[发明专利]规则编译匹配方法及装置

说明书

技术领域

本发明实施例涉及计算机领域，尤其涉及一种规则编译匹配方法及装置。

背景技术

随着计算机和网络的普遍应用，来自网络安全威胁的攻击手段逐渐复杂化，保证计算机和网络安全就显得越来越重要。

入侵检测可以主动发现攻击和实时防护，对计算机网络安全起着重要的作用，以Snort为代表的开源入侵检测防护系统采用的规则编译匹配机制大致为：根据检测规则生成规则树，其中，检测规则由一组具有逻辑关系的特征元的集合组成，特征元为入侵检测，防病毒、垃圾邮件检测过滤等应用中定义的模式字符串，特征元以逻辑运算关系为组织关系构成规则条件，一条规则中至少有一条规则条件。每条检测规则的条件以逻辑与的运算方式组合在一起，规则库中的不同规则以逻辑或的运算方式构成规则库。在数据流检测匹配时，只有在一条规则中的每个条件成立时才为真，相应规则才能告警。Snort在构建规则树时先将所有的检测规则根据使用的协议分为互联网协议(Internet Protocol，IP)、传输控制协议(Transmission Control Protocol，TCP)、用户数据报协议(User Datagram Protocol，UDP)和互联网控制报文协议(Internet Control Message Protocol，ICMP)四个主要节点，然后将检测规则以链表的形式对应串在四个主要节点上，抓取网络数据流后根据网络数据流的协议匹配IP、TCP、UDP或ICMP，匹配上四个主要节点中某个节点后，在对应的链表中从链表头开始依次遍历匹配链表中的所有规则，因此，Snort在对网络数据流进行匹配检测时很耗费时间。

发明内容

本发明实施例提供一种规则编译匹配方法及装置，在对网络数据流规则匹配时使用基于索引表结构的规则树，无需对所有规则全部遍历匹配，减少了需要匹配的规则的个数，有效提高了搜索匹配的效率。

第一方面，本发明实施例提供一种规则编译匹配方法，所述方法包括：

获取待匹配数据，根据所述待匹配数据对应的协议类型、端口类型对所述待匹配数据进行应用识别后在规则树中确定对应的子规则树；其中，所述规则树包括分别与多个端口类型对应的多个所述子规则树；

确定所述待匹配数据中包括的多个特征元的特征元类别，并根据所述特征元类别在所述子规则树中获取对应的规则子集；其中，所述子规则树中包括多个规则子集，各规则子集中包括对应的特征元类别下所有用于对所述待匹配数据进行匹配的规则；

根据所述规则子集中包括的规则，对所述待匹配数据进行匹配。

第二方面，本发明实施例提供一种规则编译匹配装置，所述装置包括：

第一获取单元，用于获取待匹配数据，根据所述待匹配数据对应的协议类型、端口类型对所述待匹配数据进行应用识别后在规则树中确定对应的子规则树；其中，所述规则树包括分别与多个端口类型对应的多个所述子规则树；

第二获取单元，用于确定所述待匹配数据中包括的多个特征元的特征元类别，并根据所述特征元类别在所述子规则树中获取对应的规则子集；其中，所述子规则树中包括多个规则子集，各规则子集中包括对应的特征元类别下所有用于对所述待匹配数据进行匹配的规则；

匹配单元，用于根据所述规则子集中包括的规则，对所述待匹配数据进行匹配。

本发明实施例提供的规则编译匹配方法及装置，首先获取待匹配数据，根据所述待匹配数据对应的协议类型、端口类型对所述待匹配数据进行应用识别后在规则树中确定对应的子规则树，然后确定所述待匹配数据中包括的多个特征元的特征元类别，并根据所述特征元类别在所述子规则树中获取对应的规则子集，最后根据所述规则子集中包括的规则，对所述待匹配数据进行匹配。这样，在对网络数据流规则匹配时无需对所有规则全部遍历匹配，减少了需要匹配的规则的个数，有效提高了搜索匹配的效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的规则编译匹配方法的流程示意图一；

图2为本发明实施例提供的规则编译匹配方法的流程示意图二；

图3为本发明实施例提供的规则树的构建方法的流程示意图一；

图4为本发明实施例提供的规则树的构建方法的流程示意图二；

图5为本发明实施例提供的规则编译匹配方法的效果示意图一；