本发明专利技术公开一种基于坐标系的攻击检测规则匹配的方法及装置。所述方法包括:创建一个直角坐标系;读取规则文件,根据每条规则的偏移量和数据长度对应到直角坐标系中点,对每条规则的特征数据进行哈希计算,将哈希结果存入哈希桶,并将其对应坐标Y存入哈希桶,得到哈希表T;将直角坐标系的点进行X轴投射,得到数组E;接收报文,按照数组E长度分割成一个数组元素,进行哈希计算得到哈希值数组H;哈希值数组H在哈希表T中查找,如果命中则把数据的长度数值和命中的哈希桶Y坐标进行对比,如果相等则比对真实数据,如果完全相同就找到了对应的规则,匹配成功。本发明专利技术从收到的报文本身进行分析,不需要逐条去匹配,可以大大提升匹配效率。可以大大提升匹配效率。可以大大提升匹配效率。
【技术实现步骤摘要】
一种基于坐标系的攻击检测规则匹配的方法及装置
[0001]本专利技术涉及工控网络安全
,尤其涉及一种基于坐标系的攻击检测规则匹配的方法及装置。
技术介绍
[0002]攻击检测是网络安全领域常用的一种安全手段,它的作用是通过匹配规则,发现威胁,并进行告警,攻击检测的主要难点之一就是规则数据很多,匹配效率慢,对于网络延时要求较高的领域会有影响。在规则匹配中,通常是需要查找网络数据报文中是否包含某些特定的数据,传统的方法是针对每条规则中的特征数据对当前接收到的报文进行匹配,如果规则数据很多比如几十万条,那么匹配一轮需要较长的时间。基于此,本专利技术提出一种基于坐标系的攻击检测规则匹配的方法及装置,提升规则匹配效率,可以大幅提升匹配效率。
技术实现思路
[0003]本专利技术提供了一种基于坐标系的攻击检测规则匹配的方法,包括:
[0004]创建一个直角坐标系,X轴为规则特征数据的长度,Y轴为数据的偏移,单位为字节;
[0005]读取规则文件,依次对规则文件中的每条规则执行如下操作:根据每条规则的偏移量和数据长度对应到直角坐标系中点(X,Y),对每条规则的特征数据进行哈希计算,将哈希结果存入哈希桶,并将其对应的坐标Y也存入哈希桶,汇总哈希桶得到一个哈希表T;将直角坐标系的点进行X轴投射,得到一个投射数组E;
[0006]响应于接收到报文,从报文的首个字节开始,按照数组E的所有值长度进行分割,分割的数据组成一个数组元素,对分割的数据进行哈希计算得到哈希值数组H;
[0007]根据哈希值数组H中的哈希值在哈希表T中进行查找,如果能够命中,则把数据的长度数值和当前命中的哈希桶的Y坐标进行对比,如果相等,则比对真实数据是否完全相同,如果完全相同就找到了对应的规则,匹配成功。
[0008]如上所述的一种基于坐标系的攻击检测规则匹配的方法,其中,设定规则特征数据的约束条件,即特征数据有固定的偏移和长度。
[0009]如上所述的一种基于坐标系的攻击检测规则匹配的方法,其中,令字节位N=1,对报文的有效数据进行分割,分割方式为从有效数据的第N个字节开始,按着数组E的数值进行,即第1次分割起始位置为第1个字节,分割长度分别对应数组E的所有值。
[0010]如上所述的一种基于坐标系的攻击检测规则匹配的方法,其中,如果不能命中或与哈希桶Y坐标对比不相等或与真实数据不完全相同,则说明哈希表T里没有对应的规则,那么匹配失败,令N=N+1继续返回进行匹配。
[0011]本专利技术还提供一种基于坐标系的攻击检测规则匹配的装置,包括:
[0012]直角坐标系创建模块,用于创建一个直角坐标系,X轴为规则特征数据的长度,Y轴
为数据的偏移,单位为字节;
[0013]哈希表构建模块,用于读取规则文件,依次对规则文件中的每条规则执行如下操作:根据每条规则的偏移量和数据长度对应到直角坐标系中点(X,Y),对每条规则的特征数据进行哈希计算,将哈希结果存入哈希桶,并将其对应的坐标Y也存入哈希桶,汇总哈希桶得到一个哈希表T;将直角坐标系的点进行X轴投射,得到一个投射数组E;
[0014]报文处理模块,用于在响应于接收到报文后,从报文的首个字节开始,按照数组E的所有值长度进行分割,分割的数据组成一个数组元素,对分割的数据进行哈希计算得到哈希值数组H;
[0015]规则匹配模块,用于根据哈希值数组H中的哈希值在哈希表T中进行查找,如果能够命中,则把数据的长度数值和当前命中的哈希桶的Y坐标进行对比,如果相等,则比对真实数据是否完全相同,如果完全相同就找到了对应的规则,匹配成功。
[0016]本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被处理器执行上述任一项所述的一种基于坐标系的攻击检测规则匹配的方法。
[0017]本专利技术实现的有益效果如下:本专利技术提出的基于坐标系的攻击检测规则匹配的方法从收到的报文本身进行分析,不需要逐条去匹配,可以大大提升匹配效率。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0019]图1是本专利技术实施例提供的一种基于坐标系的攻击检测规则匹配的方法流程图;
[0020]图2是本专利技术实施例提供的一种基于坐标系的攻击检测规则匹配的装置示意图。
具体实施方式
[0021]下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0022]实施例一
[0023]如图1所示,本专利技术实施例一提供一种基于坐标系的攻击检测规则匹配的方法,包括:
[0024]步骤110、创建一个直角坐标系,用X轴和Y轴代表规则特征数据的长度和数据的偏移;
[0025]可选地,使用X轴表示规则特征数据的长度,Y轴表示数据的偏移,单位为字节;另外也可以使用Y轴表示规则特征数据的长度,X轴表示数据的偏移;上述两种情况所达到的技术效果相同。
[0026]步骤120、读取规则文件,依次对规则文件中的每条规则执行如下操作:根据每条
规则的偏移量和数据长度对应到直角坐标系中点(X,Y),对每条规则的特征数据进行哈希计算,将哈希结果存入哈希桶,并将其对应的坐标Y也存入哈希桶,汇总哈希桶得到一个哈希表T;将直角坐标系的点进行X轴投射,得到一个投射数组E;
[0027]其中,设定规则特征数据的约束条件,即特征数据有固定的偏移和长度。
[0028]由于规则数据的长度大部分都是几个字节,所以对坐标系中的数据进行X轴的投影,得到一个投影的数组E。而这个数据E一般情况会很小,大部分规则的特征数据都不会超过10个字节。
[0029]步骤130、响应于接收到报文,从报文的首个字节开始,按照数组E的所有值长度进行分割,分割的数据组成一个数组元素,对分割的数据进行哈希计算得到哈希值数组H;
[0030]具体地,令字节位N=1(即从首个字节开始);
[0031]对报文的有效数据进行分割,分割方式为从有效数据的第N个字节开始,按着数组E的数值进行,例如:第1次分割起始位置为第1个字节,分割长度分别对应数组E的所有值,并对分割的数据进行哈希计算得到一个数组元素和数组E相同的哈希值数组H。
[0032]步骤140、根据哈希值数组H中的哈希值在哈希表T中进行查找,如果能够命中,则把数据的长度数值和当前命中的哈希桶的Y坐标进行对比,如果相等,则比对真实数据是否完全相同,如果完全相同就找到了对应的规则,匹配成功;若任意一个条件不能满足,则匹配本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于坐标系的攻击检测规则匹配的方法,其特征在于,包括:创建一个直角坐标系,用X轴和Y轴代表规则特征数据的长度和数据的偏移;读取规则文件,依次对规则文件中的每条规则执行如下操作:根据每条规则的偏移量和数据长度对应到直角坐标系中点(X,Y),对每条规则的特征数据进行哈希计算,将哈希结果存入哈希桶,并将其对应的坐标Y也存入哈希桶,汇总哈希桶得到一个哈希表T;将直角坐标系的点进行X轴投射,得到一个投射数组E;响应于接收到报文,从报文的首个字节开始,按照数组E的所有值长度进行分割,分割的数据组成一个数组元素,对分割的数据进行哈希计算得到哈希值数组H;根据哈希值数组H中的哈希值在哈希表T中进行查找,如果能够命中,则把数据的长度数值和当前命中的哈希桶的Y坐标进行对比,如果相等,则比对真实数据是否完全相同,如果完全相同就找到了对应的规则,匹配成功。2.如权利要求1所述的一种基于坐标系的攻击检测规则匹配的方法,其特征在于,设定规则特征数据的约束条件,即特征数据有固定的偏移和长度。3.如权利要求1所述的一种基于坐标系的攻击检测规则匹配的方法,其特征在于,令字节位N=1,对报文的有效数据进行分割,分割方式为从有效数据的第N个字节开始,按着数组E的数值进行,即第1次分割起始位置为第1个字节,分割长度分别对应数组E的所有值。4.如权利要求3所述的一种基于坐标系的攻击检测规则匹配的方法,其特征在于,如果不能...
【专利技术属性】
技术研发人员:王方立,黄敏,龙国东,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。