規(guī)則編譯匹配方法及裝置制造方法
【專利摘要】本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配方法及裝置,涉及計算機(jī)領(lǐng)域����,在對網(wǎng)絡(luò)數(shù)據(jù)流規(guī)則匹配時,無需對所有規(guī)則全部遍歷匹配�,減少了需要匹配的規(guī)則的個數(shù),有效提高了搜索匹配的效率�。具體方案為:首先獲取待匹配數(shù)據(jù),根據(jù)待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型��、端口類型對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹��,然后確定待匹配數(shù)據(jù)中包括的多個特征元的特征元類別����,并根據(jù)特征元類別在子規(guī)則樹中獲取對應(yīng)的規(guī)則子集����,最后根據(jù)規(guī)則子集中包括的規(guī)則����,對待匹配數(shù)據(jù)進(jìn)行匹配。本發(fā)明的實(shí)施例用于入侵檢測���。
【專利說明】規(guī)則編譯匹配方法及裝置【技術(shù)領(lǐng)域】
[0001]本發(fā)明實(shí)施例涉及計算機(jī)領(lǐng)域����,尤其涉及一種規(guī)則編譯匹配方法及裝置��。
【背景技術(shù)】
[0002]隨著計算機(jī)和網(wǎng)絡(luò)的普遍應(yīng)用�,來自網(wǎng)絡(luò)安全威脅的攻擊手段逐漸復(fù)雜化,保證計算機(jī)和網(wǎng)絡(luò)安全就 顯得越來越重要���。
[0003]入侵檢測可以主動發(fā)現(xiàn)攻擊和實(shí)時防護(hù)�,對計算機(jī)網(wǎng)絡(luò)安全起著重要的作用����,以Snort為代表的開源入侵檢測防護(hù)系統(tǒng)采用的規(guī)則編譯匹配機(jī)制大致為:根據(jù)檢測規(guī)則生成規(guī)則樹,其中,檢測規(guī)則由一組具有邏輯關(guān)系的特征元的集合組成���,特征元為入侵檢測��,防病毒��、垃圾郵件檢測過濾等應(yīng)用中定義的模式字符串�,特征元以邏輯運(yùn)算關(guān)系為組織關(guān)系構(gòu)成規(guī)則條件��,一條規(guī)則中至少有一條規(guī)則條件����。每條檢測規(guī)則的條件以邏輯與的運(yùn)算方式組合在一起�,規(guī)則庫中的不同規(guī)則以邏輯或的運(yùn)算方式構(gòu)成規(guī)則庫。在數(shù)據(jù)流檢測匹配時��,只有在一條規(guī)則中的每個條件成立時才為真�,相應(yīng)規(guī)則才能告警。Snort在構(gòu)建規(guī)則樹時先將所有的檢測規(guī)則根據(jù)使用的協(xié)議分為互聯(lián)網(wǎng)協(xié)議(Internet Protocol, IP)�����、傳輸控制協(xié)議(Transmission Control Protocol, TCP)��、用戶數(shù)據(jù)報協(xié)議(User DatagramProtocol, UDP)和互聯(lián)網(wǎng)控制報文協(xié)議(Internet Control Message Protocol, ICMP)四個主要節(jié)點(diǎn),然后將檢測規(guī)則以鏈表的形式對應(yīng)串在四個主要節(jié)點(diǎn)上��,抓取網(wǎng)絡(luò)數(shù)據(jù)流后根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流的協(xié)議匹配IP�����、TCP����、UDP或ICMP,匹配上四個主要節(jié)點(diǎn)中某個節(jié)點(diǎn)后�,在對應(yīng)的鏈表中從鏈表頭開始依次遍歷匹配鏈表中的所有規(guī)則,因此��,Snort在對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行匹配檢測時很耗費(fèi)時間���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配方法及裝置����,在對網(wǎng)絡(luò)數(shù)據(jù)流規(guī)則匹配時使用基于索引表結(jié)構(gòu)的規(guī)則樹��,無需對所有規(guī)則全部遍歷匹配��,減少了需要匹配的規(guī)則的個數(shù)����,有效提高了搜索匹配的效率����。
[0005]第一方面�����,本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配方法�����,所述方法包括:
[0006]獲取待匹配數(shù)據(jù)��,根據(jù)所述待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型��、端口類型對所述待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹����;其中��,所述規(guī)則樹包括分別與多個端口類型對應(yīng)的多個所述子規(guī)則樹��;
[0007]確定所述待匹配數(shù)據(jù)中包括的多個特征元的特征元類別��,并根據(jù)所述特征元類別在所述子規(guī)則樹中獲取對應(yīng)的規(guī)則子集;其中�����,所述子規(guī)則樹中包括多個規(guī)則子集���,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對所述待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則����;
[0008]根據(jù)所述規(guī)則子集中包括的規(guī)則�,對所述待匹配數(shù)據(jù)進(jìn)行匹配。
[0009]第二方面�����,本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配裝置���,所述裝置包括:
[0010]第一獲取單元��,用于獲取待匹配數(shù)據(jù)�����,根據(jù)所述待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型��、端口類型對所述待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹�;其中,所述規(guī)則樹包括分別與多個端口類型對應(yīng)的多個所述子規(guī)則樹���;
[0011]第二獲取單元��,用于確定所述待匹配數(shù)據(jù)中包括的多個特征元的特征元類別��,并根據(jù)所述特征元類別在所述子規(guī)則樹中獲取對應(yīng)的規(guī)則子集�;其中���,所述子規(guī)則樹中包括多個規(guī)則子集�����,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對所述待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則�����;
[0012]匹配單元�����,用于根據(jù)所述規(guī)則子集中包括的規(guī)則���,對所述待匹配數(shù)據(jù)進(jìn)行匹配。
[0013]本發(fā)明實(shí)施例提供的規(guī)則編譯匹配方法及裝置���,首先獲取待匹配數(shù)據(jù)���,根據(jù)所述待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型、端口類型對所述待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹����,然后確定所述待匹配數(shù)據(jù)中包括的多個特征元的特征元類別,并根據(jù)所述特征元類別在所述子規(guī)則樹中獲取對應(yīng)的規(guī)則子集���,最后根據(jù)所述規(guī)則子集中包括的規(guī)貝U����,對所述待匹配數(shù)據(jù)進(jìn)行匹配�。這樣,在對網(wǎng)絡(luò)數(shù)據(jù)流規(guī)則匹配時無需對所有規(guī)則全部遍歷匹配��,減少了需要匹配的規(guī)則的個數(shù)�,有效提高了搜索匹配的效率。
【專利附圖】
【附圖說明】
[0014]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹�����,顯而易見地�,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖�。
[0015]圖1為本發(fā)明實(shí)施例提供的規(guī)則編譯匹配方法的流程示意圖一;
[0016]圖2為本發(fā)明實(shí)施例提供的規(guī)則編譯匹配方法的流程示意圖二 �;
[0017]圖3為本發(fā)明實(shí)施例提供的規(guī)則樹的構(gòu)建方法的流程示意圖一;
[0018]圖4為本發(fā)明實(shí)施例提供的規(guī)則樹的構(gòu)建方法的流程示意圖二 ����;
[0019]圖5為本發(fā)明實(shí)施例提供的規(guī)則編譯匹配方法的效果示意圖一;
[0020]圖6為本發(fā)明實(shí)施例提供的規(guī)則編譯匹配方法的效果示意圖二 ��;
[0021]圖7為本發(fā)明實(shí)施例提供的規(guī)則編譯匹配裝置的結(jié)構(gòu)示意圖一�����;
[0022]圖8為本發(fā)明實(shí)施例提供的規(guī)則編譯匹配裝置的結(jié)構(gòu)示意圖二�����。
【具體實(shí)施方式】
[0023]為使本發(fā)明實(shí)施例的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然�,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例���。基于本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍。
[0024]本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配方法�,如圖1所示,該方法包括:
[0025]步驟101��、獲取待匹配數(shù)據(jù)���,根據(jù)待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型�����、端口類型對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹�;其中����,規(guī)則樹包括分別與多個端口類型對應(yīng)的多個子規(guī)則樹。
[0026]步驟102�����、確定待匹配數(shù)據(jù)中包括的多個特征元的特征元類別���,并根據(jù)特征元類別在子規(guī)則樹中獲取對應(yīng)的規(guī)則子集�;其中,子規(guī)則樹中包括多個規(guī)則子集��,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則�����。[0027]步驟103����、根據(jù)規(guī)則子集中包括的規(guī)則�����,對待匹配數(shù)據(jù)進(jìn)行匹配��。
[0028]本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配方法���,首先獲取待匹配數(shù)據(jù)����,根據(jù)待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型�、端口類型對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹,然后確定待匹配數(shù)據(jù)中包括的多個特征元的特征元類別,并根據(jù)特征元類別在子規(guī)則樹中獲取對應(yīng)的規(guī)則子集�����,最后根據(jù)規(guī)則子集中包括的規(guī)則��,對待匹配數(shù)據(jù)進(jìn)行匹配����。這樣,在對網(wǎng)絡(luò)數(shù)據(jù)流規(guī)則匹配時無需對所有規(guī)則全部遍歷匹配��,減少了需要匹配的規(guī)則的個數(shù)�����,有效提高了搜索匹配的效率��。
[0029]為了使本領(lǐng)域技術(shù)人員能夠更清楚地理解本發(fā)明實(shí)施例提供的技術(shù)方案�����,下面通過具體的實(shí)施例����,對本發(fā)明的實(shí)施例提供的規(guī)則編譯匹配方法進(jìn)行詳細(xì)說明���,如圖2所示,該方法包括:
[0030]步驟201�、獲取待匹配數(shù)據(jù),根據(jù)待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型�����、端口類型對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹�����;其中����,規(guī)則樹包括分別與多個端口類型對應(yīng)的多個子規(guī)則樹����。
[0031]示例性的,入侵檢測系統(tǒng)隨機(jī)抓取網(wǎng)絡(luò)數(shù)據(jù)包后得到用于匹配入侵規(guī)則的待匹配數(shù)據(jù)��,對抓取的待匹配數(shù)據(jù)的數(shù)據(jù)包包頭進(jìn)行識別���,可以得知該數(shù)據(jù)包的五元組信息(源IP地址�,源端口,目的IP地址����,目的端口,和傳輸層協(xié)議)��,根據(jù)待匹配數(shù)據(jù)的協(xié)議類型���、端口類型對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)子規(guī)則樹��,其中���,對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別表示對待匹配數(shù)據(jù)包按照協(xié)議類型、端口類型粗過濾��,規(guī)則樹包括分別與不同的端口類型對應(yīng)的多個子規(guī)則樹�,例如,規(guī)則樹包括IP協(xié)議類型下源端口為80對應(yīng)的子規(guī)則樹��、TCP協(xié)議類型下目的端口為140對應(yīng)的子規(guī)則樹�����、UDP協(xié)議類型下源端口為40對應(yīng)的子規(guī)則樹以及ICMP協(xié)議類型下目的端口為60對應(yīng)的子規(guī)則樹�,進(jìn)一步的����,上述子規(guī)則樹還可以包括與不同協(xié)議地址對應(yīng)的多個子規(guī)則樹��,需要說明的是��,本發(fā)明對按照不同條件細(xì)化劃分規(guī)則樹得到子規(guī)則樹的方式不做限定����,規(guī)則樹根據(jù)不同層的若干節(jié)點(diǎn)進(jìn)行細(xì)化劃分得到子規(guī)則樹,規(guī)則樹與劃分得到的若干個子規(guī)則樹的關(guān)系是根節(jié)點(diǎn)至子節(jié)點(diǎn)之間的從屬細(xì)化關(guān)系�����。
[0032]步驟202���、確定待匹配數(shù)據(jù)中包括的多個特征元的特征元類別,并根據(jù)特征元類別在子規(guī)則樹中獲取對應(yīng)的規(guī)則子集�����;其中��,子規(guī)則樹中包括多個規(guī)則子集�,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則��。
[0033]示例性的�����,對抓取的數(shù)據(jù)包做進(jìn)一步解析�����,可以確定該數(shù)據(jù)包中特征元的類別��,特征元的類別包括:正則表達(dá)式型以及數(shù)值型�����。其中��,正則表達(dá)式就是事先定義的一些特定字符����、及這些特定字符的組合���,組成一個規(guī)則字符串��,這個規(guī)則字符串用來表達(dá)對字符串的一種過濾邏輯���。在網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮芏鄷r候傳輸?shù)臄?shù)據(jù)是數(shù)字字符串����,這種數(shù)字字符串就屬于數(shù)值型的特征元���。
[0034]根據(jù)特征元的類別在根據(jù)步驟201確定的子規(guī)則樹中獲取對應(yīng)的規(guī)則子集���,其中,子規(guī)則樹中包括多個規(guī)則子集���,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則���,例如,一個規(guī)則子集包括正則表達(dá)式類別下所有用于對待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則�����,另外����,進(jìn)一步的���,可以對該規(guī)則子集進(jìn)行劃分����,比如按照一定的分組要求對正則表達(dá)式進(jìn)行分組,可以將該規(guī)則子集進(jìn)一步劃分得到不同組對應(yīng)的規(guī)則集�。
[0035]步驟203、根據(jù)待匹配數(shù)據(jù)的特征元類別判斷規(guī)則集中與待匹配數(shù)據(jù)匹配的規(guī)則的類型����,分別執(zhí)行步驟204或步驟205。
[0036]步驟204��、若待匹配數(shù)據(jù)的特征元類別為正則表達(dá)式型����,則將待匹配數(shù)據(jù)與規(guī)則樹中正則表達(dá)式型的規(guī)則進(jìn)行匹配。
[0037]具體的�,將待匹配數(shù)據(jù)輸入到狀態(tài)機(jī)中進(jìn)行匹配,狀態(tài)機(jī)由規(guī)則子集編譯得到�����;根據(jù)狀態(tài)機(jī)的輸出結(jié)果判斷待匹配數(shù)據(jù)是否匹配成功��。
[0038]示例性的,在基于索引表結(jié)構(gòu)的規(guī)則樹生成后對特征元類別為正則表達(dá)式型的規(guī)則子集編譯構(gòu)建狀態(tài)機(jī)�,將特征元類別為正則表達(dá)式型的待匹配數(shù)據(jù)輸入到狀態(tài)機(jī)中進(jìn)行匹配,根據(jù)狀態(tài)機(jī)的輸出結(jié)果判斷待匹配數(shù)據(jù)是否匹配成功��,例如�����,狀態(tài)機(jī)的輸出結(jié)果為真(true)��,則待匹配數(shù)據(jù)匹配成功進(jìn)行告警��。另外�,在本發(fā)明實(shí)施例提供的方法中,特征元可以按照協(xié)議字段分組��,協(xié)議字段由引擎解碼器決定����,即相同分組的特征元構(gòu)建狀態(tài)機(jī),分組功能的具體實(shí)現(xiàn)具有多樣化�,本發(fā)明中不做限制。比如可以將帶有通配符的特征元分到各個組�,一條規(guī)則為特征元集合A = {P1,P2�,…����,P10����,P11����,P12,…��,Pt}����,包含于集合A中帶貪婪量詞且含通配符的最小集合為B = {Pn =“ABCDE.*FGH”,-,Pm =”xy.*z”���,(n〈m)}��。匹配時采用適合快速搜索固定串的內(nèi)置正則引擎對網(wǎng)絡(luò)數(shù)據(jù)流中經(jīng)過分組的特征元可以實(shí)現(xiàn)較為精準(zhǔn)的初級過濾�。這樣��,可以有效降低構(gòu)造狀態(tài)機(jī)的復(fù)雜度�,減小狀態(tài)膨脹的規(guī)模和增長速率,同時也降低了利用狀態(tài)機(jī)做搜索匹配時的復(fù)雜度。 [0039]步驟205��、若待匹配數(shù)據(jù)的特征元類別為數(shù)值型��,則將待匹配數(shù)據(jù)與規(guī)則樹中數(shù)值型的規(guī)則進(jìn)行匹配�����。
[0040]具體的���,將待匹配數(shù)據(jù)中的數(shù)值型的特征元與規(guī)則子集中規(guī)則的數(shù)值型特征元進(jìn)行比較����;根據(jù)比較的結(jié)果判斷待匹配數(shù)據(jù)是否匹配成功�。
[0041]示例性的,假設(shè)���,待匹配數(shù)據(jù)中的數(shù)值型的特征元為統(tǒng)一資源定位符(UniformResource Locator, URL)長度為3000個字符���,規(guī)則子集中一條規(guī)則中特征元為URL長度2281,通過兩者進(jìn)行比較判斷待匹配數(shù)據(jù)是否匹配成功���,例如��,兩者長度不等則確定該規(guī)則未匹配成功繼續(xù)匹配其余規(guī)則�。
[0042]需要說明的是,考慮到減少狀態(tài)機(jī)大小以及數(shù)值型特征元進(jìn)入狀態(tài)機(jī)搜索的時間��,增加了匹配的復(fù)雜度�,故采用數(shù)值型分組��,將特征元中的數(shù)字按整型�����,長整型等數(shù)值型變量存儲����,跳過狀態(tài)機(jī)匹配步驟,與規(guī)則樹中對應(yīng)的數(shù)值型的規(guī)則進(jìn)行查找匹配�,這樣可以有效提高匹配效率。例如�����,當(dāng)待匹配數(shù)據(jù)為超文本傳輸協(xié)議(Hypertext transferprotocol, HTTP)中的請求方法字段時�,由于在征求修正意見書(Request For Comments,RFC)中已經(jīng)確定請求方法字段列表,可以將該請求方法字段轉(zhuǎn)換為數(shù)值型���,這樣���,待匹配數(shù)據(jù)中的特征元就是數(shù)值型的特征元了�����,通過該數(shù)值型特征元與規(guī)則樹中數(shù)值型特征元的規(guī)則比較后的結(jié)果來判斷是否匹配成功?��,F(xiàn)有技術(shù)中對待匹配數(shù)據(jù)為HTTP協(xié)議中的請求方法字段匹配時是進(jìn)入狀態(tài)機(jī)進(jìn)行匹配的,按照本發(fā)明實(shí)施例中的方法可以不需進(jìn)入狀態(tài)機(jī)進(jìn)行匹配��,減少了狀態(tài)機(jī)的大小以及匹配時間��。再例如��,當(dāng)待匹配數(shù)據(jù)為HTTP協(xié)議中的待匹配數(shù)據(jù)為HTTP協(xié)議中的(用于描述HTTP消息實(shí)體的傳輸長度)時����,將Content-Length與規(guī)則樹中對應(yīng)的數(shù)值型特征元的規(guī)則比較,根據(jù)比較的結(jié)果判斷是否匹配成功�����,現(xiàn)有技術(shù)中對待匹配數(shù)據(jù)為HTTP協(xié)議中的Content-Length匹配時是進(jìn)入狀態(tài)機(jī)進(jìn)行匹配的�,按照本發(fā)明實(shí)施例中的方法可以不需進(jìn)入狀態(tài)機(jī)進(jìn)行匹配�,減少了狀態(tài)機(jī)的大小以及匹配時間����。[0043]在上述實(shí)施例中,根據(jù)待匹配數(shù)據(jù)的特征元的類別在基于索引表結(jié)構(gòu)的規(guī)則中查找到對應(yīng)的規(guī)則子集�����,大幅減少了需要匹配的規(guī)則的個數(shù)�����,相比現(xiàn)有技術(shù)中在規(guī)則鏈表中從鏈表頭開始順序匹配規(guī)則的方法可以有效減少匹配時間��,提高搜索匹配的效率���。
[0044]另外,在上述實(shí)施例中�����,其中所述的規(guī)則樹可以通過如下步驟創(chuàng)建����,如圖3所示:
[0045]步驟301����、根據(jù)每條原始規(guī)則中特征元的邏輯運(yùn)算關(guān)系創(chuàng)建對應(yīng)的新規(guī)則�。
[0046]步驟302、根據(jù)原始規(guī)則中特征元的類別對所有新規(guī)則進(jìn)行分組����。
[0047]步驟303、根據(jù)分組結(jié)果按照協(xié)議字段重構(gòu)新規(guī)則的邏輯存儲關(guān)系��,其中����,邏輯運(yùn)算關(guān)系為布爾運(yùn)算。
[0048]步驟304�����、按照字典序固化存儲新規(guī)則得到基于索引表結(jié)構(gòu)的規(guī)則樹并存儲�����。
[0049]為了使本領(lǐng)域的技術(shù)人員能夠更加詳細(xì)的理解上述實(shí)施例中所述的規(guī)則樹的創(chuàng)建方法�����,下面通過詳細(xì)的例子對規(guī)則樹的創(chuàng)建步驟進(jìn)行說明,如圖4所示:
[0050]步驟401��、加載引擎規(guī)則并初始化����,創(chuàng)建原始規(guī)則列表。
[0051]示例性的���,加載入侵檢測引擎的規(guī)則庫�����,加載初始化文件,創(chuàng)建原始規(guī)則列表�。
[0052]步驟402、檢驗(yàn)原始規(guī)則列表中規(guī)則的完整性和正確性���。
[0053]示例性的����,可以對原始規(guī)則列表中的規(guī)則校驗(yàn)完整性保護(hù)以及循環(huán)冗余校驗(yàn)判斷規(guī)則的完整性和正確性��。
[0054]步驟403����、讀取一條規(guī)則,解析規(guī)則,初始化新規(guī)則����。
[0055]示例性的��,讀取一條規(guī)則��,解析該條規(guī)則用對應(yīng)的語法表示出來�����,然后在內(nèi)存中初始化新規(guī)則���。
[0056]步驟404�、按照特征元的邏輯運(yùn)算關(guān)系�����,存儲為新規(guī)則中的邏輯屬性�。
[0057]其中,邏輯運(yùn)算關(guān)系為布爾運(yùn)算�����。
[0058]具體的,布爾運(yùn)算包括:與(and)運(yùn)算、或(or)運(yùn)算�、非(not)運(yùn)算以及異或(xor)
運(yùn)算等。
[0059]需要說明的是��,相比現(xiàn)有技術(shù)中規(guī)則中的邏輯運(yùn)算關(guān)系只有邏輯與運(yùn)算����,本發(fā)明實(shí)施例中的規(guī)則通過支持復(fù)雜邏輯運(yùn)算關(guān)系可以有效增強(qiáng)檢測規(guī)則對入侵攻擊檢測的覆
皿/又O
[0060]步驟405、解析規(guī)則中特征元����,包含類別和約束條件。
[0061]示例性的�,特征元的類別可以包括:正則表達(dá)式型和數(shù)值型。特征元的約束條件包括:匹配位置�����、匹配長度等����。
[0062]步驟406�����、新規(guī)則創(chuàng)建完畢,加入新規(guī)則列表中����。
[0063]示例性的,在內(nèi)存中創(chuàng)建完成一條完整的新規(guī)則��,將該規(guī)則對應(yīng)加入到新規(guī)則列表中�。
[0064]步驟407、判斷原始規(guī)則列表中是否還有規(guī)則未解析�����。
[0065]如果有��,則跳轉(zhuǎn)到步驟403����。
[0066]如果沒有,則執(zhí)行步驟408�。
[0067]步驟408、按特征元類別對新規(guī)則列表中的新規(guī)則分組��。
[0068]示例性的��,將新規(guī)則列表中的新規(guī)則分為正則表達(dá)式組和數(shù)值型組。
[0069]步驟409���、按照協(xié)議字段重構(gòu)邏輯存儲關(guān)系表并按字典序固化表中數(shù)據(jù)����。
[0070]示例性的��,按照協(xié)議字段對新規(guī)則列表中的所有新規(guī)則重新構(gòu)建邏輯存儲關(guān)系表����,并按照字典序固化存儲表中的數(shù)據(jù)。
[0071]通過二維表結(jié)構(gòu)存儲新規(guī)則中不同類別的規(guī)則���,構(gòu)建包含多字段屬性的數(shù)據(jù)表����,其中表中屬性包含不同二維表之間的依賴關(guān)系數(shù)據(jù)也即二維表的索引數(shù)據(jù)���,使得在查詢匹配時快速準(zhǔn)確找到索引數(shù)據(jù)�����。二維表數(shù)據(jù)采用默認(rèn)表結(jié)構(gòu)單元條目并對表中數(shù)據(jù)根據(jù)字典序排序,構(gòu)建二維表過程同步構(gòu)建索引數(shù)據(jù),提高規(guī)則樹中邏輯關(guān)系的查找效率����。
[0072]另外,采用字典序固化存儲規(guī)則可以高效有序的對新規(guī)則進(jìn)行存儲�����,并且在后續(xù)升級規(guī)則庫時可以方便的對二維表進(jìn)行更新也有利于查找搜索����。
[0073]步驟410、將創(chuàng)建的基于索引表結(jié)構(gòu)的規(guī)則樹存儲后加密輸出�。
[0074]示例性的,存儲創(chuàng)建好的基于索引表結(jié)構(gòu)的規(guī)則樹��,加密輸出�����,后續(xù)用于對抓取的網(wǎng)絡(luò)數(shù)據(jù)流的匹配����。
[0075]另外,需要說明的是����,以上介紹的構(gòu)建基于索引表結(jié)構(gòu)的規(guī)則樹的方法僅是本發(fā)明實(shí)施例提供的一種方案���,本發(fā)明對基于索引表結(jié)構(gòu)的規(guī)則樹的構(gòu)建方法并不做限定。
[0076]為了使本領(lǐng)域的技術(shù)人員能夠更加詳細(xì)的理解本發(fā)明實(shí)施例提供的技術(shù)方案����,下面通過詳細(xì)的例子對網(wǎng)絡(luò)數(shù)據(jù)流在規(guī)則樹中的匹配過程進(jìn)行說明:
[0077]待匹配數(shù)據(jù)與確定的規(guī)則子集中的規(guī)則的匹配是遍歷進(jìn)行的,也即待匹配數(shù)據(jù)要與規(guī)則子集中的規(guī)則依次匹配直至匹配成功告警�����,否則遍歷所有規(guī)則�����。
[0078]假設(shè)規(guī)則子 集中規(guī)則Rl的規(guī)則條件為aland a2and(a3or a4)��,其中��,al��、a2�����、a3���、a4表示特征元����,規(guī)則Rl表示的是按順序匹配特征元�����。如圖5所示����,當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流(字符串a(chǎn)2,字符串a(chǎn)l,字符串a(chǎn)3���,字符串a(chǎn)4�����,...)輸入到規(guī)則Rl中進(jìn)行匹配�����,在a2先到達(dá)時���,首先需要搜索特征元a2在規(guī)則Rl中位置關(guān)系�����,特征元a2的父節(jié)點(diǎn)為and關(guān)系���,前驅(qū)兄弟節(jié)點(diǎn)為al。在系統(tǒng)中查找規(guī)則Rl的狀態(tài)記錄�,檢測狀態(tài)中無規(guī)則Rl狀態(tài)的記錄,特征元al未早于a2命中�����,邏輯關(guān)系不成立��,無法進(jìn)入②狀態(tài)����,也即未匹配成功,正常退出規(guī)則Rl的匹配��。
[0079]假設(shè)規(guī)則子集中規(guī)則R2的規(guī)則條件為〈aland a2>and(a3or &4),其中,&1�、32、&3、a4表示特征元�����,〈> 中的表達(dá)式表示按自由順序匹配����。如圖6所示����,當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流(字符串a(chǎn)2,字符串a(chǎn)l,字符串a(chǎn)3��,字符串a(chǎn)4��,…)輸入到規(guī)則R2中進(jìn)行匹配����,在a2先到達(dá)時,首先需要搜索特征元a2在規(guī)則R2中位置關(guān)系�,得到特征元a2根節(jié)點(diǎn)與父節(jié)點(diǎn)同為and關(guān)系,無前驅(qū)兄弟節(jié)點(diǎn)條件�����,在系統(tǒng)中查找規(guī)則R2的狀態(tài)記錄��,檢測狀態(tài)中無規(guī)則R2狀態(tài)的記錄,即使特征元al未命中�,a2在自由序窗口內(nèi)則無前驅(qū)順序條件,前驅(qū)條件都滿足開始創(chuàng)建R2狀態(tài)記錄�����,進(jìn)入I狀態(tài)�;字符串a(chǎn)l傳入時,同前面的步驟���,搜索特征元al在規(guī)則R2中位置關(guān)系���,得到特征元al根節(jié)點(diǎn)與父節(jié)點(diǎn)同為and關(guān)系,無前驅(qū)兄弟節(jié)點(diǎn)條件��,在系統(tǒng)中查找規(guī)則R2的狀態(tài)記錄�����,記錄為a2�,進(jìn)入II狀態(tài);待字符串a(chǎn)3傳入時����,同前面的步驟���,先搜索邏輯樹中a3節(jié)點(diǎn)邏輯關(guān)系得到a3根節(jié)點(diǎn)為and,父節(jié)點(diǎn)為or����,間接前驅(qū)兄弟節(jié)點(diǎn)為al,a2兩個����。在系統(tǒng)中查找規(guī)則R2的狀態(tài)的記錄����,記錄為al,a3滿足al�����,a2兩個前驅(qū)條件同時成立�����,進(jìn)入狀態(tài)III���,匹配命中���,告警�����。
[0080]本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配方法��,首先獲取待匹配數(shù)據(jù)�����,根據(jù)待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型在規(guī)則樹中確定對應(yīng)的子規(guī)則樹����,然后確定待匹配數(shù)據(jù)中包括的多個特征元的特征元類別����,并根據(jù)特征元類別在子規(guī)則樹中獲取對應(yīng)的規(guī)則子集,最后根據(jù)規(guī)則子集中包括的規(guī)則���,對待匹配數(shù)據(jù)進(jìn)行匹配���。這樣���,在對網(wǎng)絡(luò)數(shù)據(jù)流規(guī)則匹配時無需對所有規(guī)則全部遍歷匹配,減少了需要匹配的規(guī)則的個數(shù)��,有效提高了搜索匹配的效率����。
[0081]本發(fā)明實(shí)施例還提供一種規(guī)則編譯匹配裝置00,如圖7所示����,該裝置00包括:
[0082]第一獲取單元10,用于獲取待匹配數(shù)據(jù)��,根據(jù)待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型�、端口類型對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹�����;其中�,規(guī)則樹包括分別與多個端口類型對應(yīng)的多個子規(guī)則樹。
[0083]示例性的�����,第一獲取單元10隨機(jī)抓取網(wǎng)絡(luò)數(shù)據(jù)包后得到用于匹配入侵規(guī)則的待匹配數(shù)據(jù),對抓取的待匹配數(shù)據(jù)的數(shù)據(jù)包包頭進(jìn)行識別�����,可以獲取該數(shù)據(jù)包協(xié)議類型����,然后第一獲取單元10根據(jù)待匹配數(shù)據(jù)的協(xié)議類型在規(guī)則樹中確定對應(yīng)子規(guī)則樹,其中�,對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別表示對待匹配數(shù)據(jù)包按照協(xié)議類型、端口類型粗過濾�����,規(guī)則樹包括分別與不同的端口類型對應(yīng)的多個子規(guī)則樹���,例如��,規(guī)則樹包括IP協(xié)議類型下源端口為80對應(yīng)的子規(guī)則樹��、TCP協(xié)議類型下目的端口為140對應(yīng)的子規(guī)則樹�、UDP協(xié)議類型下源端口為40對應(yīng)的子規(guī)則樹以及ICMP協(xié)議類型下目的端口為60對應(yīng)的子規(guī)則樹�����,進(jìn)一步的,上述子規(guī)則樹還可以包括與不同協(xié)議地址對應(yīng)的多個子規(guī)則樹����,需要說明的是,本發(fā)明對按照不同條件細(xì)化劃分規(guī)則樹得到子規(guī)則樹的方式不做限定�,規(guī)則樹根據(jù)不同層的若干節(jié)點(diǎn)進(jìn)行細(xì)化劃分得到子規(guī)則樹,規(guī)則樹與劃分得到的若干個子規(guī)則樹的關(guān)系是根節(jié)點(diǎn)至子節(jié)點(diǎn)之間的從屬細(xì)化關(guān)系���。
[0084]第二獲取單元20���,用于確定待匹配數(shù)據(jù)中包括的多個特征元的特征元類別,并根據(jù)特征元類別在由第一獲取單元10確定的子規(guī)則樹中獲取對應(yīng)的規(guī)則子集���;其中����,子規(guī)則樹中包括多個規(guī)則子集����,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則���。
[0085]示例性的�,第二獲取單元20對抓取的數(shù)據(jù)包做進(jìn)一步解析,可以確定該數(shù)據(jù)包中特征元的類別��,然后第二獲取單元20根據(jù)特征元的類別在由第一獲取單元10確定的子規(guī)則樹中獲取對應(yīng)的規(guī)則子集����,其中,子規(guī)則樹中包括多個規(guī)則子集���,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則�。
[0086]匹配單元30���,用于根據(jù)由第二獲取單元20確定的規(guī)則子集中包括的規(guī)則�,對待匹配數(shù)據(jù)進(jìn)行匹配��。
[0087]可選的��,當(dāng)特征元類別為正則表達(dá)式型時�����,匹配單元30具體用于:
[0088]將待匹配數(shù)據(jù)輸入到狀態(tài)機(jī)中進(jìn)行匹配����,狀態(tài)機(jī)由規(guī)則子集編譯得到�����;
[0089]根據(jù)狀態(tài)機(jī)的輸出結(jié)果判斷待匹配數(shù)據(jù)是否匹配成功��。
[0090]示例性的����,在基于索引表結(jié)構(gòu)的規(guī)則樹生成后對特征元類別為正則表達(dá)式型的規(guī)則子集編譯構(gòu)建狀態(tài)機(jī)�,將特征元類別為正則表達(dá)式型的待匹配數(shù)據(jù)輸入到狀態(tài)機(jī)中進(jìn)行匹配,根據(jù)狀態(tài)機(jī)的輸出結(jié)果判斷待匹配數(shù)據(jù)是否匹配成功����。
[0091]可選的,當(dāng)特征元類別為數(shù)值型時���,匹配單元30具體用于:
[0092]將待匹配數(shù)據(jù)中的數(shù)值型的特征元與規(guī)則子集中規(guī)則的數(shù)值型特征元進(jìn)行比較�;
[0093]根據(jù)比較的結(jié)果判斷待匹配數(shù)據(jù)是否匹配成功�。
[0094]示例性的,假設(shè)待匹配數(shù)據(jù)中的數(shù)值型的特征元為:URL長度為3000個字符���,規(guī)則子集中一條規(guī)則中特征元為URL長度2281,通過兩者進(jìn)行比較判斷待匹配數(shù)據(jù)是否匹配成功��,例如,兩者長度不等則確定該規(guī)則未匹配成功繼續(xù)匹配其余規(guī)則����。[0095]可選的,如圖8所示�����,該裝置00還包括:
[0096]規(guī)則樹構(gòu)建單元40��,用于根據(jù)每條原始規(guī)則中特征元的邏輯運(yùn)算關(guān)系創(chuàng)建對應(yīng)的新規(guī)則���;根據(jù)原始規(guī)則中特征元的類別對所有新規(guī)則進(jìn)行分組���;根據(jù)分組結(jié)果對所有新規(guī)則創(chuàng)建索引表結(jié)構(gòu)的規(guī)則樹并存儲。
[0097]可選的�,各規(guī)則中包括的各特征元的邏輯運(yùn)算關(guān)系為布爾運(yùn)算。
[0098]具體的,布爾運(yùn)算包括:與(and)運(yùn)算�、或(or)運(yùn)算、非(not)運(yùn)算以及異或(xor)
運(yùn)算等����。
[0099]可選的,規(guī)則樹構(gòu)建單元40可以具體用于:
[0100]根據(jù)每條原始規(guī)則中特征元的邏輯運(yùn)算關(guān)系創(chuàng)建對應(yīng)的新規(guī)則;
[0101]根據(jù)原始規(guī)則中特征元的類別對所有新規(guī)則進(jìn)行分組�;
[0102]根據(jù)分組結(jié)果按照協(xié)議字段重構(gòu)新規(guī)則的邏輯存儲關(guān)系;
[0103]按照字典序固化存儲新規(guī)則得到基于索引表結(jié)構(gòu)的規(guī)則樹并存儲��。
[0104]本實(shí)施例用于實(shí)現(xiàn)上述各方法實(shí)施例���,本實(shí)施例中各個單元的工作流程和工作原理參見上述各方法實(shí)施例中的描述�����,在此不再贅述���。
[0105]本發(fā)明實(shí)施例提供一種規(guī)則編譯匹配方法,首先獲取待匹配數(shù)據(jù)����,根據(jù)待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型、端口類型對待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹��,然后確定待匹配數(shù)據(jù)中包括的多個特征元的特征元類別�����,并根據(jù)特征元類別在子規(guī)則樹中獲取對應(yīng)的規(guī)則子集����,最后根據(jù)規(guī)則子集中包括的規(guī)則�,對待匹配數(shù)據(jù)進(jìn)行匹配��。這樣���,在對網(wǎng)絡(luò)數(shù)據(jù)流規(guī)則匹配時無需對所有規(guī)則全部遍歷匹配,減少了需要匹配的規(guī)則的個數(shù)�����,有效提高了搜索匹配的效率����。
[0106]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成。前述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中��。該程序在執(zhí)行時���,執(zhí)行包括上述各方法實(shí)施例的步驟����;而前述的存儲介質(zhì)包括:R0M���、RAM����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
[0107]最后應(yīng)說明的是:以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案���,而非對其限制�����;盡管參照前述各實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明��,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�,或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換���;而這些修改或者替換�,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍��。
【權(quán)利要求】
1.一種規(guī)則編譯匹配方法�����,其特征在于����,包括: 獲取待匹配數(shù)據(jù)�����,根據(jù)所述待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型�����、端口類型對所述待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹;其中�����,所述規(guī)則樹包括分別與多個端口類型對應(yīng)的多個所述子規(guī)則樹���; 確定所述待匹配數(shù)據(jù)中包括的多個特征元的特征元類別�,并根據(jù)所述特征元類別在所述子規(guī)則樹中獲取對應(yīng)的規(guī)則子集�����;其中�,所述子規(guī)則樹中包括多個規(guī)則子集,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對所述待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則���; 根據(jù)所述規(guī)則子集中包括的規(guī)則���,對所述待匹配數(shù)據(jù)進(jìn)行匹配��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述特征元類別為正則表達(dá)式型�,則所述根據(jù)所述規(guī)則子集中包括的規(guī)則��,對所述待匹配數(shù)據(jù)進(jìn)行匹配包括: 將所述待匹配數(shù)據(jù)輸入到狀態(tài)機(jī)中進(jìn)行匹配�����,所述狀態(tài)機(jī)由所述規(guī)則子集編譯得到��; 根據(jù)所述狀態(tài)機(jī)的輸出結(jié)果判斷所述待匹配數(shù)據(jù)是否匹配成功�����。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,所述特征元類別為數(shù)值型,則所述根據(jù)所述規(guī)則子集中包括的規(guī)則���,對所述待匹配數(shù)據(jù)進(jìn)行匹配包括: 將所述待匹配數(shù)據(jù)中的數(shù)值型的特征元與所述規(guī)則子集中規(guī)則的數(shù)值型特征元進(jìn)行比較��; 根據(jù)所述比較的結(jié)果判斷所述待匹配數(shù)據(jù)是否匹配成功��。
4.根據(jù)權(quán)利要求1或2或3所述的方法��,其特征在于,所述各規(guī)則中包括的各特征元的邏輯運(yùn)算關(guān)系為布爾運(yùn)算���。
5.根據(jù)權(quán)利要求1所述的方法����,其特征在于����,所述方法還包括,創(chuàng)建所述規(guī)則樹的步驟��,具體包括: 根據(jù)每條原始規(guī)則中特征元的邏輯運(yùn)算關(guān)系創(chuàng)建對應(yīng)的新規(guī)則���; 根據(jù)所述原始規(guī)則中特征元的類別對所有新規(guī)則進(jìn)行分組�����; 根據(jù)所述分組結(jié)果對所述所有新規(guī)則創(chuàng)建索引表結(jié)構(gòu)的規(guī)則樹并存儲��。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于,所述根據(jù)所述分組結(jié)果對所述所有新規(guī)則創(chuàng)建索引表結(jié)構(gòu)的規(guī)則樹并存儲包括: 根據(jù)所述分組結(jié)果按照協(xié)議字段重構(gòu)所述新規(guī)則的邏輯存儲關(guān)系�; 按照字典序固化存儲所述新規(guī)則得到基于索引表結(jié)構(gòu)的所述規(guī)則樹并存儲。
7.—種規(guī)則編譯匹配裝置����,其特征在于,包括: 第一獲取單元���,用于獲取待匹配數(shù)據(jù)�����,根據(jù)所述待匹配數(shù)據(jù)對應(yīng)的協(xié)議類型�、端口類型對所述待匹配數(shù)據(jù)進(jìn)行應(yīng)用識別后在規(guī)則樹中確定對應(yīng)的子規(guī)則樹�;其中���,所述規(guī)則樹包括分別與多個端口類型對應(yīng)的多個所述子規(guī)則樹; 第二獲取單元�,用于確定所述待匹配數(shù)據(jù)中包括的多個特征元的特征元類別,并根據(jù)所述特征元類別在所述子規(guī)則樹中獲取對應(yīng)的規(guī)則子集�;其中,所述子規(guī)則樹中包括多個規(guī)則子集����,各規(guī)則子集中包括對應(yīng)的特征元類別下所有用于對所述待匹配數(shù)據(jù)進(jìn)行匹配的規(guī)則; 匹配單元���,用于根據(jù)所述規(guī)則子集中包括的規(guī)則����,對所述待匹配數(shù)據(jù)進(jìn)行匹配�。
8.根據(jù)權(quán)利要求7所述的裝置�����,其特征在于�����,所述特征元類別為正則表達(dá)式型,所述匹配單元具體用于:將所述待匹配數(shù)據(jù)輸入到狀態(tài)機(jī)中進(jìn)行匹配�,所述狀態(tài)機(jī)由所述規(guī)則子集編譯得到; 根據(jù)所述狀態(tài)機(jī)的輸出結(jié)果判斷所述待匹配數(shù)據(jù)是否匹配成功����。
9.根據(jù)權(quán)利要求7所述的裝置,其特征在于�����,所述特征元類別為數(shù)值型���,所述匹配單元具體用于: 將所述待匹配數(shù)據(jù)中的數(shù)值型的特征元與所述規(guī)則子集中規(guī)則的數(shù)值型特征元進(jìn)行比較����; 根據(jù)所述比較的結(jié)果判斷所述待匹配數(shù)據(jù)是否匹配成功����。
10.根據(jù)權(quán)利要求7或8或9所述的裝置,其特征在于��,所述各規(guī)則中包括的各特征元的邏輯運(yùn)算關(guān)系為布爾運(yùn)算���。
11.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述裝置還包括���,規(guī)則樹構(gòu)建單元���,用于: 根據(jù)每條原始規(guī)則中特征元的邏輯運(yùn)算關(guān)系創(chuàng)建對應(yīng)的新規(guī)則; 根據(jù)所述原始規(guī)則中特征元的類別對所有新規(guī)則進(jìn)行分組����; 根據(jù)所述分組結(jié)果對所述所有新規(guī)則創(chuàng)建索引表結(jié)構(gòu)的規(guī)則樹并存儲。
12.根據(jù)權(quán)利要求11所述的裝置�,其特征在于,所述規(guī)則樹構(gòu)建單元具體用于: 根據(jù)每條原始規(guī)則中特 征元的邏輯運(yùn)算關(guān)系創(chuàng)建對應(yīng)的新規(guī)則����; 根據(jù)所述原始規(guī)則中特征元的類別對所有新規(guī)則進(jìn)行分組; 根據(jù)所述分組結(jié)果按照協(xié)議字段重構(gòu)所述新規(guī)則的邏輯存儲關(guān)系���; 按照字典序固化存儲所述新規(guī)則得到基于索引表結(jié)構(gòu)的所述規(guī)則樹并存儲。
【文檔編號】H04L29/06GK103973684SQ201410190997
【公開日】2014年8月6日 申請日期:2014年5月7日 優(yōu)先權(quán)日:2014年5月7日
【發(fā)明者】孫兆興, 韓鵬, 覃永靖 申請人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司