一种流量检测规则的生成方法及装置制造方法及图纸

本发明专利技术实施例提供了一种流量检测规则的生成方法及装置，应用于电子设备，该方法包括：获取针对预设漏洞的至少两条攻击流量的流量文件，该流量文件包括攻击流量中的负载数据；确定每一攻击流量的请求方和应答方；从所有流量文件中提取所有请求方的第一负载数据；将所有第一负载数据作为第一输入源，计算得到所有第一负载数据的第一最长公共子序列；将第一最长公共子序列合并为第一字节串；将第一字节串分别与各个第一负载数据作为第二输入源，计算得到所有第一负载数据的第一最长公共子序列集合；将第一最长公共子序列集合确定为第一特征；根据第一特征，生成第一流量检测规则。应用本发明专利技术实施例，减少了流量检测规则生成耗费的时间。

【技术实现步骤摘要】

本专利技术涉及互联网
，特别是涉及一种流量检测规则的生成方法及装置。
技术介绍
随着互联网技术的普及，各种网络应用层出不穷，安全威胁和网络滥用也随之与日俱增，这对快速、可靠地识别出各种流量提出了要求。目前，一般采用DPI(DeepPacketInspection，深层数据包检测技术)对流量进行检测，深层数据包检测技术检测流量的规则由以下方式生成：人工对攻击流量的负载进行特征提取，将提取到的特征输入检测引擎中，检测引擎依据自身规则语法，由提取的特征生成流量检测规则。根据上述方法生成流量检测规则时，提取到的特征越多，流量检测结果越准确，为了提高检测结果的准确度，需要人工提取大量的特征，这使得流量检测规则的生成耗费大量的时间。
技术实现思路
本专利技术实施例的目的在于提供一种流量检测规则的生成方法及装置，以减少流量检测规则生成耗费的时间。具体技术方案如下：一方面，本专利技术实施例公开了一种流量检测规则的生成方法，应用于电子设备，所述方法包括：获取针对预设漏洞的至少两条攻击流量的流量文件；所述流量文件至少包括攻击流量中的负载数据；根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方；从所有所述流量文件中提取所有请求方的第一负载数据；将所有所述第一负载数据作为第一输入源，计算得到所有所述第一负载数据的第一最长公共子序列；将所述第一最长公共子序列合并为第一字节串；将所述第一字节串分别与各个所述第一负载数据作为第二输入源，计算得到所有所述第一负载数据的第一最长公共子序列集合；将所述第一最长公共子序列集合确定为第一特征；根据所述第一特征，生成第一流量检测规则。另一方面，本专利技术实施例还公开了一种流量检测规则的生成装置，应用于电子设备，所述装置包括：获取单元，用于获取针对预设漏洞的至少两条攻击流量的流量文件；所述流量文件至少包括攻击流量中的负载数据；第一确定单元，用于根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方；提取单元，用于从所有所述流量文件中提取所有请求方的第一负载数据；第一计算单元，用于将所有所述第一负载数据作为第一输入源，计算得到所有所述第一负载数据的第一最长公共子序列；合并单元，用于将所述第一最长公共子序列合并为第一字节串；第二计算单元，用于将所述第一字节串分别与各个所述第一负载数据作为第二输入源，计算得到所有所述第一负载数据的第一最长公共子序列集合；第二确定单元，用于将所述第一最长公共子序列集合确定为第一特征；第一生成单元，用于根据所述第一特征，生成第一流量检测规则。本专利技术实施例提供了一种流量检测规则的生成方法及装置，电子设备获取针对预设漏洞的至少两条攻击流量的流量文件，该流量文件包括攻击流量中的负载数据，根据攻击流量的协议类型，确定每一攻击流量的请求方和应答方，从所有流量文件中提取所有请求方的第一负载数据；将所有第一负载数据作为第一输入源，计算得到第一负载数据的第一最长公共子序列；将第一最长公共子序列合并为第一字节串，将第一字节串分别与各个第一负载数据作为第二输入源，计算得到第一负载数据的第一最长公共子序列集合；将第一最长公共子序列集合确定为第一特征；根据第一特征，生成第一流量检测规则。可见，本专利技术实施例中，生成流量检测规则时，特征的提取无需人工参与，而是由电子设备提取特征，减少了流量检测规则生成耗费的时间。当然，实施本专利技术的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种流量检测规则的生成方法的一种流程示意图；图2为本专利技术实施例提供的一种流量检测规则的生成方法的另一种流程示意图；图3为基于图2所示实施例的一种流量检测规则的生成方法的部分流程示意图；图4为本专利技术实施例提供的一种流量检测规则的生成装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。下面通过具体实施例，对本专利技术进行详细说明。参考图1，图1本专利技术实施例提供的一种流量检测规则的生成方法的一种流程示意图，应用于电子设备，该方法包括：S101：获取针对预设漏洞的至少两条攻击流量的流量文件；所述流量文件至少包括攻击流量中的负载数据；上述预设漏洞为已知漏洞，流量文件可以为pcap文件。当需要生成针对某一已知漏洞的攻击流量的流量检测规则时，可以将该已知漏洞确定为预设漏洞，多次运行该预设漏洞的利用程序，获得至少两条攻击流量，进而生成pcap文件。现有技术中，在获取到攻击流量后，可以默认的生成pcap文件，此处不再赘述。当然，针对预设漏洞的攻击流量可能已经事先获得了，也就是，已经事先生成了针对预设漏洞的至少两条攻击流量的pcap文件，此时，用户可以直接对已获得的攻击流量的pcap文件进行分类，获得至少两条攻击流量的pcap文件就可以了。另外，为了保证生成的流量检测规则合理可靠，获得的至少两条攻击流量的流量文件可以为不同时间的攻击流量的流量文件。S102：根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方；为了便于分析攻击流量中的负载数据，需要确定每一攻击流量的请求方和应答方。一般的，对于每一攻击流量，当该攻击流量对应的协议为TCP(TransmissionControlProtocol，传输控制协议)时，可以确定该攻击流量中发送第一个握手报文的一方为请求方，另一方为应答方；当该攻击流量对应的协议为UDP(UserDatagramProtocol，用户数据报协议)时，确定该攻击流量中发送第一个报文的一方为请求方，另一方为应答方。S103：从所有所述流量文件中提取所有请求方的第一负载数据；S104：将所有所述第一负载数据作为第一输入源，计算得到所有所述第一负载数据的第一最长公共子序列；S105：将所述第一最长公共子序列合并为第一字节串；这里，字节串为连续的字节，最长公共子序列为：一个数列，如果字节串分别是两个或多个已知序列的连续子字节串，所有子字节串组成一个数列，且所有符合此条件的数列中最长的，称为已知序列的最长公共子串。例如，当前有3个已知序列，分别为：ABCED、ABFCDH、ABGCFD；其中，这3个已知序列的连续子字节串有：AB、C、D，这些连续子字节串组成一个数列AB、C、D，可以确定这3个已知序列的最长公共子序列为[AB，C，D]，合并最长公共子序列，得到字节串为ABCD。需要说明的是，最长公共子序列的求解过程与现有技术相同，此处不再赘述。另外，第一最长公共子序列为请求方的负载数据的共同特征。例如，当前有3个流量文件，分别为1.pcap、2.pcap和3.pcap，从这3个流量文件提取出请求方的第一负载数据有：req_data.1、req_data.2和req_data.3，将req_da本文档来自技高网...

【技术保护点】
一种流量检测规则的生成方法，其特征在于，应用于电子设备，所述方法包括：获取针对预设漏洞的至少两条攻击流量的流量文件；所述流量文件至少包括攻击流量中的负载数据；根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方；从所有所述流量文件中提取所有请求方的第一负载数据；将所有所述第一负载数据作为第一输入源，计算得到所有所述第一负载数据的第一最长公共子序列；将所述第一最长公共子序列合并为第一字节串；将所述第一字节串分别与各个所述第一负载数据作为第二输入源，计算得到所有所述第一负载数据的第一最长公共子序列集合；将所述第一最长公共子序列集合确定为第一特征；根据所述第一特征，生成第一流量检测规则。

【技术特征摘要】
1.一种流量检测规则的生成方法，其特征在于，应用于电子设备，所述方法包括：获取针对预设漏洞的至少两条攻击流量的流量文件；所述流量文件至少包括攻击流量中的负载数据；根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方；从所有所述流量文件中提取所有请求方的第一负载数据；将所有所述第一负载数据作为第一输入源，计算得到所有所述第一负载数据的第一最长公共子序列；将所述第一最长公共子序列合并为第一字节串；将所述第一字节串分别与各个所述第一负载数据作为第二输入源，计算得到所有所述第一负载数据的第一最长公共子序列集合；将所述第一最长公共子序列集合确定为第一特征；根据所述第一特征，生成第一流量检测规则。2.根据权利要求1所述的方法，其特征在于，所述获取针对预设漏洞的至少两条攻击流量的流量文件，包括：运行预设漏洞的利用程序，获取至少两条攻击流量；生成针对每一攻击流量的流量文件。3.根据权利要求1或2所述的方法，其特征在于，所述根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方，包括：对于每一攻击流量，当该攻击流量对应的协议为传输控制协议TCP时，确定发送第一个握手报文的一方为请求方，另一方为应答方；当该攻击流量对应的协议为用户数据报协议UDP时，确定发送第一个报文的一方为请求方，另一方为应答方。4.根据权利要求1所述的方法，其特征在于，在根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方之后，所述方法还包括：从所有所述流量文件中提取所有应答方的第二负载数据；将所有所述第二负载数据作为第三输入源，计算得到所有所述第二负载数据的第二最长公共子序列；将所述第二最长公共子序列合并为第二字节串；将所述第二字节串分别与各个所述第二负载数据作为第四输入源，计算得到所有所述第二负载数据的第二最长公共子序列集合；将所述第二最长公共子序列集合确定为第二特征；所述根据所述第一特征，生成第一流量检测规则，包括：根据所述第一特征生成第一流量检测规则，并根据所述第二特征生成二流量检测规则。5.根据权利要求4所述的方法，其特征在于，所述将所述第一最长公共子序列集合确定为第一特征，包括：去除所述第一最长公共子序列集合中不能在所有所述第一负载数据中查找到的元素，以及所述第一最长公共子序列集合中长度不在预设范围内的元素，确定最终第一最长公共子序列集合，将所述最终第一最长公共子序列集合确定为第一特征；所述将所述第二最长公共子序列集合确定为第二特征，包括：去除所述第二最长公共子序列集合中不能在所有所述第二负载数据中查找到的元素，以及所述第二最长公共子序列集合中长度不在预设范围内的元素，确定最终第二最长公共子序列集合，将所述最终第二最长公共子序列集合确定为第二特征。6.根据权利要求4所述的方法，其特征在于，所述流量文件中还包括：攻击流量中的请求方和应答方发送的报文的源端口、目的端口、应用层协议；在根据所述攻击流量的协议类型，确定每一攻击流量的请求方和应答方之后，所述方法还包括：从所有所述流量文件中提取请求方和应答方发送的报文的源端口、目的端口和应用层协议，分别生成请求方和应答方的源端口集合、目的端口集合和应用层协议集合；分别判断请求方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和应用层协议集合中所有的应用层协议是否相同；如果有集合中的所有信息都相同的，将所有信息都相同的集合中的信息添加至请求方的报文信息中；如果有集合中的所有信息不都相同的，将所有信息不都相同的集合删除；分别判断应答方的源端口集合中所有的源端口、目的端口集合中所有的目的端口和应用层协议集合中所有的应用层协议是否相同；如果有集合中的所有信息都相同的，将所有信息都相同的集合中的信息添加至应答方的报文信息中；如果有集合中的所有信息不都相同的，将所有信息不都相同的集合删除；将请求方的报文信息确定为第三特征，将应答方的报文信息确定为第四特征；所述根据所述第一特征生成第一流量检测规则，并根据所述第二特征生成第二流量检测规则，包括：根据所述第一特征和所述第三特征生成第一流量检测规则，并根据所述第二特征和所述第四特征生成第二流量检测规则。7....

【专利技术属性】
技术研发人员：任方英，张惊申，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33