[发明专利]基于规则特征的全流量入侵检测方法、装置、设备及介质

说明书

本发明提供了一种基于规则特征的全流量入侵检测方法、装置、设备及介质，其方法包括：获取网络流量，并对所述网络流量进行预处理，获得流量元数据；获取规则文件，并对所述规则文件进行解析，获得多个特征组；获取所述规则文件的特征信息，并根据所述特征信息将所述多个特征组划分为预过滤规则组和非预过滤规则组；基于第一匹配方式对所述流量元数据和所述非预过滤规则组进行匹配，获得第一匹配结果，并根据所述第一匹配结果生成告警数据；基于第二匹配方式对所述流量元数据和所述预过滤规则组进行匹配，获得第二匹配结果，并根据所述第二匹配结果生成告警数据。本发明提高了网络流量入侵检测的效率和吞吐量。

技术领域

本发明涉及计算机安全技术领域，具体涉及一种基于规则特征的全流量入侵检测方法、装置、设备及介质。

背景技术

入侵检测是指依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

伴随着互联网流量的高速增长，1G、10G、50G，来到现在的100G，传统基于特征值的入侵检测系统在应对高带宽的全流量时存在力不从心，只能依靠负载均衡，堆叠更多地硬件来提高处理性能，导致入侵检测效率和吞吐量较低的技术问题。

因此，现在亟需一种基于规则特征的全流量入侵检测方法、装置、设备及介质来解决如何利用现有入侵检测硬件设备，提升单台设备的入侵检测效率和吞吐量。

发明内容

有鉴于此，有必要提供一种基于规则特征的全流量入侵检测方法、装置、设备及介质，用以解决现有技术中存在的入侵检测效率和吞吐量较低的技术问题。

一方面，本发明提供了一种基于规则特征的全流量入侵检测方法，包括：

获取网络流量，并对所述网络流量进行预处理，获得流量元数据；

获取规则文件，并对所述规则文件进行解析，获得多个特征组；

获取所述规则文件的特征信息，并根据所述特征信息将所述多个特征组划分为预过滤规则组和非预过滤规则组；

基于第一匹配方式对所述流量元数据和所述非预过滤规则组进行匹配，获得第一匹配结果，并根据所述第一匹配结果生成告警数据；

基于第二匹配方式对所述流量元数据和所述预过滤规则组进行匹配，获得第二匹配结果，并根据所述第二匹配结果生成告警数据。

在一些可能的实现方式中，所述第一匹配方式为五元组匹配；所述基于第一匹配方式对所述流量元数据和所述非预过滤规则组进行匹配，获得第一匹配结果，并根据所述第一匹配结果生成告警数据，包括：

获取所述流量元数据的五元组；

将所述五元组和所述非预过滤规则组进行哈希匹配，获得第一匹配结果；

当所述第一匹配结果为成功时，生成所述告警数据。

在一些可能的实现方式中，所述第二匹配方式为多模匹配；所述基于第二匹配方式对所述流量元数据和所述预过滤规则组进行匹配，获得第二匹配结果，并根据所述第二匹配结果生成告警数据，包括：

基于所述多模匹配对所述流量元数据和所述预过滤规则组进行匹配，获得第二匹配结果；

当所述第二匹配结果为成功时，根据所述流量元数据生成候选者列表；

基于第三匹配方式对所述候选者列表和所述预过滤规则组进行匹配，获得第三匹配结果，并根据所述第三匹配结果生成告警数据。

在一些可能的实现方式中，所述第三匹配方式为单模匹配；所述基于第三匹配方式对所述候选者列表和所述预过滤规则组进行匹配，获得第三匹配结果，并根据所述第三匹配结果生成告警数据，包括：