[发明专利]规则匹配方法和装置、计算机可读存储介质

说明书

本公开涉及一种规则匹配方法和装置、计算机可读存储介质。该规则匹配方法包括：对规则进行读取和预处理；构建规则分解大顶堆模型；采用规则分解大顶堆模型，对流量数据和安全规则进行匹配；根据流量数据的匹配情况，更新规则分解大顶堆模型的规则权重。本公开能够对大量规则进行分解和表示以及数据与规则匹配，输出准确的安全告警事件。

技术领域

本公开涉及安全领域，特别涉及一种规则匹配方法和装置、计算机可读存储介质。

背景技术

安全事件检测是安全告警和处置的基础。安全研究人员将规则提取成正则表达式，用于匹配网络流量数据，识别和输出告警事件。相关技术目前安全事件检测的方法一般是：对于一条待检测流量，遍历所有规则分别匹配得出结果，将所命中规则的事件信息输出，这种方式不能高效地解决大规模安全规则与安全数据的匹配问题。

发明内容

鉴于以上技术问题中的至少一项，本公开提供了一种规则匹配方法和装置、计算机可读存储介质，能够对大量规则进行分解和表示以及数据与规则匹配，输出准确的安全告警事件。

根据本公开的一个方面，提供一种规则匹配方法，包括：

对规则进行读取和预处理；

构建规则分解大顶堆模型；

采用规则分解大顶堆模型，对流量数据和安全规则进行匹配；

根据流量数据的匹配情况，更新规则分解大顶堆模型的规则权重。

在本公开的一些实施例中，所述对规则进行读取和预处理包括：

从规则库中读取规则集合，其中，规则的属性包括规则标识、正则表达式字符串和事件类型编码，事件类型编码用于标记规则对应的事件类型；

根据事件类型编码对规则集合进行分类；

对每个事件类型编码所属规则集合初始化一个相同权值；

将每个事件类型编码所属规则集合的正则文本进行文本分词处理，去重后用特定符合连接起来，作为该所属规则集合的前置条件正则表达式。

在本公开的一些实施例中，所述构建规则分解大顶堆模型包括：

构建规则分解大顶堆模型，其中，规则分解大顶堆模型包括三层架构，其中：

第一层为模型根结点，模型根结点为输入节点，采用规则分解树对象标识；

第二层为事件类型编码结点，为每个事件类型编码创建一个事件类型编码结点，将该所属规则集合的前置条件正则表达式作为该事件类型编码结点的正则表达式；

第三层为一个由所属规则集合形成的大顶堆，所述大顶堆连接在事件类型编码结点的下游，为每个规则创建一个规则结点，通过堆排序算法根据规则的权值构建成大顶堆。

在本公开的一些实施例中，所述采用规则分解大顶堆模型，对流量数据和安全规则进行匹配包括：

从原始数据表中读取分析时间范围内的流量数据，遍历每一条流量数据；

针对每一条流量数据，使用规则分解大顶堆模型进行规则匹配。

在本公开的一些实施例中，所述针对每一条流量数据，使用规则分解大顶堆模型进行规则匹配包括：

针对每一条流量数据，将该流量数据传递到事件类型编码结点层；

遍历所有事件类型编码结点，判断流量数据是否命中一个事件类型编码结点；

在流量数据命中一个事件类型编码结点的情况下，将该流量数据传递到大顶堆根结点，以广度优先遍历的方式与大顶堆中的规则子集进行匹配；