一种检测规则优化配置方法及设备与流程

本发明涉及检测规则配置领域，尤其是涉及一种检测规则优化配置方法及设备。

背景技术：
随着电脑的广泛应用和网络的不断普及，来自网络内部和外部的威胁越来越多。为保护系统的安全，需要对网络进行威胁检测。其中协议内容检测是威胁检测的一种。以IPS设备为例，现有的协议内容检测主要采用模式匹配来进行，即对应不同的协议配置有不同的检测规则。在IPS设备中提供了自定义规则的功能，通过用户自行添加、开启或关闭某些检测规则来进行检测。但现有的协议类型有上千种，其具体的协议种类更是数以万计。要准确的配置检测规则需要由丰富的经验，而且需要消耗大量时间。现在大多数的用户都是采用直接开启全部协议检测规则的方式进行检测。在IPS威胁检测中，其绝大部分的性能消耗在协议内容检测部分，因此，采用现有的直接开启协议检测规则的方式，会对网络中不会出现的协议威胁也会检测，导致IPS消耗了很多不必要的资源，降低了IPS检测的效率和性能。

技术实现要素：
本发明提供了一种检测规则优化配置方法及设备，通过学习现网中的流量，识别出现网中使用的协议相关信息，并根据协议相关信息生成精简规则集，使得之后的协议检测只针对现网中可能出现的协议威胁进行，因此，减少了之后需要检测的内容，提高了检测的效率，同时避免了不必要的性能消耗。本发明提供了一种检测规则优化配置方法，所述方法包括：接收网络流量；提取所述网络流量中的报文，并根据所述报文的特征识别所述网络中使用的协议相关信息；保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表；根据所述相关协议信息，从漏洞规则库中匹配出对应规则项，生成第一精简规则集。可选的，所述方法还包括：依据所述第一精简规则集进行协议威胁检测。可选的，所述方法还包括：将所述第一精简规则集和所述第一学习关联表发送至用户；当所述用户确认所述第一精简规则集时，下发所述第一精简规则集至所述设备。可选的，所述方法还包括：当所述用户更改所述相关协议信息时，保存所述更改后的相关协议信息至第二学习关联表；根据所述第二学习关联表，从漏洞规则库中匹配出对应规则项，生成第二精简规则集。可选的，所述方法还包括：设置学习范围；所述提取所述网络流量中的报文包括；提取所述学习范围内的流量中的报文。可选的，所述方法还包括：设置有效流量数值范围；所述提取所述网络流量中的报文包括：。提取所述网络流量中在所述有效流量数值范围内的流量的报文。本发明还提供了一种优化配置检测规则的设备，所述设备包括：流量接收单元，用于接收网络流量；提取单元，用于提取所述网络流量中的报文；信息识别单元，用于根据所述报文的特征识别所述网络中使用的协议相关信息；第一保存单元，用于保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表；第一精简规则集单元，用于根据所述相关协议信息，从漏洞规则库中匹配出对应规则项，生成第一精简规则集。可选的，所述设备还包括：检测单元，用于依据所述第一精简规则集对协议进行检测。可选的，所述设备还包括：发送单元，用于将所述第一精简规则集和所述第一学习关联表发送至用户；接收单元，用于当所述用户确认所述第一精简规则集时，接收所述用户下发的所述第一精简规则集。可选的，所述设备还包括：第二保存单元，用于当所述用户更改所述相关协议信息时，保存所述更改后的相关协议信息至第二学习关联表；所述精简规则集单元，还用于根据所述第二学习关联表，从漏洞规则库中匹配出对应的规则项，生成第二精简规则集。可选的，所述设备还包括：第一设置单元，用于设置学习范围；所述提取单元，还用于提取所述学习范围内的流量的报文。可选的，所述设备还包括：第二设置单元，用于设置有效流量数值范围；所述提取单元，还用于提取所述网络流量中在所述有效流量数值范围内的流量的报文。与现有技术相比，本发明具有如下有益效果：本发明提供的方法通过对现网中的流量进行学习识别，获得现网中使用的协议信息，并根据协议信息从漏洞规则库中筛选检测规则，使得生成的精简规则集与现网中使用的协议相对应。应用该精简规则集进行检测时，只需对现网中使用的协议进行检测。解决了现有技术中，用户选择全部检测规则，从而在检测时需要对全部协议进行检测的问题，提高了检测效率，同时避免了不必要的性能消耗。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明方法实施例1流程图；图2是本发明实施例中流量学习前第一学习关联表示意图；图3是本发明实施例中流量学习后第一学习关联表示意图；图4是本发明设备结构图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。参见图1，本发明实施例1提供了一种检测规则优化配置方法，其特征在于，所述方法包括：S11、接收网络流量。以IPS设备为例，其协议检测采用模式匹配的方式。即对应不同的协议有不同的检测规则。我们知道不同的协议有不同的漏洞，其威胁来源于对这些漏洞的攻击。因此在对一项协议检测时，只需要匹配相应的漏洞检测规则即可。因此，为正确匹配漏洞检测规则，需要首先知道现网中使用的协议类型。具体的，可以在IPS设备接入网络的前期，对现实网络的流量进行学习。S12、提取所述网络流量中的报文，并根据所述报文的特征识别所述网络中使用的协议相关信息。其中协议相关信息具体的包括协议名称，应用协议名称即应用类型，端口号，服务器软件名称和服务器软件版本等信息中的一项或多项的组合。为使报文正确的传送，会在报文中设置与传送该报文的协议相关的信息。因此，可以提取学习过程中获得的流量中的报文，对其进行特征识别，获得相关的协议信息。具体的可以根据报文的特征识别出协议名称和应用类型。进一步的通过对应用类型做深入分析获得端口号、服务器软件名称和服务器软件版本信息。这些协议信息是与之后提到的漏洞规则库的存储信息相关的。其具体关系将在之后的内容中描述。S13、保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表。获得的相关协议信息在存储时，与同一流量对应的信息是关联存储的。比如对一流量进行识别，得到其协议为TCP，其应用协议为HTTP，其端口为80，其服务器软件名称为ApacheHTTPD，服务器软件版本为2.2.3。那么在第一学习关联表中不仅要存储上述信息，还要存储上述信息间的对应关系。用户一般只在一定的网络范围内进行数据的传输。因此，不会用到所述网络范围外的协议，也就无需对所述网络范围外使用的协议类型进行检测。为此，在本发明的实施例2中，可预先设置学习范围，以对指定的流量进行学习。此时，只需要提取学习范围内的流量的报文进行识别，并将得到的相关协议信息保存在第一学习关联表中。具体的，可以设置要学习的网段或IP地址。具体实施时，可以采用设置多个选项供用户选择的方式，也可以采用由用户自行输入的方式。当用户未选择选项或未输入时，可设置对全网流量进行学习。S14、根据所述相关协议信息，从漏洞规则库中匹配出对应规则项，生成第一精简规则集。漏洞规则库是一种系统安全评估工具。其中存储有各种协议对应的漏洞规则。如在一漏洞规则库中存储有：[邮件服务]SendMail7.0漏洞规则300条；[邮件服务]SendMail8.0漏洞规则200条；[邮件服务]ExchangeServer2007漏洞规则500条；[邮件服务]ExchangeServer2010漏洞规则300条；[FTP服务]ProFTP1.2.0漏洞规则1000条；[FTP服务]ProFTP1.3.0漏洞规则500条。从以上描述可以看出，在漏洞规则库中，漏洞规则即检测规则是对应应用协议，应用服务器软件名称和应用服务器软件版本等协议信息设置的。因此，根据识别出的协议信息就可以获得相应的漏洞规则。比如识别出的协议信息是：应用协议为FTP，应用服务器软件名称为ProFTP，版本为1.2.0。那么对应的检测规则就有1000条。当识别出多组协议信息时，从漏洞规则库中获取对应的检测规则进行综合，就形成了第一精简规则集。在某些情况下，用户只希望保护和检测一定数值范围内的流量比如较大的流量，而不关注其它的流量。因此，在本发明的实施例3中，所述的方法还包括：设置有效流量数值范围。比如设置该范围为5％-80％。有时用户希望保护的流量在几个不连续的范围内时，可以设置多个范围，比如5％-30％，45％-90％。因为在具体的应用中，较小的流量是用户所不关注的。因此，可以通过设置阈值的方式来设定检测的范围。比如设定5％，那么低于5％的流量就是用户所不关注，也不希望保护的范围。因此，用户可只提取网络流量中在有效流量数值范围内的流量的报文，并进行识别获得对应的协议信息后保存。在本发明中，有时对流量的识别在对流量的数值统计之前，即在还不能获知流量大小之前，就已经通过对报文特征的识别获得了相应的协议信息。此时，需要先将所有识别出的相应协议信息保存在第一学习关联表中，并将之后统计的流量大小也对应保存在第一学习关联表中。之后，根据设置的有效流量数值范围，将第一学习关联表中在设置的有效数值范围之外的流量及对应的协议信息删除，生成新的学习关联表。并根据新的学习关联表，从漏洞规则库中筛选规则项，生成精简规则集。本发明实施例2和实施例3实质是对流量在网络地址范围和大小范围的设置。两种设置方式可以分别进行，也可以同时进行。生成的精简规则集可以直接应用到设备中。用户可通过日志信息查看具体的优化配置记录。为确保准确，在本发明的实施例4中，可以先发送至用户处，由用户最终确认，具体过程如下：将所述第一精简规则集和所述第一学习关联表发送至用户。具体的，用户可通过对第一学习关联表中的信息进行查看，来获知设备学习的结果是否和实际网络环境一致。为使结果更精确，可在设备学习阶段将获取的流量数值信息同时保存在第一学习关联表中。需要说明的是，在设置了学习范围和有效流量数值范围的情况下，用户在对信息进行查看时，只对设置范围内的信息进行检验即可。当所述用户确认所述第一精简规则集时，下发所述第一精简规则集至所述设备。当学习结果即第一学习关联表中的信息与实际网络环境一致时，用户发出确认信息，将第一精简规则集下发到所述设备中。当用户经查看，认为学习关联表中的信息与实际网络环境不一致时，可根据实际情况进行更改，所述设备保存所述更改后的相关协议信息至第二学习关联表；并根据所述第二学习关联表生成第二精简规则集。在本发明实施例中，参见图1，还包括：S15、依据所述第一精简规则集进行协议威胁检测。配置精简规则集的最终目的是用于提供IPS设备进行协议检测的规则。因此，当IPS设备中生成精简规则集后，就会按照该精简规则集进行协议检测。本发明实施例5以设置的学习范围为：网段DMZ，IP地址为IP1-IP2，有效流量阈值为5％为例，对本发明的过程进行详细描述。首先，通过用户输入的方式在对应网段、IP地址和有效流量阈值的空白处输入：DMZ，IP1-IP2，5％。设置完成后，IPS设备生成第一学习关联表，为后续工作做准备。如图2所示，生成的第一学习关联表包含学习设置和学习内容两部分。其中学习设置份学习对象和有效流量阈值两栏。学习内容部份有协议，应用协议，流量，端口，服务器软件，应用版本共6栏内容。其中流量一栏代表流量的数值大小，其初始值均未0％。IPS设备接收到现网流量后，先对流量进行筛选，将DMZ，IP1-IP2范围外的流量忽略。接着提取流量中的报文，并对报文进行特征识别，获得协议和应用协议信息。对应用协议进行深入分析，识别应用协议所使用的服务器软件名称、版本、端口等信息。将上述信息对应保存在第一学习关联表中。统计流量数值信息，并对应保存在第一学习关联表中。此时，第一学习关联表如图3所示，在对应栏内保存有获得的相应信息。将第一学习关联表中低于5％的流量以及对应该流量的其他信息删除。即将图3中，流量为0.1％的流量及对应的协议信息删除。本发明中提供的漏洞规则库如下：[Web服务]Apache1.0漏洞规则5000条；[Web服务]Apache2.0漏洞规则3000条；[Web服务]ApacheHTTPD2.2.3漏洞规则1000条；[Web服务]ApacheTomcat5.0漏洞规则500条；[Web服务]ApacheTomcat6.0.1漏洞规则500条；[Web服务]IIS1.0漏洞规则3000条；[Web服务]IIS2.0漏洞规则2000条；[FTP服务]ProFTP1.2.0漏洞规则1000条；[FTP服务]ProFTP1.3.0漏洞规则500条；[邮件服务]SendMail7.0漏洞规则300条；[邮件服务]SendMail8.0漏洞规则200条；[邮件服务]ExchangeServer2007漏洞规则500条；[邮件服务]ExchangeServer2010漏洞规则300条；[数据库服务]MySQL4.0漏洞规则1000条；[数据库服务]MySQL4.1漏洞规则500条；[数据库服务]MySQL5.0漏洞规则500条；[数据库服务]MySQL5.1漏洞规则300条；[数据库服务]SQLServer2000漏洞规则300条；[数据库服务]SQLServer2005漏洞规则200条；[数据库服务]SQLServer2008漏洞规则250条。HTTP应用协议对应的是Web服务，FTP应用协议对应的是FTP服务，NFS应用协议对应的是NFS服务，SMTP和POP3应用协议对应的是邮件服务。接下来提取对应的规则集：Web服务相关根据学习结果ApacheHTTPD2.2.3和ApacheTomcat6.0.1，从漏洞规则库中提取如下规则：[Web服务]ApacheHTTPD2.2.3漏洞规则1000条；[Web服务]ApacheTomcat6.0.1漏洞规则500条。FTP服务相关根据学习结果ProFTP1.3.0，从漏洞规则库中提取如下规则：[FTP服务]ProFTP1.3.0漏洞规则500条。邮件服务相关在学习阶段发现了存在邮件协议流量，但是未识别出具体所使用的软件，故从漏洞规则库中将全部的邮件漏洞规则提取：[邮件服务]SendMail7.0漏洞规则300条；[邮件服务]SendMail8.0漏洞规则200条；[邮件服务]ExchangeServer2007漏洞规则500条；[邮件服务]ExchangeServer2010漏洞规则300条。数据库服务相关由于在学习阶段未发现数据库服务流量，故认为现实网络中不存在该服务，不提取数据库服务对应的规则。将上面提取的规则汇总为如下规则集：[Web服务]ApacheHTTPD2.2.3漏洞规则1000条；[Web服务]ApacheTomcat6.0.1漏洞规则500条；[FTP服务]ProFTP1.3.0漏洞规则500条；[邮件服务]SendMail7.0漏洞规则300条；[邮件服务]SendMail8.0漏洞规则200条；[邮件服务]ExchangeServer2007漏洞规则500条；[邮件服务]ExchangeServer2010漏洞规则300条。最后，将学习结果、精简后的规则集一并推送给用户确认，确认后下发到IPS设备用于进行协议检测。综上所述，本发明提供的方法通过对现网中的流量进行学习识别，获得现网中使用的协议信息，并根据协议信息从漏洞规则库中筛选检测规则，使得生成的精简规则集与现网中使用的协议相对应。应用该精简规则集进行检测时，只需对现网中使用的协议进行检测，解决了现有技术中，用户选择全部检测规则，从而在检测时需要对全部协议进行检测的问题，提高了检测效率，同时避免了不必要的性能消耗。而且，网络中使用的协议经常发生变化，用户不易察觉，采用本发明的方法，使得配置的精简规则集能实时对应于现时使用的协议类型。本发明实施例6还提供了一种优化配置检测规则的设备，参见图4，所述设备包括：11、流量接收单元，用于接收网络流量。12、提取单元，用于提取所述网络流量中的报文。用户一般只在一定的网络范围内进行数据的传输。因此，不会用到所述网络范围外的协议，也就无需对所述网络范围外使用的协议类型进行检测。为此，在本发明的实施例中，所述设备还包括：第一设置单元，用于设置学习范围。所述提取单元，还用于提取所述学习范围内的流量的报文。具体的，可以设置要学习的网段或IP地址。具体实施时，可以采用设置多个选项供用户选择的方式，也可以采用由用户自行输入的方式。当用户未选择选项或未输入时，可设置对全网流量进行学习。13、信息识别单元，用于根据所述报文的特征识别所述网络中使用的协议相关信息；其中所述相关信息包括协议名称，应用类型，端口号，服务器软件名称和服务器软件版本；14、第一保存单元，用于保存所述协议相关信息及所述协议相关信息间的对应关系至第一学习关联表；15、第一精简规则集单元，用于根据所述相关协议信息，从漏洞规则库中匹配出对应规则项，生成第一精简规则集。在某些情况下，用户只希望保护和检测一定数值范围内的流量比如较大的流量，而不关注其它的流量。因此，在本发明的另一实施例中，所述设备还包括：第二设置单元，用于设置有效流量数值范围。所述所述提取单元，还用于提取所述网络流量中在所述有效流量数值范围内的流量的报文。在本发明中，有时对流量的识别在对流量的数值统计之前，即在还不能获知流量大小之前，就已经通过对报文特征的识别获得了相应的协议信息。此时，需要先将所有识别出的相应协议信息保存在第一学习关联表中，并将之后统计的流量大小也对应保存在第一学习关联表中。之后，根据设置的有效流量数值范围，将第一学习关联表中在设置的有效数值范围之外的流量及对应的协议信息删除，生成新的学习关联表。并根据新的学习关联表，从漏洞规则库中筛选规则项，生成精简规则集。生成的精简规则集可以直接应用到设备中。用户可通过日志信息查看具体的优化配置记录。为确保准确，在本发明的具体实施例中，所述设备还包括：发送单元，用于将所述第一精简规则集和所述第一学习关联表发送至用户。具体的，用户可通过对第一学习关联表中的信息进行查看，来获知设备学习的结果是否和实际网络环境一致。为使结果更精确，可在设备学习阶段将获取的流量数值信息同时保存在第一学习关联表中。需要说明的是，在设置了学习范围和有效流量数值范围的情况下，用户在对信息进行查看时，只对设置范围内的信息进行检验即可。接收单元，用于当所述用户确认所述第一精简规则集时，接收所述用户下发的所述第一精简规则集。当学习结果即第一学习关联表中的信息与实际网络环境一致时，所述设备还包括用户发出确认信息，将第一精简规则集下发到所述设备中。当用户经查看，认为学习关联表中的信息与实际网络环境不一致时，所述设备还包括第二保存单元，用于当所述用户更改所述相关协议信息时，保存所述更改后的相关协议信息至第二学习关联表。所述精简规则集单元，还用于根据所述第二学习关联表，从漏洞规则库中筛选出规则项，生成第二精简规则集。配置精简规则集的最终目的是用于提供IPS设备进行协议检测的规则。因此，在本发明的实施例中，参见图4，所述设备还包括：16、检测单元，用于依据所述第一精简规则集对协议进行威胁检测。以上对本发明所提供的一种检测规则优化配置方法及设备进行了介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。