[发明专利]一种攻击规则的关闭方法和装置

权利要求书

1.一种攻击规则的关闭方法，其特征在于，针对已经开启的每个攻击规 则，所述攻击规则包括粗略匹配特征和精确匹配特征，所述方法包括：

安全网关设备在预设统计周期内，获得所述粗略匹配特征的命中次数、所 述精确匹配特征的命中次数、所述攻击规则的命中次数；

所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征 的命中次数、所述攻击规则的命中次数，判断是否关闭所述攻击规则；

如果是，则所述安全网关设备关闭所述攻击规则。

2.根据权利要求1所述的方法，其特征在于，所述安全网关设备在预设统 计周期内，获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次 数、所述攻击规则的命中次数的过程，包括：

所述安全网关设备在所述预设统计周期内接收报文；

所述安全网关设备判断所述报文是否匹配到所述粗略匹配特征；如果匹配 到所述粗略匹配特征，则所述安全网关设备将所述粗略匹配特征的命中次数加 1，并判断所述报文是否匹配到所述精确匹配特征；如果匹配到所述精确匹配 特征，则所述安全网关设备将所述精确匹配特征的命中次数加1，并判断所述 报文是否匹配到所述攻击规则，如果匹配到所述攻击规则，则将所述攻击规则 的命中次数加1；

在所述预设统计周期结束时，所述安全网关设备获得所述粗略匹配特征的 命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数。

3.根据权利要求1所述的方法，其特征在于，所述安全网关设备利用所述 粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命 中次数，判断是否关闭所述攻击规则的过程，包括：

当所述粗略匹配特征的命中次数大于等于预设第一数值，且所述精确匹配 特征的命中次数大于等于预设第二数值，且所述攻击规则的命中次数等于预设 第三数值时，所述安全网关设备确定关闭所述攻击规则；其中，所述预设第一 数值大于所述预设第二数值，所述预设第二数值大于等于所述预设第三数值。

4.根据权利要求1所述的方法，其特征在于，所述安全网关设备关闭所述 攻击规则包括：

所述安全网关设备在预设第一时间内关闭所述攻击规则，且不再开启所述 攻击规则；或者，

所述安全网关设备在延迟预设第二时间后，如果查询到所述攻击规则的命 中次数等于预设第三数值，则在预设第一时间内关闭所述攻击规则，且不再开 启所述攻击规则；或者，

所述安全网关设备判断所述攻击规则被连续关闭的次数是否达到N次；如 果否，则在预设第一时间内关闭所述攻击规则，且在预设第三时间后，打开所 述攻击规则，返回执行在预设统计周期内，获得所述粗略匹配特征的命中次 数、所述精确匹配特征的命中次数、所述攻击规则的命中次数的过程；如果是， 则在预设第一时间内关闭所述攻击规则，且不再开启所述攻击规则。

5.根据权利要求1-4任一项所述的方法，其特征在于，

所述粗略匹配特征包括：多模式匹配AC特征；

所述精确匹配特征包括：选项特征，和/或，正则表达式PCRE特征。

6.一种攻击规则的关闭装置，其特征在于，所述攻击规则的关闭装置应用 在安全网关设备，针对已经开启的每个攻击规则，所述攻击规则包括粗略匹配 特征和精确匹配特征，所述攻击规则的关闭装置包括：

获得模块，用于在预设统计周期内，获得所述粗略匹配特征的命中次数、 所述精确匹配特征的命中次数、所述攻击规则的命中次数；

判断模块，用于利用所述粗略匹配特征的命中次数、所述精确匹配特征的 命中次数、所述攻击规则的命中次数，判断是否关闭所述攻击规则；

关闭模块，用于当判断结果为是时，则关闭所述攻击规则。