【技术实现步骤摘要】
一种审计策略的匹配方法及装置
本申请涉及网络安全审计
,特别涉及一种审计策略的匹配方法及装置。
技术介绍
网络安全审计系统一般基于网络审计策略,实时监测网络的状态,检测网络中入侵行为,并追踪网络安全事件,对网络的数据进行留存。其中,为网络安全审计系统匹配网络审计策略是关键,但是,如何快速的匹配网络审计策略成为问题。
技术实现思路
为解决上述技术问题,本申请实施例提供一种审计策略的匹配方法及装置,以达到审计策略匹配的目的,技术方案如下:一种审计策略的匹配方法,包括:对待处理网络流量进行解析,获得至少一个流量信息;从至少一个所述流量信息中选择一个,作为待使用流量信息,并将所述待使用流量信息输入到匹配引擎,获得所述待使用流量信息对应的条件全局标识;在预先构建的状态机中获取非叶子节点的标识,基于所述非叶子节点的标识及所述条件全局标识,得到子节点标识,所述状态机为按照多叉树结构将审计策略所包括的条件信息对应的条件全局标识进行分布的状态机,所述状态机中从根节点到叶子节点的路径对应一个完整的审计策略;判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点;若是,则判断所述子节点标识对应的子节点是否为叶子节点;若为叶子节点,则输出所述根节点到所述子节点标识对应的子节点的路径对应的审计策略的信息;若非叶子节点,则返回执行所述从至少一个所述条件信息中选择一个,作为待使用流量信息的步骤。可选的,所述将所述待使用流量信 ...
【技术保护点】
1.一种审计策略的匹配方法,其特征在于,包括:/n对待处理网络流量进行解析,获得至少一个流量信息;/n从至少一个所述流量信息中选择一个,作为待使用流量信息,并将所述待使用流量信息输入到匹配引擎,获得所述待使用流量信息对应的条件全局标识;/n在预先构建的状态机中获取非叶子节点的标识,基于所述非叶子节点的标识及所述条件全局标识,得到子节点标识,所述状态机为按照多叉树结构将审计策略所包括的条件信息对应的条件全局标识进行分布的状态机,所述状态机中从根节点到叶子节点的路径对应一个完整的审计策略;/n判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点;/n若是,则判断所述子节点标识对应的子节点是否为叶子节点;/n若为叶子节点,则输出所述根节点到所述子节点标识对应的子节点的路径对应的审计策略的信息;/n若非叶子节点,则返回执行所述从至少一个所述条件信息中选择一个,作为待使用流量信息的步骤。/n
【技术特征摘要】 【专利技术属性】
1.一种审计策略的匹配方法,其特征在于,包括:
对待处理网络流量进行解析,获得至少一个流量信息;
从至少一个所述流量信息中选择一个,作为待使用流量信息,并将所述待使用流量信息输入到匹配引擎,获得所述待使用流量信息对应的条件全局标识;
在预先构建的状态机中获取非叶子节点的标识,基于所述非叶子节点的标识及所述条件全局标识,得到子节点标识,所述状态机为按照多叉树结构将审计策略所包括的条件信息对应的条件全局标识进行分布的状态机,所述状态机中从根节点到叶子节点的路径对应一个完整的审计策略;
判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点;
若是,则判断所述子节点标识对应的子节点是否为叶子节点;
若为叶子节点,则输出所述根节点到所述子节点标识对应的子节点的路径对应的审计策略的信息;
若非叶子节点,则返回执行所述从至少一个所述条件信息中选择一个,作为待使用流量信息的步骤。
2.根据权利要求1所述的方法,其特征在于,所述将所述待使用流量信息输入到匹配引擎,获得所述待使用流量信息对应的条件全局标识,包括:
将所述待使用流量信息输入到匹配引擎,由所述匹配引擎在预先构建的第一哈希表中查找与所述待使用流量信息对应的哈希值,若查找到,则将查找到的哈希值作为所述待使用流量信息对应的条件全局标识;
所述第一哈希表包含多个条件信息与其对应的哈希值的映射关系,且每个所述调节信息对应的哈希值各不相同。
3.根据权利要求1所述的方法,其特征在于,所述将所述待使用流量信息输入到匹配引擎,获得所述待使用流量信息对应的条件全局标识,包括:
将所述待使用流量信息输入到匹配引擎,由所述匹配引擎计算所述待使用流量信息的哈希值,将所述哈希值作为所述待使用流量信息的条件全局标识。
4.根据权利要求1所述的方法,其特征在于,所述判断在所述状态机中是否能从所述非叶子节点跳转到所述子节点标识对应的子节点,包括:
判断所述状态机中所述非叶子节点的哈希表中是否存在所述子节点标识。
5.根据权利要求1所述的方法,其特征在于,所述状态机的构建过程,包括:
获取至少一个待安装审计策略的多个条件信息的条件全局标识,并设置状态机的根节点的标识为设定值,并将所述根节点作为父节点;
从所述待安装审计策略的多个条件信息的条件全局标识中,选择一个作为待安装条件全局标识;
获取所述待安装条件全局标识,基于所述待安装条件全局标识及所述父节点的标识,得到哈希值,判断所述父节点的哈希表中是否存在所述哈希值;
若存在所述哈希值,则返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中,选择一个作为待安装条件全局标识的步骤;
若不存在所述哈希值,则将所述哈希值插入到所述父节点的哈希表中,并将所述待安装条件全局标识对应的节点作为所述父节点的子节点,插入到所述状态机中;
判断所述待安装条件全局标识对应的审计策略条件信息是否为所述待安装审计策略的最后一个条件信息;
若非最后有一个条件信息,则将所述待安装条件全局标识对应的节点作为父节点,并返回执行所述从所述待安装审计策略的多个条件信息的条件全局标识中,选择一个作为待安装条件全局标识的步骤;
若是最后一个条件信息,则在所述待安装条件全局标识对应的节点上挂载所述待安装审计策略的索引信息。
技术研发人员:郑晓凤,唐涛,乐翔,楚兵,黄晓波,
申请(专利权)人:宁波和利时信息安全研究院有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。