本发明专利技术涉及规则生成技术领域,尤其涉及一种生成入侵检测规则的方法、装置、计算机设备及存储介质,包括:获取使用目标通讯协议的恶意数据帧;确定所述恶意数据帧的请求类型;根据所述请求类型,获取所述恶意数据帧的通信特征数据;根据所述通信特征数据,生成所述恶意数据帧对应的入侵检测规则。相较于现有技术,本申请根据恶意数据帧对应的目标通信协议以及恶意数据帧对应的请求类型,可以快速确定出对应的通信特征数据,然后再根据对应的通信特征数据自动生成对应的入侵检测规则。通过本申请可以快速自动的生成满足条件的恶意数据帧的入侵检测规则。由此,提高了入侵检测规则的生成效率,进而也提高了IDS检测能力。进而也提高了IDS检测能力。进而也提高了IDS检测能力。
Method, device, computer equipment and storage medium for generating intrusion detection rules
【技术实现步骤摘要】
生成入侵检测规则的方法、装置、计算机设备及存储介质
[0001]本专利技术涉及规则生成
,尤其涉及一种生成入侵检测规则的方法、装置、计算机设备及存储介质。
技术介绍
[0002]入侵检测系统(Intrusion Detection System,IDS)为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术,通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵行为。其中,IDS主要利用入侵检测规则(Intrusion Detection Rules)过滤网络的恶意入侵行为。
[0003]相关技术中存在入侵检测规则生成效率低下,IDS检测能力较低的问题。
技术实现思路
[0004]有鉴于此,本专利技术提供一种生成入侵检测规则的方法、装置、计算机设备及存储介质,至少部分解决现有技术中存在的入侵检测规则生成效率低下,IDS检测能力较低的问题。
[0005]根据本申请的第一个方面,提供了一种生成入侵检测规则的方法,包括:
[0006]获取使用目标通讯协议的恶意数据帧。
[0007]确定所述恶意数据帧的请求类型。
[0008]根据所述请求类型,获取所述恶意数据帧的通信特征数据。
[0009]根据所述通信特征数据,生成所述恶意数据帧对应的入侵检测规则。
[0010]作为本申请一种可能的实现方式,所述获取使用目标通讯协议的恶意数据帧,包括:
[0011]将数据包中使用所述目标通讯协议的数据帧确定为目标数据帧。
[0012]根据每一所述目标数据帧的域名,确定出恶意数据帧。
[0013]作为本申请一种可能的实现方式,在所述获取使用目标通讯协议的恶意数据帧之前,所述方法还包括:
[0014]获取数据包。
[0015]确定所述数据包的文件格式。
[0016]若所述文件格式为目标格式,则将数据包中使用所述目标通讯协议的数据帧确定为目标数据帧。
[0017]作为本申请一种可能的实现方式,将数据包中使用目标通讯协议的数据帧确定为目标数据帧,包括:
[0018]获取所述数据包中每一数据帧的设定字段的第一内容。
[0019]根据每一所述数据帧对应的所述第一内容,确定每一所述数据帧对应的通讯协议。
[0020]将所述通讯协议为所述目标通讯协议的数据帧,确定为目标数据帧。
[0021]作为本申请一种可能的实现方式,所述确定所述恶意数据帧的请求类型,包括:
[0022]获取所述恶意数据帧的设定字段的第一内容。
[0023]根据所述第一内容,确定所述恶意数据帧对应的所述请求类型。
[0024]作为本申请一种可能的实现方式,所述根据所述请求类型,获取所述恶意数据帧的通信特征数据,包括:
[0025]根据所述请求类型,确定目标提取规则。
[0026]使用所述目标提取规则,对所述恶意数据帧进行信息提取,得到所述通信特征数据。
[0027]作为本申请一种可能的实现方式,所述根据所述通信特征数据,生成所述恶意数据帧对应的入侵检测规则,包括:
[0028]根据所述请求类型,确定目标规则模板。
[0029]根据所述通信特征数据和所述目标规则模板,生成所述恶意数据帧对应的入侵检测规则。
[0030]根据本申请的第二个方面,提供了一种生成入侵检测规则的装置,包括:
[0031]第一获取模块,用于获取使用目标通讯协议的恶意数据帧。
[0032]确定模块,用于确定所述恶意数据帧的请求类型。
[0033]第二获取模块,用于根据所述请求类型,获取所述恶意数据帧的通信特征数据。
[0034]生成模块,用于根据所述通信特征数据,生成所述恶意数据帧对应的入侵检测规则。
[0035]根据本申请的第三个方面,提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的生成入侵检测规则的方法。
[0036]根据本申请的第四个方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现所述的生成入侵检测规则的方法。
[0037]本公开的实施例提供的技术方案可以包括以下有益效果:
[0038]现有技术中通常通过人工对恶意数据帧进行多维度分析后确定出对应的入侵检测规则,其中,对于一些具有固定通信特征数据的恶意数据帧同样要反复经过人工分析后才能确定入侵检测规则,由此,由于存在大量的简单重复工作,进而降低了入侵检测规则的生成效率。
[0039]相较于现有技术,本申请根据恶意数据帧对应的目标通信协议以及恶意数据帧对应的请求类型,可以快速确定出对应的通信特征数据,然后再根据对应的通信特征数据自动生成对应的入侵检测规则。通过本申请可以快速自动的生成满足条件的恶意数据帧的入侵检测规则。由此,提高了入侵检测规则的生成效率,进而也提高了IDS的检测能力。
[0040]应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
[0041]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附
图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0042]图1为本专利技术一实施例中一种生成入侵检测规则的方法的流程示意图。
[0043]图2为本专利技术一实施例中一种生成入侵检测规则的装置的结构框图。
具体实施方式
[0044]下面结合附图对本专利技术实施例进行详细描述。
[0045]需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
[0046]需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
[0047]根据本申请的第一个方面,如图1所示,提供了一种生成入侵检测规则的方法,包括:
[0048]步骤S100:获取使用目标通讯协议的恶意数据帧。目标通讯协议可以为符合本实施例的方法的任一通讯协议。恶意数据帧指携带有对网络或网络系统中的设备造成危害的数据内容的数据帧。
[0049]在具体实施时,可以预先确本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种生成入侵检测规则的方法,其特征在于,包括:获取使用目标通讯协议的恶意数据帧;确定所述恶意数据帧的请求类型;根据所述请求类型,获取所述恶意数据帧的通信特征数据;根据所述通信特征数据,生成所述恶意数据帧对应的入侵检测规则。2.根据权利要求1所述的方法,其特征在于,所述获取使用目标通讯协议的恶意数据帧,包括:将数据包中使用所述目标通讯协议的数据帧确定为目标数据帧;根据每一所述目标数据帧的域名,确定出恶意数据帧。3.根据权利要求2所述的方法,其特征在于,在所述获取使用目标通讯协议的恶意数据帧之前,所述方法还包括:获取数据包;确定所述数据包的文件格式;若所述文件格式为目标格式,则将数据包中使用所述目标通讯协议的数据帧确定为目标数据帧。4.根据权利要求2所述的方法,其特征在于,将数据包中使用目标通讯协议的数据帧确定为目标数据帧,包括:获取所述数据包中每一数据帧中的设定字段的第一内容;根据每一所述数据帧对应的所述第一内容,确定每一所述数据帧对应的通讯协议;将所述通讯协议为所述目标通讯协议的数据帧,确定为目标数据帧。5.根据权利要求1所述的方法,其特征在于,所述确定所述恶意数据帧的请求类型,包括:获取所述恶意数据帧的设定字段的第一内容;根据所述第一内容,确定所述恶意数据帧对应的所述请求类型。6.根据...
【专利技术属性】
技术研发人员:杨子豪,刘佳男,肖新光,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。