Embodiments of the present invention disclose an intrusion detection rule optimization method, device, electronic device and storage medium, which relates to the field of network security technology and can prevent network data from being missed from non-standard ports. The optimization method of intrusion detection rules includes: obtaining the initial intrusion detection rules with specified ports as filtering conditions; determining the underlying application protocols corresponding to the initial intrusion detection rules; canceling the filtering conditions of specified ports and adding filtering conditions of underlying application protocols to generate optimized intrusion detection. Rules of measurement. The invention is applicable to the optimization of intrusion detection rules.
【技术实现步骤摘要】
入侵检测规则优化方法、装置、电子设备及存储介质
本专利技术涉及网络安全
,尤其涉及一种入侵检测规则优化方法、装置、电子设备及存储介质。
技术介绍
在通信网络中,需要进行网络通讯的每一个程序,操作系统都要为它使用一个或若干个端口,以免发生冲突。系统默认的端口叫标准端口,程序也可以设置使用别的端口,叫非标准端口。目前,网络越来越发达,也越来越复杂,也越来越受到各种非法攻击和非法入侵,因此入侵检测系统越来越重要。网络入侵检测系统多种多样,比如:常见的是一种基于规则的特征检测系统,此类系统能够准确的检测到某些特征的攻击,但该类入侵检测系统会过度依赖于事先定义好的检测规则。当前的入侵检测系统规则多数来源于检测系统相应的网络社区,而网络社区中规则的撰写者存在水平参差不齐的情况,例如:撰写者常指定端口作为过滤条件,通过使用非标准端口进行通讯从而逃避检测。在实现本专利技术的过程中,专利技术人发现如果入侵检测规则依赖于端口作为过滤条件则很有可能会导致漏检的情况发生,从而对网络安全带来隐患。
技术实现思路
有鉴于此,本专利技术实施例提供一种入侵检测规则优化方法、装置、电子设备及存储介质,可防止或减少漏检情况的发生,提高网络数据的入侵检测的全面性。第一方面,本专利技术实施例提供一种入侵检测规则优化的方法,包括:获取以指定端口为过滤条件的初始的入侵检测规则;确定所述初始的入侵检测规则所对应的底层应用协议;取消指定端口的过滤条件,添加底层应用协议的过滤条件,以生成优化后的入侵检测规则。结合第一方面,在第一方面的第一种实施方式中,所述方法还包括:对入侵检测规则集合进行过滤,获得以指 ...
【技术保护点】
1.一种入侵检测规则优化的方法,其特征在于,包括:获取以指定端口为过滤条件的初始的入侵检测规则;确定所述初始的入侵检测规则所对应的底层应用协议;取消指定端口的过滤条件,添加底层应用协议的过滤条件,以生成优化后的入侵检测规则。
【技术特征摘要】
1.一种入侵检测规则优化的方法,其特征在于,包括:获取以指定端口为过滤条件的初始的入侵检测规则;确定所述初始的入侵检测规则所对应的底层应用协议;取消指定端口的过滤条件,添加底层应用协议的过滤条件,以生成优化后的入侵检测规则。2.根据权利要求1所述的入侵检测规则优化的方法,其特征在于,还包括:对入侵检测规则集合进行过滤,获得以指定标准端口为过滤条件的初始的入侵检测规则。3.根据权利要求1所述的入侵检测规则优化的方法,其特征在于,确定所述初始的入侵检测规则所对应的底层应用协议包括:获取所述指定端口的端口关键字,根据预先建立的端口关键字与底层应用协议之间的映射关系,确定所述初始的入侵检测规则所对应的底层应用协议。4.根据权利要求1所述的入侵检测规则优化的方法,其特征在于,确定所述初始的入侵检测规则所对应的底层应用协议包括:从所述初始的入侵检测规则中获取描述关键字,根据预先建立的描述关键字与底层应用协议之间的映射关系,确定所述初始的入侵检测规则所对应的底层应用协议。5.根据权利要求1所述的入侵检测规则优化的方法,其特征在于,取消指定端口的过滤条件包括:将指定端口修改为任意端口。6.一种入侵检测规则优化装置,其特征在于,包括:获取单元,用于获取以指定端口为过滤条件的初始的入侵检测规则;确定单元,用于确定所述初始的入侵检测规则所对应的底层应用协议;优化单元,用于取消指定端口过滤条件,添加底层应用协议过滤条件,以生成优化后的入侵检测规则。7.根据权利要求6所述...
【专利技术属性】
技术研发人员:李林哲,张浩,关墨辰,王小丰,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。