基本概念

一些概念

• 五元组：源IP地址，源端口，目的IP地址，目的端口，和传输层协议这五个量组成的一个集合。 例如：192.168.1.1 10000 TCP 121.14.88.76 80 就构成了一个五元组。其意义是，一个IP地址为192.168.1.1的终端通过端口10000，利用TCP协议，和IP地址为121.14.88.76，端口为80的终端进行连接。

• 规则集：规则集是匹配规则的集合，以五元组的形式给出范围，如178.139.217.251/32 126.0.44.183/32 0 : 65535 1526 : 1526 0x06/0xFF 0x1000/0x1000，其中178.139.217.251/32表示原IP地址，126.0.44.183/32表示目的IP地址，/32的意思是IP地址是32位的，0 : 65535规定源端口范围，表示从0到65535端口都可匹配，目的端口1526 : 1526同理，0x06/0xFF表示协议号，若0x06后是0xFF则表示只有0x06可匹配，若0x06/0x00则表示任意协议都可匹配，0x1000/0x1000表示规则优先级。

• 数据集：数据集是数据包的集合，同样以五元组的形式给出数据包的精确五元组信息，如2995509645 269990131 0 0 255，其中 2995509645 269990131分别是源IP和目的IP，与规则集的IP地址表示不同，规则集是点分十进制表示，而数据包IP是十进制表示，0 0是源、目的端口，255是协议号。

• 规则匹配：对于一个数据包P，当它每个字段的内容（源/目的IP，端口号，协议号）都在规则集中的某条规则的范围内时则匹配，一个数据包可能匹配多个规则，其中优先级最高的规则称作数据包的最佳匹配。

• 规则集和数据集👉zhaoxizxzx/dataset (github.com)，其中规则集的部分省略了优先级的字段，默认规则集中的规则按从高到底排列，即数据包在规则集中找到的第一个匹配的规则即是它的最佳匹配。