[发明专利]入侵检测规则生成方法、装置及电子设备

权利要求书

1.一种入侵检测规则生成方法，其特征在于，包括：

获取针对视频监控设备的服务的访问数据；

基于所述访问数据进行反向设备识别，以确定访问者设备的设备类型；

当所述访问者设备的设备类型为视频监控设备时，确定所述访问数据为恶意攻击数据，并基于所述视频监控设备的所述访问数据生成入侵检测规则，所述入侵检测规则用于对采用与所述访问数据相同的服务访问方式，对所述服务进行访问的其它访问数据进行恶意攻击识别；

其中，当所述访问者设备的设备类型为视频监控设备时，所述方法还包括：

确定候选入侵检测规则中是否存在与所述访问数据的相似度大于预设相似度阈值的目标候选入侵检测规则；所述目标候选入侵检测规则包括的服务标识与所述服务匹配，包括的服务请求方式与所述访问数据访问所述服务采用的服务访问方式相同，且包括的请求报文信息与所述访问数据的请求报文信息的相似度大于所述预设相似度阈值；

若存在，则将目标候选入侵检测规则的计数加1；其中，若所述访问数的请求报文信息与所述目标候选入侵检测规则包括的请求报文信息不相同，则基于所述访问数据的请求报文信息与所述目标候选入侵检测规则包括的请求报文信息进行合并；

否则，基于所述视频监控设备的所述访问数据生成新的候选入侵检测规则，并将该新的候选入侵检测规则的计数值设置为1；

所述基于所述视频监控设备的所述访问数据生成入侵检测规则，包括：

当所述目标候选入侵检测规则的计数达到预设次数阈值时，基于所述目标候选入侵检测规则生成入侵检测规则；

所述基于所述目标候选入侵检测规则生成入侵检测规则之后，还包括：

将所述入侵检测规则发送给入侵检测设备，以使入侵检测设备将与该入侵检测规则匹配的其它访问数据确定为恶意攻击数据。

2.根据权利要求1所述的方法，其特征在于，所述获取针对视频监控设备的服务的访问数据，包括：

获取针对网络中部署的视频监控设备仿真服务模块的访问数据；

其中，所述视频监控设备仿真服务模块用于对视频监控设备的一项或多项服务进行仿真模拟，所述网络中部署一个或多个所述视频监控设备仿真服务模块。

3.根据权利要求1所述的方法，其特征在于，所述基于所述访问数据进行反向设备识别，包括：

对于所获取到的任一访问数据，在以获取到该访问数据的时刻为起始时刻的预设时长内，基于该访问数据中包括的访问请求的源地址进行反向设备识别。

4.根据权利要求1所述的方法，其特征在于，所述基于所述访问数据进行反向设备识别，包括：

基于所述访问数据中包括的访问请求的源地址，获取所述访问者设备的Web页面；

基于预设的视频监控设备图片，对所述Web页面进行搜索，以确定所述Web页面中是否存在与所述预设的视频监控设备图片匹配的图片；

若存在，则确定所述访问者设备的设备类型为视频监控设备。

5.根据权利要求1所述的方法，其特征在于，请求报文信息之间的相似度与请求报文信息之间的编辑距离负相关。