CN114039776B - 流量检测规则的生成方法、装置、电子设备及存储介质 - Google Patents
流量检测规则的生成方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114039776B CN114039776B CN202111319139.9A CN202111319139A CN114039776B CN 114039776 B CN114039776 B CN 114039776B CN 202111319139 A CN202111319139 A CN 202111319139A CN 114039776 B CN114039776 B CN 114039776B
- Authority
- CN
- China
- Prior art keywords
- binary
- fragment
- flow
- fragments
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 title claims abstract description 46
- 239000012634 fragment Substances 0.000 claims abstract description 139
- 238000012545 processing Methods 0.000 claims abstract description 17
- 230000008569 process Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 239000003550 marker Substances 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000013515 script Methods 0.000 description 4
- 229910002056 binary alloy Inorganic materials 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 241000592183 Eidolon Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种流量检测规则的生成方法、装置、电子设备及存储介质,其中,该方法包括:获取标志性片段的流量报文样本,提取流量报文样本的协议类型,根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典,从而节省恶意流量检测规则编写时间和成本,并最大限度减少流量检测规则误报和漏报,进一步提高后续流量检测效率和精确性。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种流量检测规则的生成方法、装置、电子设备及存储介质。
背景技术
目前,恶意流量检测已发展成为一个具有多平台、实时流量分析、网络IP(Internet Protocol,互联网协议)数据包记录等特性的强大的网络入侵检测/防御系统。
相关技术中,恶意流量规则绝大部分要通过人工分析流量,提取特征,然后编写成恶意流量检测规则。具体地,人工浏览各大威胁情报网站,通过下载他人上传的样本和流量,在经过人为分析具有明显特征的恶意流量来编写。
然而,相关技术中人工编写的恶意流量检测规则,存在流量检测规则的误报、漏报的情况,以及花费大量人工成本和时间。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种流量检测规则的生成方法、装置、电子设备及存储介质。
第一方面,本公开实施例提供了一种流量检测规则的生成方法,包括:
获取标志性片段的流量报文样本;
提取流量报文样本的协议头,基于协议头确定协议类型;
根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段;
将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
第二方面,本公开实施例提供了一种流量检测规则的生成装置,包括:
第一获取模块,获取包含标志性片段的流量报文样本;
提取模块,提取流量报文样本的协议头,基于协议头确定协议类型;
处理模块,根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段;
生成模块,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
第三方面,本公开实施例提供了一种流量检测规则的生成电子设备,包括:
处理器,用于存储处理器可执行指令的存储器;
处理器,用于从存储器中读取可执行指令,并执行指令以实现上述实施例所述的流量检测规则的生成方法。
第四方面,本公开实施例提供了一种流量检测规则的生成存储介质,包括:
存储介质存储有计算机程序,计算机程序用于执行上述实施例所述的流量检测规则的生成方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例中,获取标志性片段的流量报文样本,提取流量报文样本的协议类型,根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典,从而节省恶意流量检测规则编写时间和成本,并最大限度减少流量检测规则误报和漏报,进一步提高后续流量检测效率和精确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种流量检测规则的生成方法流程示意图;
图2为本公开实施例提供的另一种流量检测规则的生成方法流程示意图;
图3为本公开实施例提供的又一种流量检测规则的生成方法流程示意图;
图4为本公开实施例提供的又一种流量检测规则的生成方法流程示意图;
图5为本公开提供一种以VanToM木马进行自动化生成规则的流程示意图;
图6为本公开实施例提供的一种流量检测规则生成装置的结构示意图;
图7为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1为本公开实施例提供的一种流量检测规则的生成方法,包括:
步骤101、获取标志性片段的流量报文样本。
其中,标志性片段指的是恶意流量报文都包含的固定片段,获取标志性片段的方式有很多种,作为一种示例,获取恶意流量报文样本后,对恶意流量报文样本进行分析对比,获取固定片段作为标志性片段,为了提高标志性片段的通用性和准确性,可以通过多次抓取恶意流量报文样本对比提取出一些固定片段作为标志性片段,例如恶意流量报文样本A为abc,恶意流量报文样本B为cde,恶意流量报文样本C为cfg,由于c为恶意流量报文样本A、B,C共有的固定片段,所以将固定片段c作为标志性片段。
具体地,HTTP(Hyper Text Transfer Protocol,超文本传送协议)流中存在固定片段,比如URI(Uniform Resource Identifier,统一资源标识符)或特殊域名,可以提取URI或特殊域名作为标志性片段。
举例而言,以HTTP协议流“GET/x86_64/ntpclient HTTP/1.1”为例,提取“/x86_64/ntpclient”作为标志性片段,从而获取包含该标志性片段的流量报文样本。
在一些实施例中,通过预设方式抓取多个候选流量报文并判断是否包含标志性片段,若包含则将候选流量报文作为流量报文样本;在另一些实施例中,考虑到不同系统环境下,标志性片段可能存在不同,可选的,获取不同系统环境下的标志性片段,在同一系统环境下,若流量报文包含相应的标志性片段,则将该流量报文作为流量报文样本。
需要说明的是,如果设置多个标志性片段,需要获取同时都包含多个标志性片段的流量报文样本。
步骤102、提取流量报文样本的协议头,基于协议头确定协议类型。
其中,协议头指的是通信协议的消息头部分,用来区分不同的协议类型。
具体地,协议指的是计算机在网络中实现通信时必须遵守的规则和约定,由于大部分恶意流量都是HTTP、TCP(Transmission Control Protocol,传输控制协议)等协议为主,以HTTP为例,协议头必然包含GET*******HTTP/1.1,或获取(POST)*******HTTP/1.1,通过这种方式确定协议类型。
步骤103、根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段。
其中,不同协议类型的流量报文样本获取相同二进制片段的处理方式是不完全相同的。
在一些实施例中,协议类型为TCP时,需要将流量报文样本转换为二进制字符串,然后将二进制字符串作对比,获取流量报文样本共有的二进制片段作为相同二进制片段。
在另一些实施例中,协议类型为HTTP时,需要获取流量报文样本的协议头,将协议头转换为二进制字符串,然后将二进制字符串作对比,获取流量报文样本共有的二进制片段作为相同二进制片段。
步骤104、将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
具体地,由于各种协议规则基本固定,协议类型的模板可以预先设置。
其中,特征字典指的是历史整理过的所有恶意流量报文包含的相同二进制片段。在一些实施例中,特征字典可以划分为多个类别,不同类别有不同的特点,若流量报文特征匹配历史类别,则可以归为同一类别,可以根据相似度更新或直接使用原有规则,避免重复生成规则,当作规则库使用。
本公开实施例提供的流量检测规则的生成方案,获取包含标志性片段的流量报文样本,提取述流量报文样本的协议类型,根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。采用上述技术方案,节省了恶意流量检测规则编写时间和成本,提升了流量检测规则的通用性,降低了流量检测的误报漏报率。
图2为本公开实施例提供的另一种流量检测规则的生成方法,包括:
步骤201、通过预设方式抓取多个候选流量报文,判断每个候选流量报文是否包含标志性片段,将包含预设标志性片段的候选流量报文作为流量报文样本。
其中,预设方式可以根据应用需要选择设置,比如通过计算机编程语言(Python)脚本或按键精灵控制网络封包分析软件(Wireshark)工具获取候选流量报文,在一些实施例中,通过程序自动化配置不同环境的虚拟机,并自动化搭建样本所支持的系统环境,自动运行样本,处理配置信息,并使用Python脚本或按键精灵控制Wireshark工具自动化抓取流量报文,将抓取到的流量报文保存网络数据包(pcap)后,继续使用python脚本将保存的数据包按流分开,得到多个候选流量报文,然后将每个候选流量报文与人工提取的标志性片段作对比,判断该候选流量报文是否包含标志性片段,若包含标志性片段,则将其作为流量报文样本。
步骤202,提取流量报文样本的协议头,基于协议头确定协议类型。
需要说明的是,步骤202与上述步骤102相同,具体参见对步骤102的描述,此处不再详述。
步骤203、基于协议类型为传输控制协议TCP,将流量报文样本转换为二进制字符串,将二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段。
其中,二进制指的是计算技术中广泛采用的一种数制,二进制数据是用0和1来表示的数据;字符串指的是由数字、字母、下划线组成的一串字符,它是编程语言中表示文本的数据类型,在程序设计中,字符串为符号或数值的一个连续序列。由于二进制更加准确,可以将获得的流量报文样本转换为二进制字符串的形式。
在一些实施例中,自动化获取所有平台数据流量,如Win7(windows 7,电脑的操作系统)、Win8(windows 8,电脑的操作系统)、winxp(windows XP,电脑的操作系统),获取不同系统下的流量报文样本,将获取的所有流量报文样本转换为二进制字符串,通过二进制字符串对比获取共有的二进制片段作为相同二进制片段。
步骤204、获取流量报文样本共有的二进制片段作为候选二进制片段,对候选二进制片段中包括白名单中的二进制片段进行删除,得到相同二进制片段。
在一些实施例中,如系统超级管理员(Administrator)、请求函数(POST)、HTTP协议版本等,不属于恶意流量片段,故不能作为恶意流量标识的片段写入规则,需要将此片段去除;在另一些实施例中,协议版本如:GET*******HTTP/1.1,GET关键字和HTTP/1.1几乎所有流量都存在,并且该片段为正常字段,故不能作为恶意流量标识,所以在获取相同二进制片段之前,需要对候选二进制片段中常见的正常的关键字提取出来,作为白名单,在生成规则前去除。
可选的,不管是上行流量还是下行流量,流量提取规则都是一样的。
步骤205,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
需要说明的是,步骤205与上述步骤104相同,具体参见对步骤104的描述,此处不再详述。
本公开实施例提供的另一种流量检测规则的生成方案,通过预设方式抓取多个候选流量报文,判断每个候选流量报文是否包含标志性片段,将包含预设标志性片段的候选流量报文作为流量报文样本,提取流量报文样本的协议类型,基于协议类型为传输控制协议TCP,将流量报文样本转换为二进制字符串,将二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段,获取流量报文样本共有的二进制片段作为候选二进制片段,对候选二进制片段中包括白名单中的二进制片段进行删除,得到相同二进制片段,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。采用上述技术方案,避免了使用人工分析整合多平台流量的相同流量片段,节省了大量的时间,同时通过删除白名单的方式,避免了将不能写入规则的二进制片段写入规则中,降低了规则的误报率。
图3为本公开实施例提供的又一种流量检测规则的生成方法,包括:
步骤301,通过预设方式抓取多个候选流量报文,判断每个候选流量报文是否包含标志性片段,将包含预设标志性片段的候选流量报文作为流量报文样本。
步骤302,提取流量报文样本的协议头,基于协议头确定协议类型。
需要说明的是,步骤301与上述步骤201相同,具体参见对步骤201的描述,此处不再详述;步骤302与上述步骤102相同,具体参见对步骤102的描述,此处不再详述。
步骤303、基于协议类型为超文本传输协议HTTP,获取流量报文样本的协议头,将协议头转换为二进制字符串,将二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段。
具体地,由于HTTP协议交互频繁数据量大,为了降低漏报率,在获取相同二进制片段之前需要判断该流量报文样本是HTTP协议头还是请求数据,在一些实施例中,该流量报文样本为HTTP协议头,则只需要将HTTP协议头部分转为二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段;在另一些实施例中,该流量报文样本为HTTP请求数据,则只需要将请求数据部分转为二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段。
步骤304、计算相同二进制片段与特征字典中各个片段的相似度,当相似度大于等于预设相似度阈值,则不执行将相应二进制片段添加到特征字典,当相似度小于预设相似度阈值,则将相同二进制片段添加到特征字典。
其中,特征字典指的是历史整理过的所有恶意流量报文包含的相同二进制片段,并且可以将相同二进制片段划分为多个类别,不同的类别有不同的特点。
可选地,可以通过计算相同二进制片段与特征字典中各片段的相似度与预设阈值比较的方式确定是否将相同二进制片段添加到特征字典中。
在一些实施例中,预设阈值为A,通过相同二进制片段与特征字典中的片段进行相似度对比得到的值为B,其中,B大于A,则代表特征字典中包含该相同二进制片段,为了避免重复,则不将该相同二进制片段添加到特征字典中;在另一些实施例中,预设阈值为A,通过相同二进制片段与特征字典中的片段进行相似度对比得到的值为C,其中,C大于A,则代表特征字典中没有包含该相同二进制片段,为了避免漏报,则将该相同二进制片段添加到特征字典中。
步骤305、将相同二进制片段转为预设格式片段。
由于二进制属于机器码一样的显示,一些特点难以人工观察,为了更好的方便审查规则,需要将相同二进制片段转为预设格式片段。
在一些实施例中,可以将相同二进制片段转换成16进制,翻译成字符串形式匹配,可选的,还可以通过特殊字符名单,将所有遇到的特殊字符转化成16进制,其他字符按ASCII(American Standard Code for Information Interchange,美国标准信息交换代码)码显示,为方便识别,推荐字符选取ASCII码,特殊符号选取十六进制。
步骤306,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
需要说明的是,步骤306与与上述步骤104相同,具体参见对步骤104的描述,此处不再详述。
本公开实施例提供的又一种流量检测规则的生成方案,通过预设方式抓取多个候选流量报文,判断每个候选流量报文是否包含标志性片段,将包含预设标志性片段的候选流量报文作为流量报文样本,提取流量报文样本的协议类型,基于协议类型为超文本传输协议HTTP,获取流量报文样本的协议头,将协议头转换为二进制字符串,将二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段,计算相同二进制片段与特征字典中各个片段的相似度,当相似度大于等于预设相似度阈值,则不执行将相应二进制片段添加到特征字典,当相似度小于预设相似度阈值,则将相同二进制片段添加到特征字典,将相同二进制片段转为预设格式片段,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。采用上述技术方案,降低了流量报文样本的漏报率,避免了将不能写入规则的二进制片段写入规则中,降低了规则的误报率,通过预设阈值的方式将相同二进制片段与特征字典中各个片段的相似度进行对比,避免了规则的重复生成,提高了恶意流量检测的准确度。
为了更加清晰的描述流量检测规则的生成方法,本文以远控木马(VanToM)为例,实现如图4所示的流量检测规则的生成方法,VanToM是一款远控木马。通过添加注册表自启动项实现持久化。主要通过垃圾邮件附件,免费软件,共享软件,误导性广告和虚假软件更新传播。主要功能为:DDOS(Distributed Denial of Service,分布式拒绝服务)攻击,获取剪切板,获取密码,获取系统信息,键盘记录,进程管理,屏幕监控,摄像头监控,文件管理,远程终端,运行脚本,注册表管理等。
图5为本公开提供的一种以VanToM木马进行自动化生成规则的流程示意图,具体包括:
步骤501、搭建VanToM多平台运行环境。
步骤502、抓取VanToM流量报文。
Winxp系统下流量:
Info|VanToM|VanToM-RATInfo|VanToM|HacKed_54E175EB|VanTo M|People'sRepublic of China|VanToM|Win XP Professional x86|VanToM|No|VanToM|VanToM-RAT
Win7系统下流量:
AW|VanToM|RolanVanToM-RATInfo|VanToM|VanToM-RATInfo|Van ToM|HacKed_AA25CBA3|VanToM|People's Republic of China|VanToM|Win 7......x86|VanToM|No|VanToM|VanToM-RAT
步骤503、截取VanToM流量报文中包含标志性片段的流量报文。
步骤504、将截取的流量报文与特征字典进行比较,如果匹配到已有流量报文特征,直接归录到已有家族。若不存在,则进入恶意流量处理过程。
步骤505、进行二进制对比。
步骤506、获取流量报文样本共有的二进制片段作为相同二进制片段,排除白名单中不能写成规则的字符串片段,将剩余的字符串与特征字典对比后写成流量规则。
alert tcp any any->any any(msg:"Vantom rat 1.4远控上线";dsize:100<>500;flow:to_server;content:"Info|7c|VanToM";offset:0;depth:11;fast_pattern;content:"People's|20|Republic|20|of|20|China";nocase;flowbits:set,gh0st-online;sid:118131151;)
步骤507、将相同二进制片段添加到特征字典内。
图6为本公开实施例提供的一种流量检测规则生成装置的结构示意图,该装置可由软件和/或硬件实现,一般可集成在客户端对应的电子设备中。如图6所示,该装置包括:获取模块601、提取模块602、处理模块603、生成模块604,其中,
第一获取模块601,用于获取包含标志性片段的流量报文样本,
提取模块602,用于提取流量报文样本的协议头,基于协议头确定协议类型,
处理模块603,用于根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段,
生成模块604,用于将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
可选地,所述第一获取模块601,具体用于:
通过预设方式抓取多个候选流量报文;
判断每个候选流量报文是否包含标志性片段;
将包含预设标志性片段的候选流量报文作为流量报文样本。
可选地,所述协议类型为传输控制协议TCP,所述处理模块603,具体用于:
将流量报文样本转换为二进制字符串;
将二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段。
可选地,所述协议类型为超文本传输协议HTTP,所述处理模块603,具体用于:
获取流量报文样本的协议头;
将协议头转为二进制字符串;
将二进制字符串进行对比,获取流量报文样本共有的二进制片段作为相同二进制片段。
可选地,所述装置还包括:
第二获取模块,用于获取流量报文样本共有的二进制片段作为候选二进制片段;
删除获取模块,用于对候选二进制片段中包括白名单中的二进制片段进行删除,得到相同二进制片段。
可选地,所述装置还包括:
计算模块,用于计算相同二进制片段与特征字典中各个片段的相似度;
对比判断模块,当相似度大于等于预设相似度阈值,则不执行将相同二进制片段添加到特征字典,当相似度小于预设相似度阈值,则将相同二进制片段添加到特征字典。
可选地,所述装置还包括:
转换模块,用于将相同二进制片段转为预设格式片段。
本公开实施例所提供的流量检测规则生成装置,可执行本公开流量检测规则生成方法,具备执行方法相应的功能模块和有益效果。
图7为本公开实施例提供的一种电子设备的结构示意图。
下面具体参考图7,其示出了适于用来实现本公开实施例中的电子设备700的结构示意图。本公开实施例中的电子设备700可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700可以包括处理装置(例如中央处理器、图形处理器等)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储装置708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有电子设备700操作所需的各种程序和数据。处理装置701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
通常,以下装置可以连接至I/O接口705:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置706;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置707;包括例如磁带、硬盘等的存储装置1008;以及通信装置709。通信装置709可以允许电子设备700与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备700,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置709从网络上被下载和安装,或者从存储装置708被安装,或者从ROM702被安装。在该计算机程序被处理装置701执行时,执行本公开实施例的流量检测规则的生成方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取包含标志性片段的流量报文样本,提取述流量报文样本的协议类型,根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种流量检测规则的生成方法,其特征在于,包括:
获取不同系统环境下包含标志性片段的流量报文样本;其中,所述标志性片段为通过多次抓取恶意流量报文样本对比提取出的固定片段;
提取所述流量报文样本的协议头,基于所述协议头确定协议类型;
根据所述协议类型选择目标方式对所述流量报文样本进行处理,获取相同二进制片段;
如果所述协议类型为传输控制协议TCP,则将所述流量报文样本转换为二进制字符串,将所述二进制字符串进行对比,获取所述流量报文样本共有的二进制片段作为所述相同二进制片段;
或者,如果所述协议类型为超文本传输协议HTTP,则获取所述流量报文样本的协议头,将所述协议头转为二进制字符串,将所述二进制字符串进行对比,获取所述流量报文样本共有的二进制片段作为所述相同二进制片段;
将所述相同二进制片段写入所述协议类型的模板生成流量检测规则,将所述相同二进制片段添加到特征字典。
2.如权利要求1所述的方法,其特征在于,所述获取不同系统环境下包含标志性片段的流量报文样本,包括:
通过预设方式抓取多个候选流量报文;
判断每个所述候选流量报文是否包含所述标志性片段;
将包含所述标志性片段的候选流量报文作为所述流量报文样本。
3.如权利要求1所述的方法,其特征在于,还包括:
获取所述流量报文样本共有的二进制片段作为候选二进制片段;
对所述候选二进制片段中包括白名单中的二进制片段进行删除,得到所述相同二进制片段。
4.如权利要求1所述的方法,其特征在于,在所述将所述相同二进制片段添加到特征字典之前,还包括:
计算所述相同二进制片段与所述特征字典中各个片段的相似度;
当所述相似度大于等于预设相似度阈值,则不执行所述将所述相同二进制片段添加到特征字典;
当所述相似度小于预设相似度阈值,则将所述相同二进制片段添加到特征字典。
5.如权利要求1所述的方法,其特征在于,还包括:
将所述相同二进制片段转为预设格式片段。
6.一种流量检测规则的生成装置,其特征在于,包括:
获取模块,获取不同系统环境下包含标志性片段的流量报文样本;其中,所述标志性片段为通过多次抓取恶意流量报文样本对比提取出的固定片段;
提取模块,提取流量报文样本的协议头,基于协议头确定协议类型;
处理模块,根据协议类型选择目标方式对流量报文样本进行处理,获取相同二进制片段;
所述处理模块,具体用于所述协议类型为传输控制协议TCP时,将所述流量报文样本转换为二进制字符串,将所述二进制字符串进行对比,获取所述流量报文样本共有的二进制片段作为所述相同二进制片段;
或者,所述处理模块,具体用于所述协议类型为超文本传输协议HTTP时,获取所述流量报文样本的协议头,将所述协议头转为二进制字符串,将所述二进制字符串进行对比,获取所述流量报文样本共有的二进制片段作为所述相同二进制片段;
生成模块,将相同二进制片段写入协议类型的模板生成流量检测规则,将相同二进制片段添加到特征字典。
7.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-5中任一所述的流量检测规则的生成方法。
8.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1-5中任一所述的流量检测规则的生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111319139.9A CN114039776B (zh) | 2021-11-09 | 2021-11-09 | 流量检测规则的生成方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111319139.9A CN114039776B (zh) | 2021-11-09 | 2021-11-09 | 流量检测规则的生成方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114039776A CN114039776A (zh) | 2022-02-11 |
CN114039776B true CN114039776B (zh) | 2024-03-15 |
Family
ID=80143639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111319139.9A Active CN114039776B (zh) | 2021-11-09 | 2021-11-09 | 流量检测规则的生成方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114039776B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115484110A (zh) * | 2022-09-23 | 2022-12-16 | 湖北天融信网络安全技术有限公司 | Ddos处理方法、装置、电子设备和存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009132552A1 (zh) * | 2008-04-30 | 2009-11-05 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
CN106506507A (zh) * | 2016-11-16 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种流量检测规则的生成方法及装置 |
CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
CN111553332A (zh) * | 2020-07-10 | 2020-08-18 | 杭州海康威视数字技术股份有限公司 | 入侵检测规则生成方法、装置及电子设备 |
KR102204290B1 (ko) * | 2019-08-23 | 2021-01-18 | 고려대학교 세종산학협력단 | 통계적 분석 기반 비공개 프로토콜의 구분자 및 정적필드 추출방법 |
CN112468520A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
CN113486343A (zh) * | 2021-07-13 | 2021-10-08 | 深信服科技股份有限公司 | 一种攻击行为的检测方法、装置、设备和介质 |
-
2021
- 2021-11-09 CN CN202111319139.9A patent/CN114039776B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009132552A1 (zh) * | 2008-04-30 | 2009-11-05 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
CN106506507A (zh) * | 2016-11-16 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种流量检测规则的生成方法及装置 |
KR102204290B1 (ko) * | 2019-08-23 | 2021-01-18 | 고려대학교 세종산학협력단 | 통계적 분석 기반 비공개 프로토콜의 구분자 및 정적필드 추출방법 |
CN111553332A (zh) * | 2020-07-10 | 2020-08-18 | 杭州海康威视数字技术股份有限公司 | 入侵检测规则生成方法、装置及电子设备 |
CN112468520A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
CN113486343A (zh) * | 2021-07-13 | 2021-10-08 | 深信服科技股份有限公司 | 一种攻击行为的检测方法、装置、设备和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114039776A (zh) | 2022-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104715196A (zh) | 智能手机应用程序的静态分析方法及系统 | |
US10158733B2 (en) | Automated DPI process | |
US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
CN110336835B (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
WO2016188029A1 (zh) | 解析二维码的方法及装置、计算机可读存储介质、计算机程序产品与终端设备 | |
CN113014549B (zh) | 基于http的恶意流量分类方法及相关设备 | |
CN110472434B (zh) | 数据脱敏方法、系统、介质和电子设备 | |
KR101859562B1 (ko) | 취약점 정보 분석 방법 및 장치 | |
US11431749B2 (en) | Method and computing device for generating indication of malicious web resources | |
US11775641B2 (en) | Systems and methods for classifying malware based on feature reuse | |
CN104834588A (zh) | 检测常驻式跨站脚本漏洞的方法和装置 | |
US10868804B2 (en) | Application package inspection method, inspection device and computer-readable storage medium | |
CN114039776B (zh) | 流量检测规则的生成方法、装置、电子设备及存储介质 | |
US20240289453A1 (en) | Automatic detection of malware families and variants without the presence of malware files based on structure presentation | |
CN109309665B (zh) | 一种访问请求处理方法及装置、一种计算设备及存储介质 | |
CN113536300A (zh) | 一种pdf文件信任过滤及分析方法、装置、设备及介质 | |
CN110808997B (zh) | 对服务器远程取证的方法、装置、电子设备、及存储介质 | |
CN112231696A (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
CN114697066A (zh) | 网络威胁检测方法和装置 | |
CN116015777A (zh) | 一种文档检测方法、装置、设备及存储介质 | |
CN116192527A (zh) | 攻击流量检测规则生成方法、装置、设备及存储介质 | |
CN115495740A (zh) | 一种病毒检测方法和装置 | |
CN111988405A (zh) | 负载均衡装置的报文重写方法及负载均衡装置 | |
CN115767144B (zh) | 目标视频的上传对象确定方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |