[发明专利]基于规则特征的全流量入侵检测方法、装置、设备及介质在审
| 申请号: | 202210483399.8 | 申请日: | 2022-04-28 |
| 公开(公告)号: | CN114826753A | 公开(公告)日: | 2022-07-29 |
| 发明(设计)人: | 柯明明 | 申请(专利权)人: | 武汉思普崚技术有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L41/0631 |
| 代理公司: | 武汉智嘉联合知识产权代理事务所(普通合伙) 42231 | 代理人: | 张璐 |
| 地址: | 430074 湖北省武汉市东湖新技术开发区光谷大道3*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 规则 特征 流量 入侵 检测 方法 装置 设备 介质 | ||
1.一种基于规则特征的全流量入侵检测方法,其特征在于,包括:
获取网络流量,并对所述网络流量进行预处理,获得流量元数据;
获取规则文件,并对所述规则文件进行解析,获得多个特征组;
获取所述规则文件的特征信息,并根据所述特征信息将所述多个特征组划分为预过滤规则组和非预过滤规则组;
基于第一匹配方式对所述流量元数据和所述非预过滤规则组进行匹配,获得第一匹配结果,并根据所述第一匹配结果生成告警数据;
基于第二匹配方式对所述流量元数据和所述预过滤规则组进行匹配,获得第二匹配结果,并根据所述第二匹配结果生成告警数据。
2.根据权利要求1所述的基于规则特征的全流量入侵检测方法,其特征在于,所述第一匹配方式为五元组匹配;所述基于第一匹配方式对所述流量元数据和所述非预过滤规则组进行匹配,获得第一匹配结果,并根据所述第一匹配结果生成告警数据,包括:
获取所述流量元数据的五元组;
将所述五元组和所述非预过滤规则组进行哈希匹配,获得第一匹配结果;
当所述第一匹配结果为成功时,生成所述告警数据。
3.根据权利要求1所述的基于规则特征的全流量入侵检测方法,其特征在于,所述第二匹配方式为多模匹配;所述基于第二匹配方式对所述流量元数据和所述预过滤规则组进行匹配,获得第二匹配结果,并根据所述第二匹配结果生成告警数据,包括:
基于所述多模匹配对所述流量元数据和所述预过滤规则组进行匹配,获得第二匹配结果;
当所述第二匹配结果为成功时,根据所述流量元数据生成候选者列表;
基于第三匹配方式对所述候选者列表和所述预过滤规则组进行匹配,获得第三匹配结果,并根据所述第三匹配结果生成告警数据。
4.根据权利要求3所述的基于规则特征的全流量入侵检测方法,其特征在于,所述第三匹配方式为单模匹配;所述基于第三匹配方式对所述候选者列表和所述预过滤规则组进行匹配,获得第三匹配结果,并根据所述第三匹配结果生成告警数据,包括:
基于所述单模匹配对所述候选者列表和所述预过滤规则组进行匹配,获得第三匹配结果;
当所述第三匹配结果为成功时,生成所述告警数据。
5.根据权利要求1所述的基于规则特征的全流量入侵检测方法,其特征在于,所述对所述规则文件进行解析,获得多个特征组,包括:
对所述规则文件进行解析,获得多个解析规则;
对所述多个解析规则进行类型设定;
对所述多个解析规则进行去重处理,获得多个目标规则,并根据所述多个目标规则构建特征列表;
对所述特征列表中的所述多个目标规则进行归并处理,获得所述多个特征组。
6.根据权利要求5所述的基于规则特征的全流量入侵检测方法,其特征在于,所述对所述特征列表中的所述多个目标规则进行归并处理,获得所述多个特征组,包括:
根据所述多个目标规则的端口、协议或流状态对所述特征列表中的所述多个目标规则进行归并处理,获得所述多个特征组。
7.根据权利要求5所述的基于规则特征的全流量入侵检测方法,其特征在于,在所述对所述多个解析规则进行去重处理,获得多个目标规则,并根据所述多个目标规则构建特征列表之后,还包括:
基于预设的排序规则对所述特征列表中的多个目标规则进行排序。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉思普崚技术有限公司,未经武汉思普崚技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210483399.8/1.html,转载请声明来源钻瓜专利网。
