[发明专利]生成入侵检测规则的方法、装置、计算机设备及存储介质

权利要求书

1.一种生成入侵检测规则的方法，其特征在于，包括：

获取使用目标通讯协议的恶意数据帧；

确定所述恶意数据帧的请求类型；

根据所述请求类型，获取所述恶意数据帧的通信特征数据；

根据所述通信特征数据，生成所述恶意数据帧对应的入侵检测规则。

2.根据权利要求1所述的方法，其特征在于，所述获取使用目标通讯协议的恶意数据帧，包括：

将数据包中使用所述目标通讯协议的数据帧确定为目标数据帧；

根据每一所述目标数据帧的域名，确定出恶意数据帧。

3.根据权利要求2所述的方法，其特征在于，在所述获取使用目标通讯协议的恶意数据帧之前，所述方法还包括：

获取数据包；

确定所述数据包的文件格式；

若所述文件格式为目标格式，则将数据包中使用所述目标通讯协议的数据帧确定为目标数据帧。

4.根据权利要求2所述的方法，其特征在于，将数据包中使用目标通讯协议的数据帧确定为目标数据帧，包括：

获取所述数据包中每一数据帧中的设定字段的第一内容；

根据每一所述数据帧对应的所述第一内容，确定每一所述数据帧对应的通讯协议；

将所述通讯协议为所述目标通讯协议的数据帧，确定为目标数据帧。

5.根据权利要求1所述的方法，其特征在于，所述确定所述恶意数据帧的请求类型，包括：

获取所述恶意数据帧的设定字段的第一内容；

根据所述第一内容，确定所述恶意数据帧对应的所述请求类型。

6.根据权利要求1所述的方法，其特征在于，所述根据所述请求类型，获取所述恶意数据帧的通信特征数据，包括：

根据所述请求类型，确定目标提取规则；

使用所述目标提取规则，对所述恶意数据帧进行信息提取，得到所述通信特征数据。

7.根据权利要求1所述的方法，其特征在于，所述根据所述通信特征数据，生成所述恶意数据帧对应的入侵检测规则，包括：

根据所述请求类型，确定目标规则模板；

根据所述通信特征数据和所述目标规则模板，生成所述恶意数据帧对应的入侵检测规则。

8.一种生成入侵检测规则的装置，其特征在于，包括：

第一获取模块，用于获取使用目标通讯协议的恶意数据帧；

确定模块，用于确定所述恶意数据帧的请求类型；

第二获取模块，用于根据所述请求类型，获取所述恶意数据帧的通信特征数据；

生成模块，用于根据所述通信特征数据，生成所述恶意数据帧对应的入侵检测规则。

9.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的生成入侵检测规则的方法。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的生成入侵检测规则的方法。