1, Ktrie的作用。对于扫描HTTP Request的某一个Field(head/body etc..) 的数据,我们希望对应的数据能快速找到关注这个field的规则集合,Ktrie解决了这个问题。我们解析HTTP 的body数据,通过匹配Ktrie中的"b-o-d-y"路径,找到"y"叶子结点。
初始化:Ktrie的每个路径(即从根节点到叶子结点)为用于扫描的HTTP 某个Field(比如body/header/args etc..),叶子结点存储了关注此Field的所有规则ID(经过排序),规则内容的地址
创建AC节点。纯正则的规则组合起来,用于hyperscan匹配,不涉及AC算法。将带有模式串的规则中模式串提取出来,作为Pattern添加到AC节点。
根据所有的Pattern,构建goto表、fail表和output表。状态数=所有Pattern的字符之和+1(表示状态0);状态表=goto[256字符] + failstate+matchlist;初始化所有的状态表为-1。
goto表:它的建立类似于建立字典树。对于每个Pattern中的每个字符确定一个状态,建立状态s + Pattern中字符跳转的下一个状态。
output表:对于每个Pattern,最后一个状态记录状态和Pattern的对于关系
初始化状态0的fail表为0,之前为-1
fail表: