[发明专利]一种攻击检测文件的发布方法、装置及存储介质

权利要求书

1.一种攻击检测文件的发布方法，其特征在于，所述方法包括：

利用发布至旁路环境中的攻击检测文件对所述旁路环境中的网络流量数据进行检测，得到至少一个网络攻击数据包；

在所述网络攻击数据包满足第一预设条件时，利用所述攻击检测文件提取所述网络攻击数据包中的攻击字符串；

对所述攻击字符串进行误报检测；

在接收到线上发布指令且误报检测的结果满足第二预设条件时，将所述攻击检测文件发布至线上环境。

2.根据权利要求1所述的发布方法，其特征在于，在所述网络攻击数据包满足第一预设条件时，利用所述攻击检测文件提取所述网络攻击数据包中的攻击字符串的步骤之前，所述方法还包括：

在所述攻击检测文件中包括修改类型的第一功能函数时，获取所述第一功能函数在第一预设时间内在所述旁路环境中命中的网络攻击数据包的第一累计数量，所述修改类型用于表征所述攻击检测文件中的第一功能函数是在原功能函数的基础上修改得到的；

获取所述原功能函数在所述第一预设时间内在所述旁路环境中命中的历史网络攻击数据包的第二累计数量；

在所述第一累计数量与所述第二累计数量的差值的绝对值小于等于第一预设阈值时，确定所述网络攻击数据包满足第一预设条件。

3.根据权利要求1所述的发布方法，其特征在于，在所述网络攻击数据包满足第一预设条件时，利用所述攻击检测文件提取所述网络攻击数据包中的攻击字符串的步骤之前，所述方法还包括：

在所述攻击检测文件中包括新增类型的第二功能函数时，获取所述第二功能函数在第二预设时间内在所述旁路环境中命中的网络攻击数据包的第三累计数量，所述新增类型用于表征所述攻击检测文件中的第二功能函数是新增得到的；

获取与所述第二功能函数对应的场景类型，所述场景类型与所述第二功能函数预先建立有对应关系；

基于所述场景类型确定对应的第二预设阈值；

在所述第三累计数量小于等于所述第二预设阈值时，确定所述网络攻击数据包满足第一预设条件。

4.根据权利要求1所述的发布方法，其特征在于，所述对所述攻击字符串进行误报检测包括：

判断所述攻击字符串所在的所述网络攻击数据包是否包括预设白特征，所述预设白特征用于表征具有其的网络数据包是可信的；

若是，确定所述网络攻击数据包为可信网络数据包；

将从所述可信网络数据包中提取的攻击字符串确定为误报的攻击字符串；或，

提取所述攻击字符串所在的所述网络攻击数据包中的不用命中字段，所述不用命中字段为所述网络攻击数据包中不会被所述攻击检测文件命中的字段；

基于任一所述网络攻击数据包中不用命中字段与其余所有所述网络攻击数据包中不用命中字段的相似度，判断任一所述网络攻击数据包是否为离群攻击数据包；

若是，将从所述离群攻击数据包中提取的攻击字符串确定为误报的攻击字符串。

5.根据权利要求1所述的发布方法，其特征在于，在所述利用发布至旁路环境中的攻击检测文件对所述旁路环境中的网络流量数据进行检测的步骤之前，所述方法还包括：

当接收到旁路发布指令时，获取测试用例和待发布的攻击检测文件，所述测试用例包括至少一个初始测试样本，所述初始测试样本均设置有属性标识，所述属性标识用于表征所述初始测试样本为非攻击类型或攻击类型；

利用所述攻击检测文件对所述初始测试样本进行检测，得到拦截的初始测试样本；

在拦截的初始测试样本的属性标识满足第三预设条件时，将所述攻击检测文件发布至所述旁路环境。