CN115499211A - 一种基于流量特征的规则生成方法及生成装置 - Google Patents
一种基于流量特征的规则生成方法及生成装置 Download PDFInfo
- Publication number
- CN115499211A CN115499211A CN202211124557.7A CN202211124557A CN115499211A CN 115499211 A CN115499211 A CN 115499211A CN 202211124557 A CN202211124557 A CN 202211124557A CN 115499211 A CN115499211 A CN 115499211A
- Authority
- CN
- China
- Prior art keywords
- rule
- attack
- defense
- data packet
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种基于流量特征的规则生成方法及生成装置,涉及网络安全技术领域。该方法包括获取并解析流量数据包;提取所述流量数据包中的攻击特征;基于所述攻击特征生成防御规则;识别所述防御规则的有效性,并将有效规则发送至待用设备,基于攻击特征生成防御规则,不依赖于现有规则库,且基于防御规则直接给出检测结果,无需用户人工评判,提高了防御效率、减少了工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种基于流量特征的规则生成方法及生成装置。
背景技术
防御规则作为防御检测设备的核心部分,可将安全规则与特定设备相匹配,使得该设备得以实现规则所指定的特定目的。现有的防御检测设备的防御规则依赖于现有规则库实现,且需要定期对规则库进行维护,人工投入成本较大;且有些方法利用Libpcap库,导致该方法仅适用于Linux系统的存储系统且仅适用于入侵检测系统,存在很大的局限性,该方法对于结果仅生成对应告警日志,是否真正存在入侵仍需人工研判,导致工作量和效率均没有得到解决。
发明内容
本申请实施例的目的在于提供一种基于流量特征的规则生成方法及生成装置,基于攻击特征生成防御规则,不依赖于现有规则库,且基于防御规则直接给出检测结果,无需用户人工评判,提高了防御效率、减少了工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
本申请实施例提供了一种基于流量特征的规则生成方法,所述方法包括:
获取并解析流量数据包;
提取所述流量数据包中的攻击特征;
基于所述攻击特征生成防御规则;
识别所述防御规则的有效性,并将有效规则发送至待用设备。
在上述实现过程中,利用攻击特征生成防御规则,由于该防御规则是根据已攻击特征生成的,因此在后续使用过程中,匹配即说明存在入侵动作,不需要生成告警日志然后让用户手动去判断,进而降低入侵检测的判断工作量做到减少人工工作量的同时第一时间对攻击进行处置,因此提高了效率、减少工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
进一步地,所述提取所述流量数据包中的攻击特征,包括:
对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。
在上述实现过程中,具有一个判断是否存在攻击特征的过程,若存在攻击特征,再进行攻击特征提取。
进一步地,所述对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征,包括:
若不存在攻击特征,则基于用户预先设置的识别等级进行深度识别,或者,基于至少一个用户设定漏洞类型进行漏洞识别。
在上述实现过程中,通过深度识别或特定漏洞识别,可以更快更准确的定位攻击特征,提高了识别结果的准确性。
进一步地,所述攻击特征包括漏洞类型、数据协议、特征URL和特征参数,所述若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置,包括:
若所述攻击特征基于HTTP协议,则基于漏洞特征确定漏洞类型;
识别并提取数据帧的协议层值,以作为所述数据协议;
提取HTTP协议从第一行提交形式到HTTP版本的数据作为特征URL;
基于HTTP协议的提交方式定位特征参数。
在上述实现过程中,以HTTP协议为例,根据HTTP协议的特点可定位到攻击特征具体的位置,准确获取攻击特征。
进一步地,所述基于所述攻击特征生成防御规则,包括:
基于所述攻击特征存在的位置选取对应的规则修饰符;
将所述攻击特征和对应的规则修饰符按照所述防御规则的关键字优先级进行排序,并生成防御规则。
在上述实现过程中,将攻击特征和对应的规则修饰符按照防御规则的关键字优先级进行排序,可得到最终的防御规则明文,在防御规则生成过程中,不直接使用关键字,从而避免了关键字泄漏问题。
进一步地,所述识别所述防御规则的有效性,并将有效规则发送至待用设备,包括:
检测所述防御规则是否存在关键字冲突或者所述防御规则已经存在;
重放所述流量数据包或者重放对应漏洞类型的预设流量进行告警测试;
若为有效规则,则根据所述攻击特征生成规则名称;
将所述规则名称与所述有效规则绑定并生成规则编号;
将所述有效规则、规则名称和规则编号发送至所述待用设备。
在上述实现过程中,对防御规则进行有效性检测,包括关键字冲突检测、规则重复检测、漏报检测和误报检测等,确保防御规则的有效性和利用防御规则进行流量识别的结果的准确性,且该防御规则基于攻击特征生成,极大的降低了规则编写的入手难度,即使非专业人员也可在短时间通过图形拼接生成有效的防御或检测规则,明显缩短了对常见漏洞防御的反应时间。
本申请实施例还提供一种基于流量特征的规则生成装置,所述装置包括:
获取模块,用于获取并解析流量数据包;
特征提取模块,用于提取所述流量数据包中的攻击特征;
规则生成模块,用于基于所述攻击特征生成防御规则;
有效性检测模块,用于识别所述防御规则的有效性,并将有效规则发送至待用设备。
在上述实现过程中,利用攻击特征生成防御规则,由于该防御规则是根据已攻击特征生成的,因此在后续使用过程中,匹配即说明存在入侵动作,不需要生成告警日志然后让用户手动去判断,进而降低入侵检测的判断工作量做到减少人工工作量的同时第一时间对攻击进行处置,因此提高了效率、减少工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
进一步地,所述特征提取模块包括:
特征判断模块,用于对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
记录模块,用于若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。
在上述实现过程中,具有一个判断是否存在攻击特征的过程,若存在攻击特征,再进行攻击特征提取。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行上述中任一项所述的基于流量特征的规则生成方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中一项所述的基于流量特征的规则生成方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种基于流量特征的规则生成方法的流程图;
图2为本申请实施例提供的规则自动生成流程图;
图3为本申请实施例提供的攻击特征提取流程图;
图4为本申请实施例提供的防御规则的生成流程图;
图5为本申请实施例提供的防御规则有效性检测流程图;
图6为本申请实施例提供的一种基于流量特征的规则生成装置的结构框图;
图7为本申请实施例提供的另一种基于流量特征的规则生成装置的结构框图。
图标:
100-获取模块;200-特征提取模块;201-特征判断模块;202-记录模块;203-深度识别模块;300-规则生成模块;301-修饰符获取模块;302-排序模块;400-有效性检测模块;401-第一检测模块;402-第二检测模块;403-名称生成模块;404-编号生成模块;405-发送模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供的一种基于流量特征的规则生成方法的流程图。该方法通过截取攻击流量,自动化生成防御规则,极大的降低了规则编写的入手难度,即使非专业人员也可在短时间通过图形拼接生成有效的防御或检测规则。该方法具体包括以下步骤:
步骤S100:获取并解析流量数据包;
示例地,可以利用Libpcap库tshark库或者是pyshark库对流量包进行截获与解析,以便后续操作。
步骤S200:提取所述流量数据包中的攻击特征;
步骤S300:基于所述攻击特征生成防御规则;
步骤S400:识别所述防御规则的有效性,并将有效规则发送至待用设备。
利用攻击特征生成防御规则,由于该防御规则是根据已攻击特征生成的,因此在后续使用过程中,匹配即说明存在入侵动作,不需要生成告警日志然后让用户手动去判断,进而降低入侵检测的判断工作量做到减少人工工作量的同时第一时间对攻击进行处置,因此提高了防御效率、减少了工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
如图2所示,为规则自动生成流程图,其中,如图3所示,为攻击特征提取流程图,步骤S200具体可以包括以下步骤:
步骤S201:对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
该步骤为一个预判断过程即攻击特征判断,具体地,对所截获的流量数据包进行攻击特征识别,其中,可调用外部接口使用外部特征库进行攻击特征识别,以提高对攻击特征定位的精确性,此处还能结合机械自学习技术以进一步提高精确性,当发现数据流中存在攻击特征时,进行步骤S202。
步骤S202:若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置;
其中,攻击特征包括漏洞类型、数据协议、特征URL和特征参数。该步骤具体包括:
若所述攻击特征基于HTTP协议,则基于漏洞特征确定漏洞类型;
识别并提取数据帧的协议层值,以作为所述数据协议;
提取HTTP协议从第一行提交形式到HTTP版本的数据作为特征URL;
基于HTTP协议的提交方式定位特征参数。
对于具体提取过程,以HTTP协议为例,首先就漏洞特征确定漏洞类型,例如漏洞特征“../”确定为目录遍历漏洞;提取数据协议,可以使用pyshark或者是tshark进行识别并提取存在攻击特征的数据帧的协议层值;特征URL,即提取HTTP协议下的从第一行提交形式“GET”、“POST”、“PUT”等到HTTP版本“HTTP/1.1”中间的全部内容即为特征URL(特征页面);特征参数的提取需要分析HTTP协议的提交方式,例如POST形式的提交参数则定位请求体中的内容,GET形式的提交参数则定位URL中的内容,并使用解析器对各参数及对应的值进行解析,方便后续操作的同时避免跨参数匹配。
步骤S203:若不存在攻击特征,则基于用户预先设置的识别等级进行深度识别,或者,基于至少一个用户设定漏洞类型进行漏洞识别。
若未发现攻击特征输出提示,此处存在可选项,可选项一为可设置识别等级(等级设为1-5,默认为1),若首次检测未发现攻击特征则将按照用户设置的识别等级进行深度识别,深度识别后若发现攻击特征则进行步骤S300;若还未发现攻击特征则输出提示后结束当前进程。
可选项二是,指定特定漏洞类型(一个或多个)进行漏洞识别,这样可以更快更准的定位攻击特征,后续可以针对性的进行防御检测。
可以就指定的漏洞类型进行快速筛选,从而节约攻击特征的筛选时间。例如该服务器仅部署了MYSQL,则可仅对SQL注入或DDOS等漏洞进行防御而不用花费更多的性能去防御不需要甚至不存在的漏洞,例如此处就没有必要对缓冲区溢出进行检测。
如图4所示,为防御规则的生成流程图,步骤S300具体可以包括以下步骤:
步骤S301:基于所述攻击特征存在的位置选取对应的规则修饰符;
步骤S302:将所述攻击特征和对应的规则修饰符按照所述防御规则的关键字优先级进行排序,并生成防御规则。
根据步骤S200中提取攻击特征所得到的结果,按照攻击特征存在位置选用对应的规则修饰符,并按照防御规则关键字的优先级进行顺序排列以得到防御规则的规则明文。
具体地,规则修饰符具有选用标准,以Snort规则的关键字为例,content关键字可被http_client_body,http_uri等修饰符修饰,而uricontent则不能被http_uri修饰符修饰。上述的“攻击特征存在的位置”,例如攻击特征存在于URL中,则防御规则生成时会使用仅匹配URL的修饰符修饰,以Snort举例,则规则修饰符为http_uri,若攻击特征存在于请求头部,则使用仅匹配请求头部的关键字修饰,以Snort为例,则规则修饰符为http_header。
该防御规则生成过程中,不会将关键字打印,避免了泄漏。此处的优先级以Snort规则为例:防御规则生成时首先使用判断数据流向的关键字flow,其次才是匹配攻击特征的其他关键字例如content或是pcre等,最后是对协议的识别metadata。
本申请没有使用关键字的规则生成方法因此不存在传统规则库中的规则生成过程中的“关键字泄漏问题”,因为不直接使用规则关键词,所以没有关键字泄漏问题,进而解决现有规则库在针对“关键字泄漏问题”方面没有有效的解决的问题。
如图5所示,为防御规则有效性检测流程图,步骤S400具体可以包括:
步骤S401:检测所述防御规则是否存在关键字冲突或者所述防御规则已经存在;
其中,关键字冲突可通过载入引擎看是否报错进行判断,又或是使用黑名单的方式去判断;防御规则是否已存在,可通过遍历已有防御规则,查看是否有攻击特征截取一致或存在包含关系的,若判断结果为当前防御规则已存在,则放弃当前规则或存在被包含关系的防御规则。
步骤S402:重放所述流量数据包或者重放对应漏洞类型的预设流量进行告警测试;
重放当前已截取的流量数据包,以检测防御效果。若重放当前已截取的流量数据包,但未告警,则表明生成的防御规则漏报,需要重新提取攻击特征;若重放成功,则重放对应漏洞类型的内置流量进行测试,若该防御规则对内置流量告警,则说明该防御规则存在误报,因为生成的防御规则应只对当前截取的流量数据包进行告警。因此,通过检测防御规则的有效性,可防止防御规则误报、漏报。
若重放后无法达到检测目的(不是有效规则),则返回重新进行攻击特征提取,可提高识别等级重新提取。此处存在可选项,可选项为深度检测,深度检测则是使用对应的漏洞类型的内置流量进行检测,以检测防御规则的误报,提高防御规则检测精准度。
步骤S403:若为有效规则,则根据所述攻击特征生成规则名称;
步骤S404:将所述规则名称与所述有效规则绑定并生成规则编号;
步骤S405:将所述有效规则、规则名称和规则编号发送至所述待用设备。
根据上述步骤中提取的漏洞信息,其中包括“漏洞类型”、“特征参数”等信息,生成当前防御规则的规则名称并与生成的防御规则做绑定,再生成规则编号,以唯一标识当前防御规则,之后将防御规则录入设备,等待用户后续启用或设置默认启用。
该方法可应用于依赖设备规则的网络安全检测、防御设备的设计中,例如漏洞扫描系统或入侵检测系统。
作为其中一种实施例,该方法可应用于漏洞扫描设备产品中,以实现防御规则编写的简化并减少人员工作量,具体包括以下步骤:
步骤S11:设备启动,截取数据包;
步骤S12:判断该数据包的数据帧中是否存在攻击特征;
步骤S13:若数据帧存在攻击特征,将确认请求数据的协议、攻击页面与攻击参数,攻击点等信息和响应数据中的响应码及响应体中的有效信息,然后就攻击特征进行自动规则化;
步骤S14:设备就已自动生成的当前规则进行规则语法及性能检验;
步骤S15:若规则通过检测,则输出至设备并就攻击特征给当前防御规则以唯一的名称命名并生成对应编号以唯一标识该防御规则,等待用户启用;若规则检测不通过,则自动提高检测等级再次进行判断;
步骤S11:用户启用对应防御规则,漏洞扫描系统加载该防御规则;或设置设备自动启用,等待下次漏洞扫描时使用该防御规则进行检测实现漏洞自动检测的目的。
作为另外一种实施例,该方法可应用于入侵防御设备产品中,以实现规则编写的简化并缩短应急时间,具体包括以下步骤:
步骤S21:设备启动,截取数据包;
步骤S22:判断数据帧中是否存在攻击特征;
步骤S23:若数据帧存在攻击特征,设备将确认数据帧协议、攻击页面与攻击参数等信息并截取当前存在攻击的数据流,然后就攻击点进行自动规则化;
步骤S24:设备就已自动生成的当前防御规则,使用截取的攻击流量与内置流量进行规则语法、误报、漏报及性能检验;
步骤S25:若当前防御规则通过检测,则输出至设备并就攻击特征给当前规则以唯一的名称命名并生成对应编号以唯一标识该规则,等待用户启用;若当前防御规则检测不通过,则自动提高检测等级再次进行判断;
步骤S26:用户启用对应防御规则,入侵检测系统加载该规则;或设置设备默认加载对应防御规则以实现检测拦截的目的。
该方法极大降低了规则编写的入手难度,即使非专业人员也可在短时间通过图形拼接生成有效的防御或检测规则,并且,明显缩短了对常见漏洞防御的反应时间,缩短一线反馈二线,二线处置后再回馈一线期间的空白期时间,如今可由设备根据攻击流量特征自动生成防御或检测规则,实现攻击流量的自动识别,无需人工研判;该方法还可提供对外接口,结合机械学习等现有技术可更好地覆盖Web、工控、物联网等多个领域,提高检测质量与应用范围,具有广泛的适用性。
实施例2
本申请实施例提供一种基于流量特征的规则生成装置,该装置应用于实施例1中的基于流量特征的规则生成方法,如图6所示,为一种基于流量特征的规则生成装置的结构框图,该装置包括但不限于:
获取模块100,用于获取并解析流量数据包;
特征提取模块200,用于提取所述流量数据包中的攻击特征;
规则生成模块300,用于基于所述攻击特征生成防御规则;
有效性检测模块400,用于识别所述防御规则的有效性,并将有效规则发送至待用设备。
如图7所示,为另一种基于流量特征的规则生成装置的结构框图,其中,在图6的基础上,特征提取模块200包括:
特征判断模块201,用于对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
记录模块202,用于若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。
对于攻击特征的提取过程在实施例1中已经具体说明,在此不做赘述。
还包括:
深度识别模块203,用于若不存在攻击特征,则基于用户预先设置的识别等级进行深度识别,或者,基于至少一个用户设定漏洞类型进行漏洞识别。
规则生成模块300包括:
修饰符获取模块301,用于基于所述攻击特征存在的位置选取对应的规则修饰符;
排序模块302,用于将所述攻击特征和对应的规则修饰符按照所述防御规则的关键字优先级进行排序,并生成防御规则。
有效性检测模块400包括:
第一检测模块401,用于检测所述防御规则是否存在关键字冲突或者所述防御规则已经存在;
第二检测模块402,用于重放所述流量数据包或者重放对应漏洞类型的预设流量进行告警测试;
名称生成模块403,用于若为有效规则,则根据所述攻击特征生成规则名称;
编号生成模块404,用于将所述规则名称与所述有效规则绑定并生成规则编号;
发送模块405,用于将所述有效规则、规则名称和规则编号发送至所述待用设备。
利用攻击特征生成防御规则,由于该防御规则是根据已攻击特征生成的,因此在后续使用过程中,匹配即说明存在入侵动作,不需要生成告警日志然后让用户手动去判断,进而降低入侵检测的判断工作量做到减少人工工作量的同时第一时间对攻击进行处置,因此提高了效率、减少工作量,解决了现有方法人工投入成本较大、需人工研判,导致工作量和效率均没有得到解决的问题。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行实施例1所述的基于流量特征的规则生成方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行实施例1所述的基于流量特征的规则生成方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种基于流量特征的规则生成方法,其特征在于,所述方法包括:
获取并解析流量数据包;
提取所述流量数据包中的攻击特征;
基于所述攻击特征生成防御规则;
识别所述防御规则的有效性,并将有效规则发送至待用设备。
2.根据权利要求1所述的基于流量特征的规则生成方法,其特征在于,所述提取所述流量数据包中的攻击特征,包括:
对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。
3.根据权利要求2所述的基于流量特征的规则生成方法,其特征在于,所述对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征,包括:
若不存在攻击特征,则基于用户预先设置的识别等级进行深度识别,或者,基于至少一个用户设定漏洞类型进行漏洞识别。
4.根据权利要求2所述的基于流量特征的规则生成方法,其特征在于,所述攻击特征包括漏洞类型、数据协议、特征URL和特征参数,所述若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置,包括:
若所述攻击特征基于HTTP协议,则基于漏洞特征确定漏洞类型;
识别并提取数据帧的协议层值,以作为所述数据协议;
提取HTTP协议从第一行提交形式到HTTP版本的数据作为特征URL;
基于HTTP协议的提交方式定位特征参数。
5.根据权利要求4所述的基于流量特征的规则生成方法,其特征在于,所述基于所述攻击特征生成防御规则,包括:
基于所述攻击特征存在的位置选取对应的规则修饰符;
将所述攻击特征和对应的规则修饰符按照所述防御规则的关键字优先级进行排序,并生成防御规则。
6.根据权利要求5所述的基于流量特征的规则生成方法,其特征在于,所述识别所述防御规则的有效性,并将有效规则发送至待用设备,包括:
检测所述防御规则是否存在关键字冲突或者所述防御规则已经存在;
重放所述数据流量包或者重放对应漏洞类型的预设流量进行告警测试;
若为有效规则,则根据所述攻击特征生成规则名称;
将所述规则名称与所述有效规则绑定并生成规则编号;
将所述有效规则、规则名称和规则编号发送至所述待用设备。
7.一种基于流量特征的规则生成装置,其特征在于,所述装置包括:
获取模块,用于获取并解析流量数据包;
特征提取模块,用于提取所述流量数据包中的攻击特征;
规则生成模块,用于基于所述攻击特征生成防御规则;
有效性检测模块,用于识别所述防御规则的有效性,并将有效规则发送至待用设备。
8.根据权利要求7所述的基于流量特征的规则生成装置,其特征在于,所述特征提取模块包括:
特征判断模块,用于对所述流量数据包进行攻击特征识别,以判断所述流量数据包中是否存在攻击特征;
记录模块,用于若存在所述攻击特征,则提取所述流量数据包中的攻击特征,并记录所述攻击特征存在的位置。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行根据权利要求1至6中任一项所述的基于流量特征的规则生成方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的基于流量特征的规则生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211124557.7A CN115499211A (zh) | 2022-09-15 | 2022-09-15 | 一种基于流量特征的规则生成方法及生成装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211124557.7A CN115499211A (zh) | 2022-09-15 | 2022-09-15 | 一种基于流量特征的规则生成方法及生成装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115499211A true CN115499211A (zh) | 2022-12-20 |
Family
ID=84467548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211124557.7A Pending CN115499211A (zh) | 2022-09-15 | 2022-09-15 | 一种基于流量特征的规则生成方法及生成装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115499211A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094790A (zh) * | 2022-12-30 | 2023-05-09 | 四川新网银行股份有限公司 | 一种基于web攻击实现办公网侧自动防御的系统及方法 |
| CN117319089A (zh) * | 2023-11-27 | 2023-12-29 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
-
2022
- 2022-09-15 CN CN202211124557.7A patent/CN115499211A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094790A (zh) * | 2022-12-30 | 2023-05-09 | 四川新网银行股份有限公司 | 一种基于web攻击实现办公网侧自动防御的系统及方法 |
| CN117319089A (zh) * | 2023-11-27 | 2023-12-29 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
| CN117319089B (zh) * | 2023-11-27 | 2024-03-12 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| CN115499211A (zh) | 一种基于流量特征的规则生成方法及生成装置 | |
| CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN108632219B (zh) | 一种网站漏洞检测方法、检测服务器、系统及存储介质 | |
| CN107689940B (zh) | WebShell检测方法及装置 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN110879891A (zh) | 基于web指纹信息的漏洞探测方法及装置 | |
| CN109327451A (zh) | 一种防御文件上传验证绕过的方法、系统、装置及介质 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
| CN110765333A (zh) | 采集网站信息的方法及装置、存储介质、电子装置 | |
| CN110768949A (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
| CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
| CN113127862B (zh) | 一种xxe攻击检测方法、装置、电子设备及存储介质 | |
| US20160285905A1 (en) | System and method for detecting mobile cyber incident | |
| CN113992443B (zh) | 一种云沙箱流量处理方法及装置 | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN113965392B (zh) | 恶意服务器检测方法、系统、可读介质及电子设备 | |
| CN112003824B (zh) | 攻击检测方法、装置及计算机可读存储介质 | |
| KR101572239B1 (ko) | 사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지 장치 및 시스템 | |
| CN113852625A (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
| CN112118260B (zh) | Opcda报文处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |