【技术实现步骤摘要】
本申请涉及网络安全领域,尤其是涉及一种规则匹配的方法及装置、电子设备、存储介质。
技术介绍
1、目前,结合图1所示,通常会将一个http(hypertext transferprotocol,超文本传输协议)事务拆分为5个检测阶段:请求头阶段、请求体阶段、响应头阶段、响应体阶段、日志阶段。并预先设置一些规则,使每条规则都从属于其中一个阶段,相同阶段的规则可以构成一个规则集。
2、现有技术中通常会对同一规则集中预先设置的规则进行串行匹配,如果规则命中,则执行动作;如果规则未命中,则继续匹配下一条规则。但是,正常的业务场景中,攻击流量在整体流量中的占比较小,通过上述方式对规则进行串行匹配会存在大量不被命中的规则。其中,不被命中可以理解为匹配规则时,在流量中检测不到规则需要检测的内容,也就是存在大量对流量来说无效的规则。
3、需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本申请的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
1、为了对披露的实施例的一些方面有基本的理解,下面给出了简单的概括。所述概括不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围,而是作为后面的详细说明的序言。
2、本申请实施例提供了一种规则匹配的方法及装置、电子设备、存储介质,以在对流量进行规则匹配的过程中,减少不必要的规则匹配,从而提高设备的流量处理性能。
3、本申请实施例提供了一种规则匹配的方法,
4、在上述实施方式中,通过第一类字符先匹配出一部分快速模式,再从选出来的快速模式对应的第一类规则中匹配出与目标检测对象匹配的第一类规则。这样,筛选出来的规则与检测数据能够在相同的检测对象中具有相同的第一类字符,从而使得与目标检测对象匹配的第一类规则更容易被流量命中,进而能够减少不必要的规则匹配,从而提高设备的流量处理性能。
5、进一步的,从所述快速模式集合中筛选出具有命中数据的所述快速模式作为目标快速模式,包括:利用预设的匹配算法对所述检测数据和所述快速模式集合进行匹配,筛选出与所述检测数据具有相同的第一类字符的所述快速模式作为目标快速模式。
6、在上述实施方式中,通过匹配算法能够支持同时匹配多个快速模式,以实现对快速模式集合中快速模式的并行匹配,能够加快规则匹配的效率。
7、进一步的,所述目标检测对象通过以下方式获取:获取所述检测数据中各所述检测对象的第一位置范围和所述命中数据在所述检测数据的第二位置范围;将包含所述第二位置范围的所述第一位置范围对应的检测对象确定为所述目标检测对象。
8、在上述实施方式中,检测数据是预先根据各检测对象来设置的,由此能够直接知道各检测对象在检测数据中的第一位置范围。当知晓命中数据时,也易于得知命中数据在检测数据中的第二位置范围。若第二位置范围包含于第一位置范围内,则该命中数据属于组成该检测对象的字符的一部分。由此,能够准确的确定出命中数据所在的检测对象,便于后续准确的匹配规则。
9、进一步的,根据目标检测对象对所述目标快速模式对应的第一类规则进行规则匹配,获得规则匹配结果,包括:针对所述目标快速模式对应的每一条第一类规则执行以下步骤:从多个所述第一位置范围中确定该第一类规则的检测对象所处的目标位置范围;在所述第二位置范围包含于所述目标位置范围情况下,确定该第一类规则为与所述目标检测对象匹配的第一类规则。
10、在上述实施方式中,考虑到若只筛选与检测数据具有相同的第一类字符的快速模式。此时,该快速模式对应的第一类规则虽然会具备与检测数据相同的第一类字符,但是可能存在由于检测数据中第一类字符所属的检测对象与第一类规则中第一类字符所属的检测对象不一致,使得实际上该第一类规则不能被流量命中。通过确定目标快速模式对应的第一类规则的检测对象在检测数据中的位置,以及命中数据在检测数据中的位置,能够简单便捷的确定检测数据和第一类规则中的第一类字符是否属于同一检测对象。
11、进一步的,获得规则匹配结果后,规则匹配的方法还包括:获取与所述目标检测对象匹配的第一类规则中的匹配特征;在组成所述检测数据的字符中包含所述匹配特征的情况下,执行所述第一类规则。
12、在上述实施方式中,考虑到实际上第一类规则的匹配特征与快速模式的第一类字符复杂很多,即规则中的匹配特征可能比命中数据要复杂很多。由此,即便第一类规则具备与检测数据相同的命中数据,但是第一类规则中可能没有与检测数据相同的匹配特征。此时,该第一类规则依然不会被流量命中。通过进一步确定检测数据的字符中是否包含匹配特征,能够使得筛选出来的第一类规则能够被命中。此时,只执行能够被流量命中的第一类规则,能够节约cpu(处理器)资源。
13、进一步的,规则匹配的方法还包括:获取所述检测数据中的所述目标检测对象的第一组成字符;所述第一组成字符表征所述检测数据中构成所述目标检测对象的字符;将所述匹配特征与所述第一组成字符进行比较;在所述第一组成字符中包含所述匹配特征的情况下,确定所述检测数据的字符中包含所述匹配特征;否则,确定所述检测数据的字符中不包含所述匹配特征。
14、在上述实施方式中,通过字符比较的方式,能够简单便捷的确定检测数据是否具有与第一类规则相同的匹配特征。
15、进一步的,所述检测数据的所述目标检测对象包括:多个子目标检测对象;获取所述检测数据的目标检测对象的第一组成字符,包括:获取各所述子目标检测对象在所述检测数据中的第三位置范围和所述命中数据在所述检测数据的第二位置范围;在所述第二位置范围位于所述第三位置范围内的情况下,获取所述第三位置范围对应的所述子目标检测对象的第二组成字符作为所述第一组成字符;所述第二组成字符表征构成子目标检测对象的字符。
16、在上述实施方式中,考虑到,第一类规则中同一个目标检测对象可以存在多个子目标检测对象,例如:目标检测对象为“请求参数”,其对应多个子目标检测对象“test”、“dgvzda==”“shell.php”等。其中各个子目标检测对象的位置范围易于获得,根据命中数据所处的第二位置范围和各个子目标检测对象的第三位置范围,能够获知命中数据具体所处的子目标检测对象,由此能够只在子目标检测对象中去查找是本文档来自技高网...
【技术保护点】
1.一种规则匹配的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,从所述快速模式集合中筛选出具有命中数据的所述快速模式作为目标快速模式,包括:
3.根据权利要求1所述的方法,其特征在于,所述目标检测对象通过以下方式获取:
4.根据权利要求3所述的方法,其特征在于,根据目标检测对象对所述目标快速模式对应的第一类规则进行规则匹配,获得规则匹配结果,包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,获得规则匹配结果后,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述检测数据中的所述目标检测对象包括:多个子目标检测对象;获取所述检测数据中的所述目标检测对象的第一组成字符,包括:
8.一种规则匹配的装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机可执行指令,所述处理器执行所述计算机可执行指令以实现权利要求1至7任一项所述
10.一种存储介质,其特征在于,所述存储介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令使得处理器实现权利要求1至7任一项所述的规则匹配的方法。
...【技术特征摘要】
1.一种规则匹配的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,从所述快速模式集合中筛选出具有命中数据的所述快速模式作为目标快速模式,包括:
3.根据权利要求1所述的方法,其特征在于,所述目标检测对象通过以下方式获取:
4.根据权利要求3所述的方法,其特征在于,根据目标检测对象对所述目标快速模式对应的第一类规则进行规则匹配,获得规则匹配结果,包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,获得规则匹配结果后,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利...
【专利技术属性】
技术研发人员:曾立宁,江雪峰,张宁宇,张作涛,庞帆栋,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。