[发明专利]一种面向网络访问控制的规则描述方法及构建方法、介质

权利要求书

1.一种面向网络访问控制的规则描述方法，其特征在于，每一规则包括域配置、分组配置和编译配置三个层次；其中，域配置用来描述所要匹配的网络行为；分组配置包括若干域配置，即描述所要匹配的网络行为的集合；编译配置用来描述流量符合所述分组配置所描述的网络行为时所采取的策略。

2.如权利要求1所述的规则描述方法，其特征在于，同一规则包括若干所述域配置，同一所述域配置只属于一个所述分组配置；同一所述分组配置允许在多个不同所述编译配置中复用。

3.如权利要求1或2所述的规则描述方法，其特征在于，所述分组配置中的多个域配置为“或”关系，所述编译配置中的域配置分组之间是“与”或者是“非”关系。

4.如权利要求1所述的规则描述方法，其特征在于，所述域配置为网络传输协议或网络传输数据的设定字段。

5.如权利要求1所述的规则描述方法，其特征在于，所述域配置r的描述信息包括：匹配位置、域类型和匹配内容。

6.如权利要求5所述的规则描述方法，其特征在于，所述域类型为字符串、IP地址、数值区间或哈希值。

7.如权利要求1所述的规则描述方法，其特征在于，每一所述域配置、所述分组配置和所述编译配置分别设有一生效标志。

8.一种面向网络访问控制的规则构建方法，其步骤包括：

1)新建一分组配置，并分配唯一性分组配置ID；然后在该分组配置内添加域配置并对每一域配置分配一域配置ID，存储域配置ID与该分组配置ID的对应关系；确定该域配置的匹配位置和匹配内容；

2)建立一编译配置并分配编译配置ID，建立该编译配置ID与该分组配置ID之间的从属关系，以及该编译配置中的域配置分组之间是“与”或者是“非”关系。

9.如权利要求8所述的方法，其特征在于，所述匹配位置是解析网络传输协议或其载荷后得到的字段。

10.一种存储计算机程序的计算机可读存储介质，其特征在于，存储计算机程序和如权利要求1～7任一所述的规则描述方法所描述的规则，所述计算机程序包括指令，所述指令包括如权利要求8至9中任一方法中的各个步骤。