lián)合編譯時(shí)出現(xiàn)的爆炸情況進(jìn)行量化處理分析。通過(guò)SI-DFA算法，分析爆炸發(fā)生時(shí)，爆炸發(fā)生前，爆炸發(fā)生后的各個(gè)特征，并使用正則表達(dá)式將結(jié)果轉(zhuǎn)化為分子表達(dá)式，并得出DFA，最終有效減少聯(lián)合編譯時(shí)DFA爆炸情況的發(fā)生。