本申请实施例提供一种网关自定义规则优化方法、装置、电子设备及存储介质,涉及边界安全技术领域。该方法包括获取自定义规则中的所有过滤条件对攻击报文的执行参数;基于所述执行参数计算所述过滤条件的过滤效率;利用所述过滤效率对所有过滤条件重新排序。该方法能够自动调整自定义规则中各种过滤条件的匹配顺序,使得匹配效率达到最优,解决了自定义规则匹配顺序不合理导致匹配效率不高的问题。匹配顺序不合理导致匹配效率不高的问题。匹配顺序不合理导致匹配效率不高的问题。
【技术实现步骤摘要】
网关自定义规则优化方法、装置、电子设备及存储介质
[0001]本申请涉及边界安全
,具体而言,涉及一种网关自定义规则优化方法、装置、电子设备及存储介质。
技术介绍
[0002]安全网关的IPS、WAF等功能通常允许用户设置自定义规则来阻断特定的攻击流量。安全网关的WAF功能是通过解析规则配置文件,通过规则描述的内容将一些常见的web应用攻击报文进行拦截,其中有一些规则是可以通过用户自定义配置进行生效的。这样做的好处是,随时可以针对某种web攻击做出多样化的检查,进而达到更好的防御效果。
[0003]用户设置的多个条件,对系统的消耗情况有较大区别:有的条件匹配耗时,如正则表达式;有的条件匹配快速,如判断tcp选项字段等。各个条件对报文的过滤程度不一样,如较长的特征串条件能过滤绝大部分报文,而有些条件大部分报文都能满足,导致过滤效果不好。如果只按照用户设置的顺序进行匹配,匹配的效率不高。
技术实现思路
[0004]本申请实施例的目的在于提供一种网关自定义规则优化方法、装置、电子设备及存储介质,自动调整自定义规则中各种过滤条件的匹配顺序,使得匹配效率达到最优,解决了自定义规则匹配顺序不合理导致匹配效率不高的问题。
[0005]本申请实施例提供了一种网关自定义规则优化方法,所述方法包括:
[0006]获取自定义规则中的所有过滤条件对攻击报文的执行参数;
[0007]基于所述执行参数计算所述过滤条件的过滤效率;
[0008]利用所述过滤效率对所有过滤条件重新排序。<br/>[0009]在上述实现过程中,在过滤条件执行的过程中获取执行参数,从而可通过执行参数计算过滤条件的过滤效率,根据过滤效率自动调整自定义规则中的各个过滤条件的匹配顺序,使得过滤效率较高的过滤条件被优先选用,进而使得匹配效率达到最优,解决了自定义规则匹配顺序不合理导致匹配效率不高的问题。
[0010]进一步地,所述获取自定义规则中的所有过滤条件对攻击报文的执行参数,包括:
[0011]遍历所有的自定义规则;
[0012]基于当前攻击报文执行所述过滤条件判断;
[0013]选取当前自定义规则中的过滤条件;
[0014]获取所述过滤条件的预设个数的执行结果;
[0015]基于所述过滤条件的执行结果获得执行参数,所述执行参数包括总耗时、未命中次数和命中次数。
[0016]在上述实现过程中,在对攻击报文的进行过滤条件匹配执行后,获取执行参数,这些执行参数将作为过滤效率的计算依据。
[0017]进一步地,所述获取所述过滤条件的预设个数的执行结果,包括:
[0018]获取执行前的第一CPU周期数;
[0019]记录执行后的第二CPU周期数;
[0020]判断所述过滤条件是否命中。
[0021]在上述实现过程中,执行结果包括执行前后的CPU周期数变化以及过滤条件是否命中,获得当前过滤条件被执行预设个数的执行结果,根据这些参数可计算过滤效率。
[0022]进一步地,所述基于所有过滤条件的执行结果获得执行参数,包括:
[0023]计算所述第一CPU周期数和所述第二CPU周期数的差值;
[0024]将所述差值累加到所述过滤条件的总耗时中;
[0025]若命中所述过滤条件,则命中次数加1;
[0026]若没有命中所述过滤条件,则未命中次数加1。
[0027]在上述实现过程中,在多个执行结果中,统计命中次数、未命中次数以及总耗时,可利用这些参数获得该过滤条件的过滤效率。
[0028]进一步地,所述基于所述执行参数计算所述过滤条件的过滤效率,包括:
[0029]所述过滤条件的过滤效率表示为:
[0030]过滤效率=(未命中次数/(命中次数+未命中次数))/总耗时。
[0031]在上述实现过程中,给出了过滤效率的具体计算方法,可作为排序依据。
[0032]本申请实施例还提供一种网关自定义规则优化装置,所述装置包括:
[0033]执行参数获取模块,用于获取自定义规则中的所有过滤条件对攻击报文的执行参数;
[0034]过滤效率计算模块,用于基于所述执行参数计算所述过滤条件的过滤效率;
[0035]排序模块,用于利用所述过滤效率对所有过滤条件重新排序。
[0036]在上述实现过程中,在过滤条件执行的过程中获取执行参数,从而可通过执行参数计算过滤条件的过滤效率,根据过滤效率自动调整自定义规则中的各个过滤条件的匹配顺序,使得过滤效率较高的过滤条件被优先选用,进而使得匹配效率达到最优,解决了自定义规则匹配顺序不合理导致匹配效率不高的问题。
[0037]进一步地,所述执行参数获取模块包括:
[0038]遍历模块,用于遍历所有的自定义规则;
[0039]执行模块,用于基于当前攻击报文执行所述过滤条件判断;
[0040]过滤条件获取模块,用于选取当前自定义规则中的过滤条件;
[0041]执行结果获取模块,用于获取所述过滤条件的预设个数的执行结果;
[0042]执行参数生成模块,用于基于所有过滤条件的执行结果获得执行参数,所述执行参数包括总耗时、未命中次数和命中次数。
[0043]在上述实现过程中,在对攻击报文的进行过滤条件匹配执行后,获取执行参数,这些执行参数将作为过滤效率的计算依据。
[0044]进一步地,所述执行结果获取模块,包括:
[0045]第一周期数获取模块,用于获取执行前的第一CPU周期数;
[0046]第二周期数获取模块,用于记录执行后的第二CPU周期数;
[0047]命中判断模块,用于判断所述过滤条件是否命中。
[0048]在上述实现过程中,执行结果包括执行前后的CPU周期数变化以及过滤条件是否
命中,获得当前过滤条件被执行预设个数的执行结果,根据这些参数可计算过滤效率。
[0049]本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行上述中任一项所述的网关自定义规则优化方法。
[0050]本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中任一项所述的网关自定义规则优化方法。
附图说明
[0051]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0052]图1为本申请实施例提供的一种网关自定义规则优化方法的流程图;
[0053]图2为本申请实施例提供的数据收集阶段的具体实现流程图;
[0054]图3为本申请实施例提供本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网关自定义规则优化方法,其特征在于,所述方法包括:获取自定义规则中的所有过滤条件对攻击报文的执行参数;基于所述执行参数计算所述过滤条件的过滤效率;利用所述过滤效率对所有过滤条件重新排序。2.根据权利要求1所述的网关自定义规则优化方法,其特征在于,所述获取自定义规则中的所有过滤条件对攻击报文的执行参数,包括:遍历所有的自定义规则;基于当前攻击报文执行所述过滤条件判断;选取当前自定义规则中的过滤条件;获取所述过滤条件的预设个数的执行结果;基于所述过滤条件的执行结果获得执行参数,所述执行参数包括总耗时、未命中次数和命中次数。3.根据权利要求2所述的网关自定义规则优化方法,其特征在于,所述获取所述过滤条件的预设个数的执行结果,包括:获取执行前的第一CPU周期数;记录执行后的第二CPU周期数;判断所述过滤条件是否命中。4.根据权利要求3所述的网关自定义规则优化方法,其特征在于,所述基于所述过滤条件的执行结果获得执行参数,包括:计算所述第一CPU周期数和所述第二CPU周期数的差值;将所述差值累加到所述过滤条件的总耗时中;若命中所述过滤条件,则命中次数加1;若没有命中所述过滤条件,则未命中次数加1。5.根据权利要求2所述的网关自定义规则优化方法,其特征在于,所述基于所述执行参数计算所述过滤条件的过滤效率,包括:所述过滤条件的过滤效率表示为:过滤效率=(未命中次数/(命中次数+未命中次数))/总耗时。6.一种网关自定义规则优化装置,其...
【专利技术属性】
技术研发人员:娄扬,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。