亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種流量檢測(cè)規(guī)則的生成方法及裝置與流程

文檔序號(hào):12132321閱讀:來源:國知局

技術(shù)特征:

1.一種流量檢測(cè)規(guī)則的生成方法,其特征在于,應(yīng)用于電子設(shè)備,所述方法包括:

獲取針對(duì)預(yù)設(shè)漏洞的至少兩條攻擊流量的流量文件;所述流量文件至少包括攻擊流量中的負(fù)載數(shù)據(jù);

根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方;

將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng);

從所有所述流量文件中提取所有請(qǐng)求方的第一負(fù)載數(shù)據(jù);

將所有所述第一負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第一輸入源,計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第一最長(zhǎng)公共子串;

將所述第一最長(zhǎng)公共子串確定為第一特征;

根據(jù)所述第一特征,生成第一流量檢測(cè)規(guī)則。

2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方,包括:

對(duì)于每一攻擊流量,當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為傳輸控制協(xié)議TCP時(shí),確定發(fā)送第一個(gè)握手報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方;當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為用戶數(shù)據(jù)報(bào)協(xié)議UDP時(shí),確定發(fā)送第一個(gè)報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方。

3.根據(jù)權(quán)利要求1所述的方法,其特征在于,在將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng)之后,所述方法還包括:

從所有所述流量文件中提取所有應(yīng)答方的第二負(fù)載數(shù)據(jù);

將所有所述第二負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第二輸入源,計(jì)算得到所有所述第二負(fù)載數(shù)據(jù)的第二最長(zhǎng)公共子串;

將所述第二最長(zhǎng)公共子串確定為第二特征;

所述根據(jù)所述第一特征,生成第一流量檢測(cè)規(guī)則,包括:

根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則。

4.根據(jù)權(quán)利要求3所述的方法,其特征在于,在從所有所述流量文件中提取所有請(qǐng)求方的第一負(fù)載數(shù)據(jù)和所有應(yīng)答方的第二負(fù)載數(shù)據(jù)之后,所述方法還包括:

將所有所述第一負(fù)載數(shù)據(jù)作為第三輸入源,將所有所述第二負(fù)載數(shù)據(jù)作為第四輸入源,分別計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第三最長(zhǎng)公共子串和所有所述第二負(fù)載數(shù)據(jù)的第四最長(zhǎng)公共子串;

將所述第三最長(zhǎng)公共子串確定為第三特征,將所述第四最長(zhǎng)公共子串確定為第四特征;

所述根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則,為:

根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。

5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng)之后,所述方法還包括:

根據(jù)預(yù)先存儲(chǔ)的限定字節(jié)集合和漏洞信息的對(duì)應(yīng)關(guān)系,確定所述情報(bào)指引項(xiàng)中的漏洞信息對(duì)應(yīng)的目的限定字節(jié)集合;

所述根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則,包括:

若所有所述第一負(fù)載數(shù)據(jù)在預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為請(qǐng)求方的第五特征,根據(jù)所述第一特征、所述第三特征和請(qǐng)求方的第五特征,生成第一流量檢測(cè)規(guī)則;否則,根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則;

若所有所述第二負(fù)載數(shù)據(jù)在所述預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為應(yīng)答方的第五特征,根據(jù)所所述第二特征、所述第四特征和應(yīng)答方的第五特征,生成第二流量檢測(cè)規(guī)則;否則,根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。

6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述漏洞信息包括:漏洞類型、漏洞協(xié)議和漏洞位置;

所述根據(jù)預(yù)先存儲(chǔ)的限定字節(jié)集合和漏洞信息的對(duì)應(yīng)關(guān)系,確定所述情報(bào)指引項(xiàng)中的漏洞信息對(duì)應(yīng)的目的限定字節(jié)集合,包括:

當(dāng)所述預(yù)設(shè)漏洞的漏洞類型為溢出overflow類型時(shí),確定所述目的限定字節(jié)集合為:不包括\x00和\x00\x00的字節(jié)集合;

當(dāng)所述預(yù)設(shè)漏洞的漏洞協(xié)議為超文本傳輸協(xié)議http時(shí),確定所述目的限定字節(jié)集合為:http頭部包括\x0D\x0A和\x0A的字節(jié)集合;

當(dāng)所述預(yù)設(shè)漏洞的漏洞位置包括統(tǒng)一資源定位標(biāo)識(shí)URI時(shí),確定所述目的限定字節(jié)集合為:URI位置包括\x26的字節(jié)集合。

7.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述流量文件中還包括:攻擊流量中的請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口、應(yīng)用層協(xié)議;

在根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方之后,所述方法還包括:

從所有所述流量文件中提取請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口和應(yīng)用層協(xié)議,分別生成請(qǐng)求方和應(yīng)答方的源端口集合、目的端口集合和應(yīng)用層協(xié)議集合;

分別判斷請(qǐng)求方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至請(qǐng)求方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;

分別判斷應(yīng)答方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至應(yīng)答方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;

將請(qǐng)求方的報(bào)文信息確定為第六特征,將應(yīng)答方的報(bào)文信息確定為第七特征;

所述根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則,包括:

根據(jù)所述第一特征和所述第六特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第七特征生成第二流量檢測(cè)規(guī)則。

8.一種流量檢測(cè)規(guī)則的生成裝置,其特征在于,應(yīng)用于電子設(shè)備,所述裝置包括:

獲取單元,用于獲取針對(duì)預(yù)設(shè)漏洞的至少兩條攻擊流量的流量文件;所述流量文件至少包括攻擊流量中的負(fù)載數(shù)據(jù);

第一確定單元,用于根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方;

第二確定單元,用于將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng);

提取單元,用于從所有所述流量文件中提取所有請(qǐng)求方的第一負(fù)載數(shù)據(jù);

計(jì)算單元,用于將所有所述第一負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第一輸入源,計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第一最長(zhǎng)公共子串;

第三確定單元,用于將所述第一最長(zhǎng)公共子串確定為第一特征;

第一生成單元,用于根據(jù)所述第一特征,生成第一流量檢測(cè)規(guī)則。

9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述第一確定單元,具體用于:

對(duì)于每一攻擊流量,當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為傳輸控制協(xié)議TCP時(shí),確定發(fā)送第一個(gè)握手報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方;當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為用戶數(shù)據(jù)報(bào)協(xié)議UDP時(shí),確定發(fā)送第一個(gè)報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方。

10.根據(jù)權(quán)利要求8所述的裝置,其特征在于,

所述提取單元,還用于從所有所述流量文件中提取所有應(yīng)答方的第二負(fù)載數(shù)據(jù);

所述計(jì)算單元,還用于將所有所述第二負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第二輸入源,計(jì)算得到所有所述第二負(fù)載數(shù)據(jù)的第二最長(zhǎng)公共子串;

所述第三確定單元,還用于將所述第二最長(zhǎng)公共子串確定為第二特征;

所述第一生成單元,具有用于:

根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則。

11.根據(jù)權(quán)利要求10所述的裝置,其特征在于,

所述計(jì)算單元,還用于將所有所述第一負(fù)載數(shù)據(jù)作為第三輸入源,將所有所述第二負(fù)載數(shù)據(jù)作為第四輸入源,分別計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第三最長(zhǎng)公共子串和所有所述第二負(fù)載數(shù)據(jù)的第四最長(zhǎng)公共子串;

所述第三確定單元,還用于將所述第三最長(zhǎng)公共子串確定為第三特征,將所述第四最長(zhǎng)公共子串確定為第四特征;

所述第一生成單元,具有用于:

根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。

12.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述第二確定單元,還用于在將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng)之后,根據(jù)預(yù)先存儲(chǔ)的限定字節(jié)集合和漏洞信息的對(duì)應(yīng)關(guān)系,確定所述情報(bào)指引項(xiàng)中的漏洞信息對(duì)應(yīng)的目的限定字節(jié)集合;

所述第一生成單元,具體用于:

若所有所述第一負(fù)載數(shù)據(jù)在預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為請(qǐng)求方的第五特征,根據(jù)所述第一特征、所述第三特征和請(qǐng)求方的第五特征,生成第一流量檢測(cè)規(guī)則;否則,根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則;

若所有所述第二負(fù)載數(shù)據(jù)在所述預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為應(yīng)答方的第五特征,根據(jù)所所述第二特征、所述第四特征和應(yīng)答方的第五特征,生成第二流量檢測(cè)規(guī)則;否則,根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。

13.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述漏洞信息包括:漏洞類型、漏洞協(xié)議和漏洞位置;

所述第二確定單元,具體用于:

當(dāng)所述預(yù)設(shè)漏洞的漏洞類型為溢出overflow類型時(shí),確定所述目的限定字節(jié)集合為:不包括\x00和\x00\x00的字節(jié)集合;

當(dāng)所述預(yù)設(shè)漏洞的漏洞協(xié)議為超文本傳輸協(xié)議http時(shí),確定所述目的限定字節(jié)集合為:http頭部包括\x0D\x0A和\x0A的字節(jié)集合;

當(dāng)所述預(yù)設(shè)漏洞的漏洞位置包括統(tǒng)一資源定位標(biāo)識(shí)URI時(shí),確定所述目的限定字節(jié)集合為:URI位置包括\x26的字節(jié)集合。

14.根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述流量文件中還包括:攻擊流量中的請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口、應(yīng)用層協(xié)議;

所述裝置還包括:

第二生成單元,用于在根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方之后,從所有所述流量文件中提取請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口和應(yīng)用層協(xié)議,分別生成請(qǐng)求方和應(yīng)答方的源端口集合、目的端口集合和應(yīng)用層協(xié)議集合;

第四確定單元,用于分別判斷請(qǐng)求方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至請(qǐng)求方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;

第五確定單元,用于分別判斷應(yīng)答方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至應(yīng)答方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;

所述第三確定單元,還用于將請(qǐng)求方的報(bào)文信息確定為第六特征,將應(yīng)答方的報(bào)文信息確定為第七特征;

所述第一生成單元,具體用于:

根據(jù)所述第一特征和所述第六特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第七特征生成第二流量檢測(cè)規(guī)則。

當(dāng)前第2頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1