入侵检测规则优化方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术的实施例公开一种入侵检测规则优化方法、装置、电子设备及存储介质，涉及网络安全技术领域，能够防止来自于非标准端口的网络数据的漏检。所述入侵检测规则优化方法，包括：获取以指定端口为过滤条件的初始的入侵检测规则；确定所述初始的入侵检测规则所对应的底层应用协议；取消指定端口的过滤条件，添加底层应用协议的过滤条件，以生成优化后的入侵检测规则。本发明专利技术适用于对入侵检测规则的优化。

Intrusion Detection Rule Optimization Method, Device, Electronic Equipment and Storage Media

Embodiments of the present invention disclose an intrusion detection rule optimization method, device, electronic device and storage medium, which relates to the field of network security technology and can prevent network data from being missed from non-standard ports. The optimization method of intrusion detection rules includes: obtaining the initial intrusion detection rules with specified ports as filtering conditions; determining the underlying application protocols corresponding to the initial intrusion detection rules; canceling the filtering conditions of specified ports and adding filtering conditions of underlying application protocols to generate optimized intrusion detection. Rules of measurement. The invention is applicable to the optimization of intrusion detection rules.

【技术实现步骤摘要】
入侵检测规则优化方法、装置、电子设备及存储介质
本专利技术涉及网络安全
，尤其涉及一种入侵检测规则优化方法、装置、电子设备及存储介质。
技术介绍
在通信网络中，需要进行网络通讯的每一个程序，操作系统都要为它使用一个或若干个端口，以免发生冲突。系统默认的端口叫标准端口，程序也可以设置使用别的端口，叫非标准端口。目前，网络越来越发达，也越来越复杂，也越来越受到各种非法攻击和非法入侵，因此入侵检测系统越来越重要。网络入侵检测系统多种多样，比如：常见的是一种基于规则的特征检测系统，此类系统能够准确的检测到某些特征的攻击，但该类入侵检测系统会过度依赖于事先定义好的检测规则。当前的入侵检测系统规则多数来源于检测系统相应的网络社区，而网络社区中规则的撰写者存在水平参差不齐的情况，例如：撰写者常指定端口作为过滤条件，通过使用非标准端口进行通讯从而逃避检测。在实现本专利技术的过程中，专利技术人发现如果入侵检测规则依赖于端口作为过滤条件则很有可能会导致漏检的情况发生，从而对网络安全带来隐患。
技术实现思路
有鉴于此，本专利技术实施例提供一种入侵检测规则优化方法、装置、电子设备及存储介质，可防止或减少漏检情况的发生，提高网络数据的入侵检测的全面性。第一方面，本专利技术实施例提供一种入侵检测规则优化的方法，包括：获取以指定端口为过滤条件的初始的入侵检测规则；确定所述初始的入侵检测规则所对应的底层应用协议；取消指定端口的过滤条件，添加底层应用协议的过滤条件，以生成优化后的入侵检测规则。结合第一方面，在第一方面的第一种实施方式中，所述方法还包括：对入侵检测规则集合进行过滤，获得以指定标准端口为过滤条件的初始的入侵检测规则。结合第一方面，在第一方面的第二种实施方式中，确定所述初始的入侵检测规则所对应的底层应用协议包括：获取所述指定端口的端口关键字，根据预先建立的端口关键字与底层应用协议之间的映射关系，确定所述初始的入侵检测规则所对应的底层应用协议。结合第一方面，在第一方面的第三种实施方式中，确定所述初始的入侵检测规则所对应的底层应用协议包括：从所述初始的入侵检测规则中获取描述关键字，根据预先建立的描述关键字与底层应用协议之间的映射关系，确定所述初始的入侵检测规则所对应的底层应用协议。结合第一方面，在第一方面的第四种实施方式中，取消指定端口的过滤条件包括：将指定端口修改为任意端口。第二方面，本专利技术实施例提供入侵检测规则优化装置，包括：获取单元，用于获取以指定端口为过滤条件的初始的入侵检测规则；确定单元，用于确定所述初始的入侵检测规则所对应的底层应用协议；优化单元，用于取消指定端口过滤条件，添加底层应用协议过滤条件，以生成优化后的入侵检测规则。结合第二方面，在第二方面的第一种实施方式中，所述装置还包括过滤单元，用于对入侵检测规则集合进行过滤，获得以指定标准端口为过滤条件的初始的入侵检测规则。结合第二方面，在第二方面的第二种实施方式中，所述确定单元包括：第一获取子模块，用于获取所述指定端口的端口关键字；第一确定子模块，用于根据预先建立的端口关键字与底层应用协议之间的映射关系，确定所述初始的入侵检测规则所对应的底层应用协议。结合第二方面，在第二方面的第三种实施方式中，所述确定单元包括：第二获取子模块，用于从所述检测规则中获取描述关键字；第二确定子模块，用于根据预先建立的描述关键字与底层应用协议之间的映射关系，确定所述初始的入侵检测规则所对应的底层应用协议。结合第二方面，在第二方面的第四种实施方式中，所述优化单元，具体用于将指定端口修改为任意端口。第三方面，本专利技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施方式所述的方法。第四方面，本专利技术实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实施方式所述的方法。本专利技术实施例提供的一种入侵检测规则优化方法、装置、电子设备及存储介质，通过获得以指定端口为过滤条件的检测规则，确定检测规则所对应的底层应用协议，取消指定端口过滤条件，添加底层应用协议过滤条件，以生成优化后的入侵检测规则。这样，在利用优化后的入侵检测规则进行入侵检测时，可防止或减少对网络数据漏检的情况发生，提高了网络数据的入侵检测的全面性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为本专利技术的实施例一入侵检测规则优化方法的流程示意图；图2为本专利技术的实施例二入侵检测规则优化方法的流程示意图；图3为本专利技术的实施例三入侵检测规则优化装置的结构示意图；图4为本专利技术的实施例四入侵检测规则优化装置的结构示意图；图5为本专利技术电子设备一个实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。本实施例提供一种入侵检测规则优化方法，可防止通过指定端口作为过滤条件的规则对网络数据的漏检，提高了网络数据的入侵检测的全面性。。本实施例的应用场景可以是对网络数据包进行入侵检测的入侵检测系统，该入侵检测系统可包括了入侵检测引擎，规则优化引擎和规则库。具体来说，入侵检测引擎可以用于从规则库中获取到当前有效的入侵检测规则，根据当前有效的入侵检测规则，对来自于网路的数据包进行入侵检测。规则优化引擎用于对规则库中存储的初始的入侵检测规则进行优化，从而使得入侵检测引擎在进行入侵检测时效率提升。规则库用于存储初始的入侵检测规则和有效的入侵检测规则等。执行本专利技术实施例提供的入侵检测规则优化方法的可以是规则优化引擎。实施例一图1为本专利技术的实施例一入侵检测规则优化方法的流程示意图，参看图1，本实施例的方法，可包括：步骤101、获取以指定端口为过滤条件的初始的入侵检测规则。本实施例中，入侵检测规则用来对网络入侵进行检测。入侵检测规则可以包含规则头和规则内容。其中，规则头可以包括4个部分：规则行为、协议、源信息和目的信息。而规则内容的作用是在规则头信息的基础上进一步分析，有了它才能确认复杂的攻击。规则内容由若干个被分别隔开的片断组成，每个片断定义了一个选项和相应的选项值。一部分选项是对各种协议的详细说明，包括网际互联协议(InternetProtocol，IP)、Internet控制报文协议(InternetControlMessageProtocol，ICMP)和传输控制协议(TransmissionControlProtocol，TCP)，其余的选项是：规则触发时提供给管理员的参考信息，被搜索的关键字，规则的本文档来自技高网...

【技术保护点】
1.一种入侵检测规则优化的方法，其特征在于，包括：获取以指定端口为过滤条件的初始的入侵检测规则；确定所述初始的入侵检测规则所对应的底层应用协议；取消指定端口的过滤条件，添加底层应用协议的过滤条件，以生成优化后的入侵检测规则。

【技术特征摘要】
1.一种入侵检测规则优化的方法，其特征在于，包括：获取以指定端口为过滤条件的初始的入侵检测规则；确定所述初始的入侵检测规则所对应的底层应用协议；取消指定端口的过滤条件，添加底层应用协议的过滤条件，以生成优化后的入侵检测规则。2.根据权利要求1所述的入侵检测规则优化的方法，其特征在于，还包括：对入侵检测规则集合进行过滤，获得以指定标准端口为过滤条件的初始的入侵检测规则。3.根据权利要求1所述的入侵检测规则优化的方法，其特征在于，确定所述初始的入侵检测规则所对应的底层应用协议包括：获取所述指定端口的端口关键字，根据预先建立的端口关键字与底层应用协议之间的映射关系，确定所述初始的入侵检测规则所对应的底层应用协议。4.根据权利要求1所述的入侵检测规则优化的方法，其特征在于，确定所述初始的入侵检测规则所对应的底层应用协议包括：从所述初始的入侵检测规则中获取描述关键字，根据预先建立的描述关键字与底层应用协议之间的映射关系，确定所述初始的入侵检测规则所对应的底层应用协议。5.根据权利要求1所述的入侵检测规则优化的方法，其特征在于，取消指定端口的过滤条件包括：将指定端口修改为任意端口。6.一种入侵检测规则优化装置，其特征在于，包括：获取单元，用于获取以指定端口为过滤条件的初始的入侵检测规则；确定单元，用于确定所述初始的入侵检测规则所对应的底层应用协议；优化单元，用于取消指定端口过滤条件，添加底层应用协议过滤条件，以生成优化后的入侵检测规则。7.根据权利要求6所述...

【专利技术属性】
技术研发人员：李林哲，张浩，关墨辰，王小丰，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京,11