本公開涉及一種規(guī)則匹配方法和裝置、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。該規(guī)則匹配方法包括：對(duì)規(guī)則進(jìn)行讀取和預(yù)處理；構(gòu)建規(guī)則分解大頂堆模型；采用規(guī)則分解大頂堆模型，對(duì)流量數(shù)據(jù)和安全規(guī)則進(jìn)行匹配；根據(jù)流量數(shù)據(jù)的匹配情況，更新規(guī)則分解大頂堆模型的規(guī)則權(quán)重。本公開能夠?qū)Υ罅恳?guī)則進(jìn)行分解和表示以及數(shù)據(jù)與規(guī)則匹配，輸出準(zhǔn)確的安全告警事件。

技術(shù)領(lǐng)域

本公開涉及安全領(lǐng)域，特別涉及一種規(guī)則匹配方法和裝置、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

安全事件檢測(cè)是安全告警和處置的基礎(chǔ)。安全研究人員將規(guī)則提取成正則表達(dá)式，用于匹配網(wǎng)絡(luò)流量數(shù)據(jù)，識(shí)別和輸出告警事件。相關(guān)技術(shù)目前安全事件檢測(cè)的方法一般是：對(duì)于一條待檢測(cè)流量，遍歷所有規(guī)則分別匹配得出結(jié)果，將所命中規(guī)則的事件信息輸出，這種方式不能高效地解決大規(guī)模安全規(guī)則與安全數(shù)據(jù)的匹配問(wèn)題。

發(fā)明內(nèi)容

鑒于以上技術(shù)問(wèn)題中的至少一項(xiàng)，本公開提供了一種規(guī)則匹配方法和裝置、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，能夠?qū)Υ罅恳?guī)則進(jìn)行分解和表示以及數(shù)據(jù)與規(guī)則匹配，輸出準(zhǔn)確的安全告警事件。

根據(jù)本公開的一個(gè)方面，提供一種規(guī)則匹配方法，包括：

對(duì)規(guī)則進(jìn)行讀取和預(yù)處理；

構(gòu)建規(guī)則分解大頂堆模型；

采用規(guī)則分解大頂堆模型，對(duì)流量數(shù)據(jù)和安全規(guī)則進(jìn)行匹配；

根據(jù)流量數(shù)據(jù)的匹配情況，更新規(guī)則分解大頂堆模型的規(guī)則權(quán)重。

在本公開的一些實(shí)施例中，所述對(duì)規(guī)則進(jìn)行讀取和預(yù)處理包括：

從規(guī)則庫(kù)中讀取規(guī)則集合，其中，規(guī)則的屬性包括規(guī)則標(biāo)識(shí)、正則表達(dá)式字符串和事件類型編碼，事件類型編碼用于標(biāo)記規(guī)則對(duì)應(yīng)的事件類型；

根據(jù)事件類型編碼對(duì)規(guī)則集合進(jìn)行分類；

對(duì)每個(gè)事件類型編碼所屬規(guī)則集合初始化一個(gè)相同權(quán)值；

將每個(gè)事件類型編碼所屬規(guī)則集合的正則文本進(jìn)行文本分詞處理，去重后用特定符合連接起來(lái)，作為該所屬規(guī)則集合的前置條件正則表達(dá)式。

在本公開的一些實(shí)施例中，所述構(gòu)建規(guī)則分解大頂堆模型包括：

構(gòu)建規(guī)則分解大頂堆模型，其中，規(guī)則分解大頂堆模型包括三層架構(gòu)，其中：

第一層為模型根結(jié)點(diǎn)，模型根結(jié)點(diǎn)為輸入節(jié)點(diǎn)，采用規(guī)則分解樹對(duì)象標(biāo)識(shí)；

第二層為事件類型編碼結(jié)點(diǎn)，為每個(gè)事件類型編碼創(chuàng)建一個(gè)事件類型編碼結(jié)點(diǎn)，將該所屬規(guī)則集合的前置條件正則表達(dá)式作為該事件類型編碼結(jié)點(diǎn)的正則表達(dá)式；

第三層為一個(gè)由所屬規(guī)則集合形成的大頂堆，所述大頂堆連接在事件類型編碼結(jié)點(diǎn)的下游，為每個(gè)規(guī)則創(chuàng)建一個(gè)規(guī)則結(jié)點(diǎn)，通過(guò)堆排序算法根據(jù)規(guī)則的權(quán)值構(gòu)建成大頂堆。

在本公開的一些實(shí)施例中，所述采用規(guī)則分解大頂堆模型，對(duì)流量數(shù)據(jù)和安全規(guī)則進(jìn)行匹配包括：

從原始數(shù)據(jù)表中讀取分析時(shí)間范圍內(nèi)的流量數(shù)據(jù)，遍歷每一條流量數(shù)據(jù)；

針對(duì)每一條流量數(shù)據(jù)，使用規(guī)則分解大頂堆模型進(jìn)行規(guī)則匹配。

在本公開的一些實(shí)施例中，所述針對(duì)每一條流量數(shù)據(jù)，使用規(guī)則分解大頂堆模型進(jìn)行規(guī)則匹配包括：

針對(duì)每一條流量數(shù)據(jù)，將該流量數(shù)據(jù)傳遞到事件類型編碼結(jié)點(diǎn)層；

遍歷所有事件類型編碼結(jié)點(diǎn)，判斷流量數(shù)據(jù)是否命中一個(gè)事件類型編碼結(jié)點(diǎn)；

在流量數(shù)據(jù)命中一個(gè)事件類型編碼結(jié)點(diǎn)的情況下，將該流量數(shù)據(jù)傳遞到大頂堆根結(jié)點(diǎn)，以廣度優(yōu)先遍歷的方式與大頂堆中的規(guī)則子集進(jìn)行匹配；