本申请提供了一种规则匹配方法及装置,涉及通信技术领域。该方法为:获取待识别报文;根据当前的规则特征库对所述待识别报文进行识别处理,所述规则特征库包括已编译的PCRE选项,所述PCRE选项中包括已编译的规则及匹配类型;确认所述待识别报文所命中的目标PCRE选项;根据所述目标PCRE选项中的匹配类型和和已编译的规则,利用所述匹配类型对应的规则匹配算法对所述待识别报文进行规则匹配。由此,在进行安全检测时,提升了匹配速度及提升网络安全设备的处理性能。全设备的处理性能。全设备的处理性能。
【技术实现步骤摘要】
一种规则匹配方法及装置
[0001]本申请涉及通信
,尤其涉及一种规则匹配方法及装置。
技术介绍
[0002]深度报文检测(Deep Packet Inspection,DPI)是一种基于应用层信息对经过网络安全设备的网络流量进行检测和控制的安全机制。在日益复杂的网络安全威胁中,很多恶意行为(比如,蠕虫病毒、垃圾邮件、漏洞等)都是隐藏在数据报文的应用层载荷中。传统安全防护技术仅仅依靠网络层和传输层的安全检测技术已经无法满足网络安全要求,因此,网络安全设备必须具备DPI功能,以实现对网络应用层信息的检测和控制,进而保证数据内容的安全和网络的安全性。
[0003]DPI功能的业务识别是对报文进行特征字符串匹配,当前DPI引擎在进行安全检测时,是通过多模式匹配(AC)算法和PCRE(Perl Compatible Regular Expressions,Perl兼容的正则表达式)算法实现,随着DPI业务相关的特征库(如IPS特征库、防病毒特征库等)的规模逐渐增大,网络安全设备的吞吐性能会下降很多。同时在利用前述特征库进行匹配时,由于特征库的规模比较大,会导致匹配时耗费较多的时间,且匹配过程中会占用较多的缓存,进而导致网络安全设备的处理性能受限。
[0004]因此,如何在进行安全检测时,提升匹配速度及提升网络安全设备的处理性能是值得考虑的技术问题之一。
技术实现思路
[0005]有鉴于此,本申请提供一种规则匹配方法及装置,用以在进行安全检测时,提升匹配速度及提升网络安全设备的处理性能。<br/>[0006]具体地,本申请是通过如下技术方案实现的:
[0007]根据本申请的第一方面,提供一种规则匹配方法,包括:
[0008]获取待识别报文;
[0009]根据当前的规则特征库对所述待识别报文进行识别处理,所述规则特征库包括已编译的PCRE选项,所述PCRE选项中包括已编译的规则及匹配类型;
[0010]确认所述待识别报文所命中的目标PCRE选项;
[0011]根据所述目标PCRE选项中的匹配类型和和已编译的规则,利用所述匹配类型对应的规则匹配算法对所述待识别报文进行规则匹配。
[0012]根据本申请的第二方面,提供一种规则匹配装置,包括:
[0013]获取模块,用于获取待识别报文;
[0014]识别模块,用于根据当前的规则特征库对所述待识别报文进行识别处理,所述规则特征库包括已编译的PCRE选项,所述PCRE选项中包括已编译的规则及匹配类型;
[0015]确认模块,用于确认所述待识别报文所命中的目标PCRE选项;
[0016]匹配模块,用于根据所述目标PCRE选项中的匹配类型和和已编译的规则,利用所
述匹配类型对应的规则匹配算法对所述待识别报文进行规则匹配。
[0017]根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0018]根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0019]本申请实施例的有益效果:
[0020]本申请实施例提供的规则匹配方法及装置中,在获取到待识别报文后,根据当前的规则特征库对所述待识别报文进行识别处理,从而就可以确认该待识别报文所命中的目标PCRE选项;然后根据所命中的目标PCRE选项中的匹配类型和和已编译的规则,利用所述匹配类型对应的规则匹配算法对所述待识别报文进行规则匹配。通过采用上述方法,由于本申请实施例所提供的规则特征库包括已编译的PCRE选项,该已编译的PCRE选项中包括已编译的规则,这样一来,在进行规则识别时,就不需要在命中PCRE选项后执行规则编译流程,由此大大节省了规则编译时间;此外,本实施例提供的规则特征库中已编译的PCRE选项中包括匹配类型,这样一来,在进行规则匹配时,直接就可以基于所命中的PCRE选项中的匹配类型确定出匹配算法,然后调用对应的匹配算法对待识别报文进行匹配,而每个PCER选项中的匹配类型为与该PCRE选项中规则相匹配的匹配算法,这样,在利用对应的匹配算法执行规则匹配时,不仅准确度高,而且匹配速度快,由此提升了网络安全设备的匹配性能。
附图说明
[0021]图1是本申请实施例提供的一种规则匹配方法的流程示意图;
[0022]图2是本申请实施例提供的一种规则匹配装置的结构示意图;
[0023]图3是本申请实施例提供的一种实施规则匹配方法的硬件结构示意图。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
[0025]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0026]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0027]下面对本申请提供的规则匹配方法进行详细地说明。
[0028]参见图1,图1是本申请提供的一种规则匹配方法的流程图,该方法可以应用于网络安全设备,该网络安全设备可以但不限于包括防火墙、网关、需要执行安全检测的服务器等设备。网络安全设备实施上述方法时,可包括如下所示步骤:
[0029]S101、获取待识别报文。
[0030]本步骤中,网络安全设备会持续接收到流入其所接入网络的网络报文,记为上述待识别报文;为了提升网络的安全性,会对接收到的网络报文进行识别。
[0031]S102、根据当前的规则特征库对所述待识别报文进行识别处理。
[0032]其中,上述规则特征库包括已编译的PCRE选项,所述PCRE选项中包括已编译的规则及匹配类型。
[0033]本步骤中,网络安全设备通过特征库对应用层流量进行字符串特征识别,该特征库是一个资源库,随着互联网的变化更新。而且应用识别、入侵检测、URL过滤、防病毒等应用层业务都需要借助特征库来完成,而且每个业务有自己独立的特征库。有鉴于本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种规则匹配方法,其特征在于,包括:获取待识别报文;根据当前的规则特征库对所述待识别报文进行识别处理,所述规则特征库包括已编译的PCRE选项,所述PCRE选项中包括已编译的规则及匹配类型;确认所述待识别报文所命中的目标PCRE选项;根据所述目标PCRE选项中的匹配类型和和已编译的规则,利用所述匹配类型对应的规则匹配算法对所述待识别报文进行规则匹配。2.根据权利要求1所述的方法,其特征在于,所述规则特征库为采用离线编译方法生成的,所述离线编译方法为:对初始特征库中的每个初始PCRE选项中的正规表达式进行编译处理,得到已编译的规则;确定用于对该已编译的规则进行规则匹配的匹配算法;将所述已编译的规则和确定出的匹配算法的匹配类型构成新的PCRE选项;基于构成的各新的PCRE选项,生成所述规则特征库。3.根据权利要求2所述的方法,其特征在于,在确定用于对该已编译的规则进行规则匹配的匹配算法之前,还包括:确定该已编译的规则的规则长度;确定所述规则长度不大于设定长度阈值。4.根据权利要求3所述的方法,其特征在于,当所述规则长度大于设定长度阈值时,则保留该已编译的规则对应的初始PCRE选项;根据保留的初始PCRE选项、基于规则长度不大于所述设定长度阈值的已编译规则构成的新的PRCE选项,生成所述规则特征库。5.根据权利要求1所述的方法,其特征在于,利用当前的规则特征库对所述待识别报文进行识别处理,具体包括:从所述待识别报文中提取报文特征;利用当前的规则特征库对所述报文特征进行识别。6.根据权利要求4所述的方法,其特征在于,当所述规则特征库包括初始PCRE规则时,所述方法,还包括:当所述待识别报文命中初始PCRE选项时,则在线对所述初始PCRE选项中的正则表达式进行编译处理,得到编译后的规则;利用编译后的规则及所述编译后的规则对应的匹配算法对所述待识别报文进行规则匹配处理。7.一种规则匹配装置,其特征在于,包括:获取模块,用于获取待识别报文;识别模块,用于根据当前的规则特征库对所述待识别报文进行识别处理...
【专利技术属性】
技术研发人员:郭玲玲,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。