[发明专利]网络安全扫描规则集的约减方法及装置

说明书

网络安全扫描规则集的约减方法及装置涉及信息技术领域。本发明由规则分类器、分类规则暂存器、字符串提取器、正则表达式提取器、字符串映射规则集合和正则表达式映射规则集合组成。本发明对文本规则进行二次转换处理：读取规则文件进行字段解析、提取、整理、聚类、输出。对输出的字段再加载，采用一次性匹配算法或聚类匹配算法执行匹配过程，改善逐条进行规则匹配效率低的问题。

技术领域

本发明涉及信息技术领域。

背景技术

规则扫描引擎是一种嵌入在应用程序中的组件，实现将业务决策从应用程序代码中分离出来，并使用预定义的语义模块编写业务决策。具体执行可以分为接受数据输入、解释业务规则、根据业务规则做出业务决策几个过程。使用规则扫描引擎可以把复杂、冗余的业务逻辑同应用支撑系统分离开，做到系统架构的可复用移植。规则扫描引擎通常允许用户在不重新启动系统或部署新的可执行代码的情况下调整规则，从而实现业务处理能力的变化。规则扫描引擎旨在成为一个提供更高级别抽象的工具，以便用户可以更少地关注开发细节。网络安全扫描规则是安全扫描引擎的检测依据，它是对网络攻击的模式匹配的描述，主要包含特征串、正则表达式及逻辑表达式构成。特征串、正则表达式匹配是规则引擎的主要工作。

MTX（Meta-info Tuning eXtreme）是用于网络报文分析和检测的标准规范文档，由国家计算机网络与信息安全管理中心提出并归口。MTX规范定义了规则的编写格式、协议类型、数据类型、运算符、常量、变量、变量类型、表达式、函数等语法规范。用户可以采用MTX语法针对影响网络安全的病毒、木马、僵尸、后门、网页仿冒、移动互联网等恶意代码编写MTX规则，MTX规则经编译后动态更新到运行的系统当中，用于实时对网络报文进行分析和检测，并记录预警事件。

每条MTX规则都包括下列内容：

1）规则id：最长11位的整数；

2）规则名称：字符串，长度不大于500个字符；

3）协议：规则所属的协议类型，如：ip、ipv6、tcp、udp、http、dns、tcpstream；

4）按包/流匹配： packet – 按单包匹配，stream --按流匹配，目前该配置未生效；

5）匹配条件：需要匹配的内容；

6）响应动作：匹配后的执行动作；

7）日志是否反向：0-不反向；1-将正常的ip方向调换后上报；

8）日志上报位置：上报国家中心或分中心；

9）安全事件类型；

10）响应方式；

11）安全级别；

12）优先级；

其中8）~12）为后端系统使用，监测系统前端不涉及。

MTX规则举例如下：

111 xxx tcp packet tcp.payload.len200 event(tcp.payload) 0 3 12alert 0 6

表示该规则编号为111，名称为xxx，优先级为6，规则对tcp协议进行单包匹配，tcp.payload长度大于200字节时，生成事件监测日志，并将tcp.payload作为返回值写入事件监测日志。

MTX规范定义了规则的语法规范，但没有定义具体的实现案例和匹配算法。采用逐条方式实现规则匹配的方案，匹配效率低，不能用于商业环境当中，所以需要对MTX规则的匹配算法进行优化。