CN109510807A - 一种优化snort规则集的方法、装置和存储介质 - Google Patents

一种优化snort规则集的方法、装置和存储介质 Download PDF

Info

Publication number
CN109510807A
CN109510807A CN201711251561.9A CN201711251561A CN109510807A CN 109510807 A CN109510807 A CN 109510807A CN 201711251561 A CN201711251561 A CN 201711251561A CN 109510807 A CN109510807 A CN 109510807A
Authority
CN
China
Prior art keywords
snort rule
snort
rule
tested
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711251561.9A
Other languages
English (en)
Inventor
关墨辰
李林哲
王小丰
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ahtech Network Safe Technology Ltd
Original Assignee
Beijing Ahtech Network Safe Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Ahtech Network Safe Technology Ltd filed Critical Beijing Ahtech Network Safe Technology Ltd
Priority to CN201711251561.9A priority Critical patent/CN109510807A/zh
Publication of CN109510807A publication Critical patent/CN109510807A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)

Abstract

本发明实施例提供了一种优化snort规则集的方法、装置及存储介质,用以解决目前由于获取的snort规则质量参差不齐,导致的snort规则集质量较低的问题。该方法包括:测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;根据所述snort规则的测试结果对被测试的snort规则进行处理。

Description

一种优化snort规则集的方法、装置和存储介质
技术领域
本发明涉及计算机信息安全领域,尤其涉及一种优化snort规则集的方法、装置和存储介质。
背景技术
入侵检测系统(Intrusion Detection System,IDS)为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术,通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。Snort为IDS技术领域中相当著名的开放原始码(OpenSource)软件,其是以检测签章(Signature Based)及检测通讯协议(Protocol)为基础,利用内建的入侵检测规则(Intrusion Detection Rules)过滤网络的入侵行为。随着入侵行为的不断变换,入侵检测规则也在不断地变化与更新,或者根据局域网中的计算机主机需求取向不断设计合适的入侵检测规则。
Snort规则可以根据人工输入指令获取,也可以直接下载规则文件并拷贝至指定目录后,还可以根据设定的规则自动获取;由于snort规则的来源有多种,获取的snort规则的质量无法保证,如果直接将新获取的snort规则添加到snort规则集中,这会导致对snort规则集无法进行优化。
综上所述,由于获取snort规则的途径有多种,获取的snort规则的质量参差不齐,导致目前的snort规则集的质量较低。
发明内容
本发明实施例提供了一种优化snort规则集的方法、装置及存储介质,用以解决目前由于通过不同途径获取的snort规则质量参差不齐,导致的snort规则集质量较低的问题。
基于上述问题,本发明实施例提供的一种优化snort规则集的方法,包括:
测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;其中,所述恶意流量集合和所述非恶意流量集合均是预先设定的;
若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;
若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;
根据所述snort规则的测试结果对被测试的snort规则进行处理。
本发明实施例提供的一种优化snort规则集的装置,包括:
一个或者多个处理器;
存储器;
一个或者多个程序存储在所述存储器中,当被所述一个或者多个处理器执行时实现:
测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;其中,所述恶意流量集合和所述非恶意流量集合均是预先设定的;
若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;
若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;
根据所述snort规则的测试结果对被测试的snort规则进行处理。
本发明实施例提供了一种非易失性计算机存储介质,在该存储介质中存储有计算机可执行指令,所述计算机可执行指令被执行时实现本发明实施例提供的优化snort规则集的方法。
本发明实施例的有益效果包括:
本发明实施例提供的一种优化snort规则集的方法、装置和存储介质,对snort规则测试其是否命中应该命中的恶意流量集合,并测试其是否命中非恶意流量集合,在被测试的snort规则命中其应该命中的恶意流量集合,并没有命中任何非恶意流量集合时,被测试的snort规则通过测试,而在被测试的snort规则没有命中其应该命中的恶意流量集合,或者命中了任何非恶意流量集合时,被测试的snort规则未通过测试,以及根据被测试的snort规则的测试结果对被测试的snort规则进行处理,从而对snort规则集进行优化,以提高snort规则集的质量。
附图说明
图1为本发明实施例提供的一种优化snort规则集的方法的流程图;
图2为本发明实施例提供的另一种优化snort规则集的方法的流程图;
图3为本发明实施例提供的优化snort规则集的装置的结构图。
具体实施方式
本发明实施例提供了一种优化snort规则集的方法、装置和存储介质,对各条snort规则进行测试,测试其是否命中其应该命中的恶意流量集合,并测试其是否命中非恶意流量集合,在被测试的snort规则命中其应该命中的恶意流量集合,并没有命中任何非恶意流量集合时,被测试的snort规则通过测试,而在被测试的snort规则没有命中其应该命中的恶意流量集合,或者命中了任何非恶意流量集合时,被测试的snort规则未通过测试,最后根据各条snort规则的测试结果对其进行处理,从而优化snort规则集,提高snort规则集的质量。
下面结合说明书附图,对本发明实施例提供的一种优化snort规则集的方法、装置及存储介质的具体实施方式进行说明。
本发明实施例提供的一种优化snort规则集的方法,如图1所示,具体包括以下步骤:
S101、测试一条snort规则是否命中非恶意流量集合;若是,执行S104,否则,执行S102;
S102、测试该snort规则是否命中该snort规则对应的恶意流量集合;若是,执行S103,否则,执行S104;其中,恶意流量集合和非恶意流量集合均是预先设定的;
S103、该snort通过测试;
S104、该snort规则未通过测试;
S105、根据对该snort的测试结果对该snort规则进行处理。
图1中的S101和S102的顺序是可以交换的,也就是说,可以先执行S101,再执行S102,也可以先执行S102,再执行S101。如果有多条snort规则等待测试,则可以重复执行S101-S105,直至所有待测试的snort规则全部测试完毕。
上述被测试的snort规则可以是snort规则集中的一条snort规则,也可以是新获取、且未添加到snort规则集中的一条snort规则。
如果被测试的snort规则是新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理,具体可以包括:在被测试的snort规则通过测试后,将被测试的snort规则添加到snort规则集中;而在被测试的snort规则未通过测试时,被测试的snort规则可以不添加到snort规则集中。
如果被测试的snort规则是snort规则集中的一条snort规则,测试通过的snort规则可以保留在snort规则集中,测试未通过的snort规则可以从snort规则集中去除。
进一步地,本发明实施例提供的另一种优化snort规则集的方法,如图2所示,包括:
S201、测试一条snort规则是否命中非恶意流量集合;若是,执行S206,否则,执行S202;
S202、测试该snort规则是否命中该snort规则对应的恶意流量集合;若是,执行S203,否则,执行S206;
S203、判断该snort规则是否与snort规则集中与该snort规则不同的snort规则命中同一恶意流量集合;若是,执行S204,否则,执行S205;
若被测试的snort规则是新获取且未添加到的snort规则集中的snort规则,那么S203也就是判断被测试的snort规则是否与snort规则集中的各条snort规则命中同一恶意流量集合;若被测试的snort规则是snort规则集中的一条snort规则,那么S203也就是判断被测试的snort规则是否与snort规则集中的除被测试的snort规则以外的各条snort规则命中同一恶意流量集合。
S204、发出告警信息;
S205、该snort规则通过测试;
S206、该snort规则未通过测试;
S207、根据对该snort的测试结果对该snort规则进行处理。
其中,S201和S202的执行顺序可以互换,也就是说,可以先执行S201,然后再执行S202和S203,也可以先执行S202和S203,然后再执行S201。
通过图2所示的方法,每条snort规则的测试结果可以分为通过、不通过和告警。其中,测试结果为告警的snort规则也就是测试通过并且有告警的snort规则,测试结果为通过的snort规则也就是测试通过并且无告警的snort规则。
可选地,如果snort规则集中允许存在发生告警的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,那么可以将在测试时发生告警的snort规则添加到snort规则集中。如果snort规则集中不允许存在告警的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,那么在测试时发生告警的snort规则不能添加到snort规则集中。
如果snort规则集中允许存在发生告警的snort规则,且被测试的snort规则为snort规则集中的一条snort规则,那么可以将在测试时发生告警的snort规则保留在snort规则集中。如果snort规则集中不允许存在告警的snort规则,且被测试的snort规则为snort规则集中的一条snort规则,那么在测试时发生告警的snort规则要从snort规则集中去除。
可选地,如果snort规则集中允许存在相互之间有冲突的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,那么可以在被测试的snort规则与snort规则集中的snort规则存在冲突,且被测试的snort规则通过测试且无告警时,将被测试的snort规则添加到snort规则集中。
如果snort规则集中允许存在相互之间有冲突的snort规则,且被测试的snort规则为snort规则集中的一条snort规则,那么可以在被测试的snort规则与snort规则集中的snort规则存在冲突,且被测试的snort规则通过测试且无告警时,将被测试的snort规则保留在snort规则集中。
在被测试的snort规则与snort规则集中的snort规则存在冲突,且被测试的snort规则通过测试且有告警时,无论被测试的snort规则是新获取、且未添加到snort规则集中的snort规则,还是snort规则集中的一条snort规则,均可以对被测试的snort规则以及与被测试的snort规则冲突的snort规则进行进一步的处理以解决冲突。
进一步地,snort规则集可以按照用户的需求进行输出,每次输出的snort规则集都有一个唯一的标识编号。这个唯一的标识编号可以是snort规则集的输出时间,输出时间可以是输出snort规则集时的日期,如UTC+8的日期和精确到微秒的时间。另外,输出的snort规则集具体包含哪些snort规则由snort规则集输出时的筛选信息确定,其中,筛选信息可以包括但不限于:snort规则的来源、是否仅输出通过测试的snort规则,是否允许通过测试且有告警的snort规则输出、是否输出存在冲突的snort规则以及输出哪个版本的测试通过且无告警的snort规则。
由于本发明实施例提供的优化snort规则集的方法既会对新获取、且未添加到snort规则集中的snort规则进行测试,也会对snort规则集中的snort规则进行测试,因此,如果从上游组件处获取了snort规则A并添加到了本地保存的snort规则集中(snort规则A保存到本地的snort规则集中后称为snort规则A’),如果上游组件处的snort规则A进行了修改,且本地保存的snort规则A’也进行了修改,则当再次从上游组件处获取snort规则A并保存在本地时,snort规则A与snort规则A’存在冲突,而采用本发明实施例提供的优化snort规则集的方法可以对snort规则A和snort规则A’均进行测试,并反馈测试结果。
本发明实施例提供的优化snort规则集的方法可以在新获取到snort规则要添加到snort规则集中时触发执行,也可以在维护恶意流量集合和/或非恶意流量集合时触发执行,还可以由用户自行触发执行,还可以定时执行。
存储在本地的snort规则集所存储的内容包括但不限于:各个snort规则及知识库版本,本地测试用非恶意流量集合,本地测试用恶意流量集合,snort规则,知识库等。其中,知识是人类可理解的对应每条snort规则的维护信息,例如公共漏洞和暴露(CVE,CommonVulnerabilities & Exposures)或中国国家信息安全漏洞库(CNNVD,China NationalVulnerability Database of Information Security)编码,也包括修改提交记录及理由等数据。
存储在本地的snort规则集还可以向用户展示,展示的内容包括但不限于:本地存储的snort规则在本地的唯一编码,本地生效的snort规则的内容,对snort规则的测试是否通过,本地测试用非恶意流量集合以及相应的测试结果,本地测试用的与snort规则对应的恶意流量集合以及相应的测试结果,说明文档,知识信息,参考CVE或CNNVD编码,参考链接等。
另外,新获取的snort规则也可以向用户展示,展示的内容包括但不限于:从哪个情报源获取的,是否本地修改过,本地修改前消息,本地修改后消息,是否有冲突,上游的消息内容,版本信息等。
具体展示哪些snort规则可以根据snort规则的来源,snort规则是否有冲突,测试未通过,测试告警等规则进行筛选和展示。
基于同一发明构思,本发明实施例还提供了一种优化snort规则集的装置,由于这些装置所解决问题的原理与前述优化snort规则集的方法相似,因此该装置的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的一种优化snort规则的装置,如图3所示,包括:
一个或者多个处理器31;
存储器32;
一个或者多个程序存储在存储器32中,当被所述一个或者多个处理器31执行时实现:
测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;其中,所述恶意流量集合和所述非恶意流量集合均是预先设定的;
若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;
若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;
根据所述snort规则的测试结果对被测试的snort规则进行处理。
其中,被测试的snort规则为snort规则集中的一条snort规则,或者为新获取、且未添加到snort规则集中的snort规则。
进一步地,一个或多个处理器31用于执行存储在存储器32中的一个或多个程序以实现:
被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,根据被测试的snort规则的测试结果对被测试的snort规则进行处理,包括:
在被测试的snort规则通过测试后,将被测试的snort规则添加到snort规则集中。
可选地,一个或多个处理器31还用于执行存储在存储器32中的一个或多个程序以实现:
在测试所述snort规则时,确定所述snort规则是否与snort规则集中与被测试的snort规则不同的snort规则命中同一恶意流量集合;
发出告警信息。
可选地,一个或多个处理器31用于执行存储在存储器32中的一个或多个程序以实现:
snort规则集中允许存在发生告警的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:
将在测试时发生告警的snort规则添加到snort规则集中。
可选地,一个或多个处理器31用于执行存储在存储器32中的一个或多个程序以实现:
snort规则集中允许存在相互之间有冲突的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:
当被测试的snort规则与snort规则集中的snort规则存在冲突,且被测试的snort规则通过测试且无告警时,将被测试的snort规则添加到snort规则集中。
可选地,一个或多个处理器31还用于执行存储在存储器32中的一个或多个程序以实现:
输出snort规则集时,输出的snort规则集的标识编号为该snort规则集的输出时间,且输出的snort规则集与snort规则集的标识编号一一对应。
本发明实施例还提供一种非易失性计算机存储介质,在该存储介质中存储有计算机可执行指令,所述计算机可执行指令被执行时实现本发明实施例提供的优化snort规则集的方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (14)

1.一种优化snort规则集的方法,其特征在于,包括:
测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;其中,所述恶意流量集合和所述非恶意流量集合均是预先设定的;
若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;
若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;
根据所述snort规则的测试结果对被测试的snort规则进行处理。
2.如权利要求1所述的方法,其特征在于,被测试的snort规则为snort规则集中的一条snort规则,或者为新获取、且未添加到snort规则集中的snort规则。
3.如权利要求2所述的方法,其特征在于,被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,根据被测试的snort规则的测试结果对被测试的snort规则进行处理,包括:
在被测试的snort规则通过测试后,将被测试的snort规则添加到snort规则集中。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
在测试所述snort规则时,确定所述snort规则是否与snort规则集中与被测试的snort规则不同的snort规则命中同一恶意流量集合;
发出告警信息。
5.如权利要求4所述的方法,其特征在于,snort规则集中允许存在发生告警的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:
将在测试时发生告警的snort规则添加到snort规则集中。
6.如权利要求4所述的方法,其特征在于,snort规则集中允许存在相互之间有冲突的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:
当被测试的snort规则与snort规则集中的snort规则存在冲突,且被测试的snort规则通过测试且无告警时,将被测试的snort规则添加到snort规则集中。
7.如权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
输出snort规则集时,输出的snort规则集的标识编号为该snort规则集的输出时间,且输出的snort规则集与snort规则集的标识编号一一对应。
8.一种优化snort规则集的装置,其特征在于,包括:
一个或者多个处理器;
存储器;
一个或者多个程序存储在所述存储器中,当被所述一个或者多个处理器执行时实现:
测试一条snort规则是否命中与所述snort规则对应的恶意流量集合,且是否命中非恶意流量集合;其中,所述恶意流量集合和所述非恶意流量集合均是预先设定的;
若所述snort规则命中与所述snort规则对应的恶意流量集合,且未命中非恶意流量集合,则所述snort规则通过测试;
若所述snort规则未命中与所述snort规则对应的恶意流量集合,或命中非恶意流量集合,则所述snort规则未通过测试;
根据所述snort规则的测试结果对被测试的snort规则进行处理。
9.如权利要求8所述的装置,其特征在于,所述一个或多个处理器用于执行存储在存储器中的一个或多个程序以实现:
被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,根据被测试的snort规则的测试结果对被测试的snort规则进行处理,包括:
在被测试的snort规则通过测试后,将被测试的snort规则添加到snort规则集中。
10.如权利要求8所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在测试所述snort规则时,确定所述snort规则是否与snort规则集中与被测试的snort规则不同的snort规则命中同一恶意流量集合;
发出告警信息。
11.如权利要求10所述的装置,其特征在于,所述一个或多个处理器用于执行存储在存储器中的一个或多个程序以实现:
snort规则集中允许存在发生告警的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:
将在测试时发生告警的snort规则添加到snort规则集中。
12.如权利要求10所述的装置,其特征在于,所述一个或多个处理器用于执行存储在存储器中的一个或多个程序以实现:
snort规则集中允许存在相互之间有冲突的snort规则,且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则,则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括:
当被测试的snort规则与snort规则集中的snort规则存在冲突,且被测试的snort规则通过测试且无告警时,将被测试的snort规则添加到snort规则集中。
13.如权利要求8-12任一所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
输出snort规则集时,输出的snort规则集的标识编号为该snort规则集的输出时间,且输出的snort规则集与snort规则集的标识编号一一对应。
14.一种非易失性存储计算机存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令被执行时实现权利要求1-7任一所述的方法。
CN201711251561.9A 2017-12-01 2017-12-01 一种优化snort规则集的方法、装置和存储介质 Pending CN109510807A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711251561.9A CN109510807A (zh) 2017-12-01 2017-12-01 一种优化snort规则集的方法、装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711251561.9A CN109510807A (zh) 2017-12-01 2017-12-01 一种优化snort规则集的方法、装置和存储介质

Publications (1)

Publication Number Publication Date
CN109510807A true CN109510807A (zh) 2019-03-22

Family

ID=65745397

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711251561.9A Pending CN109510807A (zh) 2017-12-01 2017-12-01 一种优化snort规则集的方法、装置和存储介质

Country Status (1)

Country Link
CN (1) CN109510807A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103746885A (zh) * 2014-01-28 2014-04-23 中国人民解放军信息安全测评认证中心 一种面向下一代防火墙的测试系统和测试方法
US20140283083A1 (en) * 2013-03-15 2014-09-18 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
CN106126422A (zh) * 2016-06-24 2016-11-16 南京南瑞集团公司 一种抽水蓄能电站控制软件自动调试系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140283083A1 (en) * 2013-03-15 2014-09-18 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
CN103746885A (zh) * 2014-01-28 2014-04-23 中国人民解放军信息安全测评认证中心 一种面向下一代防火墙的测试系统和测试方法
CN106126422A (zh) * 2016-06-24 2016-11-16 南京南瑞集团公司 一种抽水蓄能电站控制软件自动调试系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郑敬华等: "Snort规则优化技术分析", 《安徽电子信息职业技术学院学报》 *

Similar Documents

Publication Publication Date Title
US11798028B2 (en) Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit
CN105593870B (zh) 用于恶意软件检测的复杂评分
CA2997597C (en) Systems and methods for detecting and scoring anomalies
CN105554007B (zh) 一种web异常检测方法和装置
US9424426B2 (en) Detection of malicious code insertion in trusted environments
WO2017152742A1 (zh) 一种网络安全设备的风险评估方法和装置
US11956264B2 (en) Method and system for verifying validity of detection result
CN107851155A (zh) 用于跨越多个软件实体跟踪恶意行为的系统及方法
JP7069399B2 (ja) コンピュータセキュリティインシデントを報告するためのシステムおよび方法
CN110535806A (zh) 监测异常网站的方法、装置、设备和计算机存储介质
CN111683084B (zh) 一种智能合约入侵检测方法、装置、终端设备及存储介质
CN109144023A (zh) 一种工业控制系统的安全检测方法和设备
CN109388949B (zh) 一种数据安全集中管控方法和系统
CN109510807A (zh) 一种优化snort规则集的方法、装置和存储介质
US9008104B2 (en) Methods and apparatus for detecting and filtering forced traffic data from network data
CN109472138A (zh) 一种检测snort规则冲突的方法、装置和存储介质
US11763004B1 (en) System and method for bootkit detection
US11232202B2 (en) System and method for identifying activity in a computer system
Li et al. Automatic Botnet Attack Identification Based on Machine Learning.
EP3721364A1 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
CN112637217B (zh) 基于诱饵生成的云计算系统的主动防御方法及装置
CN114640529B (zh) 攻击防护方法、装置、设备、存储介质和计算机程序产品
CN116865986A (zh) 一种病毒检测方法、cep引擎、电子设备及存储介质
CN117040805A (zh) 漏洞捕获方法、装置、计算机可读存储介质及电子设备
Sharma An Artificaial Intelligence Integrated Framework And Methodology For Information Security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190322