CN112202763B - 一种ids策略生成方法、装置、设备及介质 - Google Patents
一种ids策略生成方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112202763B CN112202763B CN202011040541.9A CN202011040541A CN112202763B CN 112202763 B CN112202763 B CN 112202763B CN 202011040541 A CN202011040541 A CN 202011040541A CN 112202763 B CN112202763 B CN 112202763B
- Authority
- CN
- China
- Prior art keywords
- poc
- request
- type
- ids
- request data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000013515 script Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 12
- 230000009193 crawling Effects 0.000 claims description 7
- 238000013075 data extraction Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000000605 extraction Methods 0.000 description 5
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种IDS策略生成方法、装置、设备及介质,包括:从漏洞信息网站中提取poc;确定所述poc对应的poc类型;根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数;利用所述请求数据信息以及预设策略模板生成对应的IDS策略。这样,从漏洞信息网站中提取poc,然后根据poc类型提取请求数据信息,最后基于利用预设策略模板生成对应的IDS策略,能够提升IDS策略的生成效率,降低人工成本。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种IDS策略生成方法、装置、设备及介质。
背景技术
IDS(即intrusion detection system,入侵检测系统)是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。现在大部分的IDS都是基于网络流量的IDS,也就是通过监控网络流量来识别攻击。根据检测方法的不同,IDS又可以划分为异常检测和特征检测。异常检测根据使用者的行为或资源使用情况来判断是否入侵,而并不依赖于具体行为,所以又被称为基于行为的检测,这类检测包括概率统计方法和神经网络方法;特征检测是根据已有特征库的特征,对网络数据流进行分析,当流量中的数据满足某条特征的时候,那么系统就判断攻击行为产生了。因为特征匹配比较容易实现,因此也就成为了众多IDS的基本实现情况。衡量一个基于特征检测的IDS系统,最主要就是看特征库,特征库的好坏主要是由策略的漏误报率高低、策略数量来决定。
目前,虽然众多安全厂商都会有自己的一套实现特征库的方法,但大多数的厂家都采用人工分析的方式。但是人工分析存在着许多问题,需要大量的安全人员投入,对于一些小公司以及前期人员配置不足的企业来说,并不能很好地满足更新特征库的标准数量,并且,效率偏低,还存在策略质量参差不齐的问题,每个人编写策略的方式不同,可能会导致策略的质量不高。
发明内容
有鉴于此,本申请的目的在于提供一种IDS策略生成方法、装置、设备及介质,能够提升IDS策略的生成效率,降低人工成本。其具体方案如下:
第一方面,本申请公开了一种IDS策略生成方法,包括:
从漏洞信息网站中提取poc;
确定所述poc对应的poc类型;
根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数;
利用所述请求数据信息以及预设策略模板生成对应的IDS策略。
可选的,所述确定所述poc对应的poc类型,包括:
利用第一预设关键字对所述poc进行匹配,若匹配到所述第一预设关键字,则判定所述poc类型为请求数据类型,否则判定所述poc类型为代码脚本类型。
可选的,所述根据所述poc类型提取出所述poc中的请求数据信息,包括:
若所述poc类型为请求数据类型,则基于匹配结果提取所述请求数据信息。
可选的,所述根据所述poc类型提取出所述poc中的请求数据信息,包括:
若所述poc类型为代码脚本类型,则查找请求函数,然后基于查找到的所述请求函数提取所述请求数据信息。
可选的,所述查找请求函数,包括:
基于预设编程语言特征库判断所述poc对应的编程语言;
根据所述编程语言查找所述请求函数。
可选的,所述从漏洞信息网站中提取poc,包括:
获取用户终端输入的所述漏洞信息网站对应的网址信息和第二预设关键字;
根据所述网址信息基于所述第二预设关键字爬取poc发布页,以得到所述poc。
可选的,所述方法,还包括:
从漏洞信息网站中提取所述poc对应的漏洞名称;
相应的,所述利用所述请求数据信息以及预设策略模板生成对应的IDS策略,包括:
利用所述请求数据信息、所述漏洞名称以及预设策略模板生成对应的IDS策略。
第二方面,本申请公开了一种IDS策略生成装置,包括:
poc提取模块,用于从漏洞信息网站中提取poc;
poc类型确定模块,用于确定所述poc对应的poc类型;
请求数据提取模块,用于根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数;
策略生成模块,用于利用所述请求数据信息以及预设策略模板生成对应的IDS策略。
第三方面,本申请公开了一种IDS策略生成设备,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现前述的IDS策略生成方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述的IDS策略生成方法。
可见,本申请先从漏洞信息网站中提取poc,然后确定所述poc对应的poc类型,之后根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数,最后利用所述请求数据信息以及预设策略模板生成对应的IDS策略。这样,从漏洞信息网站中提取poc,然后根据poc类型提取请求数据信息,最后基于利用预设策略模板生成对应的IDS策略,能够提升IDS策略的生成效率,降低人工成本。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种IDS策略生成方法流程图;
图2为本申请公开的一种具体的IDS策略生成方法流程图;
图3为本申请公开的一种请求数据类型poc数据示意图;
图4为本申请公开的一种代码脚本类型poc数据示意图;
图5为本申请公开的一种具体的IDS策略生成方法流程图;
图6为本申请公开的一种IDS策略生成装置结构示意图;
图7为本申请公开的一种IDS策略生成设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,虽然众多安全厂商都会有自己的一套实现特征库的方法,但大多数的厂家都采用人工分析的方式。但是人工分析存在着许多问题,需要大量的安全人员投入,对于一些小公司以及前期人员配置不足的企业来说,并不能很好地满足更新特征库的标准数量,并且,效率偏低,还存在策略质量参差不齐的问题,每个人编写策略的方式不同,可能会导致策略的质量不高。为此,本申请提供了一种IDS策略生成方案,能够提升IDS策略的生成效率,降低人工成本。
参见图1所示,本申请实施例公开了一种IDS策略生成方法,包括:
步骤S11:从漏洞信息网站中提取poc(即Proof of Concept,漏洞验证程序)。
其中,所述漏洞信息网站可以包括漏洞知识库以及poc发布网站,第二预设关键字为“poc”、“漏洞详情”等关键字。
并且,本实施例还可以从漏洞信息网站中提取所述poc对应的漏洞名称。
在具体的实施方式中,可以获取用户终端输入的所述漏洞信息网站对应的网址信息和第二预设关键字;根据所述网址信息基于所述第二预设关键字爬取poc发布页,以得到所述poc。具体的,基于网址信息进行广度爬取,根据第二预设关键字判断相应的网页是否为poc发布页,之后使用爬虫将poc发布页的网页信息爬取并且结构化,提取目标关键内容,比如poc关键字下的内容以及title关键字,以得到poc,poc对应的漏洞名称和poc的生成时间等关键信息
步骤S12:确定所述poc对应的poc类型。
步骤S13:根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数。
步骤S14:利用所述请求数据信息以及预设策略模板生成对应的IDS策略。
在具体的实施方式中,可以利用所述请求数据信息、所述漏洞名称以及预设策略模板生成对应的IDS策略。
具体的,可以将请求方式、请求路径和请求参数整合为预设格式,然后基于预设策略模板生成对应的IDS策略。
例如,对于常见的漏洞,预设策略模板如“alert协议名称any any->any any(msg:”漏洞名称”;content:”漏洞特征”;classtype:漏洞类型;sid:xxxxx)”,根据得到的{漏洞名称,请求方式,请求路径,请求参数}的信息集合,进行数据的处理,以生成对应的IDS策略。具体的,漏洞名称可以直接套用;根据漏洞的请求方式能够判断对应的协议,如涉及到GET、POST就属于HTTP协议;请求路径可以直接使用content关键字,如content:”请求路径”,作为判断漏洞的一个依据;请求参数需要进行一定的分割,比如path=2324&cmd=ls这类,需要按&分离参数,分离出的参数也使用content关键字进行处理;漏洞类型能够根据漏洞名称进行判断,比如sql注入类型大部分的名称都会带有sql注入关键字或者sqlinjection关键字,远程代码执行类型的名称都会带有rce或者remote command injecting等关键字;sid则是用于标识策略的数字代号,确定策略范围即可,比如sql注入漏洞类型的策略范围是6100001-6200000,那么sid即从6100001开始自增。
可见,本申请实施例先从漏洞信息网站中提取poc,然后确定所述poc对应的poc类型,之后根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数,最后利用所述请求数据信息以及预设策略模板生成对应的IDS策略。这样,从漏洞信息网站中提取poc,然后根据poc类型提取请求数据信息,最后基于利用预设策略模板生成对应的IDS策略,能够提升IDS策略的生成效率,降低人工成本。
参见图2所示,本申请实施例公开了一种具体的IDS策略生成方法,包括:
步骤S21:从漏洞信息网站中提取poc。
步骤S22:确定所述poc对应的poc类型。
在具体的实施方式中,利用第一预设关键字对所述poc进行匹配,若匹配到所述第一预设关键字,则判定所述poc类型为请求数据类型,否则判定所述poc类型为代码脚本类型。
需要指出的是,网络上公布的poc的形式通常以代码脚本或者请求数据为主。在判断提取到的poc的类型是属于请求数据还是代码脚本的过程中,因为请求数据一般都会带有POST、GET等请求方式的关键字,以及用于标识HTTP协议版本的HTTP/1.1关键字以及HOST字段,因此,可以通过判断是否存在这些关键字,使用简单的正则语句即可区分请求数据类型以及代码脚本类型,提升整体系统的效率。在整个过程中,使用字符串模糊匹配技术,匹配字符串中带有POST、GET,HTTP/1.1,HOST这样的关键字,区分poc的类型。
也即,本实施例第一预设关键字可以包括POST、GET,HTTP/1.1,HOST等。并且,可以获取用户终端输入的所述第一预设关键字。
步骤S23:若所述poc类型为请求数据类型,则基于匹配结果提取所述请求数据信息。
其中,所述请求数据信息包括请求方式、请求路径和请求参数。
参见图3所示,图3为本申请公开的一种请求数据类型poc数据示意图,poc中因为存在POST、HTTP/1.1、HOST等关键字,判断为请求数据类型,首先获得请求方式为POST请求方式;存在于POST与HTTP/1.1之间的为请求路径数据,进行提取/joomla/adminstrator/index.php/HTTP/1.1;根据POST请求方式,提取空行之后的数据,也即以option=com_j2store开头的数据,以得到请求参数。
需要指出的是,之所以使用POST、GET,HTTP/1.1,HOST等关键字进行匹配,是因为正常的网络请求都会采用HTTP协议,而且请求的格式通常如下:
请求首行;//请求方式请求路径协议版本,例如:GET/index.html HTTP/1.1;
请求头信息;//请求头名称:请求头内容,即key:value格式,例如:Host:localhost;
空行;//用来与请求体分隔开;
请求体。//GET没有请求体,只有POST有请求体。
浏览器发送给服务器的内容为该格式,如果不是这个格式服务器将无法解读。在HTTP协议中,请求的方式有很多的,其中最常用的即GET和POST。因此,根据是否存在POST、GET,HTTP/1.1,HOST等关键字就能迅速判断是否属于http请求,采用单纯的字符串正则匹配也能提高性能。
步骤S24:若所述poc类型为代码脚本类型,则查找请求函数,然后基于查找到的所述请求函数提取所述请求数据信息。
其中,所述请求数据信息包括请求方式、请求路径和请求参数。
在具体的实施方式中,可以基于预设编程语言特征库判断所述poc对应的编程语言;根据所述编程语言查找所述请求函数。
参见图4所示,图4为本申请公开的一种代码脚本类型poc数据示意图。代码脚本类型的poc,因为发送网页数据请求的函数的参数就是请求方式、请求路径、请求参数的数据集合,因此可以编程语言特征库,基于预设编程语言特征库找到poc中的请求函数,就能提取请求方式、请求路径、请求参数。图4中不存在POST、GET、HTTP/1.1等关键字,所以判断为代码脚本类型的poc,之后根据预设编程语言特征库,根据import、print等关键字判断poc采用的语言为python语言,python语言中最常用的网页请求模块就是requests模块,该脚本里面将其重命名为req,使用req.get发出get请求,这样,可以提取该poc的请求方式为GET请求,req.get(url,cookies=cookies)里面的参数就是即为待提取的请求参数,而url=url='http://'+ip+webpath+query1+localpath+shellname+query2+cmdphp,获取webpath对应的信息,从而获得对应的请求路径信息。
步骤S25:利用所述请求数据信息以及预设策略模板生成对应的IDS策略。
例如,参见图5所示,图5为本申请实施例公开的一种具体的IDS策略生成方法,本实施例可以实现对应的策略生成程序,自动化的生成IDS策略,该策略生成程序执行时的步骤包括:(1)开始运行;(2)接收用户输入的漏洞数据库网址以及用户设置的提取关键字;(3)根据网址进行广度爬取;(4)依据设置的提取关键字,将爬取到的内容进行结构化,提取相应的内容;(5)模糊匹配步骤(4)匹配到的内容,依据是否存在POST、GET、HTTP/1.1、HOST等关键信息,区别poc的类型;(6)如果是脚本类型,那么依据请求函数,分离对应的请求信息;如果是请求数据类型,根据请求方式、请求路径、请求参数的方式,重新整合数据。(7)根据步骤(6)得到的数据集合,套用策略模板,格式化生成IDS策略。这样,能够有效地降低人力成本,提升IDS策略的提取效率,将安全工作人员从需要花费大量时间去人工分析中解放出来,并且如果自动化提取的策略有问题时,也能根据留存的信息,进行相应的回溯,确保策略的准确性。
参见图6所示,本申请公开了一种IDS策略生成装置,包括:
poc提取模块11,用于从漏洞信息网站中提取poc;
poc类型确定模块12,用于确定所述poc对应的poc类型;
请求数据提取模块13,用于根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数;
策略生成模块14,用于利用所述请求数据信息以及预设策略模板生成对应的IDS策略。
可见,本申请实施例先从漏洞信息网站中提取poc,然后确定所述poc对应的poc类型,之后根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数,最后利用所述请求数据信息以及预设策略模板生成对应的IDS策略。这样,从漏洞信息网站中提取poc,然后根据poc类型提取请求数据信息,最后基于利用预设策略模板生成对应的IDS策略,能够提升IDS策略的生成效率,降低人工成本。
其中,所述poc类型确定模块12,具体用于利用第一预设关键字对所述poc进行匹配,若匹配到所述第一预设关键字,则判定所述poc类型为请求数据类型,否则判定所述poc类型为代码脚本类型。
所述请求数据提取模块13,具体包括:
第一数据提取子模块,用于若所述poc类型为请求数据类型,则基于匹配结果提取所述请求数据信息。
第二数据提取子模块,用于若所述poc类型为代码脚本类型,则查找请求函数,然后基于查找到的所述请求函数提取所述请求数据信息。
其中,所述第二数据提取子模块,用于基于预设编程语言特征库判断所述poc对应的编程语言;根据所述编程语言查找所述请求函数。
所述poc提取模块11,具体用于获取用户终端输入的所述漏洞信息网站对应的网址信息和第二预设关键字;根据所述网址信息基于所述第二预设关键字爬取poc发布页,以得到所述poc。
所述装置还包括漏洞名称提取模块,用于从漏洞信息网站中提取所述poc对应的漏洞名称;相应的,所述策略生成模块14,具体用于利用所述请求数据信息、所述漏洞名称以及预设策略模板生成对应的IDS策略。
参见图7所示,本申请实施例公开了一种IDS策略生成设备,包括处理器21和存储器22;其中,所述存储器22,用于保存计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例公开的IDS策略生成方法。
关于上述IDS策略生成方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的IDS策略生成方法。
关于IDS策略生成方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种IDS策略生成方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种IDS策略生成方法,其特征在于,包括:
从漏洞信息网站中提取poc;
确定所述poc对应的poc类型;
根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数;
利用所述请求数据信息以及预设策略模板生成对应的IDS策略。
2.根据权利要求1所述的IDS策略生成方法,其特征在于,所述确定所述poc对应的poc类型,包括:
利用第一预设关键字对所述poc进行匹配,若匹配到所述第一预设关键字,则判定所述poc类型为请求数据类型,否则判定所述poc类型为代码脚本类型。
3.根据权利要求2所述的IDS策略生成方法,其特征在于,所述根据所述poc类型提取出所述poc中的请求数据信息,包括:
若所述poc类型为请求数据类型,则基于匹配结果提取所述请求数据信息。
4.根据权利要求2所述的IDS策略生成方法,其特征在于,所述根据所述poc类型提取出所述poc中的请求数据信息,包括:
若所述poc类型为代码脚本类型,则查找请求函数,然后基于查找到的所述请求函数提取所述请求数据信息。
5.根据权利要求4所述的IDS策略生成方法,其特征在于,所述查找请求函数,包括:
基于预设编程语言特征库判断所述poc对应的编程语言;
根据所述编程语言查找所述请求函数。
6.根据权利要求1所述的IDS策略生成方法,其特征在于,所述从漏洞信息网站中提取poc,包括:
获取用户终端输入的所述漏洞信息网站对应的网址信息和第二预设关键字;
根据所述网址信息基于所述第二预设关键字爬取poc发布页,以得到所述poc。
7.根据权利要求1至6任一项所述的IDS策略生成方法,其特征在于,还包括:
从漏洞信息网站中提取所述poc对应的漏洞名称;
相应的,所述利用所述请求数据信息以及预设策略模板生成对应的IDS策略,包括:
利用所述请求数据信息、所述漏洞名称以及预设策略模板生成对应的IDS策略。
8.一种IDS策略生成装置,其特征在于,包括:
poc提取模块,用于从漏洞信息网站中提取poc;
poc类型确定模块,用于确定所述poc对应的poc类型;
请求数据提取模块,用于根据所述poc类型提取出所述poc中的请求数据信息;所述请求数据信息包括请求方式、请求路径和请求参数;
策略生成模块,用于利用所述请求数据信息以及预设策略模板生成对应的IDS策略。
9.一种IDS策略生成设备,其特征在于,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的IDS策略生成方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的IDS策略生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011040541.9A CN112202763B (zh) | 2020-09-28 | 2020-09-28 | 一种ids策略生成方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011040541.9A CN112202763B (zh) | 2020-09-28 | 2020-09-28 | 一种ids策略生成方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112202763A CN112202763A (zh) | 2021-01-08 |
CN112202763B true CN112202763B (zh) | 2022-04-22 |
Family
ID=74006739
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011040541.9A Active CN112202763B (zh) | 2020-09-28 | 2020-09-28 | 一种ids策略生成方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112202763B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113282932B (zh) * | 2021-07-22 | 2021-10-08 | 杭州安恒信息技术股份有限公司 | 一种poc生成方法、装置、电子设备和存储介质 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1855437A1 (de) * | 2006-05-08 | 2007-11-14 | Siemens Aktiengesellschaft | Verfahren zum Aufbau einer Push-to-talk-Kommunikationsverbindung |
CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN104834588A (zh) * | 2014-02-11 | 2015-08-12 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN105991554A (zh) * | 2015-02-04 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和设备 |
CN106294140A (zh) * | 2016-08-02 | 2017-01-04 | 中国科学院软件研究所 | 一种基于代码仓库提交说明的PoC快速生成方法 |
CN106778280A (zh) * | 2016-11-02 | 2017-05-31 | 北京知道未来信息技术有限公司 | 一种填充式远程漏洞PoC编写方法及漏洞检测方法 |
CN107273748A (zh) * | 2017-05-23 | 2017-10-20 | 成都联宇云安科技有限公司 | 一种基于漏洞poc实现安卓系统漏洞检测的方法 |
CN107346391A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 一种生成概念验证数据的方法及系统 |
US9823922B1 (en) * | 2014-12-22 | 2017-11-21 | Amazon Technologies, Inc. | Source code mapping through context specific key word indexes and fingerprinting |
CN107832617A (zh) * | 2017-09-15 | 2018-03-23 | 北京知道未来信息技术有限公司 | 一种php代码执行漏洞的黑盒检测方法及装置 |
CN110209583A (zh) * | 2019-06-03 | 2019-09-06 | 中国银联股份有限公司 | 安全测试方法、装置、系统、设备和存储介质 |
CN110912890A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种面向内网的新型漏洞攻击检测系统 |
CN111343188A (zh) * | 2020-03-05 | 2020-06-26 | 深信服科技股份有限公司 | 一种漏洞查找方法、装置、设备和存储介质 |
CN111435393A (zh) * | 2019-01-14 | 2020-07-21 | 北京京东尚科信息技术有限公司 | 对象漏洞的检测方法、装置、介质及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10313383B2 (en) * | 2016-06-01 | 2019-06-04 | Mastercard International Incorporated | Systems and methods for use in evaluating vulnerability risks associated with payment applications |
-
2020
- 2020-09-28 CN CN202011040541.9A patent/CN112202763B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1855437A1 (de) * | 2006-05-08 | 2007-11-14 | Siemens Aktiengesellschaft | Verfahren zum Aufbau einer Push-to-talk-Kommunikationsverbindung |
CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN104834588A (zh) * | 2014-02-11 | 2015-08-12 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
US9823922B1 (en) * | 2014-12-22 | 2017-11-21 | Amazon Technologies, Inc. | Source code mapping through context specific key word indexes and fingerprinting |
CN105991554A (zh) * | 2015-02-04 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和设备 |
CN107346391A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 一种生成概念验证数据的方法及系统 |
CN106294140A (zh) * | 2016-08-02 | 2017-01-04 | 中国科学院软件研究所 | 一种基于代码仓库提交说明的PoC快速生成方法 |
CN106778280A (zh) * | 2016-11-02 | 2017-05-31 | 北京知道未来信息技术有限公司 | 一种填充式远程漏洞PoC编写方法及漏洞检测方法 |
CN107273748A (zh) * | 2017-05-23 | 2017-10-20 | 成都联宇云安科技有限公司 | 一种基于漏洞poc实现安卓系统漏洞检测的方法 |
CN107832617A (zh) * | 2017-09-15 | 2018-03-23 | 北京知道未来信息技术有限公司 | 一种php代码执行漏洞的黑盒检测方法及装置 |
CN111435393A (zh) * | 2019-01-14 | 2020-07-21 | 北京京东尚科信息技术有限公司 | 对象漏洞的检测方法、装置、介质及电子设备 |
CN110209583A (zh) * | 2019-06-03 | 2019-09-06 | 中国银联股份有限公司 | 安全测试方法、装置、系统、设备和存储介质 |
CN110912890A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种面向内网的新型漏洞攻击检测系统 |
CN111343188A (zh) * | 2020-03-05 | 2020-06-26 | 深信服科技股份有限公司 | 一种漏洞查找方法、装置、设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
动态事件序列制导的Android应用漏洞验证技术;孙骁永等;《计算机工程与应用》;20170622(第06期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112202763A (zh) | 2021-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
US8051484B2 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
US9032516B2 (en) | System and method for detecting malicious script | |
US9614862B2 (en) | System and method for webpage analysis | |
JP6397932B2 (ja) | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム | |
US20150271202A1 (en) | Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server | |
CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
CN105184159A (zh) | 网页篡改的识别方法和装置 | |
KR101676366B1 (ko) | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 | |
CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
CN104956372A (zh) | 使用运行时和静态代码分析来确定动态安全扫描的覆盖率 | |
US9582662B1 (en) | Sensor based rules for responding to malicious activity | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
KR102362516B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
CN113055399A (zh) | 注入攻击的攻击成功检测方法、系统及相关装置 | |
CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
CN110704816A (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
CN113472803A (zh) | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 | |
CN112202763B (zh) | 一种ids策略生成方法、装置、设备及介质 | |
KR102189127B1 (ko) | 행위 기반 룰 처리 장치 및 그 처리 방법 | |
CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
CN110457900B (zh) | 一种网站监测方法、装置、设备及可读存储介质 | |
CN108282478A (zh) | 一种web站点安全检测方法、装置及计算机可读介质 | |
US20230048076A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |