报文识别规则库处理方法、装置、网络设备制造方法及图纸

本申请涉及一种报文识别规则库处理方法、装置、网络设备、存储介质和计算机程序产品。所述方法包括：利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，确定异常报文识别规则命中的异常报文检测策略，并根据异常检测策略与异常处理策略的对应关系，获取所述异常报文识别规则对应的目标异常处理策略，按照目标异常处理策略对异常报文识别规则进行处理。采用本方法对报文识别规则库进行处理后，优化效率快且优化程度高。优化效率快且优化程度高。优化效率快且优化程度高。

【技术实现步骤摘要】
报文识别规则库处理方法、装置、网络设备


[0001]本申请涉及深度报文检测
，特别是涉及一种报文识别规则库处理方法、装置、网络设备、存储介质和计算机程序产品。

技术介绍

[0002]深度报文检测(Deep Packet Inspection，DPI)是针对不同的网络应用层载荷(例如HTTP、HTTPS、TCP/UDP、DNS等)进行深度检测，通过对报文的有效载荷检测决定其合法性。采用DPI进行报文识别时，需要预先配置并维护报文识别规则库，报文识别规则库采用预先定义的格式生成，用于识别不同应用或协议对应的报文。
[0003]互联网应用日新月异，应用或协议更新快，为满足对新应用或协议的识别需求，报文识别规则库的规则数量在不断累加，因此基于报文识别规则库的DPI性能不断降低，为此，需要技术人员不断维护报文识别规则库，保证报文识别规则库的质量。
[0004]上述技术人员维护报文识别规则库的方式，效率慢且优化程度低。

技术实现思路

[0005]基于此，有必要针对上述技术问题，提供一种能够提升报文识别规则库优化效率高的报文识别规则库处理方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
[0006]第一方面，本申请提供了一种报文识别规则库处理方法。所述方法包括：
[0007]利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则；
[0008]确定所述异常报文识别规则命中的异常检测策略，并根据异常检测策略与异常处理策略的对应关系，获取所述异常报文识别规则对应的目标异常处理策略；
[0009]按照所述目标异常处理策略对所述异常报文识别规则进行处理。
[0010]在其中一个实施例中，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：
[0011]针对报文识别规则库中的每个报文识别规则，获取所述报文识别规则对应的报文样本集；
[0012]利用所述报文识别规则匹配所述报文样本集中的每一报文，确定所述报文识别规则匹配所述报文样本集中每一报文的匹配时长；
[0013]确定各所述匹配时长的平均匹配时长；
[0014]在所述平均匹配时长高于所述报文识别规则对应的匹配时长上限的情况下，将所述报文识别规则确定为异常报文识别规则。
[0015]通过将每个报文识别规则的平均匹配时长与其对应的匹配时长上限比较，筛选出报文识别规则库中性能异常的报文识别规则。
[0016]在其中一个实施例中，所述方法还包括：
[0017]确定所述报文识别规则的目标规则类型；
[0018]查询规则类型与匹配时长上限的对应关系，将与所述目标规则类型匹配的匹配时长上限确定为所述报文识别规则对应的匹配时长上限。
[0019]为报文识别规则划分了规则类型，并为不同规则类型设置了不同的匹配时长上限，根据规则类型的差异性，为不同的报文识别规则设置了性能损耗标准，更准确地识别出的性能异常的报文识别规则。
[0020]在其中一个实施例中，所述方法还包括：
[0021]在所述报文识别规则库中确定规则类型为所述目标规则类型的多个报文识别规则；
[0022]利用所述多个报文识别规则匹配所述报文样本全集中的每一报文，获取所述多个报文识别规则中各所述报文识别规则匹配所述报文样本全集中的各报文的目标匹配时长；
[0023]确定各所述目标匹配时长的目标平均匹配时长；
[0024]将所述目标平均匹配时长作为所述目标规则类型对应的匹配时长上限并保存。
[0025]针对每一规则类型对应的匹配时长上限，将报文识别规则库中该规则类型的报文识别规则的目标平均匹配时长作为该规则类型的匹配时长上限，此时每一规则类型对应的匹配时长上限，可评价网络设备利用报文识别规则与报文进行匹配时的性能损耗高于是否平均水平。
[0026]在其中一个实施例中，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：
[0027]对识别结果异常的异常应用或异常协议对应的异常报文进行解包以及深度报文识别，确定所述异常报文对应的目标应用或目标协议；
[0028]在确定所述异常报文对应的目标应用与所述异常应用不一致，或所述异常报文对应的目标协议与所述异常协议不一致的情况下，将所述异常应用或所述异常协议对应的识别日志数据中所述异常报文命中的报文识别规则确定为异常报文识别规则。
[0029]通过对识别结果异常的应用或协议对应的异常报文进行解析，确定识别结果异常的应用或协议对应的报文识别规则是否识别准确，得到报文识别规则库中识别异常的异常报文识别规则。
[0030]在其中一个实施例中，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：
[0031]在所述报文识别规则库中，查找符合预设的异常规则特征的候选异常报文识别规则；
[0032]利用所述候选报文识别规则匹配多个应用或协议对应的报文样本全集中的各报文；
[0033]在确定所述候选报文识别规则与多个应用或协议对应的报文相匹配的情况下，确定所述候选报文识别规则为异常报文识别规则。
[0034]可通过异常规则特征筛选出报文识别规则库中的候选异常报文识别规则，然后进一步将候选异常报文识别规则与多个应用或协议对应的报文样本全集中的各报文进行匹配，同样可筛选出识别异常的报文识别规则。
[0035]在其中一个实施例中，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：
[0036]根据用于记录报文识别规则与命中计数值的对应关系的命中计数文件，统计所述报文识别规则库中各报文识别规则对应的命中计数总值；
[0037]将命中计数总值小于命中计数下限值的报文识别规则确定为异常报文识别规则。
[0038]通过读取命中计数文件，在报文识别规则库中，确定互联网中已不再使用的应用或协议对应的报文识别规则，筛选出报文识别规则库中陈旧异常的异常报文识别规则。
[0039]在其中一个实施例中，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：
[0040]对各应用下载网址对应的网页进行解析，确定所述应用下载网址中各应用的应用标识，得到应用标识列表；
[0041]将所述应用标识列表与所述报文识别规则库中各报文识别规则对应的应用标识进行匹配；
[0042]将对应的应用标识与所述应用标识列表不匹配的报文识别规则确定为异常报文识别规则。
[0043]先获取当前互联网中还存在的应用，得到应用标识列表，然后确定报文识别规则库中各报文识别规则所属的应用是否还活跃，筛选出当前互联网中不会出现的应用对应的报文识别规则，即筛选出陈旧异常的异常报文识别规则。
[0044]在其中一个实施例中，所述按照所述目标异常处理策略对所述异常报文识别规则进行处理，包括：
[0045]在所述异常报文识别规则的异常类型为非优化本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文识别规则库处理方法，其特征在于，所述方法包括：利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则；确定所述异常报文识别规则命中的异常检测策略，并根据异常检测策略与异常处理策略的对应关系，获取所述异常报文识别规则对应的目标异常处理策略；按照所述目标异常处理策略对所述异常报文识别规则进行处理。2.根据权利要求1所述的方法，其特征在于，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：针对报文识别规则库中的每个报文识别规则，获取所述报文识别规则对应的报文样本集；利用所述报文识别规则匹配所述报文样本集中的每一报文，确定所述报文识别规则匹配所述报文样本集中每一报文的匹配时长；确定各所述匹配时长的平均匹配时长；在所述平均匹配时长高于所述报文识别规则对应的匹配时长上限的情况下，将所述报文识别规则确定为异常报文识别规则。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：确定所述报文识别规则的目标规则类型；查询规则类型与匹配时长上限的对应关系，将与所述目标规则类型匹配的匹配时长上限确定为所述报文识别规则对应的匹配时长上限。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：在所述报文识别规则库中确定规则类型为所述目标规则类型的多个报文识别规则；利用所述多个报文识别规则匹配所述报文样本全集中的每一报文，获取所述多个报文识别规则中各所述报文识别规则匹配所述报文样本全集中的各报文的目标匹配时长；确定各所述目标匹配时长的目标平均匹配时长；将所述目标平均匹配时长作为所述目标规则类型对应的匹配时长上限并保存。5.根据权利要求1所述的方法，其特征在于，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：对识别结果异常的异常应用或异常协议对应的异常报文进行解包以及深度报文识别，确定所述异常报文对应的目标应用或目标协议；在确定所述异常报文对应的目标应用与所述异常应用不一致，或所述异常报文对应的目标协议与所述异常协议不一致的情况下，将所述异常应用或所述异常协议对应的识别日志数据中所述异常报文命中的报文识别规则确定为异常报文识别规则。6.根据权利要求1所述的方法，其特征在于，所述利用预设的异常检测策略，在报文识别规则库中检测异常报文识别规则，包括：在所述报文识别规则库中，查找符合预设的异常规则特征的候选异常报文识别规则；利用所述...

【专利技术属性】
技术研发人员：柴银萍，季超，张思杰，蔡莎，陈康，张添，雷彦章，方子明，
申请(专利权)人：曙光网络科技有限公司，
类型：发明
国别省市：