CN114785601A - 规则匹配的优化方法及装置 - Google Patents
规则匹配的优化方法及装置 Download PDFInfo
- Publication number
- CN114785601A CN114785601A CN202210439731.0A CN202210439731A CN114785601A CN 114785601 A CN114785601 A CN 114785601A CN 202210439731 A CN202210439731 A CN 202210439731A CN 114785601 A CN114785601 A CN 114785601A
- Authority
- CN
- China
- Prior art keywords
- rule
- matching
- rule set
- message
- compiling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000005457 optimization Methods 0.000 title description 18
- 238000001914 filtration Methods 0.000 claims abstract description 44
- 230000008569 process Effects 0.000 claims abstract description 36
- 230000000694 effects Effects 0.000 claims description 76
- 238000012360 testing method Methods 0.000 claims description 18
- 238000012163 sequencing technique Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000000638 solvent extraction Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种规则匹配的优化方法和装置,该方法包括:根据初始规则集中各个规则的初始权重划分初始规则集为第一规则集和第二规则集;将各个待识别报文分别与第一规则集中的各个规则进行匹配,再将未与第一规则集中各个规则匹配成功的各个待识别报文与第二规则集中的各个规则进行匹配,统计各个规则的匹配成功次数;根据各个规则的匹配成功次数和初始权重,计算各个规则的第一权重;当第一规则集的过滤状态值小于过滤状态下降阈值时,根据各个规则的第一权重,调整第一规则集和第二规则集,直至调整后的第一规则集的过滤状态值不小于过滤状态下降阈值。应用该方法,可以减小匹配规则集的规模,优化规则匹配的过程,提高规则匹配性能。
Description
技术领域
本发明涉及数据处理的技术领域,特别是涉及一种规则匹配的优化方法及装置。
背景技术
随着银行数字化进程的不断加快和银行业务量的不断上升,与银行业务相关的数据流量急剧增长,对银行数据流量进行识别能够帮助银行识别恶意流量攻击,保护银行数据安全。
Hyperscan作为一个高性能的正则引擎,可以将待识别的数据与预设规则集中的各个规则进行多模式匹配,以实现对银行数据流量的识别。但是,随着银行数据流量的增长,需要进行识别的数据量及其相应的规则集的规模也会随之增大,成为系统吞吐量的瓶颈,而规则集中各个规则冗杂,使得Hyperscan匹配性能下降。
发明内容
有鉴于此,本发明提供一种规则匹配的优化方法,通过该方法,可以减小规则匹配过程中规则集的规模,减少匹配次数,提高规则匹配性能。
本发明还提供了一种规则匹配的优化装置,用以保证上述方法在实际中的实现及应用。
一种规则匹配的优化方法,包括:
获取预设的初始规则集,所述初始规则集包含各个规则;
确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集;
获取各个待识别报文,并基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数;
其中,规则匹配的过程包括:将每个所述待识别报文与所述第一规则集中的各个规则分别进行匹配;若该待识别报文与所述第一规则集中的任一规则满足预设的匹配条件,则该规则的匹配成功次数加一;若该待识别报文与所述第一规则集中的所有规则均不满足所述匹配条件,则将该待识别报文与所述第二规则集中的各个规则分别进行匹配,当该待识别报文与所述第二规则集中的任一规则满足所述匹配条件时,该规则的匹配成功次数加一;
根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个所述规则的第一权重;
若当前所述第一规则集的过滤状态值小于预设的过滤状态下降阈值,则根据当前各个所述规则的第一权重,调整当前所述第一规则集和所述第二规则集,直至调整后的第一规则集过滤状态值不小于所述过滤状态下降阈值。
上述的方法,可选的,所述调整当前所述第一规则集和所述第二规则集,包括:
获取当前所述第二规则集中的各个高活跃规则,各个所述高活跃规则组成待评估规则集,所述高活跃规则为第一权重大于预设权重阈值的规则;
根据当前所述第一规则集中各个规则的第一权重的大小,对所述第一规则集中的各个规则进行排序,并基于倒数序列取出预设数量的规则放入所述第二规则集中,得到预调整后的第一规则集和预调整后的第二规则集;
评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,并将所述预调整后的第二规则集中满足所述二级规则的各个高活跃规则取出,同时将取出的各个所述高活跃规则放入所述预调整后的第一规则集中,得到调整后的第一规则集和调整后的第二规则集。
上述的方法,可选的,所述评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,包括:
将所述待评估规则集中的每个高活跃规则与预设黑名单中的各个黑名单条件进行匹配,若该高活跃规则与各个所述黑名单条件均不匹配,且基于预设规则评分表,该高活跃规则的得分值大于预设得分阈值,则该高活跃规则满足所述二级规则。
上述的方法,可选的,所述确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设划分规则进行划分,生成第一规则集和第二规则集,包括:
获取预设时间段内预设的各个测试报文;
计算所述初始规则集中每条规则在所述时间段内与各个所述测试报文匹配成功的频率,得到该规则的初始权重;
按照所述初始规则集中各个规则的初始权重的大小顺序对所述初始规则集中各个规则进行排序;
根据各个规则在所述初始规则集中的顺序,将所述初始规则集划分为第一规则集和第二规则集。
上述的方法,可选的,所述基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数,包括:
调用Hyperscan将所述第一规则集和所述第二规则集中的每个规则编译为该规则对应的编译规则;所述第一规则集中各个规则对应的编译规则组成第一数据库,所述第二规则集中各个规则对应的编译规则组成第二数据库;
将每个所述待识别报文与所述第一数据库中的各个编译规则分别进行匹配;若该待识别报文与所述第一数据库中的任一编译规则满足预设的编译规则匹配条件,则该编译规则的匹配成功次数加一;
若该待识别报文与所述第一数据库中的所有编译规则均不满足所述编译规则匹配条件,则将该待识别报文与所述第二数据库中的各个编译规则分别进行匹配,当该待识别报文与所述第二数据库中的任一编译规则满足所述编译规则匹配条件时,该编译规则的匹配成功次数加一;
统计每个所述编译规则与各个所述待识别报文满足所述编译规则匹配条件的匹配成功次数,并根据该编译规则的匹配成功次数,确定该编译规则对应的规则与各个所述待识别报文匹配成功的匹配成功次数。
一种规则匹配的优化装置,包括:
获取单元,用于获取预设的初始规则集,所述初始规则集包含各个规则;
划分单元,用于确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集;
匹配单元,用于获取各个待识别报文,并基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数;
其中,规则匹配的过程包括:将每个所述待识别报文与所述第一规则集中的各个规则分别进行匹配;若该待识别报文与所述第一规则集中的任一规则满足预设的匹配条件,则该规则的匹配成功次数加一;若该待识别报文与所述第一规则集中的所有规则均不满足所述匹配条件,则将该待识别报文与所述第二规则集中的各个规则分别进行匹配,当该待识别报文与所述第二规则集中的任一规则满足所述匹配条件时,该规则的匹配成功次数加一;
计算单元,用于根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个所述规则的第一权重;
调整单元,用于若当前所述第一规则集的过滤状态值小于预设的过滤状态下降阈值,则根据当前各个所述规则的第一权重,调整当前所述第一规则集和所述第二规则集,直至调整后的第一规则集过滤状态值不小于所述过滤状态下降阈值。
上述的装置,可选的,所述调整单元,包括:
第一获取子单元,用于获取当前所述第二规则集中的各个高活跃规则,各个所述高活跃规则组成待评估规则集,所述高活跃规则为第一权重大于预设权重阈值的规则;
预调整子单元,用于根据当前所述第一规则集中各个规则的第一权重的大小,对所述第一规则集中的各个规则进行排序,并基于倒数序列取出预设数量的规则放入所述第二规则集中,得到预调整后的第一规则集和预调整后的第二规则集;
调整子单元,用于评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,并将所述预调整后的第二规则集中满足所述二级规则的各个高活跃规则取出,同时将取出的各个所述高活跃规则放入所述预调整后的第一规则集中,得到调整后的第一规则集和调整后的第二规则集。
上述的装置,可选的,所述调整子单元,具体用于:
将所述待评估规则集中的每个高活跃规则与预设黑名单中的各个黑名单条件进行匹配,若该高活跃规则与各个所述黑名单条件均不匹配,且基于预设规则评分表,该高活跃规则的得分值大于预设得分阈值,则该高活跃规则满足所述二级规则。
上述的装置,可选的,所述划分单元,包括:
第二获取子单元,用于获取预设时间段内预设的各个测试报文;
计算子单元,用于计算所述初始规则集中每条规则在所述时间段内与各个所述测试报文匹配成功的频率,得到该规则的初始权重;
排序子单元,用于按照所述初始规则集中各个规则的初始权重的大小顺序对所述初始规则集中各个规则进行排序;
划分子单元,用于根据各个规则在所述初始规则集中的顺序,将所述初始规则集划分为第一规则集和第二规则集。
上述的装置,可选的,所述匹配单元,包括:
编译子单元,用于调用Hyperscan将所述第一规则集和所述第二规则集中的每个规则编译为该规则对应的编译规则;所述第一规则集中各个规则对应的编译规则组成第一数据库,所述第二规则集中各个规则对应的编译规则组成第二数据库;
第一匹配子单元,用于将每个所述待识别报文与所述第一数据库中的各个编译规则分别进行匹配;若该待识别报文与所述第一数据库中的任一编译规则满足预设的编译规则匹配条件,则该编译规则的匹配成功次数加一;
第二匹配子单元,用于若该待识别报文与所述第一数据库中的所有编译规则均不满足所述编译规则匹配条件,则将该待识别报文与所述第二数据库中的各个编译规则分别进行匹配,当该待识别报文与所述第二数据库中的任一编译规则满足所述编译规则匹配条件时,该编译规则的匹配成功次数加一;
统计子单元,用于统计每个所述编译规则与各个所述待识别报文满足所述编译规则匹配条件的匹配成功次数,并根据该编译规则的匹配成功次数,确定该编译规则对应的规则与各个所述待识别报文匹配成功的匹配成功次数。
一种存储介质,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行上述的规则匹配的优化方法。
一种电子设备,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行上述的规则匹配的优化方法。
与现有技术相比,本发明包括以下优点:
基于本发明提供的实施例,在进行规则匹配的优化的过程中,获取初始规则集,并根据初始规则集中各个规则的初始权重,将初始规则集中的各个规则按照划分规则进行划分得到第一规则集和第二规则集;获取各个待识别报文,将各个待识别报文分别与第一规则集中的各个规则进行匹配,未与第一规则集中的各个规则再与第二规则集中的各个规则进行匹配,得到各个规则的匹配成功次数;根据各个规则匹配成功次数,调整各个规则的初始权重,得到各个规则的第一权重;若当前第一规则集的过滤状态值小于过滤状态下降阈值,则根据当前各个规则的第一权重,调整当前第一规则集和第二规则集,直至调整后的第一规则集过滤状态值不小于过滤状态下降阈值。
应用本发明提供的实施例,针对Hyperscan规则集“一次编译,一次匹配”的特性,基于匹配频率权值,把规则集划分第一规则集和第二规则集,通过先与第一规则集中的规则进行匹配、后与第二规则集中的规则进行匹配的方式来实现规则匹配的过程,以减小规则集的规模,减少匹配次数,优化规则匹配的过程,同时,基于Hyperscan匹配性能对第一规则集进行实时动态调整,能够提高规则匹配性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种规则匹配的优化方法的方法流程图;
图2为本发明实施例提供的一种规则匹配的优化方法的又一方法流程图;
图3为本发明实施例提供的一种规则匹配的优化方法的再一方法流程图;
图4为本发明实施例提供的一种规则匹配的优化装置的装置结构图;
图5为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明可用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
本发明实施例提供了一种规则匹配的优化方法,该方法可以应用在多种系统平台,其执行主体可以为计算机终端或各种移动设备的处理器,所述方法的方法流程图如图1所示,具体包括:
S101:获取预设的初始规则集,所述初始规则集包含各个规则。
S102:确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集。
本发明提供的实施例中,初始规则集有规则若干规则{R1,R2,…,Rn},现在从中分离出活跃规则集和非活跃规则集。
根据初始规则集中各个规则的初始权重,将初始规则集中的各个规则进行排序,根据设立的划分标准将已排序的初始规则集划分成第一规则集和第二规则集,第一规则集是活跃规则集,第二规则集是非活跃规则集,第一规则集中的各个规则的权重大于第二规则集中的权重。
其中,可选的,所述确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集,包括:
获取预设时间段内预设的各个测试报文;
计算所述初始规则集中每条规则在所述时间段内与各个所述测试报文匹配成功的频率,得到该规则的初始权重;
按照所述初始规则集中各个规则的初始权重的大小顺序对所述初始规则集中各个规则进行排序;
根据各个规则在所述初始规则集中的顺序,将所述初始规则集划分为第一规则集和第二规则集。
本发明实施例中,单条规则活跃程度,与单位时间内它的匹配数据报文次数成正比。用匹配频率作为权重可以体现单条规则在一段时间内的匹配次数高低。在某段时间间隔内,通过计数器对报文匹配情况进行统计。对初始规则集里单条规则Ri设置对应的单个计数器Pi,命中一个测试报文就Pi+1。直到匹配结束,就可以得到总测试报文数P和各个规则Ri匹配成功的测试报文数Pi。根据统计得到的单条规则在时间间隔内与各个测试报文匹配成功的次数,计算得到单位时间内该规则匹配测试报文的频率,得到该规则的初始权重,再根据各个规则的初始权重对初始规则集中的各个规则进行排序,并按照划分规则将已排序好的初始规则集划分为第一规则集和第二规则集。
根据权重进行排序时,为了进行优化,可以直接根据匹配成功的测试报文数Pi进行排序。
其中,划分标准可以是平分已排序好的初始规则集,也可以是初始规则集中权重大于某个值的各个规则组成第一规则集,即活跃规则集,初始规则集中权重小于某个值的各个规则组成第二规则集,即非活跃规则集,具体划分标准视情况而定,此处不做具体限定。
S103:获取各个待识别报文,并基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数。
其中,规则匹配的过程包括:将每个所述待识别报文与所述第一规则集中的各个规则分别进行匹配;若该待识别报文与所述第一规则集中的任一规则满足预设的匹配条件,则该规则的匹配成功次数加一;若该待识别报文与所述第一规则集中的所有规则均不满足所述匹配条件,则将该待识别报文与所述第二规则集中的各个规则分别进行匹配,当该待识别报文与所述第二规则集中的任一规则满足所述匹配条件时,该规则的匹配成功次数加一。
本发明提供的实施例中,在对数据流量识别的过程中,可以将待识别的数据流量,即待识别报文先与第一规则集,即活跃规则集中的各个规则分别进行匹配,如果待识别报文与第一规则集中的各个规则都不匹配,再将待识别报文与第二规则集,即非活跃规则集中的各个规则进行匹配,各个待识别报文均执行完匹配过程后,统计第一规则集和第二规则集中各个规则同各个待识别报文的匹配情况,每个规则与一个待识别报文匹配成功,则该规则的匹配成功次数加1。
其中,规则与待识别报文匹配成功,可以理解为规则与待识别报文满足匹配条件,还可以进一步理解为待识别报文满足所述规则中的条件,例如待识别报文中包含信息“人数为5”,而规则为“人数不超过10人”,则该待识别报文与规则匹配成功。
本发明提供的实施例中,如图2所示,可选的,所述基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数,包括:
S201:调用Hyperscan将所述第一规则集和所述第二规则集中的每个规则编译为该规则对应的编译规则。
其中,所述第一规则集中各个规则对应的编译规则组成第一数据库,所述第二规则集中各个规则对应的编译规则组成第二数据库。
调用Hyperscan正则引擎,将第一规则集和第二规则集中的各个规则进行编译可以满足多种需求的规则格式,编译后的规则成为编译规则。
S202:判断每个所述待识别报文与所述第一数据库中的任一编译规则是否满足预设的编译规则匹配条件。
将每个所述待识别报文与所述第一数据库中的各个编译规则分别进行匹配,若该待识别报文与所述第一数据库中的任一编译规则满足编译规则匹配条件,则执行S203;若该待识别报文与所述第一数据库中的所有编译规则均不满足编译规则匹配条件,则执行S204。
S203:该编译规则的匹配成功次数加一。
S204:将该待识别报文与所述第二数据库中的各个编译规则分别进行匹配,当该待识别报文与所述第二数据库中的任一编译规则满足所述编译规则匹配条件时,该编译规则的匹配成功次数加一。
可以理解的是,把初始规则集分成第一规则集、第二规则集后,再分别调用Hyperscan将第一规则集、第二规则集分别编译成第一数据库和第二数据库,第一数据库即活跃数据库,第二数据库即非活跃数据库。网络数据流中的各个待识别报文先利用活跃数据库进行第一次匹配过滤,无法与活跃数据库中的各个编译规则匹配成功的,再到非活跃数据库进行第二次过滤。如果第一数库和第二数据库中的每个编译规则与一个待识别报文匹配成功,则该编译规则的匹配成功次数加一。
其中,同S103相似,待识别报文同编译规则匹配成功可以理解为待识别报文和编译规则满足预设的编译规则匹配条件。
S205:统计每个所述编译规则与各个所述待识别报文满足所述编译规则匹配条件的匹配成功次数,并根据该编译规则的匹配成功次数,确定该编译规则对应的规则与各个所述待识别报文匹配成功的匹配成功次数。
因为每个编译规则由规则编译而来,所以统计每个编译规则的匹配成功次数,可以确定该编译规则对应的规则的匹配成功次数。
应用本发明实施例提供的方法,将初始数据集划分为活跃规则集和非活跃规则集,相比于用整个初始规则集编译成的数据库来进行规则匹配,网络数据流每次过来都要同时匹配所有的规则,规则集的规模变小,速度也变快。运用Hyperscan正则引擎编译各个规则,能够通过多模匹配满足所有规则的同时匹配,满足多种需求的规则格式,从而优化匹配过程。
S104:根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个所述规则的第一权重。
本发明提供的实施例中,可以根据某个时间段内每个规则和各个待识别报文匹配成功的次数,调整该规则的初始权重,得到该规则经过该段时间内的各个待识别报文匹配后的第一权重,可以理解为调整单位时间内规则的匹配成功频率。
S105:若当前所述第一规则集的过滤状态值小于预设的过滤状态下降阈值,则根据当前各个所述规则的第一权重,调整当前所述第一规则集和所述第二规则集,直至调整后的第一规则集过滤状态值不小于所述过滤状态下降阈值。
本发明提供的实施例中,结合Hyperscan的匹配性能因素,不断改进第一规则集,即活跃规则集的质量,如果低于一定的阈值就进行调整。设置T为过滤状态下降阈值,用来控制过滤状态值下降的幅度。因为网络流量的变化,第一规则集的实际过滤状态会慢慢发生下降,如果下降到一定程度,那么就需要对第一规则集做出更新。所以,本发明实施例中的动态调整判断算法设定,当满足当前第一规则集的实际过滤状态值比原设定过滤状态值低于T(设置为5%),则触发基于Hyperscan匹配性能的第一规则集动态调整算法,对第一规则集和第二规则集进行调整。
基于本发明提供的实施例,在进行规则匹配的优化的过程中,获取初始规则集,并根据初始规则集中各个规则的初始权重,将初始规则集中的各个规则按照划分规则进行划分得到第一规则集和第二规则集;获取各个待识别报文,将各个待识别报文分别与第一规则集中的各个规则进行匹配,未与第一规则集中的各个规则再与第二规则集中的各个规则进行匹配,得到各个规则的匹配成功次数;根据各个规则匹配成功次数,调整各个规则的初始权重,得到各个规则的第一权重;若当前第一规则集的过滤状态值小于过滤状态下降阈值,则根据当前各个规则的第一权重,调整当前第一规则集和第二规则集,直至调整后的第一规则集过滤状态值不小于过滤状态下降阈值。
应用本发明提供的实施例,针对Hyperscan规则集“一次编译,一次匹配”的特性,基于匹配频率权值,把初始规则集划分第一规则集和第二规则集,通过先与第一规则集中的规则进行匹配、后与第二规则集中的规则进行匹配的方式来实现规则匹配的过程,以减小规则集的规模,减少匹配次数,优化规则匹配的过程,同时,基于Hyperscan匹配性能对第一规则集进行实时动态调整,能够提高规则匹配性能。
本发明提供的实施例中,如图3所示,可选的,所述调整当前所述第一规则集和所述第二规则集,包括:
S301:获取当前所述第二规则集中的各个高活跃规则,各个所述高活跃规则组成待评估规则集,所述高活跃规则为第一权重大于预设权重阈值的规则。
S302:根据当前所述第一规则集中各个规则的第一权重的大小,对所述第一规则集中的各个规则进行排序,并基于倒数序列取出预设数量的规则放入所述第二规则集中,得到预调整后的第一规则集和预调整后的第二规则集。
具体的,对第一规则集和第二规则集,即对活跃规则集和非活跃规则集里面的各个规则分别按照规则第一权重进行重新排序,并把第二规则集中规则的第一权重高于第一规则集中的规则的第一权重的各个规则,视为高活跃规则,第二规则集所有的高活跃规则Ri构成集合待评估规则集,设共有t条高活跃规则组成的待评估规则集:{R1,R2,…,Rt}。将第一规则集中按第一权重排序后的各个排倒数的t条规则取出,放到第二规则集,得到预调整后的第一规则集和预调整后的第二规则集。
S303:评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,并将所述预调整后的第二规则集中满足所述二级规则的各个高活跃规则取出,同时将取出的各个所述高活跃规则放入所述预调整后的第一规则集中,得到调整后的第一规则集和调整后的第二规则集。
调用基于Hyperscan匹配效率的二级投票算法,对待评估规则集中的高活跃规则Rj进行Hyperscan匹配效率评估。高活跃规则Rj在任一级中没有满足条件就不进行放入预调整后的第一规则集,放回预调整后的第二规则集中,然后继续对待评估规则集的下一条规则Rj+1进行评估。如果高活跃规则Rj两级都通过,那么就顺利经过该算法的评估,将Rj放入到预调整后的第一规则集中,得到调整后的第一规则集和调整后的第二规则集。
应用本发明提供的实施例,通过第一规则集与第二规则集中权重的变化来动态调整第一规则集与第二规则集中的各个规则,可以达到优化规则集、提高深度报文检测引擎匹配性能的目的。
本发明提供的实施例中,可选的,所述评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,包括:
将所述待评估规则集中的每个高活跃规则与预设黑名单中的各个黑名单条件进行匹配,若该高活跃规则与各个所述黑名单条件均不匹配,且基于预设规则评分表,该高活跃规则的得分值大于预设得分阈值,则该高活跃规则满足所述二级规则。
具体的,评估待评估规则集中的各个高活跃规则主要采取分级投票的方法,基于两级的条件过滤,得出需要放入第一规则集中的各个高活跃规则。第一级条件表里面的条件为硬性黑名单,必须要不符合里面的任一条才可以进行下一级投票,否则直接不予交换。第二级条件表里面的条件,每一个都有一定的票分值,满足的二级条件的总票分值大过阈值,就允许规则放入第一规则集。各个所述条件表中的内容都可以根据效果来灵活调整,通过加入或者删除某些条件,设置不同的分值使得效果更好。
第一级条件表是硬性条件,如果一条规则满足第一级条件表里面的任一条件,它所带来的性能损耗,是要大于带来的活跃程度提升所带来的收益的,不值得把它归入第一规则集,即活跃规则集中。因此设定,如果满足其中一条,就不允许通过第一级投票。第一级条件表如表1:
表1
第二级条件表表示弹性条件,先要通过第一级条件表,即不命中第一级条件表中任一条件,才能继续进行下面的二级分值计算。通过对Hyperscan的匹配研究,主要有如表2第二级条件表中的以下几种情况。
表2
一般设置第二级投票总分值大于等于条件数就好,例如,表2中,总分值满足大于等于2则通过第二级条件表。其中,总分值为2有两种可能情况,第一种情况,规则长度和第一规则集,即活跃规则集的平均长度的比例为0~3,长度相近,得到票数分值2,通过二级投票。第二种情况,规则长度和第一规则集的平均长度的比例为3~10,长度虽然超过很多,但是满足条件二,文字占比也大,得到票数分值2。因为长的文字串很多时候是比短的正则性能要好,所以也通过二级投票。
应用本发明提供的实施例,采取分级投票的方法,可以量化各个因素影响Hyperscan性能的比例,用比较直观的思路去挑选所需交换的规则。用户还可以自定义交互条件,来灵活限定规则调整情况。
上述各个实施例的具体实施过程及其衍生方式,均在本发明的保护范围之内。
与图1所述的方法相对应,本发明实施例还提供了一种规则匹配的优化装置,用于对图1中方法的具体实现,本发明实施例提供的规则匹配的优化装置可以应用计算机终端或各种移动设备中,其结构示意图如图4所示,具体包括:
获取单元401,用于获取预设的初始规则集,所述初始规则集包含各个规则;
划分单元402,用于确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集;
匹配单元403,用于获取各个待识别报文,并基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数;
其中,规则匹配的过程包括:将每个所述待识别报文与所述第一规则集中的各个规则分别进行匹配;若该待识别报文与所述第一规则集中的任一规则满足预设的匹配条件,则该规则的匹配成功次数加一;若该待识别报文与所述第一规则集中的所有规则均不满足所述匹配条件,则将该待识别报文与所述第二规则集中的各个规则分别进行匹配,当该待识别报文与所述第二规则集中的任一规则满足所述匹配条件时,该规则的匹配成功次数加一;
计算单元404,用于根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个所述规则的第一权重;
调整单元405,用于若当前所述第一规则集的过滤状态值小于预设的过滤状态下降阈值,则根据当前各个所述规则的第一权重,调整当前所述第一规则集和所述第二规则集,直至调整后的第一规则集过滤状态值不小于所述过滤状态下降阈值。
基于本发明实施例提供的装置,在进行规则匹配的优化的过程中,由获取单元获取初始规则集,划分单元根据初始规则集中的各个规则的初始权重,将初始规则集中的各个规则按照划分规则进行划分,生成第一规则集和第二规则集;然后由匹配单元获取各个待识别报文,并将各个待识别报文与第一规则集中的各个规则分别进行匹配,再将各个未与第一规则集中各个规则匹配成功的规则与第二规则集中的各个规则分别进行匹配,统计各个规则与各个待识别报文匹配成功次数;由计算单元根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个规则的第一权重;若当前所述第一规则集的过滤状态值小于过滤状态下降阈值,则由调整单元根据当前各个规则的第一权重,调整当前第一规则集和第二规则集,直至调整后的第一规则集过滤状态值不小于过滤状态下降阈值。
应用本发明提供的规则匹配的优化装置,针对Hyperscan规则集“一次编译,一次匹配”的特性,基于匹配频率权值,把初始规则集划分第一规则集和第二规则集,通过先与第一规则集中的规则进行匹配、后与第二规则集中的规则进行匹配的方式来实现规则匹配的过程,以减小规则集的规模,减少匹配次数,优化规则匹配的过程,同时,基于Hyperscan匹配性能对第一规则集进行实时动态调整,能够提高规则匹配性能。
本发明实施例提供的装置,可选的,所述调整单元405,包括:
第一获取子单元,用于获取当前所述第二规则集中的各个高活跃规则,各个所述高活跃规则组成待评估规则集,所述高活跃规则为第一权重大于预设权重阈值的规则;
预调整子单元,用于根据当前所述第一规则集中各个规则的第一权重的大小,对所述第一规则集中的各个规则进行排序,并基于倒数序列取出预设数量的规则放入所述第二规则集中,得到预调整后的第一规则集和预调整后的第二规则集;
调整子单元,用于评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,并将所述预调整后的第二规则集中满足所述二级规则的各个高活跃规则取出,同时将取出的各个所述高活跃规则放入所述预调整后的第一规则集中,得到调整后的第一规则集和调整后的第二规则集。
本发明实施例提供的装置,可选的,所述调整子单元,具体用于:
将所述待评估规则集中的每个高活跃规则与预设黑名单中的各个黑名单条件进行匹配,若该高活跃规则与各个所述黑名单条件均不匹配,且基于预设规则评分表,该高活跃规则的得分值大于预设得分阈值,则该高活跃规则满足所述二级规则。
本发明实施例提供的装置,可选的,所述划分单元402,包括:
第二获取子单元,用于获取预设时间段内预设的各个测试报文;
计算子单元,用于计算所述初始规则集中每条规则在所述时间段内与各个所述测试报文匹配成功的频率,得到该规则的初始权重;
排序子单元,用于按照所述初始规则集中各个规则的初始权重的大小顺序对所述初始规则集中各个规则进行排序;
划分子单元,用于根据各个规则在所述初始规则集中的顺序,将所述初始规则集划分为第一规则集和第二规则集。
本发明实施例提供的装置,可选的,所述匹配单元403,包括:
编译子单元,用于调用Hyperscan将所述第一规则集和所述第二规则集中的每个规则编译为该规则对应的编译规则;所述第一规则集中各个规则对应的编译规则组成第一数据库,所述第二规则集中各个规则对应的编译规则组成第二数据库;
第一匹配子单元,用于将每个所述待识别报文与所述第一数据库中的各个编译规则分别进行匹配;若该待识别报文与所述第一数据库中的任一编译规则满足预设的编译规则匹配条件,则该编译规则的匹配成功次数加一;
第二匹配子单元,用于若该待识别报文与所述第一数据库中的所有编译规则均不满足所述编译规则匹配条件,则将该待识别报文与所述第二数据库中的各个编译规则分别进行匹配,当该待识别报文与所述第二数据库中的任一编译规则满足所述编译规则匹配条件时,该编译规则的匹配成功次数加一;
统计子单元,用于统计每个所述编译规则与各个所述待识别报文满足所述编译规则匹配条件的匹配成功次数,并根据该编译规则的匹配成功次数,确定该编译规则对应的规则与各个所述待识别报文匹配成功的匹配成功次数。
以上本发明实施例公开的规则匹配的优化装置中各个单元及子单元的具体工作过程,可参见本发明上述实施例公开的规则匹配的优化方法中的对应内容,这里不再进行赘述。
本发明实施例还提供了一种存储介质,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行上述规则匹配的优化方法。
本发明实施例还提供了一种电子设备,其结构示意图如图5所示,具体包括存储器501,以及一个或者一个以上的指令502,其中一个或者一个以上指令502存储于存储器501中,且经配置以由一个或者一个以上处理器503执行所述一个或者一个以上指令502进行以下操作:
获取预设的初始规则集,所述初始规则集包含各个规则;
确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集;
获取各个待识别报文,并基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数;
其中,规则匹配的过程包括:将每个所述待识别报文与所述第一规则集中的各个规则分别进行匹配;若该待识别报文与所述第一规则集中的任一规则满足预设的匹配条件,则该规则的匹配成功次数加一;若该待识别报文与所述第一规则集中的所有规则均不满足所述匹配条件,则将该待识别报文与所述第二规则集中的各个规则分别进行匹配,当该待识别报文与所述第二规则集中的任一规则满足所述匹配条件时,该规则的匹配成功次数加一;
根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个所述规则的第一权重;
若当前所述第一规则集的过滤状态值小于预设的过滤状态下降阈值,则根据当前各个所述规则的第一权重,调整当前所述第一规则集和所述第二规则集,直至调整后的第一规则集过滤状态值不小于所述过滤状态下降阈值。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现。
为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种规则匹配的优化方法,其特征在于,包括:
获取预设的初始规则集,所述初始规则集包含各个规则;
确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集;
获取各个待识别报文,并基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数;
其中,规则匹配的过程包括:将每个所述待识别报文与所述第一规则集中的各个规则分别进行匹配;若该待识别报文与所述第一规则集中的任一规则满足预设的匹配条件,则该规则的匹配成功次数加一;若该待识别报文与所述第一规则集中的所有规则均不满足所述匹配条件,则将该待识别报文与所述第二规则集中的各个规则分别进行匹配,当该待识别报文与所述第二规则集中的任一规则满足所述匹配条件时,该规则的匹配成功次数加一;
根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个所述规则的第一权重;
若当前所述第一规则集的过滤状态值小于预设的过滤状态下降阈值,则根据当前各个所述规则的第一权重,调整当前所述第一规则集和所述第二规则集,直至调整后的第一规则集过滤状态值不小于所述过滤状态下降阈值。
2.根据权利要求1所述的方法,其特征在于,所述调整当前所述第一规则集和所述第二规则集,包括:
获取当前所述第二规则集中的各个高活跃规则,各个所述高活跃规则组成待评估规则集,所述高活跃规则为第一权重大于预设权重阈值的规则;
根据当前所述第一规则集中各个规则的第一权重的大小,对所述第一规则集中的各个规则进行排序,并基于倒数序列取出预设数量的规则放入所述第二规则集中,得到预调整后的第一规则集和预调整后的第二规则集;
评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,并将所述预调整后的第二规则集中满足所述二级规则的各个高活跃规则取出,同时将取出的各个所述高活跃规则放入所述预调整后的第一规则集中,得到调整后的第一规则集和调整后的第二规则集。
3.根据权利要求2所述的方法,其特征在于,所述评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,包括:
将所述待评估规则集中的每个高活跃规则与预设黑名单中的各个黑名单条件进行匹配,若该高活跃规则与各个所述黑名单条件均不匹配,且基于预设规则评分表,该高活跃规则的得分值大于预设得分阈值,则该高活跃规则满足所述二级规则。
4.根据权利要求1所述的方法,其特征在于,所述确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设划分规则进行划分,生成第一规则集和第二规则集,包括:
获取预设时间段内预设的各个测试报文;
计算所述初始规则集中每条规则在所述时间段内与各个所述测试报文匹配成功的频率,得到该规则的初始权重;
按照所述初始规则集中各个规则的初始权重的大小顺序对所述初始规则集中各个规则进行排序;
根据各个规则在所述初始规则集中的顺序,将所述初始规则集划分为第一规则集和第二规则集。
5.根据权利要求1所述的方法,其特征在于,所述基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数,包括:
调用Hyperscan将所述第一规则集和所述第二规则集中的每个规则编译为该规则对应的编译规则;所述第一规则集中各个规则对应的编译规则组成第一数据库,所述第二规则集中各个规则对应的编译规则组成第二数据库;
将每个所述待识别报文与所述第一数据库中的各个编译规则分别进行匹配;若该待识别报文与所述第一数据库中的任一编译规则满足预设的编译规则匹配条件,则该编译规则的匹配成功次数加一;
若该待识别报文与所述第一数据库中的所有编译规则均不满足所述编译规则匹配条件,则将该待识别报文与所述第二数据库中的各个编译规则分别进行匹配,当该待识别报文与所述第二数据库中的任一编译规则满足所述编译规则匹配条件时,该编译规则的匹配成功次数加一;
统计每个所述编译规则与各个所述待识别报文满足所述编译规则匹配条件的匹配成功次数,并根据该编译规则的匹配成功次数,确定该编译规则对应的规则与各个所述待识别报文匹配成功的匹配成功次数。
6.一种规则匹配的优化装置,其特征在于,包括:
获取单元,用于获取预设的初始规则集,所述初始规则集包含各个规则;
划分单元,用于确定每个所述规则的初始权重,并根据各个所述规则的初始权重,将所述初始规则集中的各个所述规则按照预设的划分规则进行划分,生成第一规则集和第二规则集;
匹配单元,用于获取各个待识别报文,并基于各个所述待识别报文,执行规则匹配的过程,得到各个所述规则的匹配成功次数;
其中,规则匹配的过程包括:将每个所述待识别报文与所述第一规则集中的各个规则分别进行匹配;若该待识别报文与所述第一规则集中的任一规则满足预设的匹配条件,则该规则的匹配成功次数加一;若该待识别报文与所述第一规则集中的所有规则均不满足所述匹配条件,则将该待识别报文与所述第二规则集中的各个规则分别进行匹配,当该待识别报文与所述第二规则集中的任一规则满足所述匹配条件时,该规则的匹配成功次数加一;
计算单元,用于根据各个所述规则的初始权重以及各个所述规则的匹配成功次数,计算各个所述规则的第一权重;
调整单元,用于若当前所述第一规则集的过滤状态值小于预设的过滤状态下降阈值,则根据当前各个所述规则的第一权重,调整当前所述第一规则集和所述第二规则集,直至调整后的第一规则集过滤状态值不小于所述过滤状态下降阈值。
7.根据权利要求6所述的装置,其特征在于,所述调整单元,包括:
第一获取子单元,用于获取当前所述第二规则集中的各个高活跃规则,各个所述高活跃规则组成待评估规则集,所述高活跃规则为第一权重大于预设权重阈值的规则;
预调整子单元,用于根据当前所述第一规则集中各个规则的第一权重的大小,对所述第一规则集中的各个规则进行排序,并基于倒数序列取出预设数量的规则放入所述第二规则集中,得到预调整后的第一规则集和预调整后的第二规则集;
调整子单元,用于评估所述待评估规则集中的各个高活跃规则是否满足预设的二级规则,并将所述预调整后的第二规则集中满足所述二级规则的各个高活跃规则取出,同时将取出的各个所述高活跃规则放入所述预调整后的第一规则集中,得到调整后的第一规则集和调整后的第二规则集。
8.根据权利要求7所述的装置,其特征在于,所述调整子单元,具体用于:
将所述待评估规则集中的每个高活跃规则与预设黑名单中的各个黑名单条件进行匹配,若该高活跃规则与各个所述黑名单条件均不匹配,且基于预设规则评分表,该高活跃规则的得分值大于预设得分阈值,则该高活跃规则满足所述二级规则。
9.根据权利要求6所述的装置,其特征在于,所述划分单元,包括:
第二获取子单元,用于获取预设时间段内预设的各个测试报文;
计算子单元,用于计算所述初始规则集中每条规则在所述时间段内与各个所述测试报文匹配成功的频率,得到该规则的初始权重;
排序子单元,用于按照所述初始规则集中各个规则的初始权重的大小顺序对所述初始规则集中各个规则进行排序;
划分子单元,用于根据各个规则在所述初始规则集中的顺序,将所述初始规则集划分为第一规则集和第二规则集。
10.根据权利要求6所述的装置,其特征在于,所述匹配单元,包括:
编译子单元,用于调用Hyperscan将所述第一规则集和所述第二规则集中的每个规则编译为该规则对应的编译规则;所述第一规则集中各个规则对应的编译规则组成第一数据库,所述第二规则集中各个规则对应的编译规则组成第二数据库;
第一匹配子单元,用于将每个所述待识别报文与所述第一数据库中的各个编译规则分别进行匹配;若该待识别报文与所述第一数据库中的任一编译规则满足预设的编译规则匹配条件,则该编译规则的匹配成功次数加一;
第二匹配子单元,用于若该待识别报文与所述第一数据库中的所有编译规则均不满足所述编译规则匹配条件,则将该待识别报文与所述第二数据库中的各个编译规则分别进行匹配,当该待识别报文与所述第二数据库中的任一编译规则满足所述编译规则匹配条件时,该编译规则的匹配成功次数加一;
统计子单元,用于统计每个所述编译规则与各个所述待识别报文满足所述编译规则匹配条件的匹配成功次数,并根据该编译规则的匹配成功次数,确定该编译规则对应的规则与各个所述待识别报文匹配成功的匹配成功次数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210439731.0A CN114785601B (zh) | 2022-04-25 | 2022-04-25 | 规则匹配的优化方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210439731.0A CN114785601B (zh) | 2022-04-25 | 2022-04-25 | 规则匹配的优化方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114785601A true CN114785601A (zh) | 2022-07-22 |
| CN114785601B CN114785601B (zh) | 2024-06-11 |
Family
ID=82433313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210439731.0A Active CN114785601B (zh) | 2022-04-25 | 2022-04-25 | 规则匹配的优化方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114785601B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378810A (zh) * | 2022-08-22 | 2022-11-22 | 深圳奇迹智慧网络有限公司 | 一种规则动态更新方法、装置、计算机设备和存储介质 |
| CN117792804A (zh) * | 2024-02-28 | 2024-03-29 | 成都九洲电子信息系统股份有限公司 | 基于位图和预过滤的网络威胁筛选方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7792850B1 (en) * | 2007-07-27 | 2010-09-07 | Sonicwall, Inc. | On-the-fly pattern recognition with configurable bounds |
| CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
| US20150293837A1 (en) * | 2014-04-14 | 2015-10-15 | International Business Machines Corporation | Risk-based test coverage and prioritization |
| CN106790068A (zh) * | 2016-12-21 | 2017-05-31 | 西安兖矿科技研发设计有限公司 | 一种用于加速工控防火墙规则匹配的方法 |
| CN109450886A (zh) * | 2018-10-30 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种域名识别方法、系统及电子设备和存储介质 |
| WO2021063089A1 (zh) * | 2019-09-30 | 2021-04-08 | 华为技术有限公司 | 规则匹配方法、规则匹配装置、存储介质及电子设备 |
| CN113220687A (zh) * | 2021-05-21 | 2021-08-06 | 中国农业银行股份有限公司 | 规则处理方法、装置及设备 |
-
2022
- 2022-04-25 CN CN202210439731.0A patent/CN114785601B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7792850B1 (en) * | 2007-07-27 | 2010-09-07 | Sonicwall, Inc. | On-the-fly pattern recognition with configurable bounds |
| CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
| US20150293837A1 (en) * | 2014-04-14 | 2015-10-15 | International Business Machines Corporation | Risk-based test coverage and prioritization |
| CN106790068A (zh) * | 2016-12-21 | 2017-05-31 | 西安兖矿科技研发设计有限公司 | 一种用于加速工控防火墙规则匹配的方法 |
| CN109450886A (zh) * | 2018-10-30 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种域名识别方法、系统及电子设备和存储介质 |
| WO2021063089A1 (zh) * | 2019-09-30 | 2021-04-08 | 华为技术有限公司 | 规则匹配方法、规则匹配装置、存储介质及电子设备 |
| CN113220687A (zh) * | 2021-05-21 | 2021-08-06 | 中国农业银行股份有限公司 | 规则处理方法、装置及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 吕海涛;梁祖华;: "基于防火墙规则匹配优化算法的研究", 计算机安全, no. 03, 15 March 2008 (2008-03-15) * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378810A (zh) * | 2022-08-22 | 2022-11-22 | 深圳奇迹智慧网络有限公司 | 一种规则动态更新方法、装置、计算机设备和存储介质 |
| CN117792804A (zh) * | 2024-02-28 | 2024-03-29 | 成都九洲电子信息系统股份有限公司 | 基于位图和预过滤的网络威胁筛选方法及系统 |
| CN117792804B (zh) * | 2024-02-28 | 2024-06-11 | 成都九洲电子信息系统股份有限公司 | 基于位图和预过滤的网络威胁筛选方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114785601B (zh) | 2024-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114785601A (zh) | 规则匹配的优化方法及装置 | |
| CN110032583B (zh) | 一种欺诈团伙识别方法、装置、可读存储介质及终端设备 | |
| CN110929145A (zh) | 舆情分析方法、装置、计算机装置及存储介质 | |
| CN108985048B (zh) | 模拟器识别方法及相关装置 | |
| CN105893351B (zh) | 语音识别方法及装置 | |
| CN111754982A (zh) | 语音通话的噪声消除方法、装置、电子设备及存储介质 | |
| CN114186053B (zh) | 一种用于事件消息的发送方法 | |
| CN112085087A (zh) | 业务规则生成的方法、装置、计算机设备及存储介质 | |
| CN108076032B (zh) | 一种异常行为用户识别方法及装置 | |
| CN110796591A (zh) | 一种gpu卡的使用方法及相关设备 | |
| CN112767028B (zh) | 一种活跃用户数量的预测方法、计算机设备及存储介质 | |
| Ying et al. | FrauDetector+ An Incremental Graph-Mining Approach for Efficient Fraudulent Phone Call Detection | |
| CN109344232A (zh) | 一种舆情信息检索方法及终端设备 | |
| CN108876592A (zh) | 一种信用风险预估方法和系统、存储介质 | |
| WO2004097560A3 (en) | Systems and methods for investment decision support | |
| CN117236999A (zh) | 一种活跃度确定方法、装置、电子设备及存储介质 | |
| US20190065965A1 (en) | System and method of providing news analysis using artifical intelligence | |
| CN113891323B (zh) | 一种基于WiFi的用户标签获取系统 | |
| CN107665443B (zh) | 获取目标用户的方法及装置 | |
| CN113254919B (zh) | 异常设备识别方法、电子设备和计算机可读存储介质 | |
| CN112507185B (zh) | 用户肖像的确定方法和装置 | |
| CN109614617B (zh) | 支持极性区分和多义的词向量生成方法及装置 | |
| CN114024912A (zh) | 一种基于改造chameleon算法的网络流量应用识别分析方法及系统 | |
| CN109308565B (zh) | 人群绩效等级识别方法、装置、存储介质及计算机设备 | |
| US10552459B2 (en) | Classifying a document using patterns |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |