The embodiment of the present invention provides a method, device and storage medium for optimizing snort rule set to solve the problem of low quality of Snort rule set caused by uneven quality of Snort rule set obtained at present. The method includes: testing whether a snort rule hits the malicious traffic set corresponding to the snort rule and whether it hits the non-malicious traffic set; if the snort rule hits the malicious traffic set corresponding to the snort rule and does not hit the non-malicious traffic set, the snort rule passes the test; if the snort rule does not hit the corresponding snort rule If a malicious traffic set or a non-malicious traffic set is hit, the snort rule fails to pass the test, and the snort rule under test is processed according to the test results of the snort rule.
【技术实现步骤摘要】
一种优化snort规则集的方法、装置和存储介质
本专利技术涉及计算机信息安全领域,尤其涉及一种优化snort规则集的方法、装置和存储介质。
技术介绍
入侵检测系统(IntrusionDetectionSystem,IDS)为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术,通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。Snort为IDS
中相当著名的开放原始码(OpenSource)软件,其是以检测签章(SignatureBased)及检测通讯协议(Protocol)为基础,利用内建的入侵检测规则(IntrusionDetectionRules)过滤网络的入侵行为。随着入侵行为的不断变换,入侵检测规则也在不断地变化与更新,或者根据局域网中的计算机主机需求取向不断设计合适的入侵检测规则。Snort规则可以根据人工输入指令获取,也可以直接下载规则文件并拷贝至指定目录后,还可以根据设定的规则自动获取;由于snort规则的来源有多种,获取的snort规则的质量无法保证,如果直接将新获取的snort规则添加到snort规则集中,这会导致对snort规则集无法进行优化。综上所述,由于获取snort规则的途径有多种,获取的snort规则的质量参差不齐,导致目前的snort规则集的质量较低。
技术实现思路
本专利技术实施例提供了一种优化snort规则集的方法、装置及存储介质,用以解决目前由于通过不同途径获取的snort规则质量参差不齐,导致的snort规则集质量较低的问题。基于上述问题,本专利技术实施例提供的一种优化snort规则集的 ...
【技术保护点】
1.一种优化snort规则集的方法,其特征在于,包括:测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;其中,所述恶意流量集合和所述非恶意流量集合均是预先设定的;若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;根据所述snort规则的测试结果对被测试的snort规则进行处理。
【技术特征摘要】
1.一种优化snort规则集的方法,其特征在于,包括:测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;其中,所述恶意流量集合和所述非恶意流量集合均是预先设定的;若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;根据所述snort规则的测试结果对被测试的snort规则进行处理。2.如权利要求1所述的方法,其特征在于,被测试的snort规则为snort规则集中的一条snort规则,或者为新获取、且未添加到snort规则集中的snort规则。3.如权利要求2所述的方法,其特征在于,被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,根据被测试的snort规则的测试结果对被测试的snort规则进行处理,包括:在被测试的snort规则通过测试后,将被测试的snort规则添加到snort规则集中。4.如权利要求1所述的方法,其特征在于,所述方法还包括:在测试所述snort规则时,确定所述snort规则是否与snort规则集中与被测试的snort规则不同的snort规则命中同一恶意流量集合;发出告警信息。5.如权利要求4所述的方法,其特征在于,snort规则集中允许存在发生告警的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:将在测试时发生告警的snort规则添加到snort规则集中。6.如权利要求4所述的方法,其特征在于,snort规则集中允许存在相互之间有冲突的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:当被测试的snort规则与snort规则集中的snort规则存在冲突,且被测试的snort规则通过测试且无告警时,将被测试的snort规则添加到snort规则集中。7.如权利要求1-6任一所述的方法,其特征在于,所述方法还包括:输出snort规则集时,输出的snort规则集的标识编号为该snort规则集的输出时间,且输出的snort规则集与snort规则集的标识编号一一对应。8.一种优化snort规则集的装置,其特征在于,包括:一个或者多个处理器;存储器;一个或者多个程序存储在所述存储器中,当被所述一个或者多个处理器执行时实现:测试一条snort规则是否命中与所述s...
【专利技术属性】
技术研发人员:关墨辰,李林哲,王小丰,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。