本發(fā)明涉及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域：
，尤其涉及一種防護(hù)策略的匹配方法及裝置。
背景技術(shù)：
：通常管理人員需要在防護(hù)設(shè)備中根據(jù)需求預(yù)設(shè)防護(hù)策略，進(jìn)而基于預(yù)設(shè)防護(hù)策略對待防護(hù)報文實現(xiàn)防護(hù)?，F(xiàn)有技術(shù)方案中，防護(hù)設(shè)備從待防護(hù)報文中提取至少一個待匹配特征值，并將該至少一個待匹配特征值與每一個預(yù)設(shè)防護(hù)策略進(jìn)行匹配，當(dāng)預(yù)設(shè)防護(hù)策略的數(shù)量成百上千時，防護(hù)設(shè)備需要將該至少一個待匹配特征值與成百上千的預(yù)設(shè)防護(hù)策略一一進(jìn)行匹配，匹配過程耗時長。技術(shù)實現(xiàn)要素：有鑒于此，本發(fā)明提供一種防護(hù)策略的匹配方法及裝置，當(dāng)需要匹配的防護(hù)策略數(shù)量較多時，以解決防護(hù)策略的匹配過程耗時長的問題。為實現(xiàn)上述目的，本發(fā)明提供技術(shù)方案如下：根據(jù)本發(fā)明的第一方面，提出了一種防護(hù)策略的匹配方法，所述方法包括：當(dāng)接收到待防護(hù)報文時，從所述待防護(hù)報文中解析得到至少一個待匹配特征值；將所述至少一個待匹配特征值中的每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到所述至少一個待匹配特征值分別對應(yīng)的策略位串，所述每一個預(yù)設(shè)特征列表中記錄的每一個特征值分別對應(yīng)一策略位串，所述策略位串的每一位對應(yīng)一個預(yù)設(shè)防護(hù)策略；將所述至少一個待匹配特征值分別對應(yīng)的策略位串進(jìn)行與運算，得到一目標(biāo)位串；基于所述目標(biāo)位串，確定所述待防護(hù)報文是否與所述預(yù)設(shè)防護(hù)策略匹配成功。根據(jù)本發(fā)明的第二方面，提出了一種防護(hù)策略的匹配裝置，包括：特征值解析模塊，用于當(dāng)接收到待防護(hù)報文時，從所述待防護(hù)報文中解析得到至少一個待匹配特征值；特征值匹配模塊，用于將所述特征值解析模塊中解析得到的所述至少一個待匹配特征值中的每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到所述至少一個待匹配特征值分別對應(yīng)的策略位串，所述每一個預(yù)設(shè)特征列表中記錄的每一個特征值分別對應(yīng)一策略位串，所述策略位串的每一位對應(yīng)一個預(yù)設(shè)防護(hù)策略；與運算模塊，用于將所述特征值匹配模塊中的所述至少一個待匹配特征值分別對應(yīng)的策略位串進(jìn)行與運算，得到一目標(biāo)位串；防護(hù)策略確定模塊，用于基于所述與運算模塊中得到的所述目標(biāo)位串，確定所述待防護(hù)報文是否與所述預(yù)設(shè)防護(hù)策略匹配成功。由以上技術(shù)方案可見，防護(hù)設(shè)備將從待防護(hù)報文中解析出的，每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到每一個待匹配特征值分別對應(yīng)的策略位串，防護(hù)設(shè)備基于策略位串的與運算結(jié)果確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功，省去了防護(hù)設(shè)備將從待防護(hù)報文中解析出的至少一個待匹配特征值，與成百上千的預(yù)設(shè)防護(hù)策略一一進(jìn)行匹配的過程，待匹配特征值的數(shù)量相較于成百上千的預(yù)設(shè)防護(hù)策略是較少的，每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配的過程耗時較短，因此解決了防護(hù)策略的匹配過程耗時長的問題。附圖說明圖1是本發(fā)明提供的一個防護(hù)策略的匹配方法的實施例流程圖；圖2是本發(fā)明提供的另一個防護(hù)策略的匹配方法的實施例流程圖；圖3是本發(fā)明提供的一種防護(hù)設(shè)備的硬件結(jié)構(gòu)圖；圖4是本發(fā)明提供的一個防護(hù)策略的匹配裝置的實施例框圖；圖5是本發(fā)明提供的另一個防護(hù)策略的匹配裝置的實施例框圖。具體實施方式這里將詳細(xì)地對示例性實施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本發(fā)明相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。在本發(fā)明使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本發(fā)明。在本發(fā)明和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。應(yīng)當(dāng)理解，盡管在本發(fā)明可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本發(fā)明范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在......時”或“當(dāng)......時”或“響應(yīng)于確定”。本發(fā)明實施例可以應(yīng)用在防護(hù)設(shè)備上，防護(hù)設(shè)備為具有對待防護(hù)報文進(jìn)行安全防護(hù)的網(wǎng)絡(luò)安全設(shè)備，本領(lǐng)域技術(shù)人員可以理解的是，本發(fā)明實施例應(yīng)用在防護(hù)設(shè)備上僅為示例性說明，其并不能形成對本發(fā)明的限制。通常，防護(hù)設(shè)備存儲了至少一個預(yù)設(shè)特征列表，每一個預(yù)設(shè)特征列表記錄的特征值類型不同，特征值類型包括：報文長度、協(xié)議、源端口、目的端口、傳輸控制協(xié)議(TransmissionControlProtocol，簡稱為TCP)Flag標(biāo)識、互聯(lián)網(wǎng)控制報文協(xié)議(InternetControlMessageProtocol，簡稱為ICMP)Type、ICMPCode等，每一個預(yù)設(shè)特征列表中記錄的每一個特征值分別對應(yīng)一策略位串，策略位串的長度由預(yù)設(shè)防護(hù)策略的數(shù)量決定，其中，預(yù)設(shè)防護(hù)策略為管理人員預(yù)先設(shè)置的，用于對待防護(hù)報文中的待匹配特征值進(jìn)行匹配的策略信息，一個預(yù)設(shè)防護(hù)策略具體例如為源端口信息80、協(xié)議號6；預(yù)設(shè)防護(hù)策略的數(shù)量例如為32個，則策略位串的長度為32位，策略位串中的每一位對應(yīng)一個預(yù)設(shè)防護(hù)策略。當(dāng)防護(hù)設(shè)備接收到待防護(hù)報文時，防護(hù)設(shè)備從待防護(hù)報文中解析得到至少一個待匹配特征值，待匹配特征值包括：報文長度、協(xié)議號、源端口信息、目的端口信息、TCPFlag標(biāo)識、ICMPType值、ICMPCode值等，不同報文類型的待防護(hù)報文，解析得到的待匹配特征值不同。防護(hù)設(shè)備將至少一個待匹配特征值中的每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到每一個待匹配特征值分別對應(yīng)的策略位串，防護(hù)設(shè)備將匹配得到的策略位串進(jìn)行與運算，得到的運算結(jié)果被確定為目標(biāo)位串，防護(hù)設(shè)備基于目標(biāo)位串，確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功。具體的，以待防護(hù)報文為用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol，簡稱為UDP)報文為例，以至少一個待匹配特征值為：協(xié)議號17、源端口信息83、目的端口信息53、報文長度66字節(jié)為例，防護(hù)設(shè)備將協(xié)議號17、源端口信息83、目的端口信息53、報文長度66字節(jié)分別與記錄有協(xié)議號、源端口信息、目的端口信息、報文長度的預(yù)設(shè)特征列表進(jìn)行匹配，得到協(xié)議號17、源端口信息83、目的端口信息53、報文長度66字節(jié)分別對應(yīng)的策略位串，防護(hù)設(shè)備將匹配得到的策略位串進(jìn)行與運算，得到一目標(biāo)位串，防護(hù)設(shè)備基于目標(biāo)位串，確定該UDP報文是否與預(yù)設(shè)防護(hù)策略匹配成功，具體的，防護(hù)設(shè)備如何基于目標(biāo)位串，確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功的具體描述，可參見下述圖1所示步驟，此處先不作詳述。通過本發(fā)明實施例，當(dāng)預(yù)設(shè)防護(hù)策略的數(shù)量成百上千時，防護(hù)設(shè)備將從待防護(hù)報文中解析出的，每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到每一個待匹配特征值分別對應(yīng)的策略位串，防護(hù)設(shè)備基于策略位串的與運算結(jié)果確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功，省去了防護(hù)設(shè)備將從待防護(hù)報文中解析出的至少一個待匹配特征值，與成百上千的預(yù)設(shè)防護(hù)策略一一進(jìn)行匹配的過程，解決了防護(hù)策略的匹配過程耗時長的問題。為對本發(fā)明進(jìn)行進(jìn)一步說明，提供下列實施例：圖1是本發(fā)明提供的一個防護(hù)策略的匹配方法的實施例流程圖，如圖1所示，包括如下步驟：步驟101：當(dāng)接收到待防護(hù)報文時，從待防護(hù)報文中解析得到至少一個待匹配特征值。步驟102：將至少一個待匹配特征值中的每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到至少一個待匹配特征值分別對應(yīng)的策略位串，每一個預(yù)設(shè)特征列表中記錄的每一個特征值分別對應(yīng)一策略位串，策略位串的每一位對應(yīng)一個預(yù)設(shè)防護(hù)策略。步驟103：將至少一個待匹配特征值分別對應(yīng)的策略位串進(jìn)行與運算，得到一目標(biāo)位串。步驟104：基于目標(biāo)位串，確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功。可選的，在執(zhí)行步驟101之前還可以執(zhí)行步驟105(圖中未示出)。步驟105：基于待防護(hù)報文的報文類型確定至少一個待匹配的預(yù)設(shè)特征列表，基于確定的至少一個預(yù)設(shè)特征列表中記錄的特征值的特征值類型，執(zhí)行步驟101中的從待防護(hù)報文中解析得到至少一個待匹配特征值的步驟。在步驟101中，在一實施例中，待防護(hù)報文的報文類型包括：TCP報文、UDP報文、ICMP報文等；待匹配特征值的特征值類型包括：報文長度、協(xié)議、源端口、目的端口、TCPFlag標(biāo)識、ICMPType、ICMPCode等。本領(lǐng)域技術(shù)人員可以理解的是，不同報文類型的待防護(hù)報文，解析得到的待匹配特征值的特征值類型不同，例如，當(dāng)待防護(hù)報文為TCP報文時，防護(hù)設(shè)備從TCP報文中解析得到：協(xié)議號、TCPFlag標(biāo)識、源端口信息、目的端口信息、報文長度；當(dāng)待防護(hù)報文為ICMP報文時，防護(hù)設(shè)備從ICMP報文中解析得到：協(xié)議號、ICMPType值、ICMPCode值、報文長度；當(dāng)待防護(hù)報文為UDP報文時，防護(hù)設(shè)備從UDP報文中解析得到：協(xié)議號、源端口信息、目的端口信息、報文長度。以待防護(hù)報文為UDP報文為例，防護(hù)設(shè)備從UDP報文中解析得到協(xié)議號17、源端口信息83、目的端口信息53、報文長度66字節(jié)。在步驟102中，在一實施例中，防護(hù)設(shè)備存儲了至少一個預(yù)設(shè)特征列表，預(yù)設(shè)特征列表為管理人員預(yù)設(shè)的，每一個預(yù)設(shè)特征列表記錄的特征值類型不同，特征值類型包括：報文長度、協(xié)議、源端口、目的端口、TCPFlag標(biāo)識、ICMPType、ICMPCode等。通常，用于記錄報文長度的預(yù)設(shè)特征列表，可以對0～2048字節(jié)的報文長度進(jìn)行存儲；用于記錄協(xié)議號的預(yù)設(shè)特征列表，可以對不同的協(xié)議號數(shù)值進(jìn)行存儲，例如1(ICMP協(xié)議號)、6(TCP協(xié)議號)、17(UDP協(xié)議號)等；用于記錄源端口信息的預(yù)設(shè)特征列表，可以對0～65536的源端口信息進(jìn)行存儲；用于記錄目的端口信息的預(yù)設(shè)特征列表，可以對0～65536的目的端口信息進(jìn)行存儲；用于記錄ICMPType值的預(yù)設(shè)特征列表，可以對0～18的ICMPType值進(jìn)行存儲；用于記錄ICMPCode值的預(yù)設(shè)特征列表，可以對0～15的ICMPCode值進(jìn)行存儲；需要說明的是，用于記錄TCPFlag標(biāo)識的預(yù)設(shè)特征列表，可以定義TCPFlag標(biāo)識(URG、ACK、PSH、RST、SYN、FIN)中的每一位字母的每一位都有三種狀態(tài)，X、0、1，其中，X表示可以為“0”或“1”，具體的，例如管理人員配置的TCPFlag標(biāo)識為“X100XX”，則“010000”、“010001”、“010010”、“010011”、“110000”、“110001”、“110010”、“110011”，8種TCPFlag標(biāo)識均可與“X100XX”匹配成功。如表1所示，對記錄了源端口信息的預(yù)設(shè)特征列表的結(jié)構(gòu)進(jìn)行示例性說明：表1012......53......8081......65536表1中，預(yù)設(shè)特征列表記錄了0～65536的源端口信息，由于版面限制，表1中的三個“......”分別對應(yīng)3-52、54-79、82-65535源端口信息，此處進(jìn)行了省略。本領(lǐng)域技術(shù)人員可以理解的是，預(yù)設(shè)特征列表中記錄的0～65536的源端口信息的范圍并不僅限于此，具體范圍由管理人員根據(jù)需要進(jìn)行配置，對于記錄了報文長度的預(yù)設(shè)特征列表、記錄了協(xié)議號的預(yù)設(shè)特征列表、記錄了目的端口信息的預(yù)設(shè)特征列表、記錄了ICMPType值的預(yù)設(shè)特征列表、記錄了ICMPCode值的預(yù)設(shè)特征列表、記錄了TCPFlag標(biāo)識的預(yù)設(shè)特征列表的具體結(jié)構(gòu)與表1所示的記錄了源端口信息的預(yù)設(shè)特征列表的結(jié)構(gòu)相似，此處不作具體舉例。此外，每一個預(yù)設(shè)特征列表中記錄的每一個特征值分別對應(yīng)一策略位串，策略位串的每一位對應(yīng)一個預(yù)設(shè)防護(hù)策略，通常在策略位串中以“0”表示未配置防護(hù)策略，以“1”表示配置了防護(hù)策略，需要說明的是，防護(hù)策略中，未使用的特征值用“1”標(biāo)識，其中未使用的特征值為管理人員設(shè)定的不需要考慮的特征值因素，以一個預(yù)設(shè)防護(hù)策略具體例如為源端口信息80、協(xié)議號6為例，則未使用的特征值為目的端口信息、報文長度、TCPFlag標(biāo)識，本領(lǐng)域技術(shù)人員可以理解的是，此處防護(hù)策略策中，未使用的特征值也用“1”標(biāo)識的目的是，在對至少一個待匹配特征值分別對應(yīng)的策略位串進(jìn)行與運算時，使得未使用的特征值不對與運算的結(jié)果產(chǎn)生影響。由于篇幅限制，以管理人員預(yù)先設(shè)置了四個預(yù)設(shè)防護(hù)策略為例，對策略位串與預(yù)設(shè)防護(hù)策略的對應(yīng)關(guān)系進(jìn)行示例性說明：策略1：源端口信息80+協(xié)議號6；策略2：源端口信息81；策略3：目的端口信息53+協(xié)議號17+報文長度大于64字節(jié)小于70字節(jié)；策略4：源端口信息80+報文長度80字節(jié)。上述策略1、策略2、策略3、策略4為四個預(yù)設(shè)防護(hù)策略，則，策略位串的長度即為4位，即0000，策略位串“0000”中的四個“0”的位置分別與策略1、策略2、策略3、策略4一一對應(yīng)，此處以從右至左的順序為例，“0000”分別對應(yīng)策略1、策略2、策略3、策略4，本領(lǐng)域技術(shù)人員可以理解的是，此處策略1、策略2、策略3、策略4與策略位串“0000”的對應(yīng)關(guān)系也可以為從左至右，無序?qū)?yīng)等對應(yīng)方式，此處對策略位串中的每一位與預(yù)設(shè)防護(hù)策略的具體對應(yīng)方式不做限制。具體的，針對策略1：源端口信息80+協(xié)議號6，記錄了源端口信息的預(yù)設(shè)特征列表中的源端口信息80對應(yīng)的策略位串被置為“0001”，記錄了協(xié)議號的預(yù)設(shè)特征列表中的協(xié)議號6對應(yīng)的策略位串被置為“0001”，策略位串中，未使用的特征值目的端口信息、報文長度、TCPFlag標(biāo)識全部用“0001”標(biāo)識；針對策略2：源端口信息81，記錄了源端口信息的預(yù)設(shè)特征列表中的源端口信息81對應(yīng)的策略位串被置為“0010”，策略位串中，未使用的特征值例如為協(xié)議號、目的端口信息、報文長度、TCPFlag標(biāo)識全部用“0010”標(biāo)識；針對策略3：目的端口信息53+協(xié)議號17+報文長度大于64字節(jié)小于70字節(jié)，記錄了目的端口信息的預(yù)設(shè)特征列表中的目的端口信息53對應(yīng)的策略位串被置為“0100”，記錄了協(xié)議號的預(yù)設(shè)特征列表中的協(xié)議號17對應(yīng)的策略位串被置為“0100”，記錄了報文長度的預(yù)設(shè)特征列表中的報文長度64字節(jié)、65字節(jié)、66字節(jié)、67字節(jié)、68字節(jié)、69字節(jié)、70字節(jié)對應(yīng)的策略位串均為“0100”，策略位串中，未使用的特征值源端口信息用“0100”標(biāo)識；針對策略4：源端口信息80+報文長度80字節(jié)，記錄了源端口信息的預(yù)設(shè)特征列表中的源端口信息80除了上述針對策略1對應(yīng)的策略位串“0001”，還對應(yīng)一個策略位串“1000”，因此記錄了源端口信息的預(yù)設(shè)特征列表中的源端口信息80的策略位串被置為“1001”，記錄了報文長度的預(yù)設(shè)特征列表中的報文長度80字節(jié)對應(yīng)的策略位串被置為“1000”，策略位串中，未使用的特征值例如為協(xié)議號、目的端口信息、TCPFlag標(biāo)識全部用“1000”標(biāo)識。具體的，結(jié)合步驟101-步驟102，防護(hù)設(shè)備將協(xié)議號17、源端口信息83、目的端口信息53、報文長度66字節(jié)分別與記錄有協(xié)議號、源端口信息、目的端口信息、報文長度的預(yù)設(shè)特征列表進(jìn)行匹配，得到協(xié)議號17對應(yīng)的策略位串“0100”、源端口信息83對應(yīng)的策略位串“0100”、目的端口信息53對應(yīng)的策略位串“0100”、報文長度66字節(jié)對應(yīng)的策略位串“0100”，需要說明的是，源端口信息83為策略3中未使用的特征值，因此，源端口信息83對應(yīng)的策略位串為“0100”。在步驟103中，在一實施例中，結(jié)合步驟102，防護(hù)設(shè)備將匹配得到的策略位串“0100”、“0100”、“0100”、“0100”進(jìn)行與運算，得到一目標(biāo)位串“0100”。在步驟104中，在一實施例中，結(jié)合步驟103，防護(hù)設(shè)備基于目標(biāo)位串“0100”，確定該UDP報文是否與預(yù)設(shè)防護(hù)策略匹配成功。目標(biāo)位串“0100”中的“1”對應(yīng)策略3，表示待防護(hù)報文與策略3匹配成功?？蛇x的，在執(zhí)行步驟101之前還可以執(zhí)行步驟105。在步驟105中，在一實施例中，防護(hù)設(shè)備基于待防護(hù)報文的報文類型確定至少一個待匹配的預(yù)設(shè)特征列表，防護(hù)設(shè)備基于確定的至少一個預(yù)設(shè)特征列表中記錄的特征值的特征值類型，執(zhí)行步驟101中的從待防護(hù)報文中解析得到至少一個待匹配特征值的步驟。待防護(hù)報文的報文類型包括：TCP報文、UDP報文、ICMP報文等。通常，管理人員針對不同報文類型的待防護(hù)報文配置了不同的待匹配的預(yù)設(shè)特征列表，具體的，針對TCP報文配置的待匹配的預(yù)設(shè)特征列表包括：記錄了報文長度的預(yù)設(shè)特征列表，記錄了協(xié)議號的預(yù)設(shè)特征列表，記錄了源端口信息的預(yù)設(shè)特征列表，記錄了目的端口信息的預(yù)設(shè)特征列表，記錄了TCPFlag標(biāo)識的預(yù)設(shè)特征列表；針對UDP報文配置的預(yù)設(shè)特征列表包括：記錄了報文長度的預(yù)設(shè)特征列表，記錄了協(xié)議號的預(yù)設(shè)特征列表，記錄了源端口信息的預(yù)設(shè)特征列表，記錄了目的端口信息的預(yù)設(shè)特征列表；針對ICMP報文配置的預(yù)設(shè)特征列表包括：記錄了ICMPType值的預(yù)設(shè)特征列表，記錄了ICMPCode值的預(yù)設(shè)特征列表，記錄了報文長度的預(yù)設(shè)特征列表，記錄了協(xié)議號的預(yù)設(shè)特征列表；針對其他報文類型的待防護(hù)報文，配置的預(yù)設(shè)特征列表至少包括：記錄了報文長度的預(yù)設(shè)特征列表，記錄了協(xié)議號的預(yù)設(shè)特征列表。具體的，若待防護(hù)報文為ICMP報文，基于針對ICMP報文確定待匹配的預(yù)設(shè)特征列表包括：記錄了報文長度的預(yù)設(shè)特征列表，記錄了協(xié)議號的預(yù)設(shè)特征列表，記錄了ICMPType值的預(yù)設(shè)特征列表，記錄了ICMPCode值的預(yù)設(shè)特征列表。防護(hù)設(shè)備基于記錄了報文長度的預(yù)設(shè)特征列表，記錄了協(xié)議號的預(yù)設(shè)特征列表，記錄了ICMPType值的預(yù)設(shè)特征列表，記錄了ICMPCode值的預(yù)設(shè)特征列表中分別記錄的特征值的特征值類型：報文長度、協(xié)議號、ICMPType、ICMPCode，防護(hù)設(shè)備確定需要從ICMP報文中解析得到報文長度、協(xié)議號、ICMPType值、ICMPCode值。本發(fā)明實施例中，防護(hù)設(shè)備將從待防護(hù)報文中解析出的，每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到每一個待匹配特征值分別對應(yīng)的策略位串，防護(hù)設(shè)備基于策略位串的與運算結(jié)果即可確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功，省去了防護(hù)設(shè)備將從待防護(hù)報文中解析出的至少一個待匹配特征值，與成百上千的預(yù)設(shè)防護(hù)策略一一進(jìn)行匹配的過程，待匹配特征值的數(shù)量相較于成百上千的預(yù)設(shè)防護(hù)策略是較少的，每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配的過程耗時較短，因此解決了防護(hù)策略的匹配過程耗時長的問題。圖2是本發(fā)明提供的另一個防護(hù)策略的匹配方法的實施例流程圖，結(jié)合圖1，在圖1所述的步驟101-步驟104的基礎(chǔ)上，對防護(hù)設(shè)備如何基于目標(biāo)位串，確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功；以及當(dāng)匹配成功的預(yù)設(shè)防護(hù)策略的數(shù)量為多個時，如何確定目標(biāo)策略并基于目標(biāo)策略執(zhí)行防護(hù)指令的，進(jìn)行示例性說明，如圖2所示，包括如下步驟：步驟201：確定目標(biāo)位串是否為預(yù)設(shè)位串，當(dāng)目標(biāo)位串不為預(yù)設(shè)位串時，執(zhí)行步驟202，當(dāng)目標(biāo)位串為預(yù)設(shè)位串時，執(zhí)行步驟207。步驟202：確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配成功。步驟203：若匹配成功的預(yù)設(shè)防護(hù)策略的數(shù)量為多個，基于預(yù)設(shè)的策略選擇規(guī)則，從匹配成功的預(yù)設(shè)防護(hù)策略中確定一個目標(biāo)策略。步驟204：基于目標(biāo)位串生成目標(biāo)策略對應(yīng)的第一標(biāo)識。步驟205：將第一標(biāo)識與預(yù)設(shè)處理列表記錄的至少一個第二標(biāo)識進(jìn)行匹配，每一個第二標(biāo)識分別對應(yīng)一防護(hù)指令。步驟206：當(dāng)?shù)谝粯?biāo)識與預(yù)設(shè)處理列表中的其中一個第二標(biāo)識匹配成功時，對待防護(hù)報文執(zhí)行匹配成功的第二標(biāo)識對應(yīng)的防護(hù)指令。步驟207：確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配未成功，將待防護(hù)報文轉(zhuǎn)發(fā)至下一與防護(hù)設(shè)備相連接的網(wǎng)絡(luò)設(shè)備。在步驟201中，防護(hù)設(shè)備確定目標(biāo)位串是否為預(yù)設(shè)位串，預(yù)設(shè)位串的長度與目標(biāo)位串長度相同，結(jié)合步驟102-步驟103，預(yù)設(shè)位串為“0000”，當(dāng)目標(biāo)位串不為預(yù)設(shè)位串“0000”時，執(zhí)行步驟202，當(dāng)目標(biāo)位串為預(yù)設(shè)位串時，執(zhí)行步驟207。在步驟202中，當(dāng)目標(biāo)位串不為預(yù)設(shè)位串時，防護(hù)設(shè)備確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配成功。具體的，結(jié)合步驟102，若目標(biāo)位串為“0100”，目標(biāo)位串“0100”不為預(yù)設(shè)位串“0000”，防護(hù)設(shè)備確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配成功，目標(biāo)位串“0100”中的“1”與策略3相對應(yīng)，待防護(hù)報文與策略3匹配成功。在步驟203中，若匹配成功的預(yù)設(shè)防護(hù)策略的數(shù)量為多個，防護(hù)設(shè)備基于預(yù)設(shè)的策略選擇規(guī)則，從匹配成功的預(yù)設(shè)防護(hù)策略中確定一個目標(biāo)策略。具體的，若目標(biāo)位串為“1001”，結(jié)合步驟102中的策略1：源端口信息80+協(xié)議號6；策略4：源端口信息80+報文長度80字節(jié)，表示待防護(hù)報文與策略1、策略4匹配成功，防護(hù)設(shè)備基于預(yù)設(shè)的策略選擇規(guī)則，從策略1、策略4中確定一個目標(biāo)策略，策略選擇規(guī)則可以為從右至左選擇第一個匹配成功的預(yù)設(shè)防護(hù)策略；也可以為從左至右選擇第一個匹配成功的預(yù)設(shè)防護(hù)策略；還可以為隨機(jī)選擇一個匹配成功的預(yù)設(shè)防護(hù)策略，本領(lǐng)域技術(shù)人員可以理解的是，此處策略選擇規(guī)則不能形成對本發(fā)明的限制。此處以從右至左選擇第一個匹配成功的預(yù)設(shè)防護(hù)策略作為策略選擇規(guī)則進(jìn)行示例性說明，防護(hù)設(shè)備從匹配成功的策略1、策略4中確定策略1為目標(biāo)策略。在步驟204中，防護(hù)設(shè)備基于目標(biāo)位串，生成目標(biāo)策略對應(yīng)的第一標(biāo)識。例如，防護(hù)設(shè)備基于目標(biāo)位串“1001”中的策略1生成第一標(biāo)識“1”，本領(lǐng)域技術(shù)人員可以理解的是，若目標(biāo)策略為策略4，則第一標(biāo)識為“4”，第一標(biāo)識僅用于將目標(biāo)策略與下述的預(yù)設(shè)處理列表中的第二標(biāo)識進(jìn)行匹配，第一標(biāo)識也可以為數(shù)字、字母或者兩者的組合，本發(fā)明對第一標(biāo)識的具體形式不作限制。在步驟205中，防護(hù)設(shè)備將第一標(biāo)識與預(yù)設(shè)處理列表記錄的至少一個第二標(biāo)識分別進(jìn)行匹配，每一個第二標(biāo)識分別對應(yīng)一防護(hù)指令。如表2所示，以預(yù)設(shè)處理列表中記錄了四個第二標(biāo)識對預(yù)設(shè)處理列表的結(jié)構(gòu)進(jìn)行示例性說明：表2表2中，第二標(biāo)識“1”、第二標(biāo)識“2”、第二標(biāo)識“3”、第二標(biāo)識“4”分別對應(yīng)丟棄待防護(hù)報文、發(fā)送報警信息、丟棄待防護(hù)報文、發(fā)送報警信息的防護(hù)指令。結(jié)合步驟204，防護(hù)設(shè)備將第一標(biāo)識“1”與預(yù)設(shè)處理列表記錄的第二標(biāo)識“1”、第二標(biāo)識“2”、第二標(biāo)識“3”、第二標(biāo)識“4”分別進(jìn)行匹配。在步驟206中，當(dāng)?shù)谝粯?biāo)識與預(yù)設(shè)處理列表中的其中一個第二標(biāo)識匹配成功時，防護(hù)設(shè)備對待防護(hù)報文執(zhí)行匹配成功的第二標(biāo)識對應(yīng)的防護(hù)指令。結(jié)合步驟205，第一標(biāo)識“1”與預(yù)設(shè)處理列表中的第二標(biāo)識“1”匹配成功，第二標(biāo)識“1”對應(yīng)的防護(hù)指令為丟棄待防護(hù)報文，則，防護(hù)設(shè)備對待防護(hù)報文執(zhí)行丟棄待防護(hù)報文的防護(hù)指令。在步驟207中，當(dāng)目標(biāo)位串為預(yù)設(shè)位串時，防護(hù)設(shè)備確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配未成功，將待防護(hù)報文轉(zhuǎn)發(fā)至下一與防護(hù)設(shè)備相連接的網(wǎng)絡(luò)設(shè)備。若目標(biāo)位串為“0000”，目標(biāo)位串“0000”為預(yù)設(shè)位串“0000”，防護(hù)設(shè)備確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配未成功，防護(hù)設(shè)備將待防護(hù)報文轉(zhuǎn)發(fā)至下一與防護(hù)設(shè)備相連接的網(wǎng)絡(luò)設(shè)備。本發(fā)明實施例中，防護(hù)設(shè)備確定目標(biāo)位串是否為預(yù)設(shè)位串，當(dāng)目標(biāo)位串不為預(yù)設(shè)位串時，防護(hù)設(shè)備確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配成功，若匹配成功的預(yù)設(shè)防護(hù)策略的數(shù)量為多個，防護(hù)設(shè)備基于預(yù)設(shè)的策略選擇規(guī)則，從匹配成功的預(yù)設(shè)防護(hù)策略中確定一個目標(biāo)策略，通過不同的策略選擇規(guī)則，使防護(hù)設(shè)備對目標(biāo)策略的選擇更加靈活，目標(biāo)策略的不同使得防護(hù)設(shè)備對所述待防護(hù)報文執(zhí)行的防護(hù)指令不同；防護(hù)設(shè)備基于目標(biāo)位串生成目標(biāo)策略對應(yīng)的第一標(biāo)識，并將第一標(biāo)識與預(yù)設(shè)處理列表記錄的至少一個第二標(biāo)識進(jìn)行匹配，當(dāng)?shù)谝粯?biāo)識與預(yù)設(shè)處理列表中的其中一個第二標(biāo)識匹配成功時，防護(hù)設(shè)備對待防護(hù)報文執(zhí)行匹配成功的第二標(biāo)識對應(yīng)的防護(hù)指令，當(dāng)防護(hù)指令對應(yīng)的第二標(biāo)識發(fā)生變化時，或者第一標(biāo)識與第二標(biāo)識的對應(yīng)關(guān)系發(fā)生變化時，管理人員可以通過獲取預(yù)設(shè)處理列表對發(fā)生變化的第二標(biāo)識、防護(hù)指令進(jìn)行修改，易于統(tǒng)一管理。對應(yīng)于上述防護(hù)策略的匹配方法，本發(fā)明還提出了圖3所示的防護(hù)設(shè)備的硬件結(jié)構(gòu)圖。請參考圖3，在硬件層面，該防護(hù)設(shè)備包括處理器、內(nèi)部總線、網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲器，當(dāng)然還可能包括其他業(yè)務(wù)所需要的硬件。處理器從非易失性存儲器中讀取對應(yīng)的計算機(jī)程序到內(nèi)存中然后運行，在邏輯層面上形成防護(hù)策略的匹配裝置。當(dāng)然，除了軟件實現(xiàn)方式之外，本發(fā)明并不排除其他實現(xiàn)方式，比如邏輯器件抑或軟硬件結(jié)合的方式等等，也就是說以下處理流程的執(zhí)行主體并不限定于各個邏輯單元，也可以是硬件或邏輯器件。圖4是本發(fā)明提供的一個防護(hù)策略的匹配裝置的實施例框圖，如圖4所示，該防護(hù)策略的匹配裝置可以包括：特征值解析模塊41、特征值匹配模塊42、與運算模塊43、防護(hù)策略確定模塊44，其中：特征值解析模塊41，用于當(dāng)接收到待防護(hù)報文時，從待防護(hù)報文中解析得到至少一個待匹配特征值；特征值匹配模塊42，用于將特征值解析模塊41中解析得到的至少一個待匹配特征值中的每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到至少一個待匹配特征值分別對應(yīng)的策略位串，每一個預(yù)設(shè)特征列表中記錄的每一個特征值分別對應(yīng)一策略位串，策略位串的每一位對應(yīng)一個預(yù)設(shè)防護(hù)策略；與運算模塊43，用于將特征值匹配模塊42中的至少一個待匹配特征值分別對應(yīng)的策略位串進(jìn)行與運算，得到一目標(biāo)位串；防護(hù)策略確定模塊44，用于基于與運算模塊43中得到的目標(biāo)位串，確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功。圖5是本發(fā)明提供的另一個防護(hù)策略的匹配裝置的實施例框圖，如圖5所示，在上述圖4所示實施例的基礎(chǔ)上，防護(hù)策略的匹配裝置還包括：特征列表確定模塊45，用于基于待防護(hù)報文的報文類型確定至少一個待匹配的預(yù)設(shè)特征列表，基于確定的至少一個預(yù)設(shè)特征列表中記錄的特征值的特征值類型，執(zhí)行特征值解析模塊41中的從待防護(hù)報文中解析得到至少一個待匹配特征值的步驟。在一實施例中，防護(hù)策略確定模塊44包括：預(yù)設(shè)位串比較子模塊441，用于確定目標(biāo)位串是否為預(yù)設(shè)位串；報文轉(zhuǎn)發(fā)子模塊442，用于當(dāng)預(yù)設(shè)位串比較子模塊441中的目標(biāo)位串為預(yù)設(shè)位串時，確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配未成功，將待防護(hù)報文轉(zhuǎn)發(fā)至下一與防護(hù)設(shè)備相連接的網(wǎng)絡(luò)設(shè)備；匹配成功確定子模塊443，用于當(dāng)預(yù)設(shè)位串比較子模塊441中的目標(biāo)位串不為預(yù)設(shè)位串時，確定待防護(hù)報文與預(yù)設(shè)防護(hù)策略匹配成功。在一實施例中，防護(hù)策略的匹配裝置還包括：目標(biāo)策略確定模塊46，用于若匹配成功確定子模塊443中的匹配成功的預(yù)設(shè)防護(hù)策略的數(shù)量為多個，基于預(yù)設(shè)的策略選擇規(guī)則，從匹配成功的預(yù)設(shè)防護(hù)策略中確定一個目標(biāo)策略。在一實施例中，防護(hù)策略的匹配裝置還包括：第一標(biāo)識生成模塊47，用于基于與運算模塊43中得到的目標(biāo)位串生成目標(biāo)策略確定模塊46中確定的目標(biāo)策略對應(yīng)的第一標(biāo)識；標(biāo)識匹配模塊48，用于將第一標(biāo)識生成模塊47中生成的第一標(biāo)識與預(yù)設(shè)處理列表記錄的至少一個第二標(biāo)識分別進(jìn)行匹配，每一個第二標(biāo)識分別對應(yīng)一防護(hù)指令；防護(hù)指令執(zhí)行模塊49，用于當(dāng)?shù)谝粯?biāo)識與預(yù)設(shè)處理列表中的其中一個第二標(biāo)識匹配成功時，對待防護(hù)報文執(zhí)行匹配成功的第二標(biāo)識對應(yīng)的防護(hù)指令。上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程，在此不再贅述。對于裝置實施例而言，由于其基本對應(yīng)于方法實施例，所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上。可以根據(jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。由上述實施例可見，防護(hù)設(shè)備將從待防護(hù)報文中解析出的，每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配，得到每一個待匹配特征值分別對應(yīng)的策略位串，防護(hù)設(shè)備基于策略位串的與運算結(jié)果確定待防護(hù)報文是否與預(yù)設(shè)防護(hù)策略匹配成功，省去了防護(hù)設(shè)備將從待防護(hù)報文中解析出的至少一個待匹配特征值，與成百上千的預(yù)設(shè)防護(hù)策略一一進(jìn)行匹配的過程，待匹配特征值的數(shù)量相較于成百上千的預(yù)設(shè)防護(hù)策略是較少的，每一個待匹配特征值與各自特征值類型相同的預(yù)設(shè)特征列表進(jìn)行匹配的過程耗時較短，因此解決了防護(hù)策略的匹配過程耗時長的問題。本領(lǐng)域技術(shù)人員在考慮說明書及實踐這里公開的發(fā)明后，將容易想到本發(fā)明的其它實施方案。本發(fā)明旨在涵蓋本發(fā)明的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本發(fā)明的一般性原理并包括本發(fā)明未公開的本
技術(shù)領(lǐng)域：
中的公知常識或慣用技術(shù)手段。說明書和實施例僅被視為示例性的，本發(fā)明的真正范圍和精神由下面的權(quán)利要求指出。還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個......”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。當(dāng)前第1頁1 2 3