[发明专利]一种优化snort规则集的方法、装置和存储介质

说明书

本发明实施例提供了一种优化snort规则集的方法、装置及存储介质，用以解决目前由于获取的snort规则质量参差不齐，导致的snort规则集质量较低的问题。该方法包括：测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；根据所述snort规则的测试结果对被测试的snort规则进行处理。

技术领域

本发明涉及计算机信息安全领域，尤其涉及一种优化snort规则集的方法、装置和存储介质。

背景技术

入侵检测系统（Intrusion Detection System，IDS）为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术，通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。Snort为IDS技术领域中相当著名的开放原始码（OpenSource）软件，其是以检测签章（Signature Based）及检测通讯协议（Protocol）为基础，利用内建的入侵检测规则（Intrusion Detection Rules）过滤网络的入侵行为。随着入侵行为的不断变换，入侵检测规则也在不断地变化与更新，或者根据局域网中的计算机主机需求取向不断设计合适的入侵检测规则。

Snort规则可以根据人工输入指令获取，也可以直接下载规则文件并拷贝至指定目录后，还可以根据设定的规则自动获取；由于snort规则的来源有多种，获取的snort规则的质量无法保证，如果直接将新获取的snort规则添加到snort规则集中，这会导致对snort规则集无法进行优化。

综上所述，由于获取snort规则的途径有多种，获取的snort规则的质量参差不齐，导致目前的snort规则集的质量较低。

发明内容

本发明实施例提供了一种优化snort规则集的方法、装置及存储介质，用以解决目前由于通过不同途径获取的snort规则质量参差不齐，导致的snort规则集质量较低的问题。

基于上述问题，本发明实施例提供的一种优化snort规则集的方法，包括：

测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；

若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；

若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；

根据所述snort规则的测试结果对被测试的snort规则进行处理。

本发明实施例提供的一种优化snort规则集的装置，包括：

一个或者多个处理器；

存储器；

一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时实现：

测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；

若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；