[发明专利]一种IDS策略生成方法、装置、设备及介质

说明书

本申请公开了一种IDS策略生成方法、装置、设备及介质，包括：从漏洞信息网站中提取poc；确定所述poc对应的poc类型；根据所述poc类型提取出所述poc中的请求数据信息；所述请求数据信息包括请求方式、请求路径和请求参数；利用所述请求数据信息以及预设策略模板生成对应的IDS策略。这样，从漏洞信息网站中提取poc，然后根据poc类型提取请求数据信息，最后基于利用预设策略模板生成对应的IDS策略，能够提升IDS策略的生成效率，降低人工成本。

技术领域

本申请涉及信息安全技术领域，特别涉及一种IDS策略生成方法、装置、设备及介质。

背景技术

IDS(即intrusion detection system，入侵检测系统)是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。现在大部分的IDS都是基于网络流量的IDS，也就是通过监控网络流量来识别攻击。根据检测方法的不同，IDS又可以划分为异常检测和特征检测。异常检测根据使用者的行为或资源使用情况来判断是否入侵，而并不依赖于具体行为，所以又被称为基于行为的检测，这类检测包括概率统计方法和神经网络方法；特征检测是根据已有特征库的特征，对网络数据流进行分析，当流量中的数据满足某条特征的时候，那么系统就判断攻击行为产生了。因为特征匹配比较容易实现，因此也就成为了众多IDS的基本实现情况。衡量一个基于特征检测的IDS系统，最主要就是看特征库，特征库的好坏主要是由策略的漏误报率高低、策略数量来决定。

目前，虽然众多安全厂商都会有自己的一套实现特征库的方法，但大多数的厂家都采用人工分析的方式。但是人工分析存在着许多问题，需要大量的安全人员投入，对于一些小公司以及前期人员配置不足的企业来说，并不能很好地满足更新特征库的标准数量，并且，效率偏低，还存在策略质量参差不齐的问题，每个人编写策略的方式不同，可能会导致策略的质量不高。

发明内容

有鉴于此，本申请的目的在于提供一种IDS策略生成方法、装置、设备及介质，能够提升IDS策略的生成效率，降低人工成本。其具体方案如下：

第一方面，本申请公开了一种IDS策略生成方法，包括：

从漏洞信息网站中提取poc；

确定所述poc对应的poc类型；

根据所述poc类型提取出所述poc中的请求数据信息；所述请求数据信息包括请求方式、请求路径和请求参数；

利用所述请求数据信息以及预设策略模板生成对应的IDS策略。

可选的，所述确定所述poc对应的poc类型，包括：

利用第一预设关键字对所述poc进行匹配，若匹配到所述第一预设关键字，则判定所述poc类型为请求数据类型，否则判定所述poc类型为代码脚本类型。

可选的，所述根据所述poc类型提取出所述poc中的请求数据信息，包括：

若所述poc类型为请求数据类型，则基于匹配结果提取所述请求数据信息。

可选的，所述根据所述poc类型提取出所述poc中的请求数据信息，包括：

若所述poc类型为代码脚本类型，则查找请求函数，然后基于查找到的所述请求函数提取所述请求数据信息。

可选的，所述查找请求函数，包括：

基于预设编程语言特征库判断所述poc对应的编程语言；

根据所述编程语言查找所述请求函数。

可选的，所述从漏洞信息网站中提取poc，包括：

获取用户终端输入的所述漏洞信息网站对应的网址信息和第二预设关键字；