[发明专利]一种基于特征值生成与检索的防火墙规则匹配方法

说明书

本发明涉及一种基于特征值生成与检索的防火墙规则匹配算法。本发明的方法包括规则集处理和对数据包匹配；规则集处理包括输入并初始化规则集、对每条规则生产特征值，以及，基于规则特征值的数字大小，对特征值进行排序；对数据包匹配包括：对待匹配的数据包生成特征值；在规则特征值集里二分查找生成的特征值；如果查找得到一致的特征值，执行对应规则的策略；如果查找不到，则向上去匹配比数据包特征值更大的规则特征值；查找和数据包特征值匹配的规则；匹配则执行规则设定的策略，不匹配则执行默认策略。本发明提供了一种性能出色，空间复杂度可控，对增减规则支持友好的防火墙规则匹配算法。

技术领域

本发明涉及信息安全技术领域，尤其是一种基于特征值生成与检索的防火墙规则匹配算法。

背景技术

在互联网与信息化时代，组织与个人时刻都在产生及请求大量数据。数据通过网络交互传输，这其中又隐藏了大量的恶意信息。防火墙作为保障网络安全的重要手段和设施，起着不可或缺的作用。防火墙设备的核心工作原理之一，就是根据预设或习得的规则，对过往数据包进行检查匹配并处理。这其中，通信数据匹配性能成为影响防火墙网络吞吐能力与响应速度的关键。高性能的数据包匹配策略与算法对优化防火墙设备网络性能具有重大意义。

传统的防火墙规则匹配算法具有各种不完善的地方。

比如linux的netfilter防火墙框架，对规则的匹配是简单的顺序匹配，具有线性时间复杂度，在大规模规则情景下效率低下。

Ternary CAM算法、Bitmap Intersection算法等是基于专用芯片与设备的算法，适用范围狭窄。

Hierachical Tries是一种基于Trie树的最长前缀匹配算法，该算法对规则维数的可扩展性支持比较差，规则动态更新困难，不支持业务逻辑层面的灵活高效匹配，比如地址范围、端口范围的比对；Set-Pruning Tries算法通过复制规则来改进了HierachicalTries算法的回溯问题，但是又带来了空间复杂度上升以及对动态更新规则的困难；

RFC算法是另一类典型的包分类和规则匹配算法，其核心思想是构建规则的交叉乘积表来实现高效匹配。该算法实现比较复杂，在大规模规则集、多维的场景下，规则预处理和生成交叉乘积表的空间复杂度不可控。

还有另外一大类算法，核心思想是基于对规则的历史匹配数统计(统计数据可以来自防火墙引擎或防火墙日志统计)，来调整规则的匹配顺序和优先级，从而达到降低规则的平均匹配数量，改善性能的效果。这类算法的缺点在于它是依赖历史匹配数统计，依赖待处理数据的特征以及匹配统计情况；因此性能不稳定；优点是实现很简单。

发明内容

本发明解决的技术问题在于提供一种基于特征值生成与检索的防火墙规则匹配算法；提供一种性能出色，空间复杂度可控，对增减规则支持友好的算法。

本发明解决上述技术问题的技术方案是：

所述的方法包括规则集处理和对数据包匹配；

所述的规则集处理包括输入并初始化规则集、对每条规则生产特征值，以及，基于规则特征值的数字大小，对特征值进行排序；

所述的对数据包匹配包括：

对待匹配的数据包生成特征值；

在规则特征值集里二分查找生成的特征值；

如果查找得到一致的特征值，执行对应规则的策略；如果查找不到，则向上去匹配比数据包特征值更大的规则特征值；

查找和数据包特征值匹配的规则；匹配则执行规则设定的策略，不匹配则执行默认策略。

所述的输入并初始化规则集包括对语义逻辑重复的规则进行清除，对具有复杂逻辑的规则进行分解，对规则进行逻辑上、格式上的完整补充。