首页
/ Zeek项目中正则表达式引擎在大重复计数时的状态爆炸问题分析

Zeek项目中正则表达式引擎在大重复计数时的状态爆炸问题分析

2025-06-01 15:59:38作者:郜逊炳

问题背景

在网络安全监控工具Zeek的最新开发版本中,发现了一个与正则表达式引擎相关的严重性能问题。当使用包含大量重复计数(如.{32769})的正则表达式模式时,会导致系统出现栈溢出崩溃。这个问题最初是在处理简单的PCAP文件时发现的,即使是最基本的SSH连接跟踪也会触发崩溃。

技术细节分析

问题表现

当Zeek尝试处理包含特定文件魔数签名的流量时,如file-magic /^.{32769}CD001/这样的正则表达式模式,会引发以下问题:

  1. 系统产生约20万层的递归调用栈
  2. 最终导致栈空间耗尽,出现段错误(Segmentation Fault)
  3. 使用地址消毒剂(ASAN)检测时,明确报告为栈溢出错误

根本原因

这个问题源于Zeek正则表达式引擎的内部实现机制:

  1. NFA构造方式:Zeek使用非确定性有限自动机(NFA)来实现正则表达式匹配
  2. 重复操作处理:对于像.{n}这样的大重复计数,引擎会生成大量连续的ε转移状态
  3. 析构过程递归:当这些状态对象被销毁时,析构函数的递归调用链过长,超过了系统栈容量限制

影响范围

这种问题特别容易出现在文件类型识别的场景中,因为:

  1. 文件魔数签名经常使用通配符匹配
  2. 某些文件格式(如ISO9660)的签名可能位于文件较远的位置
  3. 开发者倾向于使用大重复计数来确保匹配灵活性

解决方案与优化建议

临时解决方案

  1. 使用.*替代.{n}模式,利用正则引擎的贪婪匹配特性
  2. 避免在签名中使用精确的大重复计数

长期改进方向

从技术架构角度,可以考虑以下优化:

  1. NFA构造优化:改进重复操作的自动机构建算法,避免生成过多中间状态
  2. 迭代式析构:将递归的析构过程改为迭代实现,防止栈溢出
  3. 重复计数限制:在引擎层面添加对大重复计数的安全检查和警告

经验总结

这个案例为开发者提供了几个重要启示:

  1. 正则表达式性能:即使简单的模式在特定实现下也可能导致严重性能问题
  2. 边界条件测试:需要对各种极端输入(如大重复计数)进行充分测试
  3. 递归深度控制:在核心基础设施代码中需要特别注意递归深度问题

对于Zeek用户来说,目前建议避免在签名中使用大重复计数,而改用更高效的通配符模式。开发团队也在评估更根本的解决方案来优化正则表达式引擎的实现。

登录后查看全文
热门项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
152
1.97 K
kernelkernel
deepin linux kernel
C
22
6
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
486
37
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
315
10
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
191
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
991
395
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
193
276
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
937
554
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
69