CN103384213A - 一种检测规则优化配置方法及设备 - Google Patents

一种检测规则优化配置方法及设备 Download PDF

Info

Publication number
CN103384213A
CN103384213A CN2011104595313A CN201110459531A CN103384213A CN 103384213 A CN103384213 A CN 103384213A CN 2011104595313 A CN2011104595313 A CN 2011104595313A CN 201110459531 A CN201110459531 A CN 201110459531A CN 103384213 A CN103384213 A CN 103384213A
Authority
CN
China
Prior art keywords
equipment
message
study
rule
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011104595313A
Other languages
English (en)
Other versions
CN103384213B (zh
Inventor
蒋武
王涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Symantec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Symantec Technologies Co Ltd filed Critical Huawei Symantec Technologies Co Ltd
Priority to CN201110459531.3A priority Critical patent/CN103384213B/zh
Priority to ES12862305.5T priority patent/ES2609861T3/es
Priority to PCT/CN2012/080571 priority patent/WO2013097476A1/zh
Priority to EP12862305.5A priority patent/EP2760162B1/en
Publication of CN103384213A publication Critical patent/CN103384213A/zh
Priority to US14/300,409 priority patent/US9411957B2/en
Application granted granted Critical
Publication of CN103384213B publication Critical patent/CN103384213B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种检测规则优化配置方法及设备,其中,所述方法包括:接收网络流量;提取所述网络流量中的报文,并根据所述报文的特征识别所述网络中使用的协议相关信息;保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表;根据所述相关协议信息,从漏洞规则库中匹配出对应规则项,生成第一精简规则集。通过本发明生成的精简规则集,使得之后的协议检测只针对现网中可能出现的协议威胁进行,因此,减少了之后需要检测的内容,提高了检测的效率,同时避免了不必要的性能消耗。

Description

一种检测规则优化配置方法及设备
技术领域
本发明涉及检测规则配置领域,尤其是涉及一种检测规则优化配置方法及设备。
背景技术
随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的威胁越来越多。为保护系统的安全,需要对网络进行威胁检测。其中协议内容检测是威胁检测的一种。
以IPS设备为例,现有的协议内容检测主要采用模式匹配来进行,即对应不同的协议配置有不同的检测规则。在IPS设备中提供了自定义规则的功能,通过用户自行添加、开启或关闭某些检测规则来进行检测。但现有的协议类型有上千种,其具体的协议种类更是数以万计。要准确的配置检测规则需要由丰富的经验,而且需要消耗大量时间。现在大多数的用户都是采用直接开启全部协议检测规则的方式进行检测。在IPS威胁检测中,其绝大部分的性能消耗在协议内容检测部分,因此,采用现有的直接开启协议检测规则的方式,会对网络中不会出现的协议威胁也会检测,导致IPS消耗了很多不必要的资源,降低了IPS检测的效率和性能。
发明内容
本发明提供了一种检测规则优化配置方法及设备,通过学习现网中的流量,识别出现网中使用的协议相关信息,并根据协议相关信息生成精简规则集,使得之后的协议检测只针对现网中可能出现的协议威胁进行,因此,减少了之后需要检测的内容,提高了检测的效率,同时避免了不必要的性能消耗。
本发明提供了一种检测规则优化配置方法,所述方法包括:
接收网络流量;
提取所述网络流量中的报文,并根据所述报文的特征识别所述网络中使用的协议相关信息;
保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表;
根据所述相关协议信息,从漏洞规则库中匹配出对应规则项,生成第一精简规则集。
可选的,所述方法还包括:
依据所述第一精简规则集进行协议威胁检测。
可选的,所述方法还包括:
将所述第一精简规则集和所述第一学习关联表发送至用户;
当所述用户确认所述第一精简规则集时,下发所述第一精简规则集至所述设备。
可选的,所述方法还包括:
当所述用户更改所述相关协议信息时,保存所述更改后的相关协议信息至第二学习关联表;
根据所述第二学习关联表,从漏洞规则库中匹配出对应规则项,生成第二精简规则集。
可选的,所述方法还包括:
设置学习范围;
所述提取所述网络流量中的报文包括;
提取所述学习范围内的流量中的报文。
可选的,所述方法还包括:
设置有效流量数值范围;
所述提取所述网络流量中的报文包括:。
提取所述网络流量中在所述有效流量数值范围内的流量的报文。
本发明还提供了一种优化配置检测规则的设备,所述设备包括:
流量接收单元,用于接收网络流量;
提取单元,用于提取所述网络流量中的报文;
信息识别单元,用于根据所述报文的特征识别所述网络中使用的协议相关信息;
第一保存单元,用于保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表;
第一精简规则集单元,用于根据所述相关协议信息,从漏洞规则库中匹配出对应规则项,生成第一精简规则集。
可选的,所述设备还包括:
检测单元,用于依据所述第一精简规则集对协议进行检测。
可选的,所述设备还包括:
发送单元,用于将所述第一精简规则集和所述第一学习关联表发送至用户;
接收单元,用于当所述用户确认所述第一精简规则集时,接收所述用户下发的所述第一精简规则集。
可选的,所述设备还包括:
第二保存单元,用于当所述用户更改所述相关协议信息时,保存所述更改后的相关协议信息至第二学习关联表;
所述精简规则集单元,还用于根据所述第二学习关联表,从漏洞规则库中匹配出对应的规则项,生成第二精简规则集。
可选的,所述设备还包括:
第一设置单元,用于设置学习范围;
所述提取单元,还用于提取所述学习范围内的流量的报文。
可选的,所述设备还包括:
第二设置单元,用于设置有效流量数值范围;
所述提取单元,还用于提取所述网络流量中在所述有效流量数值范围内的流量的报文。
与现有技术相比,本发明具有如下有益效果:
本发明提供的方法通过对现网中的流量进行学习识别,获得现网中使用的协议信息,并根据协议信息从漏洞规则库中筛选检测规则,使得生成的精简规则集与现网中使用的协议相对应。应用该精简规则集进行检测时,只需对现网中使用的协议进行检测。解决了现有技术中,用户选择全部检测规则,从而在检测时需要对全部协议进行检测的问题,提高了检测效率,同时避免了不必要的性能消耗。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明方法实施例1流程图;
图2是本发明实施例中流量学习前第一学习关联表示意图;
图3是本发明实施例中流量学习后第一学习关联表示意图;
图4是本发明设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,本发明实施例1提供了一种检测规则优化配置方法,其特征在于,所述方法包括:
S11、接收网络流量。
以IPS设备为例,其协议检测采用模式匹配的方式。即对应不同的协议有不同的检测规则。我们知道不同的协议有不同的漏洞,其威胁来源于对这些漏洞的攻击。因此在对一项协议检测时,只需要匹配相应的漏洞检测规则即可。因此,为正确匹配漏洞检测规则,需要首先知道现网中使用的协议类型。
具体的,可以在IPS设备接入网络的前期,对现实网络的流量进行学习。
S12、提取所述网络流量中的报文,并根据所述报文的特征识别所述网络中使用的协议相关信息。
其中协议相关信息具体的包括协议名称,应用协议名称即应用类型,端口号,服务器软件名称和服务器软件版本等信息中的一项或多项的组合。
为使报文正确的传送,会在报文中设置与传送该报文的协议相关的信息。因此,可以提取学习过程中获得的流量中的报文,对其进行特征识别,获得相关的协议信息。具体的可以根据报文的特征识别出协议名称和应用类型。进一步的通过对应用类型做深入分析获得端口号、服务器软件名称和服务器软件版本信息。这些协议信息是与之后提到的漏洞规则库的存储信息相关的。其具体关系将在之后的内容中描述。
S13、保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表。
获得的相关协议信息在存储时,与同一流量对应的信息是关联存储的。比如对一流量进行识别,得到其协议为TCP,其应用协议为HTTP,其端口为80,其服务器软件名称为Apache HTTPD,服务器软件版本为2.2.3。那么在第一学习关联表中不仅要存储上述信息,还要存储上述信息间的对应关系。
用户一般只在一定的网络范围内进行数据的传输。因此,不会用到所述网络范围外的协议,也就无需对所述网络范围外使用的协议类型进行检测。为此,在本发明的实施例2中,可预先设置学习范围,以对指定的流量进行学习。此时,只需要提取学习范围内的流量的报文进行识别,并将得到的相关协议信息保存在第一学习关联表中。具体的,可以设置要学习的网段或IP地址。具体实施时,可以采用设置多个选项供用户选择的方式,也可以采用由用户自行输入的方式。当用户未选择选项或未输入时,可设置对全网流量进行学习。
S14、根据所述相关协议信息,从漏洞规则库中匹配出对应规则项,生成第一精简规则集。
漏洞规则库是一种系统安全评估工具。其中存储有各种协议对应的漏洞规则。如在一漏洞规则库中存储有:
[邮件服务]SendMail 7.0漏洞规则300条;
[邮件服务]SendMail 8.0漏洞规则200条;
[邮件服务]Exchange Server 2007漏洞规则500条;
[邮件服务]Exchange Server 2010漏洞规则300条;
[FTP服务]ProFTP 1.2.0漏洞规则1000条;
[FTP服务]ProFTP 1.3.0漏洞规则500条。
从以上描述可以看出,在漏洞规则库中,漏洞规则即检测规则是对应应用协议,应用服务器软件名称和应用服务器软件版本等协议信息设置的。因此,根据识别出的协议信息就可以获得相应的漏洞规则。比如识别出的协议信息是:应用协议为FTP,应用服务器软件名称为ProFTP,版本为1.2.0。那么对应的检测规则就有1000条。
当识别出多组协议信息时,从漏洞规则库中获取对应的检测规则进行综合,就形成了第一精简规则集。
在某些情况下,用户只希望保护和检测一定数值范围内的流量比如较大的流量,而不关注其它的流量。因此,在本发明的实施例3中,所述的方法还包括:
设置有效流量数值范围。比如设置该范围为5%-80%。有时用户希望保护的流量在几个不连续的范围内时,可以设置多个范围,比如5%-30%,45%-90%。
因为在具体的应用中,较小的流量是用户所不关注的。因此,可以通过设置阈值的方式来设定检测的范围。比如设定5%,那么低于5%的流量就是用户所不关注,也不希望保护的范围。因此,用户可只提取网络流量中在有效流量数值范围内的流量的报文,并进行识别获得对应的协议信息后保存。
在本发明中,有时对流量的识别在对流量的数值统计之前,即在还不能获知流量大小之前,就已经通过对报文特征的识别获得了相应的协议信息。此时,需要先将所有识别出的相应协议信息保存在第一学习关联表中,并将之后统计的流量大小也对应保存在第一学习关联表中。
之后,根据设置的有效流量数值范围,将第一学习关联表中在设置的有效数值范围之外的流量及对应的协议信息删除,生成新的学习关联表。并根据新的学习关联表,从漏洞规则库中筛选规则项,生成精简规则集。
本发明实施例2和实施例3实质是对流量在网络地址范围和大小范围的设置。两种设置方式可以分别进行,也可以同时进行。
生成的精简规则集可以直接应用到设备中。用户可通过日志信息查看具体的优化配置记录。为确保准确,在本发明的实施例4中,可以先发送至用户处,由用户最终确认,具体过程如下:
将所述第一精简规则集和所述第一学习关联表发送至用户。
具体的,用户可通过对第一学习关联表中的信息进行查看,来获知设备学习的结果是否和实际网络环境一致。为使结果更精确,可在设备学习阶段将获取的流量数值信息同时保存在第一学习关联表中。
需要说明的是,在设置了学习范围和有效流量数值范围的情况下,用户在对信息进行查看时,只对设置范围内的信息进行检验即可。
当所述用户确认所述第一精简规则集时,下发所述第一精简规则集至所述设备。
当学习结果即第一学习关联表中的信息与实际网络环境一致时,用户发出确认信息,将第一精简规则集下发到所述设备中。
当用户经查看,认为学习关联表中的信息与实际网络环境不一致时,可根据实际情况进行更改,所述设备保存所述更改后的相关协议信息至第二学习关联表;并根据所述第二学习关联表生成第二精简规则集。
在本发明实施例中,参见图1,还包括:
S15、依据所述第一精简规则集进行协议威胁检测。
配置精简规则集的最终目的是用于提供IPS设备进行协议检测的规则。因此,当IPS设备中生成精简规则集后,就会按照该精简规则集进行协议检测。
本发明实施例5以设置的学习范围为:网段DMZ,IP地址为IP1-IP2,有效流量阈值为5%为例,对本发明的过程进行详细描述。
首先,通过用户输入的方式在对应网段、IP地址和有效流量阈值的空白处输入:DMZ,IP1-IP2,5%。
设置完成后,IPS设备生成第一学习关联表,为后续工作做准备。如图2所示,生成的第一学习关联表包含学习设置和学习内容两部分。其中学习设置份学习对象和有效流量阈值两栏。学习内容部份有协议,应用协议,流量,端口,服务器软件,应用版本共6栏内容。其中流量一栏代表流量的数值大小,其初始值均未0%。
IPS设备接收到现网流量后,先对流量进行筛选,将DMZ,IP1-IP2范围外的流量忽略。接着提取流量中的报文,并对报文进行特征识别,获得协议和应用协议信息。对应用协议进行深入分析,识别应用协议所使用的服务器软件名称、版本、端口等信息。将上述信息对应保存在第一学习关联表中。统计流量数值信息,并对应保存在第一学习关联表中。此时,第一学习关联表如图3所示,在对应栏内保存有获得的相应信息。
将第一学习关联表中低于5%的流量以及对应该流量的其他信息删除。即将图3中,流量为0.1%的流量及对应的协议信息删除。
本发明中提供的漏洞规则库如下:
[Web服务]Apache 1.0漏洞规则5000条;
[Web服务]Apache 2.0漏洞规则3000条;
[Web服务]Apache HTTPD 2.2.3漏洞规则1000条;
[Web服务]Apache Tomcat 5.0漏洞规则500条;
[Web服务]Apache Tomcat 6.0.1漏洞规则500条;
[Web服务]IIS 1.0漏洞规则3000条;
[Web服务]IIS 2.0漏洞规则2000条;
[FTP服务]ProFTP 1.2.0漏洞规则1000条;
[FTP服务]ProFTP 1.3.0漏洞规则500条;
[邮件服务]SendMail 7.0漏洞规则300条;
[邮件服务]SendMail 8.0漏洞规则200条;
[邮件服务]Exchange Server 2007漏洞规则500条;
[邮件服务]Exchange Server 2010漏洞规则300条;
[数据库服务]MySQL 4.0漏洞规则1000条;
[数据库服务]MySQL 4.1漏洞规则500条;
[数据库服务]MySQL 5.0漏洞规则500条;
[数据库服务]MySQL5.1漏洞规则300条;
[数据库服务]SQLServer 2000漏洞规则300条;
[数据库服务]SQLServer 2005漏洞规则200条;
[数据库服务]SQLServer 2008漏洞规则250条。
HTTP应用协议对应的是Web服务,FTP应用协议对应的是FTP服务,NFS应用协议对应的是NFS服务,SMTP和POP3应用协议对应的是邮件服务。
接下来提取对应的规则集:
Web服务相关
根据学习结果Apache HTTPD 2.2.3和Apache Tomcat 6.0.1,从漏洞规则库中提取如下规则:
[Web服务]Apache HTTPD 2.2.3漏洞规则1000条;
[Web服务]Apache Tomcat 6.0.1漏洞规则500条。
FTP服务相关
根据学习结果ProFTP 1.3.0,从漏洞规则库中提取如下规则:
[FTP服务]ProFTP 1.3.0漏洞规则500条。
邮件服务相关
在学习阶段发现了存在邮件协议流量,但是未识别出具体所使用的软件,故从漏洞规则库中将全部的邮件漏洞规则提取:
[邮件服务]SendMail 7.0漏洞规则300条;
[邮件服务]SendMail 8.0漏洞规则200条;
[邮件服务]Exchange Server 2007漏洞规则500条;
[邮件服务]Exchange Server 2010漏洞规则300条。
数据库服务相关
由于在学习阶段未发现数据库服务流量,故认为现实网络中不存在该服务,不提取数据库服务对应的规则。
将上面提取的规则汇总为如下规则集:
[Web服务]Apache HTTPD 2.2.3漏洞规则1000条;
[Web服务]Apache Tomcat 6.0.1漏洞规则500条;
[FTP服务]ProFTP 1.3.0漏洞规则500条;
[邮件服务]SendMail 7.0漏洞规则300条;
[邮件服务]SendMail 8.0漏洞规则200条;
[邮件服务]Exchange Server 2007漏洞规则500条;
[邮件服务]Exchange Server 2010漏洞规则300条。
最后,将学习结果、精简后的规则集一并推送给用户确认,确认后下发到IPS设备用于进行协议检测。
综上所述,本发明提供的方法通过对现网中的流量进行学习识别,获得现网中使用的协议信息,并根据协议信息从漏洞规则库中筛选检测规则,使得生成的精简规则集与现网中使用的协议相对应。应用该精简规则集进行检测时,只需对现网中使用的协议进行检测,解决了现有技术中,用户选择全部检测规则,从而在检测时需要对全部协议进行检测的问题,提高了检测效率,同时避免了不必要的性能消耗。而且,网络中使用的协议经常发生变化,用户不易察觉,采用本发明的方法,使得配置的精简规则集能实时对应于现时使用的协议类型。
本发明实施例6还提供了一种优化配置检测规则的设备,参见图4,所述设备包括:
11、流量接收单元,用于接收网络流量。
12、提取单元,用于提取所述网络流量中的报文。
用户一般只在一定的网络范围内进行数据的传输。因此,不会用到所述网络范围外的协议,也就无需对所述网络范围外使用的协议类型进行检测。为此,在本发明的实施例中,所述设备还包括:第一设置单元,用于设置学习范围。所述提取单元,还用于提取所述学习范围内的流量的报文。具体的,可以设置要学习的网段或IP地址。具体实施时,可以采用设置多个选项供用户选择的方式,也可以采用由用户自行输入的方式。当用户未选择选项或未输入时,可设置对全网流量进行学习。
13、信息识别单元,用于根据所述报文的特征识别所述网络中使用的协议相关信息;其中所述相关信息包括协议名称,应用类型,端口号,服务器软件名称和服务器软件版本;
14、第一保存单元,用于保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表;
15、第一精简规则集单元,用于根据所述相关协议信息,从漏洞规则库中匹配出对应规则项,生成第一精简规则集。
在某些情况下,用户只希望保护和检测一定数值范围内的流量比如较大的流量,而不关注其它的流量。因此,在本发明的另一实施例中,所述设备还包括:第二设置单元,用于设置有效流量数值范围。
所述所述提取单元,还用于提取所述网络流量中在所述有效流量数值范围内的流量的报文。
在本发明中,有时对流量的识别在对流量的数值统计之前,即在还不能获知流量大小之前,就已经通过对报文特征的识别获得了相应的协议信息。此时,需要先将所有识别出的相应协议信息保存在第一学习关联表中,并将之后统计的流量大小也对应保存在第一学习关联表中。
之后,根据设置的有效流量数值范围,将第一学习关联表中在设置的有效数值范围之外的流量及对应的协议信息删除,生成新的学习关联表。并根据新的学习关联表,从漏洞规则库中筛选规则项,生成精简规则集。
生成的精简规则集可以直接应用到设备中。用户可通过日志信息查看具体的优化配置记录。为确保准确,在本发明的具体实施例中,所述设备还包括:
发送单元,用于将所述第一精简规则集和所述第一学习关联表发送至用户。
具体的,用户可通过对第一学习关联表中的信息进行查看,来获知设备学习的结果是否和实际网络环境一致。为使结果更精确,可在设备学习阶段将获取的流量数值信息同时保存在第一学习关联表中。
需要说明的是,在设置了学习范围和有效流量数值范围的情况下,用户在对信息进行查看时,只对设置范围内的信息进行检验即可。
接收单元,用于当所述用户确认所述第一精简规则集时,接收所述用户下发的所述第一精简规则集。
当学习结果即第一学习关联表中的信息与实际网络环境一致时,所述设备还包括用户发出确认信息,将第一精简规则集下发到所述设备中。
当用户经查看,认为学习关联表中的信息与实际网络环境不一致时,所述设备还包括第二保存单元,用于当所述用户更改所述相关协议信息时,保存所述更改后的相关协议信息至第二学习关联表。
所述精简规则集单元,还用于根据所述第二学习关联表,从漏洞规则库中筛选出规则项,生成第二精简规则集。
配置精简规则集的最终目的是用于提供IPS设备进行协议检测的规则。因此,在本发明的实施例中,参见图4,所述设备还包括:
16、检测单元,用于依据所述第一精简规则集对协议进行威胁检测。
以上对本发明所提供的一种检测规则优化配置方法及设备进行了介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (12)

1.一种检测规则优化配置方法,其特征在于,所述方法包括:
接收网络流量;
提取所述网络流量中的报文,并根据所述报文的特征识别所述网络中使用的协议相关信息;
保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表;
根据所述相关协议信息,从漏洞规则库中匹配出对应规则项,生成第一精简规则集。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
依据所述第一精简规则集进行协议威胁检测。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述第一精简规则集和所述第一学习关联表发送至用户;
当所述用户确认所述第一精简规则集时,下发所述第一精简规则集至所述设备。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述用户更改所述相关协议信息时,保存所述更改后的相关协议信息至第二学习关联表;
根据所述第二学习关联表,从漏洞规则库中匹配出对应规则项,生成第二精简规则集。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
设置学习范围;
所述提取所述网络流量中的报文包括;
提取所述学习范围内的流量中的报文。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
设置有效流量数值范围;
所述提取所述网络流量中的报文包括:。
提取所述网络流量中在所述有效流量数值范围内的流量的报文。
7.一种优化配置检测规则的设备,其特征在于,所述设备包括:
流量接收单元,用于接收网络流量;
提取单元,用于提取所述网络流量中的报文;
信息识别单元,用于根据所述报文的特征识别所述网络中使用的协议相关信息;
第一保存单元,用于保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表;
第一精简规则集单元,用于根据所述相关协议信息,从漏洞规则库中匹配出对应规则项,生成第一精简规则集。
8.根据权利要求7所述的设备,其特征在于,所述设备还包括:
检测单元,用于依据所述第一精简规则集对协议进行威胁检测。
9.根据权利要求7所述的设备,其特征在于,所述设备还包括:
发送单元,用于将所述第一精简规则集和所述第一学习关联表发送至用户;
接收单元,用于当所述用户确认所述第一精简规则集时,接收所述用户下发的所述第一精简规则集。
10.根据权利要求9所述的设备,其特征在于,所述设备还包括:
第二保存单元,用于当所述用户更改所述相关协议信息时,保存所述更改后的相关协议信息至第二学习关联表;
所述精简规则集单元,还用于根据所述第二学习关联表,从漏洞规则库中匹配出对应的规则项,生成第二精简规则集。
11.根据权利要求7所述的设备,其特征在于,所述设备还包括:
第一设置单元,用于设置学习范围;
所述提取单元,还用于提取所述学习范围内的流量的报文。
12.根据权利要求7所述的设备,其特征在于,所述设备还包括:
第二设置单元,用于设置有效流量数值范围;
所述提取单元,还用于提取所述网络流量中在所述有效流量数值范围内的流量的报文。
CN201110459531.3A 2011-12-31 2011-12-31 一种检测规则优化配置方法及设备 Active CN103384213B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201110459531.3A CN103384213B (zh) 2011-12-31 2011-12-31 一种检测规则优化配置方法及设备
ES12862305.5T ES2609861T3 (es) 2011-12-31 2012-08-24 Método y dispositivo para configurar y optimizar una regla de detección
PCT/CN2012/080571 WO2013097476A1 (zh) 2011-12-31 2012-08-24 一种检测规则优化配置方法及设备
EP12862305.5A EP2760162B1 (en) 2011-12-31 2012-08-24 Method and device for detecting rule optimization configuration
US14/300,409 US9411957B2 (en) 2011-12-31 2014-06-10 Method and device for optimizing and configuring detection rule

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110459531.3A CN103384213B (zh) 2011-12-31 2011-12-31 一种检测规则优化配置方法及设备

Publications (2)

Publication Number Publication Date
CN103384213A true CN103384213A (zh) 2013-11-06
CN103384213B CN103384213B (zh) 2017-07-21

Family

ID=48696319

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110459531.3A Active CN103384213B (zh) 2011-12-31 2011-12-31 一种检测规则优化配置方法及设备

Country Status (5)

Country Link
US (1) US9411957B2 (zh)
EP (1) EP2760162B1 (zh)
CN (1) CN103384213B (zh)
ES (1) ES2609861T3 (zh)
WO (1) WO2013097476A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017054685A1 (en) * 2015-10-02 2017-04-06 Huawei Technologies Co., Ltd. Methodology to improve the anomaly detection rate
CN110336798A (zh) * 2019-06-19 2019-10-15 南京中新赛克科技有限责任公司 一种基于dpi的报文匹配过滤方法及其装置
CN110933094A (zh) * 2019-12-04 2020-03-27 深信服科技股份有限公司 一种网络安全设备及其smb漏洞检测方法、装置和介质
CN111064730A (zh) * 2019-12-23 2020-04-24 深信服科技股份有限公司 网络安全检测方法、装置、设备及存储介质
CN115102734A (zh) * 2022-06-14 2022-09-23 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104363135B (zh) * 2014-11-13 2017-11-10 凌云天博光电科技股份有限公司 有线电视网络设备风险检测方法及装置
US10320813B1 (en) 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
CN106921637B (zh) * 2015-12-28 2020-02-14 华为技术有限公司 网络流量中的应用信息的识别方法和装置
US9972092B2 (en) 2016-03-31 2018-05-15 Adobe Systems Incorporated Utilizing deep learning for boundary-aware image segmentation
US10609119B2 (en) * 2017-11-03 2020-03-31 Salesforce.Com, Inc. Simultaneous optimization of multiple TCP parameters to improve download outcomes for network-based mobile applications
JP7167585B2 (ja) * 2018-09-20 2022-11-09 富士フイルムビジネスイノベーション株式会社 障害検出装置、障害検出方法及び障害検出プログラム
US11621970B2 (en) * 2019-09-13 2023-04-04 Is5 Communications, Inc. Machine learning based intrusion detection system for mission critical systems
CN112532565B (zh) * 2019-09-17 2022-06-10 中移(苏州)软件技术有限公司 一种网络数据包检测方法、装置、终端及存储介质
CN111314289B (zh) * 2019-12-26 2022-04-22 青岛海天炜业过程控制技术股份有限公司 一种识别基于以太网的工控协议危险通讯数据的方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1996892A (zh) * 2006-12-25 2007-07-11 杭州华为三康技术有限公司 网络攻击检测方法及装置
CN101018121A (zh) * 2007-03-15 2007-08-15 杭州华为三康技术有限公司 日志的聚合处理方法及聚合处理装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7305708B2 (en) * 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7966659B1 (en) * 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
US7966655B2 (en) * 2006-06-30 2011-06-21 At&T Intellectual Property Ii, L.P. Method and apparatus for optimizing a firewall
US20090271857A1 (en) * 2008-04-25 2009-10-29 Jia Wang Method and apparatus for filtering packets using an approximate packet classification
CN101577675B (zh) * 2009-06-02 2011-11-09 杭州华三通信技术有限公司 IPv6网络中邻居表保护方法及邻居表保护装置
US8307418B2 (en) * 2010-03-16 2012-11-06 Genband Inc. Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1996892A (zh) * 2006-12-25 2007-07-11 杭州华为三康技术有限公司 网络攻击检测方法及装置
CN101018121A (zh) * 2007-03-15 2007-08-15 杭州华为三康技术有限公司 日志的聚合处理方法及聚合处理装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017054685A1 (en) * 2015-10-02 2017-04-06 Huawei Technologies Co., Ltd. Methodology to improve the anomaly detection rate
US10541903B2 (en) 2015-10-02 2020-01-21 Futurewei Technologies, Inc. Methodology to improve the anomaly detection rate
CN110336798A (zh) * 2019-06-19 2019-10-15 南京中新赛克科技有限责任公司 一种基于dpi的报文匹配过滤方法及其装置
CN110933094A (zh) * 2019-12-04 2020-03-27 深信服科技股份有限公司 一种网络安全设备及其smb漏洞检测方法、装置和介质
CN111064730A (zh) * 2019-12-23 2020-04-24 深信服科技股份有限公司 网络安全检测方法、装置、设备及存储介质
CN115102734A (zh) * 2022-06-14 2022-09-23 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法
CN115102734B (zh) * 2022-06-14 2024-02-20 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法

Also Published As

Publication number Publication date
EP2760162A4 (en) 2015-01-14
WO2013097476A1 (zh) 2013-07-04
ES2609861T3 (es) 2017-04-24
EP2760162B1 (en) 2016-10-12
EP2760162A1 (en) 2014-07-30
CN103384213B (zh) 2017-07-21
US20140289856A1 (en) 2014-09-25
US9411957B2 (en) 2016-08-09

Similar Documents

Publication Publication Date Title
CN103384213A (zh) 一种检测规则优化配置方法及设备
CN107087001B (zh) 一种分布式的互联网重要地址空间检索系统
CN104767757B (zh) 基于web业务的多维度安全监测方法和系统
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN103927307B (zh) 一种识别网站用户的方法和装置
CN107196910A (zh) 基于大数据分析的威胁预警监测系统、方法及部署架构
CN101399710B (zh) 一种协议格式异常检测方法及系统
CN109842588B (zh) 网络数据检测方法及相关设备
CN105357195A (zh) web访问的越权漏洞检测方法及装置
CN104615760A (zh) 钓鱼网站识别方法和系统
CN101826996A (zh) 域名系统流量检测方法与域名服务器
CN106104550A (zh) 网站信息提取装置、系统、网站信息提取方法以及网站信息提取程序
CN104640105A (zh) 手机病毒分析和威胁关联的方法和系统
CN115296888B (zh) 数据雷达监测系统
CN102902722B (zh) 一种信息安全性的处理方法和系统
CN108595310A (zh) 一种日志处理方法及装置
CN108734493A (zh) 一种广告定向投放控制方法、监测方法及装置
CN108985053A (zh) 分布式数据处理方法及装置
CN103647774A (zh) 基于云计算的web内容信息过滤方法
CN109696892A (zh) 一种安全自动化系统及其控制方法
CN106790077A (zh) 一种dns全流量劫持风险的检测方法和装置
CN106790071A (zh) 一种dns全流量劫持风险的检测方法和装置
CN113992371B (zh) 一种流量日志的威胁标签生成方法、装置及电子设备
CN104580201B (zh) 网站漏洞检测方法和系统
CN106789411A (zh) 一种机房内活跃ip数据的采集方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220823

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd.

Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China

Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.