CN107659535A - 一种规则识别方法及装置 - Google Patents
一种规则识别方法及装置 Download PDFInfo
- Publication number
- CN107659535A CN107659535A CN201610589218.4A CN201610589218A CN107659535A CN 107659535 A CN107659535 A CN 107659535A CN 201610589218 A CN201610589218 A CN 201610589218A CN 107659535 A CN107659535 A CN 107659535A
- Authority
- CN
- China
- Prior art keywords
- rule
- sub
- subobject
- content
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种规则识别方法及装置,涉及信息安全监测技术领域,所述方法包括:根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象;针对任意一个所述子对象,确定所述子对象的特征值,并根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集;根据查找到的所述子内容规则集,确定所述特征对象的规则。本发明实施例中,可以进行模糊匹配的规则识别,降低了规则识别的难度,并且由于多个子对象同时查找对应的规则,提高了识别查询的效率。
Description
技术领域
本发明涉及信息安全监测技术领域,尤其涉及一种规则识别方法及装置。
背景技术
近年来,随着互联网的日益开放以及网络技术的飞速发展,网络应用的种类和重要性日益增加,网络攻击的行为也越来越严重,因此保障网络安全越来越具有挑战性。传统的各种安全防御体系,如防火墙、加密等技术,实现的是“分而治之”解决方法,是网络安全防护系统构成的一个环节。从实现的防护功能讲,这些技术实现的是一种静态的、被动的防护,其安全防护的层次处在网络的边界,能阻止大部分的外部攻击,但是对内部的攻击却无能为力。为了弥补静态安全体系的不足,入侵检测技术应运而生。入侵检测系统通过检测网络活动、检测数据包头以及分析数据包的载荷特征识别网络入侵行为。
所谓特征检测,顾名思义是对网际协议IP包数据段的载荷进行过滤,过滤规则是字符串形式的数据内容。在网络入侵检测系统中,深度包检测(Deep Packet Inspection,DPI)是一个至关重要的组件,它影响了整个系统的性能。DPI不仅检测数据包的包头而且对数据包的内容也进行检测。一项对开源的网络入侵检测系统的分析显示,特征检测就消耗了系统30%至80%的CPU资源。可见,随着网络带宽和特征集的飞速增长,实现高性能的实时深度包检测是一个重要议题。
现有技术中,随着移动应用的新增,应用的种类多达万余种,利用传统的DPI进行识别规则,识别的难度大大增加,并且现有的识别逻辑是在同一规则的类别内部进行查找,规则越多,查找的性能也随之降低。
发明内容
本发明提供一种规则识别方法及装置,用于解决现有技术中规则识别方法中识别难度大,查找性能低的问题。
本发明实施例提供一种规则识别方法,所述方法包括:
根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象;
针对任意一个所述子对象,确定所述子对象的特征值,并根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集;
根据查找到的所述子内容规则集,确定所述特征对象的规则。
本发明实施例中,通过将需要进行应用识别的报文中的特征对象划分为多个子对象,再根据多个子对象的特征值查找子对象对应的子内容规则集,根据查找到的子内容规则集确定所述特征对象的规则,由于将特征对象划分为多个子对象,在本发明实施例中,可以进行模糊匹配的规则识别,降低了规则识别的难度,并且由于多个子对象同时查找对应的规则,提高了识别查询的效率。
进一步地,所述特征值为哈希值;
所述根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集,包括:
根据所述子对象的哈希值在规则缓存中查找所述子对象的哈希值对应的子内容规则集。
本发明实施例中,在确定子对象的哈希值后,根据哈希值确定子对象对应的子内容规则集,有效的查找了子对象对应的子内容规则集的位置。
进一步地,所述根据查找到的所述子内容规则集,确定所述特征对象的规则,包括:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
本发明实施例中,将多个特征对象的子对象对应的子内容规则中的共有规则作为所述特征对象的规则,提高了查找规则的效率,并减少了特征对象查找规则的难度。
进一步地,所述根据查找到的所述子内容规则集,确定所述特征对象的规则,包括:
确定每一个所述子对象的子内容规则集中的规则数,将不为零,且最小的规则数对应的子内容规则集中的规则作为所述特征对象的规则。
本发明实施例中,确定每一个所述子对象的子内容规则集中的规则数,将不为零,且最小的规则数对应的子内容规则集中的规则作为所述特征对象的规则,进一步地提高了特征对象的查找效率。
进一步地,所述根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象前,还包括:
获取建立规则使用的规则对象以及所述规则对象对应的规则;
根据所述规则对象的结构特征,将所述规则对象划分为至少一个子规则对象;
针对任意一个所述子规则对象,确定所述子规则对象的特征值,利用BloomFilter算法确定所述子规则对象的特征值对应的存储位置;
在所述存储位置中存储所述子规则对象对应的规则以及所述子规则对象,建立子内容规则集;
其中,所述规则对象中的所有子规则对象与所述规则对象对应于同一规则。
本发明实施例中,在对特征对象查找对应的规则前,还需要建立特征子内容规则集,以使能够根据特征对象的子内容查找到对应的规则。
本发明还提供一种规则识别装置,包括:
子对象划分单元,用于根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象;
子内容规则集确定单元,用于针对任意一个所述子对象,确定所述子对象的特征值,并根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集;
特征对象规则确定单元,用于根据查找到的所述子内容规则集,确定所述特征对象的规则。
本发明实施例中,通过将需要进行应用识别的报文中的特征对象划分为多个子对象,再根据多个子对象的特征值查找子对象对应的子内容规则集,根据查找到的子内容规则集确定所述特征对象的规则,由于将特征对象划分为多个子对象,在本发明实施例中,可以进行模糊匹配的规则识别,降低了规则识别的难度,并且由于多个子对象同时查找对应的规则,提高了识别查询的效率。
进一步地,所述特征值为哈希值;
所述子内容规则集确定单元,具体用于:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
进一步地,所述特征对象规则确定单元,具体用于:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
进一步地,所述特征对象规则确定单元,具体用于:
确定每一个所述子对象的子内容规则集中的规则数,将不为零,且最小的规则数对应的子内容规则集中的规则作为所述特征对象的规则。
进一步地,所述装置还包括:
建立规则单元,用于获取建立规则使用的规则对象以及所述规则对象对应的规则;
根据所述规则对象的结构特征,将所述规则对象划分为至少一个子规则对象;
针对任意一个所述子规则对象,确定所述子规则对象的特征值,利用BloomFilter算法确定所述子规则对象的特征值对应的存储位置;
在所述存储位置中存储所述子规则对象对应的规则以及所述子规则对象,建立子内容规则集;
其中,所述规则对象中的所有子规则对象与所述规则对象对应于同一规则。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种规则识别方法的流程图;
图2为本发明实施例提供的以域名为例的确定域名对应规则的示意图;
图3为本发明实施例提供的一种确定特征对象的规则的方法示意图;
图4为本发明实施例提供的以域名为例的建立子内容规则集的方法示意图;
图5为本发明实施例提供的以包含域名为例的建立子内容规则集的方法示意图;
图6为为本发明实施例提供的另一种以域名为例的建立子内容规则集的方法示意图;
图7为本发明实施例提供的另一种规则识别方法的流程图;
图8为本发明实施例提供的一种规则识别装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供一种信息分词方法,如图1所示,包括:
步骤101,根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象;
步骤102,针对任意一个所述子对象,确定所述子对象的特征值,并根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集;
步骤103,根据查找到的所述子内容规则集,确定所述特征对象的规则。
在本发明实施例中,在接收到需要进行应用规则识别的报文时,首先获取报文中的特征对象,在本发明实施例中,特征对象包括IP(网际协议)地址、端口、应用层负载体、域名、URL(Uniform Resource Locator)、User-Agent(用户代理)等
在确定了报文中的特征对象后,需要确定特征对象的结构特征,在本发明实施例中,结构特征指的是特征对象可以分为相同的结构块,并且相同的结构块之间用一些分隔符进行区分,例如,若报文中的特征对象为IP地址,例如IP地址为211.161.248.232,则211,161,248,232为IP地址中相同结构的结构特征,不同的结构特征之间用“.”区分。或者,在本发明实施例中,特征对象为域名,例如,域名为zhidao.baidu.com,则认为zhidao,baidu,com为相同结构的结构特征,不同的结构特征之间用“.”区分。
在确定了需要进行应用规则识别的报文中的特征对象的结构特征后,将特征对象划分为至少一个子对象,即上述实施例中的IP(网际协议)地址、MAC地址(物理地址)、报文应用层的负载体、域名、URL(统一资源定位符)、User-Agent(统一资源定位符)等话划分为至少一个子对象。
例如,若特征对象是一个域名,则以域名中的“.”将域名划分为至少一个子对象,以域名zhidao.baidu.com为例,子对象为zhidao,baidu以及com。
针对确定的子对象中的任意一个子对象,确定所述子对象的特征值,可选的,在本发明实施例中,可以确定子对象的哈希值。
在确定所述子对象的特征值后,根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集,在本发明实施例中,可以根据子对象的特征值确定所述特征值在内容规则集中的位置,在确定的位置中的规则集就是所述子对象的特征值对应的子内容规则集。
例如,如图2所示,以域名zhidao.baidu.com为例,计算zhidao的哈希值,并对哈希值进行取模,取模后确定了在规则集中的位置为A,同理确定了baidu的哈希值,并确定了在规则集中的位置为B,同理确定了com在规则集中的位置为C。
在本发明实施例中,位置A中包括至少一个规则,则zhidao的子内容规则集就是位置A中包括的至少一个规则,同理,baidu子内容规则集就是位置B中包括的至少一个规则,com子内容规则集就是位置C中包括的至少一个规则。
在本发明实施例中,根据查找到的所述子内容规则集,确定所述特征对象的规则。也就是说,在本发明上述实施例中,根据zhidao,baidu,com查找得到的对应的子内容规则集确定zhidao.baidu.com对应的规则。
在本发明实施例中,可选的,可以通过两种方法确定述特征对象的规则。
方法一
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
例如,在本发明实施例中,如图3所示,zhidao对应的子内容规则集为{rule001,rule002,rule004},baidu对应的子内容规则集为{rule002,rule005,rule007},com对应的子内容规则集为{rule002},三者对应的子内容规则集的共有规则为{rule002},所以域名zhiadao.baidu.com对应的规则为{rule002}。
方法二
确定每一个所述子对象的子内容规则集中的规则数,将不为零,且最小的规则数对应的子内容规则集中的规则作为所述特征对象的规则。
例如,在本发明实施例中,如图3所示,zhidao对应的子内容规则集为{rule001,rule002,rule004},baidu对应的子内容规则集为{rule002,rule005,rule007},com对应的子内容规则集为{rule002},也即是说,确定zhidao对应的子内容规则集的数量为3个规则,baidu对应的子内容规则集的数量为3,com对应的子内容规则集的数量为1个规则,则确定三个子对象对应的规则集数量最少的为子对象com,则将子对象com对应的规则集{rule002}作为域名zhiadao.baidu.com对应的规则。
在本发明实施例中,根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象前,还需要建立子内容规则集。
在本发明实施例中,将根据现有技术中的规则建立子内容规则集,例如,在本发明实施例中,规则对象可以为IP地址、MAC地址、报文应用层的负载体、域名、URL、User-Agent,若在本发明实施例中,需要建立域名为www.qq.com的域名的子内容规则集,已知,域名www.qq.com对应的规则为{rule001},则首先确定域名的结构特征,在本发明实施例中,域名www.qq.com由三个结构构成,即“www”,“qq”,“com”,三个结构分别用“.”分隔,所以将域名这个规则对象划分为“www”,“qq”,“com”三个子规则对象。
在本发明实施例中,三个子规则对象对应的规则与整个域名对应的规则相同,即“www”,“qq”,“com”三个子规则对象对应的规则为{rule001},而域名www.qq.com对应的规则也为{rule001}。
在本发明实施例中,利用Bloom filter算法确定所述子规则对象的特征值对应的存储位置,Bloom filter算法一种二进制向量数据结构,它具有很好的空间和时间效率,被用来检测一个元素是不是集合中的一个成员。在Bloom filter算法中,需要使用哈希值确定所述子规则对象的特征值对应的存储位置。
如图4所示,计算“www”,“qq”,“com”三个子规则对象的哈希值,并对哈希值进行取模,确定子规则对象的存储位置,“www”,“qq”,“com“三个子规则对象的存储位置为图4所示。
又如,在本发明实施例中,还可以建立包含某个特征对象的存储规则,例如,需要建立的存储对象的特征为包含域名weixin,则根据本发明上述实施例中确定子规则对象的存储位置的方法,确定了包含域名weixin对应的存储规则的位置为图5所示,其中包含域名weixin的子内容规则为{rule002}。
在本发明实施例中,继续构建特征对象对应的子规则内容集,例如,建立包含域名后缀为.sports.qq.com的子规则内容集,.sports.qq.com由三个结构构成,即“sports”,“qq”,“com”,三个结构分别用“.”分隔,所以划分为三个子规则对象。
根据本发明上述实施例中确定子规则对象的存储位置的方法,确定了包含域名后缀为.sports.qq.com的子规则内容集对应的存储规则的位置,由于域名中“qq”,“com”两个子规则对象已经在图4中对应的位置中存储了{rule001},而在本发明实施例中,包含域名后缀为.sports.qq.com对应的规则为{rule003},所以如图6所示,在“com”对应的子规则内容为{rule001,rule002},“qq”对应的子规则内容为{rule001,rule002}。
在建立好了如图4~图6中的子内容规则集后,则可以根据建立好的子内容规则集对待识别规则的特征对象进行规则识别,例如,在本发明实施例中,提供了一种规则识别方法,以需要进行查询的域名为“sports.qq.com”为例,具体步骤如图7所示:
步骤701,确定域名的结构特征,并将域名划分为“sports”,“qq”,“com”三个子对象;
步骤702,对每一个子对象,计算子对象的哈希值,并对哈希值进行取模计算;
步骤703,根据取模计算,确定每个子对象对应的子内容规则集,在本发明实施例中,确定了“com”对应的子内容规则集为{rule001,rule003},“qq”对应的子内容规则集为{rule001,rule003},“sports”对应的子内容规则集为{rule003};
步骤704,确定三个子内容规则集中规则的数量,即确定“com”对应的子内容规则集中规则的数量为2,“qq”对应的子内容规则集中规则的数量为2,“sports”对应的子内容规则集中的规则的数量为1;
步骤705,选出确定三个子内容规则集中规则的数量最少的作为域名“sports.qq.com”的规则,即“sports.qq.com”对应的规则为{rule003}。
基于相同的发明构思,本发明实施例还提供一种规则识别装置,该装置可以执行上述方法。如图8所示,包括:
子对象划分单元801,用于根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象;
子内容规则集确定单元802,用于针对任意一个所述子对象,确定所述子对象的特征值,并根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集;
特征对象规则确定单元803,用于根据查找到的所述子内容规则集,确定所述特征对象的规则。
进一步地,所述特征值为哈希值;
所述子内容规则集确定单元802,具体用于:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
进一步地,所述特征对象规则确定单元803,具体用于:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
进一步地,所述特征对象规则确定单元803,具体用于:
确定每一个所述子对象的子内容规则集中的规则数,将不为零,且最小的规则数对应的子内容规则集中的规则作为所述特征对象的规则。
进一步地,所述装置还包括:
建立规则单元804,用于获取建立规则使用的规则对象以及所述规则对象对应的规则;
根据所述规则对象的结构特征,将所述规则对象划分为至少一个子规则对象;
针对任意一个所述子规则对象,确定所述子规则对象的特征值,利用BloomFilter算法确定所述子规则对象的特征值对应的存储位置;
在所述存储位置中存储所述子规则对象对应的规则以及所述子规则对象,建立子内容规则集;
其中,所述规则对象中的所有子规则对象与所述规则对象对应于同一规则。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种规则识别方法,其特征在于,所述方法包括:
根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象;
针对任意一个所述子对象,确定所述子对象的特征值,并根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集;
根据查找到的所述子内容规则集,确定所述特征对象的规则。
2.根据权利要求1所述的方法,其特征在于,所述特征值为哈希值;
所述根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集,包括:
根据所述子对象的哈希值在规则缓存中查找所述子对象的哈希值对应的子内容规则集。
3.根据权利要求1所述的方法,其特征在于,所述根据查找到的所述子内容规则集,确定所述特征对象的规则,包括:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
4.根据权利要求1所述的方法,其特征在于,所述根据查找到的所述子内容规则集,确定所述特征对象的规则,包括:
确定每一个所述子对象的子内容规则集中的规则数,将不为零,且最小的规则数对应的子内容规则集中的规则作为所述特征对象的规则。
5.根据权利要求1所述的方法,其特征在于,所述根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象前,还包括:
获取建立规则使用的规则对象以及所述规则对象对应的规则;
根据所述规则对象的结构特征,将所述规则对象划分为至少一个子规则对象;
针对任意一个所述子规则对象,确定所述子规则对象的特征值,利用Bloom Filter算法确定所述子规则对象的特征值对应的存储位置;
在所述存储位置中存储所述子规则对象对应的规则以及所述子规则对象,建立子内容规则集;
其中,所述规则对象中的所有子规则对象与所述规则对象对应于同一规则。
6.一种规则识别装置,其特征在于,所述装置包括:
子对象划分单元,用于根据需要进行应用规则识别的报文中的特征对象的结构特征,将所述特征对象划分为至少一个子对象;
子内容规则集确定单元,用于针对任意一个所述子对象,确定所述子对象的特征值,并根据所述子对象的特征值查找所述子对象的特征值对应的子内容规则集;
特征对象规则确定单元,用于根据查找到的所述子内容规则集,确定所述特征对象的规则。
7.根据权利要求6所述的装置,其特征在于,所述特征值为哈希值;
所述子内容规则集确定单元,具体用于:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
8.根据权利要求6所述的装置,其特征在于,所述特征对象规则确定单元,具体用于:
确定每一个所述子对象的子内容规则集中的规则,并将所有子内容规则中的共有规则作为所述特征对象的规则。
9.根据权利要求6所述的装置,其特征在于,所述特征对象规则确定单元,具体用于:
确定每一个所述子对象的子内容规则集中的规则数,将不为零,且最小的规则数对应的子内容规则集中的规则作为所述特征对象的规则。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
建立规则单元,用于获取建立规则使用的规则对象以及所述规则对象对应的规则;
根据所述规则对象的结构特征,将所述规则对象划分为至少一个子规则对象;
针对任意一个所述子规则对象,确定所述子规则对象的特征值,利用Bloom Filter算法确定所述子规则对象的特征值对应的存储位置;
在所述存储位置中存储所述子规则对象对应的规则以及所述子规则对象,建立子内容规则集;
其中,所述规则对象中的所有子规则对象与所述规则对象对应于同一规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610589218.4A CN107659535A (zh) | 2016-07-25 | 2016-07-25 | 一种规则识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610589218.4A CN107659535A (zh) | 2016-07-25 | 2016-07-25 | 一种规则识别方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107659535A true CN107659535A (zh) | 2018-02-02 |
Family
ID=61127047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610589218.4A Pending CN107659535A (zh) | 2016-07-25 | 2016-07-25 | 一种规则识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107659535A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600279A (zh) * | 2018-07-31 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| WO2022048668A1 (zh) * | 2020-09-07 | 2022-03-10 | 中兴通讯股份有限公司 | 知识图谱构建方法和装置、检查方法、存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154228A (zh) * | 2006-09-27 | 2008-04-02 | 西门子公司 | 一种分段模式匹配方法及其装置 |
| CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
| US20150326604A1 (en) * | 2014-05-08 | 2015-11-12 | Popo Technologies, Inc. | Rules based monitoring and intrusion detection system |
| US9225734B1 (en) * | 2014-09-10 | 2015-12-29 | Fortinet, Inc. | Data leak protection in upper layer protocols |
| CN105426474A (zh) * | 2015-11-18 | 2016-03-23 | 福建星网锐捷网络有限公司 | 统一资源定位符url匹配的方法及装置 |
-
2016
- 2016-07-25 CN CN201610589218.4A patent/CN107659535A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154228A (zh) * | 2006-09-27 | 2008-04-02 | 西门子公司 | 一种分段模式匹配方法及其装置 |
| CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
| US20150326604A1 (en) * | 2014-05-08 | 2015-11-12 | Popo Technologies, Inc. | Rules based monitoring and intrusion detection system |
| US9225734B1 (en) * | 2014-09-10 | 2015-12-29 | Fortinet, Inc. | Data leak protection in upper layer protocols |
| CN105426474A (zh) * | 2015-11-18 | 2016-03-23 | 福建星网锐捷网络有限公司 | 统一资源定位符url匹配的方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600279A (zh) * | 2018-07-31 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN108600279B (zh) * | 2018-07-31 | 2020-09-25 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| WO2022048668A1 (zh) * | 2020-09-07 | 2022-03-10 | 中兴通讯股份有限公司 | 知识图谱构建方法和装置、检查方法、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| US7831822B2 (en) | Real-time stateful packet inspection method and apparatus | |
| KR102135024B1 (ko) | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 | |
| US10785130B2 (en) | Network infrastructure device to implement pre-filter rules | |
| US8307441B2 (en) | Log-based traceback system and method using centroid decomposition technique | |
| CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| CN107135093A (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
| Patil et al. | S-DDoS: Apache spark based real-time DDoS detection system | |
| CN110545250B (zh) | 一种多源攻击痕迹融合关联的溯源方法 | |
| US9160639B2 (en) | Network flow abnormality detection system and a method of the same | |
| CN1980240A (zh) | 数据流的模式匹配方法及装置 | |
| Kang et al. | A New Logging-based IP Traceback Approach using Data Mining Techniques. | |
| CN107659535A (zh) | 一种规则识别方法及装置 | |
| CN107360190B (zh) | 基于序列模式识别的木马通信行为检测方法 | |
| CN107426132A (zh) | 网络攻击的检测方法和装置 | |
| CN1223941C (zh) | 一种基于相关特征聚类的层次入侵检测系统 | |
| CN108366071A (zh) | Url异常定位方法、装置、服务器及存储介质 | |
| Zhao et al. | A Multi-threading Solution to Multimedia Traffic in NIDS Based on Hybrid Genetic Algorithm. | |
| Ogino | Evaluation of machine learning method for intrusion detection system on Jubatus | |
| CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| Deng et al. | Abnormal traffic detection of IoT terminals based on Bloom filter |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180202 |