特征匹配的过程不仅包括串匹配,还有对诸如地址、端口、协议类型等许多协议字段的匹配。为了方便,我们将多个协议字段构成的模式称为多数据类型模式,与上面提到的串模式进行区分,串模式可以认为是多数据类型模式的一个子集。
在以往的工作中,我们受AC算法的启发,将其扩展到多数据类型模式匹配,即将多个模式中的相同协议字段归并,构建一个或多个树型模式结构,达到一次匹配多个模式的目的。
与串匹配不同的是,多数据类型模式中,每种数据类型的单次匹配开销是不同的,在实际运行中的命中几率也是不同的。同样是树型数据结构,其非常好的效率和最差效率相差可能在一个数量级以上,如果尽可能做好降低命中率、低匹配开销的工作,将会接近非常好的的匹配效率。因此要深入分析各协议字段的特点,在实现系统初始化时根据当前特征库自动建立非常好的效率规则树的功能。
