[發(fā)明專利]規(guī)則匹配方法和裝置、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)在審
| 申請(qǐng)?zhí)枺?/td> | 202211246327.8 | 申請(qǐng)日: | 2022-10-12 |
| 公開(公告)號(hào): | CN115481632A | 公開(公告)日: | 2022-12-16 |
| 發(fā)明(設(shè)計(jì))人: | 謝泳;劉亞天;呼博文;汪來(lái)富 | 申請(qǐng)(專利權(quán))人: | 中國(guó)電信股份有限公司 |
| 主分類號(hào): | G06F40/289 | 分類號(hào): | G06F40/289;G06K9/62 |
| 代理公司: | 中國(guó)貿(mào)促會(huì)專利商標(biāo)事務(wù)所有限公司 11038 | 代理人: | 王云飛 |
| 地址: | 100033 *** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 規(guī)則 匹配 方法 裝置 計(jì)算機(jī) 可讀 存儲(chǔ) 介質(zhì) | ||
本公開涉及一種規(guī)則匹配方法和裝置、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。該規(guī)則匹配方法包括:對(duì)規(guī)則進(jìn)行讀取和預(yù)處理;構(gòu)建規(guī)則分解大頂堆模型;采用規(guī)則分解大頂堆模型,對(duì)流量數(shù)據(jù)和安全規(guī)則進(jìn)行匹配;根據(jù)流量數(shù)據(jù)的匹配情況,更新規(guī)則分解大頂堆模型的規(guī)則權(quán)重。本公開能夠?qū)Υ罅恳?guī)則進(jìn)行分解和表示以及數(shù)據(jù)與規(guī)則匹配,輸出準(zhǔn)確的安全告警事件。
技術(shù)領(lǐng)域
本公開涉及安全領(lǐng)域,特別涉及一種規(guī)則匹配方法和裝置、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。
背景技術(shù)
安全事件檢測(cè)是安全告警和處置的基礎(chǔ)。安全研究人員將規(guī)則提取成正則表達(dá)式,用于匹配網(wǎng)絡(luò)流量數(shù)據(jù),識(shí)別和輸出告警事件。相關(guān)技術(shù)目前安全事件檢測(cè)的方法一般是:對(duì)于一條待檢測(cè)流量,遍歷所有規(guī)則分別匹配得出結(jié)果,將所命中規(guī)則的事件信息輸出,這種方式不能高效地解決大規(guī)模安全規(guī)則與安全數(shù)據(jù)的匹配問(wèn)題。
發(fā)明內(nèi)容
鑒于以上技術(shù)問(wèn)題中的至少一項(xiàng),本公開提供了一種規(guī)則匹配方法和裝置、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),能夠?qū)Υ罅恳?guī)則進(jìn)行分解和表示以及數(shù)據(jù)與規(guī)則匹配,輸出準(zhǔn)確的安全告警事件。
根據(jù)本公開的一個(gè)方面,提供一種規(guī)則匹配方法,包括:
對(duì)規(guī)則進(jìn)行讀取和預(yù)處理;
構(gòu)建規(guī)則分解大頂堆模型;
采用規(guī)則分解大頂堆模型,對(duì)流量數(shù)據(jù)和安全規(guī)則進(jìn)行匹配;
根據(jù)流量數(shù)據(jù)的匹配情況,更新規(guī)則分解大頂堆模型的規(guī)則權(quán)重。
在本公開的一些實(shí)施例中,所述對(duì)規(guī)則進(jìn)行讀取和預(yù)處理包括:
從規(guī)則庫(kù)中讀取規(guī)則集合,其中,規(guī)則的屬性包括規(guī)則標(biāo)識(shí)、正則表達(dá)式字符串和事件類型編碼,事件類型編碼用于標(biāo)記規(guī)則對(duì)應(yīng)的事件類型;
根據(jù)事件類型編碼對(duì)規(guī)則集合進(jìn)行分類;
對(duì)每個(gè)事件類型編碼所屬規(guī)則集合初始化一個(gè)相同權(quán)值;
將每個(gè)事件類型編碼所屬規(guī)則集合的正則文本進(jìn)行文本分詞處理,去重后用特定符合連接起來(lái),作為該所屬規(guī)則集合的前置條件正則表達(dá)式。
在本公開的一些實(shí)施例中,所述構(gòu)建規(guī)則分解大頂堆模型包括:
構(gòu)建規(guī)則分解大頂堆模型,其中,規(guī)則分解大頂堆模型包括三層架構(gòu),其中:
第一層為模型根結(jié)點(diǎn),模型根結(jié)點(diǎn)為輸入節(jié)點(diǎn),采用規(guī)則分解樹對(duì)象標(biāo)識(shí);
第二層為事件類型編碼結(jié)點(diǎn),為每個(gè)事件類型編碼創(chuàng)建一個(gè)事件類型編碼結(jié)點(diǎn),將該所屬規(guī)則集合的前置條件正則表達(dá)式作為該事件類型編碼結(jié)點(diǎn)的正則表達(dá)式;
第三層為一個(gè)由所屬規(guī)則集合形成的大頂堆,所述大頂堆連接在事件類型編碼結(jié)點(diǎn)的下游,為每個(gè)規(guī)則創(chuàng)建一個(gè)規(guī)則結(jié)點(diǎn),通過(guò)堆排序算法根據(jù)規(guī)則的權(quán)值構(gòu)建成大頂堆。
在本公開的一些實(shí)施例中,所述采用規(guī)則分解大頂堆模型,對(duì)流量數(shù)據(jù)和安全規(guī)則進(jìn)行匹配包括:
從原始數(shù)據(jù)表中讀取分析時(shí)間范圍內(nèi)的流量數(shù)據(jù),遍歷每一條流量數(shù)據(jù);
針對(duì)每一條流量數(shù)據(jù),使用規(guī)則分解大頂堆模型進(jìn)行規(guī)則匹配。
在本公開的一些實(shí)施例中,所述針對(duì)每一條流量數(shù)據(jù),使用規(guī)則分解大頂堆模型進(jìn)行規(guī)則匹配包括:
針對(duì)每一條流量數(shù)據(jù),將該流量數(shù)據(jù)傳遞到事件類型編碼結(jié)點(diǎn)層;
遍歷所有事件類型編碼結(jié)點(diǎn),判斷流量數(shù)據(jù)是否命中一個(gè)事件類型編碼結(jié)點(diǎn);
在流量數(shù)據(jù)命中一個(gè)事件類型編碼結(jié)點(diǎn)的情況下,將該流量數(shù)據(jù)傳遞到大頂堆根結(jié)點(diǎn),以廣度優(yōu)先遍歷的方式與大頂堆中的規(guī)則子集進(jìn)行匹配;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國(guó)電信股份有限公司,未經(jīng)中國(guó)電信股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211246327.8/2.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 規(guī)則發(fā)現(xiàn)程序、規(guī)則發(fā)現(xiàn)處理和規(guī)則發(fā)現(xiàn)裝置
- 不規(guī)則瓶蓋
- 相關(guān)規(guī)則分析裝置以及相關(guān)規(guī)則分析方法
- 分析規(guī)則調(diào)整裝置、分析規(guī)則調(diào)整系統(tǒng)以及分析規(guī)則調(diào)整方法
- 規(guī)則抽取方法和規(guī)則抽取設(shè)備
- 終端規(guī)則引擎裝置、終端規(guī)則運(yùn)行方法
- 布(規(guī)則)
- 規(guī)則呈現(xiàn)方法、存儲(chǔ)介質(zhì)和規(guī)則呈現(xiàn)裝置
- 可編寫規(guī)則配置模塊、規(guī)則生成系統(tǒng)、及規(guī)則管理平臺(tái)
- 不規(guī)則圍棋
- 一種數(shù)據(jù)庫(kù)讀寫分離的方法和裝置
- 一種手機(jī)動(dòng)漫人物及背景創(chuàng)作方法
- 一種通訊綜合測(cè)試終端的測(cè)試方法
- 一種服裝用人體測(cè)量基準(zhǔn)點(diǎn)的獲取方法
- 系統(tǒng)升級(jí)方法及裝置
- 用于虛擬和接口方法調(diào)用的裝置和方法
- 線程狀態(tài)監(jiān)控方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 一種JAVA智能卡及其虛擬機(jī)組件優(yōu)化方法
- 檢測(cè)程序中方法耗時(shí)的方法、裝置及存儲(chǔ)介質(zhì)
- 函數(shù)的執(zhí)行方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)





