本申請公開了一種規則命中檢測方法，為了克服現有技術缺陷，本申請選用了將規則內容按有向無環圖結構表示的結構化表示方式，進而得到目標規則庫。區別于傳統方式采用的樹形結構，相同規則內容按有向無環圖結構表示，不僅能夠合并相同的前綴選項，也能夠合并相同的后綴選項，從而避免了按樹形結構表示時存在的節點重復存在問題，避免了對有限存儲空間的無效占用，相同規則內容僅需占用更少的存儲空間。本申請還同時公開了一種規則命中檢測裝置、電子設備及可讀存儲介質，具有上述有益效果。

技術領域

本申請涉及規則表示技術領域，特別涉及一種規則命中檢測方法、裝置、電子設備及可讀存儲介質。

背景技術

在惡意內容的入侵檢測領域，一般采用基于規則匹配的方式進行。在這種方案中，規則庫首先被編譯為特定的數據結構，然后通過該數據結構決定對哪些選項(對一種特征的描述，當數據符合所描述的特征時，即稱數據命中了選項，以防火墻和入侵檢測等產品中廣泛應用的規則匹配引擎snort為例，一個選項是：Content:abc，該選項表示只要數據中出現了字符串abc，即命中該選項)進行檢測。

在規則庫中，針對同一個漏洞，可能有多條相似的規則，這些規則的選項大部分相同，只有中間的一個或少數幾個選項不同。為了盡可能的精簡，現有技術普遍采用將具體的規則內容編譯為樹形結構。但按樹形結構編譯時，僅會將多條相似規則中相同的前綴選項合并，直到不同的選項，才進行分支，且一旦產生分支，即使再有相同的選項，也不再合并。因此在樹形結構中仍會將相同的選項創建為不同的節點，節點的重復存在導致對有限存儲空間的無效占用。

因此，如何克服上述現有技術存在的技術缺陷，是本領域技術人員亟待解決的問題。

發明內容

本申請的目的是提供一種規則命中檢測方法、裝置、電子設備及可讀存儲介質，旨在避免將規則內容按樹形結構表示所導致的對有限存儲空間的無效占用問題。

為實現上述目的，本申請提供了一種規則命中檢測方法，包括：

接收規則命中檢測請求；

根據所述規則命中檢測請求，在將規則內容按有向無環圖結構表示的目標規則庫中進行命中檢測，得到檢測結果；

返回所述檢測結果。

可選的，所述目標規則庫的生成過程包括：

獲取以字符形式表示的字符規則；

將所述字符規則按所述有向無環圖結構進行編譯，得到所述目標規則庫。

可選的，所述目標規則庫的構建過程包括：

獲取以樹形結構表示的樹形規則；

將所述樹形規則的樹形結構轉換為所述有向無環圖結構，得到所述目標規則庫。

可選的，所述目標規則庫的構建過程包括：

判斷當前是否已有舊規則庫存在；

若當前已有所述舊規則庫存在，則判斷所述舊規則庫中是否存在以樹形結構表示的舊樹形規則；

若所述舊規則庫存在所述舊樹形規則，則將所述舊樹形規則反編譯還原為以字符形式表示的舊字符規則，并將所述舊字符規則和以字符形式表示的新字符規則統一按所述有向無環圖結構進行編譯，得到所述目標規則庫；

若當前不存在所述舊規則庫或所舊規則庫中不存在所述舊樹形規則，則將以字符形式表示的新字符規則按所述有向無環圖結構進行編譯，得到所述目標規則庫。

可選的，所述根據所述規則命中檢測請求，在將規則內容按有向無環圖結構表示的目標規則庫中進行命中檢測，包括：

從所述規則命中檢測請求中提取得到待命中內容；