(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210582225.7 (22)申请日 2022.05.26 (71)申请人 奇安信科技 集团股份有限公司 地址 100032 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 奇安信网神信息技 术 （北京） 股份有 限公司 (72)发明人 汪勇　 (74)专利代理 机构 北京鼎佳达知识产权代理事 务所(普通 合伙) 11348 专利代理师 刘铁鸣　刘铁生 (51)Int.Cl. G06F 16/955(2019.01) G06F 16/901(2019.01) G06F 16/23(2019.01) (54)发明名称 域名匹配方法及 装置、 前缀树更新方法及装 置 (57)摘要 本发明公开了一种域名匹配方法及装置、 前 缀树更新方法及装置， 主要技术方案包括： 确定 待匹配域名中字符的匹配顺序； 基于前缀树的层 级结构， 按照匹配顺序对待匹配域名中的字符进 行逐层级匹配， 前缀树为设置有通配 符节点并用 于匹配域名的树， 通配 符节点所在 节点路径对应 的字符序列为符合安全策略要求的域名包含的 字符序列； 若在当前层级内参与匹配的节点中匹 配到通配 符节点， 则确定待匹配域名为符合安全 策略要求的域名； 若在当前层 级内参与匹配的节 点中未匹配到通配 符节点， 但匹配到对应的字 符 节点， 则确定字符节点的子节 点为下一层级内参 与匹配的节 点， 并按照匹配顺序在下一层级内参 与匹配的节点中进行匹配 。 权利要求书3页 说明书14页 附图8页 CN 114791985 A 2022.07.26 CN 114791985 A 1.一种域名匹配方法， 其特 征在于， 所述方法包括： 确定待匹配域名中字符的匹配顺序； 基于前缀树的层级结构， 按照所述匹配顺序对所述待匹配域名中的字符进行逐层级 匹 配， 其中， 所述前缀树为设置有通配符节点并用于匹配域名的树， 所述通配符节点所在节 点 路径对应的字符序列为符合 安全策略要求的域名包 含的字符序列； 若在当前层级内参与匹配的节点中匹配到通配符节点， 则确定所述待 匹配域名为符合 安全策略要求的域名； 若在当前层级内参与匹配的节点中未匹配到通配符节点， 但匹配到对应的字符节点， 则确定所述字符节点的子节点为下一层级内参与匹配的节点， 并按照所述匹配顺序在下一 层级内参与匹配的节点中进行匹配。 2.根据权利要求1所述的方法， 其特征在于， 基于前缀树的层级结构， 按照所述匹配顺 序对所述待匹配域名中的字符进行 逐层级匹配， 包括： 从所述前缀树的目标层级开始， 按照所述匹配顺序对所述待匹配域名中的字符进行逐 层级匹配， 对于所匹配的当前层级执 行如下步骤： 确定所述当前层级内参与匹配的节点； 判断所述 参与匹配的节点中是否存在通配符节点； 若存在， 则确定所述待匹配域名为符合 安全策略要求的域名； 若不存在， 则按照所述匹配顺序确定每一个参与匹配的节点需要匹配的字符， 并基于 每一个参数匹配的节 点与其需要匹配的字符的匹配结果确定是否匹配到对应的字符节点， 在匹配到对应的字符节点时确定所述字符节点的子节点 为下一层级内参与匹配的节点。 3.根据权利要求2所述的方法， 其特征在于， 确定所述当前层级内参与匹配的节点， 包 括： 若所述当前层级为所述目标层级， 则确定所述当前层级内所有的节点均为参与匹配的 节点； 若所述当前层级为非所述目标层级的层级， 则确定上一个匹配过程中匹配到的字符节 点的子节点 为所述当前层级内参与匹配的节点。 4.根据权利要求2所述的方法， 其特征在于， 在从所述前缀树的目标层级开始， 按照所 述匹配顺序对所述待匹配域名中的字符进行 逐层级匹配之前， 所述方法还 包括： 判断所述前缀 树的根节点是否为字符节点； 若是， 将所述 根节点所在的层级确定为所述目标层级； 若不是， 将所述 根节点的子节点所在的层级确定为所述目标层级。 5.根据权利要求2所述的方法， 其特征在于， 按照所述匹配顺序确定每一个参与匹配的 节点需要匹配的字符， 包括： 对于每一个参与匹配的节点， 确定所述参与匹配的节点包含的字符数量， 并基于所述 字符数量按照所述匹配顺序从所述待匹配域名中选取所述参与匹配的节点所需匹配的字 符。 6.根据权利要求2所述的方法， 其特征在于， 基于每一个参数匹配的节点与其需要 匹配 的字符的匹配结果确定是否匹配到对应的字符节点， 包括： 若所述参与匹配的节点中存在目标节点， 则确定所述目标节点为匹配到的对应的字符权　利　要　求　书 1/3 页 2 CN 114791985 A 2节点， 其中， 所述目标节点包含的字 符与其需要匹配的字符相同， 且其包含的字符的排列顺 序与其需要匹配字符的排列顺序相同。 7.根据权利要求1 ‑6中任一项所述的方法， 其特 征在于， 所述方法还 包括： 若在当前层级内参与匹配的节点中未匹配到通配符节点， 且也未匹配到对应的字符节 点， 则确定所述待匹配域名为 不符合安全策略要求的域名。 8.根据权利要求1 ‑6中任一项所述的方法， 其特征在于， 确定待 匹配域名中字符的匹配 顺序， 包括： 将所述待匹配域名中字符的倒序顺序， 确定为所述待匹配域名中字符的匹配顺序。 9.一种前缀树更新方法， 其特征在于， 所述前缀树为设置有通配符节点并用于匹配域 名的树， 所述通配符节点所在节点路径对应的字符序列为符合安全策略要求的域名包含的 字符序列， 所述方法包括： 根据接收到的通配符节点 位置更新指令， 确定所述更新指令涉及的通配符节点； 基于所述通配符节点的原父节点信息和所述更新指令携带的所述通配符节点的新父 节点信息， 对所述 通配符节点进行位置更新操作。 10.根据权利要求9所述的方法， 其特征在于， 基于所述通配符节点的原父节点信息和 所述更新指令携带的所述通配符节点的新父节点信息， 对所述通配符节点进 行位置更新操 作， 包括： 基于所述原父节点信息和所述新父节点信息确定所述通配符节点的原父节点和新父 节点之间的层级关系； 若所述新父节点所在层级位于所述原父节点所在层级之下， 则将所述通配符节点从所 述原父节点的子节点中删除， 且将所述 通配符节点添加为所述 新父节点的子节点。 11.一种域名匹配装置， 其特 征在于， 所述装置包括： 第一确定单 元， 用于确定待匹配域名中字符的匹配顺序； 匹配单元， 用于基于前缀树的层级结构， 按照所述匹配顺序对所述待匹配域名中的字 符进行逐层级匹配， 其中， 所述前缀树为设置有通配符节点并用于匹配域名的树， 所述通配 符节点所在节点路径对应的字符序列为符合 安全策略要求的域名包 含的字符序列； 第二确定单元， 用于若在当前层级内参与匹配的节点中匹配到通配符节点， 则确定所 述待匹配域名为符合 安全策略要求的域名； 第三确定单元， 用于若在当前层级内参与匹配的节点中未匹配到通配符节点， 但匹配 到对应的字符节点， 则确定所述字符节点的子节点为下一层级内参与匹配的节点， 并按照 所述匹配顺序在下一层级内参与匹配的节点中进行匹配。 12.一种前缀树更新装置， 其特征在于， 所述前缀树为设置有通配符节点并用于匹配域 名的树， 所述通配符节点所在节点路径对应的字符序列为符合安全策略要求的域名包含的 字符序列， 所述装置包括： 第四确定单元， 用于根据接收到的通配符节点位置更新指令， 确定所述更新指令涉及 的通配符节点； 更新单元， 用于基于所述通配符节点的原父节点信 息和所述更新指令携带的所述通配 符节点的新父节点信息， 对所述 通配符节点进行位置更新操作。 13.一种计算机可读存储介质， 其特征在于， 所述存储介质包括存储的程序， 其中， 在所权　利　要　求　书 2/3 页 3 CN 114791985 A 3