一种防护规则匹配的方法、装置、设备及介质与流程

本发明涉及计算机领域，并且更具体地涉及一种防护规则匹配的方法、装置、设备及可读介质。

背景技术：

1、使用安全产品过程中，往往会根据自己的业务配置很多的防护规则，当用户或者进程操作主机时触发了防护规则，就会执行防护规则对应的安全动作(比如拦截此操作行为，产生监控日志等等)。针对防护规则的匹配，有很多的现有技术：第一种是将触发的规则与配置的防护规则进行一条一条的挨个匹配，这种匹配方式实现简单，但是效率比较低，尤其是配置的防护规则量很大时，逐条匹配会花费很长时间，增大了主机内存、cpu消耗。第二种是使用匹配算法，常见的匹配算法有朴素的匹配算法、kmp算法、bm算法、sunday算法等等，这些算法虽然提升了匹配效率，但是也增加了实现的难度。当配置的防护规则内容复杂、较长且数量较多时，使用算法提升的匹配效率也有限，而且配置的防护规则的存储成本也很大。

技术实现思路

1、有鉴于此，本发明实施例的目的在于提出一种防护规则匹配的方法、装置、设备及可读介质，通过使用本发明的技术方案，能够实现简单、有效率、存储成本低的防护规则匹配机制，能够加快规则匹配的时间，减少主机的存储占用，降低主机的性能消耗，增加了安全产品的防护性能。

2、基于上述目的，本发明的实施例的一个方面提供了一种防护规则匹配的方法，包括以下步骤：

3、将安全产品中配置的防护规则进行hash处理，并基于得到的hash值构建防护规则表结构；

4、提取出每个防护规则对应的hash值的匹配特征值，并基于匹配特征值构建防护规则表结构的关联表；

5、响应于在主机中触发防护规则，将防护规则进行预处理，并基于预处理后的结果在关联表中匹配；

6、响应于在关联表中匹配成功，基于预处理后的结果在防护规则表结构进行再次匹配以得到匹配结果。

7、根据本发明的一个实施例，将安全产品中配置的防护规则进行hash处理，并基于得到的hash值构建防护规则表结构包括：

8、分别计算安全产品中配置的每个防护规则的hash值；

9、基于计算得到的hash值和防护规则的id构建防护规则表结构。

10、根据本发明的一个实施例，提取出每个防护规则对应的hash值的匹配特征值，并基于匹配特征值构建防护规则表结构的关联表包括：

11、提取出每个防护规则对应的hash值中包含的字符个数；

12、提取出每个防护规则对应的hash值中包含的最多的字符，以及最多的字符的个数；

13、提取出每个防护规则对应的hash值中只包含一个的字符组成的字符串；

14、提取出每个防护规则对应的hash值的开头的三个字符；

15、提取出每个防护规则对应的hash值的结尾的三个字符；

16、基于防护规则的id和对应的字符个数、包含的最多的字符以及最多的字符的个数、只包含一个的字符组成的字符串、开头的三个字符和结尾的三个字符构建防护规则表结构的关联表。

17、根据本发明的一个实施例，响应于在主机中触发防护规则，将防护规则进行预处理包括：

18、响应于在主机中触发防护规则，计算触发规则的hash值；

19、提取触发规则的hash值中包含的字符个数；

20、提取触发规则的hash值中包含的最多的字符，以及最多的字符的个数；

21、提取触发规则的hash值中只包含一个的字符组成的字符串；

22、提取触发规则的hash值的开头的三个字符；

23、提取触发规则的hash值的结尾的三个字符。

24、根据本发明的一个实施例，基于预处理后的结果在关联表中匹配包括：

25、将预处理后得到的数据在关联表中进行逐条匹配；

26、响应于关联表中的一个id下对应的特征值全部与预处理后的数据相同，确定匹配成功。

27、根据本发明的一个实施例，响应于在关联表中匹配成功，基于预处理后的结果在防护规则表结构进行再次匹配以得到匹配结果包括：

28、响应于在关联表中匹配成功，获取关联表中对应的id；

29、获取防护规则表结构中对应的id对应的hash值；

30、将触发规则的hash值与获取的hash值进行匹配；

31、响应于匹配成功，返回hash值对应的防护规则。

32、根据本发明的一个实施例，还包括：

33、执行防护规则对应的安全防护策略。

34、本发明的实施例的另一个方面，还提供了一种防护规则匹配的装置，装置包括：

35、构建模块，构建模块配置为将安全产品中配置的防护规则进行hash处理，并基于得到的hash值构建防护规则表结构；

36、提取模块，提取模块配置为提取出每个防护规则对应的hash值的匹配特征值，并基于匹配特征值构建防护规则表结构的关联表；

37、处理模块，处理模块配置为响应于在主机中触发防护规则，将防护规则进行预处理，并基于预处理后的结果在关联表中匹配；

38、匹配模块，匹配模块配置为响应于在关联表中匹配成功，基于预处理后的结果在防护规则表结构进行再次匹配以得到匹配结果。

39、本发明的实施例的另一个方面，还提供了一种计算机设备，该计算机设备包括：

40、至少一个处理器；以及

41、存储器，存储器存储有可在处理器上运行的计算机指令，指令由处理器执行时实现上述任意一项方法的步骤。

42、本发明的实施例的另一个方面，还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述任意一项方法的步骤。

43、本发明具有以下有益技术效果：本发明实施例提供的防护规则匹配的方法，通过将安全产品中配置的防护规则进行hash处理，并基于得到的hash值构建防护规则表结构；提取出每个防护规则对应的hash值的匹配特征值，并基于匹配特征值构建防护规则表结构的关联表；响应于在主机中触发防护规则，将防护规则进行预处理，并基于预处理后的结果在关联表中匹配；响应于在关联表中匹配成功，基于预处理后的结果在防护规则表结构进行再次匹配以得到匹配结果的技术方案，能够实现简单、有效率、存储成本低的防护规则匹配机制，能够加快规则匹配的时间，减少主机的存储占用，降低主机的性能消耗，增加了安全产品的防护性能。

技术特征：

1.一种防护规则匹配的方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的方法，其特征在于，将安全产品中配置的防护规则进行hash处理，并基于得到的hash值构建防护规则表结构包括：

3.根据权利要求1所述的方法，其特征在于，提取出每个防护规则对应的hash值的匹配特征值，并基于匹配特征值构建防护规则表结构的关联表包括：

4.根据权利要求1所述的方法，其特征在于，响应于在主机中触发防护规则，将防护规则进行预处理包括：

5.根据权利要求4所述的方法，其特征在于，基于预处理后的结果在关联表中匹配包括：

6.根据权利要求5所述的方法，其特征在于，响应于在关联表中匹配成功，基于预处理后的结果在防护规则表结构进行再次匹配以得到匹配结果包括：

7.根据权利要求6所述的方法，其特征在于，还包括：

8.一种防护规则匹配的装置，其特征在于，所述装置包括：

9.一种计算机设备，其特征在于，包括：

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。

技术总结
本发明提供了一种防护规则匹配的方法、装置、设备及可读介质，方法包括：将安全产品中配置的防护规则进行Hash处理，并基于得到的Hash值构建防护规则表结构；提取出每个防护规则对应的Hash值的匹配特征值，并基于匹配特征值构建防护规则表结构的关联表；响应于在主机中触发防护规则，将防护规则进行预处理，并基于预处理后的结果在关联表中匹配；响应于在关联表中匹配成功，基于预处理后的结果在防护规则表结构进行再次匹配以得到匹配结果。通过使用本发明的方案，能够实现简单、有效率、存储成本低的防护规则匹配机制，能够加快规则匹配的时间，减少主机的存储占用，降低主机的性能消耗，增加了安全产品的防护性能。

技术研发人员：唐超,甄鹏
受保护的技术使用者：济南浪潮数据技术有限公司
技术研发日：
技术公布日：2024/1/15