CN111553332B - 入侵检测规则生成方法、装置及电子设备 - Google Patents

入侵检测规则生成方法、装置及电子设备 Download PDF

Info

Publication number
CN111553332B
CN111553332B CN202010661329.8A CN202010661329A CN111553332B CN 111553332 B CN111553332 B CN 111553332B CN 202010661329 A CN202010661329 A CN 202010661329A CN 111553332 B CN111553332 B CN 111553332B
Authority
CN
China
Prior art keywords
intrusion detection
access data
detection rule
video monitoring
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010661329.8A
Other languages
English (en)
Other versions
CN111553332A (zh
Inventor
刘松
王滨
万里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202010661329.8A priority Critical patent/CN111553332B/zh
Publication of CN111553332A publication Critical patent/CN111553332A/zh
Application granted granted Critical
Publication of CN111553332B publication Critical patent/CN111553332B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/50Context or environment of the image
    • G06V20/52Surveillance or monitoring of activities, e.g. for recognising suspicious objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/40Scenes; Scene-specific elements in video content
    • G06V20/41Higher-level, semantic clustering, classification or understanding of video scenes, e.g. detection, labelling or Markovian modelling of sport events or news items

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种入侵检测规则生成方法、装置及电子设备,该方法包括:获取针对视频监控设备的服务的访问数据;基于所述访问数据进行反向设备识别,以确定访问者设备的设备类型;当所述访问者设备的设备类型为视频监控设备时,基于所述视频监控设备的所述访问数据生成入侵检测规则。该方法可以实现入侵检测规则的自动生成,提高入侵检测规则的时效性和针对性。

Description

入侵检测规则生成方法、装置及电子设备
技术领域
本申请涉及智能监控领域,尤其涉及一种入侵检测规则生成方法、装置及电子设备。
背景技术
随着大数据技术、物联网技术和云计算技术的大力发展和普及,视频监控设备对数据的采集、分析的应用也越来越普及。然而,随着视频监控技术的发展,视频监控设备的安全也面临着极大的挑战,发生在视频监控设备上的恶意攻击也在逐年增加,若已经投入使用的视频监控设备遭受入侵,将会进一步给整个视频监控网络乃至区域更大的网络范围带来安全威胁甚至破坏。
为了能够应对视频监控设备的网络安全威胁,一般会在视频监控边界网络部署入侵检测设备(Intrusion Detection System,简称IDS),用于检测针对网络内部的设备攻击,及时告警。而对于入侵检测设备最重要的则是入侵检测规则。
实践发现,传统的入侵检测方案中,对于入侵检测规则主要是基于人工收录,或者使用机器学习方法监督学习生成入侵检测规则,其主要存在如下两个问题:
(1)、 对于人工收录或者是机器学习方法生成入侵检测规则,都是基于已有的攻击进行转化生成规则,对于新的攻击具有一定的滞后性。
(2)、对于机器学习方法监督生成入侵检测规则,其学习数据样本越全,误报率会越低。对于视频监控设备的攻击入侵,其更具有针对性,并且样本数据也偏小,现有的机器学习方法监督生成入侵检测规则,较大概率上存在误报。
发明内容
有鉴于此,本申请提供一种入侵检测规则生成方法、装置及电子设备。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种入侵检测规则生成方法,包括:
获取针对视频监控设备的服务的访问数据;
基于所述访问数据进行反向设备识别,以确定访问者设备的设备类型;
当所述访问者设备的设备类型为视频监控设备时,基于所述视频监控设备的所述访问数据生成入侵检测规则,所述入侵检测规则用于对采用与所述访问数据相同的服务访问方式,对所述服务进行访问的其它访问数据进行恶意攻击识别。
根据本申请实施例的第二方面,提供一种入侵检测规则生成装置,包括:
获取单元,用于获取针对视频监控设备的服务的访问数据;
识别单元,用于基于所述访问数据进行反向设备识别,以确定访问者设备的设备类型;
生成单元,用于当所述访问者设备的设备类型为视频监控设备时,基于所述视频监控设备的所述访问数据生成入侵检测规则,所述入侵检测规则用于对采用与所述访问数据相同的服务访问方式,对所述服务进行访问的其它访问数据进行恶意攻击识别。
根据本申请实施例的第三方面,提供一种电子设备,该电子设备包括:
处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现上述方法。
本申请实施例的入侵检测规则生成方法,通过获取针对视频监控设备的服务的访问数据,并基于访问数据进行反向设备识别,以确定访问者设备的设备类型;当访问者设备的设备类型为视频监控设备时,基于所获取的该视频监控设备的访问数据生成入侵检测规则,实现了入侵检测规则的自动生成,且能够基于识别为恶意攻击的访问请求实时生成入侵检测规则,提高了入侵检测规则的时效性和针对性。
附图说明
图1为本申请一示例性实施例示出的一种入侵检测规则生成方法的流程示意图;
图2为本申请又一示例性实施例示出的另一种入侵检测规则生成方法的流程示意图;
图3为本申请一示例性实施例示出的一种模拟视频监控设备的Web服务下的一个系统设置界面的示意图;
图4A~4C为本申请一示例性实施例示出的访问数据的示意图;
图5为本申请一示例性实施例示出的一种入侵检测规则生成流程示意图;
图6为本申请一示例性实施例示出的一种入侵检测规则生成装置的结构示意图;
图7为本申请一示例性实施例示出的图5所示装置的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
请参见图1,为本申请实施例提供的一种入侵检测规则生成方法的流程示意图,如图1所示,该入侵检测规则生成方法可以包括以下步骤:
步骤S100、获取针对视频监控设备的服务的访问数据。
本申请实施例中,视频监控设备是指安防监控领域相关的网络设备,包括但不限于:摄像机(如IPC(Internet Protocol Camera,网络摄像机))、NVR(Network VideoRecorder,网络视频录像机)、DVR(Digital Video Recorder,数字视频录像机)等。
本申请实施例中,视频监控设备的服务包括但不限于Web服务、Onvif(一种全球性的开放接口标准)服务或RTSP(Real Time Streaming Protocol,实时流传输协议)服务等。
本申请实施例中,考虑到大部分针对视频监控设备的入侵都是基于视频监控设备的某项服务存在的缺陷进行恶意攻击,因此,可以基于针对视频监控设备的服务的访问数据,识别针对视频监控设备的恶意攻击。
在一个示例中,获取针对视频监控设备的服务的访问数据,可以包括:
获取针对网络中部署的视频监控设备仿真服务模块的访问数据。
示例性的,考虑到通过在视频监控设备中部署数据捕获模块来获取针对视频监控设备的服务的访问数据,会占用视频监控设备的系统资源(如内存资源),影响视频监控设备的正常工作;通过在视频监控设备外部部署的数据捕获模块来获取针对视频监控设备的服务的访问数据,则需要对已有的视频监控组网进行改造。
为了在实现针对视频监控设备的服务的访问数据的获取的情况下,避免对视频监控设备的系统资源的占用,以及对视频监控组网的影响,可以在网络中部署用于对视频监控设备的一项或多项服务进行仿真模拟的视频监控设备仿真服务模块,并获取针对视频监控设备仿真服务模块的访问数据,基于针对视频监控设备的仿真服务模块的访问数据进行恶意攻击识别。
示例性的,视频监控服务仿真服务模块可以包括运行在服务器、PC(PersonalComputer,个人计算机)或嵌入式设备上的,用于实现视频监控的一项或多项服务进行仿真模拟的软件、程序或系统。
示例性的,可以在网络中部署一个或多个上述视频监控设备仿真服务模块。
步骤S110、基于访问数据进行反向设备识别,以确定访问者设备的设备类型。
步骤S120、当访问者设备的设备类型为视频监控设备时,根据所获取的该视频监控设备的访问数据生成入侵检测规则,该入侵检测规则用于对采用与该访问数据相同的服务访问方式,对该服务进行访问的其它访问数据进行恶意攻击识别。
本申请实施例中,考虑到正常的视频监控设备是提供视频监控等功能的设备,其本身是不会对外部设备进行访问的;但是对于被入侵的视频监控设备,其由于被恶意攻击者控制成为了一个恶意的视频监控设备,恶意攻击者会利用其控制的视频监控设备进一步攻击控制其它的视频监控设备,从而达到控制更多的视频监控设备的目的。
由于视频监控设备的资源有限,能够执行恶意攻击者的指令有限,因此其往外发出的访问信息更加具有恶意特性,其目的更加明确,就是为了能够破坏目标视频监控设备。因此,对于往外发出请求访问信息的视频监控设备,其访问请求通常属于恶意攻击。
相应地,对于获取到的任一访问数据,可以基于该访问数据进行反向设备识别,以确定访问者设备(即发起该访问请求的设备)的设备类型。
在一个示例中,可以基于访问数据中包括的访问请求的源地址进行反向设备识别。
当确定访问者设备的设备类型为视频监控设备时,可以基于所获取的该视频监控设备的访问数据生成入侵检测规则(以实现对采用与该访问数据相同的服务访问方式(也可以称为服务请求方式),对该服务(步骤S100中的服务)进行访问的其它访问数据进行恶意攻击识别。示例性的,在按照上述方式生成入侵检测规则之后,可以将所生成的入侵检测规则发送至入侵检测设备,由入侵检测设备基于该入侵检测规则进行入侵检测。
在一个示例中,考虑到访问者设备的IP地址(即访问请求的原地址)可能为动态IP地址,其某时刻的IP地址可能会在一段时间之后发生改变,因此,对于所获取到的任一访问数据,可以在以获取到该访问数据的时刻为起始时刻的预设时长内,基于该访问数据中包括的访问请求的源地址进行反向设备识别处理,以避免由于访问者设备的IP地址发生变化导致无法识别到访问者设备。
可见,在图1所示方法流程中,利用被入侵的视频监控设备对外发出的访问请求属于恶意攻击这一特点,通过获取针对视频监控设备的服务的访问数据,并基于访问数据包括的访问请求的源地址进行反向设备识别,以确定访问者设备的设备类型,进而,当确定访问者设备的设备类型为视频监控设备时,生成对应访问数据的入侵检测规则,实现了入侵检测规则的自动生成,且能够基于识别为恶意攻击的访问请求实时生成入侵检测规则,提高了入侵检测规则的时效性和针对性。
在一个实施例中,步骤S110中,基于访问数据进行反向设备识别,可以包括:
基于访问数据中包括的访问请求的源地址,获取访问者设备的Web页面;
基于预设的视频监控设备图片,对该Web页面进行搜索,以确定该Web页面中是否存在与预设的视频监控设备图片匹配的图片;
若存在,则确定访问者设备的设备类型为视频监控设备。
示例性的,考虑到视频监控设备的Web页面中通常会存在表征该视频监控设备的设备类型的图片,因此,可以预先收集并保存各种不同类型的视频监控设备的图片(即预设的视频监控设备图片)。
当进行设备反向识别时,可以基于访问数据中包括的访问请求的源地址,获取访问者设备的Web页面,并基于预设的视频监控设备图片,对访问者设备的Web页面进行搜索,以确定该Web页面中是否存在与预设的视频监控设备图片匹配的图片,并当存在时,确定访问者设备的设备类型为视频监控设备,从而,可以提高针对视频监控设备的反向设备识别的效率。
需要说明的是,当访问者设备的Web页面中不存在与预设的视频监控设备图片匹配的图片时,可以确定访问者设备的设备类型不是视频监控设备,或者,按照其他策略进一步对访问者设备的设备类型进行识别。
在一个实施例中,步骤S120中,当访问者设备的设备类型为视频监控设备时,上述方法还可以包括:
确定候选入侵检测规则中是否存在与该访问数据的相似度大于预设相似度阈值的目标候选入侵检测规则;目标候选入侵检测规则包括的服务标识与该访问数据请求访问的服务匹配,包括的服务请求方式与该访问数据访问该服务采用的服务访问方式相同,且包括的请求报文信息与该访问数据的请求报文信息的相似度大于预设相似度阈值;
若存在,则将目标候选入侵检测规则的计数加1;
否则,基于视频监控设备的该访问数据生成新的候选入侵检测规则,并将该新的候选入侵检测规则的计数值设置为1;
步骤S120中,基于视频监控设备的访问数据生成入侵检测规则,可以包括:
当目标候选入侵检测规则的计数达到预设次数阈值时,基于该目标候选入侵检测规则生成入侵检测规则。
示例性的,为了提高入侵检测规则生成的可靠性,降低误报的概率,对于反向设备识别的结果为视频监控设备的访问数据,可以先生成候选入侵检测规则,并依据接收到的访问数据对候选入侵检测规则进行计数,当候选入侵检测规则的计数达到预设次数阈值时,再基于候选入侵检测规则生成入侵检测规则。
相应地,当基于接收到的访问数据确定访问者设备的设备类型为视频监控设备时,可以确定该访问数据与各候选入侵检测规则的相似度。
示例性的,在确定访问数据与候选入侵检测规则的相似度时,可以先比较访问数据请求访问的服务与候选入侵检测规则中包括的服务标识,如服务名称,以及,访问数据访问该服务的服务访问方式与候选入侵检测规则中包括的服务请求方式,若二者均匹配,则基于访问数据的请求报文信息与候选入侵检测规则中包括的请求报文信息,计算该访问数据与该候选入侵检测规则之间的相似度。
当访问数据请求访问的服务与候选入侵检测规则中包括的服务标识不匹配,或/和,访问数据访问该服务的服务访问方式与该候选入侵检测规则中包括的服务访问方式不同时,可以确定访问数据与该候选入侵检测规则的相似度为0。
当确定了该访问数据与各候选入侵检测规则的相似度时,可以比较所确定的相似度与预设相似度阈值,以确定候选入侵检测规则中是否存在与该访问数据的相似度大于预设相似度阈值的候选入侵检测规则(本文中称为目标候选入侵检测规则)。
若存在,则将目标候选入侵检测规则的计数加1;
否则,基于该访问数据生成新的候选入侵检测规则,并将该新的候选入侵检测规则的计数值设置为1。
示例性的,当目标候选入侵检测规则的计数达到预设次数阈值时,可以基于目标候选入侵检测生成入侵检测规则。
在一个示例中,请求报文信息之间的相似度与请求报文信息之间的编辑距离负相关,即两个请求报文信息之间的编辑距离越大,该两个请求报文信息的相似度越低;反之亦然。
例如,请求报文信息1为“abcde”,请求报文信息2为“abcdf”,则请求报文信息1与请求报文信息2的编辑距离为1。
又例如,请求报文信息3为“gbcd”,请求报文信息4为“abcde”,则入侵检测规则3与入侵检测规则4的编辑距离为2。
需要说明的是,在本申请实施例中,当确定了访问数据与目标候选入侵检测规则的相似度大于预设相似度阈值时,若访问数据的请求报文信息与目标候选入侵检测规则包括的请求报文信息不相同,则还可以基于访问数据的请求报文信息与目标候选入侵检测规则包括的请求报文信息进行合并,以提高入侵检测的可靠性。
例如,假设访问数据的请求报文信息为“abcd”,目标候选入侵检测规则中的请求报文信息为“abcde”,则合并后的请求报文信息可以为“abcd/*”,即在服务标识以及服务访问方式匹配的情况下,请求报文信息为“abcd”以及“abcd+任意一个字符”的访问数据均与该合并后的请求报文信息匹配。
在一个实施例中,访问数据还可以包括服务访问方式和请求报文信息;
步骤S120中,基于该视频监控设备的该访问数据生成入侵检测规则,可以包括:
基于服务的服务名称以及服务访问方式和请求报文信息,生成入侵检测规则。
示例性的,服务访问方式是指访问者设备访问视频监控设备的服务的访问方式,例如,Web服务的Get(获取)方法、POST(提交)方法或PUT(推送)方法等;Onvif服务的设备信息查询方法、获取截图方法等;RTSP服务的Option(选择)方法和Describe(描述)方法等。
请求报文信息是指访问者发送的请求数据信息,例如,Web服务的URI(UniformResource Identifier,统一资源标识符)路径等、Telnet(远程终端协议)服务下的shell(壳)命令等。
请求数据信息常见格式包括两种:一种是文本字符串格式,另一种是二进制字符串格式。
示例性的,考虑到对于相同的恶意攻击,即采用相同服务访问方式针对同一服务请求相同数据的恶意攻击,其请求报文信息通常是一致的,而不同恶意攻击,其请求报文信息是不一致的。
因此,在识别到恶意攻击时,可以基于访问数据中包括的服务访问方式和请求报文信息,以及访问请求所针对的服务的服务名称,生成对应该访问数据的入侵检测规则,以便后续流程中可以基于所生成的入侵检测规则识别出采用相同服务访问方式对该服务发起的恶意攻击。
在一个示例中,上述基于服务的服务名称以及服务访问方式和请求报文信息,生成入侵检测规则,可以包括:
基于请求报文信息的特征,将请求报文信息转化为入侵检测正则表达式;
基于服务名称、服务访问方式以及入侵检测正则表达式,生成入侵检测规则。
示例性的,为了使所生成的入侵检测规则更加通用,在确定了访问请求的请求报文信息时,可以基于请求报文信息的特征,将请求报文信息转化为正则表达式(本文中称为入侵检测正则表达式),并基于服务名称、服务访问方式以及入侵检测正则表达式,生成入侵检测规则,即入侵检测规则为:(服务名称,服务访问方式,入侵检测正则表达式),其具体实现可以在下文中结合具体实例进行说明。
在一个示例中,步骤S120中,入侵检测规则可以包括该服务的标识信息、访问数据中包括的服务访问方式以及请求报文信息;
步骤S120中,基于视频监控设备的访问数据生成入侵检测规则之后,还可以包括:
将该入侵检测规则发送给入侵检测设备,以使入侵检测设备将与该入侵检测规则匹配的其它访问数据确定为恶意攻击数据;其中,与该入侵检测规则匹配的访问数据为采用该入侵检测规则中包括的服务访问方式,对入侵检测规则中包括的服务的标识信息对应的服务进行访问,且包括的请求信息与该入侵检测规则中包括的请求报文信息相同的访问数据。
示例性的,在按照步骤S120中描述的方式生成了入侵检测规则时,可以将该入侵检测规则发送给入侵检测设备。
入侵检测设备接收到该入侵检测规则时,可以基于该入侵检测规则对接收到的访问数据进行恶意攻击识别。
对于入侵检测设备所接收到的任一访问数据,入侵检测设备可以基于该访问数据请求访问的服务以及访问该服务的方式,查询入侵检测规则,若存在包括的服务的标识信息(如服务名称)与该访问数据请求访问的服务匹配,且包括的服务访问方式与该访问数据访问该服务的方式相同的入侵检测规则时,入侵检测设备可以比较该访问数据中包括的请求报文信息和该入侵检测规则中包括的请求报文信息,若二者相同,则确定该访问数据与该入侵检测规则匹配,该访问数据为恶意攻击数据。
示例性的,当入侵检测规则中包括的请求报文信息为请求报文信息的正则表达式时,入侵检测设备可以将接收到的访问数据中包括的请求报文信息转化为正则表达式后,与入侵检测规则中包括的正则表达式进行比较,以确定二者是否相同。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合具体实例对本申请实施例提供的技术方案进行说明。
以针对视频监控设备的Web服务进行仿真模拟为例,如图2所示,在该实施例中,入侵检测规则生成方法流程可以包括以下步骤:
步骤S200、构建视频监控设备Web服务仿真模块。
示例性的,可以构建一个用于模拟视频监控设备的Web服务的仿真模块(即视频监控设备Web服务仿真模块,简称Web服务仿真模块),该Web服务仿真模块具备摄像机的Web服务的基本功能。
请参见图3,为本申请实施例提供的一种模拟视频监控设备的Web服务下的一个系统设置界面,如图3所示,可以不需要对设备名称、设备编号、设备序列号等与真实设备相关的信息进行模拟,而是通过对Web服务的模拟,使访问者认为当前访问的是一个视频监控设备。
步骤S210、构建数据捕获模块,以捕获访问视频监控设备Web服务仿真模块的访问数据,该访问数据包括:访问者设备的IP地址、服务访问方式以及请求报文信息。
示例性的,数据捕获模块(也可以称为仿真模块)捕获的访问数据的格式可以参见图4A、图4B或图4C。
以图4A为例,如图4A所示,访问者设备的IP地址(图中的source,即源IP地址)为a.a.a.a(此处用a代表一个IPV4地址中的一个数值);服务访问方式为GET(获取),请求报文信息如下所示:
GET /index.php
Host: x.x.x.x:8080
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2)Gecko/20100115 Firefox/3.6)
Connection: close
Accept-Encoding: gzip
步骤S220、构建反向设备识别模块,对捕获模块捕获的访问数据中的源IP地址进行探测识别,识别访问者设备的设备类型。
示例性的,可以利用反向设备识别模块,分别对图4A、图4B和图4C中的源IP地址:a.a.a.a、b.b.b.b和y.y.y.y进行探测识别,得到对应的访问者设备的设备类型。
在该实施例中,假设a.a.a.a和b.b.b.b对应的访问者设备的设备类型不是视频监控设备,y.y.y.y对应的访问者设备的设备类型为摄像机,属于视频监控设备。
示例性的,为了保证网络中IP地址的时效性,可以在捕获到访问数据时,实时发起针对访问数据中的源IP地址的探测识别,判断对应的访问者设备的设备类型是否为视频监控设备。
在一个示例中,在通过反向设备识别模块对捕获模块捕获的访问数据中的源IP地址进行探测识别之前,还可以将捕获模块捕获的访问数据与已生成的入侵检测规则(如入侵检测规则库中记录的入侵检测规则)进行比较,以确定是否存在匹配的入侵检测规则;若存在,则确定该访问数据为恶意攻击数据;否则,执行后续步骤。
步骤S230、构建恶意攻击判断模块,判断当前捕获的访问数据是否为恶意攻击数据。
示例性的,基于步骤S220中的描述可知,由于y.y.y.y对应的访问者设备的设备类型为视频监控设备,因此,可以确定图4C记录的是一次针对视频监控设备的Web服务的恶意攻击。
由于a.a.a.a和b.b.b.b对应的访问者设备的设备类型不是视频监控设备,因此,可以确定图4A和图4B记录的不是针对视频监控设备的Web服务的恶意攻击。
步骤S240、构建入侵规则生成模块,基于所确定的恶意攻击数据,生成对应的入侵检测规则。
示例性的,步骤S230中确定的恶意攻击数据为图4C记录的访问数据。为了生成对应的入侵检测规则,一方面,可以确定服务名称为:Web服务;另一方面,可以基于图4C所示的访问数据,分别确定服务访问方式为:GET方法;请求报文信息如下:
Figure 433438DEST_PATH_IMAGE001
Host: x.x.x.x:8080
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36
Accept image/webp,image/apng,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
由于仿真的是Web服务,若要发现恶意攻击,则可以通过对访问路径进行检测实 现,若匹配到该访问路径,则可以告警,告知当前正有设备在对视频监控设备的Web服务进 行入侵。因此,根据请求报文信息,为了使生成的入侵检测规则可以发现该类型的Web服务 入侵,则需要匹配到该访问路径:
Figure 881736DEST_PATH_IMAGE002
即可。
为了使入侵检测规则更加通用,可以将该访问路径转化为正则表达式为:
Figure 192632DEST_PATH_IMAGE003
示例性的,最终生成的入侵检测规则中,对应的服务名称为Web服务,对应的请求 方法为GET方法,对应的入侵检测正则表达式为:
Figure 869732DEST_PATH_IMAGE004
即,一条完整的入侵检测规则为 一个三元组信息,其格式可以如下所示:
Figure 215263DEST_PATH_IMAGE005
在一个示例中,为了提高入侵检测规则生成的准确性,可以通过生成候选入侵检测规则,并对候选入侵检测规则进行计数的方式实现入侵检测规则。
请参见图5,完整的入侵检测规则生成流程可以如图5所示,其具体生成流程如下:
数据捕获模块捕获访问数据(也可以称为请求访问数据),通过匹配模块基于该访问数据查询入侵检测规则库(简称规则库),以确定是否存在匹配的目标入侵检测规则。
若存在,则结束当前流程,并确定该访问数据为恶意攻击数据。
否则,通过反向设备识别模块对捕获模块捕获的访问数据中的源IP地址进行探测识别,识别访问者设备的设备类型是否为视频监控设备。
若不为视频监控设备,则结束当前流程,确定该访问数据为非恶意攻击数据。
若为视频监控设备,则通过相似度计算模块计算该访问数据与候选入侵检测规则的相似度,确定候选入侵检测规则库(简称候选规则库)中是否存在与该访问数据的相似度大于预设相似度阈值的目标候选入侵检测规则。
若存在,则将目标候选入侵检测规则的计数加1;
否则,基于该访问数据生成新的候选入侵检测规则。
当目标候选入侵检测规则的计数达到预设次数阈值时,基于该目标候选入侵检测规则,生成入侵检测规则。
本申请实施例中,通过获取针对视频监控设备的服务的访问数据,并基于访问数据进行反向设备识别,以确定访问者设备的设备类型;当访问者设备的设备类型为视频监控设备时,基于该视频监控设备的该访问数据生成入侵检测规则,实现了入侵检测规则的自动生成,且能够基于识别为恶意攻击的访问请求实时生成入侵检测规则,提高了入侵检测规则的时效性和针对性。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述:
请参见图6,为本申请实施例提供的一种入侵检测规则生成装置的结构示意图,如图6所示,该入侵检测规则生成装置可以包括:
获取单元,用于获取针对视频监控设备的服务的访问数据;
识别单元,用于基于所述访问数据进行反向设备识别,以确定访问者设备的设备类型;
生成单元,用于当所述访问者设备的设备类型为视频监控设备时,基于所述视频监控设备的所述访问数据生成入侵检测规则,所述入侵检测规则用于对采用与所述访问数据相同的服务访问方式,对所述服务进行访问的其它访问数据进行恶意攻击识别。
在一个实施例中,所述获取单元获取针对视频监控设备的服务的访问数据,包括:
获取针对网络中部署的视频监控设备仿真服务模块的访问数据;
其中,所述视频监控设备仿真服务模块用于对视频监控设备的一项或多项服务进行仿真模拟,所述网络中部署一个或多个所述视频监控设备仿真服务模块。
在一个实施例中,所述识别单元基于所述访问数据进行反向设备识别,包括:
对于所获取到的任一访问数据,在以获取到该访问数据的时刻为起始时刻的预设时长内,基于该访问数据中包括的访问请求的源地址进行反向设备识别。
在一个实施例中,所述识别单元基于所述访问数据进行反向设备识别,包括:
基于所述访问数据中包括的访问请求的源地址,获取所述访问者设备的Web页面;
基于预设的视频监控设备图片,对所述Web页面进行搜索,以确定所述Web页面中是否存在与所述预设的视频监控设备图片匹配的图片;
若存在,则确定所述访问者设备的设备类型为视频监控设备。
在一个实施例中,当所述访问者设备的设备类型为视频监控设备时,所述识别单元还用于:
确定候选入侵检测规则中是否存在与所述访问数据的相似度大于预设相似度阈值的目标候选入侵检测规则;所述目标候选入侵检测规则包括的服务标识与所述服务匹配,包括的服务请求方式与所述访问数据访问所述服务采用的服务访问方式相同,且包括的请求报文信息与所述访问数据的请求报文信息的相似度大于所述预设相似度阈值;
若存在,则将目标候选入侵检测规则的计数加1;
否则,基于所述视频监控设备的所述访问数据生成新的候选入侵检测规则,并将该新的候选入侵检测规则的计数值设置为1;
所述生成单元基于所述视频监控设备的所述访问数据生成入侵检测规则,包括:
当所述目标候选入侵检测规则的计数达到预设次数阈值时,基于所述目标候选入侵检测规则生成入侵检测规则。
在一个实施例中,请求报文信息之间的相似度与请求报文信息之间的编辑距离负相关。
对应地,本申请还提供了图6所示装置的硬件结构。参见图7,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (9)

1.一种入侵检测规则生成方法,其特征在于,包括:
获取针对视频监控设备的服务的访问数据;
基于所述访问数据进行反向设备识别,以确定访问者设备的设备类型;
当所述访问者设备的设备类型为视频监控设备时,确定所述访问数据为恶意攻击数据,并基于所述视频监控设备的所述访问数据生成入侵检测规则,所述入侵检测规则用于对采用与所述访问数据相同的服务访问方式,对所述服务进行访问的其它访问数据进行恶意攻击识别;
其中,当所述访问者设备的设备类型为视频监控设备时,所述方法还包括:
确定候选入侵检测规则中是否存在与所述访问数据的相似度大于预设相似度阈值的目标候选入侵检测规则;所述目标候选入侵检测规则包括的服务标识与所述服务匹配,包括的服务请求方式与所述访问数据访问所述服务采用的服务访问方式相同,且包括的请求报文信息与所述访问数据的请求报文信息的相似度大于所述预设相似度阈值;
若存在,则将目标候选入侵检测规则的计数加1;其中,若所述访问数的请求报文信息与所述目标候选入侵检测规则包括的请求报文信息不相同,则基于所述访问数据的请求报文信息与所述目标候选入侵检测规则包括的请求报文信息进行合并;
否则,基于所述视频监控设备的所述访问数据生成新的候选入侵检测规则,并将该新的候选入侵检测规则的计数值设置为1;
所述基于所述视频监控设备的所述访问数据生成入侵检测规则,包括:
当所述目标候选入侵检测规则的计数达到预设次数阈值时,基于所述目标候选入侵检测规则生成入侵检测规则;
所述基于所述目标候选入侵检测规则生成入侵检测规则之后,还包括:
将所述入侵检测规则发送给入侵检测设备,以使入侵检测设备将与该入侵检测规则匹配的其它访问数据确定为恶意攻击数据。
2.根据权利要求1所述的方法,其特征在于,所述获取针对视频监控设备的服务的访问数据,包括:
获取针对网络中部署的视频监控设备仿真服务模块的访问数据;
其中,所述视频监控设备仿真服务模块用于对视频监控设备的一项或多项服务进行仿真模拟,所述网络中部署一个或多个所述视频监控设备仿真服务模块。
3.根据权利要求1所述的方法,其特征在于,所述基于所述访问数据进行反向设备识别,包括:
对于所获取到的任一访问数据,在以获取到该访问数据的时刻为起始时刻的预设时长内,基于该访问数据中包括的访问请求的源地址进行反向设备识别。
4.根据权利要求1所述的方法,其特征在于,所述基于所述访问数据进行反向设备识别,包括:
基于所述访问数据中包括的访问请求的源地址,获取所述访问者设备的Web页面;
基于预设的视频监控设备图片,对所述Web页面进行搜索,以确定所述Web页面中是否存在与所述预设的视频监控设备图片匹配的图片;
若存在,则确定所述访问者设备的设备类型为视频监控设备。
5.根据权利要求1所述的方法,其特征在于,请求报文信息之间的相似度与请求报文信息之间的编辑距离负相关。
6.一种入侵检测规则生成装置,其特征在于,包括:
获取单元,用于获取针对视频监控设备的服务的访问数据;
识别单元,用于基于所述访问数据进行反向设备识别,以确定访问者设备的设备类型;
生成单元,用于当所述访问者设备的设备类型为视频监控设备时,确定所述访问数据为恶意攻击数据,并基于所述视频监控设备的所述访问数据生成入侵检测规则,所述入侵检测规则用于对采用与所述访问数据相同的服务访问方式,对所述服务进行访问的其它访问数据进行恶意攻击识别;
其中,当所述访问者设备的设备类型为视频监控设备时,所述识别单元还用于:
确定候选入侵检测规则中是否存在与所述访问数据的相似度大于预设相似度阈值的目标候选入侵检测规则;所述目标候选入侵检测规则包括的服务标识与所述服务匹配,包括的服务请求方式与所述访问数据访问所述服务采用的服务访问方式相同,且包括的请求报文信息与所述访问数据的请求报文信息的相似度大于所述预设相似度阈值;
若存在,则将目标候选入侵检测规则的计数加1;其中,若所述访问数的请求报文信息与所述目标候选入侵检测规则包括的请求报文信息不相同,则基于所述访问数据的请求报文信息与所述目标候选入侵检测规则包括的请求报文信息进行合并;
否则,基于所述视频监控设备的所述访问数据生成新的候选入侵检测规则,并将该新的候选入侵检测规则的计数值设置为1;
所述生成单元基于所述视频监控设备的所述访问数据生成入侵检测规则,包括:
当所述目标候选入侵检测规则的计数达到预设次数阈值时,基于所述目标候选入侵检测规则生成入侵检测规则;
所述生成单元基于所述目标候选入侵检测规则生成入侵检测规则之后,还包括:
将所述入侵检测规则发送给入侵检测设备,以使入侵检测设备将与该入侵检测规则匹配的其它访问数据确定为恶意攻击数据。
7.根据权利要求6所述的装置,其特征在于,所述获取单元获取针对视频监控设备的服务的访问数据,包括:
获取针对网络中部署的视频监控设备仿真服务模块的访问数据;
其中,所述视频监控设备仿真服务模块用于对视频监控设备的一项或多项服务进行仿真模拟,所述网络中部署一个或多个所述视频监控设备仿真服务模块。
8.根据权利要求6所述的装置,其特征在于,所述识别单元基于所述访问数据进行反向设备识别,包括:
对于所获取到的任一访问数据,在以获取到该访问数据的时刻为起始时刻的预设时长内,基于该访问数据中包括的访问请求的源地址进行反向设备识别。
9.一种电子设备,其特征在于,该电子设备包括:
处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现权利要求1-5任一项的方法步骤。
CN202010661329.8A 2020-07-10 2020-07-10 入侵检测规则生成方法、装置及电子设备 Active CN111553332B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010661329.8A CN111553332B (zh) 2020-07-10 2020-07-10 入侵检测规则生成方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010661329.8A CN111553332B (zh) 2020-07-10 2020-07-10 入侵检测规则生成方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN111553332A CN111553332A (zh) 2020-08-18
CN111553332B true CN111553332B (zh) 2020-10-30

Family

ID=72005380

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010661329.8A Active CN111553332B (zh) 2020-07-10 2020-07-10 入侵检测规则生成方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN111553332B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114039776B (zh) * 2021-11-09 2024-03-15 北京天融信网络安全技术有限公司 流量检测规则的生成方法、装置、电子设备及存储介质
CN114900339B (zh) * 2022-04-20 2024-05-28 北京持安科技有限公司 入侵检测方法、系统、设备及存储介质
CN117640258B (zh) * 2024-01-25 2024-04-26 远江盛邦(北京)网络安全科技股份有限公司 网络资产测绘的防护方法、装置、设备和存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312693B (zh) * 2013-05-08 2017-04-19 华迪计算机集团有限公司 音视频访问控制网关设备
CN107347057B (zh) * 2016-05-06 2021-03-02 阿里巴巴集团控股有限公司 入侵检测方法、检测规则生成方法、装置及系统
CN107070929A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种工控网络蜜罐系统
CN109639726A (zh) * 2018-12-31 2019-04-16 微梦创科网络科技(中国)有限公司 入侵检测方法、装置、系统、设备及存储介质
CN110502677B (zh) * 2019-04-18 2022-09-16 杭州海康威视数字技术股份有限公司 一种设备识别方法、装置及设备、存储介质
CN110708215A (zh) * 2019-10-10 2020-01-17 深圳市网心科技有限公司 深度包检测规则库生成方法、装置、网络设备及存储介质

Also Published As

Publication number Publication date
CN111553332A (zh) 2020-08-18

Similar Documents

Publication Publication Date Title
CN111553332B (zh) 入侵检测规则生成方法、装置及电子设备
CN111147504A (zh) 威胁检测方法、装置、设备和存储介质
CN109255237B (zh) 安全事件关联分析方法及装置
CN109948334B (zh) 一种漏洞检测方法、系统及电子设备和存储介质
CN111917740A (zh) 一种异常流量告警日志检测方法、装置、设备及介质
Li et al. Automatically discovering surveillance devices in the cyberspace
Wu et al. Do you see what i see?< subtitle> detecting hidden streaming cameras through similarity of simultaneous observation
CN111314301A (zh) 一种基于dns解析的网站访问控制方法及装置
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
CN113923003A (zh) 一种攻击者画像生成方法、系统、设备以及介质
CN112272175A (zh) 一种基于dns的木马病毒检测方法
CN115098151A (zh) 一种细粒度的内网设备固件版本探测方法
CN114157568B (zh) 一种浏览器安全访问方法、装置、设备及存储介质
CN113688291B (zh) 一种流媒体网络数据的异常行为检测方法和装置
US11582226B2 (en) Malicious website discovery using legitimate third party identifiers
CN112769635B (zh) 多粒度特征解析的服务识别方法及装置
CN114972827A (zh) 资产识别方法、装置、设备及计算机可读存储介质
CN108650274B (zh) 一种网络入侵检测方法及系统
CN114826727B (zh) 流量数据采集方法、装置、计算机设备、存储介质
CN113472813B (zh) 一种安防资产识别方法及系统
KR102258965B1 (ko) HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법 및 장치
Guan et al. HoneyCam: Scalable High-Interaction Honeypot for IoT Cameras Based on 360-Degree Video
TW201928746A (zh) 偵測惡意程式的方法和裝置
CN111881384B (zh) 违规外联的取证方法、系统和存储介质
CN114301872A (zh) 基于域名的访问方法及装置、电子设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant