【技术实现步骤摘要】
流量检测规则的生成方法、装置、电子设备及存储介质
[0001]本公开涉及网络安全
,尤其涉及一种流量检测规则的生成方法、装置、电子设备及存储介质。
技术介绍
[0002]目前,恶意流量检测已发展成为一个具有多平台、实时流量分析、网络IP(Internet Protocol,互联网协议)数据包记录等特性的强大的网络入侵检测/防御系统。
[0003]相关技术中,恶意流量规则绝大部分要通过人工分析流量,提取特征,然后编写成恶意流量检测规则。具体地,人工浏览各大威胁情报网站,通过下载他人上传的样本和流量,在经过人为分析具有明显特征的恶意流量来编写。
[0004]然而,相关技术中人工编写的恶意流量检测规则,存在流量检测规则的误报、漏报的情况,以及花费大量人工成本和时间。
技术实现思路
[0005]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种流量检测规则的生成方法、装置、电子设备及存储介质。
[0006]第一方面,本公开实施例提供了一种流量检测规则的生成方法,包括:<...
【技术保护点】
【技术特征摘要】
1.一种流量检测规则的生成方法,其特征在于,包括:获取包含标志性片段的流量报文样本;提取所述流量报文样本的协议头,基于所述协议头确定协议类型;根据所述协议类型选择目标方式对所述流量报文样本进行处理,获取相同二进制片段;将所述相同二进制片段写入所述协议类型的模板生成流量检测规则,将所述相同二进制片段添加到特征字典。2.如权利要求1所述的方法,其特征在于,所述获取包含标志性片段的流量报文样本,包括:通过预设方式抓取多个候选流量报文;判断每个所述候选流量报文是否包含所述标志性片段;将包含所述预设标志性片段的候选流量报文作为所述流量报文样本。3.如权利要求1所述的方法,其特征在于,所述协议类型为传输控制协议TCP,所述根据所述协议类型选择目标方式对所述流量报文样本进行处理,获取相同二进制片段,包括:将所述流量报文样本转换为二进制字符串;将所述二进制字符串进行对比,获取所述流量报文样本共有的二进制片段作为所述相同二进制片段。4.如权利要求1所述的方法,其特征在于,所述协议类型为超文本传输协议HTTP,所述根据所述协议类型选择目标方式对所述流量报文样本进行处理,获取相同二进制片段,包括:获取所述流量报文样本的协议头;将所述协议头转为二进制字符串;将所述二进制字符串进行对比,获取所述流量报文样本共有的二进制片段作为所述相同二进制片段。5.如权利要求3或4所述的方法,其特征在于,还包括:获取所述流量报文样本共有的二进制片段作为候选二进制片段;...
【专利技术属性】
技术研发人员:蒋晓青,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。