本發明提供了一種采用混合匹配引擎的NIDS設備的優化系統及方法，包括規則庫、深度自編碼器模塊、隨機排序模塊、規則庫最優劃分訓練模塊、規則庫最優劃分模塊、匹配性能測量模塊及匹配引擎池；所述規則庫最優劃分訓練模塊、規則庫最優劃分模塊均包括深度強化學習子模塊；其中，規則庫最優劃分訓練模塊的深度強化學習子模塊用于學習規則劃分的方法，通過系統配置的設定數量的匹配規則訓練后獲得規則庫最優劃分模塊的深度強化學習子模塊的參數，并將參數輸出至規則庫最優劃分模塊。該系統既適用于基于軟件匹配的NIDS設備，也適用于基于專用芯片或網絡處理器進行匹配的NIDS設備；具有結構簡單，操作便捷，適應性強的優點。

技術領域

本發明涉及保密通信技術領域，特別是涉及一種采用混合匹配引擎的NIDS 設備的優化系統。

背景技術

網絡入侵檢測(NIDS，network intrusion detection system)設備通過網絡接口采集網絡報文，對報文進行預處理后，即需要對報文的內容進行檢測以發現可能存在的異常或攻擊流量。為此，網絡入侵檢測設備上需要配置一個規模很大的匹配規則庫，其中包括大量的字符串匹配規則，數量往往有數萬或者更多。在現有技術中，網絡入侵檢測設備通過多模式字符串匹配引擎實施匹配操作，具體的方法是在系統初始化時需要對多模式字符串匹配引擎進行初始化，匹配引擎初始化的重要內容就是讀入所有的匹配規則并根據匹配算法進行處理，形成保存于匹配引擎內存中的特殊數據結構；當有報文到達需要進行匹配時，即把報文需要進行檢測的部分的字節流作為待匹配字符串輸入到匹配引擎中，匹配引擎使用初始化時形成的規則數據庫結構，使用引擎特有的算法進行匹配，當發現待匹配字符串中出現了規則庫中某一個或某一些規則字符串時，即把匹配到的規則字符串輸出，如果沒有匹配到的規則字符串即輸出沒有匹配的結果。由于匹配規則庫規模龐大，匹配引擎對NIDS設備的性能要求很高，在網絡入侵檢測設備性能受限的情況下，流量達到一定速率時即會出現負載溢出的情況，使得網絡入侵檢測的功能失效?，F有的網絡入侵設備性能提升方法包括基于專用芯片或網絡處理器提升匹配性能、使用更優化的模式匹配算法提升匹配性能以及使用混合引擎的方法提升匹配性能；而該三種方法都具有各自的缺點，例如，基于專用芯片或網絡處理器提升匹配性能的方法中，設備的設計中需要包括專用芯片或網絡處理器，增加了設備的設計和生產成本，在設備價格受限的環境中無法使用此解決方案。在使用更優化的模式匹配算法提升匹配性能的方法中，多模式匹配算法目前有很多類型，如AC算法、WM算法即它們的變種，這些算法各自在特定的規則字符串特點下有優勢。因為網絡入侵檢測設備的規則庫規模龐大，規則特點不一，只選擇某一種特定算法不能達到最優匹配效率。在使用混合引擎的方法提升匹配性能的方法中，采用多種匹配算法進行規則匹配，每一個算法僅負責對規則庫中的一部分進行匹配運算。但這種方法的關鍵技術在于如何劃分規則庫以分配給不同的算法，從而達到最優的性能指標。現有的做法非常簡單，僅從規則的長度進行判斷，但是各種匹配算法的實際性能除了和規則的長度有關，還和規則的內在結構如共同前綴、共同后綴等有密切關系，也和規則規模有關。所以現有的混合模式方法并沒有達成匹配效率最優化的目標。

因此，針對現有技術中存在的問題，亟需提供一種提升規則匹配的效率，使得在網絡入侵檢測設備硬件性能不變的情況下，提高設備處理處理的流量速率上限的采用混合匹配引擎的NIDS設備的優化系統技術顯得尤為重要。

發明內容

本發明為了克服上述現有技術存在的問題，提出了一種采用混合匹配引擎的網絡入侵設備的優化系統，該系統在混合引擎初始化時采用基于深度自編碼器和深度強化學習子模塊對匹配規則庫進行最優化劃分和指派。該系統既適用于基于軟件匹配的NIDS設備，也適用于基于專用芯片或網絡處理器進行匹配的 NIDS設備。

為了達到上述目的，本發明采用以下技術方案：