[发明专利]规则匹配和管理方法及装置

说明书

本申请公开了一种规则匹配和管理方法及装置，包括：客户端根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件以及对应的匹配规则，将所述匹配一致的文件以及对应的匹配规则的标识发送给服务端，以使服务端根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；根据所述匹配规则的属性，过滤所述客户端上报的文件。通过减少上报给服务端的文件数量从而减小服务端规则匹配的工作量，进而提高服务端的匹配效率。

技术领域

本申请属于互联网安全技术领域，具体地说，涉及一种规则匹配和管理方法及装置。

背景技术

随着云计算的高速发展，越来越多的创业者在云上搭建自己的服务器，由于使用云服务器的人员的安全能力参差不齐，导致黑客极其容易的在云服务器上植入后门程序(后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的恶意代码)，例如WebShell，导致云服务器遭到入侵，造成严重的经济损失。

大型的云服务器提供商、专业的云服务器安全厂商都会推出对应的查杀产品来扫描检测这些后门程序，但是由于需要扫描检测的后门程序数增巨大，服务器的检测吞吐量、匹配的时间复杂度和匹配命中率就受到了极大的挑战。

为了提高对恶意代码等后门程序的检测效率,就必须确保基于规则匹配的检测系统所用的规则的时效性、有效性、稳定性和优化性，因此，迫切需要一种匹配规则的管理方法可以大幅度提升对恶意代码等后门程序的检测效率和命中率，同时降低匹配的时间复杂度。

发明内容

有鉴于此，本申请提供一种规则匹配和管理方法及装置，可以解决现有规则在匹配过程中命中率低、时间复杂度高的问题。

为了解决上述技术问题，本申请第一方面提供一种规则匹配方法，位于客户端执行，包括：

客户端根据客户端本地规则对本地文件进行匹配，确定与客户端本地规则匹配一致的文件以及对应的匹配规则，所述客户端本地规则包括多个规则，所述匹配规则为与所述文件匹配一致的客户端本地规则，所述本地文件为所述客户端本地的文件；

将所述匹配一致的文件以及对应的匹配规则的标识发送给服务端，以使服务端根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；根据所述匹配规则的属性，过滤所述客户端上报的文件。

可选地，所述客户端从服务端获取的新的客户端规则，并根据所述新的客户端规则更新客户端本地规则，所述新的客户端规则包括服务端重新配置的客户端规则。

可选地，所述客户端本地规则中包括多个规则，每个规则中包括预先收集的文件特征，所述方法还包括：

根据每个规则中包括的文件特征对本地文件进行匹配，若本地文件的特征与其中一个规则中包括的文件特征匹配一致，则确定所述规则与所述文件匹配一致。

本申请第二方面还提供一种规则匹配方法，位于服务端执行，包括：

服务端接收客户端发送的匹配一致的文件以及对应的匹配规则的标识，所述匹配规则为与所述文件匹配一致的客户端本地规则；

根据所述客户端上报的匹配规则的标识，获取与所述匹配规则的标识对应的匹配规则的属性；

根据所述匹配规则的属性，过滤所述客户端上报的文件。

可选地，所述属性包括规则的生效状态和/或规则的生效时间；

根据所述匹配规则的属性，过滤所述客户端上报的文件，包括：

若所述匹配规则的属性的生效状态为无效状态，则所述匹配规则为无效规则，丢弃所述客户端上报的文件中与所述无效规则匹配的文件；