本發明的實施例公開一種入侵檢測規則優化方法、裝置、電子設備及存儲介質，涉及網絡安全技術領域，能夠提高入侵檢測效率。所述入侵檢測規則優化方法，包括：獲取初始的入侵檢測規則；解析所述初始的入侵檢測規則，獲得規則內容；確定所述規則內容所匹配的目標位置和/或報文方向；根據所述目標位置和/或報文方向，對所述解析后的入侵檢測規則進行優化。本發明適用于對入侵檢測規則的優化。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種入侵檢測規則優化方法、裝置、電子設備及存儲介質。

背景技術

目前，網絡越來越發達，也越來越復雜，也越來越受到各種非法攻擊和非法入侵，因此入侵檢測系統越來越重要。

網絡入侵檢測系統多種多樣，常見的是一種基于規則的特征檢測系統，此種系統能夠準確的檢測到某些特征的攻擊，但該種入侵檢測系統需要依賴于事先定義好的檢測規則。

當前的入侵檢測系統規則多數來源于檢測系統相應的網絡社區，而網絡社區中規則的撰寫者可能會存在水平參差不齊的情況，例如：某些規則描述不夠嚴謹。

在實現本發明的過程中，發明人發現當描述不夠嚴謹的規則加入到入侵檢測系統后，會給入侵檢測系統帶來嚴重的壓力，導致入侵檢測效率不高。

發明內容

有鑒于此，本發明實施例提供一種入侵檢測規則優化方法、裝置、電子設備及存儲介質，能夠提高入侵檢測效率。

第一方面，本發明實施例提供一種入侵檢測規則優化方法，包括：獲取初始的入侵檢測規則；解析所述初始的入侵檢測規則，獲得規則內容；確定所述規則內容所匹配的目標位置和/或報文方向；根據所述目標位置和/或報文方向，對所述解析后的入侵檢測規則進行優化。

結合第一方面，在第一方面的第一種可能的實現方式中，確定所述規則內容所匹配的目標位置和/或報文方向，包括：獲取所述規則內容包括的內容模式或內容關鍵詞；根據所述規則內容包含的內容模式或內容關鍵字，以及所述檢測規則中的其它至少一個規則選項，確定所述規則內容所匹配的目標位置和/或報文方向。

結合第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述檢測規則中的其它至少一個規則選項，包括：端口號和/或內容關鍵詞。

結合第一方面，在第一方面的第三種可能的實現方式中，根據所述目標位置和/或報文方向，對所述解析后的入侵檢測規則進行優化，包括：根據所述目標位置和/或報文方向，在所述入侵檢測規則中添加限制性關鍵詞，所述限制性關鍵詞描述待檢測的目標位置和/或報文方向。

結合第一方面，在第一方面的第四種可能的實現方式中，在對所述解析后的入侵檢測規則進行優化之后，所述方法還包括：接收審核通過指令；根據所述審核通過指令，利用優化后的入侵檢測規則替換所述初始的入侵檢測規則。

第二方面，本發明實施例提供一種入侵檢測規則優化裝置，包括：獲取單元，用于獲取初始的入侵檢測規則；解析單元，用于解析所述初始的入侵檢測規則，獲得規則內容；確定單元，用于確定所述規則內容所匹配的目標位置和/或報文方向；優化單元，用于根據所述目標位置和/或報文方向，對所述解析后的入侵檢測規則進行優化。

結合第二方面，在第二方面的第一種可能的實現方式中，所述確定單元，包括：獲取模塊，用于獲取所述規則內容包括的內容模式或內容關鍵詞；確定模塊，用于根據所述規則內容包含的內容模式或內容關鍵字，以及所述檢測規則中的其它至少一個規則選項，確定所述規則內容所匹配的目標位置和/或報文方向。

結合第二方面的第一種可能的實現方式，在第二方面的第二種可能的實現方式中，所述檢測規則中的其它至少一個規則選項包括：端口號和/或內容關鍵詞。