基于POC生成规则文件的方法、装置、电子设备及介质

技术领域

本发明涉及网络安全检测技术领域，尤其涉及一种基于POC生成规则文件的方法、装置、电子设备及介质。

背景技术

POC全称为Proof of Concept，在安全领域中，POC通常指的是一段简单的代码或脚本，用于利用或利用尝试一个已知的漏洞，以证明该漏洞确实存在，并且可以被攻击者利用。POC通常被用于检测和验证系统的安全性，以便及时修复漏洞，从而防止攻击者利用漏洞对系统进行攻击。

现有技术中漏洞的POC的获取途径通常是通过人工对大量流量数据进行分析，筛选出包含恶意特征的流量，或者根据已知的漏洞去复现还原这些攻击流量，需要对海量数据进行处理，效率低下。

发明内容

有鉴于此，有必要提供一种基于POC生成规则文件的方法、装置、电子设备及介质，用以实现根据POC自动生成Snort规则的目的，从而提高检测网络攻击的效率。

为了实现上述目的，本发明提供一种基于POC生成规则文件的方法，包括：

对POC文件中的HTTP请求地址和攻击内容进行标记，并提取标记的HTTP请求地址和攻击内容；

提取所述POC文件中的目标字段；

将所述目标字段、所述标记的HTTP请求地址和攻击内容转化为Snort规则文件并将所述Snort规则文件存入数据库。

在一些可能的实现方式中，所述对POC文件中的HTTP请求地址和攻击内容进行标记，包括：

使用特殊字符对所述POC文件中的HTTP请求地址和攻击内容进行标记。

在一些可能的实现方式中，所述提取标记的HTTP请求地址和攻击内容，包括：

通过正则表达式提取所述标记的HTTP请求地址和攻击内容。

在一些可能的实现方式中，所述提取后的目标字段包括：

漏洞名称、漏洞类型、漏洞等级、漏洞描述信息、漏洞对应参考链接和漏洞编号。

在一些可能的实现方式中，所述漏洞类型包括：注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞和命令执行漏洞。

在一些可能的实现方式中，所述将所述提取后的目标字段、所述提取后的HTTP请求地址和攻击内容转化为Snort规则文件，包括：

判断所述提取后的攻击内容中是否存在特殊字符，存在，则对所述提取后的攻击内容进行编码得到Hex格式的攻击内容；

判断所述提取后的字段中的漏洞名称和漏洞描述信息是否为英文，是，调用翻译接口将所述提取后的字段中的漏洞名称和漏洞描述信息翻译成中文。

在一些可能的实现方式中，将所述Snort规则文件存入数据库，包括:

将所述Snort规则文件输入到POC扫描工具中进行验证，验证通过后存入数据库。

另一方面，本发明还提供了一种基于POC生成规则文件的装置，包括：

攻击信息提取单元，用于对POC文件中的HTTP请求地址和攻击内容进行标记，并提取HTTP请求地址和攻击内容；

目标字段提取单元，用于提取POC文件中的目标字段；

规则文件生成单元，用于将所述提取后的目标字段、所述提取后的HTTP请求地址和攻击内容转化为Snort规则文件并存入数据库。

另一方面，本发明还提供了一种电子设备，包括存储器和处理器，其中，

所述存储器，用于存储程序；

所述处理器，与所述存储器耦合，用于执行所述存储器中存储的所述程序，以实现上述任意一种实现方式中所述的一种基于POC生成规则文件的方法中的步骤。

另一方面，本发明还提供了一种计算机可读存储介质，用于存储计算机可读取的程序或指令，所述程序或指令被处理器执行时能够实现上述任意一种实现方式中所述的一种基于POC生成规则文件的方法中的步骤。

采用上述实施例的有益效果是：本发明提供的一种基于POC生成规则文件的方法，首先对POC文件中的HTTP请求地址和攻击内容进行标记并提取，对POC文件中的目标字段进行提取，最后将提取后的目标字段、所述提取后的HTTP请求地址和攻击内容转化为Snort规则文件并存入数据库。本发明根据POC中的字段进行提取从而自动生成Snort规则文件，从而提高检测网络攻击的效率。

附图说明

图1为本发明提供的一种基于POC生成规则文件的方法一实施例的方法流程图；

图2为本发明提供的一种基于POC生成规则文件的装置的一个实施例结构示意图；

图3为本发明提供的电子设备的一个实施例结构示意图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理，并非用于限定本发明的范围。

图1为本发明提供的一种基于POC生成规则文件的方法的一个实施例流程示意图，如图1所示，一种基于POC生成规则文件的方法，包括：

S101、对POC文件中的HTTP请求地址和攻击内容进行标记，并提取标记的HTTP请求地址和攻击内容；

S102、提取所述POC文件中的目标字段；

S103、将所述目标字段、所述标记的HTTP请求地址和攻击内容转化为Snort规则文件并将所述Snort规则文件存入数据库。

与现有技术相比，本实施例提供的一种基于POC生成规则文件的方法，首先对POC文件中的HTTP请求地址和攻击内容进行标记并提取，对POC文件中的目标字段进行提取，最后将提取后的目标字段、所述提取后的HTTP请求地址和攻击内容转化为Snort规则文件并存入数据库。本发明用根据POC自动生成Snort规则，从而提高检测网络攻击的效率。

需要说明的是，POC（Proof of Concept，验证性测试）用于检测是否存在漏洞。在本发明的一些实施例中，在步骤S101中，所述对POC文件中的HTTP请求地址和攻击内容进行标记，包括：

使用特殊字符对所述POC文件中的HTTP请求地址和攻击内容进行标记。

需要说明的是特殊字符包括$、?、+、*等。在本发明的具体实施例中，特殊字符采用$来标记POC文件中的HTTP请求地址和攻击内容。

需要说明的是，正则表达式是对字符串（包括普通字符（例如，a到z之间的字母）和特殊字符（称为“元字符”））操作的一种逻辑公式，就是用事先定义好的一些特定字符及这些特定字符的组合，组成一个“规则字符串”，这个“规则字符串”用来表达对字符串的一种过滤逻辑。正则表达式是一种文本模式，该模式描述在搜索文本时要匹配的一个或多个字符串。在本发明的一些实施例中，在步骤S101中，所述提取标记的HTTP请求地址和攻击内容，包括：

通过正则表达式提取所述标记的HTTP请求地址和攻击内容。

在本发明的一些实施例中，在步骤S103中，所述提取后的目标字段包括：

漏洞名称、漏洞类型、漏洞等级、漏洞描述信息、漏洞对应参考链接和漏洞编号。

在本发明的一些实施例中，所述漏洞类型包括：注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞和命令执行漏洞。

需要说明的是，注入漏洞：由于其普遍性和严重性，注入漏洞位居漏洞排名第一位。常见的注入漏洞包括SQL、LDAP、OS命令、ORM和OGML。用户可以通过任何输入点输入构建的恶意代码，如果应用程序没有严格过滤用户的输入，一旦输入的恶意代码作为命令或者查询的一部分被发送到解析器，就可能导致注入漏洞。跨站脚本漏洞：XSS漏洞的全称是跨站点脚本漏洞。XSS漏洞是网络应用程序中常见的安全漏洞，它允许用户将恶意代码植入网页，当其他用户访问此页面时，植入的恶意脚本将在其他用户的客户端执行。危害有很多，客户端用户的信息可以通过XSS漏洞获取，比如用户登录的Cookie信息；木马可以植入客户端；可以结合其他漏洞攻击服务器，并在服务器中植入特洛伊木马。文件上传漏洞：造成文件上传漏洞的主要原因是应用程序中有上传功能，但上传的文件没有通过严格的合法性检查或者检查功能有缺陷，导致木马文件上传到服务器。文件上传漏洞危害极大，因为恶意代码可以直接上传到服务器，可能造成服务器网页修改、网站暂停、服务器远程控制、后门安装等严重后果。文件包含漏洞：文件包含漏洞中包含的文件参数没有过滤或严格定义，参数可以由用户控制，可能包含意外文件。如果文件中存在恶意代码，无论文件是什么后缀类型，文件中的恶意代码都会被解析执行，导致文件包含漏洞。命令执行漏洞：应用程序的某些函数需要调用可以执行系统命令的函数。如果这些功能或者功能的参数可以被用户控制，那么恶意的命令就有可能通过命令连接器拼接成正常的功能，从而可以随意执行系统命令。这就是命令执行漏洞，属于高风险漏洞之一。

需要说明的是，Hex编码就是把一个8位的字节数据用两个十六进制数展示出来，编码时，将8位二进制码重新分组成两个4位的字节，其中一个字节的低4位是原字节的高四位，另一个字节的低4位是原数据的低4位，高4位都补0，然后输出这两个字节对应十六进制数字作为编码。在本发明的一些实施例中，

所述将所述目标字段、所述标记的HTTP请求地址和攻击内容转化为Snort规则文件，包括：

判断所述提取后的攻击内容中是否存在特殊字符，若存在，则对所述提取后的攻击内容进行编码得到Hex格式的攻击内容；

判断所述提取后的字段中的漏洞名称和漏洞描述信息是否为英文，是，调用翻译接口将所述提取后的字段中的漏洞名称和漏洞描述信息翻译成中文。

在本发明的一些实施例中，将所述Snort规则文件存入数据库，包括:

将所述Snort规则文件输入到POC扫描工具中进行验证，验证通过后存入数据库。具体为：规则文件生成后，会自动加载本地poc扫描工具，如Nuclei。加载对应的yaml规则文件，对靶机目标进行扫描探测。

同时POC扫描工具中的snort模块引用对应的规则文件对生成的规则文件进行检测，并通过python调用抓包程序如tcpdump，对流量进行监听，并在2s后使用pexpect库退出抓包进程，生成抓包文件。验证通过以后，将生成的规则文件存入数据库中。

为了更好实施本发明实施例中的一种基于POC生成规则文件的方法，在一种基于POC生成规则文件的方法基础之上，对应的，如图2所示，本发明实施例还提供了一种基于POC生成规则文件的装置，一种基于POC生成规则文件的装置200包括：

攻击信息提取单元201，用于对POC文件中的HTTP请求地址和攻击内容进行标记，并提取标记的HTTP请求地址和攻击内容；

目标字段提取单元202，用于提取所述POC文件中的目标字段；

规则文件生成单元203，用于将所述目标字段、所述标记的HTTP请求地址和攻击内容转化为Snort规则文件并将所述Snort规则文件存入数据库。

上述实施例提供的一种基于POC生成规则文件的装置200可实现上述自一种基于POC生成规则文件的方法实施例中描述的技术方案，上述各模块或单元具体实现的原理可参见上述一种基于POC生成规则文件的方法实施例中的相应内容，此处不再赘述。

如图3所示，本发明还相应提供了一种电子设备300。该电子设备300包括处理器301、存储器302及显示器303。图3仅示出了电子设备300的部分组件，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。

处理器301在一些实施例中可以是一中央处理器（Central Processing Unit，CPU），微处理器或其他数据处理芯片，用于运行存储器302中存储的程序代码或处理数据，例如本发明中的一种基于POC生成规则文件的方法。

在一些实施例中，处理器301可以是单个服务器或服务器组。服务器组可为集中式或分布式的。在一些实施例中，处理器301可为本地的或远程的。在一些实施例中，处理器301可实施于云平台。在一实施例中，云平台可包括私有云、公共云、混合云、社区云、分布式云、内部间、多重云等，或以上的任意组合。

存储器302在一些实施例中可以是电子设备300的内部存储单元，例如电子设备300的硬盘或内存。存储器302在另一些实施例中也可以是电子设备300的外部存储设备，例如电子设备300上配备的插接式硬盘，智能存储卡（Smart Media Card，SMC），安全数字（Secure Digital，SD）卡，闪存卡（Flash Card）等。

进一步地，存储器303还可既包括电子设备300的内部储存单元也包括外部存储设备。存储器302用于存储安装电子设备300的应用软件及各类数据。

显示器303在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED（Organic Light-Emitting Diode，有机发光二极管）触摸器等。显示器303用于显示在电子设备300的信息以及用于显示可视化的用户界面。电子设备300的部件301-303通过系统总线相互通信。

在一实施例中，当处理器301执行存储器302中的一种基于POC生成规则文件程序时，可实现以下步骤：

对POC文件中的HTTP请求地址和攻击内容进行标记，并提取标记的HTTP请求地址和攻击内容；

提取所述POC文件中的目标字段；

将所述目标字段、所述标记的HTTP请求地址和攻击内容转化为Snort规则文件并将所述Snort规则文件存入数据库。

应当理解的是：处理器301在执行存储器302中的一种基于POC生成规则程序时，除了上面的功能之外，还可实现其它功能，具体可参见前面相应方法实施例的描述。

进一步地，本发明实施例对提及的电子设备300的类型不做具体限定，电子设备300可以为手机、平板电脑、个人数字助理(personaldigitalassistant，PDA)、可穿戴设备、膝上型计算机(laptop)等便携式电子设备。便携式电子设备的示例性实施例包括但不限于搭载IOS、android、microsoft或者其他操作系统的便携式电子设备。上述便携式电子设备也可以是其他便携式电子设备，诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。还应当理解的是，在本发明其他一些实施例中，电子设备300也可以不是便携式电子设备，而是具有触敏表面(例如触控面板)的台式计算机。

本领域技术人员可以理解，实现上述实施例方法的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读存储介质中。其中，所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。