1.一種流量檢測(cè)規(guī)則的生成方法,其特征在于,應(yīng)用于電子設(shè)備,所述方法包括:
獲取針對(duì)預(yù)設(shè)漏洞的至少兩條攻擊流量的流量文件;所述流量文件至少包括攻擊流量中的負(fù)載數(shù)據(jù);
根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方;
將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng);
從所有所述流量文件中提取所有請(qǐng)求方的第一負(fù)載數(shù)據(jù);
將所有所述第一負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第一輸入源,計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第一最長(zhǎng)公共子串;
將所述第一最長(zhǎng)公共子串確定為第一特征;
根據(jù)所述第一特征,生成第一流量檢測(cè)規(guī)則。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方,包括:
對(duì)于每一攻擊流量,當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為傳輸控制協(xié)議TCP時(shí),確定發(fā)送第一個(gè)握手報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方;當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為用戶數(shù)據(jù)報(bào)協(xié)議UDP時(shí),確定發(fā)送第一個(gè)報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,在將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng)之后,所述方法還包括:
從所有所述流量文件中提取所有應(yīng)答方的第二負(fù)載數(shù)據(jù);
將所有所述第二負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第二輸入源,計(jì)算得到所有所述第二負(fù)載數(shù)據(jù)的第二最長(zhǎng)公共子串;
將所述第二最長(zhǎng)公共子串確定為第二特征;
所述根據(jù)所述第一特征,生成第一流量檢測(cè)規(guī)則,包括:
根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,在從所有所述流量文件中提取所有請(qǐng)求方的第一負(fù)載數(shù)據(jù)和所有應(yīng)答方的第二負(fù)載數(shù)據(jù)之后,所述方法還包括:
將所有所述第一負(fù)載數(shù)據(jù)作為第三輸入源,將所有所述第二負(fù)載數(shù)據(jù)作為第四輸入源,分別計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第三最長(zhǎng)公共子串和所有所述第二負(fù)載數(shù)據(jù)的第四最長(zhǎng)公共子串;
將所述第三最長(zhǎng)公共子串確定為第三特征,將所述第四最長(zhǎng)公共子串確定為第四特征;
所述根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則,為:
根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng)之后,所述方法還包括:
根據(jù)預(yù)先存儲(chǔ)的限定字節(jié)集合和漏洞信息的對(duì)應(yīng)關(guān)系,確定所述情報(bào)指引項(xiàng)中的漏洞信息對(duì)應(yīng)的目的限定字節(jié)集合;
所述根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則,包括:
若所有所述第一負(fù)載數(shù)據(jù)在預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為請(qǐng)求方的第五特征,根據(jù)所述第一特征、所述第三特征和請(qǐng)求方的第五特征,生成第一流量檢測(cè)規(guī)則;否則,根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則;
若所有所述第二負(fù)載數(shù)據(jù)在所述預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為應(yīng)答方的第五特征,根據(jù)所所述第二特征、所述第四特征和應(yīng)答方的第五特征,生成第二流量檢測(cè)規(guī)則;否則,根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述漏洞信息包括:漏洞類型、漏洞協(xié)議和漏洞位置;
所述根據(jù)預(yù)先存儲(chǔ)的限定字節(jié)集合和漏洞信息的對(duì)應(yīng)關(guān)系,確定所述情報(bào)指引項(xiàng)中的漏洞信息對(duì)應(yīng)的目的限定字節(jié)集合,包括:
當(dāng)所述預(yù)設(shè)漏洞的漏洞類型為溢出overflow類型時(shí),確定所述目的限定字節(jié)集合為:不包括\x00和\x00\x00的字節(jié)集合;
當(dāng)所述預(yù)設(shè)漏洞的漏洞協(xié)議為超文本傳輸協(xié)議http時(shí),確定所述目的限定字節(jié)集合為:http頭部包括\x0D\x0A和\x0A的字節(jié)集合;
當(dāng)所述預(yù)設(shè)漏洞的漏洞位置包括統(tǒng)一資源定位標(biāo)識(shí)URI時(shí),確定所述目的限定字節(jié)集合為:URI位置包括\x26的字節(jié)集合。
7.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述流量文件中還包括:攻擊流量中的請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口、應(yīng)用層協(xié)議;
在根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方之后,所述方法還包括:
從所有所述流量文件中提取請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口和應(yīng)用層協(xié)議,分別生成請(qǐng)求方和應(yīng)答方的源端口集合、目的端口集合和應(yīng)用層協(xié)議集合;
分別判斷請(qǐng)求方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至請(qǐng)求方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;
分別判斷應(yīng)答方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至應(yīng)答方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;
將請(qǐng)求方的報(bào)文信息確定為第六特征,將應(yīng)答方的報(bào)文信息確定為第七特征;
所述根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則,包括:
根據(jù)所述第一特征和所述第六特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第七特征生成第二流量檢測(cè)規(guī)則。
8.一種流量檢測(cè)規(guī)則的生成裝置,其特征在于,應(yīng)用于電子設(shè)備,所述裝置包括:
獲取單元,用于獲取針對(duì)預(yù)設(shè)漏洞的至少兩條攻擊流量的流量文件;所述流量文件至少包括攻擊流量中的負(fù)載數(shù)據(jù);
第一確定單元,用于根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方;
第二確定單元,用于將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng);
提取單元,用于從所有所述流量文件中提取所有請(qǐng)求方的第一負(fù)載數(shù)據(jù);
計(jì)算單元,用于將所有所述第一負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第一輸入源,計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第一最長(zhǎng)公共子串;
第三確定單元,用于將所述第一最長(zhǎng)公共子串確定為第一特征;
第一生成單元,用于根據(jù)所述第一特征,生成第一流量檢測(cè)規(guī)則。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述第一確定單元,具體用于:
對(duì)于每一攻擊流量,當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為傳輸控制協(xié)議TCP時(shí),確定發(fā)送第一個(gè)握手報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方;當(dāng)該攻擊流量對(duì)應(yīng)的協(xié)議為用戶數(shù)據(jù)報(bào)協(xié)議UDP時(shí),確定發(fā)送第一個(gè)報(bào)文的一方為請(qǐng)求方,另一方為應(yīng)答方。
10.根據(jù)權(quán)利要求8所述的裝置,其特征在于,
所述提取單元,還用于從所有所述流量文件中提取所有應(yīng)答方的第二負(fù)載數(shù)據(jù);
所述計(jì)算單元,還用于將所有所述第二負(fù)載數(shù)據(jù)和所述情報(bào)指引項(xiàng)作為第二輸入源,計(jì)算得到所有所述第二負(fù)載數(shù)據(jù)的第二最長(zhǎng)公共子串;
所述第三確定單元,還用于將所述第二最長(zhǎng)公共子串確定為第二特征;
所述第一生成單元,具有用于:
根據(jù)所述第一特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征生成第二流量檢測(cè)規(guī)則。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于,
所述計(jì)算單元,還用于將所有所述第一負(fù)載數(shù)據(jù)作為第三輸入源,將所有所述第二負(fù)載數(shù)據(jù)作為第四輸入源,分別計(jì)算得到所有所述第一負(fù)載數(shù)據(jù)的第三最長(zhǎng)公共子串和所有所述第二負(fù)載數(shù)據(jù)的第四最長(zhǎng)公共子串;
所述第三確定單元,還用于將所述第三最長(zhǎng)公共子串確定為第三特征,將所述第四最長(zhǎng)公共子串確定為第四特征;
所述第一生成單元,具有用于:
根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述第二確定單元,還用于在將所述預(yù)設(shè)漏洞的漏洞信息確定為情報(bào)指引項(xiàng)之后,根據(jù)預(yù)先存儲(chǔ)的限定字節(jié)集合和漏洞信息的對(duì)應(yīng)關(guān)系,確定所述情報(bào)指引項(xiàng)中的漏洞信息對(duì)應(yīng)的目的限定字節(jié)集合;
所述第一生成單元,具體用于:
若所有所述第一負(fù)載數(shù)據(jù)在預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為請(qǐng)求方的第五特征,根據(jù)所述第一特征、所述第三特征和請(qǐng)求方的第五特征,生成第一流量檢測(cè)規(guī)則;否則,根據(jù)所述第一特征和所述第三特征生成第一流量檢測(cè)規(guī)則;
若所有所述第二負(fù)載數(shù)據(jù)在所述預(yù)設(shè)位置處的負(fù)載數(shù)據(jù)都與所述目的限定字節(jié)集合匹配,將所述目的限定字節(jié)集合確定為應(yīng)答方的第五特征,根據(jù)所所述第二特征、所述第四特征和應(yīng)答方的第五特征,生成第二流量檢測(cè)規(guī)則;否則,根據(jù)所述第二特征和所述第四特征生成第二流量檢測(cè)規(guī)則。
13.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述漏洞信息包括:漏洞類型、漏洞協(xié)議和漏洞位置;
所述第二確定單元,具體用于:
當(dāng)所述預(yù)設(shè)漏洞的漏洞類型為溢出overflow類型時(shí),確定所述目的限定字節(jié)集合為:不包括\x00和\x00\x00的字節(jié)集合;
當(dāng)所述預(yù)設(shè)漏洞的漏洞協(xié)議為超文本傳輸協(xié)議http時(shí),確定所述目的限定字節(jié)集合為:http頭部包括\x0D\x0A和\x0A的字節(jié)集合;
當(dāng)所述預(yù)設(shè)漏洞的漏洞位置包括統(tǒng)一資源定位標(biāo)識(shí)URI時(shí),確定所述目的限定字節(jié)集合為:URI位置包括\x26的字節(jié)集合。
14.根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述流量文件中還包括:攻擊流量中的請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口、應(yīng)用層協(xié)議;
所述裝置還包括:
第二生成單元,用于在根據(jù)所述攻擊流量的協(xié)議類型,確定每一攻擊流量的請(qǐng)求方和應(yīng)答方之后,從所有所述流量文件中提取請(qǐng)求方和應(yīng)答方發(fā)送的報(bào)文的源端口、目的端口和應(yīng)用層協(xié)議,分別生成請(qǐng)求方和應(yīng)答方的源端口集合、目的端口集合和應(yīng)用層協(xié)議集合;
第四確定單元,用于分別判斷請(qǐng)求方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至請(qǐng)求方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;
第五確定單元,用于分別判斷應(yīng)答方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和應(yīng)用層協(xié)議集合中所有的應(yīng)用層協(xié)議是否相同;如果有集合中的所有信息都相同的,將所有信息都相同的集合中的信息添加至應(yīng)答方的報(bào)文信息中;如果有集合中的所有信息不都相同的,將所有信息不都相同的集合刪除;
所述第三確定單元,還用于將請(qǐng)求方的報(bào)文信息確定為第六特征,將應(yīng)答方的報(bào)文信息確定為第七特征;
所述第一生成單元,具體用于:
根據(jù)所述第一特征和所述第六特征生成第一流量檢測(cè)規(guī)則,并根據(jù)所述第二特征和所述第七特征生成第二流量檢測(cè)規(guī)則。