CN105592061A - 一种攻击规则的关闭方法和装置 - Google Patents
一种攻击规则的关闭方法和装置 Download PDFInfo
- Publication number
- CN105592061A CN105592061A CN201510707365.2A CN201510707365A CN105592061A CN 105592061 A CN105592061 A CN 105592061A CN 201510707365 A CN201510707365 A CN 201510707365A CN 105592061 A CN105592061 A CN 105592061A
- Authority
- CN
- China
- Prior art keywords
- count
- hit
- default
- attack
- attack rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种攻击规则的关闭方法和装置,该方法包括:安全网关设备获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数;所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;如果是,则所述安全网关设备关闭所述攻击规则。通过本发明的技术方案,可以自动关闭攻击规则,减少特征库中开启的攻击规则数量,减少无效匹配过程,减轻安全网关设备的工作量,提升安全网关设备的处理性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种攻击规则的关闭方法和装置。
背景技术
IPS(IntrusionPreventionSystem,入侵检测系统)设备一般部署在大中型企业的网络出口、企业内部网络、或数据中心的出口,用于对外网访问内网的报文进行检测,以实现保护内部网络安全的目的,对内网访问外网的报文进行检测,以实现企业敏感信息的控制。IPS设备内配置了包含攻击规则的特征库,针对待检测的报文,IPS设备依次检查该报文是否匹配到特征库的攻击规则,如果是,则基于该攻击规则对应的策略对报文进行处理,如丢弃处理。
随着攻击手段越来越复杂和多样化,各大厂商的IPS设备的特征库中包含的攻击规则也越来越多,而且这些攻击规则是全部开启的。IPS设备需要依次检查报文是否匹配到特征库中的每个攻击规则,工作量非常大,IPS设备的处理性能降低,甚至会导致IPS设备死机,影响IPS设备的正常使用。
发明内容
本发明提供一种攻击规则的关闭方法,针对已经开启的每个攻击规则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述方法包括:
安全网关设备在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数;
所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;
如果是,则所述安全网关设备关闭所述攻击规则。
本发明提供一种攻击规则的关闭装置,所述攻击规则的关闭装置应用在安全网关设备,针对已经开启的每个攻击规则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述攻击规则的关闭装置包括:
获得模块,用于在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数;
判断模块,用于利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;
关闭模块,用于当判断结果为是时,则关闭所述攻击规则。
基于上述技术方案,本发明实施例中,在满足用户使用的前提下,安全网关设备可以利用粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数,自动关闭相应的攻击规则,使得特征库包含的所有攻击规则不是全部开启的,减少特征库中开启的攻击规则数量,在依次检查报文是否匹配到特征库中的每个攻击规则时,可以减少无效匹配过程,减轻安全网关设备的工作量,提升安全网关设备的处理性能,且不影响对攻击报文的拦截。
附图说明
图1是本发明一种实施方式中的攻击规则的关闭方法的流程图;
图2是本发明一种实施方式中的安全网关设备的硬件结构图;
图3是本发明一种实施方式中的攻击规则的关闭装置的结构图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提出一种攻击规则的关闭方法,可以应用在安全网关设备上,安全网关设备可以为IPS设备、IDS(IntrusionDetectionSystems,入侵检测系统)设备等。在安全网关设备的特征库中包括大量的攻击规则,每个攻击规则均包括粗略匹配特征和精确匹配特征。
其中,粗略匹配特征可以包括但不限于:AC(Aho-Corasick,多模式匹配)特征。精确匹配特征可以包括但不限于:选项特征,和/或,PCRE(PerlCompatibleRegularExpressions,正则表达式)特征。其中,该选项特征可以包括但不限于以下之一或者任意组合:协议类型(如HTTP(HyperTextTransferProtocol,超文本传输协议)类型、TCP(TransmissionControlProtocol,传输控制协议)类型等)、报文方向(如客户端发送给服务器的报文方向)、内容偏移等。
针对已经开启的每个攻击规则,本发明实施例用于判断是否可以关闭该攻击规则,每个攻击规则是否可以被关闭的判断流程相同,为了方便描述,本发明实施例中,以一个攻击规则是否可以被关闭的判断流程为例进行说明。
在上述应用场景下,如图1所示,该攻击规则的关闭方法可包括以下步骤:
步骤101,安全网关设备在预设统计周期内,获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数。
本发明实施例中,安全网关设备在预设统计周期内,获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数的过程,可以包括但不限于如下方式:安全网关设备在预设统计周期内接收报文;安全网关设备判断该报文是否匹配到粗略匹配特征;如果匹配到粗略匹配特征,则安全网关设备将粗略匹配特征的命中次数加1,并判断该报文是否匹配到精确匹配特征;如果匹配到精确匹配特征,则安全网关设备将精确匹配特征的命中次数加1,并判断该报文是否匹配到攻击规则,如果匹配到攻击规则,则将攻击规则的命中次数加1。在预设统计周期结束时,安全网关设备获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数。
其中,攻击规则的匹配方式主要是以特征字符串的匹配为主,为了提升匹配效率,通常会有一次短关键字的预匹配,该预匹配过程使用的特征为粗略匹配特征(如AC特征),只有当预匹配成功时,才进行更为复杂和消费性能的二次匹配。该二次匹配过程使用的特征为精确匹配特征(如PCRE特征),在二次匹配成功时,可以直接确定攻击规则匹配成功或者对报文进行进一步分析,并基于分析结果确定攻击规则是否匹配成功,例如,在二次匹配成功时,根据预设规则对报文进行筛选,确定报文是否为攻击报文,如果是攻击报文,则确定攻击规则匹配成功,否则,确定攻击规则未匹配成功。例如,预设规则可以为指定的源IP地址,当报文的源IP地址为指定的源IP地址时,则报文是攻击报文。又例如,预设规则可以为指定的关键字,当报文的报文内容中包括指定的关键字时,则报文是攻击报文。
在实际应用中,由于预匹配过程使用的粗略匹配特征相对简单和短小,因此命中粗略匹配特征的报文数量很多,会有一定程度的误报。由于二次匹配过程使用的精确匹配特征相对复杂,因此命中精确匹配特征的报文数量大幅减小,缩小发现攻击报文的范围。当报文同时匹配粗略匹配特征和精确匹配特征后,可以对报文进行分析,以确定报文是否成功匹配到攻击规则。
例如,安全网关设备在预设统计周期内收到报文1-报文10。首先判断报文1是否匹配到攻击规则1的粗略匹配特征,如果没有匹配到,则结束对报文1的匹配过程,如果匹配到,则将攻击规则1的粗略匹配特征的命中次数加1,并判断报文1是否匹配到攻击规则1的精确匹配特征,如果没有匹配到,则结束对报文1的匹配过程,如果匹配到,则将攻击规则1的精确匹配特征的命中次数加1,并判断报文1是否匹配到攻击规则1,如果没有匹配到,则结束对报文1的匹配过程,如果匹配到,则将攻击规则1的命中次数加1。按照同样的方式对报文2-报文10进行处理,该处理过程不再赘述。
在到达预设统计周期(假设只收到上述报文1-报文10)时,假设报文1-报文9均匹配到攻击规则1的粗略匹配特征,报文10没有匹配到攻击规则1的粗略匹配特征,报文1匹配到攻击规则1的精确匹配特征,报文2-报文9没有匹配到攻击规则1的精确匹配特征,报文1没有匹配到攻击规则1,则安全网关设备可以获得攻击规则1的粗略匹配特征的命中次数为9,攻击规则1的精确匹配特征的命中次数为1,攻击规则1的命中次数为0。
基于报文1-报文10,安全网关设备还可以按照同样的方式对攻击规则2、攻击规则3等其它攻击规则进行判断,该过程本发明实施例中不再赘述。
步骤102,安全网关设备利用粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数,判断是否关闭该攻击规则。如果是,执行步骤103;如果否,不关闭该攻击规则,该攻击规则继续处于开启状态。
本发明实施例中,安全网关设备利用粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数,判断是否关闭该攻击规则的过程,可以包括但不限于如下方式:当粗略匹配特征的命中次数大于等于预设第一数值,且精确匹配特征的命中次数大于等于预设第二数值,且攻击规则的命中次数等于预设第三数值时,则安全网关设备确定关闭该攻击规则;如果粗略匹配特征的命中次数大于等于预设第一数值,精确匹配特征的命中次数大于等于预设第二数值,攻击规则的命中次数等于预设第三数值中的任意一个或者多个条件不满足时,则安全网关设备确定不关闭该攻击规则。
其中,该预设第一数值大于该预设第二数值,该预设第二数值大于等于该预设第三数值。在一种优选实施方式中,该预设第三数值可以为0。
其中,由于攻击规则的匹配过程中,有一次短关键字的预匹配(使用的特征为粗略匹配特征),只有当预匹配成功时,才进行更为复杂和消费性能的二次匹配(使用的特征为精确匹配特征),在二次匹配成功时,才确定攻击规则是否匹配成功。因此,当一个报文匹配到攻击规则时,必然匹配到该攻击规则的精确匹配特征,当一个报文匹配到该攻击规则的精确匹配特征时,必然匹配到该攻击规则的粗略匹配特征。但是,当一个报文匹配到攻击规则的粗略匹配特征时,并不一定会匹配到该攻击规则的精确匹配特征,当一个报文匹配到攻击规则的精确匹配特征时,并不一定会匹配到该攻击规则。
基于上述原理,攻击规则的粗略匹配特征的命中次数会大于等于该攻击规则的精确匹配特征的命中次数(通常为远远大于),该攻击规则的精确匹配特征的命中次数会大于等于该攻击规则的命中次数(通常为等于)。基于此,可以设置预设第一数值大于预设第二数值,并设置预设第二数值大于等于预设第三数值。其中,预设第一数值、预设第二数值的取值均可以根据实际经验进行设置,如预设第一数值为10,预设第二数值为1或者0。
当攻击规则的粗略匹配特征的命中次数大于等于预设第一数值,且攻击规则的精确匹配特征的命中次数大于等于预设第二数值,且攻击规则的命中次数为0时,说明有报文匹配到攻击规则的粗略匹配特征(通常为大量报文匹配到攻击规则的粗略匹配特征),有少量报文或者没有报文匹配到攻击规则的精确匹配特征,且没有报文匹配到该攻击规则,此时可以关闭该攻击规则。
步骤103,安全网关设备关闭攻击规则。
本发明实施例中,安全网关设备关闭攻击规则的过程,可以包括但不限于如下方式:方式一、安全网关设备在预设第一时间内关闭该攻击规则,且不再开启该攻击规则,预设第一时间的取值很短,如安全网关设备立刻关闭该攻击规则。方式二、安全网关设备在延迟预设第二时间后,如果查询到该攻击规则的命中次数等于预设第三数值,则在预设第一时间内关闭该攻击规则,且不再开启该攻击规则。如果查询到该攻击规则的命中次数不等于预设第三数值,则不关闭该攻击规则,等待下一个预设统计周期。方式三、安全网关设备判断该攻击规则被连续关闭的次数是否达到N次。如果否,则在预设第一时间内关闭该攻击规则,且在预设第三时间后,打开该攻击规则,返回执行在预设统计周期内,获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数的过程,即继续执行步骤101和步骤102。如果是,则在预设第一时间内关闭该攻击规则,且不再开启该攻击规则。
其中,N的取值可以根据实际需要任意设置,如N的取值为5。
基于上述方式二和方式三,可以增加安全网关设备的学习时间,避免攻击规则被错误删除,保证被删除的攻击规则是不会被匹配到的攻击规则。
本发明实施例中,安全网关设备还可以向网管设备发送攻击规则关闭申请请求消息,由网管设备分析出需要关闭的攻击规则。安全网关设备接收来自网管设备的攻击规则关闭申请响应消息,该攻击规则关闭申请响应消息中携带需要关闭的攻击规则。安全网关设备利用攻击规则关闭申请响应消息关闭相应的攻击规则(即关闭攻击规则关闭申请响应消息中携带的攻击规则)。
其中,网管设备在接收到来自安全网关设备的攻击规则关闭申请请求消息后,可以由网管人员分析出需要关闭的攻击规则,且网管设备可以通过攻击规则关闭申请响应消息将需要关闭的攻击规则发送给安全网关设备。
基于上述技术方案,本发明实施例中,在满足用户使用的前提下,安全网关设备可以利用粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数,自动关闭相应的攻击规则,使得特征库包含的所有攻击规则不是全部开启的,减少特征库中开启的攻击规则数量,在依次检查报文是否匹配到特征库中的每个攻击规则时,可以减少无效匹配过程,减轻安全网关设备的工作量,提升安全网关设备的处理性能,且不影响对攻击报文的拦截,可以在保证匹配率的同时最大程度的保证设备性能。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种攻击规则的关闭装置,该攻击规则的关闭装置应用在安全网关设备上。其中,该攻击规则的关闭装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的安全网关设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图2所示,为本发明提出的攻击规则的关闭装置所在的安全网关设备的一种硬件结构图,除了图2所示的处理器、非易失性存储器外,安全网关设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该安全网关设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图3所示,为本发明提出的攻击规则的关闭装置的结构图,所述攻击规则的关闭装置应用在安全网关设备,针对已经开启的每个攻击规则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述攻击规则的关闭装置包括:
获得模块11,用于在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数;
判断模块12,用于利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;
关闭模块13,用于当判断结果为是时,则关闭所述攻击规则。
所述获得模块11,用于在所述预设统计周期内接收报文;判断所述报文是否匹配到所述粗略匹配特征;如果匹配到所述粗略匹配特征,则将所述粗略匹配特征的命中次数加1,并判断所述报文是否匹配到所述精确匹配特征;如果匹配到所述精确匹配特征,则将所述精确匹配特征的命中次数加1,并判断所述报文是否匹配到所述攻击规则,如果匹配到所述攻击规则,则将所述攻击规则的命中次数加1;在所述预设统计周期结束时,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数。
所述判断模块12,用于当所述粗略匹配特征的命中次数大于等于预设第一数值,且所述精确匹配特征的命中次数大于等于预设第二数值,且所述攻击规则的命中次数等于预设第三数值时,则确定关闭所述攻击规则;其中,所述预设第一数值大于所述预设第二数值,所述预设第二数值大于等于所述预设第三数值。
所述关闭模块13,用于在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则;或者,在延迟预设第二时间后,如果查询到所述攻击规则的命中次数等于预设第三数值,则在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则;或者,判断所述攻击规则被连续关闭的次数是否达到N次;如果否,则在预设第一时间内关闭所述攻击规则,且在预设第三时间后,打开所述攻击规则,返回执行在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数的过程;如果是,则在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则。
所述粗略匹配特征包括:多模式匹配AC特征;
所述精确匹配特征包括:选项特征,和/或,正则表达式PCRE特征。
基于上述技术方案,本发明实施例中,在满足用户使用的前提下,安全网关设备可以利用粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数,自动关闭相应的攻击规则,使得特征库包含的所有攻击规则不是全部开启的,减少特征库中开启的攻击规则数量,在依次检查报文是否匹配到特征库中的每个攻击规则时,可以减少无效匹配过程,减轻安全网关设备的工作量,提升安全网关设备的处理性能,且不影响对攻击报文的拦截,可以在保证匹配率的同时最大程度的保证设备性能。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种攻击规则的关闭方法,其特征在于,针对已经开启的每个攻击规则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述方法包括:
安全网关设备在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数;
所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;
如果是,则所述安全网关设备关闭所述攻击规则。
2.根据权利要求1所述的方法,其特征在于,所述安全网关设备在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数的过程,包括:
所述安全网关设备在所述预设统计周期内接收报文;
所述安全网关设备判断所述报文是否匹配到所述粗略匹配特征;如果匹配到所述粗略匹配特征,则所述安全网关设备将所述粗略匹配特征的命中次数加1,并判断所述报文是否匹配到所述精确匹配特征;如果匹配到所述精确匹配特征,则所述安全网关设备将所述精确匹配特征的命中次数加1,并判断所述报文是否匹配到所述攻击规则,如果匹配到所述攻击规则,则将所述攻击规则的命中次数加1;
在所述预设统计周期结束时,所述安全网关设备获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数。
3.根据权利要求1所述的方法,其特征在于,所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则的过程,包括:
当所述粗略匹配特征的命中次数大于等于预设第一数值,且所述精确匹配特征的命中次数大于等于预设第二数值,且所述攻击规则的命中次数等于预设第三数值时,所述安全网关设备确定关闭所述攻击规则;其中,所述预设第一数值大于所述预设第二数值,所述预设第二数值大于等于所述预设第三数值。
4.根据权利要求1所述的方法,其特征在于,所述安全网关设备关闭所述攻击规则包括:
所述安全网关设备在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则;或者,
所述安全网关设备在延迟预设第二时间后,如果查询到所述攻击规则的命中次数等于预设第三数值,则在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则;或者,
所述安全网关设备判断所述攻击规则被连续关闭的次数是否达到N次;如果否,则在预设第一时间内关闭所述攻击规则,且在预设第三时间后,打开所述攻击规则,返回执行在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数的过程;如果是,则在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则。
5.根据权利要求1-4任一项所述的方法,其特征在于,
所述粗略匹配特征包括:多模式匹配AC特征;
所述精确匹配特征包括:选项特征,和/或,正则表达式PCRE特征。
6.一种攻击规则的关闭装置,其特征在于,所述攻击规则的关闭装置应用在安全网关设备,针对已经开启的每个攻击规则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述攻击规则的关闭装置包括:
获得模块,用于在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数;
判断模块,用于利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;
关闭模块,用于当判断结果为是时,则关闭所述攻击规则。
7.根据权利要求6所述的装置,其特征在于,
所述获得模块,用于在所述预设统计周期内接收报文;判断所述报文是否匹配到所述粗略匹配特征;如果匹配到所述粗略匹配特征,则将所述粗略匹配特征的命中次数加1,并判断所述报文是否匹配到所述精确匹配特征;如果匹配到所述精确匹配特征,则将所述精确匹配特征的命中次数加1,并判断所述报文是否匹配到所述攻击规则,如果匹配到所述攻击规则,则将所述攻击规则的命中次数加1;在所述预设统计周期结束时,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数。
8.根据权利要求6所述的装置,其特征在于,
所述判断模块,用于当所述粗略匹配特征的命中次数大于等于预设第一数值,且所述精确匹配特征的命中次数大于等于预设第二数值,且所述攻击规则的命中次数等于预设第三数值时,则确定关闭所述攻击规则;其中,所述预设第一数值大于所述预设第二数值,所述预设第二数值大于等于所述预设第三数值。
9.根据权利要求6所述的装置,其特征在于,
所述关闭模块,用于在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则;或者,在延迟预设第二时间后,如果查询到所述攻击规则的命中次数等于预设第三数值,则在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则;或者,判断所述攻击规则被连续关闭的次数是否达到N次;如果否,则在预设第一时间内关闭所述攻击规则,且在预设第三时间后,打开所述攻击规则,返回执行在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数的过程;如果是,则在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则。
10.根据权利要求6-9任一项所述的装置,其特征在于,
所述粗略匹配特征包括:多模式匹配AC特征;
所述精确匹配特征包括:选项特征,和/或,正则表达式PCRE特征。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510707365.2A CN105592061A (zh) | 2015-10-27 | 2015-10-27 | 一种攻击规则的关闭方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510707365.2A CN105592061A (zh) | 2015-10-27 | 2015-10-27 | 一种攻击规则的关闭方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105592061A true CN105592061A (zh) | 2016-05-18 |
Family
ID=55931278
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510707365.2A Pending CN105592061A (zh) | 2015-10-27 | 2015-10-27 | 一种攻击规则的关闭方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105592061A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107547533A (zh) * | 2017-08-24 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种特征规则开启方法及装置 |
CN108446148A (zh) * | 2018-01-29 | 2018-08-24 | 北京奇艺世纪科技有限公司 | 一种规则管理的方法、装置及电子设备 |
CN108615139A (zh) * | 2018-03-15 | 2018-10-02 | 阿里巴巴集团控股有限公司 | 一种业务规则下线方法和装置 |
CN110213286A (zh) * | 2019-06-12 | 2019-09-06 | 四川长虹电器股份有限公司 | 一种基于双引擎的高效waf设计方法 |
CN113311809A (zh) * | 2021-05-28 | 2021-08-27 | 苗叶 | 一种基于工业控制系统的安全运维指令阻断装置和方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707601A (zh) * | 2009-11-23 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN104852909A (zh) * | 2015-04-24 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种攻击检测规则的开启方法和设备 |
-
2015
- 2015-10-27 CN CN201510707365.2A patent/CN105592061A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
CN101707601A (zh) * | 2009-11-23 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN104852909A (zh) * | 2015-04-24 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种攻击检测规则的开启方法和设备 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107547533A (zh) * | 2017-08-24 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种特征规则开启方法及装置 |
CN107547533B (zh) * | 2017-08-24 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种特征规则开启方法及装置 |
CN108446148A (zh) * | 2018-01-29 | 2018-08-24 | 北京奇艺世纪科技有限公司 | 一种规则管理的方法、装置及电子设备 |
CN108446148B (zh) * | 2018-01-29 | 2021-05-07 | 北京奇艺世纪科技有限公司 | 一种规则管理的方法、装置及电子设备 |
CN108615139A (zh) * | 2018-03-15 | 2018-10-02 | 阿里巴巴集团控股有限公司 | 一种业务规则下线方法和装置 |
CN110213286A (zh) * | 2019-06-12 | 2019-09-06 | 四川长虹电器股份有限公司 | 一种基于双引擎的高效waf设计方法 |
CN113311809A (zh) * | 2021-05-28 | 2021-08-27 | 苗叶 | 一种基于工业控制系统的安全运维指令阻断装置和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10452843B2 (en) | Self-adaptive application programming interface level security monitoring | |
CN105592061A (zh) | 一种攻击规则的关闭方法和装置 | |
US10965580B2 (en) | Systems and methods for automated determination of network device transiting data attributes | |
EP3065367B1 (en) | System and method for automated phishing detection rule evolution | |
CN105283849B (zh) | 针对性能和细节的并行跟踪 | |
CN105283852B (zh) | 一种模糊跟踪数据的方法及系统 | |
CN113302609A (zh) | 用人工智能检测存在未认证的api请求时的不当活动 | |
CN106415582A (zh) | 恶意软件抑制 | |
Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
CN107392016A (zh) | 一种基于代理的Web数据库攻击行为检测系统 | |
US9251367B2 (en) | Device, method and program for preventing information leakage | |
CN103875214A (zh) | 用于以太网网络的具有安全检测的智能phy | |
CN109344611A (zh) | 应用的访问控制方法、终端设备及介质 | |
CN103248609A (zh) | 一种端到端的数据检测系统、装置和方法 | |
Tabrizi et al. | Formal security analysis of smart embedded systems | |
CN110413442A (zh) | 参数校验方法和装置 | |
CN107665164A (zh) | 安全数据检测方法和装置 | |
CN107483502A (zh) | 一种检测残余攻击的方法及装置 | |
US8839449B1 (en) | Assessing risk of information leakage | |
Kang et al. | Dependability arguments with trusted bases | |
CN116680699A (zh) | 一种漏洞优先级排序系统、方法、计算机设备及存储介质 | |
Desta et al. | Long short-term memory networks for in-vehicle networks intrusion detection using reverse engineered automotive packets | |
Brunner | Processing intrusion data with machine learning and MapReduce | |
US8683568B1 (en) | Using packet interception to integrate risk-based user authentication into online services | |
CN110457196A (zh) | 函数执行时间的获取方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160518 |
|
RJ01 | Rejection of invention patent application after publication |