规则匹配和管理方法及装置制造方法及图纸

本申请公开了一种规则匹配和管理方法及装置，包括：客户端根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件以及对应的匹配规则，将所述匹配一致的文件以及对应的匹配规则的标识发送给服务端，以使服务端根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；根据所述匹配规则的属性，过滤所述客户端上报的文件。通过减少上报给服务端的文件数量从而减小服务端规则匹配的工作量，进而提高服务端的匹配效率。

Rule matching and management method and device

The invention discloses a rule and device matching and management method includes: the client according to the local rules of client of local files, determine the matching and local rules consistent with the client file and matching rules corresponding to the identifier the matching documents and matching rules corresponding to the server, so that the server according to the the matching rules by the client reporting identification, attribute matching rule acquisition corresponds to matching with the rules of; according to the attribute matching rules, the client reporting file filter. By reducing the number of files reported to the server, the workload of server rules matching is reduced, and then the matching efficiency of server side is improved.

【技术实现步骤摘要】
规则匹配和管理方法及装置
本申请属于互联网安全
，具体地说，涉及一种规则匹配和管理方法及装置。
技术介绍
随着云计算的高速发展，越来越多的创业者在云上搭建自己的服务器，由于使用云服务器的人员的安全能力参差不齐，导致黑客极其容易的在云服务器上植入后门程序(后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的恶意代码)，例如WebShell，导致云服务器遭到入侵，造成严重的经济损失。大型的云服务器提供商、专业的云服务器安全厂商都会推出对应的查杀产品来扫描检测这些后门程序，但是由于需要扫描检测的后门程序数增巨大，服务器的检测吞吐量、匹配的时间复杂度和匹配命中率就受到了极大的挑战。为了提高对恶意代码等后门程序的检测效率,就必须确保基于规则匹配的检测系统所用的规则的时效性、有效性、稳定性和优化性，因此，迫切需要一种匹配规则的管理方法可以大幅度提升对恶意代码等后门程序的检测效率和命中率，同时降低匹配的时间复杂度。
技术实现思路
有鉴于此，本申请提供一种规则匹配和管理方法及装置，可以解决现有规则在匹配过程中命中率低、时间复杂度高的问题。为了解决上述技术问题，本申请第一方面提供一种规则匹配方法，位于客户端执行，包括：客户端根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件以及对应的匹配规则，所述客户端本地规则包括多个规则，所述匹配规则为与所述文件匹配一致的客户端本地规则，所述本地文件为所述客户端本地的文件；将所述匹配一致的文件以及对应的匹配规则的标识发送给服务端，以使服务端根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；根据所述匹配规则的属性，过滤所述客户端上报的文件。可选地，所述客户端从服务端获取的新的客户端规则，并根据所述新的客户端规则更新客户端本地规则，所述新的客户端规则包括服务端重新配置的客户端规则。可选地，所述客户端本地规则中包括多个规则，每个规则中包括预先收集的文件特征，所述方法还包括：根据每个规则中包括的文件特征对本地文件进行匹配，若本地文件的特征与其中一个规则中包括的文件特征匹配一致，则确定所述规则与所述文件匹配一致。本申请第二方面还提供一种规则匹配方法，位于服务端执行，包括：服务端接收客户端发送的匹配一致的文件以及对应的匹配规则的标识，所述匹配规则为与所述文件匹配一致的客户端本地规则；根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；根据所述匹配规则的属性，过滤所述客户端上报的文件。可选地，所述属性包括规则的生效状态和/或规则的生效时间；根据所述匹配规则的属性，过滤所述客户端上报的文件，包括：若所述匹配规则的属性的生效状态为无效状态，则所述匹配规则为无效规则，丢弃所述客户端上报的文件中与所述无效规则匹配的文件；若所述匹配规则的属性的生效状态为有效状态，且当前时间不在所述生效时间内，则所述匹配规则为无效规则，丢弃所述客户端上报的文件中与所述无效规则匹配的文件。可选地，所述属性包括规则的灰度状态，根据所述匹配规则的属性，过滤所述客户端上报的文件，包括：若所述匹配规则的属性为灰度状态，则获取所述匹配规则的匹配命中率，当所述匹配规则的匹配命中率大于预设的命中率阈值时，丢弃所述客户端上报的文件中与所述匹配规则匹配的文件，所述匹配命中率是一定时间内同一个规则被匹配一致或匹配命中的次数。可选地，过滤所述客户端上报的文件之后，包括：所述服务端根据服务端本地规则中每个规则的优先级，从优先级高到低对剩余文件逐一进行规则匹配，所述剩余文件为过滤所述客户端上报的文件之后剩余的文件；确定所述剩余文件中与所述服务端本地规则匹配一致的文件以及对应的被匹配命中的服务端本地规则；更新所述被匹配命中的服务端本地规则的匹配命中的次数。可选地，更新所述被匹配命中的服务端本地规则的匹配命中的次数之后，还包括：根据所述服务端本地规则中每个规则被匹配命中的次数，确定每个规则的匹配命中率，所述匹配命中率是一定时间内同一个规则被匹配一致或匹配命中的次数；根据匹配命中率的高低，从高到底动态调整所述服务端本地规则中每个规则的优先级。本申请第三方面提供一种规则管理方法，位于服务端执行，包括：服务端触发对服务端本地当前生效规则的更新时，为所述新的生效规则分配存储空间，并将所述新的生效规则初始化到所述存储空间；将所述当前生效规则切换到所述新的生效规则，并根据所述新的生效规则进行规则匹配。可选地，所述方法还包括：所述服务端触发对所述当前生效规则的部分更新时，备份所述当前生效规则；对所述备份的当前生效规则进行部分更新；将所述当前生效规则切换到所述部分更新后的当前生效规则。可选地，所述方法还包括：将所述当前生效规则以及对应的版本号备份到旧的生效规则库中。可选地，所述方法还包括：所述服务端触发对旧生效规则的回滚时，根据待回滚的版本号，从所述旧的生效规则库中获取与所述待回滚的版本号对应的旧生效规则；将所述当前生效规则切换到回滚后的所述旧生效规则。可选地，所述方法还包括：在规则切换之前，锁定服务端的规则匹配；在规则切换之后，解锁服务端的规则匹配。本专利技术第四方面还提供一种规则管理方法，位于服务端执行，包括：服务端触发对服务端本地当前生效规则的优化时，获取所述当前生效规则中每一个规则的匹配命中率，所述匹配命中率是一定时间内同一个规则被匹配一致或匹配命中的次数；根据匹配命中率的高低，从高到底设置所述当前生效规则中每个规则的优先级，得到优化后的生效规则；将所述当前生效规则切换到所述优化后的生效规则。可选地，所述方法还包括：服务端进行规则匹配时，根据所述优化后的生效规则中每个规则的优先级，从优先级高到低逐一进行规则匹配。可选地，所述方法还包括：所述当前生效规则中包括多个规则，所述方法还包括：在预设的时间内，将所述当前生效规则中的每个规则与文件匹配时，根据每个规则被匹配命中的次数，确定并记录所述规则的匹配命中率。可选地，所述方法还包括：在预设的时间内，若确定所述当前生效规则中的每个规则的匹配命中率高低顺序变化小于预设的变化阈值时，停止触发对所述当前生效规则的优化。本申请第五方面提供一种规则匹配装置，位于客户端，包括：匹配模块，用于根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件以及对应的匹配规则，所述客户端本地规则包括多个规则，所述匹配规则为与所述文件匹配一致的客户端本地规则；发送模块，用于将所述匹配一致的文件以及对应的匹配规则的标识发送给服务端，以使服务端根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；根据所述匹配规则的属性，过滤所述客户端上报的文件。可选地，所述的装置还包括：规则更新模块，用于从服务端获取的新的客户端规则，并根据所述新的客户端规则更新客户端本地规则，所述新的客户端规则包括服务端重新配置的客户端规则。可选地，所述客户端本地规则中包括多个规则，每个规则中包括预先收集的文件特征，所述匹配模块具体用于：根据每个规则中包括的文件特征对本地文件进行匹配，若本地文件的特征与其中一个规则中包括的文件特征匹配一致，则确定所述规则与所述文件匹配一致。本申请第六方面提供一种规则匹配装置，位于服务端，包本文档来自技高网...

【技术保护点】
一种规则匹配方法，位于客户端执行，其特征在于，包括：客户端根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件以及对应的匹配规则，所述客户端本地规则包括多个规则，所述匹配规则为与所述文件匹配一致的客户端本地规则；将所述匹配一致的文件以及对应的匹配规则的标识发送给服务端，以使服务端根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性，根据所述匹配规则的属性，过滤所述客户端上报的文件。

【技术特征摘要】
1.一种规则匹配方法，位于客户端执行，其特征在于，包括：客户端根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件以及对应的匹配规则，所述客户端本地规则包括多个规则，所述匹配规则为与所述文件匹配一致的客户端本地规则；将所述匹配一致的文件以及对应的匹配规则的标识发送给服务端，以使服务端根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性，根据所述匹配规则的属性，过滤所述客户端上报的文件。2.根据权利要求1所述的方法，其特征在于，还包括：所述客户端从服务端获取新的客户端规则，并根据所述新的客户端规则更新客户端本地规则，所述新的客户端规则包括服务端重新配置的客户端规则。3.根据权利要求1或2所述的方法，其特征在于，所述客户端本地规则中包括多个规则，每个规则中包括预先收集的文件特征，所述方法还包括：根据每个规则中包括的文件特征对本地文件进行匹配，若本地文件的特征与其中一个规则中包括的文件特征匹配一致，则确定所述规则与所述文件匹配一致。4.一种规则匹配方法，位于服务端执行，其特征在于，包括：服务端接收客户端发送的匹配一致的文件以及对应的匹配规则的标识，所述匹配规则为与所述文件匹配一致的客户端本地规则；根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；根据所述匹配规则的属性，过滤所述客户端上报的文件。5.根据权利要求4所述的方法，其特征在于，所述属性包括规则的生效状态和/或规则的生效时间；根据所述匹配规则的属性，过滤所述客户端上报的文件，包括：若所述匹配规则的属性的生效状态为无效状态，则所述匹配规则为无效规则，丢弃所述客户端上报的文件中与所述无效规则匹配的文件；若所述匹配规则的属性的生效状态为有效状态，且当前时间不在所述生效时间内，则所述匹配规则为无效规则，丢弃所述客户端上报的文件中与所述无效规则匹配的文件。6.根据权利要求4所述的方法，其特征在于，所述属性包括规则的灰度状态，根据所述匹配规则的属性，过滤所述客户端上报的文件，包括：若所述匹配规则的属性为灰度状态，则获取所述匹配规则的匹配命中率，当所述匹配规则的匹配命中率大于预设的命中率阈值时，丢弃所述客户端上报的文件中与所述匹配规则匹配的文件，所述匹配命中率是一定时间内同一个规则被匹配一致或匹配命中的次数。7.根据权利要求4-6中任一项所述的方法，其特征在于，过滤所述客户端上报的文件之后，包括：所述服务端根据服务端本地规则中每个规则的优先级，从优先级高到低对剩余文件逐一进行规则匹配，所述剩余文件为过滤所述客户端上报的文件之后剩余的文件；确定所述剩余文件中与所述服务端本地规则匹配一致的文件以及对应的被匹配命中的服务端本地规则；更新所述被匹配命中的服务端本地规则的匹配命中的次数。8.根据权利要求7所述的方法，其特征在于，更新所述被匹配命中的服务端本地规则的匹配命中的次数之后，还包括：根据所述服务端本地规则中每个规则被匹配命中的次数，确定每个规则的匹配命中率，所述匹配命中率是一定时间内同一个规则被匹配一致或匹配命中的次数；根据匹配命中率的高低，从高到底动态调整所述服务端本地规则中每个规则的优先级。9.一种规则管理方法，位于服务端执行，其特征在于，包括：服务端触发对服务端本地当前生效规则的更新时，为所述新的生效规则分配存储空间，并将所述新的生效规则初始化到所述存储空间；将所述当前生效规则切换到所述新的生效规则，并根据所述新的生效规则进行规则匹配。10.根据权利要求9所述的方法，其特征在于，还包括：所述服务端触发对所述当前生效规则的部分更新时，备份所述当前生效规则；对所述备份的当前生效规则进行部分更新；将所述当前生效规则切换到所述部分更新后的当前生效规则。11.根据权利要求9或10所述的方法，其特征在于，还包括：将所述当前生效规则以及对应的版本号备份到旧的生效规则库中。12.根据权利要求11所述的方法，其特征在于，还包括：所述服务端触发对旧生效规则的回滚时，根据待回滚的版本号，从所述旧的生效规则库中获取与所述待回滚的版本号对应的旧生效规则；将所述当前生效规则切换到回滚后的所述旧生效规则。13.根据权利要求9、10或12所述的方法，其特征在于，还包括：在规则切换之前，锁定服务端的规则匹配；在规则切换之后，解锁服务端的规则匹配。14.一种规则管理方法，位于服务端执行，其特征在于，包括：服务端触发对服务端本地当前生效规则的优化时，获取所述当前生效规则中每一个规则的匹配命中率，所述匹配命中率是一定时间内同一个规则被匹配一致或匹配命中的次数；根据匹配命中率的高低，从高到底设置所述当前生效规则中每个规则的优先级，得到优化后的生效规则；将所述当前生效规则切换到所述优化后的生效规则。15.根据权利要求17所述的方法，其特征在于，还包括：服务端进行规则匹配时，根据所述优化后的生效规则中每个规则的优先级，从优先级高到低逐一进行规则匹配。16.根据权利要求15所述的方法，其特征在于，所述当前生效规则中包括多个规则，所述方法还包括：在预设的时间内，将所述当前生效规则中的每个规则与文件匹配时，根据每个规则被匹配命中的次数，确定并记录所述规则的匹配命中率。17.根据权利要求16所述的方法，其特征在于，还包括：在预设的时间内，若确定所述当前生效规则中的每个规则的匹配命中率高低顺序变化小于预设的变化阈值时，停止触发对所述当前生效规则的优化。18.一种规则匹配装置，位于客户端，其特征在于，包括：匹配模块，用于根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件...

【专利技术属性】
技术研发人员：张耀，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY