CN115174201A - 一种基于筛选标签的安全规则管理方法及装置 - Google Patents
一种基于筛选标签的安全规则管理方法及装置 Download PDFInfo
- Publication number
- CN115174201A CN115174201A CN202210770644.3A CN202210770644A CN115174201A CN 115174201 A CN115174201 A CN 115174201A CN 202210770644 A CN202210770644 A CN 202210770644A CN 115174201 A CN115174201 A CN 115174201A
- Authority
- CN
- China
- Prior art keywords
- screening
- rule
- label
- security
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种基于筛选标签的安全规则管理方法及装置,包括获取包含攻击特征词的原始报文;解析原始报文,生成标准字段文件,并从标准字段文件中提取包含攻击特征词的所有攻击字段;根据攻击字段生成筛选攻击特征词的筛选规则并存储至规则数据库;为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则;将所有目标安全规则确定为安全规则库。如此,通过设置筛选标签,在需要维护项目时,通过选择目标筛选标签,可以快速项目维护所需的所有目标安全规则,使用一个安全规则库就可以筛选项目内的多个待筛选特征词,从而提高项目维护的效率。
Description
技术领域
本申请涉及信息安全领域,特别涉及一种基于筛选标签的安全规则管理方法及装置。
背景技术
Web(World Wide Web,全球广域网)是建立在Internet(因特网)上的一种网络服务系统,可以为浏览者在Internet上查找和浏览信息提供图形化的、易于访问的直观界面。随着企业信息化的不断推进,企业逐渐将各种应用的项目架设在Web上。然而,Web数量庞大的代码使得Web容易被攻击,从而影响企业的信息安全,因此,需要对Web的信息安全进行防护。
企业的相关信息在Web中以特征词的形式体现,目前,常用的信息安全防护方法是通过设置安全规则,对Web中的特征词进行筛选,从而检出并过滤其中会危害Web安全的攻击特征词。其中,安全规则主要是通过文本编辑器直接编辑安全规则文件,再利用安全规则文件对相应项目的Web进行维护。
然而,对项目进行维护通常需要对多个待筛选特征词进行筛选,上述方法生成的每个安全规则文件仅能针对一个类型的特征词进行筛选,无法实现同步筛选不同的特征词,要想采用现有的安全规则文件维护包括有多个待筛选特征词的项目,就需要编辑多个安全规则文件,效率低下。
发明内容
本申请提供了一种基于筛选标签的安全规则管理方法及装置,可用于解决现有的安全规则文件维护包括有多个待筛选特征词的项目,就需要编辑多个安全规则文件,效率低下的技术问题。
第一方面,本申请提供一种基于筛选标签的安全规则管理方法,所述安全规则管理方法包括:
获取包含攻击特征词的原始报文;
解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段;
根据所述攻击字段生成筛选攻击特征词的筛选规则;
将所有筛选规则存储至规则数据库;
为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则;
从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签;
将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。
在第一方面的一种可实现方式中,所述根据所述攻击字段生成筛选攻击特征词的筛选规则,包括:
根据所述攻击字段提取正则表达式,所述正则表达式为所述攻击字段的筛选文本;
根据所述正则表达式编写所述筛选规则。
在第一方面的一种可实现方式中,所述安全规则管理方法还包括,根据以下步骤对所述筛选规则进行校验:
校验所述筛选规则的语法是否规范;
如果所述筛选规则的语法规范,则校验所述筛选规则是否包含所述标准字段文件中的所有字段;
如果所述筛选规则包含所述标准字段文件中的所有字段,则校验所述筛选规则中的所述正则表达式是否能匹配到所述攻击字段;
如果所述筛选规则中的所述正则表达式能匹配到所述攻击字段,则校验所述筛选规则的长度是否在预设长度范围内;
如果所述筛选规则的长度在预设长度范围内,则所述筛选规则通过校验。
在第一方面的一种可实现方式中,所述为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则,包括:
根据预设功能设置每个预设功能对应的所述筛选标签;
为需要设置所述预设功能的所述筛选规则增加所述筛选标签,生成安全规则。
在第一方面的一种可实现方式中,所述预设功能包括兼容性功能、规则有效性功能、特征扩展功能和项目并行管理功能。
在第一方面的一种可实现方式中,所述从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,包括:
获取所述当前筛选需求;
根据所述当前筛选需求确定所述目标筛选标签;
根据所述目标筛选标签设置目标筛选标签配置,所述标签字段筛选配置包括目标筛选标签和排除筛选标签;
根据所述标签字段筛选配置筛选所有安全规则,排除符合所述排除筛选标签的安全规则后,获取筛选标签符合目标筛选标签的目标安全规则。
在第一方面的一种可实现方式中,所述安全规则管理方法还包括:
对所述安全规则库进行加密处理;
将加密后的所述安全规则库和预先设置的打包配置文件进行打包处理,生成安全规则文件。
在第一方面的一种可实现方式中,所述对所述安全规则库进行加密处理,包括:
设置加密所述安全规则库所需的专用秘钥和专用偏移量;
根据所述专用秘钥和所述专用偏移量,对所述安全规则库中每256个字节进行AES128CBC处理,完成加密。
在第一方面的一种可实现方式中,所述打包配置文件包括安全规则配套帮助文件、版本文件和数据文件。
第二方面,本申请提供一种基于筛选标签的安全规则管理装置,所述安全规则管理装置用于执行第一方面及各种可实现方式中的一种基于筛选标签的安全规则管理方法,所述安全规则管理装置包括:
原始报文获取模块,用于获取包含攻击特征词的原始报文;
标准字段文件生成模块,用于解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段;
筛选规则生成模块,用于根据所述攻击字段生成筛选攻击特征词的筛选规则;
存储模块,用于将所有筛选规则存储至规则数据库;
安全规则生成模块,用于为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则;
目标安全规则筛选模块,用于从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签;
安全规则库确定模块,用于将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。
本申请提供一种基于筛选标签的安全规则管理方法及装置,安全规则管理方法包括获取包含攻击特征词的原始报文;解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段;根据所述攻击字段生成筛选攻击特征词的筛选规则;将所有筛选规则存储至规则数据库;为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则;从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签;将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。如此,通过设置筛选标签,在需要维护项目时,通过选择目标筛选标签,可以快速项目维护所需的所有目标安全规则,使用一个安全规则库就可以筛选项目内的多个待筛选特征词,从而提高项目维护的效率。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种基于筛选标签的安全规则管理方法的流程图;
图2为本申请提供的一种基于筛选标签的安全规则管理方法的安全规则文件生成流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
以下实施例中所使用的术语只是为了描述特定实施例的目的,而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样,单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式,除非其上下文中明确地有相反指示。还应当理解,在本申请以下各实施例中,“至少一个”、“一个或多个”是指一个、两个或两个以上,“多个”是指两个或者两个以上。术语“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系;例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。
在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在本申请一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请第一实施例公开了一种基于筛选标签的安全规则管理方法,下面结合附图对本申请第一实施例公开的一种基于筛选标签的安全规则管理方法进行具体说明。
参见图1,为本申请提供的一种基于筛选标签的安全规则管理方法的流程图;
由图1可知,本申请第一实施例提供的一种基于筛选标签的安全规则管理方法包括:
步骤101,获取包含攻击特征词的原始报文。
在本申请一些实施例中,所述原始报文要由有待维护需求的客户提供,所述原始报文的形式可以为Pcap文件的形式,也可以为明文报文的形式,只要所述原始报文中含有攻击特征词就可以。
步骤102,解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段。
在本申请一些实施例中,步骤102需要依照预先设置的标准协议进行解析,将所述原始报文转换为所述标准字段文件。步骤102可以采用常用的解包工具,比如wireshark、Fiddler、TCPdump等完成,也可以使用Python中Scapy工具来完成。
在本申请一些实施例中,所述标准字段文件中包括[IP]和[TCP]区块,以及[RAW]区块。其中,[IP]和[TCP]区块中的dst、src、type、version、ihl、tos、sport、dport和seq等字段为协议字段,[RAW]区块中的load字段为所述攻击字段。
步骤103,根据所述攻击字段生成筛选攻击特征词的筛选规则。
在本申请实施例中,所述步骤103包括:
步骤301,根据所述攻击字段提取正则表达式,所述正则表达式为所述攻击字段的筛选文本;
在本申请一些实施例中,通过规则维护人员人工分析,从所述攻击字段中提取正则表达式。例如,经过规则维护人员的分析,认为所述原始报文中的select*from为数据库查询语句,而在Web文件的http请求中插入数据库查询语句是非常不寻常的。此时,规则维护人员编写正则表达式“\bselect.+?from\b”,用于筛选所述原始报文中的select*from字段。
步骤302,根据所述正则表达式编写所述筛选规则。
在本申请一些实施例中,步骤302可以通过规则管理系统或者其他规则编辑软件完成。
在本申请实施例中,在所述筛选规则生成后,所述安全规则管理方法还包括:
步骤303,根据以下步骤对所述筛选规则进行校验:
步骤3031,校验所述筛选规则的语法是否规范;
步骤3032,如果所述筛选规则的语法规范,则校验所述筛选规则是否包含所述标准字段文件中的所有字段;
在本申请一些实施例中,所述标准字段文件中的所有字段包括源IP、目的IP、源端口、目的端口、协议、Content字段、msg字段和msg_cn字段等。
步骤3033,如果所述筛选规则包含所述标准字段文件中的所有字段,则校验所述筛选规则中的所述正则表达式是否能匹配到所述攻击字段;
步骤3034,如果所述筛选规则中的所述正则表达式能匹配到所述攻击字段,则校验所述筛选规则的长度是否在预设长度范围内;
步骤3035,如果所述筛选规则的长度在预设长度范围内,则所述筛选规则通过校验。
在本申请一些实施例中,所述筛选规则的长度不能超过预设字节,所以需要校验所述筛选规则的长度是否在预设长度范围内,超过预设长度范围的筛选规则无法提交。
步骤104,将所有筛选规则存储至规则数据库。
在本申请实施例中,所有的筛选规则需要统一录入规则数据库,在规则数据库统一存储,不同类型的筛选规则有不同的字段,所以不同类型的筛选规则,可以存储在规则数据库中不同的表中。
步骤105,为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则。
步骤501,根据预设功能设置每个预设功能对应的所述筛选标签;
步骤502,所述预设功能包括兼容性功能、规则有效性功能、特征扩展功能和项目并行管理功能。
步骤503,为需要设置所述预设功能的所述筛选规则增加所述筛选标签,生成安全规则。
在一些可行性实施例中,为了实现兼容性功能,所述筛选标签包括1.0版本、2.0版本和3.0版本等;
为了实现规则有效性功能,可以对一些无效规则增加关闭的筛选标签;
为了实现特征扩展功能,使得所述筛选标签除了支持IPS规则,还可以支持指纹库、病毒防护规则、漏洞库和Web防护规则等,可以对相应的筛选规则增加规则类型的筛选标签;
为了实现项目并行管理功能,可以对任一项目的专用规则增加项目筛选标签,比如项目A、项目B和项目C等。如此,可以实现不同项目的并行维护,或者同一项目不同特征词的并行维护。
需要说明的是,同一条筛选规则可以增加多条筛选标签,即,同一安全规则可以包括多条筛选标签。
现有技术中,当所述筛选规则需要修改更新时,还需要使用文本编辑器,从之前编辑好的整个筛选规则的文件中寻找需要修改更新的所述筛选规则,再进行修改。如此,一旦需要修改更新的所述筛选规则数量比较多,通过人工查找整个筛选规则的文件及其不方便,且视力疲劳之后容易出错,从而导致使用所述筛选规则的项目或者产品出现程序错误,进而使得所述项目或者产品的稳定性下降。
而在本申请实施例中,对所述筛选规则增加所述筛选标签进行标识,当有某一条所述筛选规则需要修改或更新的时候,只需要确定需要修改更新的所述筛选规则对应的筛选标签,就可以快速的查找定位到需要修改更新的所述筛选规则。基于此,所述筛选规则的修改更新效率提高,且准确率大大提升,进而有助于使用所述筛选规则的项目或者产品维持稳定性。
步骤106,从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签。
在本申请实施例中,步骤106包括:
步骤601,获取所述当前筛选需求;
步骤602,根据所述当前筛选需求确定所述目标筛选标签;
步骤603,根据所述目标筛选标签设置目标筛选标签配置,所述标签字段筛选配置包括目标筛选标签和排除筛选标签;
步骤604,根据所述标签字段筛选配置筛选所有安全规则,排除符合所述排除筛选标签的安全规则后,获取筛选标签符合目标筛选标签的目标安全规则。
下面以一个具体的实施例说明步骤106:
假设对目标项目进行维护,目标项目的当前筛选需求包括:2.0版本、目标项目的名称和待检测特征词。
根据所述当前筛选需求确定目标筛选标签为:2.0版本筛选标签、目标项目名称筛选标签和待检测特征词筛选标签。
根据所述目标筛选标签设置目标筛选标签配置,所述标签字段筛选配置包括目标筛选标签和排除筛选标签,其中,排除筛选标签为关闭筛选标签,即,只需要选择有效的安全规则。
根据所述标签字段筛选配置筛选所有安全规则,排除符合所述排除筛选标签的安全规则后,获取筛选标签符合目标筛选标签的目标安全规则,经过筛选后,获得了n条有效目标安全规则。
步骤107,将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。
参见图2,为本申请提供的一种基于筛选标签的安全规则管理方法的安全规则文件生成流程图;
由图2可知,本申请第一实施例提供的一种基于筛选标签的安全规则管理方法还包括:
步骤108,对所述安全规则库进行加密处理。
在本申请实施例中,对所述安全规则库进行加密处理是为了避免所述筛选规则的泄露。在现有技术中,使用文本编辑器直接对明文报文中的所述筛选规则进行编辑,在编辑时很容易造成所述筛选规则的泄露,进而导致企业的核心安全技术流失,给企业带来巨大的损失。
在本申请一些实施例中,步骤108通过以下步骤完成:
步骤801,设置加密所述安全规则库所需的专用秘钥和专用偏移量;
根据待加密的所述安全规则库的不同,或者使用场景的不同,所述专用秘钥和所述专用偏移量也会不同。
如此,选择不同的所述专用秘钥和所述专用偏移量,可以兼容新老版本,以及不同的加密和解密方式。
在本申请一些实施例中,所述专用秘钥和所述专用偏移量为16字节的数据。
步骤802,根据所述专用秘钥和所述专用偏移量,对所述安全规则库中每256个字节进行AES128 CBC处理,完成加密。
其中,AES128_CBC是一种加密算法,属于密码学中的高级加密标准(AdvancedEncryption Standard,AES),又称Rijndael加密法,是一种区块加密标准。这个标准用来替代原先的DES(Data Encryption Standard),已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由NIST于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为对称密钥加密中最流行的算法之一;AES的区块长度固定为128位,密钥长度则可以是128,192或256位;而Rijndael使用的密钥和区块长度可以是32位的整数倍,以128位为下限,256位为上限。加密过程中使用的密钥是由Rijndael密钥生成方案产生,CBC(Cipher Block Chaining,加密块链)模式。
步骤109,将加密后的所述安全规则库和预先设置的打包配置文件进行打包处理,生成安全规则文件。
在本申请一些实施例中,所述打包配置文件包括安全规则配套帮助文件、版本文件和数据文件。
由上述技术方案可知,本申请提供一种基于筛选标签的安全规则管理方法及装置,安全规则管理方法包括获取包含攻击特征词的原始报文;解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段;根据所述攻击字段生成筛选攻击特征词的筛选规则;将所有筛选规则存储至规则数据库;为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则;从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签;将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。如此,通过设置筛选标签,在需要维护项目时,通过选择目标筛选标签,可以快速项目维护所需的所有目标安全规则,使用一个安全规则库就可以筛选项目内的多个待筛选特征词,从而提高项目维护的效率。
与本申请第一实施例提供的一种基于筛选标签的安全规则管理方法相对应,本申请第二实施例提供了一种基于筛选标签的安全规则管理装置,所述安全规则管理装置包括:
原始报文获取模块,用于获取包含攻击特征词的原始报文;
标准字段文件生成模块,用于解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段;
筛选规则生成模块,用于根据所述攻击字段生成筛选攻击特征词的筛选规则;
存储模块,用于将所有筛选规则存储至规则数据库;
安全规则生成模块,用于为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则;
目标安全规则筛选模块,用于从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签;
安全规则库确定模块,用于将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。
上述装置在执行方法过程中的作用效果可参见上述方法中的说明,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段;说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变;本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种基于筛选标签的安全规则管理方法,其特征在于,所述安全规则管理方法包括:
获取包含攻击特征词的原始报文;
解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段;
根据所述攻击字段生成筛选攻击特征词的筛选规则;
将所有筛选规则存储至规则数据库;
为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则;
从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签;
将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。
2.根据权利要求1所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述根据所述攻击字段生成筛选攻击特征词的筛选规则,包括:
根据所述攻击字段提取正则表达式,所述正则表达式为所述攻击字段的筛选文本;
根据所述正则表达式编写所述筛选规则。
3.根据权利要求2所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述安全规则管理方法还包括,根据以下步骤对所述筛选规则进行校验:
校验所述筛选规则的语法是否规范;
如果所述筛选规则的语法规范,则校验所述筛选规则是否包含所述标准字段文件中的所有字段;
如果所述筛选规则包含所述标准字段文件中的所有字段,则校验所述筛选规则中的所述正则表达式是否能匹配到所述攻击字段;
如果所述筛选规则中的所述正则表达式能匹配到所述攻击字段,则校验所述筛选规则的长度是否在预设长度范围内;
如果所述筛选规则的长度在预设长度范围内,则所述筛选规则通过校验。
4.根据权利要求1所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则,包括:
根据预设功能设置每个预设功能对应的所述筛选标签;
为需要设置所述预设功能的所述筛选规则增加所述筛选标签,生成安全规则。
5.根据权利要求4所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述预设功能包括兼容性功能、规则有效性功能、特征扩展功能和项目并行管理功能。
6.根据权利要求1所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,包括:
获取所述当前筛选需求;
根据所述当前筛选需求确定所述目标筛选标签;
根据所述目标筛选标签设置目标筛选标签配置,所述标签字段筛选配置包括目标筛选标签和排除筛选标签;
根据所述标签字段筛选配置筛选所有安全规则,排除符合所述排除筛选标签的安全规则后,获取筛选标签符合目标筛选标签的目标安全规则。
7.根据权利要求1所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述安全规则管理方法还包括:
对所述安全规则库进行加密处理;
将加密后的所述安全规则库和预先设置的打包配置文件进行打包处理,生成安全规则文件。
8.根据权利要求7所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述对所述安全规则库进行加密处理,包括:
设置加密所述安全规则库所需的专用秘钥和专用偏移量;
根据所述专用秘钥和所述专用偏移量,对所述安全规则库中每256个字节进行AES128CBC处理,完成加密。
9.根据权利要求7所述的一种基于筛选标签的安全规则管理方法,其特征在于,所述打包配置文件包括安全规则配套帮助文件、版本文件和数据文件。
10.一种基于筛选标签的安全规则管理装置,所述安全规则管理装置用于执行权利要求1-9中的任一一种基于筛选标签的安全规则管理方法,其特征在于,所述安全规则管理装置包括:
原始报文获取模块,用于获取包含攻击特征词的原始报文;
标准字段文件生成模块,用于解析所述原始报文,生成标准字段文件,并从所述标准字段文件中提取包含所述攻击特征词的所有攻击字段;
筛选规则生成模块,用于根据所述攻击字段生成筛选攻击特征词的筛选规则;
存储模块,用于将所有筛选规则存储至规则数据库;
安全规则生成模块,用于为每个筛选规则增加筛选标签,生成每个攻击特征词对应的安全规则;所述筛选标签用于标识所述筛选规则;
目标安全规则筛选模块,用于从所有安全规则中,按照筛选标签进行筛选,获取筛选标签符合目标筛选标签的目标安全规则,所述目标筛选标签为符合当前筛选需求的筛选标签;
安全规则库确定模块,用于将所有目标安全规则,共同确定为安全规则库,所述安全规则库用于对所述当前筛选需求下的所有待筛选攻击特征词进行筛选。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210770644.3A CN115174201B (zh) | 2022-06-30 | 2022-06-30 | 一种基于筛选标签的安全规则管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210770644.3A CN115174201B (zh) | 2022-06-30 | 2022-06-30 | 一种基于筛选标签的安全规则管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174201A true CN115174201A (zh) | 2022-10-11 |
| CN115174201B CN115174201B (zh) | 2023-08-01 |
Family
ID=83489030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210770644.3A Active CN115174201B (zh) | 2022-06-30 | 2022-06-30 | 一种基于筛选标签的安全规则管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174201B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116170243A (zh) * | 2023-04-26 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于poc生成规则文件的方法、装置、电子设备及介质 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030145225A1 (en) * | 2002-01-28 | 2003-07-31 | International Business Machines Corporation | Intrusion event filtering and generic attack signatures |
| US20050251570A1 (en) * | 2002-04-18 | 2005-11-10 | John Heasman | Intrusion detection system |
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN103744802A (zh) * | 2013-12-20 | 2014-04-23 | 北京奇虎科技有限公司 | Sql注入攻击的识别方法及装置 |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
| CN109167797A (zh) * | 2018-10-12 | 2019-01-08 | 北京百度网讯科技有限公司 | 网络攻击分析方法和装置 |
| CN110995693A (zh) * | 2019-11-28 | 2020-04-10 | 杭州迪普信息技术有限公司 | 一种攻击特征的提取方法、装置及设备 |
| CN111078737A (zh) * | 2019-11-25 | 2020-04-28 | 北京明略软件系统有限公司 | 共性分析方法、装置、数据处理设备及可读存储介质 |
| US20200342095A1 (en) * | 2018-02-26 | 2020-10-29 | Mitsubishi Electric Corporation | Rule generaton apparatus and computer readable medium |
| CN112424748A (zh) * | 2018-07-19 | 2021-02-26 | 微软技术许可有限责任公司 | 源代码文件推荐通知 |
| CN113472754A (zh) * | 2021-06-16 | 2021-10-01 | 丁祥云 | 基于网络安全大数据的安全防护配置方法及网络安全系统 |
| CN113472791A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
| CN113672913A (zh) * | 2021-08-20 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种安全事件处理方法、装置及电子设备 |
| CN113886814A (zh) * | 2021-09-29 | 2022-01-04 | 深信服科技股份有限公司 | 一种攻击检测方法及相关装置 |
| CN114095274A (zh) * | 2021-12-10 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
-
2022
- 2022-06-30 CN CN202210770644.3A patent/CN115174201B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030145225A1 (en) * | 2002-01-28 | 2003-07-31 | International Business Machines Corporation | Intrusion event filtering and generic attack signatures |
| US20050251570A1 (en) * | 2002-04-18 | 2005-11-10 | John Heasman | Intrusion detection system |
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN103744802A (zh) * | 2013-12-20 | 2014-04-23 | 北京奇虎科技有限公司 | Sql注入攻击的识别方法及装置 |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| US20200342095A1 (en) * | 2018-02-26 | 2020-10-29 | Mitsubishi Electric Corporation | Rule generaton apparatus and computer readable medium |
| CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
| CN112424748A (zh) * | 2018-07-19 | 2021-02-26 | 微软技术许可有限责任公司 | 源代码文件推荐通知 |
| CN109167797A (zh) * | 2018-10-12 | 2019-01-08 | 北京百度网讯科技有限公司 | 网络攻击分析方法和装置 |
| CN111078737A (zh) * | 2019-11-25 | 2020-04-28 | 北京明略软件系统有限公司 | 共性分析方法、装置、数据处理设备及可读存储介质 |
| CN110995693A (zh) * | 2019-11-28 | 2020-04-10 | 杭州迪普信息技术有限公司 | 一种攻击特征的提取方法、装置及设备 |
| CN113472754A (zh) * | 2021-06-16 | 2021-10-01 | 丁祥云 | 基于网络安全大数据的安全防护配置方法及网络安全系统 |
| CN113472791A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
| CN113672913A (zh) * | 2021-08-20 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种安全事件处理方法、装置及电子设备 |
| CN113886814A (zh) * | 2021-09-29 | 2022-01-04 | 深信服科技股份有限公司 | 一种攻击检测方法及相关装置 |
| CN114095274A (zh) * | 2021-12-10 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 杨频;李孟铭;: "基于多标签机器学习的攻击技巧提取方法", 现代计算机, no. 01 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116170243A (zh) * | 2023-04-26 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于poc生成规则文件的方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174201B (zh) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9349026B2 (en) | Anonymization and filtering data | |
| CN108509805A (zh) | 数据加解密与脱敏运行引擎及其工作方法 | |
| CN108512854B (zh) | 制度信息安全监控方法、装置、计算机设备和存储介质 | |
| CN112800472B (zh) | 一种基于微服务架构工业互联网标识数据保护系统 | |
| US8874932B2 (en) | Method for order invariant correlated encrypting of data and SQL queries for maintaining data privacy and securely resolving customer defects | |
| CN104660551B (zh) | 一种基于webservice的数据库访问装置及方法 | |
| KR20090016282A (ko) | 콘텐츠의 선택적인 부분 암호화를 위한 drm 시스템 및방법 | |
| CN109241484A (zh) | 一种基于加密技术的网页数据的发送方法及设备 | |
| JP2012164031A (ja) | データ処理装置及びデータ保管装置及びデータ処理方法及びデータ保管方法及びプログラム | |
| CN106022143B (zh) | 一种数据库密级标志安全网关操作的方法、装置及系统 | |
| CN111475543A (zh) | 一种模糊搜索方法、装置、计算机设备及存储介质 | |
| CN110162988A (zh) | 一种基于业务系统的敏感数据加密方法 | |
| CN115174201B (zh) | 一种基于筛选标签的安全规则管理方法及装置 | |
| CN108629164A (zh) | 加密页面的生成方法及加密页面泄露后的追溯方法 | |
| JP2015106914A (ja) | マルウェア通信解析装置、及びマルウェア通信解析方法 | |
| CN110830261A (zh) | 加密方法、装置、计算机设备及存储介质 | |
| CN107979595B (zh) | 私有数据保护方法及网关系统 | |
| CN113065151A (zh) | 关系型数据库信息安全强化方法、系统、终端及存储介质 | |
| CN116663030A (zh) | 用于交互数据的脱敏处理方法及装置 | |
| CN116702103A (zh) | 数据库水印处理方法、数据库水印溯源方法及装置 | |
| CN104869170A (zh) | 针对uc浏览器加密数据文件的解密方法 | |
| CN111200666A (zh) | 用于识别访问域名的方法和系统 | |
| CN112887324B (zh) | 电力监控系统的网络安全装置的策略配置管理系统 | |
| CN111030930B (zh) | 基于去中心化网络数据分片传输方法、装置、设备及介质 | |
| WO2023178792A1 (zh) | 密文数据的存放方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |