[发明专利]一种网络数据包检测方法、装置、终端及存储介质

权利要求书

1.一种网络数据包检测方法，其特征在于，所述方法包括：

从第一规则集合的规则中提取对应的关键字，得到关键字集合；

确定所述关键字对应的变换函数集合；确定所述变换函数集合中包含的变换函数的种类；基于所述变换函数的种类确定待创建的映射表的数量；创建大于或等于所述数量的映射关系，以形成所述映射表，所述映射关系对应所述关键字集合中的所述关键字与所述第一规则集合中的规则；

基于所述映射表中包含的所述变换函数对网络数据包进行转换，得到转换后的所述网络数据包；将所述转换后的网络数据包，与所述第一规则集合中的规则进行匹配；将在所述第一规则集合中匹配到的规则确定为第一目标规则；

对所述网络数据包执行所述第一目标规则对应的操作。

2.如权利要求1中所述的方法，其特征在于，在所述从第一规则集合的规则中提取对应的关键字，得到关键字集合之前，所述方法还包括：

确定预设规则库中包含操作符或自定义字符的第二规则集合；

利用所述预设规则库中除所述第二规则集合之外的规则，形成所述第一规则集合。

3.如权利要求2中所述的方法，其特征在于，所述方法还包括：

将所述网络数据包与所述第二规则集合中的每一规则包含的字符进行匹配，以确定在所述第二规则集合中匹配到的第二目标规则；

对所述网络数据包执行所述第二目标规则对应的操作。

4.如权利要求1中所述的方法，其特征在于，所述从第一规则集合的规则中提取对应的关键字，包括：

提取所述第一规则集合的规则中包含于生僻字符集合的关键字；

提取所述第一规则集合的规则中未包含于所述生僻字符集合中的关键字。

5.如权利要求1中所述的方法，其特征在于，从第一规则集合的规则中提取对应的关键字之前，所述方法还包括：

将所述第一规则集合的规则中的空白字符替换为空格，并将连续的空格进行合并。

6.如权利要求1中所述的方法，其特征在于，在所述从第一规则集合的规则中提取对应的关键字之后，所述方法还包括：

当所述关键字为采用预设编码方式进行编码的字符时，将所述预设编码方式对应的头部字符添加在所述关键字的头部。

7.如权利要求1中所述的方法，其特征在于，所述方法还包括：

当所述规则中的关键字对应的变换函数的被使用次数小于预设次数阈值时，从所述第一规则集合中删除所述规则。

8.如权利要求1中所述的方法，其特征在于，在所述创建用于表示映射关系的映射表之后，所述方法还包括：

确定所述网络数据包的封装结构中的待检测部分的结构体；

将所述待检测部分对应存储信息，存储到所述结构体中对应的位置。

9.如权利要求8中所述的方法，其特征在于，所述方法还包括：

将所述关键字集合中关键字的编号、所述关键字对应的文本和所述关键字对应规则的索引，存储到所述结构体中对应的位置。

10.如权利要求1中所述的方法，其特征在于，在所述对所述网络数据包执行所述第一目标规则对应的操作之前，所述方法还包括：

创建列数与所述第一规则集合中规则的数量相同的第一点阵图和第二点阵图；

其中，所述第一点阵图和所述第二点阵图均为一维向量；所述第一点阵图用于记录与网络数据包进行匹配之后的关键字；所述第二点阵图用于记录所述与网络数据包进行匹配之后的关键字对应的目标规则的索引。