【技术实现步骤摘要】
【国外来华专利技术】用于高效分组过滤的方法和系统
[0001]相关申请的交叉引用
[0002]本申请要求于2019年4月30日提交的美国正常专利申请序列第16/399,700号的优先权,其全部内容通过引用明确地并入本文。
[0003]本文描述的方面总体涉及计算机硬件和软件以及网络安全性。具体地,本公开的一个或多个方面总体涉及用于根据由网络威胁情报衍生的分组过滤规则对传输中的分组进行高效过滤的计算机硬件和软件。
技术介绍
[0004]随着信息时代的不断发展,网络安全变得越来越重要。网络威胁/攻击可能采取多种形式(例如,未经授权的请求或数据传输、病毒、恶意软件、旨在淹没资源的大量流量等)。
[0005]为了应对这些类型的威胁和攻击,已经开发和部署了各种网络防御方法和系统。一种网络防御系统使用分组网关(诸如威胁情报网关(TIG))来保护网络。分组网关可以包括具有将分组过滤规则集合应用于传输中的TCP/IP((传输控制协议/互联网协议))分组的能力的(内联)网络分组过滤设备。TIG可充当受网络威胁情报(CTI)防护或保护的网络(...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,所述方法包括:通过位于受保护网络和未受保护网络之间的边界处的分组网关接收多个分组;针对所述多个分组中的每个分组,确定与所述分组相关联的至少一个分组匹配标准;针对所述多个分组中的每个分组,测试至少一个策略概率数据结构的所述至少一个分组匹配标准;基于确定所述多个分组中的第一分组与所述至少一个策略概率数据结构的至少一个分组匹配标准不匹配,向其预期目的地转发所述第一分组;基于确定所述多个分组中的第二分组与所述至少一个策略概率数据结构所相关联的至少一个分组匹配标准匹配,确定与所述第二分组的至少一个分组匹配标准相关联的多个策略子集概率数据结构中的至少一个;测试所确定的与所述第二分组的至少一个分组匹配标准相关联的所述多个策略子集概率数据结构中的至少一个;以及基于确定所述多个分组中的所述第二分组与所确定的与所述多个策略子集概率数据结构中的至少一个相关联的至少一个分组匹配标准匹配,执行与所确定的所述多个策略子集概率数据结构中的至少一个相关联的规则动作。2.根据权利要求1所述的方法,其中所述至少一个策略概率数据结构和每个策略子集概率数据结构是布隆过滤器或布谷过滤器。3.根据权利要求1所述的方法,其中所述至少一个策略概率数据结构具有比任何策略子集概率数据结构更高的误报率。4.根据权利要求1所述的方法,其中与阻止分组传输的动作相关联的策略子集概率数据结构比与允许进行分组传输的动作相关联的策略子集概率数据结构具有更低的误报率。5.根据权利要求1所述的方法,还包括:通过所述分组网关接收多个分组过滤规则,其中每个所述分组过滤规则包括至少一个分组匹配标准;生成表示所述多个分组过滤规则的至少一个策略概率数据结构;将所述多个分组过滤规则划分为多个规则子集,其中所述多个规则子集中的每一个都与公共规则动作相关联;以及生成多个策略子集概率数据结构,其中所述多个策略子集概率数据结构中的每一个与所述多个规则子集中的一个相关联,其中所述策略子集概率数据结构中的每一个与所述公共规则动作相关联,所述公共规则动作与关联的规则子集相关联。6.根据权利要求5所述的方法,其中生成多个策略子集概率数据结构包括:基于相关联的公共分组匹配标准类型划分所述多个分组过滤规则以确定公共分组匹配标准类型规则组;基于相关联的公共规则动作划分每个所述公共分组匹配标准类型规则组以确定所述规则子集;以及生成对应于每个规则子集的策略子集概率数据结构,具有相关联的公共规则动作和相关联的公共分组匹配标准类型。7.根据权利要求1所述的方法,其中测试所确定的与所述第二分组的至少一个分组匹配标准相关联的所述多个策略子集概率数据结构中的至少一个包括:
确定与所述第二分组相关联的多个分组匹配标准类型;确定与所确定的与所述第二分组相关联的多个分组匹配标准类型相对应的至少一个子集概率数据结构;以及测试与所确定的多个分组匹配标准类型相对应的每个子集概率数据结构,直到确定匹配为止。8.根据权利要求1所述的方法,还包括:通过所述分组网关接收至少一个新规则,其中所述至少一个新规则包括至少一个新分组匹配标准;更新所述至少一个策略概率数据结构以表示所述至少一个新规则;通过所述分组网关基于所述至少一个新分组匹配标准确定待更新的规则子集;以及基于所述至少一个新规则的所述至少一个新分组匹配标准,更新与待更新的规则子集相对应的策略子集概率数据结构。9.根据权利要求1所述的方法,其中生成所述多...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。