精确单字符串匹配BM算法及其在snort中的C语言实现代码解析

1、精确单字符串匹配BM算法及其在snort中的C语言实现代码解析一、BM算法概念首先，先简单说明一下有关BM算法的一些基本概念。 BM算法是一种精确字符串匹配算法（区别于模糊匹配）。 BM算法采用从右向左比较的方法，同时应用到了两种启发式规则，即坏字符规则和好后缀规则，来决定向右跳跃的距离。二、BM算法思想1、三个shift函数：d1,d2,d3，函数的作用是决定当匹配不成功时窗口的移动位数。2、假设一个情况：已经读入了一个既是搜索窗口中的文本的后缀，同时也是模式串后缀的字符串u,并且读入的下一个文本字符与模式串的下一个字符a不相等。3、窗口安全移动是指窗口移动意味着读入新的字符，放弃上一个窗口

2、的前面几个字符，要保证放弃的字符确实无法参与匹配。窗口移动方向是从前向后。算法的核心思想是对于模式串，可能至少有2个相同部分，这些部分肯定有一个在模式串的后缀，其它的部分可能在模式串的中间，也可能在模式串的前缀，在后缀搜索时，发现了文本串和模式串的部分匹配X，此时，如果模式串除了后缀外，其它部分还含有X，则使文本串和模式中发生不匹配的读入的字符加上原来的匹配的X形成的部分有可能与模式串其它部分的X发生匹配（如果与模式串所有的X不匹配，则说明这个窗口内不可能发生匹配），安全地向后移动窗口，放弃的部分肯定不会发生匹配了。1）d1:后缀u在模式串p中的另一个位置是最右出现位置是j（不包括在模式串尾的

3、出现）,文本串的窗口安全移动方法是将窗口移动m-j字符，使文本中的u与模式串中最右边的u的出现位置相对齐。对模式中的每个后缀，计算它到它的下一个出现之间的距离，即shift的d1，如果P的后缀u不在P中重复出现，则d1(u)被置为模式串长度m2）d2:后缀u不出现在p中的任何其他位置。但u的后缀v可能是模式串p的一个前缀，需要对模式串所有的后缀计算第二个函数d2。对于P的每个后缀u,d2(u)表示既是P的前缀，同时也是u的后缀的最长字符串v的长度.3）d3:在搜索窗口中从后向前搜索时，在文本字符处不能成功匹配。保证下一次验证时文本字符一定与模式串中的一个字符相对应（即：使上次匹配不成功的那个字

4、符能在模式串的第二个X部分匹配成功，在模式串中找到这个字符，该字符是X的前面一个字符），对每个字母表中的每个字符，d3()表示在模式串的最右出现位置到模式串末尾的距离，如果不在P中，d3为m4、读入文本字符串u并在字符上不匹配时，进行如下几次比较：1） 第一次：取d1(u)和d3()中较大值。2）第二次:以上面的比较结果与m-d2(u)中的较小者，因为后者是最大的安全移动距离。5、如果抵达了窗口的起始位置，说明发现阶段一个成功匹配，用d2计算窗口的下一次移动距离，进行继续匹配。三、BM算法的基本流程图解设文本串T，模式串为P。首先将T与P进行左对齐，然后进行从右向左比较，如下图所示:若是某趟比

5、较不匹配时，BM算法就采用两条启发式规则，即坏字符规则和好后缀规则，来计算模式串向右移动的距离，直到整个匹配过程的结束。 下面，来详细介绍一下坏字符规则和好后缀规则。首先，诠释一下坏字符和好后缀的概念。 请看下图： 图中，第一个不匹配的字符（红色部分）为坏字符，已匹配部分（绿色）为好后缀。 1）坏字符规则（Bad Character）：在BM算法从右向左扫描的过程中，若发现某个字符x不匹配，则按如下两种情况讨论：i. 如果字符x在模式P中没有出现，那么从字符x开始的m个文本显然不可能与P匹配成功，直接全部跳过该区域即可。ii. 如果x在模式P中出现，则以该字符进行对齐。用数学公式表示，设Ski

6、p(x)为P右移的距离，m为模式串P的长度，max(x)为字符x在P中最右位置。例1： 下图红色部分，发生了一次不匹配。 计算移动距离Skip(c) = 5 - 3 = 2，则P向右移动2位。 移动后如下图： 2）好后缀规则（Good Suffix）：若发现某个字符不匹配的同时，已有部分字符匹配成功，则按如下两种情况讨论：i. 如果在P中位置t处已匹配部分P在P中的某位置t也出现，且位置t的前一个字符与位置t的前一个字符不相同，则将P右移使t对应t方才的所在的位置。ii. 如果在P中任何位置已匹配部分P都没有再出现，则找到与P的后缀P相同的P的最长前缀x，向右移动P，使x对应方才P后缀所在的位

7、置。用数学公式表示，设Shift(j)为P右移的距离，m为模式串P的长度，j 为当前所匹配的字符位置，s为t与t的距离（以上情况i）或者x与P的距离（以上情况ii）。以上过程有点抽象，所以我们继续图解。例2：下图中，已匹配部分cab（绿色）在P中再没出现。再看下图，其后缀T（蓝色）与P中前缀P（红色）匹配，则将P移动到T的位置。移动后如下图：自此，两个规则讲解完毕。在BM算法匹配的过程中，取SKip(x)与Shift(j)中的较大者作为跳跃的距离。 BM算法预处理时间复杂度为O（m+s），空间复杂度为O(s)，s是与P, T相关的有限字符集长度，搜索阶段时间复杂度为O(mn)。最好情况下的时间

8、复杂度为O(n/m)，最坏情况下时间复杂度为O(mn)。四、BM模式匹配算法-实现C 语言代码下面是根据SNORT中提取出的代码实现的。#includeusing namespace std;/#define u_char unsigned char /* * 函数：int* MakeSkip(char *, int)目的：根据坏字符规则做预处理，建立一张坏字符表参数：ptrn = 模式串PPLen = 模式串P长度 返回： int* - 坏字符表 */int* MakeSkip(char *ptrn, int pLen)int i;/为建立坏字符表，申请256个int的空间/*要申请256个

9、空间的原因，是因为一个字符是8位，所以字符可能有2的8次方即256种不同情况*/int *skip = (int*)malloc(256*sizeof(int);if(skip = NULL) /如空间分配失败则报错并退出fprintf(stderr, malloc failed!);return 0;/初始化坏字符表，256个单元全部初始化为模式串长度pLenfor(i = 0; i 模式串PPLen = 模式串P长度 返回： int* - 好后缀表 */int* MakeShift(char* ptrn,int pLen)/为好后缀表申请pLen个int的空间int *shift = (i

10、nt*)malloc(pLen*sizeof(int);int *sptr = shift + pLen - 1;/方便给好后缀表进行赋值的指标，初始指向模式串最后一个字符位置的地址char *pptr = ptrn + pLen - 1;/记录好后缀表边界位置的指标，开始指向模式串最后一个字符的地址char c; /用于保存模式串中最后一个字符if(shift = NULL) /空间分配失败则报错并退出fprintf(stderr,malloc failed!);return 0;c = *(ptrn + pLen - 1);/保存模式串中最后一个字符，因为要反复用到它*sptr = 1;/

11、以最后一个字符为边界时，确定移动距离为1/pptr-;/边界移动到倒数第二个字符（这句是我自己加上去的，因为我总觉得不加上去会有BUG，大家试试abcdd的情况，即末尾两位重复的情况）while(sptr- != shift)/该最外层循环完成给好后缀表中每一个单元进行赋值的工作char *p1 = ptrn + pLen - 2, *p2,*p3;/该do.while循环完成以当前pptr所指的字符为边界时，要移动的距离dowhile(p1 = ptrn & *p1- != c);/该空循环，寻找与最后一个字符c匹配的字符所指向的位置p2 = ptrn + pLen - 2;p3 = p1;

12、while(p3 = ptrn & *p3- = *p2- & p2 = pptr);/该空循环，判断在边界内字符匹配到了什么位置while(p3 = ptrn & p2 = pptr);*sptr = shift + pLen - sptr + p2 - p3;/保存好后缀表中，以pptr所在字符为边界时，要移动的位置/*在这里声明一句，*sptr = （shift + pLen - sptr） + p2 - p3; 看被用括号括起来的部分，如果只需要计算字符串移动的距离，那么括号中的那部分是不需要的。 因为在字符串自左向右做匹配的时候，指标是一直向左移的，这里*sptr保存的内容，实际是指

13、标要移动距离，而不是字符串移动的距离。我想SNORT是出于性能上的考虑，才这么做的。 */pptr-;/边界继续向前移动return shift;/*函数：int* BMSearch(char *, int , char *, int, int *, int *)目的：判断文本串T中是否包含模式串P参数： buf = 文本串Tblen = 文本串T长度ptrn = 模式串PPLen = 模式串P长度skip = 坏字符表shift = 好后缀表 返回： int - 1表示成功（文本串包含模式串），0表示失败（文本串不包含模式串）。 */int BMSearch(char *buf, int b

14、len, char *ptrn, int plen, int *skip, int *shift)int b_idx = plen; if (plen = 0) /模式串为空则无需查找，返回return 1;while (b_idx = blen)/计算字符串是否匹配到了尽头int p_idx = plen, skip_stride, shift_stride;while (buf-b_idx = ptrn-p_idx)/开始匹配 if (b_idx shift_stride) ? skip_stride : shift_stride;/取大者return 0;int main(int arg

15、c, char* argv) /char test = 000000000CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA00; /char find = CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA00;/printf(%d,sizeof(int);/* char test = x90 x90 x90 x90 x90 x90 xe8xc0 xffxffxff/bin/shx90 x90 x90 x90 x90 x90 x90 x90 x90 x90; char find = xe8xc0 xffxffxff/bin/sh; */char test = avbcatelmaddd;char find = lmaddd; int *shift; int *skip;shift=MakeShift(find,sizeof(find)-1); skip=MakeSk