[发明专利]一种优化snort规则集的方法、装置和存储介质

权利要求书

1.一种优化snort规则集的方法，其特征在于，包括：

测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；

若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；

若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；

根据所述snort规则的测试结果对被测试的snort规则进行处理。

2.如权利要求1所述的方法，其特征在于，被测试的snort规则为snort规则集中的一条snort规则，或者为新获取、且未添加到snort规则集中的snort规则。

3.如权利要求2所述的方法，其特征在于，被测试的snort规则为新获取、且未添加到snort规则集中的snort规则，根据被测试的snort规则的测试结果对被测试的snort规则进行处理，包括：

在被测试的snort规则通过测试后，将被测试的snort规则添加到snort规则集中。

4.如权利要求1所述的方法，其特征在于，所述方法还包括：

在测试所述snort规则时，确定所述snort规则是否与snort规则集中与被测试的snort规则不同的snort规则命中同一恶意流量集合；

发出告警信息。

5.如权利要求4所述的方法，其特征在于，snort规则集中允许存在发生告警的snort规则，且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则，则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括：

将在测试时发生告警的snort规则添加到snort规则集中。

6.如权利要求4所述的方法，其特征在于，snort规则集中允许存在相互之间有冲突的snort规则，且被测试的snort规则为新获取、且未添加到snort规则集中的snort规则，则根据被测试的snort规则的测试结果对被测试的snort规则进行处理包括：

当被测试的snort规则与snort规则集中的snort规则存在冲突，且被测试的snort规则通过测试且无告警时，将被测试的snort规则添加到snort规则集中。

7.如权利要求1-6任一所述的方法，其特征在于，所述方法还包括：

输出snort规则集时，输出的snort规则集的标识编号为该snort规则集的输出时间，且输出的snort规则集与snort规则集的标识编号一一对应。

8.一种优化snort规则集的装置，其特征在于，包括：

一个或者多个处理器；

存储器；

一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时实现：

测试一条snort规则是否命中与所述snort规则对应的恶意流量集合，且是否命中非恶意流量集合；其中，所述恶意流量集合和所述非恶意流量集合均是预先设定的；

若所述snort规则命中与所述snort规则对应的恶意流量集合，且未命中非恶意流量集合，则所述snort规则通过测试；

若所述snort规则未命中与所述snort规则对应的恶意流量集合，或命中非恶意流量集合，则所述snort规则未通过测试；

根据所述snort规则的测试结果对被测试的snort规则进行处理。

9.如权利要求8所述的装置，其特征在于，所述一个或多个处理器用于执行存储在存储器中的一个或多个程序以实现：

被测试的snort规则为新获取、且未添加到snort规则集中的snort规则，根据被测试的snort规则的测试结果对被测试的snort规则进行处理，包括：

在被测试的snort规则通过测试后，将被测试的snort规则添加到snort规则集中。