[发明专利]一种基于规则的报文检测方法和装置

说明书

本申请提供一种基于规则的报文检测方法和装置，所述方法应用于防护引擎，该方法中，通过第一分类器检测报文中是否包含各个类型的攻击报文的关键字，若包含，则确定报文为第一疑似攻击报文，并且确定报文的疑似攻击类型为第一疑似攻击；第一分类器确定与第一疑似攻击的属性信息对应的第二分类器，并将报文传输至第二分类器；各个第二分类器分别检测报文中是否包含与第一疑似攻击相对应的属性信息，若包含，第二分类器确定是否完成检测；若确定完成检测，则确定报文为攻击报文。在此过程中，该报文只需与特定的一个或者几个分类器中包含的规则相匹配，即能得出检测结果，与现有技术相比，减少了与报文匹配的规则数量，从而提高防护引擎的性能。

技术领域

本申请涉及信息安全技术领域，具体涉及一种基于规则的报文检测方法和装置。

背景技术

为了防止攻击者对服务器的攻击，通常在服务器与客户端之间设置防护引擎。客户端访问网站中的目标网页，需要向网站的服务器发送报文，报文在发送至服务器的过程中，首先经过防护引擎，防护引擎检测该报文是否为攻击报文，若该报文为攻击报文，则拒绝报文继续发送至服务器；若报文为正常报文，则允许报文继续发送至服务器。

现有技术中，通过在防护引擎内部设置规则来检测报文是否为攻击报文。由于攻击报文存在多种类型，所以需要在防护引擎中设置多条与报文的攻击类型对应的规则。防护引擎在接收到客户端发送的报文之后，将报文与规则逐条进行匹配，若报文与全部规则均不匹配，则说明报文是正常报文；若报文与其中一条规则匹配，则说明报文是攻击报文。

但是，发明人在本申请的研究过程中发现，防护引擎通过现有技术对报文进行检测时，往往需要将报文与多条规则进行匹配，才能获取该报文的检测结果，导致防护引擎存在检测性能较低的问题。例如，一条报文需要与防护引擎中所有规则全部匹配之后，才能确定该报文是否为正常报文；另外，即使该报文为攻击报文，通常也需要将该报文与多条规则进行匹配之后，才能将该报文与目标规则匹配到。因此，若将报文与其不匹配的规则相匹配的过程作为无效检测，该报文无论是正常报文还是攻击报文，都需要经过多次无效检测，才能得出检测结果，耗时较长，从而导致防护引擎的性能较低。

发明内容

本申请提供一种基于规则的报文检测方法和装置，以解决现有技术中，无论是正常报文还是攻击报文，都需要经过多次无效检测，才能得出检测结果，耗时较长，从而导致防护引擎的性能较低的问题。

本申请的第一方面，提供一种基于规则的报文检测方法，所述方法应用于防护引擎，所述方法包括：

第一分类器获取客户端发送的报文，并检测所述报文中是否包含各个类型的攻击报文的关键字；

若所述报文中包含第一类型的攻击报文的关键字，所述第一分类器确定所述报文为第一疑似攻击报文，并且确定所述报文的疑似攻击类型为第一疑似攻击，所述第一疑似攻击为所述第一疑似攻击报文的关键字对应的类型；

所述第一分类器确定与所述第一疑似攻击的属性信息对应的第二分类器，并将所述报文传输至各个所述第二分类器；

各个所述第二分类器分别检测所述报文中是否包含与所述第一疑似攻击相对应的属性信息；

若所述报文中包含与所述第一疑似攻击相对应的属性信息，所述第二分类器确定是否完成检测；

若确定完成检测，所述第二分类器确定所述报文为攻击报文。

可选的，所述第一分类器检测所述报文中是否包含各个类型的攻击报文的关键字，包括：

所述第一分类器提取所述报文中各个字段；

所述第一分类器将所述字段中包含的关键字依次与第一分类器中的各条规则相匹配；

若所述字段中包含的关键字与所述第一分类器中的目标规则相匹配，所述第一分类器确定所述报文中包含攻击报文的关键字。