網絡安全掃描規則集的約減方法及裝置涉及信息技術領域。本發明由規則分類器、分類規則暫存器、字符串提取器、正則表達式提取器、字符串映射規則集合和正則表達式映射規則集合組成。本發明對文本規則進行二次轉換處理：讀取規則文件進行字段解析、提取、整理、聚類、輸出。對輸出的字段再加載，采用一次性匹配算法或聚類匹配算法執行匹配過程，改善逐條進行規則匹配效率低的問題。

技術領域

本發明涉及信息技術領域。

背景技術

規則掃描引擎是一種嵌入在應用程序中的組件，實現將業務決策從應用程序代碼中分離出來，并使用預定義的語義模塊編寫業務決策。具體執行可以分為接受數據輸入、解釋業務規則、根據業務規則做出業務決策幾個過程。使用規則掃描引擎可以把復雜、冗余的業務邏輯同應用支撐系統分離開，做到系統架構的可復用移植。規則掃描引擎通常允許用戶在不重新啟動系統或部署新的可執行代碼的情況下調整規則，從而實現業務處理能力的變化。規則掃描引擎旨在成為一個提供更高級別抽象的工具，以便用戶可以更少地關注開發細節。網絡安全掃描規則是安全掃描引擎的檢測依據，它是對網絡攻擊的模式匹配的描述，主要包含特征串、正則表達式及邏輯表達式構成。特征串、正則表達式匹配是規則引擎的主要工作。

MTX（Meta-info Tuning eXtreme）是用于網絡報文分析和檢測的標準規范文檔，由國家計算機網絡與信息安全管理中心提出并歸口。MTX規范定義了規則的編寫格式、協議類型、數據類型、運算符、常量、變量、變量類型、表達式、函數等語法規范。用戶可以采用MTX語法針對影響網絡安全的病毒、木馬、僵尸、后門、網頁仿冒、移動互聯網等惡意代碼編寫MTX規則，MTX規則經編譯后動態更新到運行的系統當中，用于實時對網絡報文進行分析和檢測，并記錄預警事件。

每條MTX規則都包括下列內容：

1）規則id：最長11位的整數；

2）規則名稱：字符串，長度不大于500個字符；

3）協議：規則所屬的協議類型，如：ip、ipv6、tcp、udp、http、dns、tcpstream；

4）按包/流匹配： packet – 按單包匹配，stream --按流匹配，目前該配置未生效；

5）匹配條件：需要匹配的內容；

6）響應動作：匹配后的執行動作；

7）日志是否反向：0-不反向；1-將正常的ip方向調換后上報；

8）日志上報位置：上報國家中心或分中心；

9）安全事件類型；

10）響應方式；

11）安全級別；

12）優先級；

其中8）~12）為后端系統使用，監測系統前端不涉及。

MTX規則舉例如下：

111 xxx tcp packet tcp.payload.len200 event(tcp.payload) 0 3 12alert 0 6

表示該規則編號為111，名稱為xxx，優先級為6，規則對tcp協議進行單包匹配，tcp.payload長度大于200字節時，生成事件監測日志，并將tcp.payload作為返回值寫入事件監測日志。

MTX規范定義了規則的語法規范，但沒有定義具體的實現案例和匹配算法。采用逐條方式實現規則匹配的方案，匹配效率低，不能用于商業環境當中，所以需要對MTX規則的匹配算法進行優化。