【技术实现步骤摘要】
一种基于特征值生成与检索的防火墙规则匹配算法
本专利技术涉及信息安全
,尤其是一种基于特征值生成与检索的防火墙规则匹配算法。
技术介绍
在互联网与信息化时代,组织与个人时刻都在产生及请求大量数据。数据通过网络交互传输,这其中又隐藏了大量的恶意信息。防火墙作为保障网络安全的重要手段和设施,起着不可或缺的作用。防火墙设备的核心工作原理之一,就是根据预设或习得的规则,对过往数据包进行检查匹配并处理。这其中,通信数据匹配性能成为影响防火墙网络吞吐能力与响应速度的关键。高性能的数据包匹配策略与算法对优化防火墙设备网络性能具有重大意义。传统的防火墙规则匹配算法具有各种不完善的地方。比如linux的netfilter防火墙框架,对规则的匹配是简单的顺序匹配,具有线性时间复杂度,在大规模规则情景下效率低下。TernaryCAM算法、BitmapIntersection算法等是基于专用芯片与设备的算法,适用范围狭窄。HierachicalTries是一种基于Trie树的最长前缀匹配算法,该算法对规则维数的可扩展性支持比较差,规则动态更新困难,不支持业务逻辑层面的灵活高效匹配,...
【技术保护点】
1.一种基于特征值生成与检索的防火墙匹配算法,其特征在于:所述的方法包括规则集处理和对数据包匹配;所述的规则集处理包括输入并初始化规则集、对每条规则生产特征值,以及,基于规则特征值的数字大小,对特征值进行排序;所述的对数据包匹配包括:对待匹配的数据包生成特征值;在规则特征值集里二分查找生成的特征值;如果查找得到一致的特征值,执行对应规则的策略;如果查找不到,则向上去匹配比数据包特征值更大的规则特征值;查找和数据包特征值匹配的规则;匹配则执行规则设定的策略,不匹配则执行默认策略。
【技术特征摘要】
1.一种基于特征值生成与检索的防火墙匹配算法,其特征在于:所述的方法包括规则集处理和对数据包匹配;所述的规则集处理包括输入并初始化规则集、对每条规则生产特征值,以及,基于规则特征值的数字大小,对特征值进行排序;所述的对数据包匹配包括:对待匹配的数据包生成特征值;在规则特征值集里二分查找生成的特征值;如果查找得到一致的特征值,执行对应规则的策略;如果查找不到,则向上去匹配比数据包特征值更大的规则特征值;查找和数据包特征值匹配的规则;匹配则执行规则设定的策略,不匹配则执行默认策略。2.根据权利要求1所述的方法,其特征在于:所述的输入并初始化规则集包括对语义逻辑重复的规则进行清除,对具有复杂逻辑的规则进行分解,对规则进行逻辑上、格式上的完整补充。3.根据权利要求1所述的方法,其特征在于:所述的对每条规则生产特征值具体步骤为:分离和提取规则的所有特征域;根据转换规则,把所有特征域转换为数字;组合特征域转换成的数字,把规则整体转换为一个整数。4.根据权利要求2所述的方法,其特征在于:所述的对每条规则生产特征值具体步骤...
【专利技术属性】
技术研发人员:韩飞,季统凯,
申请(专利权)人:国云科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。