一種自定義特征碼的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�����,具體而言,涉及一種自定義特征碼的方法和裝置��。
【背景技術(shù)】
[0002]目前�����,隨著越來越多的用戶通過網(wǎng)絡(luò)對信息進行有效和迅速的處理��,如何在用戶利用網(wǎng)絡(luò)進行信息處理的過程中保證信息的安全而不被網(wǎng)絡(luò)黑客的異常行為竊取或者篡改越來越重要��;為了能夠主動檢測黑客的異常行為對自身進行保護���,越來越多的網(wǎng)絡(luò)用戶安裝入侵檢測系統(tǒng)(intrus1n detect1n system, IDS)來檢測黑客的異常行為�����。
[0003]現(xiàn)有的IDS在檢測黑客的異常行為時��,會先獲取用于表征異常行為的特征碼���,然后將獲取到的異常行為的特征碼與IDS中預(yù)設(shè)的特征庫中的特征碼進行比對,確定異常行為的攻擊特征����,并根據(jù)異常行為的攻擊特征對異常行為進行相應(yīng)處理,從而保證用戶的安全�。
[0004]但是現(xiàn)有的IDS只能根據(jù)廠商預(yù)設(shè)的特征碼進行異常行為的檢測,而當有其他的異常行為對用戶進行攻擊時�,IDS由于沒有設(shè)置對用戶進行攻擊的異常行為的特征碼,所以就不能對用戶受到的異常行為進行檢測�����,從而導致異常行為錯報和漏報的情況出現(xiàn)���。
【發(fā)明內(nèi)容】
[0005]有鑒于此����,本發(fā)明實施例的目的在于提供一種自定義特征碼的方法和裝置���,可以自定義特征碼����,無需依賴廠商或外部資源就可以達到減少IDS對異常行為的錯報和漏報的目的�����,最終達到風險自主����、可控的效果�。
[0006]第一方面��,本發(fā)明實施例提供了一種自定義特征碼的方法�,包括:
[0007]從檢測到的異常行為的數(shù)據(jù)報中確定異常字段;
[0008]根據(jù)確定的所述異常字段����,得到所述異常行為的攻擊特征信息;
[0009]根據(jù)得到的所述攻擊特征信息����,生成特征碼;
[0010]當生成的所述特征碼通過檢測時����,確定所述特征碼是自定義特征碼。
[0011]結(jié)合第一方面����,本發(fā)明實施例提供了第一方面的第一種可能的實施方式,其中�,從檢測到的異常行為的數(shù)據(jù)報的字段信息中確定異常字段,包括:
[0012]當檢測到異常行為時��,獲取所述異常行為的所述數(shù)據(jù)報;
[0013]獲取所述數(shù)據(jù)報中的多個字段信息���,所述多個字段信息中的每個字段信息包括:數(shù)據(jù)報的信息和字段中所包含的字符串;
[0014]根據(jù)所述數(shù)據(jù)報的信息和所述字段中所包含的字符串��,獲取所述數(shù)據(jù)報中的異常字段���。
[0015]結(jié)合第一方面���,本發(fā)明實施例提供了第一方面的第二種可能的實施方式,其中�����,根據(jù)所述數(shù)據(jù)報的信息和所述字段中所包含的字符串���,獲取所述數(shù)據(jù)報中的異常字段�,包括:
[0016]當當前數(shù)據(jù)報中數(shù)據(jù)報的信息與預(yù)設(shè)數(shù)據(jù)報的信息一致時���,則確定所述數(shù)據(jù)報的ig息是異常字段���;
[0017]當所述當前數(shù)據(jù)報中當前字段所包含的字符串與預(yù)設(shè)字段的字符串一致時����,則確定所述當前字段是異常字段����。
[0018]結(jié)合第一方面,本發(fā)明實施例提供了第一方面的第三種可能的實施方式��,其中�����,根據(jù)確定的所述異常字段����,得到異常行為的攻擊特征信息,包括:
[0019]確定獲取到的所述數(shù)據(jù)報中具有所述異常字段的數(shù)據(jù)報的信息�����;
[0020]當所述數(shù)據(jù)報中具有匹配所述異常字段的數(shù)據(jù)報的信息時�����,確定所述異常字段為攻擊特征信息���。
[0021]結(jié)合第一方面����,本發(fā)明實施例提供了第一方面的第四種可能的實施方式,其中���,在根據(jù)得到的所述攻擊特征信息,生成特征碼之后�,所述方法還包括:
[0022]通過生成的所述特征碼檢測出所述特征碼對應(yīng)的異常行為,確定所述特征碼通過檢測����。
[0023]第二方面,本發(fā)明實施例提供了一種自定義特征碼的裝置���,包括:
[0024]異常字段確定模塊�,用于從檢測到的異常行為的數(shù)據(jù)報中確定異常字段�;
[0025]攻擊特征信息確定模塊,根據(jù)確定的所述異常字段�����,得到所述異常行為的攻擊特征信息�����;
[0026]特征碼生成模塊,用于根據(jù)得到的所述攻擊特征信息��,生成特征碼�����;
[0027]自定義特征碼確定模塊���,用于當生成的所述特征碼通過異常行為檢測時���,確定所述特征碼是自定義特征碼。
[0028]結(jié)合第二方面��,本發(fā)明實施例提供了第二方面的第一種可能的實施方式����,其中,異常字段確定模塊��,包括:
[0029]數(shù)據(jù)報獲取單元�,用于當檢測到異常行為時,獲取所述異常行為的所述數(shù)據(jù)報;
[0030]字段信息獲取單元��,用于獲取所述數(shù)據(jù)報中的多個字段信息����,所述多個字段信息中的每個字段信息包括:數(shù)據(jù)報的信息和字段中所包含的字符串;
[0031]異常字段獲取單元�,用于根據(jù)所述數(shù)據(jù)報的信息和所述字段中所包含的字符串,獲取所述數(shù)據(jù)報中的異常字段����。
[0032]結(jié)合第二方面����,本發(fā)明實施例提供了第二方面的第二種可能的實施方式,其中��,異常字段獲取單元����,包括:
[0033]第一異常字段獲取子單元,用于當當前數(shù)據(jù)報中當前數(shù)據(jù)報的信息與預(yù)設(shè)數(shù)據(jù)報的信息一致時����,則確定所述數(shù)據(jù)報的信息是異常字段;
[0034]第二異常字段獲取子單元�,用于當所述當前數(shù)據(jù)報中當前字段所包含的字符串與預(yù)設(shè)字段的字符串一致時��,則確定所述當前字段是異常字段�����。
[0035]結(jié)合第二方面�����,本發(fā)明實施例提供了第二方面的第三種可能的實施方式���,其中,攻擊特征信息確定模塊�����,包括:
[0036]數(shù)據(jù)報信息確定單元�,用于確定獲取到的所述數(shù)據(jù)報中具有所述異常字段的數(shù)據(jù)報的信息;
[0037]攻擊特征信息確定單元��,用于當所述數(shù)據(jù)報中具有匹配所述異常字段的數(shù)據(jù)報的信息時��,確定所述異常字段為攻擊特征信息��。
[0038]結(jié)合第二方面,本發(fā)明實施例提供了第二方面的第四種可能的實施方式���,其中�,所述裝置還包括:
[0039]檢測模塊��,用于通過生成的所述特征碼檢測出所述特征碼對應(yīng)的異常行為���,確定所述特征碼通過檢測�����。
[0040]本發(fā)明實施例提供的一種自定義特征碼的方法和裝置�,通過從檢測到的異常行為的數(shù)據(jù)報中確定異常字段����,根據(jù)確定的異常字段生成自定義特征碼��,所以和現(xiàn)有技術(shù)中IDS只能根據(jù)廠商預(yù)設(shè)的特征碼檢測異常行為的方式相比�,可以根據(jù)用戶生成的自定義特征碼,檢測黑客的異常行為����,減少IDS對異常行為的錯報和漏報情況,并且通過異常行為對生成的特征碼進行驗證,將通過檢測的確定特征碼確定為自定義特征碼�����,增加了自定義特征碼檢測異常行為的準確率��,使IDS可以對用戶進行更好的保護�,最終達到風險自主、可控的效果����。
[0041]為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂����,下文特舉較佳實施例,并配合所附附圖����,作詳細說明如下。
【附圖說明】
[0042]為了更清楚地說明本發(fā)明實施例的技術(shù)方案�����,下面將對實施例中所需要使用的附圖作簡單地介紹�,應(yīng)當理解����,以下附圖僅示出了本發(fā)明的某些實施例�,因此不應(yīng)被看作是對范圍的限定,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他相關(guān)的附圖�。
[0043]圖1示出了本發(fā)明實施例提供的一種自定義特征碼的方法所涉及的一種實施系統(tǒng)的結(jié)構(gòu)示意圖;
[0044]圖2示出了本發(fā)明實施例1提供的一種自定義特征碼的方法的流程圖����;
[0045]圖3示出了本發(fā)明實施例3提供的一種自定義特征碼的裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0046]下面將結(jié)合本發(fā)明實施例中附圖���,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例�。通常在此處附圖中描述和示出的本發(fā)明實施例的組件可以以各種不同的配置來布置和設(shè)計�����。因此���,以下對在附圖中提供的本發(fā)明的實施例的詳細描述并非旨在限制要求保護的本發(fā)明的范圍��,而是僅僅表示本發(fā)明的選定實施例��?���;诒景l(fā)明的實施例�,本領(lǐng)域技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍���。
[0047]考慮到相關(guān)的網(wǎng)絡(luò)安全技術(shù)中�����,現(xiàn)有的IDS只能根據(jù)廠商預(yù)設(shè)的特征碼進行異常行為的檢測��,而當有其他的異常行為對用戶進行攻擊時��,IDS由于沒有設(shè)置對用戶進行攻擊的異常行為的特征碼���,所以就不能對用戶受到的異常行為進行檢測���,從而導致異常行為錯報和漏報情況出現(xiàn)?;诖耍景l(fā)明實施例提供了一種自定義特征碼的方法和裝置�����。
[0048]參見圖1����,其示出了本發(fā)明實施例提供的自定義特征碼的方法所涉及的一種實施系統(tǒng)的結(jié)構(gòu)示意圖,該系統(tǒng)包括:安裝有IDS的服務(wù)器100�����,其中�,服務(wù)器100包括中央處理器101和與中央處理器101進行數(shù)據(jù)交互的存儲器102。
[0049]服務(wù)器100���,用于當檢測到異常行為時�����,獲取異常行為的數(shù)據(jù)報�����,并將獲取到的數(shù)據(jù)報發(fā)送給中央處理器101 ;中央處理器101��,用于從檢測到的異常行為的數(shù)據(jù)報中確定異常字段��,根據(jù)確定的異常字段�,得到異常行為的攻擊特征信息��,根據(jù)得到的攻擊特征信息�����,生成特征碼�����,并當生成的特征碼通過檢測時��,確定特征碼是自定義特征碼�,然后將確定的自定義特征碼發(fā)送到存儲器102 ;存儲器102��,設(shè)置有IDS的特征庫�����,用于將中央處理器101確定的自定義特征碼存儲到IDS的特征庫中���。
[0050]服務(wù)器100可以采用現(xiàn)有的任意型號的服務(wù)器或者計算設(shè)備來生成自定義特征碼并進行存儲,這里不再一一贅述�。
[0051]中央