一种审计策略的匹配方法及装置制造方法及图纸

本申请提供了一种审计策略的匹配方法及装置，该方法中采用多叉树结构的状态机对审计策略包括的条件信息进行存储，能够降低条件信息之间的冲突，可以保证在状态机中查找审计策略时，能够缩短查找的时间，提高审计策略匹配的效率。并且，将条件全局标识表示条件信息，可以降低状态机的存储空间，节省内存空间。

【技术实现步骤摘要】
一种审计策略的匹配方法及装置
本申请涉及网络安全审计
，特别涉及一种审计策略的匹配方法及装置。
技术介绍
网络安全审计系统一般基于网络审计策略，实时监测网络的状态,检测网络中入侵行为,并追踪网络安全事件,对网络的数据进行留存。其中，为网络安全审计系统匹配网络审计策略是关键，但是，如何快速的匹配网络审计策略成为问题。
技术实现思路
为解决上述技术问题，本申请实施例提供一种审计策略的匹配方法及装置，以达到审计策略匹配的目的，技术方案如下：一种审计策略的匹配方法，包括：对待处理网络流量进行解析，获得至少一个流量信息；从至少一个所述流量信息中选择一个，作为待使用流量信息，并将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识；在预先构建的状态机中获取非叶子节点的标识，基于所述非叶子节点的标识及所述条件全局标识，得到子节点标识，所述状态机为按照多叉树结构将审计策略所包括的条件信息对应的条件全局标识进行分布的状态机，所述状态机中从根节点到叶子节点的路径对应一个完整的审计策略；判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点；若是，则判断所述子节点标识对应的子节点是否为叶子节点；若为叶子节点，则输出所述根节点到所述子节点标识对应的子节点的路径对应的审计策略的信息；若非叶子节点，则返回执行所述从至少一个所述条件信息中选择一个，作为待使用流量信息的步骤。可选的，所述将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识，包括：将所述待使用流量信息输入到匹配引擎，由所述匹配引擎在预先构建的第一哈希表中查找与所述待使用流量信息对应的哈希值，若查找到，则将查找到的哈希值作为所述待使用流量信息对应的条件全局标识；所述第一哈希表包含多个条件信息与其对应的哈希值的映射关系，且每个所述调节信息对应的哈希值各不相同。可选的，所述将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识，包括：将所述待使用流量信息输入到匹配引擎，由所述匹配引擎计算所述待使用流量信息的哈希值，将所述哈希值作为所述待使用流量信息的条件全局标识。可选的，所述判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点，包括：判断所述状态机中所述非叶子节点的哈希表中是否存在所述子节点标识。可选的，所述状态机的构建过程，包括：获取至少一个待安装审计策略的多个条件信息的条件全局标识，并设置状态机的根节点的标识为设定值，并将所述根节点作为父节点；从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识；获取所述待安装条件全局标识，基于所述待安装条件全局标识及所述父节点的标识，得到哈希值，判断所述父节点的哈希表中是否存在所述哈希值；若存在所述哈希值，则返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识的步骤；若不存在所述哈希值，则将所述哈希值插入到所述父节点的哈希表中，并将所述待安装条件全局标识对应的节点作为所述父节点的子节点，插入到所述状态机中；判断所述待安装条件全局标识对应的审计策略条件信息是否为所述待安装审计策略的最后一个条件信息；若非最后有一个条件信息，则将所述待安装条件全局标识对应的节点作为父节点，并返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识的步骤；若是最后一个条件信息，则在所述待安装条件全局标识对应的节点上挂载所述待安装审计策略的索引信息。一种审计策略的匹配装置，包括：第一获得模块，用于对待处理网络流量进行解析，获得至少一个流量信息；第一确定模块，用于从至少一个所述流量信息中选择一个，作为待使用流量信息；第二获得模块，用于将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识；第二确定模块，用于在预先构建的状态机中获取非叶子节点的标识，基于所述非叶子节点的标识及所述条件全局标识，得到子节点标识，所述状态机为按照多叉树结构将审计策略所包括的条件信息对应的条件全局标识进行分布的状态机，所述状态机中从根节点到叶子节点的路径对应一个完整的审计策略；第一判断模块，用于判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点；第二判断模块，用于在所述状态机中能从所述非叶子节点跳转到所述子节点标识对应的子节点，则判断所述子节点标识对应的子节点是否为叶子节点，若为叶子节点，则执行输出模块输出所述根节点到所述子节点标识对应的子节点的路径对应的审计策略的信息，若非叶子节点，则执行所述第一确定模块从至少一个所述条件信息中选择一个，作为待使用流量信息。可选的，所述第二确定模块，具体用于：将所述待使用流量信息输入到匹配引擎，由所述匹配引擎在预先构建的第一哈希表中查找与所述待使用流量信息对应的哈希值，若查找到，则将查找到的哈希值作为所述待使用流量信息对应的条件全局标识；所述第一哈希表包含多个条件信息与其对应的哈希值的映射关系，且每个所述调节信息对应的哈希值各不相同。可选的，所述第二确定模块，具体用于：将所述待使用流量信息输入到匹配引擎，由所述匹配引擎计算所述待使用流量信息的哈希值，将所述哈希值作为所述待使用流量信息的条件全局标识。可选的，所述第一判断模块，具体用于：判断所述状态机中所述非叶子节点的哈希表中是否存在所述子节点标识。可选的，所述装置还包括：构建模块，用于：获取至少一个待安装审计策略的多个条件信息的条件全局标识，并设置状态机的根节点的标识为设定值，并将所述根节点作为父节点；从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识；获取所述待安装条件全局标识，基于所述待安装条件全局标识及所述父节点的标识，得到哈希值，判断所述父节点的哈希表中是否存在所述哈希值；若存在所述哈希值，则返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识的步骤；若不存在所述哈希值，则将所述哈希值插入到所述父节点的哈希表中，并将所述待安装条件全局标识对应的节点作为所述父节点的子节点，插入到所述状态机中；判断所述待安装条件全局标识对应的审计策略条件信息是否为所述待安装审计策略的最后一个条件信息；若非最后有一个条件信息，则将所述待安装条件全局标识对应的节点作为父节点，并返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识的步骤；若是最后一个条件信息，则在所述待安装条件全局标识对应的节点上挂载所述待安装审计策略的索引信息。与现有技术相比，本申请的有益效果为：在本申请中，采用本文档来自技高网...

【技术保护点】
1.一种审计策略的匹配方法，其特征在于，包括：/n对待处理网络流量进行解析，获得至少一个流量信息；/n从至少一个所述流量信息中选择一个，作为待使用流量信息，并将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识；/n在预先构建的状态机中获取非叶子节点的标识，基于所述非叶子节点的标识及所述条件全局标识，得到子节点标识，所述状态机为按照多叉树结构将审计策略所包括的条件信息对应的条件全局标识进行分布的状态机，所述状态机中从根节点到叶子节点的路径对应一个完整的审计策略；/n判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点；/n若是，则判断所述子节点标识对应的子节点是否为叶子节点；/n若为叶子节点，则输出所述根节点到所述子节点标识对应的子节点的路径对应的审计策略的信息；/n若非叶子节点，则返回执行所述从至少一个所述条件信息中选择一个，作为待使用流量信息的步骤。/n

【技术特征摘要】
1.一种审计策略的匹配方法，其特征在于，包括：
对待处理网络流量进行解析，获得至少一个流量信息；
从至少一个所述流量信息中选择一个，作为待使用流量信息，并将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识；
在预先构建的状态机中获取非叶子节点的标识，基于所述非叶子节点的标识及所述条件全局标识，得到子节点标识，所述状态机为按照多叉树结构将审计策略所包括的条件信息对应的条件全局标识进行分布的状态机，所述状态机中从根节点到叶子节点的路径对应一个完整的审计策略；
判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点；
若是，则判断所述子节点标识对应的子节点是否为叶子节点；
若为叶子节点，则输出所述根节点到所述子节点标识对应的子节点的路径对应的审计策略的信息；
若非叶子节点，则返回执行所述从至少一个所述条件信息中选择一个，作为待使用流量信息的步骤。


2.根据权利要求1所述的方法，其特征在于，所述将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识，包括：
将所述待使用流量信息输入到匹配引擎，由所述匹配引擎在预先构建的第一哈希表中查找与所述待使用流量信息对应的哈希值，若查找到，则将查找到的哈希值作为所述待使用流量信息对应的条件全局标识；
所述第一哈希表包含多个条件信息与其对应的哈希值的映射关系，且每个所述调节信息对应的哈希值各不相同。


3.根据权利要求1所述的方法，其特征在于，所述将所述待使用流量信息输入到匹配引擎，获得所述待使用流量信息对应的条件全局标识，包括：
将所述待使用流量信息输入到匹配引擎，由所述匹配引擎计算所述待使用流量信息的哈希值，将所述哈希值作为所述待使用流量信息的条件全局标识。


4.根据权利要求1所述的方法，其特征在于，所述判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点，包括：
判断所述状态机中所述非叶子节点的哈希表中是否存在所述子节点标识。


5.根据权利要求1所述的方法，其特征在于，所述状态机的构建过程，包括：
获取至少一个待安装审计策略的多个条件信息的条件全局标识，并设置状态机的根节点的标识为设定值，并将所述根节点作为父节点；
从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识；
获取所述待安装条件全局标识，基于所述待安装条件全局标识及所述父节点的标识，得到哈希值，判断所述父节点的哈希表中是否存在所述哈希值；
若存在所述哈希值，则返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识的步骤；
若不存在所述哈希值，则将所述哈希值插入到所述父节点的哈希表中，并将所述待安装条件全局标识对应的节点作为所述父节点的子节点，插入到所述状态机中；
判断所述待安装条件全局标识对应的审计策略条件信息是否为所述待安装审计策略的最后一个条件信息；
若非最后有一个条件信息，则将所述待安装条件全局标识对应的节点作为父节点，并返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中，选择一个作为待安装条件全局标识的步骤；
若是最后一个条件信息，则在所述待安装条件全局标识对应的节点上挂载所述待安装审计策略的索引信息。

【专利技术属性】
技术研发人员：郑晓凤，唐涛，乐翔，楚兵，黄晓波，
申请(专利权)人：宁波和利时信息安全研究院有限公司，
类型：发明
国别省市：浙江;33