[发明专利]规则匹配方法和装置、计算机可读存储介质

权利要求书

1.一种规则匹配方法，包括：

对规则进行读取和预处理；

构建规则分解大顶堆模型；

采用规则分解大顶堆模型，对流量数据和安全规则进行匹配；

根据流量数据的匹配情况，更新规则分解大顶堆模型的规则权重。

2.根据权利要求1所述的规则匹配方法，其中，所述对规则进行读取和预处理包括：

从规则库中读取规则集合，其中，规则的属性包括规则标识、正则表达式字符串和事件类型编码，事件类型编码用于标记规则对应的事件类型；

根据事件类型编码对规则集合进行分类；

对每个事件类型编码所属规则集合初始化一个相同权值；

将每个事件类型编码所属规则集合的正则文本进行文本分词处理，去重后用特定符合连接起来，作为该所属规则集合的前置条件正则表达式。

3.根据权利要求2所述的规则匹配方法，其中，所述构建规则分解大顶堆模型包括：

构建规则分解大顶堆模型，其中，规则分解大顶堆模型包括三层架构，其中：

第一层为模型根结点，模型根结点为输入节点，采用规则分解树对象标识；

第二层为事件类型编码结点，为每个事件类型编码创建一个事件类型编码结点，将该所属规则集合的前置条件正则表达式作为该事件类型编码结点的正则表达式；

第三层为一个由所属规则集合形成的大顶堆，所述大顶堆连接在事件类型编码结点的下游，为每个规则创建一个规则结点，通过堆排序算法根据规则的权值构建成大顶堆。

4.根据权利要求3所述的规则匹配方法，其中，所述采用规则分解大顶堆模型，对流量数据和安全规则进行匹配包括：

从原始数据表中读取分析时间范围内的流量数据，遍历每一条流量数据；

针对每一条流量数据，使用规则分解大顶堆模型进行规则匹配。

5.根据权利要求4所述的规则匹配方法，其中，所述针对每一条流量数据，使用规则分解大顶堆模型进行规则匹配包括：

针对每一条流量数据，将该流量数据传递到事件类型编码结点层；

遍历所有事件类型编码结点，判断流量数据是否命中一个事件类型编码结点；

在流量数据命中一个事件类型编码结点的情况下，将该流量数据传递到大顶堆根结点，以广度优先遍历的方式与大顶堆中的规则子集进行匹配；

在该流量数据命中规则子集中一个规则的情况下，终止该条数据的匹配过程，将该流量数据缓存到所命中的规则结点的匹配结果缓存中。

6.根据权利要求5所述的规则匹配方法，还包括：

在一个规则结点的匹配结果缓存中所缓存的数据量大于预定阈值的情况下，将产生的一批安全事件数据存入时间结果数据库。

7.根据权利要求1-6中任一项所述的规则匹配方法，其中，所述根据流量数据的匹配情况，更新规则分解大顶堆模型的规则权重包括：

在匹配完批量流量数据的情况下，根据该批次流量数据的匹情况更新规则分解大顶堆模型的规则权重；

利用堆排序的方式根据新权重参数重新调节大顶堆的结点排列。

8.根据权利要求7所述的规则匹配方法，其中，所述根据该批次流量数据的匹情况更新规则分解大顶堆模型的规则权重包括：

针对每一个规则结点，根据数据命中该规则的概率、该规则的平均匹配时长、和该规则正则表达式的字符串长度，确定该规则的变化向量；

根据该规则的变化向量、所有规则的变化向量的和、更新前该规则的规则权重，确定该规则更新后的规则权重。

9.根据权利要求1-6中任一项所述的规则匹配方法，还包括：

通过序列化的方式将规则分解大顶堆模型编码成二进制数据，存储到模型文件中；

在下次使用时规则集合没有变动的情况下，直接从模型文件恢复整个规则分解大顶堆模型到内存中。