一种防护策略的匹配方法及装置与流程

本发明涉及网络通信
技术领域：
，尤其涉及一种防护策略的匹配方法及装置。
背景技术：
：通常管理人员需要在防护设备中根据需求预设防护策略，进而基于预设防护策略对待防护报文实现防护。现有技术方案中，防护设备从待防护报文中提取至少一个待匹配特征值，并将该至少一个待匹配特征值与每一个预设防护策略进行匹配，当预设防护策略的数量成百上千时，防护设备需要将该至少一个待匹配特征值与成百上千的预设防护策略一一进行匹配，匹配过程耗时长。技术实现要素：有鉴于此，本发明提供一种防护策略的匹配方法及装置，当需要匹配的防护策略数量较多时，以解决防护策略的匹配过程耗时长的问题。为实现上述目的，本发明提供技术方案如下：根据本发明的第一方面，提出了一种防护策略的匹配方法，所述方法包括：当接收到待防护报文时，从所述待防护报文中解析得到至少一个待匹配特征值；将所述至少一个待匹配特征值中的每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到所述至少一个待匹配特征值分别对应的策略位串，所述每一个预设特征列表中记录的每一个特征值分别对应一策略位串，所述策略位串的每一位对应一个预设防护策略；将所述至少一个待匹配特征值分别对应的策略位串进行与运算，得到一目标位串；基于所述目标位串，确定所述待防护报文是否与所述预设防护策略匹配成功。根据本发明的第二方面，提出了一种防护策略的匹配装置，包括：特征值解析模块，用于当接收到待防护报文时，从所述待防护报文中解析得到至少一个待匹配特征值；特征值匹配模块，用于将所述特征值解析模块中解析得到的所述至少一个待匹配特征值中的每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到所述至少一个待匹配特征值分别对应的策略位串，所述每一个预设特征列表中记录的每一个特征值分别对应一策略位串，所述策略位串的每一位对应一个预设防护策略；与运算模块，用于将所述特征值匹配模块中的所述至少一个待匹配特征值分别对应的策略位串进行与运算，得到一目标位串；防护策略确定模块，用于基于所述与运算模块中得到的所述目标位串，确定所述待防护报文是否与所述预设防护策略匹配成功。由以上技术方案可见，防护设备将从待防护报文中解析出的，每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到每一个待匹配特征值分别对应的策略位串，防护设备基于策略位串的与运算结果确定待防护报文是否与预设防护策略匹配成功，省去了防护设备将从待防护报文中解析出的至少一个待匹配特征值，与成百上千的预设防护策略一一进行匹配的过程，待匹配特征值的数量相较于成百上千的预设防护策略是较少的，每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配的过程耗时较短，因此解决了防护策略的匹配过程耗时长的问题。附图说明图1是本发明提供的一个防护策略的匹配方法的实施例流程图；图2是本发明提供的另一个防护策略的匹配方法的实施例流程图；图3是本发明提供的一种防护设备的硬件结构图；图4是本发明提供的一个防护策略的匹配装置的实施例框图；图5是本发明提供的另一个防护策略的匹配装置的实施例框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在......时”或“当......时”或“响应于确定”。本发明实施例可以应用在防护设备上，防护设备为具有对待防护报文进行安全防护的网络安全设备，本领域技术人员可以理解的是，本发明实施例应用在防护设备上仅为示例性说明，其并不能形成对本发明的限制。通常，防护设备存储了至少一个预设特征列表，每一个预设特征列表记录的特征值类型不同，特征值类型包括：报文长度、协议、源端口、目的端口、传输控制协议(TransmissionControlProtocol，简称为TCP)Flag标识、互联网控制报文协议(InternetControlMessageProtocol，简称为ICMP)Type、ICMPCode等，每一个预设特征列表中记录的每一个特征值分别对应一策略位串，策略位串的长度由预设防护策略的数量决定，其中，预设防护策略为管理人员预先设置的，用于对待防护报文中的待匹配特征值进行匹配的策略信息，一个预设防护策略具体例如为源端口信息80、协议号6；预设防护策略的数量例如为32个，则策略位串的长度为32位，策略位串中的每一位对应一个预设防护策略。当防护设备接收到待防护报文时，防护设备从待防护报文中解析得到至少一个待匹配特征值，待匹配特征值包括：报文长度、协议号、源端口信息、目的端口信息、TCPFlag标识、ICMPType值、ICMPCode值等，不同报文类型的待防护报文，解析得到的待匹配特征值不同。防护设备将至少一个待匹配特征值中的每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到每一个待匹配特征值分别对应的策略位串，防护设备将匹配得到的策略位串进行与运算，得到的运算结果被确定为目标位串，防护设备基于目标位串，确定待防护报文是否与预设防护策略匹配成功。具体的，以待防护报文为用户数据报协议(UserDatagramProtocol，简称为UDP)报文为例，以至少一个待匹配特征值为：协议号17、源端口信息83、目的端口信息53、报文长度66字节为例，防护设备将协议号17、源端口信息83、目的端口信息53、报文长度66字节分别与记录有协议号、源端口信息、目的端口信息、报文长度的预设特征列表进行匹配，得到协议号17、源端口信息83、目的端口信息53、报文长度66字节分别对应的策略位串，防护设备将匹配得到的策略位串进行与运算，得到一目标位串，防护设备基于目标位串，确定该UDP报文是否与预设防护策略匹配成功，具体的，防护设备如何基于目标位串，确定待防护报文是否与预设防护策略匹配成功的具体描述，可参见下述图1所示步骤，此处先不作详述。通过本发明实施例，当预设防护策略的数量成百上千时，防护设备将从待防护报文中解析出的，每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到每一个待匹配特征值分别对应的策略位串，防护设备基于策略位串的与运算结果确定待防护报文是否与预设防护策略匹配成功，省去了防护设备将从待防护报文中解析出的至少一个待匹配特征值，与成百上千的预设防护策略一一进行匹配的过程，解决了防护策略的匹配过程耗时长的问题。为对本发明进行进一步说明，提供下列实施例：图1是本发明提供的一个防护策略的匹配方法的实施例流程图，如图1所示，包括如下步骤：步骤101：当接收到待防护报文时，从待防护报文中解析得到至少一个待匹配特征值。步骤102：将至少一个待匹配特征值中的每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到至少一个待匹配特征值分别对应的策略位串，每一个预设特征列表中记录的每一个特征值分别对应一策略位串，策略位串的每一位对应一个预设防护策略。步骤103：将至少一个待匹配特征值分别对应的策略位串进行与运算，得到一目标位串。步骤104：基于目标位串，确定待防护报文是否与预设防护策略匹配成功。可选的，在执行步骤101之前还可以执行步骤105(图中未示出)。步骤105：基于待防护报文的报文类型确定至少一个待匹配的预设特征列表，基于确定的至少一个预设特征列表中记录的特征值的特征值类型，执行步骤101中的从待防护报文中解析得到至少一个待匹配特征值的步骤。在步骤101中，在一实施例中，待防护报文的报文类型包括：TCP报文、UDP报文、ICMP报文等；待匹配特征值的特征值类型包括：报文长度、协议、源端口、目的端口、TCPFlag标识、ICMPType、ICMPCode等。本领域技术人员可以理解的是，不同报文类型的待防护报文，解析得到的待匹配特征值的特征值类型不同，例如，当待防护报文为TCP报文时，防护设备从TCP报文中解析得到：协议号、TCPFlag标识、源端口信息、目的端口信息、报文长度；当待防护报文为ICMP报文时，防护设备从ICMP报文中解析得到：协议号、ICMPType值、ICMPCode值、报文长度；当待防护报文为UDP报文时，防护设备从UDP报文中解析得到：协议号、源端口信息、目的端口信息、报文长度。以待防护报文为UDP报文为例，防护设备从UDP报文中解析得到协议号17、源端口信息83、目的端口信息53、报文长度66字节。在步骤102中，在一实施例中，防护设备存储了至少一个预设特征列表，预设特征列表为管理人员预设的，每一个预设特征列表记录的特征值类型不同，特征值类型包括：报文长度、协议、源端口、目的端口、TCPFlag标识、ICMPType、ICMPCode等。通常，用于记录报文长度的预设特征列表，可以对0～2048字节的报文长度进行存储；用于记录协议号的预设特征列表，可以对不同的协议号数值进行存储，例如1(ICMP协议号)、6(TCP协议号)、17(UDP协议号)等；用于记录源端口信息的预设特征列表，可以对0～65536的源端口信息进行存储；用于记录目的端口信息的预设特征列表，可以对0～65536的目的端口信息进行存储；用于记录ICMPType值的预设特征列表，可以对0～18的ICMPType值进行存储；用于记录ICMPCode值的预设特征列表，可以对0～15的ICMPCode值进行存储；需要说明的是，用于记录TCPFlag标识的预设特征列表，可以定义TCPFlag标识(URG、ACK、PSH、RST、SYN、FIN)中的每一位字母的每一位都有三种状态，X、0、1，其中，X表示可以为“0”或“1”，具体的，例如管理人员配置的TCPFlag标识为“X100XX”，则“010000”、“010001”、“010010”、“010011”、“110000”、“110001”、“110010”、“110011”，8种TCPFlag标识均可与“X100XX”匹配成功。如表1所示，对记录了源端口信息的预设特征列表的结构进行示例性说明：表1012......53......8081......65536表1中，预设特征列表记录了0～65536的源端口信息，由于版面限制，表1中的三个“......”分别对应3-52、54-79、82-65535源端口信息，此处进行了省略。本领域技术人员可以理解的是，预设特征列表中记录的0～65536的源端口信息的范围并不仅限于此，具体范围由管理人员根据需要进行配置，对于记录了报文长度的预设特征列表、记录了协议号的预设特征列表、记录了目的端口信息的预设特征列表、记录了ICMPType值的预设特征列表、记录了ICMPCode值的预设特征列表、记录了TCPFlag标识的预设特征列表的具体结构与表1所示的记录了源端口信息的预设特征列表的结构相似，此处不作具体举例。此外，每一个预设特征列表中记录的每一个特征值分别对应一策略位串，策略位串的每一位对应一个预设防护策略，通常在策略位串中以“0”表示未配置防护策略，以“1”表示配置了防护策略，需要说明的是，防护策略中，未使用的特征值用“1”标识，其中未使用的特征值为管理人员设定的不需要考虑的特征值因素，以一个预设防护策略具体例如为源端口信息80、协议号6为例，则未使用的特征值为目的端口信息、报文长度、TCPFlag标识，本领域技术人员可以理解的是，此处防护策略策中，未使用的特征值也用“1”标识的目的是，在对至少一个待匹配特征值分别对应的策略位串进行与运算时，使得未使用的特征值不对与运算的结果产生影响。由于篇幅限制，以管理人员预先设置了四个预设防护策略为例，对策略位串与预设防护策略的对应关系进行示例性说明：策略1：源端口信息80+协议号6；策略2：源端口信息81；策略3：目的端口信息53+协议号17+报文长度大于64字节小于70字节；策略4：源端口信息80+报文长度80字节。上述策略1、策略2、策略3、策略4为四个预设防护策略，则，策略位串的长度即为4位，即0000，策略位串“0000”中的四个“0”的位置分别与策略1、策略2、策略3、策略4一一对应，此处以从右至左的顺序为例，“0000”分别对应策略1、策略2、策略3、策略4，本领域技术人员可以理解的是，此处策略1、策略2、策略3、策略4与策略位串“0000”的对应关系也可以为从左至右，无序对应等对应方式，此处对策略位串中的每一位与预设防护策略的具体对应方式不做限制。具体的，针对策略1：源端口信息80+协议号6，记录了源端口信息的预设特征列表中的源端口信息80对应的策略位串被置为“0001”，记录了协议号的预设特征列表中的协议号6对应的策略位串被置为“0001”，策略位串中，未使用的特征值目的端口信息、报文长度、TCPFlag标识全部用“0001”标识；针对策略2：源端口信息81，记录了源端口信息的预设特征列表中的源端口信息81对应的策略位串被置为“0010”，策略位串中，未使用的特征值例如为协议号、目的端口信息、报文长度、TCPFlag标识全部用“0010”标识；针对策略3：目的端口信息53+协议号17+报文长度大于64字节小于70字节，记录了目的端口信息的预设特征列表中的目的端口信息53对应的策略位串被置为“0100”，记录了协议号的预设特征列表中的协议号17对应的策略位串被置为“0100”，记录了报文长度的预设特征列表中的报文长度64字节、65字节、66字节、67字节、68字节、69字节、70字节对应的策略位串均为“0100”，策略位串中，未使用的特征值源端口信息用“0100”标识；针对策略4：源端口信息80+报文长度80字节，记录了源端口信息的预设特征列表中的源端口信息80除了上述针对策略1对应的策略位串“0001”，还对应一个策略位串“1000”，因此记录了源端口信息的预设特征列表中的源端口信息80的策略位串被置为“1001”，记录了报文长度的预设特征列表中的报文长度80字节对应的策略位串被置为“1000”，策略位串中，未使用的特征值例如为协议号、目的端口信息、TCPFlag标识全部用“1000”标识。具体的，结合步骤101-步骤102，防护设备将协议号17、源端口信息83、目的端口信息53、报文长度66字节分别与记录有协议号、源端口信息、目的端口信息、报文长度的预设特征列表进行匹配，得到协议号17对应的策略位串“0100”、源端口信息83对应的策略位串“0100”、目的端口信息53对应的策略位串“0100”、报文长度66字节对应的策略位串“0100”，需要说明的是，源端口信息83为策略3中未使用的特征值，因此，源端口信息83对应的策略位串为“0100”。在步骤103中，在一实施例中，结合步骤102，防护设备将匹配得到的策略位串“0100”、“0100”、“0100”、“0100”进行与运算，得到一目标位串“0100”。在步骤104中，在一实施例中，结合步骤103，防护设备基于目标位串“0100”，确定该UDP报文是否与预设防护策略匹配成功。目标位串“0100”中的“1”对应策略3，表示待防护报文与策略3匹配成功。可选的，在执行步骤101之前还可以执行步骤105。在步骤105中，在一实施例中，防护设备基于待防护报文的报文类型确定至少一个待匹配的预设特征列表，防护设备基于确定的至少一个预设特征列表中记录的特征值的特征值类型，执行步骤101中的从待防护报文中解析得到至少一个待匹配特征值的步骤。待防护报文的报文类型包括：TCP报文、UDP报文、ICMP报文等。通常，管理人员针对不同报文类型的待防护报文配置了不同的待匹配的预设特征列表，具体的，针对TCP报文配置的待匹配的预设特征列表包括：记录了报文长度的预设特征列表，记录了协议号的预设特征列表，记录了源端口信息的预设特征列表，记录了目的端口信息的预设特征列表，记录了TCPFlag标识的预设特征列表；针对UDP报文配置的预设特征列表包括：记录了报文长度的预设特征列表，记录了协议号的预设特征列表，记录了源端口信息的预设特征列表，记录了目的端口信息的预设特征列表；针对ICMP报文配置的预设特征列表包括：记录了ICMPType值的预设特征列表，记录了ICMPCode值的预设特征列表，记录了报文长度的预设特征列表，记录了协议号的预设特征列表；针对其他报文类型的待防护报文，配置的预设特征列表至少包括：记录了报文长度的预设特征列表，记录了协议号的预设特征列表。具体的，若待防护报文为ICMP报文，基于针对ICMP报文确定待匹配的预设特征列表包括：记录了报文长度的预设特征列表，记录了协议号的预设特征列表，记录了ICMPType值的预设特征列表，记录了ICMPCode值的预设特征列表。防护设备基于记录了报文长度的预设特征列表，记录了协议号的预设特征列表，记录了ICMPType值的预设特征列表，记录了ICMPCode值的预设特征列表中分别记录的特征值的特征值类型：报文长度、协议号、ICMPType、ICMPCode，防护设备确定需要从ICMP报文中解析得到报文长度、协议号、ICMPType值、ICMPCode值。本发明实施例中，防护设备将从待防护报文中解析出的，每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到每一个待匹配特征值分别对应的策略位串，防护设备基于策略位串的与运算结果即可确定待防护报文是否与预设防护策略匹配成功，省去了防护设备将从待防护报文中解析出的至少一个待匹配特征值，与成百上千的预设防护策略一一进行匹配的过程，待匹配特征值的数量相较于成百上千的预设防护策略是较少的，每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配的过程耗时较短，因此解决了防护策略的匹配过程耗时长的问题。图2是本发明提供的另一个防护策略的匹配方法的实施例流程图，结合图1，在图1所述的步骤101-步骤104的基础上，对防护设备如何基于目标位串，确定待防护报文是否与预设防护策略匹配成功；以及当匹配成功的预设防护策略的数量为多个时，如何确定目标策略并基于目标策略执行防护指令的，进行示例性说明，如图2所示，包括如下步骤：步骤201：确定目标位串是否为预设位串，当目标位串不为预设位串时，执行步骤202，当目标位串为预设位串时，执行步骤207。步骤202：确定待防护报文与预设防护策略匹配成功。步骤203：若匹配成功的预设防护策略的数量为多个，基于预设的策略选择规则，从匹配成功的预设防护策略中确定一个目标策略。步骤204：基于目标位串生成目标策略对应的第一标识。步骤205：将第一标识与预设处理列表记录的至少一个第二标识进行匹配，每一个第二标识分别对应一防护指令。步骤206：当第一标识与预设处理列表中的其中一个第二标识匹配成功时，对待防护报文执行匹配成功的第二标识对应的防护指令。步骤207：确定待防护报文与预设防护策略匹配未成功，将待防护报文转发至下一与防护设备相连接的网络设备。在步骤201中，防护设备确定目标位串是否为预设位串，预设位串的长度与目标位串长度相同，结合步骤102-步骤103，预设位串为“0000”，当目标位串不为预设位串“0000”时，执行步骤202，当目标位串为预设位串时，执行步骤207。在步骤202中，当目标位串不为预设位串时，防护设备确定待防护报文与预设防护策略匹配成功。具体的，结合步骤102，若目标位串为“0100”，目标位串“0100”不为预设位串“0000”，防护设备确定待防护报文与预设防护策略匹配成功，目标位串“0100”中的“1”与策略3相对应，待防护报文与策略3匹配成功。在步骤203中，若匹配成功的预设防护策略的数量为多个，防护设备基于预设的策略选择规则，从匹配成功的预设防护策略中确定一个目标策略。具体的，若目标位串为“1001”，结合步骤102中的策略1：源端口信息80+协议号6；策略4：源端口信息80+报文长度80字节，表示待防护报文与策略1、策略4匹配成功，防护设备基于预设的策略选择规则，从策略1、策略4中确定一个目标策略，策略选择规则可以为从右至左选择第一个匹配成功的预设防护策略；也可以为从左至右选择第一个匹配成功的预设防护策略；还可以为随机选择一个匹配成功的预设防护策略，本领域技术人员可以理解的是，此处策略选择规则不能形成对本发明的限制。此处以从右至左选择第一个匹配成功的预设防护策略作为策略选择规则进行示例性说明，防护设备从匹配成功的策略1、策略4中确定策略1为目标策略。在步骤204中，防护设备基于目标位串，生成目标策略对应的第一标识。例如，防护设备基于目标位串“1001”中的策略1生成第一标识“1”，本领域技术人员可以理解的是，若目标策略为策略4，则第一标识为“4”，第一标识仅用于将目标策略与下述的预设处理列表中的第二标识进行匹配，第一标识也可以为数字、字母或者两者的组合，本发明对第一标识的具体形式不作限制。在步骤205中，防护设备将第一标识与预设处理列表记录的至少一个第二标识分别进行匹配，每一个第二标识分别对应一防护指令。如表2所示，以预设处理列表中记录了四个第二标识对预设处理列表的结构进行示例性说明：表2表2中，第二标识“1”、第二标识“2”、第二标识“3”、第二标识“4”分别对应丢弃待防护报文、发送报警信息、丢弃待防护报文、发送报警信息的防护指令。结合步骤204，防护设备将第一标识“1”与预设处理列表记录的第二标识“1”、第二标识“2”、第二标识“3”、第二标识“4”分别进行匹配。在步骤206中，当第一标识与预设处理列表中的其中一个第二标识匹配成功时，防护设备对待防护报文执行匹配成功的第二标识对应的防护指令。结合步骤205，第一标识“1”与预设处理列表中的第二标识“1”匹配成功，第二标识“1”对应的防护指令为丢弃待防护报文，则，防护设备对待防护报文执行丢弃待防护报文的防护指令。在步骤207中，当目标位串为预设位串时，防护设备确定待防护报文与预设防护策略匹配未成功，将待防护报文转发至下一与防护设备相连接的网络设备。若目标位串为“0000”，目标位串“0000”为预设位串“0000”，防护设备确定待防护报文与预设防护策略匹配未成功，防护设备将待防护报文转发至下一与防护设备相连接的网络设备。本发明实施例中，防护设备确定目标位串是否为预设位串，当目标位串不为预设位串时，防护设备确定待防护报文与预设防护策略匹配成功，若匹配成功的预设防护策略的数量为多个，防护设备基于预设的策略选择规则，从匹配成功的预设防护策略中确定一个目标策略，通过不同的策略选择规则，使防护设备对目标策略的选择更加灵活，目标策略的不同使得防护设备对所述待防护报文执行的防护指令不同；防护设备基于目标位串生成目标策略对应的第一标识，并将第一标识与预设处理列表记录的至少一个第二标识进行匹配，当第一标识与预设处理列表中的其中一个第二标识匹配成功时，防护设备对待防护报文执行匹配成功的第二标识对应的防护指令，当防护指令对应的第二标识发生变化时，或者第一标识与第二标识的对应关系发生变化时，管理人员可以通过获取预设处理列表对发生变化的第二标识、防护指令进行修改，易于统一管理。对应于上述防护策略的匹配方法，本发明还提出了图3所示的防护设备的硬件结构图。请参考图3，在硬件层面，该防护设备包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成防护策略的匹配装置。当然，除了软件实现方式之外，本发明并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。图4是本发明提供的一个防护策略的匹配装置的实施例框图，如图4所示，该防护策略的匹配装置可以包括：特征值解析模块41、特征值匹配模块42、与运算模块43、防护策略确定模块44，其中：特征值解析模块41，用于当接收到待防护报文时，从待防护报文中解析得到至少一个待匹配特征值；特征值匹配模块42，用于将特征值解析模块41中解析得到的至少一个待匹配特征值中的每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到至少一个待匹配特征值分别对应的策略位串，每一个预设特征列表中记录的每一个特征值分别对应一策略位串，策略位串的每一位对应一个预设防护策略；与运算模块43，用于将特征值匹配模块42中的至少一个待匹配特征值分别对应的策略位串进行与运算，得到一目标位串；防护策略确定模块44，用于基于与运算模块43中得到的目标位串，确定待防护报文是否与预设防护策略匹配成功。图5是本发明提供的另一个防护策略的匹配装置的实施例框图，如图5所示，在上述图4所示实施例的基础上，防护策略的匹配装置还包括：特征列表确定模块45，用于基于待防护报文的报文类型确定至少一个待匹配的预设特征列表，基于确定的至少一个预设特征列表中记录的特征值的特征值类型，执行特征值解析模块41中的从待防护报文中解析得到至少一个待匹配特征值的步骤。在一实施例中，防护策略确定模块44包括：预设位串比较子模块441，用于确定目标位串是否为预设位串；报文转发子模块442，用于当预设位串比较子模块441中的目标位串为预设位串时，确定待防护报文与预设防护策略匹配未成功，将待防护报文转发至下一与防护设备相连接的网络设备；匹配成功确定子模块443，用于当预设位串比较子模块441中的目标位串不为预设位串时，确定待防护报文与预设防护策略匹配成功。在一实施例中，防护策略的匹配装置还包括：目标策略确定模块46，用于若匹配成功确定子模块443中的匹配成功的预设防护策略的数量为多个，基于预设的策略选择规则，从匹配成功的预设防护策略中确定一个目标策略。在一实施例中，防护策略的匹配装置还包括：第一标识生成模块47，用于基于与运算模块43中得到的目标位串生成目标策略确定模块46中确定的目标策略对应的第一标识；标识匹配模块48，用于将第一标识生成模块47中生成的第一标识与预设处理列表记录的至少一个第二标识分别进行匹配，每一个第二标识分别对应一防护指令；防护指令执行模块49，用于当第一标识与预设处理列表中的其中一个第二标识匹配成功时，对待防护报文执行匹配成功的第二标识对应的防护指令。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。由上述实施例可见，防护设备将从待防护报文中解析出的，每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配，得到每一个待匹配特征值分别对应的策略位串，防护设备基于策略位串的与运算结果确定待防护报文是否与预设防护策略匹配成功，省去了防护设备将从待防护报文中解析出的至少一个待匹配特征值，与成百上千的预设防护策略一一进行匹配的过程，待匹配特征值的数量相较于成百上千的预设防护策略是较少的，每一个待匹配特征值与各自特征值类型相同的预设特征列表进行匹配的过程耗时较短，因此解决了防护策略的匹配过程耗时长的问题。本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。当前第1页1 2 3