【技术实现步骤摘要】
本申请涉及文件检测,具体而言,涉及一种文件检测规则生成的方法、存储介质、电子设备及程序产品。
技术介绍
1、随着网络的不断发展和网络复杂化程度不断加深,恶意样本的检测与防御是网络安全领域的关键挑战。
2、目前,在对恶意样本进行检测时,通常通过自定义规则进行模式匹配。自定义规则可以通过手动编写、自动化工具或脚本生成或者通过学习病毒特征训练好的机器模型进行生成。在实际检测中,对于格式相差较大的两种检测规则,两者的检测结果对彼此存在参考意义,但是两种规则不兼容,导致无法深入的对恶意样本进行检测。
3、因此,如何提供一种适用性较广的文件检测规则生成的方法的技术方案成为亟需解决的技术问题。
技术实现思路
1、本申请的一些实施例的目的在于提供一种文件检测规则生成的方法、存储介质、电子设备及程序产品,通过本申请的实施例的技术方案可以实现不同规则间的有效转换,提升对文件检测的深度和广度,提升检测性能。
2、第一方面,本申请的一些实施例提供了一种文件检测规则生成的方法,包括:确认待转换规则中含有目标关键字;提取所述待转换规则中与所述目标关键字相关的其他关键字;按照预设策略对所述目标关键字和所述其他关键字进行转换,生成文件检测规则。
3、本申请的一些实施例通过对待转换规则中的目标关键字进行分析后提取其他关键字,之后对目标关键字和其他关键字按照预设策略进行转换,得到文件检测规则。本申请实施例可以实现不同规则间的有效转换,提升对文件检测的深度和广度,提升检测
4、在一些实施例,所述待转换规则为snort规则,所述文件检测规则为yara规则。
5、本申请的一些实施例可以实现对snort规则和yara规则间的转换,提升检测深度。
6、在一些实施例,所述按照预设策略对所述目标关键字和所述其他关键字进行转换,生成文件检测规则,包括:按照所述预设策略,将所述目标关键字和所述其他关键字进行转换得到转换后关键字;将所述转换后关键字对应填充至规则模板中,确定所述文件检测规则。
7、本申请的一些实施例通过对目标关键字和其他关键字转换得到的转换后关键字填充至规则模板中,得到文件检测规则,可以实现规则的精准和高效转换。
8、在一些实施例,所述预设策略包括:与所述待转换规则中多个不同关键字中每个关键字对应的转换策略。
9、本申请的一些实施例通过对不同关键字采用不同的转换策略,确保转换的精准度。
10、在一些实施例,在所述生成文件检测规则之后,所述方法还包括:利用所述待转换规则对封装有异常样本的传输报文进行检测,确认识别出所述异常样本;利用所述文件检测规则对所述异常样本进行检测,获取告警日志,其中,所述告警日志中包括是否检测出所述异常样本的信息;通过分析所述告警日志,验证所述文件检测规则,得到验证结果,其中,所述验证结果表征所述文件检测规则是否有效。
11、本申请的一些实施例通过恶意样本对生成的文件检测规则进行验证,可以确保文件检测规则的有效性。
12、在一些实施例,在所述确认待转换规则中含有目标关键字之前,所述方法还包括:获取转换规则源文件;对所述转换规则源文件进行遍历,确定所述待转换规则。
13、本申请的一些实施例通过对转换规则源文件进行遍历,确定待转换规则,可以实现规则的批量处理,转换效率较高。
14、在一些实施例,所述转换规则源文件是通过从目标网站、机构账户和开源资源中下载相关规则后形成的。
15、本申请的一些实施例通过从相关资源中下载相关规则形成转换规则源文件,可以为后续规则转换提供最新的规则情报。
16、第二方面,本申请的一些实施例提供了一种文件检测规则生成的装置,包括:确认模块,被配置为确认待转换规则中含有目标关键字;提取模块,被配置为提取所述待转换规则中与所述目标关键字相关的其他关键字;生成模块,被配置为按照预设策略对所述目标关键字和所述其他关键字进行转换,生成文件检测规则。
17、第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
18、第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
19、第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
本文档来自技高网...【技术保护点】
1.一种文件检测规则生成的方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述待转换规则为Snort规则,所述文件检测规则为Yara规则。
3.如权利要求1或2所述的方法,其特征在于,所述按照预设策略对所述目标关键字和所述其他关键字进行转换,生成文件检测规则,包括:
4.如权利要求1或2所述的方法,其特征在于,所述预设策略包括:与所述待转换规则中多个不同关键字中每个关键字对应的转换策略。
5.如权利要求1或2所述的方法,其特征在于,在所述生成文件检测规则之后,所述方法还包括:
6.如权利要求1或2所述的方法,其特征在于,在所述确认待转换规则中含有目标关键字之前,所述方法还包括:
7.如权利要求6所述的方法,其特征在于,所述转换规则源文件是通过从目标网站、机构账户和开源资源中下载相关规则后形成的。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中,所述计算机程序被处理器运行时执行如权利要求1-7中任意一项权利要求所述的方法。
9.一
10.一种计算机程序产品,其特征在于,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器运行时执行如权利要求1-7中任意一项权利要求所述的方法。
...【技术特征摘要】
1.一种文件检测规则生成的方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述待转换规则为snort规则,所述文件检测规则为yara规则。
3.如权利要求1或2所述的方法,其特征在于,所述按照预设策略对所述目标关键字和所述其他关键字进行转换,生成文件检测规则,包括:
4.如权利要求1或2所述的方法,其特征在于,所述预设策略包括:与所述待转换规则中多个不同关键字中每个关键字对应的转换策略。
5.如权利要求1或2所述的方法,其特征在于,在所述生成文件检测规则之后,所述方法还包括:
6.如权利要求1或2所述的方法,其特征在于,在所述确认待转换规则中含有目标关键字之前,所述方法还包括:
7...
【专利技术属性】
技术研发人员:崔圳,范雪俭,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。