王曉雨

（荊楚理工學院信息管理與信息系統(tǒng)教研室，荊門 448000）

近年來，全球信息化進程不斷推進，計算機技術(shù)也得到了飛速發(fā)展，互聯(lián)網(wǎng)如今已是人們生活中不可缺少的存在。相關(guān)研究資料顯示，我國網(wǎng)民規(guī)模數(shù)量已經(jīng)高達7.56億左右。但是，在各國網(wǎng)絡(luò)覆蓋規(guī)模不斷擴大的背景下，很多現(xiàn)實企業(yè)紛紛看到了互聯(lián)網(wǎng)的各種優(yōu)勢，將現(xiàn)實中的業(yè)務(wù)一步步的轉(zhuǎn)移到網(wǎng)絡(luò)世界里。部分企業(yè)和銀行以及政府機關(guān)組織獎互聯(lián)網(wǎng)作為重點基礎(chǔ)建設(shè)項目。而網(wǎng)絡(luò)購物，網(wǎng)絡(luò)社交，電子商務(wù)等各種行業(yè)都在逐步擴大普及，有研究資料統(tǒng)計，2017年，我國網(wǎng)絡(luò)購物用戶多達4.12億，電子商務(wù)交易規(guī)模數(shù)量高達12.26億。但是，網(wǎng)絡(luò)是把雙刃劍。計算機網(wǎng)絡(luò)的開放性也使得其受侵方式也逐漸增多，網(wǎng)絡(luò)安全問題層出不窮。隨著網(wǎng)絡(luò)黑客攻擊事件的數(shù)量呈現(xiàn)逐年上升發(fā)展趨勢，攻擊行為也出現(xiàn)諸多新花樣。根據(jù)數(shù)據(jù)研究資料統(tǒng)計顯示，截止到2017年為止，我國有近6億網(wǎng)民遭遇過信息安全事件，國內(nèi)知名網(wǎng)站的幾百萬用戶信息遭到黑客攻擊，個人信息被大量竊取。

1 網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀以及正則匹配表達式算法的由來

網(wǎng)絡(luò)安全問題不僅僅會影響到人們正常使用計算機，正常使用互聯(lián)網(wǎng)，而且會給社會，國家，政府造成不小的麻煩。比如，2017年，伊朗的核電站被網(wǎng)絡(luò)病毒侵入，在啟用后連續(xù)發(fā)生故障，導(dǎo)致放射性物質(zhì)被泄露，五分之一的離心機報廢。在此之后，該病毒在全世界范圍內(nèi)開始擴散，之后震網(wǎng)病毒開始感染全世界58%左右網(wǎng)民的電腦，在多個行業(yè)中均帶來巨大沖擊。斯諾登引爆的棱鏡門事件將網(wǎng)絡(luò)安全問題提高到國家戰(zhàn)略層面上來，在全世界各個國家均高度重視網(wǎng)絡(luò)安全建設(shè)的歷史條件下，我國成立了網(wǎng)絡(luò)信息安全小組，由習近平同志擔任小組組長。習近平同志明確提出：“沒有網(wǎng)絡(luò)安全就談不上國家安全”。基于此，加強網(wǎng)絡(luò)的安全成為人們現(xiàn)階段最為廣泛關(guān)注的課題之一，安全業(yè)務(wù)也已經(jīng)成為各大研究者的關(guān)注重點之一。目前最為廣泛熟知的網(wǎng)絡(luò)安全防護及時有：其一，防火墻；其二，入侵檢測系統(tǒng)。防火墻能夠簡單構(gòu)成一道計算機防護工序，但是若病毒繞過防火墻，對計算機內(nèi)部進行強烈攻擊，計算機將毫無還手之力。入侵檢測系統(tǒng)相對于防火墻而言，是一種更為主動地防護手段。入侵檢測系統(tǒng)是針對防火墻技術(shù)的高度補充，入侵檢測系統(tǒng)雖然能夠需要分布在網(wǎng)絡(luò)中的各個關(guān)鍵點，在不影響網(wǎng)絡(luò)正常運行，網(wǎng)絡(luò)正常使用的情況下能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)流量，能夠針對網(wǎng)絡(luò)攻擊，提供相應(yīng)保護措施。入侵檢測系統(tǒng)有兩種檢測技術(shù)：異常檢測方法與誤用檢測方法，異常檢測方法又包含：（1）基于貝葉斯推理檢測法：能夠在任何給定的時間內(nèi)，測量變量值，從而推斷是否發(fā)生網(wǎng)絡(luò)入侵事件；（2）基于特征選擇檢測法：能夠從一組度量中挑選能夠用于檢測網(wǎng)絡(luò)侵入的度量，從而預(yù)測網(wǎng)絡(luò)入侵行為或是將網(wǎng)絡(luò)侵入進行分類；（3）基于貝葉斯網(wǎng)絡(luò)檢測法：使用圖形表現(xiàn)隨機變量與隨機變量之間的關(guān)系，通過指定的或是與鄰接節(jié)點有關(guān)的一個概率集計算變量患者聯(lián)接概率分布情況，為其他變量提供計算框架圖；（4）基于模式預(yù)測的檢測法：能夠通過事件序列，并遵照某種能夠辨別網(wǎng)絡(luò)侵入的模式進行檢測，能夠考慮到事件序列與事件的相關(guān)聯(lián)系，能夠檢出小范圍發(fā)生的網(wǎng)絡(luò)入侵現(xiàn)象；除此之外，還有基于統(tǒng)計的異常檢測法，基于機器學習檢測法，數(shù)據(jù)挖掘檢測法，基于應(yīng)用模式的異常檢測法，基于文本分類的異常檢測法。誤用檢測方法又含有模式匹配法，專家系統(tǒng)法及基于狀態(tài)轉(zhuǎn)移分析的檢測法。通過這些檢測方法能夠檢測出大部分的網(wǎng)絡(luò)入侵，能夠提高網(wǎng)絡(luò)安全性。

隨著網(wǎng)絡(luò)入侵方式的多樣化發(fā)展，網(wǎng)絡(luò)的防范措施也逐漸多樣化。我國越發(fā)重視網(wǎng)絡(luò)安全這一塊，網(wǎng)絡(luò)安全維護技術(shù)也不斷發(fā)展完善。但是現(xiàn)在基于字符串特征的提出方式變得越來越具有難度。正則表達式由于具備超強的描述能力而成為新一代的描述語言，采用正則表達式方法來描述通?？梢燥@示無限個字符串。

正則表達式匹配技術(shù)如今在網(wǎng)絡(luò)安全系統(tǒng)中應(yīng)用，能夠充分的發(fā)揮其價值。尤其是在商業(yè)領(lǐng)域中，Cisco網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)普及使用正則表達式匹配技術(shù)。以Snort入侵檢測系統(tǒng)為例，正則表達式匹配技術(shù)已經(jīng)成為全世界各個國家安全行業(yè)的入侵檢測系統(tǒng)代名詞，所表現(xiàn)出的特征語法成為行業(yè)金標準。

2 簡要分析正則表達式匹配算法

模式匹配有四種模式，精確串匹配；擴展串匹配；近似串匹配以及正則表達式匹配。但從現(xiàn)階段來看，則能夠發(fā)現(xiàn)，四種模式匹配法在網(wǎng)絡(luò)安全領(lǐng)域中應(yīng)用最廣的只有正則表達式匹配，正則表達式匹配擁有非常強大的描述能力，因此在不斷取代精確率匹配的地位。正則表達式匹配被廣泛應(yīng)用在商業(yè)入侵檢測系統(tǒng)的規(guī)則描述之中。正則表達式最早由神經(jīng)生理學家所提出，后來由數(shù)學家正式提出正則表達式概念。正則表達式目前在語法分析，文本檢索中應(yīng)用較多，也可以說是計算機領(lǐng)域中應(yīng)用較多，比較重要的網(wǎng)絡(luò)安全防御工具之一了。正則表達式又被稱為規(guī)則表達式，是計算機學的一個概念，其許多程序設(shè)計語言都支持利用正則表達式進行字符串操作。同時，正則表達式也是一種對字符串操作的邏輯公式，就是通過一些特定的字符，與組合的特定字符，組成一個比較骨折的字符串，從而利用字符串表達對字符串的一種過濾邏輯。正則表達式的表達方式有表達式描述方式和有限自動機描述方式，不同語言描述方式在不同的場合中有不同的作用。從自動機理論研究來看，正則表達式與有限自動機是等價的。有限自動機是正則語言的具體描述形式，正則表達式是代數(shù)的描述形式，適合在計算機上應(yīng)用的描述形式。但是正則表達式通常是使用有限性，確定性自動機與非確定性有限自動機來加以實現(xiàn)。簡而言之，正則表達式較為直觀明了，符合人類的基本思維習慣。

有學者提出，將正則表達式分組進行處理，按照聯(lián)合編譯后會不會出現(xiàn)包扎行為從而進行分組（將不發(fā)生爆炸的正則表達式分為一組，將發(fā)生爆炸的正則表達式分為一組）。還有學者提出將正則表達式聯(lián)合編譯時出現(xiàn)的爆炸情況進行量化處理分析。通過SI-DFA算法，分析爆炸發(fā)生時，爆炸發(fā)生前，爆炸發(fā)生后的各個特征，并使用正則表達式將結(jié)果轉(zhuǎn)化為分子表達式，并得出DFA，最終有效減少聯(lián)合編譯時DFA爆炸情況的發(fā)生。