公开(公告)号：CN103023883A

公开(公告)日：2013-04-03

申请号：CN201210488427.1

申请日：2012-11-26

Applicant: 清华大学

Inventor： 陈新明 ,  李军

IPC: H04L29/06 ,  G06F17/30

Abstract: 本发明提供一种基于AC自动机和后缀树的字符串匹配方法，所述方法包括：S1.将特征字符串编译成AC自动机；S2.将特征字符串的后缀集合编译成后缀树；S3.每当有一个数据包进入网络安全设备时，根据所述AC自动机对所述数据包进行匹配，并利用所述后缀树保存匹配状态；S4.若匹配成功，则丢弃所述数据包。本发明在对数据包字符串进行匹配时保存AC状态机和后缀树的状态编号，使得数据包即使在乱序到达时也能够继续上一次的状态进行匹配，而不用缓存之前的数据包。摆脱了缓存造成的延迟加大内存消耗加大、内存消耗加大和高速缓冲存储器局部性降低的缺点，可以降低网络安全设备所需资源，提升其性能。

公开(公告)号：CN101699788A

公开(公告)日：2010-04-28

申请号：CN200910236818.2

申请日：2009-10-30

Applicant: 清华大学

Inventor： 陈新明 ,  薛一波 ,  李军

IPC: H04L12/26 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种模块化的网络入侵检测系统。该系统包括数据源模块，其用于包获取和编码解析，分流模块，用于完成来自编码解析模块的网包的调度，并将网包分发到检测模块中的各个检测子模块；检测模块，用于检测网包中是否含有攻击，其使用多个线程，包括一种或多种检测子模块；其中，所述数据源模块和所述分流模块使用一个线程。本发明的技术方案可独立设计的数据采集及分发/检测模块式架构，便于使用硬件实现特定模块的功能；能够充分利用多核处理器的处理能力，性能可随处理器核数线性增长，且可动态加载多个检测模块，便于针对不同硬件情况配置；同时使内存消耗大大下降，增强了系统的通用性。