本申请实施例提供一种基于流量特征的规则生成方法及生成装置,涉及网络安全技术领域。该方法包括获取并解析流量数据包;提取所述流量数据包中的攻击特征;基于所述攻击特征生成防御规则;识别所述防御规则的有效性,并将有效规则发送至待用设备,基于攻击特征生成防御规则,不依赖于现有规则库,且基于防御规则直接给出检测结果,无需用户人工评判,提高了防御效率、减少了工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。率均没有得到解决的问题。率均没有得到解决的问题。
【技术实现步骤摘要】
一种基于流量特征的规则生成方法及生成装置
[0001]本申请涉及网络安全
,具体而言,涉及一种基于流量特征的规则生成方法及生成装置。
技术介绍
[0002]防御规则作为防御检测设备的核心部分,可将安全规则与特定设备相匹配,使得该设备得以实现规则所指定的特定目的。现有的防御检测设备的防御规则依赖于现有规则库实现,且需要定期对规则库进行维护,人工投入成本较大;且有些方法利用Libpcap库,导致该方法仅适用于Linux系统的存储系统且仅适用于入侵检测系统,存在很大的局限性,该方法对于结果仅生成对应告警日志,是否真正存在入侵仍需人工研判,导致工作量和效率均没有得到解决。
技术实现思路
[0003]本申请实施例的目的在于提供一种基于流量特征的规则生成方法及生成装置,基于攻击特征生成防御规则,不依赖于现有规则库,且基于防御规则直接给出检测结果,无需用户人工评判,提高了防御效率、减少了工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
[0004]本申请实施例提供了一种基于流量特征的规则生成方法,所述方法包括:
[0005]获取并解析流量数据包;
[0006]提取所述流量数据包中的攻击特征;
[0007]基于所述攻击特征生成防御规则;
[0008]识别所述防御规则的有效性,并将有效规则发送至待用设备。
[0009]在上述实现过程中,利用攻击特征生成防御规则,由于该防御规则是根据已攻击特征生成的,因此在后续使用过程中,匹配即说明存在入侵动作,不需要生成告警日志然后让用户手动去判断,进而降低入侵检测的判断工作量做到减少人工工作量的同时第一时间对攻击进行处置,因此提高了效率、减少工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
[0010]进一步地,所述提取所述流量数据包中的攻击特征,包括:
[0011]对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
[0012]若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。
[0013]在上述实现过程中,具有一个判断是否存在攻击特征的过程,若存在攻击特征,再进行攻击特征提取。
[0014]进一步地,所述对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征,包括:
[0015]若不存在攻击特征,则基于用户预先设置的识别等级进行深度识别,或者,基于至少一个用户设定漏洞类型进行漏洞识别。
[0016]在上述实现过程中,通过深度识别或特定漏洞识别,可以更快更准确的定位攻击特征,提高了识别结果的准确性。
[0017]进一步地,所述攻击特征包括漏洞类型、数据协议、特征URL和特征参数,所述若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置,包括:
[0018]若所述攻击特征基于HTTP协议,则基于漏洞特征确定漏洞类型;
[0019]识别并提取数据帧的协议层值,以作为所述数据协议;
[0020]提取HTTP协议从第一行提交形式到HTTP版本的数据作为特征URL;
[0021]基于HTTP协议的提交方式定位特征参数。
[0022]在上述实现过程中,以HTTP协议为例,根据HTTP协议的特点可定位到攻击特征具体的位置,准确获取攻击特征。
[0023]进一步地,所述基于所述攻击特征生成防御规则,包括:
[0024]基于所述攻击特征存在的位置选取对应的规则修饰符;
[0025]将所述攻击特征和对应的规则修饰符按照所述防御规则的关键字优先级进行排序,并生成防御规则。
[0026]在上述实现过程中,将攻击特征和对应的规则修饰符按照防御规则的关键字优先级进行排序,可得到最终的防御规则明文,在防御规则生成过程中,不直接使用关键字,从而避免了关键字泄漏问题。
[0027]进一步地,所述识别所述防御规则的有效性,并将有效规则发送至待用设备,包括:
[0028]检测所述防御规则是否存在关键字冲突或者所述防御规则已经存在;
[0029]重放所述流量数据包或者重放对应漏洞类型的预设流量进行告警测试;
[0030]若为有效规则,则根据所述攻击特征生成规则名称;
[0031]将所述规则名称与所述有效规则绑定并生成规则编号;
[0032]将所述有效规则、规则名称和规则编号发送至所述待用设备。
[0033]在上述实现过程中,对防御规则进行有效性检测,包括关键字冲突检测、规则重复检测、漏报检测和误报检测等,确保防御规则的有效性和利用防御规则进行流量识别的结果的准确性,且该防御规则基于攻击特征生成,极大的降低了规则编写的入手难度,即使非专业人员也可在短时间通过图形拼接生成有效的防御或检测规则,明显缩短了对常见漏洞防御的反应时间。
[0034]本申请实施例还提供一种基于流量特征的规则生成装置,所述装置包括:
[0035]获取模块,用于获取并解析流量数据包;
[0036]特征提取模块,用于提取所述流量数据包中的攻击特征;
[0037]规则生成模块,用于基于所述攻击特征生成防御规则;
[0038]有效性检测模块,用于识别所述防御规则的有效性,并将有效规则发送至待用设备。
[0039]在上述实现过程中,利用攻击特征生成防御规则,由于该防御规则是根据已攻击
特征生成的,因此在后续使用过程中,匹配即说明存在入侵动作,不需要生成告警日志然后让用户手动去判断,进而降低入侵检测的判断工作量做到减少人工工作量的同时第一时间对攻击进行处置,因此提高了效率、减少工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
[0040]进一步地,所述特征提取模块包括:
[0041]特征判断模块,用于对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
[0042]记录模块,用于若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。
[0043]在上述实现过程中,具有一个判断是否存在攻击特征的过程,若存在攻击特征,再进行攻击特征提取。
[0044]本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行上述中任一项所述的基于流量特征的规则生成方法。
[0045]本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中一项所述的基于流量特征的规则生成方法。
附图说明
[0046]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于流量特征的规则生成方法,其特征在于,所述方法包括:获取并解析流量数据包;提取所述流量数据包中的攻击特征;基于所述攻击特征生成防御规则;识别所述防御规则的有效性,并将有效规则发送至待用设备。2.根据权利要求1所述的基于流量特征的规则生成方法,其特征在于,所述提取所述流量数据包中的攻击特征,包括:对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。3.根据权利要求2所述的基于流量特征的规则生成方法,其特征在于,所述对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征,包括:若不存在攻击特征,则基于用户预先设置的识别等级进行深度识别,或者,基于至少一个用户设定漏洞类型进行漏洞识别。4.根据权利要求2所述的基于流量特征的规则生成方法,其特征在于,所述攻击特征包括漏洞类型、数据协议、特征URL和特征参数,所述若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置,包括:若所述攻击特征基于HTTP协议,则基于漏洞特征确定漏洞类型;识别并提取数据帧的协议层值,以作为所述数据协议;提取HTTP协议从第一行提交形式到HTTP版本的数据作为特征URL;基于HTTP协议的提交方式定位特征参数。5.根据权利要求4所述的基于流量特征的规则生成方法,其特征在于,所述基于所述攻击特征生成防御规则,包括:基于所述攻击特征存在的位置选取对应的规则修饰符;将所述攻击特征和对应的规则修饰符按照所述防御规则的关键字优先级进...
【专利技术属性】
技术研发人员:蒋晟彰,杨永清,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。