CN109472138B - 一种检测snort规则冲突的方法、装置和存储介质 - Google Patents
一种检测snort规则冲突的方法、装置和存储介质 Download PDFInfo
- Publication number
- CN109472138B CN109472138B CN201711250085.9A CN201711250085A CN109472138B CN 109472138 B CN109472138 B CN 109472138B CN 201711250085 A CN201711250085 A CN 201711250085A CN 109472138 B CN109472138 B CN 109472138B
- Authority
- CN
- China
- Prior art keywords
- snort rule
- snort
- rule
- code
- conflict
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本发明实施例提供了一种检测snort规则冲突的方法、装置及存储介质,用以判定snort规则之间是否冲突。该方法包括:从获取到的snort规则中提取所述获取到的snort规则的ID字段;按照设定的编码规则,根据提取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成所述获取到的snort规则的编码;其中,生成的snort规则的编码与snort规则是一一对应的;确定生成的所述获取到的snort规则的编码与本地存储的snort规则的编码不同,则所述获取到的snort规则与本地存储的snort规则不冲突。
Description
技术领域
本发明涉及计算机信息安全领域,尤其涉及一种检测snort规则冲突的方法、装置和存储介质。
背景技术
入侵检测系统(Intrusion Detection System,IDS)为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术,通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。Snort为IDS技术领域中相当著名的开放原始码(OpenSource)软件,其是以检测签章(Signature Based)及检测通讯协议(Protocol)为基础,利用内建的入侵检测规则(Intrusion Detection Rules)过滤网络的入侵行为。随着入侵行为的不断变换,入侵检测规则也在不断地变化与更新,或者根据局域网中的计算机主机需求取向不断设计合适的入侵检测规则。
Snort规则可以根据人工输入指令获取,也可以直接下载规则文件并拷贝至指定目录后,还可以根据设定的规则自动获取;而目前常通过git等版本管理手段管理snort规则,然而,git不能同时处理来自多个不同情报源的snort规则,并且,git的冲突处理机制是基于文件而非规则。
综上所述,目前管理snort规则的方法不具备判定snort规则之间是否冲突的能力。
发明内容
本发明实施例提供了一种检测snort规则冲突的方法、装置及存储介质,用以判定snort规则之间是否冲突。
基于上述问题,本发明实施例提供的一种检测snort规则冲突的方法,包括:
从获取到的snort规则中提取所述获取到的snort规则的ID字段;
按照设定的编码规则,根据提取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成所述获取到的snort规则的编码;其中,生成的snort规则的编码与snort规则是一一对应的;
确定生成的所述获取到的snort规则的编码与本地存储的snort规则的编码不同,则所述获取到的snort规则与本地存储的snort规则不冲突。
本发明实施例提供的一种检测snort规则冲突的装置,包括:
一个或者多个处理器;
存储器;
一个或者多个程序存储在所述存储器中,当被所述一个或者多个处理器执行时实现:
从获取到的snort规则中提取所述获取到的snort规则的ID字段;
按照设定的编码规则,根据提取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成所述获取到的snort规则的编码;其中,生成的snort规则的编码与snort规则是一一对应的;
确定生成的所述获取到的snort规则的编码与本地存储的snort规则的编码不同,则所述获取到的snort规则与本地存储的snort规则不冲突。
本发明实施例还提供一种非易失性存储计算机存储介质,其中存储有计算机可执行指令,所述计算机可执行指令被执行时实现本发明实施例提供的检测snort规则冲突的方法。
本发明实施例的有益效果包括:
本发明实施例提供的检测snort规则冲突的方法、装置和存储介质,利用获取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成获取到的snort规则的编码,并在生成的snort规则的编码与本地存储的snort规则的编码不同时,确定获取到的snort规则与本地存储的snort规则不冲突。
附图说明
图1为本发明实施例提供的一种检测snort规则冲突的方法的流程图;
图2为本发明实施例提供的另一种检测snort规则冲突的方法的流程图;
图3为本发明实施例提供的检测snort规则冲突的装置的结构图。
具体实施方式
本发明实施例提供了一种检测snort规则冲突的方法、装置和存储介质,根据获取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成获取到的snort规则的编码,并在生成的snort规则的编码与本地存储的snort规则的编码不同时,确定获取到的snort规则与本地存储的snort规则不冲突,从而判定snort规则之间是否存在冲突,进而可以对冲突的snort规则进行处理。
下面结合说明书附图,对本发明实施例提供的一种检测snort规则冲突的方法、装置及存储介质的具体实施方式进行说明。
本发明实施例提供的一种检测snort规则的方法,如图1所示,具体包括以下步骤:
S101、从获取到的snort规则中提取所述获取到的snort规则的ID字段;
S102、按照设定的编码规则,根据提取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成所述获取到的snort规则的编码;其中,生成的snort规则的编码与snort规则是一一对应的;
其中,snort规则的编码的形式可以是多种多样的,例如,对于一个32位整数的snort规则编码,可以定义其前8位为获取该snort规则的情报源的唯一编码,后24位为snort规则的ID字段;
S103、确定生成的所述获取到的snort规则的编码与本地存储的snort规则的编码不同,则所述获取到的snort规则与本地存储的snort规则不冲突。
可选地,在确定所述获取到的snort规则与本地存储的snort规则不冲突之后,可以将获取到的snort规则添加到本地存储的snort规则构成的snort规则集中。
进一步地,本发明实施例提供的另一种检测snort规则的方法如图2所示,包括:
S201、根据获取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成获取到的snort规则的编码;其中,情报源的编码与情报源是一一对应的,生成的snort规则的编码与snort规则是一一对应的;
S202、判断生成的获取到的snort规则的编码是否与本地存储的snort规则的编码相同;若是,执行S205,否则,执行S203;
S203、确定获取到的snort规则与本地存储的snort规则不冲突;
S204、将获取到的snort规则添加到本地存储的snort规则构成的snort规则集中;
S205、确定本地存储的、与获取到的snort规则的编码相同的编码所对应的snort规则;
S206、判断确定的snort规则是否在本地更改过;若是,执行S207,否则,执行S209;
S207、确定获取到的snort规则,和确定的snort规则在本地更改之前的snort规则不一致;
如果获取到的snort规则,和确定的snort规则在在本地更改之前的snort规则一致,则跳过获取到的snort规则,也就是说,不再对获取到的snort规则做处理,不会将获取到的snort规则添加到本地存储的snort规则集中,也不会将获取到的snort规则标记为冲突;
S208、确定获取到的snort规则和确定的snort规则冲突;
S209、采用获取到的snort规则替换确定的snort规则。
在一个应用场景中,在t1+t2时刻从情报源1处获取snort规则A,根据S201生成snort规则A的唯一编码a;如果snort规则A的编码a与本地存储的snort规则的编码不同,那么snort规则A与本地存储的snort规则不冲突;如果在t1时刻还从情报源1处获取过snort规则A,并存储在本地(为了以示区别,t1时刻从情报源1处获取的snort规则A存储到本地后称为snort规则A’),那么,存储在本地的snort规则A’的编码与t1+t2时刻从情报源1处获取的snort规则A的编码是相同的,如果存储在本地的snort规则A’没有在本地更改过,那么可以用获取的snort规则A替换存储在本地的snort规则A’;如果存储在本地的snort规则A’在t1+t2时刻之前在本地更改过,那么在snort规则A和snort规则A’在本地更改之前的snort规则不一致时,snort规则A和snort规则A’冲突;而在snort规则A和snort规则A’在本地更改之前的snort规则一致时,不再对snort规则A做进一步的处理。
采用本发明实施例提供的检测snort规则冲突的方法,可以筛选出存在冲突的snort规则,从而可以进一步对存在冲突的snort规则进行处理。
存储在本地的snort规则集所存储的内容包括但不限于:各个snort规则及知识库版本,本地测试用非恶意流量集合,本地测试用恶意流量集合,snort规则,知识库等。其中,知识是人类可理解的对应每条snort规则的维护信息,例如公共漏洞和暴露(CVE,CommonVulnerabilities & Exposures)或中国国家信息安全漏洞库(CNNVD,China NationalVulnerability Database of Information Security)编码,也包括修改提交记录及理由等数据。
存储在本地的snort规则集还可以向用户展示,展示的内容包括但不限于:本地存储的snort规则在本地的唯一编码,本地生效的snort规则的内容,对snort规则的测试是否通过,本地测试用非恶意流量集合以及相应的测试结果,本地测试用的与snort规则对应的恶意流量集合以及相应的测试结果,说明文档,知识信息,参考CVE或CNNVD编码,参考链接等。
另外,从情报源获取的snort规则也可以向用户展示,展示的内容包括但不限于:从哪个情报源获取的,是否本地修改过,本地修改前消息,本地修改后消息,是否有冲突,上游的消息内容,版本信息等。
具体展示哪些snort规则可以根据snort规则的来源,snort规则是否有冲突,测试未通过,测试告警等规则进行筛选和展示。
基于同一发明构思,本发明实施例还提供了一种检测snort规则冲突的装置,由于该装置所解决问题的原理与前述检测snort规则冲突的方法相似,因此该装置的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的一种检测snort规则冲突的装置,如图3所示,包括:
一个或者多个处理器31;
存储器32;
一个或者多个程序存储在存储器32中,当被所述一个或者多个处理器31执行时实现:
从获取到的snort规则中提取所述获取到的snort规则的ID字段;
按照设定的编码规则,根据提取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成所述获取到的snort规则的编码;其中,生成的snort规则的编码与snort规则是一一对应的;
确定生成的所述获取到的snort规则的编码与本地存储的snort规则的编码不同,则所述获取到的snort规则与本地存储的snort规则不冲突。
进一步地,一个或多个处理器31还用于执行存储在存储器32中的一个或多个程序以实现:
在确定所述获取到的snort规则与本地存储的snort规则不冲突之后,将所述获取到的snort规则添加到本地存储的snort规则构成的snort规则集中。
进一步地,一个或多个处理器31还用于执行存储在存储器32中的一个或多个程序以实现:
确定本地存储的、与所述获取到的snort规则的编码相同的编码所对应的snort规则;
在所述确定的snort规则没有在本地更改过时,采用所述获取到的snort规则替换所述确定的snort规则。
进一步地,一个或多个处理器31还用于执行存储在存储器32中的一个或多个程序以实现:
在所述确定的snort规则在本地更改过时,
确定所述获取到的snort规则,和所述确定的snort规则在本地更改之前的snort规则不一致;
确定所述获取到的snort规则和所述确定的snort规则冲突。
本发明实施例还提供一种非易失性存储计算机存储介质,其中存储有计算机可执行指令,所述计算机可执行指令被执行时实现本发明实施例提供的检测snort规则冲突的方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种检测snort规则冲突的方法,其特征在于,包括:
从获取到的snort规则中提取所述获取到的snort规则的ID字段;
按照设定的编码规则,根据提取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成所述获取到的snort规则的编码;其中,生成的snort规则的编码与snort规则是一一对应的;
确定生成的所述获取到的snort规则的编码与本地存储的snort规则的编码不同,则所述获取到的snort规则与本地存储的snort规则不冲突。
2.如权利要求1所述的方法,其特征在于,在确定所述获取到的snort规则与本地存储的snort规则不冲突之后,所述方法还包括:
将所述获取到的snort规则添加到本地存储的snort规则构成的snort规则集中。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
确定本地存储的、与所述获取到的snort规则的编码相同的编码所对应的snort规则;
在所述确定的snort规则没有在本地更改过时,采用所述获取到的snort规则替换所述确定的snort规则。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
在所述确定的snort规则在本地更改过时,
确定所述获取到的snort规则,和所述确定的snort规则在本地更改之前的snort规则不一致;
确定所述获取到的snort规则和所述确定的snort规则冲突。
5.一种检测snort规则冲突的装置,其特征在于,包括:
一个或者多个处理器;
存储器;
一个或者多个程序存储在所述存储器中,当被所述一个或者多个处理器执行时实现:
从获取到的snort规则中提取所述获取到的snort规则的ID字段;
按照设定的编码规则,根据提取到的snort规则的ID字段和获取到snort规则的情报源的编码,生成所述获取到的snort规则的编码;其中,生成的snort规则的编码与snort规则是一一对应的;
确定生成的所述获取到的snort规则的编码与本地存储的snort规则的编码不同,则所述获取到的snort规则与本地存储的snort规则不冲突。
6.如权利要求5所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在确定所述获取到的snort规则与本地存储的snort规则不冲突之后,将所述获取到的snort规则添加到本地存储的snort规则构成的snort规则集中。
7.如权利要求5所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
确定本地存储的、与所述获取到的snort规则的编码相同的编码所对应的snort规则;
在所述确定的snort规则没有在本地更改过时,采用所述获取到的snort规则替换所述确定的snort规则。
8.如权利要求7所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在所述确定的snort规则在本地更改过时,
确定所述获取到的snort规则,和所述确定的snort规则在本地更改之前的snort规则不一致;
确定所述获取到的snort规则和所述确定的snort规则冲突。
9.一种非易失性存储计算机存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令被执行时实现权利要求1-4任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711250085.9A CN109472138B (zh) | 2017-12-01 | 2017-12-01 | 一种检测snort规则冲突的方法、装置和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711250085.9A CN109472138B (zh) | 2017-12-01 | 2017-12-01 | 一种检测snort规则冲突的方法、装置和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109472138A CN109472138A (zh) | 2019-03-15 |
CN109472138B true CN109472138B (zh) | 2022-07-01 |
Family
ID=65658175
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711250085.9A Active CN109472138B (zh) | 2017-12-01 | 2017-12-01 | 一种检测snort规则冲突的方法、装置和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109472138B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110958259A (zh) * | 2019-12-12 | 2020-04-03 | 浙江军盾信息科技有限公司 | 一种snort规则的检测方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309274A (zh) * | 2008-06-27 | 2008-11-19 | 南京邮电大学 | 混合架构入侵检测系统规则库创建方法 |
CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7467202B2 (en) * | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
CN101447991B (zh) * | 2008-11-19 | 2012-10-24 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测系统的测试装置及测试方法 |
US9481414B1 (en) * | 2009-04-10 | 2016-11-01 | The United States Of America As Represented By The Secretary Of The Navy | Spherical tractor operating mobile platform |
CN101599960A (zh) * | 2009-05-27 | 2009-12-09 | 南京欣网视讯科技股份有限公司 | 一种基于协议分析的p2p流量识别方法 |
CN101695016B (zh) * | 2009-10-22 | 2013-07-10 | 浙江大学 | 基于无速率码的多用户随机接入系统及其编译码方法 |
CN105744010A (zh) * | 2014-12-12 | 2016-07-06 | 中兴通讯股份有限公司 | 一种网络地址转换与访问控制列表规则聚合方法和装置 |
CN104932886B (zh) * | 2015-06-12 | 2018-01-19 | 卡斯柯信号有限公司 | 一种基于平行签名唯一性的多维度的冗余编码方法 |
CN107294956A (zh) * | 2017-05-24 | 2017-10-24 | 北京奇安信科技有限公司 | 数据标记化的冲突处理方法及装置 |
-
2017
- 2017-12-01 CN CN201711250085.9A patent/CN109472138B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309274A (zh) * | 2008-06-27 | 2008-11-19 | 南京邮电大学 | 混合架构入侵检测系统规则库创建方法 |
CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于Snort规则库的冲突检测;余文卫 等;《计算机工程与设计》;20080228;第29卷(第3期);576-579,624 * |
Also Published As
Publication number | Publication date |
---|---|
CN109472138A (zh) | 2019-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9953162B2 (en) | Rapid malware inspection of mobile applications | |
CN104484599B (zh) | 一种基于应用程序的行为处理方法和装置 | |
US10915659B2 (en) | Privacy detection of a mobile application program | |
US10387648B2 (en) | Ransomware key extractor and recovery system | |
Crussell et al. | Andarwin: Scalable detection of android application clones based on semantics | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
US9158915B1 (en) | Systems and methods for analyzing zero-day attacks | |
US8191147B1 (en) | Method for malware removal based on network signatures and file system artifacts | |
CN109918285B (zh) | 一种开源软件的安全识别方法及装置 | |
WO2015184752A1 (zh) | 一种异常进程检测方法及装置 | |
JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
JP2019525287A (ja) | 脆弱なアプリケーションの検出 | |
US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
Sinha et al. | Detecting and mitigating secret-key leaks in source code repositories | |
US9298926B2 (en) | Remediation of security vulnerabilities in computer software | |
CN111163094B (zh) | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 | |
CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
CN111183620B (zh) | 入侵调查 | |
KR102045772B1 (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
CN109145589B (zh) | 应用程序获取方法及装置 | |
CN109472138B (zh) | 一种检测snort规则冲突的方法、装置和存储介质 | |
US20170171224A1 (en) | Method and System for Determining Initial Execution of an Attack | |
Khanmohammadi et al. | Understanding the service life cycle of Android apps: An exploratory study | |
CN114491661A (zh) | 基于区块链的日志防篡改方法及系统 | |
Staff | Future cyberdefenses will defeat cyberattacks on PCs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |