俞藝涵　付鈺　吳曉平

摘要：針對網(wǎng)絡(luò)安全審計中對應(yīng)用層協(xié)議審計能力不足的問題，提出一種基于改進正則表達式（RE）規(guī)則分組的內(nèi)網(wǎng)行為審計方案。首先，通過正則表達式對需審計的協(xié)議進行描述，并設(shè)置相關(guān)參數(shù)，使內(nèi)網(wǎng)中出現(xiàn)頻率高和審計中相對重要的協(xié)議狀態(tài)在正則表達式描述集中取得高優(yōu)先級；然后，在正則表達式交互值小的前提下，盡可能地將高優(yōu)先級協(xié)議狀態(tài)表達式構(gòu)建到相同自動機分組中以生成審計引擎；最后，根據(jù)審計需求，改變相關(guān)參數(shù)，實現(xiàn)對內(nèi)網(wǎng)行為的安全審計。實驗結(jié)果顯示，所提出的自動機構(gòu)建算法在轉(zhuǎn)化時的狀態(tài)數(shù)縮減為經(jīng)典非確定有限狀態(tài)自動機（NFA）轉(zhuǎn)化算法Thompson的10%～20%，檢測時的吞吐量約為傳統(tǒng)自動機分組引擎的8到12倍；所提審計方案能夠滿足對應(yīng)用層協(xié)議進行安全審計的需求，具有較高的準(zhǔn)確性和效率。

關(guān)鍵詞：正則表達式；協(xié)議狀態(tài)；安全審計；自動機分組；需求選擇

中圖分類號：TP309.7

文獻標(biāo)志碼：A

0引言

隨著網(wǎng)絡(luò)時代的到來，信息化進程不斷加速，計算機網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)信息安全也越來越受到人們的關(guān)注。相對于外部網(wǎng)絡(luò)而言，計算機內(nèi)部網(wǎng)絡(luò)具有更強的私密性和可操作性，許多政府部門、大型公司等機構(gòu)都建有自己的內(nèi)部網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)中，用戶可以根據(jù)自身需求制定相關(guān)的規(guī)則來達到內(nèi)網(wǎng)信息一定的需求，如軍用內(nèi)網(wǎng)中，用戶通過加密技術(shù)來保證內(nèi)部通信的私密性。同時，由于內(nèi)部網(wǎng)絡(luò)中所包含的信息往往存在巨大的價值（如商業(yè)機密），內(nèi)部網(wǎng)絡(luò)受到了越來越多的安全威脅。

在大規(guī)模網(wǎng)絡(luò)環(huán)境下，攻擊者的攻擊手段日趨復(fù)雜，多種網(wǎng)絡(luò)攻擊行為在寬時間域上交互實施，單一的入侵檢測技術(shù)已不能滿足防護需求。特別是近年來，具有應(yīng)用技術(shù)手段高超、潛伏時間長、目的明確等特點的高級持續(xù)性威脅（Advanced Persistent Threat， APT）[1]的活動越來越頻繁，其針對內(nèi)網(wǎng)的攻擊往往運用多種攻擊方式在多個層面上進行，且不僅單一通過網(wǎng)絡(luò)攻擊技術(shù)對內(nèi)網(wǎng)實施入侵，還往往運用社會工程學(xué)等知識來實施攻擊[2-4]。所以，內(nèi)網(wǎng)的網(wǎng)絡(luò)安全防護措施在應(yīng)對傳統(tǒng)網(wǎng)絡(luò)攻擊技術(shù)的同時，還需要對內(nèi)部人員和內(nèi)部操作行為進行審計。

針對網(wǎng)絡(luò)安全審計技術(shù)的研究國內(nèi)外起步都比較晚，且由于網(wǎng)絡(luò)應(yīng)用發(fā)展的日新月異，當(dāng)前并不存在一套通用的網(wǎng)絡(luò)安全審計系統(tǒng)，現(xiàn)有的網(wǎng)絡(luò)安全審計產(chǎn)品往往是為滿足某個特定的安全審計需求而設(shè)計的。分析研究國外的網(wǎng)絡(luò)安全審計系統(tǒng)（如NitroViewLogCaster）以及國內(nèi)的網(wǎng)絡(luò)安全審計系統(tǒng)（如TOPSECAuditor）可以發(fā)現(xiàn)，現(xiàn)有的網(wǎng)絡(luò)安全審計產(chǎn)品對于網(wǎng)絡(luò)應(yīng)用層協(xié)議的審計能力有限，大大影響了其審計效果。

文獻[5]提出了一種通過采集內(nèi)網(wǎng)監(jiān)控日志信息、受控終端日志信息和受控終端配置及操作信息，進行關(guān)鍵詞匹配建立索引信息來進行安全審計的方案。該方案充分利用了內(nèi)網(wǎng)采集日志信息的便利性，對相關(guān)數(shù)據(jù)進行了收集與分析，通過對比驗證來對內(nèi)網(wǎng)網(wǎng)絡(luò)進行審計。該方案的優(yōu)點在于其數(shù)據(jù)源合理，能夠充分反映出內(nèi)網(wǎng)網(wǎng)絡(luò)狀態(tài)，但其數(shù)據(jù)的采集與處理過程過于復(fù)雜，效率不高。

文獻[6]提出了一種基于改進信息熵的攻擊檢測算法，并由此設(shè)計了一種多Agent網(wǎng)絡(luò)安全審計模型。該模型有效地提高了網(wǎng)絡(luò)安全審計的效率與日志分析的智能性，但是其數(shù)據(jù)來源為簡單的網(wǎng)絡(luò)數(shù)據(jù)流，并不能擺脫數(shù)據(jù)流統(tǒng)計特性所帶來的局限性。

文獻[7]提出了一種基于人工神經(jīng)網(wǎng)絡(luò)和規(guī)則匹配相結(jié)合的安全審計方案，其將系統(tǒng)部署在網(wǎng)絡(luò)的進出口，旨在通過對網(wǎng)絡(luò)進出口處的數(shù)據(jù)交換模式進行審計，實現(xiàn)了對網(wǎng)絡(luò)入侵的準(zhǔn)確檢測。然而，其審計的重點只停留在了數(shù)據(jù)流表層，并沒有對數(shù)據(jù)流的深層內(nèi)涵進行審計，存在一定的安全隱患。

為了解決目前網(wǎng)絡(luò)安全審計中存在對網(wǎng)絡(luò)應(yīng)用層協(xié)議審計能力有限的問題，本文提出了一種基于改進正則表達式（Regular Expression，RE）規(guī)則分組的內(nèi)網(wǎng)行為審計方案，其主要特點在于：采用了將應(yīng)用層協(xié)議行為與正則表達式自動機構(gòu)建分組結(jié)合的思想，提出了一種基于協(xié)議行為加權(quán)分組（Weighted Grouping of Protocol Behavior，WGPB）的自動機構(gòu)建方法，將網(wǎng)絡(luò)中出現(xiàn)頻率高和相對重要的應(yīng)用層協(xié)議行為構(gòu)建到相同的自動機中，并賦予其高的優(yōu)先級，合理地將技術(shù)描述與應(yīng)用層協(xié)議的實際情況結(jié)合起來，在技術(shù)層面緩解了自動機存儲空間膨脹問題的同時更具有可靠性；提出了一種基于需求選擇（Demand Choice，DC）的安全審計策略，將審計對象的重要程度與審計策略結(jié)合起來，提供了一種可選擇的安全審計方式，在審計策略層面提高了審計效率。

1相關(guān)知識

正則表達式是使用單個字符串來描述、匹配一系列符號某個句法規(guī)則的字符串，具有很強的描述能力。對正則表達式的匹配需要使用有窮自動機來完成，有窮自動機分為非確定有限狀態(tài)自動機（Nondeterministic Finite Automaton， NFA）和確定有限狀態(tài)自動機（Deterministic Finite Automaton， DFA），NFA和 DFA在實際應(yīng)用中有不同的優(yōu)點和缺點[8-9]。

NFA的優(yōu)點是其狀態(tài)轉(zhuǎn)移空間復(fù)雜度比較低，因為NFA的狀態(tài)數(shù)目與正則表達式的長度成線性關(guān)系。然而在處理每一個字符時，由于必須逐個處理活動狀態(tài)集合中的多個狀態(tài)，因此匹配效率非常低；若將多條規(guī)則編譯到同一個NFA中，雖然可以在處理過程中同時匹配所有正則表達式的公共前綴，但在實際應(yīng)用中卻會形成更大數(shù)量的活動狀態(tài)集合，處理一個字符的時間復(fù)雜度和將每個正則表達式編譯成單獨一個NFA的時間復(fù)雜度相同。

相比之下，雖然DFA處理一個字符只需要訪問一個狀態(tài)，但若將每條正則表達式編譯成單獨的DFA，其狀態(tài)轉(zhuǎn)移時間復(fù)雜度同樣將隨著規(guī)則數(shù)目的增多而增大；而將所有的正則表達式編譯成一個混合DFA時，則會導(dǎo)致其空間需求大大增加，以當(dāng)前的硬件條件將無法滿足如此大的內(nèi)存需求。使用不同的方法和策略進行匹配時所需要的狀態(tài)轉(zhuǎn)移空間復(fù)雜度和處理一個字符的狀態(tài)轉(zhuǎn)移時間復(fù)雜度見表1。

由表1可知，將多條正則表達式構(gòu)建到同一個DFA中的狀態(tài)轉(zhuǎn)移時空復(fù)雜度最優(yōu)；但將多條正則表達式構(gòu)建到同一DFA中，存在因為正則表達式的交互而使?fàn)顟B(tài)數(shù)急劇增多的情況，從而造成存儲空間不足的問題[10]。如正則表達式“ab+c”和“b（a|c）k”，它們單獨構(gòu)建DFA的狀態(tài)轉(zhuǎn)移圖如圖1所示，將它們合并構(gòu)建到一個DFA中的狀態(tài)轉(zhuǎn)移圖如圖2所示。

可以看出相比于單獨構(gòu)建DFA自動機，兩個表達式在構(gòu)建到同一個DFA自動機時將造成因交互而帶來的狀態(tài)數(shù)增加。

對正則表達式進行規(guī)則分組是解決這一問題的一種有效的辦法。

目前對正則表達式進行規(guī)則分組的一般方法[11-12]是：

1）通過計算判斷正則表達式直接是否存在引起“膨脹”的交互；

2）以每一個正則表達式為頂點，用一條邊連接相應(yīng)的兩個頂點，構(gòu)建關(guān)系圖；

3）設(shè)定分組閾值；

4）以最小相關(guān)原則的次序?qū)⒄齽t表達式加入DFA中，直到達到閾值；

5）創(chuàng)建新的分組重復(fù)4），直到所有正則表達式都被分配完畢。

通過這樣的規(guī)則分組，大大降低了兩個正則表達式之間交互的可能性，緩解了將正則表達式編譯到DFA中所帶來的存儲空間不足問題。但是，這樣簡單的分組將會由于DFA數(shù)量的增多而使匹配效率降低，若分為S組，效率降為原來的1/S。

另一方面，雖然應(yīng)用層協(xié)議的種類十分繁雜，但在實際網(wǎng)絡(luò)數(shù)據(jù)流中不同應(yīng)用層協(xié)議的使用頻率有很大的差異。我國2014年核心網(wǎng)絡(luò)協(xié)議分布統(tǒng)計如表2所示。

特別是針對一些有特定功能的內(nèi)網(wǎng)，往往會出現(xiàn)某些協(xié)議在數(shù)據(jù)流中頻繁出現(xiàn)而某些協(xié)議卻幾乎不出現(xiàn)的情況。

同時，對于相同一個應(yīng)用層協(xié)議來說，其在實現(xiàn)其協(xié)議功能的全過程中存在多個狀態(tài)，不同的狀態(tài)所對應(yīng)的正則表達式描述也不一樣。在安全審計中，并不需要用正則表達式將整個協(xié)議描述出來，只需將有審計價值的協(xié)議狀態(tài)描述出來。如對TNS（Transparent Network Substrate）協(xié)議進行描述的正則表達式[12]中，通過“.*SERVICE_NAME=（[a-zA-Z0-9_＼.]+）”可以找出服務(wù)名；通過“（alter[]+database）[]+（close）.*$”可以判斷用戶關(guān)閉數(shù)據(jù)庫的行為；通過“＼＼x00＼＼x00（？：＼＼x01|＼＼x00）（.{1，2}）（select.+？）（＼＼x01+？）（＼＼x00+？）”可以判斷用戶做了哪些查詢操作；通過“（select） （.+？） from （[a-zA-Z0-9_＼.]+）（ ）？（where）？.*$”可以判斷用戶對哪些數(shù)據(jù)表進行了操作。

2基于WGPB的自動機構(gòu)建

若根據(jù)簡單規(guī)則分組所構(gòu)建的DFA在匹配過程中將根據(jù)線性時序?qū)Ψ纸M進行順序匹配，最壞情況下（高頻出現(xiàn)的協(xié)議對應(yīng)的正則表達式被構(gòu)建到DFA分組的末端）將造成匹配效率十分低下?；谏鲜鼍W(wǎng)絡(luò)流量中應(yīng)用層協(xié)議所存在的頻率與狀態(tài)特征，本文提出了構(gòu)建一種基于WGPB的自動機結(jié)構(gòu)來應(yīng)對將描述協(xié)議的正則表達式構(gòu)成DFA帶來的存儲空間不足的問題，以及協(xié)議行為在網(wǎng)絡(luò)中出現(xiàn)頻率不均衡的問題。具體步驟如下：

步驟1建立描述協(xié)議的正則表達式集合R，包括內(nèi)網(wǎng)中所有應(yīng)用層協(xié)議的正則表達式。集合R中的元素為Rfi（f、i屬于正整數(shù)）。其中： f代表表達式Rfi所描述的協(xié)議出現(xiàn)頻率在所有協(xié)議中的排序，若有10個協(xié)議，則出現(xiàn)頻率最高的f=1，出現(xiàn)頻率最低的f=10；i代表表達式Ρfι所描述的協(xié)議行為狀態(tài)在該協(xié)議所有狀態(tài)中的重要程度，若該協(xié)議有10個行為狀態(tài)，則最為重要的i=1，反之i=10。

3基于DC的安全審計方案

對于內(nèi)網(wǎng)的安全審計方而言，根據(jù)內(nèi)網(wǎng)的實際情況制定合適的安全審計策略能大幅提高審計的效率。本文提出了一種基于DC的安全審計方案，旨在利用對于內(nèi)網(wǎng)應(yīng)用層協(xié)議的充分可知性，分析內(nèi)網(wǎng)的安全需求；利用對于內(nèi)網(wǎng)應(yīng)用層協(xié)議出現(xiàn)頻率的可統(tǒng)計性，對協(xié)議的正則表達式描述集進行排序；利用對于同一應(yīng)用層協(xié)議的狀態(tài)可分性，依據(jù)審計需求對同一協(xié)議的不同狀態(tài)的正則表達式描述集進行排序；通過改變和設(shè)定相關(guān)參數(shù)，實現(xiàn)對于內(nèi)網(wǎng)的選擇性審計。具體審計過程如圖3所示。

審計數(shù)據(jù)生成模塊：利用數(shù)據(jù)抓包軟件對內(nèi)網(wǎng)數(shù)據(jù)流進行數(shù)據(jù)采集；通過相應(yīng)的固定規(guī)則對數(shù)據(jù)流進行底層協(xié)議的解析；生成審計數(shù)據(jù)以報文流的形式作為輸入發(fā)送給審計引擎。

審計引擎生成模塊：內(nèi)網(wǎng)審計方通過對內(nèi)網(wǎng)應(yīng)用層協(xié)議頻率進行統(tǒng)計和對每個應(yīng)用層協(xié)議的不同狀態(tài)進行需求分析來確定R集中元素f、i的值；在參數(shù)設(shè)定模塊中，根據(jù)需求設(shè)定適當(dāng)?shù)腄、F，并設(shè)定審計閾值Q；根據(jù)D、F將內(nèi)網(wǎng)中協(xié)議的正則表達式描述集進行基于行為狀態(tài)加權(quán)分組的自動機構(gòu)建；由審計閾值Q控制審計引擎中所生效的自動機分組數(shù)對審計數(shù)據(jù)進行匹配，最終輸出審計結(jié)果。

審計方審計需求的可選擇性在于：

1）可以根據(jù)審計內(nèi)容需求設(shè)置f、i的值。如對于協(xié)議A，審計方希望重點對其進行審計，則可將其對應(yīng)的正則表達式描述集的下標(biāo)f設(shè)為1，取得協(xié)議A對于其他協(xié)議的優(yōu)先；同時，若審計方認(rèn)為協(xié)議A中的某個狀態(tài)值得著重審計，則可將其對應(yīng)的正則表達式描述集的下標(biāo)i設(shè)為1，取得在協(xié)議A中該狀態(tài)對于其他狀態(tài)的優(yōu)先。在第二章的基于協(xié)議行為狀態(tài)加權(quán)分組的自動機構(gòu)建過程中，采取的是協(xié)議頻率先導(dǎo)的原則，即在分組時f的優(yōu)先級大于i。根據(jù)實際審計需求，對于特定的協(xié)議可以采取協(xié)議狀態(tài)先導(dǎo)的原則，即在分組時i的優(yōu)先級大于f。

2）可以根據(jù)審計效率需求設(shè)置D、Q的值。D為自動機分組中各個表達式集的交互程度閾值， Q為審計引擎中所生效的自動機分組數(shù)閾值。D的值越低，每一分組中正則表達式交互程度越低，其DFA狀態(tài)數(shù)的增長就越小；但D的值過低不利于分組中正則表達式數(shù)量的增加，即達不到閾值F便構(gòu)建新的分組，使分組數(shù)M增多。

分組數(shù)M越大，則匹配效率越低，Q值的設(shè)定一方面將緩解由于M過大帶來的匹配效率降低；另一方面，由于自動機分組之間存在優(yōu)先級關(guān)系，審計方可以通過Q值來選擇審計的范圍。但Q值越小，審計的命中率則越低。如審計方對于內(nèi)網(wǎng)的安全審計只針對某些特定協(xié)議，則可將D、Q值降低，將審計集中在高優(yōu)先級。

4評估與分析

首先分析構(gòu)建基于WGPB的自動機性能，通過模擬內(nèi)網(wǎng)數(shù)據(jù)流對HTTP等幾個常用協(xié)議進行編譯，與經(jīng)典NFA轉(zhuǎn)化算法Thompson[13]進行對比，比較Thompson算法與WGPB算法在構(gòu)建自動機時的狀態(tài)數(shù)，結(jié)果如圖4所示。從圖4可以看出，在編譯HTTP等協(xié)議時，采用基于WGPB的自動機構(gòu)建方法相比Thompson算法將狀態(tài)數(shù)分別降低了85.50%、82.70%、54.80%、75.20%和79.30%。

同時，采用頻率差分的HTTP、DNS（Domain Name System）、QQ、SMTP（Simple Mail Transfer Protocol）四個協(xié)議模擬內(nèi)網(wǎng)實際數(shù)據(jù)流（100MB，共356189個報文），其中HTTP所占頻率最大，接下來依次為DNS、QQ和SMTP，對基于簡單分組的自動機引擎與基于WGPB的自動機引擎進行匹配效率對比，結(jié)果如圖5所示。從圖5可以看出，基于WGPB的自動機引擎在性能上相比 基于簡單分組的自動機引擎具有明顯優(yōu)勢，吞吐量有顯著提高。

最后，將HTTP協(xié)議的訪問目的地址、QQ協(xié)議的通信時間戳、TNS協(xié)議的數(shù)據(jù)庫關(guān)閉這三個協(xié)議的三個行為狀態(tài)設(shè)為審計優(yōu)先級，審計命中率如表3。

表3的測試結(jié)果表明，構(gòu)建基于WGPB的自動機能夠大幅度緩解將多個正則表達式編譯到相應(yīng)DFA中所帶來的狀態(tài)數(shù)急劇增加的情況，相比Thompson構(gòu)造算法具有明顯優(yōu)勢。特別是在實際網(wǎng)絡(luò)中各協(xié)議出現(xiàn)頻率不均衡的情況下，基于WGPB自動機匹配的吞吐量相比基于普通分組自動機的匹配吞吐量具有很大的優(yōu)勢，呈現(xiàn)出對于數(shù)據(jù)流中出現(xiàn)頻率越高的協(xié)議匹配速度越快的特點。在此基礎(chǔ)上提出的基于DC的內(nèi)網(wǎng)安全審計方案在高效的同時也具有極高的準(zhǔn)確性。

5結(jié)語

本文提出的基于改進RE規(guī)則分組的內(nèi)網(wǎng)安全審計方案，針對的是內(nèi)網(wǎng)中應(yīng)用層協(xié)議的安全審計。通過基于WGPB的自動機構(gòu)建對有窮自動機DFA進行結(jié)構(gòu)改進，并提出基于DC的內(nèi)網(wǎng)安全審計方案，做到了根據(jù)內(nèi)網(wǎng)的實際安全需求對內(nèi)網(wǎng)行為的安全審計，達到了預(yù)期效果。然而，在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境與多種高新網(wǎng)絡(luò)攻擊手段威脅下，單一的安全防護技術(shù)不能滿足防護需求，將本文提出的安全審計方案與入侵檢測等安全防護技術(shù)相結(jié)合對內(nèi)網(wǎng)進行成體系的安全防護是下一步需要做的工作。

參考文獻：

[1]付鈺，李洪成，吳曉平，等.基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J].通信學(xué)報，2015，36（11）：1-14. （FU Y， LI H C， WU X P， et al. Detecting APT attacks： a survey from the perspective of big data analysis[J]. Journal on Communications， 2015， 36（11）： 1-14.）

[2]CHEN P， DESMET L， HUYGENS C. A study on advanced persistent threats [C]// CMS 2014： Proceedings of the 15th IFIP TC 6/TC 11 International Conference on Communications and Multimedia Security， LNCS 8735. Berlin： Springer-Verlag， 2014： 63-72.

[3]VIRVILIS N， GRITZALIS D A. The big four — what we did wrong in advanced persistent threat detection？ [C]// ARES 13： Proceedings of the 2013 International Conference on Availability， Reliability and Security. Washington， DC： IEEE Computer Society， 2013： 248-254.

[4]YANG G， TIAN Z， DUAN W. The prevent of advanced persistent threat [J]. Journal of Chemical and Pharmaceutical Research， 2014， 6（7）： 572-576.

http：//jocpr.com/vol6-iss7-2014/JCPR-2014-6-7-572-576.pdf

[5]XIA Q. Log-based network security audit system research and design [J]. Advanced Materials Research， 2010， 129-131： 1426-1431.

http：//xueshu.baidu.com/s？wd=paperuri%3A%28eda56fad603f84741f0a01c931f5ca56%29&filter=sc_long_sign&tn=SE_xueshusource_2kduw22v&sc_vurl=http%3A%2F%2Fwww.scientific.net%2FAMR.129-131.1426&ie=utf-8&sc_us=2224052801561460832

[6]L T， LIU P. Multi-Agent network security audit system based on information entropy [C]// SWS 2010： Proceedings of the 2010 IEEE 2nd Symposium on Web Society. Piscataway： IEEE， 2010： 367-371

[7]HUANG X， HUENG X， QUAN P. Research on firewall system for confidential network [J]. Advanced Materials Research， 2012， 434-440： 4279-4283.

http：//xueshu.baidu.com/s？wd=paperuri%3A%28acbe264444054dcd5c37b8ed816b2b83%29&filter=sc_long_sign&tn=SE_xueshusource_2kduw22v&sc_vurl=http%3A%2F%2Fwww.scientific.net%2FAMR.433-440.4279&ie=utf-8&sc_us=2535543053782017323

[8]張樹壯，羅浩，方濱興.面向網(wǎng)絡(luò)安全的正則表達式匹配技術(shù)[J].軟件學(xué)報，2011，22（8）：1838-1854. （ZHANG S Z， LUO H， FANG B X. Regular expressions matching for network security[J].Journal of Software， 2011， 22（8）： 1838-1854.）

[9]邵妍.正則表達式匹配算法并行化技術(shù)研究[D].北京：北京郵電大學(xué)，2013：15-18. （SHAO Y. Parallelization technology of regular expression matching algorithms [D]. Beijing： Beijing University of Posts and Telecommunications， 2013： 15-18.）

[10]YU F， CHEN Z F， DIAO Y L， et al. Fast and memory-efficient regular expression matching for deep packet inspection [C]// ANCS 06： Proceedings of the 2006 IEEE/ACM Symposium on Architectures for Networking and Communications Systems. New York： ACM， 2006： 93-102.

[11]蔡良偉，程璐，李軍，等.基于遺傳算法的正則表達式規(guī)則分組優(yōu)化[J].深圳大學(xué)學(xué)報（理工版），2015，32（3）：281-289. （CAI L W， CHENG L， LI J， et al. Regular expression grouping optimization based on genetic algorithm[J]. Journal of Shenzhen University （Science and Engineering）， 2015， 32（3）： 281-289.）

[12]張運明.協(xié)議行為審計關(guān)鍵技術(shù)研究與實現(xiàn)[D].長沙：國防科學(xué)技術(shù)大學(xué)，2010： 11-13. （ZHANG Y M. The research and implementation of the key technology of protocol behavior audit [D]. Changsha： National University of Defense Technology， 2010： 11-13.）

[13]陳曙暉，蘇金樹.基于內(nèi)容分析的協(xié)議識別研究[J].國防科技大學(xué)學(xué)報，2008，30（4）：82-87. （CHEN S H， SU J S. Protocol identification research based on content analysis [J]. Journal of National University of Defense Technology， 2008， 30（4）： 82-87.）