一种优化snort规则集的方法、装置和存储介质制造方法及图纸

本发明专利技术实施例提供了一种优化snort规则集的方法、装置及存储介质，用以解决目前由于获取的snort规则质量参差不齐，导致的snort规则集质量较低的问题。该方法包括：测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；根据所述snort规则的测试结果对被测试的snort规则进行处理。

A method, device and storage medium for optimizing snort rule set

The embodiment of the present invention provides a method, device and storage medium for optimizing snort rule set to solve the problem of low quality of Snort rule set caused by uneven quality of Snort rule set obtained at present. The method includes: testing whether a snort rule hits the malicious traffic set corresponding to the snort rule and whether it hits the non-malicious traffic set; if the snort rule hits the malicious traffic set corresponding to the snort rule and does not hit the non-malicious traffic set, the snort rule passes the test; if the snort rule does not hit the corresponding snort rule If a malicious traffic set or a non-malicious traffic set is hit, the snort rule fails to pass the test, and the snort rule under test is processed according to the test results of the snort rule.

【技术实现步骤摘要】
一种优化snort规则集的方法、装置和存储介质
本专利技术涉及计算机信息安全领域，尤其涉及一种优化snort规则集的方法、装置和存储介质。
技术介绍
入侵检测系统（IntrusionDetectionSystem，IDS）为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术，通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。Snort为IDS
中相当著名的开放原始码（OpenSource）软件，其是以检测签章（SignatureBased）及检测通讯协议（Protocol）为基础，利用内建的入侵检测规则（IntrusionDetectionRules）过滤网络的入侵行为。随着入侵行为的不断变换，入侵检测规则也在不断地变化与更新，或者根据局域网中的计算机主机需求取向不断设计合适的入侵检测规则。Snort规则可以根据人工输入指令获取，也可以直接下载规则文件并拷贝至指定目录后，还可以根据设定的规则自动获取；由于snort规则的来源有多种，获取的snort规则的质量无法保证，如果直接将新获取的snort规则添加到snort规则集中，这会导致对snort规则集无法进行优化。综上所述，由于获取snort规则的途径有多种，获取的snort规则的质量参差不齐，导致目前的snort规则集的质量较低。
技术实现思路
本专利技术实施例提供了一种优化snort规则集的方法、装置及存储介质，用以解决目前由于通过不同途径获取的snort规则质量参差不齐，导致的snort规则集质量较低的问题。基于上述问题，本专利技术实施例提供的一种优化snort规则集的方法，包括：测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；根据所述snort规则的测试结果对被测试的snort规则进行处理。本专利技术实施例提供的一种优化snort规则集的装置，包括：一个或者多个处理器；存储器；一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时实现：测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；根据所述snort规则的测试结果对被测试的snort规则进行处理。本专利技术实施例提供了一种非易失性计算机存储介质，在该存储介质中存储有计算机可执行指令，所述计算机可执行指令被执行时实现本专利技术实施例提供的优化snort规则集的方法。本专利技术实施例的有益效果包括：本专利技术实施例提供的一种优化snort规则集的方法、装置和存储介质，对snort规则测试其是否命中应该命中的恶意流量集合，并测试其是否命中非恶意流量集合，在被测试的snort规则命中其应该命中的恶意流量集合，并没有命中任何非恶意流量集合时，被测试的snort规则通过测试，而在被测试的snort规则没有命中其应该命中的恶意流量集合，或者命中了任何非恶意流量集合时，被测试的snort规则未通过测试，以及根据被测试的snort规则的测试结果对被测试的snort规则进行处理，从而对snort规则集进行优化，以提高snort规则集的质量。附图说明图1为本专利技术实施例提供的一种优化snort规则集的方法的流程图；图2为本专利技术实施例提供的另一种优化snort规则集的方法的流程图；图3为本专利技术实施例提供的优化snort规则集的装置的结构图。具体实施方式本专利技术实施例提供了一种优化snort规则集的方法、装置和存储介质，对各条snort规则进行测试，测试其是否命中其应该命中的恶意流量集合，并测试其是否命中非恶意流量集合，在被测试的snort规则命中其应该命中的恶意流量集合，并没有命中任何非恶意流量集合时，被测试的snort规则通过测试，而在被测试的snort规则没有命中其应该命中的恶意流量集合，或者命中了任何非恶意流量集合时，被测试的snort规则未通过测试，最后根据各条snort规则的测试结果对其进行处理，从而优化snort规则集，提高snort规则集的质量。下面结合说明书附图，对本专利技术实施例提供的一种优化snort规则集的方法、装置及存储介质的具体实施方式进行说明。本专利技术实施例提供的一种优化snort规则集的方法，如图1所示，具体包括以下步骤：S101、测试一条snort规则是否命中非恶意流量集合；若是，执行S104，否则，执行S102；S102、测试该snort规则是否命中该snort规则对应的恶意流量集合；若是，执行S103，否则，执行S104；其中，恶意流量集合和非恶意流量集合均是预先设定的；S103、该snort通过测试；S104、该snort规则未通过测试；S105、根据对该snort的测试结果对该snort规则进行处理。图1中的S101和S102的顺序是可以交换的，也就是说，可以先执行S101，再执行S102，也可以先执行S102，再执行S101。如果有多条snort规则等待测试，则可以重复执行S101-S105，直至所有待测试的snort规则全部测试完毕。上述被测试的snort规则可以是snort规则集中的一条snort规则，也可以是新获取、且未添加到snort规则集中的一条snort规则。如果被测试的snort规则是新获取、且未添加到snort规则集中的snort规则，则根据被测试的snort规则的测试结果对被测试的snort规则进行处理，具体可以包括：在被测试的snort规则通过测试后，将被测试的snort规则添加到snort规则集中；而在被测试的snort规则未通过测试时，被测试的snort规则可以不添加到snort规则集中。如果被测试的snort规则是snort规则集中的一条snort规则，测试通过的snort规则可以保留在snort规则集中，测试未通过的snort规则可以从snort规则集中去除。进一步地，本专利技术实施例提供的另一种优化snort规则集的方法，如图2所示，包括：S201、测试一条snort规则是否命中非恶意流量集合；若是，执行S206，否则，执行S202；S202、测试该snort规则是否命中该snort规则对应的恶意流量集合；若是，执行S203，否则，执行S206；S203、判断该snort规则是否与snort规则集中与该snort规则不同的snort规则命中同一恶意流量集合；若是，执行S204，否则，执行S205；若被测试的snort规则是新获取且未添加到的snort规则集中的snort规则，那么S203也就是判断被测试的snort规则是否与snort规则集中的各条snort本文档来自技高网...

【技术保护点】
1.一种优化snort规则集的方法，其特征在于，包括：测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；根据所述snort规则的测试结果对被测试的snort规则进行处理。

【技术特征摘要】
1.一种优化snort规则集的方法，其特征在于，包括：测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；根据所述snort规则的测试结果对被测试的snort规则进行处理。2.如权利要求1所述的方法，其特征在于，被测试的snort规则为snort规则集中的一条snort规则，或者为新获取、且未添加到snort规则集中的snort规则。3.如权利要求2所述的方法，其特征在于，被测试的snort规则为新获取、且未添加到snort规则集中的snort规则，根据被测试的snort规则的测试结果对被测试的snort规则进行处理，包括：在被测试的snort规则通过测试后，将被测试的snort规则添加到snort规则集中。4.如权利要求1所述的方法，其特征在于，所述方法还包括：在测试所述snort规则时，确定所述snort规则是否与snort规则集中与被测试的snort规则不同的snort规则命中同一恶意流量集合；发出告警信息。5.如权利要求4所述的方法，其特征在于，snort规则集中允许存在发生告警的snort规则，且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则，则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括：将在测试时发生告警的snort规则添加到snort规则集中。6.如权利要求4所述的方法，其特征在于，snort规则集中允许存在相互之间有冲突的snort规则，且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则，则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括：当被测试的snort规则与snort规则集中的snort规则存在冲突，且被测试的snort规则通过测试且无告警时，将被测试的snort规则添加到snort规则集中。7.如权利要求1-6任一所述的方法，其特征在于，所述方法还包括：输出snort规则集时，输出的snort规则集的标识编号为该snort规则集的输出时间，且输出的snort规则集与snort规则集的标识编号一一对应。8.一种优化snort规则集的装置，其特征在于，包括：一个或者多个处理器；存储器；一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时实现：测试一条snort规则是否命中与所述s...

【专利技术属性】
技术研发人员：关墨辰，李林哲，王小丰，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京,11