[發明專利]規則匹配方法和裝置、計算機可讀存儲介質在審
| 申請號: | 202211246327.8 | 申請日: | 2022-10-12 |
| 公開(公告)號: | CN115481632A | 公開(公告)日: | 2022-12-16 |
| 發明(設計)人: | 謝泳;劉亞天;呼博文;汪來富 | 申請(專利權)人: | 中國電信股份有限公司 |
| 主分類號: | G06F40/289 | 分類號: | G06F40/289;G06K9/62 |
| 代理公司: | 中國貿促會專利商標事務所有限公司 11038 | 代理人: | 王云飛 |
| 地址: | 100033 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 規則 匹配 方法 裝置 計算機 可讀 存儲 介質 | ||
1.一種規則匹配方法,包括:
對規則進行讀取和預處理;
構建規則分解大頂堆模型;
采用規則分解大頂堆模型,對流量數據和安全規則進行匹配;
根據流量數據的匹配情況,更新規則分解大頂堆模型的規則權重。
2.根據權利要求1所述的規則匹配方法,其中,所述對規則進行讀取和預處理包括:
從規則庫中讀取規則集合,其中,規則的屬性包括規則標識、正則表達式字符串和事件類型編碼,事件類型編碼用于標記規則對應的事件類型;
根據事件類型編碼對規則集合進行分類;
對每個事件類型編碼所屬規則集合初始化一個相同權值;
將每個事件類型編碼所屬規則集合的正則文本進行文本分詞處理,去重后用特定符合連接起來,作為該所屬規則集合的前置條件正則表達式。
3.根據權利要求2所述的規則匹配方法,其中,所述構建規則分解大頂堆模型包括:
構建規則分解大頂堆模型,其中,規則分解大頂堆模型包括三層架構,其中:
第一層為模型根結點,模型根結點為輸入節點,采用規則分解樹對象標識;
第二層為事件類型編碼結點,為每個事件類型編碼創建一個事件類型編碼結點,將該所屬規則集合的前置條件正則表達式作為該事件類型編碼結點的正則表達式;
第三層為一個由所屬規則集合形成的大頂堆,所述大頂堆連接在事件類型編碼結點的下游,為每個規則創建一個規則結點,通過堆排序算法根據規則的權值構建成大頂堆。
4.根據權利要求3所述的規則匹配方法,其中,所述采用規則分解大頂堆模型,對流量數據和安全規則進行匹配包括:
從原始數據表中讀取分析時間范圍內的流量數據,遍歷每一條流量數據;
針對每一條流量數據,使用規則分解大頂堆模型進行規則匹配。
5.根據權利要求4所述的規則匹配方法,其中,所述針對每一條流量數據,使用規則分解大頂堆模型進行規則匹配包括:
針對每一條流量數據,將該流量數據傳遞到事件類型編碼結點層;
遍歷所有事件類型編碼結點,判斷流量數據是否命中一個事件類型編碼結點;
在流量數據命中一個事件類型編碼結點的情況下,將該流量數據傳遞到大頂堆根結點,以廣度優先遍歷的方式與大頂堆中的規則子集進行匹配;
在該流量數據命中規則子集中一個規則的情況下,終止該條數據的匹配過程,將該流量數據緩存到所命中的規則結點的匹配結果緩存中。
6.根據權利要求5所述的規則匹配方法,還包括:
在一個規則結點的匹配結果緩存中所緩存的數據量大于預定閾值的情況下,將產生的一批安全事件數據存入時間結果數據庫。
7.根據權利要求1-6中任一項所述的規則匹配方法,其中,所述根據流量數據的匹配情況,更新規則分解大頂堆模型的規則權重包括:
在匹配完批量流量數據的情況下,根據該批次流量數據的匹情況更新規則分解大頂堆模型的規則權重;
利用堆排序的方式根據新權重參數重新調節大頂堆的結點排列。
8.根據權利要求7所述的規則匹配方法,其中,所述根據該批次流量數據的匹情況更新規則分解大頂堆模型的規則權重包括:
針對每一個規則結點,根據數據命中該規則的概率、該規則的平均匹配時長、和該規則正則表達式的字符串長度,確定該規則的變化向量;
根據該規則的變化向量、所有規則的變化向量的和、更新前該規則的規則權重,確定該規則更新后的規則權重。
9.根據權利要求1-6中任一項所述的規則匹配方法,還包括:
通過序列化的方式將規則分解大頂堆模型編碼成二進制數據,存儲到模型文件中;
在下次使用時規則集合沒有變動的情況下,直接從模型文件恢復整個規則分解大頂堆模型到內存中。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國電信股份有限公司,未經中國電信股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211246327.8/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種無人機精準變量施肥方法及系統
- 下一篇:一種心內科術后康復護理訓練裝置
