[发明专利]一种网络数据包检测方法、装置、终端及存储介质

说明书

本申请实施例提供一种网络数据包检测方法、装置、终端及存储介质，其中，所述方法包括：从第一规则集合的规则中提取对应的关键字，得到关键字集合；创建用于表示映射关系的映射表，所述映射关系对应所述关键字集合中的所述关键字与所述第一规则集合中的规则；基于所述映射表对网络数据包进行匹配，以确定在所述第一规则集合中匹配到的第一目标规则；对所述网络数据包执行所述第一目标规则对应的操作；本申请实施例能够提升对网络数据包进行匹配的效率。

技术领域

本申请涉及网络安全技术，涉及但不限于一种网络数据包检测方法、装置、终端及存储介质。

背景技术

网络应用程序防火墙（Modsecurity）按照超文本传输协议（Hyper Text TransferProtocol，HTTP）处理网络数据包的过程有4个部分：请求头、请求体、响应头和响应体；Modsecurity按照这4个部分依次分别进行规则匹配，每个阶段都有各自所属的规则集，在每个阶段中，规则的匹配都是串行的。绝大多数情况下，HTTP数据只会匹配少数规则，在规则增多以及请求中参数比较多的时候，串行的匹配方式会遍历防护站点下面所有的安全规则，匹配耗时较长会直接导致网站应用级入侵防御系统（Web Application Firewall，WAF）的性能明显下降。

发明内容

本申请实施例提供一种网络数据包检测方法、装置、终端及存储介质，能够减少匹配的规则的数量，提高规则匹配的效率。

本申请实施例的技术方案是这样实现的：

本申请实施例提供一种网络数据包检测方法，所述方法包括：

从第一规则集合的规则中提取对应的关键字，得到关键字集合；

创建用于表示映射关系的映射表，所述映射关系对应所述关键字集合中的所述关键字与所述第一规则集合中的规则；

基于所述映射表对网络数据包进行匹配，以确定在所述第一规则集合中匹配到的第一目标规则；

对所述网络数据包执行所述第一目标规则对应的操作。

本申请实施例提供一种网络数据包检测装置，所述装置包括：第一提取模块、第一创建模块、第一匹配模块和第一执行模块，其中：

所述第一提取模块，用于从第一规则集合的规则中提取对应的关键字，得到关键字集合；

所述第一创建模块，用于创建用于表示映射关系的映射表，所述映射关系对应所述关键字集合中的所述关键字与所述第一规则集合中的规则；

所述第一匹配模块，用于基于所述映射表对网络数据包进行匹配，以确定在所述第一规则集合中匹配到的第一目标规则；

所述第一执行模块，用于对所述网络数据包执行所述第一目标规则对应的操作。

本申请实施例提供一种设备，所述设备至少包括：控制器和配置为存储可执行指令的存储介质，其中：

控制器配置为执行存储的可执行指令，所述可执行指令配置为执行上述提供的网络数据包检测方法。

本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可读存储介质中存储有计算机可执行指令，该计算机可执行指令配置为执行上述提供的网络数据包检测方法。