本发明涉及网络安全技术领域,尤其涉及一种入侵检测规则优化方法、装置、电子设备及存储介质。
背景技术
目前,网络越来越发达,也越来越复杂,也越来越受到各种非法攻击和非法入侵,因此入侵检测系统越来越重要。
网络入侵检测系统多种多样,常见的是一种基于规则的特征检测系统,此种系统能够准确的检测到某些特征的攻击,但该种入侵检测系统需要依赖于事先定义好的检测规则。
当前的入侵检测系统规则多数来源于检测系统相应的网络社区,而网络社区中规则的撰写者可能会存在水平参差不齐的情况,例如:某些规则描述不够严谨。
在实现本发明的过程中,发明人发现当描述不够严谨的规则加入到入侵检测系统后,会给入侵检测系统带来严重的压力,导致入侵检测效率不高。
技术实现要素:
有鉴于此,本发明实施例提供一种入侵检测规则优化方法、装置、电子设备及存储介质,能够提高入侵检测效率。
第一方面,本发明实施例提供一种入侵检测规则优化方法,包括:获取初始的入侵检测规则;解析所述初始的入侵检测规则,获得规则内容;确定所述规则内容所匹配的目标位置和/或报文方向;根据所述目标位置和/或报文方向,对所述解析后的入侵检测规则进行优化。
结合第一方面,在第一方面的第一种可能的实现方式中,确定所述规则内容所匹配的目标位置和/或报文方向,包括:获取所述规则内容包括的内容模式或内容关键词;根据所述规则内容包含的内容模式或内容关键字,以及所述检测规则中的其它至少一个规则选项,确定所述规则内容所匹配的目标位置和/或报文方向。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述检测规则中的其它至少一个规则选项,包括:端口号和/或内容关键词。
结合第一方面,在第一方面的第三种可能的实现方式中,根据所述目标位置和/或报文方向,对所述解析后的入侵检测规则进行优化,包括:根据所述目标位置和/或报文方向,在所述入侵检测规则中添加限制性关键词,所述限制性关键词描述待检测的目标位置和/或报文方向。
结合第一方面,在第一方面的第四种可能的实现方式中,在对所述解析后的入侵检测规则进行优化之后,所述方法还包括:接收审核通过指令;根据所述审核通过指令,利用优化后的入侵检测规则替换所述初始的入侵检测规则。
第二方面,本发明实施例提供一种入侵检测规则优化装置,包括:获取单元,用于获取初始的入侵检测规则;解析单元,用于解析所述初始的入侵检测规则,获得规则内容;确定单元,用于确定所述规则内容所匹配的目标位置和/或报文方向;优化单元,用于根据所述目标位置和/或报文方向,对所述解析后的入侵检测规则进行优化。
结合第二方面,在第二方面的第一种可能的实现方式中,所述确定单元,包括:获取模块,用于获取所述规则内容包括的内容模式或内容关键词;确定模块,用于根据所述规则内容包含的内容模式或内容关键字,以及所述检测规则中的其它至少一个规则选项,确定所述规则内容所匹配的目标位置和/或报文方向。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述检测规则中的其它至少一个规则选项包括:端口号和/或内容关键词。
结合第二方面,在第二方面的第三种可能的实现方式中,所述优化单元,具体用于根据所述目标位置和/或报文方向,在所述入侵检测规则中添加限制性关键词,所述限制性关键词描述待检测的目标位置和/或报文方向。
结合第二方面,在第二方面的第四种可能的实现方式中,本发明实施例提供的入侵检测规则优化装置还包括:替换单元,用于接收审核通过指令,根据所述审核通过指令,利用优化后的入侵检测规则替换所述初始的入侵检测规则。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一可能的实现方式所述的方法。
第四方面,本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的方法。
本发明实施例提供的一种入侵检测规则优化方法、装置、电子设备及存储介质,通过解析所述初始的入侵检测规则,获得规则内容,确定所述规则内容所匹配的目标位置和/或报文方向,根据所述目标位置和/或报文方向,对所述解析后的入侵检测规则进行优化,使得优化后的入侵检测规则包含一些用于缩小匹配范围的信息(如匹配的目标位置和/或报文方向),这样,在利用优化后的入侵检测规则进行入侵检测时,可减小内容匹配的数据流量,提高入侵检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的实施例一入侵检测规则优化方法的流程示意图;
图2为本发明的实施例二入侵检测规则优化方法的流程示意图;
图3为本发明实施例三入侵检测规则优化装置的结构示意图;
图4为本发明实施例四入侵检测规则优化装置的结构示意图;
图5为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供一种入侵检测规则优化方法,以优化入侵检测规则,使得入侵检测规则包含一些用于缩小匹配范围的信息,这样需要匹配内容减少了,从而减小入侵检测引擎负载,提高了检测效率。
本发明实施例的应用场景可以是对网络数据包进行入侵检测的入侵检测系统,该入侵检测检测系统可以包括入侵检测引擎,规则优化引擎和规则库。具体来说,在从规则库中获取到当前有效的入侵检测规则,根据当前有效的入侵检测规则,对来自于网路的数据包进行入侵检测。其中,对规则库中存储的初始的入侵检测规则进行优化,从而使得入侵检测引擎在进行入侵检测时效率提升。规则库用于存储初始的入侵检测规则和有效的入侵检测规则等。其中,可以采用规则优化引擎来执行本发明实施例提供的入侵规则优化方法。
实施例一
图1为本发明的实施例一入侵检测规则优化方法的流程示意图,如图1所示,本发明实施入侵检测规则优化方法,包括:
步骤101、获取初始的入侵检测规则。
本实施例中,入侵检测规则用来对网络入侵进行检测。入侵检测规则可以包含规则头和规则内容。其中,规则头可以包括4个部分:规则行为、协议、源信息和目的信息。而规则内容的作用是在规则头信息的基础上进一步分析,有了它才能确认复杂的攻击。规则内容由若干个被分别隔开的片断组成,每个片断定义了一个选项和相应的选项值。一部分选项是对各种协议的详细说明,包括ip协议、icmp协议和tcp协议,其余的选项是:规则触发时提供给管理员的参考信息,被搜索的关键字,规则的标识和大小写不敏感选项。
下面介绍一个规则实例来进一步说明入侵检测规则:alerttcp!192.168.0.1/24any->any21(content:user″;msg:″ftplogin″;),这里的alert表示规则动作为报警。tcp表示协议类型为tcp协议。!192.168.0.1/24表示源ip地址不是192.168.0.1/24。第一个any表示源端口为任意端口。->表示发送方向操作符。第二个any表示目的ip地址为任意ip地址。21表示目的端口为21。content:″user″表示匹配的字符串为″user″。msg:″ftplogin″表示报警信息为″ftplogin″。
所述规则优化引擎可以从规则库中获取初始的入侵检测规则。所述规则库用于存储入侵检测规则。所述规则优化引擎用于对入侵检测规则进行优化。
步骤102、解析所述初始的入侵检测规则,获得规则内容。
步骤103、确定所述规则内容所匹配的目标位置和/或报文方向。
所述目标位置是指网络流量的具体位置,比如可以是http协议的uri(uniformresourceidentifier,统一资源标识符)部分,或者是http协议的头部部分等。所述报文方向是指报文的具体流向,比如可以是发向客户端的数据响应型报文,或者是发向服务器的数据请求型报文。所述匹配是指在网络数据包的净荷中搜索指定的样式,常用的匹配算法有boyer-moore模式匹配,正则匹配等。
步骤104、根据所述目标位置和/或报文方向,对所述解析后的入侵检测规则进行优化。
本发明实施例入侵检测规则优化方法,通过解析所述初始的入侵检测规则,获得规则内容,确定所述规则内容所匹配的目标位置和/或报文方向,根据所述目标位置和/或报文方向,对所述解析后的入侵检测规则进行优化,使得优化后的入侵检测规则包含一些用于缩小匹配范围的信息(如匹配的目标位置和/或报文方向),这样,在利用优化后的入侵检测规则进行入侵检测时,可减小内容匹配的数据流量,提高入侵检测效率。
实施例二
图2为本发明的实施例二入侵检测规则优化方法的流程示意图,如图2所示,本实施例的方法,包括:
步骤201、获取初始的入侵检测规则。
本实施例中,获取初始的入侵检测规则的过程与上述方法实施例中的步骤s101类似,在此不再赘述。
步骤202、解析所述初始的入侵检测规则,获得规则内容。
步骤203、获取所述规则内容包括的内容模式或内容关键词。
所述内容模式是内容的具体格式,在该具体格式中往往包括有通配符、作为一示例,所述内容模式可采用类似于″*/*″的模式;作为另一示例,所述内容模式可采用类似于″filename=*″的模式。
所述内容关键词可为具体的关键词。作为一示例,所述内容关键词可采用″<html>″或″<body>″等与html相关的关键字。应当理解的是,这些仅为示例性说明,不用于限制本发明。
步骤204、确定所述规则内容所匹配的目标位置和/或报文方向。
本实施例中,可根据所述规则内容包含的内容模式或内容关键字,以及所述检测规则中的其它至少一个规则选项,确定所述规则内容所匹配的目标位置和/或报文方向。
可选地,所述检测规则中的其它至少一个规则选项包括:端口号和/或内容关键词。
可选地,可根据内容模式或内容关键字、所述检测规则中的其它至少一个规则选项,以及预先建立的内容模式或内容关键字以及规则选项与目标位置和报文方向之间的映射关系,确定所述规则内容所匹配的目标位置和/或报文方向。
步骤205、在所述入侵检测规则中添加限制性关键词。
本实施例中,可根据所述目标位置和/或报文方向,在所述入侵检测规则中添加限制性关键词,所述限制性关键词描述待检测的目标位置和/或报文方向。
上述的优化过程,通过规则优化引擎来进行,即通过自动化分析程序进行。
可选地,在对所述解析后的入侵检测规则进行优化之后,所述方法还包括:
步骤206、接收审核通过指令。
以所述规则优化引擎或自动化分析程序所分析优化后的规则,并不能确保一定可以替换原规则并达到相同的检出率,因此需要人工审核进行对比可优化项,通过审核后方可替换原规则。人工审核通过后可发出审核通过指令,所述规则优化引擎可接收所述审核通过指令。
步骤207、根据所述审核通过指令,利用优化后的入侵检测规则替换所述初始的入侵检测规则。
所述规则优化引擎可根据所述审核通过指令,利用优化后的入侵检测规则替换所述初始的入侵检测规则。
可选地,将初始的入侵检测规则变更为优化后的入侵检测规则,可将该优化后的入侵检测规则设置为有效。
入侵检测规则设置成功后,当后续有新的网络入侵检测时,入侵检测引擎就可以用优化后的入侵检测规则对网络数据包进行检测。
下面以snort规则为例来说明三种的入侵检测规则的优化过程。
1,当识别到content中描述的内容包含了类似于″*/*″模式的内容,则确定content可能匹配http协议的uri部分且有可能是http协议的请求数据,再结合端口和其他关键字等信息,进一步确定content是否匹配需要uri部分。如果是,在入侵检测规则中添加限制性关键词http_uri,通过http_uri来描述content,用于减少需要匹配的报文长度,并在入侵检测规则中添加限制性关键词flow:to_server,established,用于确定需要匹配的报文方向。
2,当识别到content中描述的内容包含″filename=*″模式,″user-agent*″模式等http响应头的内容,则确定content可能匹配http协议的头部部分且有可能是http的响应数据,结合端口和其他关键字等信息,确定是否content匹配http的响应头部分。如果是,在入侵检测规则中添加限制性关键词http_header来描述content,用于减少需要匹配的报文长度;并在入侵检测规则中添加限制性关键词flow:to_client,established,用于确定需要匹配的报文方向。
3,当识别到content中描述的内容包含了″<html>″或″<body>″等html相关关键字后,则确定content可能匹配http协议的响应数据。在在入侵检测规则中添加限制性关键词flow:to_client,established,用于确定匹配报文的方向。
本实施例,由于入侵检测中最耗费系统资源的操作是内容匹配,而经过优化后的入侵检测规则包含一些用于缩小匹配范围的信息,这样需要匹配内容减少了,从而减小入侵检测引擎负载,提高入侵检测效率。
实施例三
图3为本发明实施例三入侵检测规则优化装置的结构示意图,如图3所示,本实施例的装置可以包括:获取单元41、解析单元42、确定单元43和优化单元44,其中,获取单元41,用于获取初始的入侵检测规则。解析单元42,用于解析所述初始的入侵检测规则,获得规则内容。确定单元43,用于确定所述规则内容所匹配的目标位置和/或报文方向。优化单元44,用于根据所述目标位置和/或报文方向,对所述解析后的入侵检测规则进行优化。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
实施例四
图4为本发明实施例四入侵检测规则优化装置的结构示意图,如图4所示,本实施例在图3所示实施例的基础上,所述确定单元43,可进一步包括获取模块431和确定模块432。其中,所述获取模块431用于获取所述规则内容包括的内容模式或内容关键词;所述确定模块432,用于根据所述规则内容包含的内容模式或内容关键字,以及所述检测规则中的其它至少一个规则选项,确定所述规则内容所匹配的目标位置和/或报文方向。
进一步地,所述优化单元44,可具体用于根据所述目标位置和/或报文方向,在所述入侵检测规则中添加限制性关键词,所述限制性关键词描述待检测的目标位置和/或报文方向。
进一步地,所述装置还可包括替换单元45,用于接收审核通过指令,根据所述审核通过指令,利用优化后的入侵检测规则替换所述初始的入侵检测规则。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本发明实施例还提供一种电子设备,图5为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体61、处理器62、存储器6、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器62对上述步骤的具体执行过程以及处理器62通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-2所示实施例的描述,在此不再赘还。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iphone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等,例如ipad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如ipod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明的实施例还提供一种应用程序,所述应用程序被执行以实现本发明任一实施例提供的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将
一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些
实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)或随机存储记忆体(randomaccessmemory,ram)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。