[发明专利]基于报文内容感知的动态规则链式递归触发方法及其系统

摘要

本发明公开了一种基于报文内容感知的动态规则链式递归触发方法及其系统，其主要技术特征是：在组建动态规则链式递归触发系统的基础上，针对现有TAP设备无法对报文流进行动态关联分析问题，通过增加触发器以及触发器与触发规则之间的关联关系，采用配置触发器、配置静态规则和触发器定义、报文匹配、生成新动态规则、规则老化删除、更新规则表等步骤，动态提取外部输入报文流中的IP地址、端口、用户标识等动态信息，递归触发新的动态规则，使报文流能够精确地输出到后端分析系统，显著节省后端分析系统的输入带宽，避免后端分析系统的性能损耗，它具有实现方法简单、规则触发快速高效、显著降低后端分析系统报文流量的优点。

主权项

1.一种基于报文内容感知的动态规则链式递归触发方法，其特征在于它包括以下步骤：1）用户配置触发器，指定需触发的规则类型、老化时间、报文匹配方向、规则各组成域的来源、以及触发后的规则与其它触发器的关联关系，保存在触发描述库模块中，其中规则各组成域可以由用户配置静态值，也可以指定从当前报文的指定域提取动态值；2）用户配置MAC、IP五元组、报文载荷特征码等静态规则，定义当前静态规则与某个触发器的关联关系，保存在静态规则库模块中；3）触发描述库模块和静态规则库模块将静态规则和触发器定义分发给设备中的多个报文匹配引擎，保存在报文匹配引擎的规则表中；4）报文匹配引擎在接收到网络报文时，查询规则表进行匹配；5）如果当前报文与规则表中某一条规则匹配，根据规则关联的触发器，提取当前触发器指定的报文字段，与用户静态配置规则域、以及当前的触发关联关系一起构成新的动态规则；6）报文匹配引擎将新动态规则发送给动态规则库模块；7）动态规则库模块在收到新动态规则后，保存在规则库中，将其分发给所有报文匹配引擎，保存在各报文匹配引擎的规则表中，保证所有报文匹配引擎的动态规则严格同步；8）动态规则库模块周期性查询各个动态规则的报文匹配计数，在达到动态规则老化时间且无报文匹配本条规则时，通知所有报文匹配引擎删除该动态规则。