[发明专利]计算机网络入侵防御方法、装置、存储介质及处理器

说明书

本申请公开了一种计算机网络入侵防御方法、装置、存储介质及处理器。该方法包括：在网络传输协议模式为流模式的情况下，从缓存数据块中获取缓存数据，其中，缓存数据为根据网络数据确定的缓存数据块中的数据；对缓存数据对应的规则进行预过滤，得到过滤后的目标规则，并将目标规则以位图的形式进行展示；对位图进行检测分析，得到分析结果，其中，分析结果包括以下至少之一：目标规则被匹配成功、目标规则被匹配失败。通过本申请，解决了相关技术中对网络威胁数据进行防御检测时效率较低的问题。

技术领域

本申请涉及网络威胁防御检测技术领域，具体而言，涉及一种计算机网络入侵防御方法、装置、存储介质及处理器。

背景技术

基于snort规则实现的入侵防御检测大都利用了fast pattern进行快速匹配，fast pattern可以理解为从一条snort规则的特征集合中挑选出的最不常见的字符串。但因为fast pattern在流中出现的位置不确定，需要缓存流数据便于单个规则推导时向前回溯。

为保证规则的检出率，需要尽量缓存数据块，现有技术方案一般从流的开始就缓存数据块，而且最大缓存比较大，可能一条流最大能缓存1M，另外每次有新数据过来都需要将整个缓存数据块逐一扫描推导下通过fast pattern预过滤出来的规则。因此，检测效率较低。

针对相关技术中对网络威胁数据进行防御检测时效率较低的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种计算机网络入侵防御方法、装置、存储介质及处理器，以解决相关技术中对网络威胁数据进行防御检测时效率较低的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种计算机网络入侵防御方法。该方法包括：在网络传输协议模式为流模式的情况下，从缓存数据块中获取缓存数据，其中，缓存数据为根据网络数据确定的缓存数据块中的数据；对缓存数据对应的规则进行预过滤，得到过滤后的目标规则，并将目标规则以位图的形式进行展示；对位图进行检测分析，得到分析结果，其中，分析结果包括以下至少之一：目标规则被匹配成功、目标规则被匹配失败。

进一步地，从缓存数据块中获取缓存数据之前，该方法还包括：判断网络数据的传输协议的模式是否属于流模式；若网络威胁数据的传输协议的模式属于流模式，获取网络数据中的缓存数据块；若网络数据的传输协议的模式不属于流模式，通过目标匹配规则对数据进行预过滤。

进一步地，若缓存数据块数量增加时，从缓存数据块中获取缓存数据包括：判断当前缓存数据块的需要的内存空间是否大于数据流中的缓存数据块的内存的初始预设空间；若当前缓存数据块的需要的内存空间值大于数据流中的缓存数据块的内存的初始预设空间值时，将当前缓存数据块链表的头部的内存空间插入当前缓存数据块链表的尾部，进而确定新增缓存数据块的目标内存空间；通过目标内存空间读取缓存数据。

进一步地，在对位图进行检测分析，得到分析结果之前，该方法还包括：根据位图中不同位置对目标规则的特征进行分组，其中，每个特征分组中至少包括目标规则的一个特征；对每个特征分组进行遍历，并判断特征分组在位图中位置的设置值是否为第一预设值；对位图进行检测分析，得到分析结果包括：若目标规则的当前特征分组在位图中的位置的设置值为第一预设值，按照预设顺序对目标规则中剩余的特征分组进行遍历；若当前特征分组在位图中的位置的设置值不为第一预设值，对当前特征分组中每个特征进行遍历，得到遍历结果，其中，遍历结果包括以下至少之一：当前特征分组中目标特征被匹配成功、当前特征分组中目标特征被匹配失败；在当前特征分组中目标特征被匹配成功的情况下，将当前特征分组在位图中的位置的设置为第一预设值，并判断目标规则的位图的值是否为第二预设值，若目标规则的位图的值为第二预设值，确定目标规则被匹配成功。

进一步地，在确定目标规则被匹配成功之后，该方法还包括：执行目标规则的响应动作使得防御系统能够应对网络威胁数据。