本公開提供了一種用于基于正則匹配的入侵檢測的方法和裝置。方法包括：從特征規則集的每個規則的正則表達式中提取普通字符的字符串；將提取到的字符串添加到預過濾字符串集中，并去重；將提取到的字符串進行編號，組成編號數組，將編號數組加入到對應的規則中，將字符串作為關鍵字，編號作為值存入哈希表中；基于預過濾字符串集構建有限狀態自動機；通過有限狀態自動機對待檢測文本進行檢測，并得到數字標識集；對特征規則集中的每個規則的編號數組進行順序遍歷，在編號數組為數字標識集的子集的情況下，將規則加入到待匹配規則集中；將待匹配規則集中的正則表達式與待檢測文本進行匹配；根據匹配得到的觸發規則集執行處理策略。

技術領域

本公開涉及網絡安全技術領域，特別涉及一種基于正則匹配的入侵檢測的方法和裝置。

背景技術

隨著互聯網快速的發展，網絡安全事件也隨之頻發，當前各行業的安全態勢愈發嚴峻。傳統的防火墻已無法滿足網絡對攻擊的防護，網絡入侵檢測系統作為一種主動積極的防護手段應運而生。

目前，大多數入侵檢測系統采用基于模式匹配的特征檢測方法，將攻擊特征使用正則表達式來描述，將每個正則表達式轉化為非確定有限自動機(NondeterministicFinite Automata，簡稱為NFA)或確定有限自動機(Deterministic Finite Automata，簡稱為DFA)和網絡數據包進行匹配，匹配成功則說明該請求具有攻擊行為。但隨著攻擊手法的多樣化和不斷被挖掘的新漏洞，導致攻擊特征的數量不斷增多，相應的正則集合也不斷增大，加上訪問流量越來越大，從而對入侵檢測系統的性能的要求也越來越高。

當入侵檢測系統的檢測速度跟不上網絡流量的產生速度時，將產生漏報或者直接影響被防護系統的訪問。

發明內容

本公開解決的一個技術問題是：提供一種基于正則匹配的入侵檢測的方法，以提高正則檢測效率。

根據本公開的一個方面，提供了一種基于正則匹配的入侵檢測的方法，包括：從特征規則集的每個規則的正則表達式中提取普通字符的字符串；將提取到的字符串添加到預過濾字符串集中，并對所述預過濾字符串集中的字符串進行去重處理；將提取到的字符串進行編號，將與每個規則對應的字符串的編號按照所述字符串的順序組成編號數組，將所述編號數組加入到對應的規則中，并將提取到的字符串作為關鍵字，編號作為值存入哈希表中；基于所述預過濾字符串集構建有限狀態自動機；通過所述有限狀態自動機對待檢測文本進行檢測以得到匹配字符串集，并根據所述哈希表得到與所述匹配字符串集對應的數字標識集；對所述特征規則集中的每個規則的編號數組進行順序遍歷，在該編號數組為所述數字標識集的子集的情況下，將該編號數組對應的規則加入到待匹配規則集中；將所述待匹配規則集中的規則的正則表達式與待檢測文本進行匹配，以獲得所述待檢測文本的觸發規則集；以及根據所述觸發規則集執行相應的處理策略。

在一些實施例中，基于所述預過濾字符串集構建有限狀態自動機的步驟包括：采用Aho-Corasick自動機算法將預過濾字符串集作為模式串集，構建有限狀態自動機。

在一些實施例中，所述方法還包括：在通過所述有限狀態自動機對待檢測文本進行檢測之前，根據文本特征將待檢測文本進行分段；其中，通過所述有限狀態自動機對待檢測文本進行檢測的步驟包括：通過所述有限狀態自動機對所述待檢測文本的每段文本進行檢測，以得到匹配字符串集。

在一些實施例中，所述處理策略包括：攔截策略、告警策略和放行策略中的至少一個。

在一些實施例中，根據所述觸發規則集執行相應的處理策略的步驟包括：在所述觸發規則集中存在匹配的規則的情況下，對所述待檢測文本執行攔截策略和/或告警策略；在所述觸發規則集中不存在匹配的規則的情況下，對所述待檢測文本執行放行策略。

在一些實施例中，所述普通字符包括：字母字符、數字字符和標點符號字符。