[发明专利]一种规则命中检测方法、装置、电子设备及可读存储介质

说明书

本申请公开了一种规则命中检测方法，本申请不再采用将规则命中检测引擎与规则内容分离的方式来执行规则命中检测操作，而是将规则命中检测引擎和规则内容整合为一体，直接得到一体式规则命中检测应用。由于规则命中检测引擎与规则内容不再分离，在执行规则命中检测操作时也就无需再读取规则内容，也省去了相关的一系列的检测和处理操作，可有效降低性能开销。同时，由于形成一个整体，也能够更好的防止恶意方通过对窃取来的规则进行反编译得到宝贵的规则内容。本申请还同时公开了一种规则命中检测装置、电子设备及可读存储介质，具有上述有益效果。

技术领域

本申请涉及数据匹配检测技术领域，特别涉及一种规则命中检测方法、装置、电子设备及可读存储介质。

背景技术

大多数恶意内容的入侵检测机制在入侵检测时，其过程大体可描述为：获取待检测流量，运行入侵检测应用，调用规则库中存储的各条入侵检测规则来判定待检测流量中是否存在恶意流量。

即入侵检测应用中仅包含实际运行执行入侵检测的引擎，例如第一步检测入侵检测规则中的第一选项是否命中，具体实现入侵判定的规则内容则独立存在于规则库，例如第一选项为包含字符串“abc”。可见入侵检测引擎与规则库之间相互独立，在实际使用时，入侵检测引擎需要从规则库中读取相应规则内容才能有针对的判断出待检测内容是否命中了读取的这条规则。

随着恶意内容的不断变化，规则数量也逐渐增多，入侵检测引擎需要频繁从规则库读取一条条的规则的具体内容，以带入具体的规则内容对待检测内容进行入侵检测。引擎和规则库相对独立的方式，使得两方可以有不同的群体分别维护，分离式、模块化的设计固然更便于维护(尤其是可以单独更新规则库而不对引擎本体进行更新)，但也导致了引擎在从规则库中读取各条规则时还需要进行一系列检测和处理的问题，例如完整性检测、格式检测、加解密操作等，且这些动作将会伴随着规则内容的不断读取持续进行，从而使得承载这一业务的网络安全设备需要花费更大的性能开销来完成这些操作，进而影响设备上其它业务的正常运行。同时，规则内容与引擎的分离也导致了规则内容易于被恶意攻击者通过诸如反编译等手段破解，泄露宝贵的数据。

因此，如何克服现有技术存在的各项技术缺陷，是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种规则命中检测方法、装置、电子设备及可读存储介质，旨在消除由于规则命中检测引擎和规则库独立存在导致的额外性能开销，进而保障其它业务的正常运行，同时防止规则内容被盗取。

为实现上述目的，本申请首先提供了一种规则命中检测方法，包括：

接收规则命中检测请求；

利用一体式规则命中检测应用对所述规则命中检测请求中包含的待命中内容执行规则命中检测操作，得到规则命中检测结果；其中，所述一体式规则命中检测应用为将规则命中检测引擎和规则内容整合为一体得到的规则命中检测应用；

返回所述规则命中检测结果。

可选的，所述一体式规则命中检测应用的生成过程包括：

获取以独立形式表示的独立规则；

根据所述独立规则生成一体式可执行代码；

将所述一体式可执行代码封装成所述一体式规则命中检测应用。

可选的，所述独立规则包括以字符形式表示的字符规则、以树形结构表示的树形规则、以有向无环图结构表示的有向无环图规则中的任意一种。。

可选的，该规则命中检测方法还包括：

检查是否存在更新版本的一体式规则命中检测应用；

若存在，则获取最新版本的一体式规则命中检测应用，并将当前的规则命中检测应用更新至所述最新版本的一体式规则命中检测应用。