CN110278201A - 安全策略评价方法及装置、计算机可读介质和电子设备 - Google Patents
安全策略评价方法及装置、计算机可读介质和电子设备 Download PDFInfo
- Publication number
- CN110278201A CN110278201A CN201910506737.3A CN201910506737A CN110278201A CN 110278201 A CN110278201 A CN 110278201A CN 201910506737 A CN201910506737 A CN 201910506737A CN 110278201 A CN110278201 A CN 110278201A
- Authority
- CN
- China
- Prior art keywords
- security strategy
- data
- sample
- alarm
- sample data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种安全策略评价方法及装置、计算机可读介质和电子设备,涉及信息安全技术领域。该安全策略评价方法包括:确定安全策略的一组或多组输入配置参数,并根据一组或多组输入配置参数将目标样本数据输入对应的数据输入点;利用安全策略对由数据输入点输入的目标样本数据进行处理,以输出告警数据;将告警数据与预配置输出集合进行比对,并基于比对结果对安全策略进行评价。本公开提高了安全策略评价的处理效率。
Description
技术领域
本公开涉及信息安全技术领域,具体而言,涉及一种安全策略评价方法、安全策略评价装置、计算机可读介质和电子设备。
背景技术
为了应对网络攻击或者黑客入侵等威胁,企业需要建设自己的安全防护体系,安全防护体系中的一个重要组成部分为安全策略,安全策略通过对日志等数据的分析,发现威胁,并进行告警。
目前,对于安全策略的评价过程,往往借助于现场模拟攻击行为和模拟业务行为的方式实现,而模拟以及准备测试用例的过程均需要人为参与,人力成本高。另外,在快节奏的安全攻防对抗中,这种人为参与会导致安全策略的评价过程效率低的问题,进而可能影响安全策略的开发速度以及是否能够及时上线。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种安全策略评价方法、安全策略评价装置、计算机可读介质和电子设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的安全策略评价速度慢、效率低的问题。
根据本公开的第一个方面,提供了一种安全策略评价方法,该方法包括:确定安全策略的一组或多组输入配置参数,并根据一组或多组输入配置参数将目标样本数据输入对应的数据输入点;利用安全策略对由数据输入点输入的目标样本数据进行处理,以输出告警数据;将告警数据与预配置输出集合进行比对,并基于比对结果对安全策略进行评价。
根据本公开的第二个方面,提供了一种安全策略评价装置,该装置包括样本输入模块、告警输出模块和策略评价模块。
具体的,样本输入模块用于确定安全策略的一组或多组输入配置参数,并根据一组或多组输入配置参数将目标样本数据输入对应的数据输入点;告警输出模块用于利用安全策略对由数据输入点输入的目标样本数据进行处理,以输出告警数据;策略评价模块用于将告警数据与预配置输出集合进行比对,并基于比对结果对安全策略进行评价。
可选地,告警输出模块还被配置为执行:如果安全策略的所有数据输入点中存在未输入有目标样本数据的数据输入点,则向未输入有目标样本数据的数据输入点输入用户日志数据;利用安全策略对输入的目标样本数据和用户日志数据进行处理,以输出告警数据。
可选地,样本输入模块包括样本表名确定单元和样本输入单元。
具体的,样本表名确定单元用于根据所述一组或多组输入配置参数确定待输入数据输入点的目标样本数据的样本表名;样本输入单元用于基于确定出的样本表名获取目标样本数据,并将目标样本数据输入对应的数据输入点。
可选地,安全策略评价装置还包括样本分类模块。
具体的,样本分类模块用于将历史原始日志作为样本数据,对样本数据进行分类处理;根据分类处理的结果确定各样本数据的样本表名。
可选地,安全策略评价装置还包括样本存储模块。
具体的,样本存储模块用于将样本数据存储于样本库中;其中,响应针对不同安全策略的评价过程,均从样本库中获取对应的样本数据。
可选地,策略评价模块包括攻击比对单元。
具体的,攻击比对单元用于确定与告警数据对应的攻击行为标识;将与告警数据对应的攻击行为标识与预配置输出集合中的攻击行为标识进行比对。
可选地,策略评价模块包括策略评价单元。
具体的,策略评价单元用于基于比对结果确定安全策略的覆盖率和误报率;利用覆盖率和误报率对安全策略进行评价。
根据本公开的第三个方面,提供了一种计算机可读介质,其上存储有计算机程序,计算机程序被处理器执行时上述安全策略评价方法。
根据本公开的第四个方面,提供一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上述安全策略评价方法。
在本公开的一些实施例所提供的技术方案中,根据输入配置参数,自动将样本数据输入到安全策略的数据输入点,由该安全策略对样本数据进行处理,得到告警数据,将该告警数据与预配置输出集合进行比对,并基于比对结果对该安全策略进行评价。通过自动化的评价流程,消除了需要人为参与模拟所花费的时间,提高了安全策略评价的处理效率,进而有助于加快安全策略的开发以及上线速度,及时为企业或个人的安全提供保障。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了可以应用本发明实施例的安全策略评价方法或安全策略评价装置的示例性系统架构的示意图;
图2示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图;
图3示意性示出了根据本公开的示例性实施方式的安全策略评价方法的流程图;
图4示出了根据本公开的示例性实施方式的样本数据管理页面的示意图;
图5示意性示出了根据本公开的示例性实施方式的实现安全策略评价以及安全策略上线的架构图;
图6示意性示出了根据本公开的示例性实施方式的安全策略评价装置的方框图;
图7示意性示出了根据本公开的示例性实施方式的样本输入模块的方框图;
图8示意性示出了根据本公开的另一示例性实施方式的安全策略评价装置的方框图;
图9示意性示出了根据本公开的又一示例性实施方式的安全策略评价装置的方框图;
图10示意性示出了根据本公开的示例性实施方式的策略评价模块的方框图;
图11示意性示出了根据本公开的另一示例性实施方式的策略评价模块的方框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
图1示出了可以应用本发明实施例的安全策略评价方法或安全策略评价装置的示例性系统架构的示意图。
如图1所示,系统架构1000可以包括终端设备1001、1002、1003中的一种或多种,网络1004和服务器1005。网络1004用以在终端设备1001、1002、1003和服务器1005之间提供通信链路的介质。网络1004可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。比如服务器1005可以是多个服务器组成的服务器集群等。
用户可以使用终端设备1001、1002、1003通过网络1004与服务器1005交互,以接收或发送消息等。终端设备1001、1002、1003可以是具有显示屏的各种电子设备,包括但不限于智能手机、平板电脑、便携式计算机和台式计算机等等。
服务器1005可以是提供各种服务的服务器。例如,服务器1005可以确定安全策略的一组或多组输入配置参数,根据所述一组或多组输入配置参数将目标样本数据输入对应的数据输入点,利用该安全策略对由数据输入点输入的目标样本数据进行处理,以输出告警数据,将告警数据与预配置输出集合进行比对,并基于比对结果对该安全策略进行评价。
此外,安全策略的评价结果可以以评分的形式表示,在这种情况下,服务器1005可以确定出不同安全策略的评分,并将评分最高的安全策略部署上线。
需要说明的是,本公开示例性实施方式提供的安全策略评价方法一般由服务器1005执行,相应地,下面描述的安全策略评价装置一般配置在服务器1005中。
然而,下述安全策略评价方法还可以由终端设备1001、1002、1003实现,本公开对此不做特殊限制。
图2示出了适于用来实现本公开示例性实施方式的电子设备的计算机系统的结构示意图。
需要说明的是,图2示出的电子设备的计算机系统200仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图2所示,计算机系统200包括中央处理单元(CPU)201,其可以根据存储在只读存储器(ROM)202中的程序或者从存储部分208加载到随机访问存储器(RAM)203中的程序而执行各种适当的动作和处理。在RAM 203中,还存储有系统操作所需的各种程序和数据。CPU201、ROM 202以及RAM 203通过总线204彼此相连。输入/输出(I/O)接口205也连接至总线204。
以下部件连接至I/O接口205:包括键盘、鼠标等的输入部分206;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分207;包括硬盘等的存储部分208;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至I/O接口205。可拆卸介质211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器210上,以便于从其上读出的计算机程序根据需要被安装入存储部分208。
特别地,根据本公开的实施例,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分209从网络上被下载和安装,和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(CPU)201执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如下述实施例中所述的方法。
安全策略的目标是:尽可能对历史案例或已知攻击手法形成更好的覆盖,而对正常的业务行为降低误报。为了达到这一目标,需要对安全策略的逻辑或参数进行反复调试,调试前后的安全策略是不同的安全策略,或者是安全策略的不同版本。接下来,对安全策略的不同版本进行评价,选取评价最好的版本,部署到实际线上环境。
相关技术对安全策略进行评价的过程主要包括:现场模拟攻击行为,观察安全策略是否能够按照预期进行告警;现场模拟正常的业务行为,观察安全策略是否会产生误报。
然而,一方面,现场模拟攻击行为或模拟业务行为需要配备专门的测试人员,每次需要准备测试用例,依次进行测试,并收集相应的结果,进行统计后再给出综合评估,人力成本高;另一方面,由于企业需要开发的安全策略数量往往较多,一般会有多个安全策略并行开发中,对于每个安全策略,从开始开发到部署上线,平均需要数十次的调试,因此,依靠测试人员的方案在人力资源上会产生明显瓶颈,出现等待测试资源或者测试不充分等问题,严重影响安全策略的上线速度。
可以看出,相关技术限制了安全策略的开发及上线速度,在快节奏的安全攻防对抗中,该问题尤为突出。
鉴于此,本公开示例性实施方式提供了一种新的安全策略评价方法。
图3示意性示出了本公开的示例性实施方式的安全策略评价方法的流程图。参考图3,所述安全策略评价方法可以包括以下步骤:
S32.确定安全策略的一组或多组输入配置参数,并根据一组或多组输入配置参数将目标样本数据输入对应的数据输入点。
在本公开的示例性实施方式中,可以预先构建样本库,以便在对安全策略进行评价时,可以直接从样本库获取目标样本数据。需要说明的是,目标样本数据通常是样本库中所有样本数据的一部分,然而,目标样本数据还可以对应样本库中所有样本数据,本示例性实施方式中对此不做特殊限定。
区别于自动化测试中的用例(记录用户的动作),本公开示例性实施方式的样本库记录的样本数据是历史原始日志,即攻击行为或正常业务行为在用户日志库中留下的数据痕迹。
另外,可以对历史原始日志进行分类处理,根据分类处理的结果确定各样本数据的样本表名,也就是说,样本库中,分为多张样本表进行数据存储。
例如,一次木马攻击后启动木马进程,并连接黑客控制器,这一攻击对应的样本数据即为:用户日志库中对应机器上攻击时段内的进程启动日志数据以及网络连接日志数据。这两份数据均可以包含若干条数据内容,分别导入到样本库中的进程表和网络表中进行存储。
在本公开的一些实施例中,如图4所示,可以提供Web化的样本数据管理页面。针对样本数据导入过程,一方面,如果是用户自身被攻击或者进行模拟攻击演习,则可以直接在Web页面中确定攻击的目标机器标识、攻击时段、样本表名等,样本库后台的数据拉取模块可以自动检索用户日志库中符合条件的数据,并写入到对应的样本表中;另一方面,如果不是用户自身的案例,如通过外部情报源得到的样本数据,则可以对这些数据进行预处理,以与用户样本表的结构适配,并通过Web页面的Excel方式直接导入到对应样本表。
此外,在样本数据管理方面,可以将样本数据分为黑样本、白样本和待处理样本三类。其中,黑样本表示攻击行为的样本数据;白样本表示正常业务行为的样本数据;待处理样本表示待人为确定是黑样本还是白样本的样本数据。
由此,本公开示例性实施方式的样本库中的样本数据以标准化形式进行存储,并可以开放共享该样本库,以便应用于对不同安全策略或安全策略的不同版本进行评价的过程,大大提升了样本案例的复用效率。
在构建出样本库后,可以从样本库中获取样本数据以便对安全策略进行评价。
具体的,可以获取预先设置的针对安全策略评价的配置参数。配置参数可以包括输入配置参数和输出配置参数,分别用于表征样本数据输入安全策略的哪个(或哪些)数据输入点以及从哪里读取安全策略的告警输出。其中,数据输入点又可以被称为样本注入点,告警输出的位置又可以被称为告警输出点。
针对一次安全策略评价过程的配置参数,可以包括一组或多组输入配置参数。而对于每组输入配置参数,可以以<数据输入点,样本表名>的二元组表示,由此,可以根据样本表名从样本库中获取目标样本数据,并将目标样本数据输入至与该样本表名对应的数据输入点。
S34.利用安全策略对由数据输入点输入的目标样本数据进行处理,以输出告警数据。
通常安全策略存在多个数据输入点,在步骤S32中,这些数据输入点可以部分或全部输入有目标样本数据。
如果安全策略的所有数据输入点中存在未输入有目标样本数据的数据输入点,则可以向未输入有目标样本数据的数据输入点输入用户日志数据。在这种情况下,可以利用安全策略对输入的目标样本数据和用户日志数据进行处理,以输出告警数据。
应当注意的是,本公开示例性实施方式对上述数据处理的具体逻辑过程和参数设置不做特殊限制,可以由测试人员自行进行配置。针对确定的安全策略,其处理逻辑和参数应当是固定的,也就是说,针对一个安全策略,对样本数据进行处理后的输出结果是稳定的。另外,在本公开的示例性实施方式中,经安全策略对目标样本数据进行处理后的输出结果为告警数据。
S36.将告警数据与预配置输出集合进行比对,并基于比对结果对安全策略进行评价。
在本公开的示例性实施方式中,预配置输出集合为安全策略预期输出的攻击行为集合,其每一个元素可以是预先配置的攻击行为标识(或称为攻击KEY),该攻击行为标识可以是一个字段或多个字段的组合。应当理解的是,一次攻击行为可能会触发多条告警数据,例如,安全策略检测到攻击行为尚未结束,可以选择持续输出告警数据,鉴于此,攻击行为和告警数据可能是一对多的关系。
在本公开一个实例中,攻击行为标识的形式可以被设置为<攻击日期,攻击目的IP>,在这种情况下,对于同一天在同一目的IP上的所有告警都被视为同一次攻击;在本公开的另一个实例中,攻击行为标识的形式可以被设置为<攻击日期,攻击目的IP,木马进程名>,在这种情况下,对于同一天在同一目的IP上且进程名相同的告警被视为同一次攻击。然而,不限于此,攻击行为标识还可以有其他表示形式,例如,仅以攻击目的IP或仅以木马进程名进行表示,本示例性实施方式中对此不做特殊限定。
针对预配置输出集合的配置方式,在一个实例中,预配置输出集合由样本库维护人员统一维护,每当在样本库中增加一批对应某个攻击的黑样本时,也同时将该攻击的攻击行为标识添加到对应的预配置输出集合中,在对安全策略进行评价时,每次均配置统一维护的标识集合。这种方式属于全量配置方式,也就是说,无论安全策略应对攻击的成熟度如何,每次均利用所有的已知案例进行处理。
在另一个实例中,由安全策略开发人员根据安全策略当前建设的阶段,自行决定预配置输出集合。例如,当前阶段,安全策略应当具备检测a、b、c三种攻击手法的能力,则从样本库中筛选出属于a、b、c三种攻击手段的数据得到对应的预配置输出集合。这种配置方式属于部分配置方式,也就是说,根据安全策略应对攻击的成熟度,选择相应的案例进行处理。
以攻击行为标识被设置为<攻击日期,攻击目的IP、木马进程名>为例,预配置输出集合可以如表1所示:
表1
| 攻击日期 | 攻击目的IP | 木马进程名 |
| 20180502 | 10.0.0.1 | /bin/a |
| 20180515 | 10.0.0.2 | /usr/bin/b |
| … | … | … |
| 20180605 | 10.0.0.15 | /usr/c |
在确定出预配置输出集合后,可以将步骤S34中输出的告警数据与预配置输出结果进行比对。具体的,告警数据中包含攻击行为标识,可以理解的是,告警数据与预配置输出结果的比对过程,即是告警数据中攻击行为标识与预配置输出结果中攻击行为标识的比对过程。
具体的,首先,可以确定与告警数据对应的攻击行为标识;接下来,将与告警数据对应的攻击行为标识与预配置输出集合中的攻击行为标识进行比对。
例如,针对一个检测木马攻击的安全策略,告警数据可以是如下格式的五元组:
<攻击日期,攻击时刻,攻击目的IP,木马进程名,启动用户名>
以表1为例,可以将告警数据中的攻击日期、攻击目的IP和木马进程名与预配置输出集合中的每一行数据进行比对。
然而,本公开另一些实施例还可以直接利用攻击目的IP或木马进程名实现比对过程,本示例性实施方式中对此不做特殊限定。
在本公开的示例性实施方式中,可以基于比对结果对安全策略进行评价。具体的,可以基于比对结果确定安全策略的覆盖率和误报率,并利用确定出的覆盖率和误报率对该安全策略进行评价。其中,覆盖率为产生告警的攻击行为次数与总攻击行为次数的比值,误报率为产生告警的正常业务行为次数与总业务行为次数的比值。
例如,将安全策略输出告警数据中涉及的攻击行为标识的集合记为X,其中,X包含误判为攻击行为的情况。将预配置输出集合中攻击行为标识的集合记为Y。在这种情况下,可以得到:
正确集合(应告警且实告警的攻击行为标识集合)=X∩Y
漏报集合(应告警但未告警的攻击行为标识集合)=Y-X∩Y
误报集合(不应告警但告警的攻击行为表示集合)=X-X∩Y
由此,覆盖率和误报率可以被分别表示为公式1和公式2。
覆盖率=|X∩Y|/|Y|×100% (公式1)
误报率=(X-X∩Y)/|X|×100% (公式2)
另外,可以将计算出的覆盖率和误报率展示在Web页面上,以便供测试人员进一步分析,调整安全策略的逻辑和参数。
接下来,可以根据覆盖率和误报率对该安全策略进行评分,并将评分结果作为对该安全策略的评价结果。具体的,可以基于公式3确定出评分结果。
评分=覆盖率-误报率*w (公式3)
其中,w介于0与1之间,可以根据用户实际情况确定具体数据,例如,如果用户可以接受较高的误报,则可以将w调低;如果用户对误报情况要求较严格,则可以将w调高。
此外,在确定出一个安全策略的评分后,可以针对不同版本的安全策略均执行类似上述的评价过程,得到与各版本安全策略对应的评分,并选取评分最高的安全策略,将其部署上线。
下面将参考图5,以评价用于木马检测的安全策略为例,对上述安全策略评价方法进行示例性说明。
该安全策略通过分析三份日志数据,来确定服务器是否被安装了木马。这三份日志数据分别为服务器登录日志、进程启动日志和网络连接日志。其中,服务器登录日志不一定是必须的,但一般都会存在启动进程和网络连接行为。可见,安全策略有三个数据输入点,分别为服务器登录日志数据输入点(标记为A),进程启动日志数据输入点(标记为B),网络连接日志数据输入点(标记为C),检测到异常,则通过数据输出点(标记为G)进行告警输出。
样本库存储有若干木马攻击的样本数据,假设这些样本数据均是在未登陆服务器的情况下实施的,因此,样本库仅存在进程启动黑样本以及网络连接黑样本,分别存储在进程启动样本表和网络连接样本表中。
在设置配置参数时,两组输入配置参数可以为:<B,进程启动样本表>,<C,网络连接样本表>,并将告警输出点设置为G。
对于数据接入点A,输入用户日志数据流,具体的,可以输入用户日志库中的登录日志数据流。
安全策略中D、E、F可以表示基于该安全策略的处理逻辑的处理节点。应当理解的是,图中所示的逻辑关系仅是示例性描述,本公开对安全策略内部的处理过程不做特殊限制。
接下来,安全策略输出的告警数据可以与预配置输出集合进行比较,并根据比较结果确定出该安全策略的覆盖率和误报率,并将覆盖率和误报率反馈给测试人员,以便测试人员进行决策,确定是否部署该安全策略上线。
应当注意,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
进一步的,本示例实施方式中还提供了一种安全策略评价装置。
图6示意性示出了本公开的示例性实施方式的安全策略评价装置的方框图。参考图6,根据本公开的示例性实施方式的安全策略评价装置6可以包括样本输入模块61、告警输出模块63和策略评价模块65。
具体的,样本输入模块61可以用于确定安全策略的一组或多组输入配置参数,并根据一组或多组输入配置参数将目标样本数据输入对应的数据输入点;告警输出模块63可以用于利用安全策略对由数据输入点输入的目标样本数据进行处理,以输出告警数据;策略评价模块65可以用于将告警数据与预配置输出集合进行比对,并基于比对结果对安全策略进行评价。
采用本公开示例性实施方式的安全策略评价装置,可以实现自动化的评价流程,消除了需要人为参与模拟所花费的时间,提高了安全策略评价的处理效率,进而有助于加快安全策略的开发以及上线速度,及时为企业或个人的安全提供保障。
根据本公开的示例性实施例,告警输出模块63还可以被配置为执行:如果安全策略的所有数据输入点中存在未输入有目标样本数据的数据输入点,则向未输入有目标样本数据的数据输入点输入用户日志数据;利用安全策略对输入的目标样本数据和用户日志数据进行处理,以输出告警数据。
根据本公开的示例性实施例,参考图7,样本输入模块61可以包括样本表名确定单元701和样本输入单元703。
具体的,样本表名确定单元701可以用于根据所述一组或多组输入配置参数确定待输入数据输入点的目标样本数据的样本表名;样本输入单元703可以用于基于确定出的样本表名获取目标样本数据,并将目标样本数据输入对应的数据输入点。
根据本公开的示例性实施例,参考图8,安全策略评价装置8相比于安全策略评价装置6,还可以包括样本分类模块81。
具体的,样本分类模块81可以用于将历史原始日志作为样本数据,对样本数据进行分类处理;根据分类处理的结果确定各样本数据的样本表名。
根据本公开的示例性实施例,参考图9,安全策略评价装置9相比于安全策略评价装置8,还可以包括样本存储模块91。
具体的,样本存储模块91可以用于将样本数据存储于样本库中;其中,响应针对不同安全策略的评价过程,均从样本库中获取对应的样本数据。
根据本公开的示例性实施例,参考图10,策略评价模块65可以包括攻击比对单元101。
具体的,攻击比对单元101可以用于确定与告警数据对应的攻击行为标识;将与告警数据对应的攻击行为标识与预配置输出集合中的攻击行为标识进行比对。
根据本公开的示例性实施例,参考图11,策略评价模块65还可以包括策略评价单元111。
具体的,策略评价单元111可以用于基于比对结果确定安全策略的覆盖率和误报率;利用覆盖率和误报率对安全策略进行评价。
由于本发明实施方式的程序运行性能分析装置的各个功能模块与上述方法发明实施方式中相同,因此在此不再赘述。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。
Claims (10)
1.一种安全策略评价方法,其特征在于,包括:
确定安全策略的一组或多组输入配置参数,并根据所述一组或多组输入配置参数将目标样本数据输入对应的数据输入点;
利用所述安全策略对由所述数据输入点输入的所述目标样本数据进行处理,以输出告警数据;
将所述告警数据与预配置输出集合进行比对,并基于比对结果对所述安全策略进行评价。
2.根据权利要求1所述的安全策略评价方法,其特征在于,利用所述安全策略对由所述数据输入点输入的所述目标样本数据进行处理,以输出告警数据包括:
如果所述安全策略的所有数据输入点中存在未输入有所述目标样本数据的数据输入点,则向所述未输入有所述目标样本数据的数据输入点输入用户日志数据;
利用所述安全策略对输入的所述目标样本数据和所述用户日志数据进行处理,以输出所述告警数据。
3.根据权利要求2所述的安全策略评价方法,其特征在于,根据所述一组或多组输入配置参数将目标样本数据输入对应的数据输入点包括:
根据所述一组或多组输入配置参数确定待输入数据输入点的所述目标样本数据的样本表名;
基于所述样本表名获取所述目标样本数据,并将所述目标样本数据输入对应的数据输入点。
4.根据权利要求3所述的安全策略评价方法,其特征在于,所述安全策略评价方法还包括:
将历史原始日志作为样本数据,对所述样本数据进行分类处理;
根据分类处理的结果确定各所述样本数据的样本表名。
5.根据权利要求4所述的安全策略评价方法,其特征在于,所述安全策略评价方法还包括:
将所述样本数据存储于样本库中;
其中,响应针对不同安全策略的评价过程,均从所述样本库中获取对应的样本数据。
6.根据权利要求1所述的安全策略评价方法,其特征在于,将所述告警数据与预配置输出集合进行比对包括:
确定与所述告警数据对应的攻击行为标识;
将与所述告警数据对应的攻击行为标识与所述预配置输出集合中的攻击行为标识进行比对。
7.根据权利要求1或6所述的安全策略评价方法,其特征在于,基于比对结果对所述安全策略进行评价包括:
基于比对结果确定所述安全策略的覆盖率和误报率;
利用所述覆盖率和误报率对所述安全策略进行评价。
8.一种安全策略评价装置,其特征在于,包括:
样本输入模块,用于确定安全策略的一组或多组输入配置参数,并根据所述一组或多组输入配置参数将目标样本数据输入对应的数据输入点;
告警输出模块,用于利用所述安全策略对由所述数据输入点输入的所述目标样本数据进行处理,以输出告警数据;
策略评价模块,用于将所述告警数据与预配置输出集合进行比对,并基于比对结果对所述安全策略进行评价。
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至7中任一项所述的安全策略评价方法。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至7中任一项所述的安全策略评价方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910506737.3A CN110278201B (zh) | 2019-06-12 | 2019-06-12 | 安全策略评价方法及装置、计算机可读介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910506737.3A CN110278201B (zh) | 2019-06-12 | 2019-06-12 | 安全策略评价方法及装置、计算机可读介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110278201A true CN110278201A (zh) | 2019-09-24 |
| CN110278201B CN110278201B (zh) | 2022-08-23 |
Family
ID=67960691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910506737.3A Active CN110278201B (zh) | 2019-06-12 | 2019-06-12 | 安全策略评价方法及装置、计算机可读介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110278201B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110727558A (zh) * | 2019-10-09 | 2020-01-24 | 北京字节跳动网络技术有限公司 | 信息提示方法、装置、存储介质及电子设备 |
| CN111786980A (zh) * | 2020-06-24 | 2020-10-16 | 广州海颐信息安全技术有限公司 | 基于行为的特权账户威胁告警方法 |
| CN112685277A (zh) * | 2020-12-31 | 2021-04-20 | 海光信息技术股份有限公司 | 警告信息检查方法、装置、电子设备和可读存储介质 |
| CN114765584A (zh) * | 2020-12-30 | 2022-07-19 | 苏州国双软件有限公司 | 一种用户行为监测方法、装置、电子设备及存储介质 |
| CN116962081A (zh) * | 2023-09-19 | 2023-10-27 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130111222A1 (en) * | 2011-10-31 | 2013-05-02 | Advanced Biometric Controls, Llc | Verification of Authenticity and Responsiveness of Biometric Evidence And/Or Other Evidence |
| US20130151556A1 (en) * | 2011-12-09 | 2013-06-13 | Yamaha Corporation | Sound data processing device and method |
| US20150039762A1 (en) * | 2012-04-23 | 2015-02-05 | Tencent Technology (Shenzhen) Company Limited | Method and system for accessing network service |
| CN108090366A (zh) * | 2017-12-05 | 2018-05-29 | 深圳云天励飞技术有限公司 | 数据保护方法及装置、计算机装置及可读存储介质 |
| US20180157987A1 (en) * | 2016-12-02 | 2018-06-07 | Sap Se | Dynamic form with machine learning |
| CN108229573A (zh) * | 2018-01-17 | 2018-06-29 | 北京中星微人工智能芯片技术有限公司 | 基于决策树的分类计算方法和装置 |
| CN108351968A (zh) * | 2017-12-28 | 2018-07-31 | 深圳市锐明技术股份有限公司 | 一种针对犯罪活动的告警方法、装置、存储介质及服务器 |
| CN108829535A (zh) * | 2018-06-08 | 2018-11-16 | 上海擎创信息技术有限公司 | 数据处理方法、终端及计算机可读存储介质 |
| CN109309687A (zh) * | 2018-11-27 | 2019-02-05 | 杭州迪普科技股份有限公司 | 网络安全防御方法、装置及网络设备 |
| CN109324960A (zh) * | 2018-08-13 | 2019-02-12 | 中国平安人寿保险股份有限公司 | 基于大数据分析的自动测试方法及终端设备 |
| US20190158525A1 (en) * | 2016-02-29 | 2019-05-23 | Palo Alto Networks, Inc. | Automatically grouping malware based on artifacts |
| CN109815084A (zh) * | 2018-12-29 | 2019-05-28 | 北京城市网邻信息技术有限公司 | 异常识别方法、装置和电子设备及存储介质 |
| CN109842632A (zh) * | 2019-03-27 | 2019-06-04 | 深信服科技股份有限公司 | 一种网络系统的脆弱点确定方法、系统及相关组件 |
-
2019
- 2019-06-12 CN CN201910506737.3A patent/CN110278201B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130111222A1 (en) * | 2011-10-31 | 2013-05-02 | Advanced Biometric Controls, Llc | Verification of Authenticity and Responsiveness of Biometric Evidence And/Or Other Evidence |
| US20130151556A1 (en) * | 2011-12-09 | 2013-06-13 | Yamaha Corporation | Sound data processing device and method |
| US20150039762A1 (en) * | 2012-04-23 | 2015-02-05 | Tencent Technology (Shenzhen) Company Limited | Method and system for accessing network service |
| US20190158525A1 (en) * | 2016-02-29 | 2019-05-23 | Palo Alto Networks, Inc. | Automatically grouping malware based on artifacts |
| US20180157987A1 (en) * | 2016-12-02 | 2018-06-07 | Sap Se | Dynamic form with machine learning |
| CN108090366A (zh) * | 2017-12-05 | 2018-05-29 | 深圳云天励飞技术有限公司 | 数据保护方法及装置、计算机装置及可读存储介质 |
| CN108351968A (zh) * | 2017-12-28 | 2018-07-31 | 深圳市锐明技术股份有限公司 | 一种针对犯罪活动的告警方法、装置、存储介质及服务器 |
| CN108229573A (zh) * | 2018-01-17 | 2018-06-29 | 北京中星微人工智能芯片技术有限公司 | 基于决策树的分类计算方法和装置 |
| CN108829535A (zh) * | 2018-06-08 | 2018-11-16 | 上海擎创信息技术有限公司 | 数据处理方法、终端及计算机可读存储介质 |
| CN109324960A (zh) * | 2018-08-13 | 2019-02-12 | 中国平安人寿保险股份有限公司 | 基于大数据分析的自动测试方法及终端设备 |
| CN109309687A (zh) * | 2018-11-27 | 2019-02-05 | 杭州迪普科技股份有限公司 | 网络安全防御方法、装置及网络设备 |
| CN109815084A (zh) * | 2018-12-29 | 2019-05-28 | 北京城市网邻信息技术有限公司 | 异常识别方法、装置和电子设备及存储介质 |
| CN109842632A (zh) * | 2019-03-27 | 2019-06-04 | 深信服科技股份有限公司 | 一种网络系统的脆弱点确定方法、系统及相关组件 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110727558A (zh) * | 2019-10-09 | 2020-01-24 | 北京字节跳动网络技术有限公司 | 信息提示方法、装置、存储介质及电子设备 |
| CN111786980A (zh) * | 2020-06-24 | 2020-10-16 | 广州海颐信息安全技术有限公司 | 基于行为的特权账户威胁告警方法 |
| CN114765584A (zh) * | 2020-12-30 | 2022-07-19 | 苏州国双软件有限公司 | 一种用户行为监测方法、装置、电子设备及存储介质 |
| CN112685277A (zh) * | 2020-12-31 | 2021-04-20 | 海光信息技术股份有限公司 | 警告信息检查方法、装置、电子设备和可读存储介质 |
| CN116962081A (zh) * | 2023-09-19 | 2023-10-27 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
| CN116962081B (zh) * | 2023-09-19 | 2023-12-12 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110278201B (zh) | 2022-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110278201A (zh) | 安全策略评价方法及装置、计算机可读介质和电子设备 | |
| Kumar et al. | Adversarial machine learning-industry perspectives | |
| CN108322473B (zh) | 用户行为分析方法与装置 | |
| CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
| CN107547555A (zh) | 一种网站安全监测方法及装置 | |
| CN108347430A (zh) | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 | |
| CN110347547A (zh) | 基于深度学习的日志异常检测方法、装置、终端及介质 | |
| CN110992169A (zh) | 一种风险评估方法、装置、服务器及存储介质 | |
| CN110035049A (zh) | 先期网络防御 | |
| CN108833186A (zh) | 一种网络攻击预测方法及装置 | |
| CN109922032A (zh) | 用于确定登录账户的风险的方法和装置 | |
| CN108667854A (zh) | 网络漏洞检测方法及装置、网络漏洞自动发布系统 | |
| Sahlabadi et al. | Detecting abnormal behavior in social network websites by using a process mining technique | |
| Das et al. | Artificial intelligence in cyber security | |
| Cao et al. | Applying data mining in money laundering detection for the Vietnamese banking industry | |
| CN111931047B (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
| CN112651619A (zh) | 面向业务的风控方法及装置 | |
| CN109828906A (zh) | Ui自动化测试方法、装置、电子设备及存储介质 | |
| CN107180190A (zh) | 一种基于混合特征的Android恶意软件检测方法及系统 | |
| CN108959965A (zh) | 数据合规性审查方法和装置 | |
| CN111931048B (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
| CN111597555A (zh) | 一种基于云数据平台的区块链内部数据智能发布系统及方法 | |
| CN115237724A (zh) | 基于人工智能的数据监控方法、装置、设备及存储介质 | |
| Dugyala et al. | Analysis of malware detection and signature generation using a novel hybrid approach | |
| Stewart et al. | Effect of network architecture changes on ocsvm based intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |