CN113328981A - 一种规则质量检测方法、装置、设备及可读存储介质 - Google Patents
一种规则质量检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113328981A CN113328981A CN202010656577.3A CN202010656577A CN113328981A CN 113328981 A CN113328981 A CN 113328981A CN 202010656577 A CN202010656577 A CN 202010656577A CN 113328981 A CN113328981 A CN 113328981A
- Authority
- CN
- China
- Prior art keywords
- rule
- detection
- detected
- quality
- performance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种规则质量检测方法、装置、设备及计算机可读存储介质,该方法包括:获取用于检测网络流量是否异常的待检测规则;获取用于对待检测规则的质量进行检测的检测数据;利用检测数据对待检测规则进行质量检测,得到质量检测结果;该方法在获取待检测规则后,需要获取用于对待检测规则的质量进行检测的检测数据。利用检测数据可以对待检测规则进行质量检测。因此不需要人工对待检测规则进行质量审核,大大提高了规则的审核效率,减少了所需时间和人工精力的消耗。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种规则质量检测方法、规则质量检测装置、规则质量检测设备及计算机可读存储介质。
背景技术
在网络安全领域,使用规则匹配网络流量的异常特征(本申请所述的异常特征可以为攻击特征)是非常重要而且有效的方案,用于描述异常特征的内容被称为规则。
规则质量的高低很大程度上影响了安全效果的优劣,但规则质量的评估是一个比较困难的问题。异常的形式千变万化,而针对异常特征提取的规则,很容易存在多方面的质量问题。这些问题往往是非显式地存在的,例如某规则可能会命中特定的正常流量,从而形成误报;某规则的部分特征可能在流量检测的过程中大量命中,从而产生较大的性能影响;某异常的特征可能很难通过特定的规则语法描述,从而产生规则描述与实际异常有所偏差,造成误报或是漏报的情况。在相关技术中,规则的质量往往难以保障,仅能通过人工手段进行质量确认,即由审核人员对规则进行审核。然而,该方法代价高且低效,对审核人员的能力要求很高,且对规则的质量保障效果也十分有限。
因此,如何解决利用人工对规则质量审核代价高且效率低的问题,是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种规则质量检测方法、规则质量检测装置、规则质量检测设备及计算机可读存储介质,解决了利用人工对规则质量审核代价高且效率低的问题。
为解决上述技术问题,本发明提供了一种规则质量检测方法,包括:
获取用于检测网络流量是否异常的待检测规则;
获取用于对所述待检测规则的质量进行检测的检测数据;
利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果。
可选地,所述检测数据包括静态特征库;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
利用所述静态特征库对所述待检测规则进行静态检测,得到静态质量检测结果。
可选地,所述检测数据包括正常网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
基于所述待检测规则检测所述正常网络流量是否存在异常,得到误报检测结果。
可选地,所述检测数据包括异常网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
基于所述待检测规则检测所述异常网络流量是否存在异常,得到漏报检测结果。
可选地,所述基于所述待检测规则检测所述异常网络流量是否存在异常,得到漏报检测结果,包括:
对所述异常网络流量进行绕过处理;
基于所述待检测规则检测经绕过处理后的异常网络流量,确定所述待检测规则是否存在漏报,得到漏报检测结果。
可选地,所述检测数据包括原始规则库以及用于对待检测规则进行性能检测的性能检测网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
将所述待检测规则加入所述原始规则库;
基于加入所述待检测规则后的原始规则库,对所述性能检测网络流量进行异常检测;
确定所述待检测规则的加入所述原始规则库后,在进行异常检测时的性能消耗增量。
可选地,所述性能检测网络流量的获取方法包括:
获取所述待检测规则的应用场景信息,并获取与所述待检测规则的应用场景信息对应的多个流量样本;
根据所述应用场景信息将所述多个流量样本进行混合处理,得到所述性能检测网络流量。
可选地,所述基于加入所述待检测规则后的原始规则库,对所述性能检测网络流量进行异常检测,包括:
基于加入所述待检测规则后的原始规则库,采用异常检测引擎对所述性能检测网络流量进行异常检测,其中,所述异常检测引擎为在初始异常检测引擎中加入用于对调用目标函数的次数进行统计的计数器后的引擎;
相应地,所述确定所述待检测规则的加入所述原始规则库后,在进行异常检测时的性能消耗增量,包括:
确定所述待检测规则的加入,在基于所述异常检测引擎进行异常检测时,根据所述异常检测引擎的输出得到调用所述目标函数的次数增量。
可选地,所述目标函数为对所述待检测规则中的特征串进行处理的函数;
相应地,所述规则质量检测方法还包括:
若调用对目标特征串处理的目标函数的次数大于预设阈值,则将所述目标特征串加入用于对所述待检测规则进行静态检测的静态特征库。
可选地,所述获取用于对所述待检测规则的质量进行检测的检测数据,包括:
当获取到所述待检测规则时,确定所述待检测规则的规则类型;
根据所述规则类型对多个数据库进行筛选,将与所述规则类型匹配的所述数据库确定为目标数据库;
从所述目标数据库中获取用于对所述待检测规则的质量进行检测的检测数据。
本发明还提供了一种规则质量检测装置,包括:
第一获取模块,用于获取用于检测网络流量是否异常的待检测规则;
第二获取模块,用于获取用于对所述待检测规则的质量进行检测的检测数据;
检测模块,用于利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果。
本发明还提供了一种规则质量检测设备,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的规则质量检测方法。
本发明还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的规则质量检测方法。
本发明提供的规则质量检测方法,获取用于检测网络流量是否异常的待检测规则;获取用于对待检测规则的质量进行检测的检测数据;利用检测数据对待检测规则进行质量检测,得到质量检测结果。
可见,该方法在获取待检测规则后,需要获取用于对待检测规则的质量进行检测的检测数据。利用检测数据可以对待检测规则进行质量检测。因此不需要人工对待检测规则进行质量审核,大大提高了规则的审核效率,减少了所需时间和人工精力的消耗,解决了利用人工对规则质量审核代价高且效率低的问题。同时,由于审核标准确定,因此可以保证规则审核的质量。
此外,本发明还提供了一种规则质量检测装置、规则质量检测设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种规则质量检测方法流程图;
图2为本发明实施例提供的一种静态检测和误报漏报检测方法流程图;
图3为本发明实施例提供的一种性能检测方法流程图;
图4为本发明实施例提供的另一种性能检测方法流程图;
图5为本发明实施例提供的一种规则质量检测装置的结构示意图;
图6为本发明实施例提供的一种规则质量检测设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
入侵检测/防御系统即Intrusion Detection/Prevention System,简称IDS/IPS,或IDPS,其是一种检测和防御网络入侵的系统。其中,IPS要求实时拦截,而IDS则通常旁路部署。该系统的关键特性为入侵检测技术,通常采用基于特征的模式匹配或者基于异常的算法建模方法,在接收到的网络数据包后,通过对网络数据包进行检测的方式检测入侵行为,并按照对应的动作对该报文进行处理,从而阻断或记录入侵行为,实现保护企业信息系统和网络免遭攻击的目的。IDPS系统广泛应用于网络安全设备中,如防火墙、态势感知系统等。
规则是指用于描述异常数据的特征的一系列数据或信息。IDPS系统按照规则的描述,对数据或流量进行检测,以便检测出指定描述的异常数据。
在网络安全领域,使用规则匹配数据或流量中的异常特征是非常重要而且有效的方案,因此,用于参与匹配的规则就变得尤为重要。规则质量的高低很大程度上影响了安全效果的优劣,质量较高(比如,异常特征描述准确)的规则可以提高匹配的准确程度,提高异常特征的检出能力;而质量较低(比如,异常特征描述不准确)的规则不仅会降低匹配准确程度,还会造成一定的误报,严重影响了入侵检测工作,本申请所述的“异常”可以为“攻击”。
然而,规则的质量的评估是较难解决的问题,相关技术一般采用人工审核的方式对编写好的规则进行审核,进而保证规则的质量。但是,这对规则审核者的技术能力要求较高,且审核效率较低,需要耗费较多的时间。
本实施例为了解决上述问题,提供了一种规则质量检测方法以及对应的装置、设备和可读存储介质。该方法获取进行质量检测的检测数据,以对待检测规则进行检测,最终得到检测结果。该方法可以无需利用人工对待检测规则进行审核,提高了审核效率和速度。
具体的,在一种可能的实施方式中,请参考图1,图1为本发明实施例提供的一种规则质量检测方法流程图。该方法包括:
S101:获取用于检测网络流量是否异常的待检测规则。
待检测规则为等待进行质量检测的规则,其具体可以为IPS规则,或者可以为IDS规则,可以为WAF(Web Application Firewall,网站应用级入侵防御系统)规则,或者也可以为杀毒软件规则等。根据待检测规则的具体内容的不同,其应用场景也不同,例如当待检测规则为IPS规则时,其被应用于入侵检测系统中,或者当待检测规则为杀毒软件规则时,其被应用于杀毒系统或病毒检测系统中。
本实施例并不限定待检测规则的获取方法,例如可以获取检测指令,其中包括待检测规则;或者当检测到检测信号时,从指定的端口或路径获取待检测规则。本实施例并不限定待检测规则的数量,例如可以在每次检测时仅获取一条待检测规则;或者可以在每次检测时获取一个规则库,其中包括多条待检测规则,在这种情况下,规则库中的待检测规则可以为同类的待检测规则,或者可以为不同种类的待检测规则。当同时获取多个待检测规则时,需要对每一个待检测规则进行质量检测。
S102:获取用于对待检测规则的质量进行检测的检测数据。
检测数据用于在检测过程中提供必要的数据,例如用于进行检测的流量或者检测需要遵循的规则等。本实施例不对检测数据的具体内容、形式以及生成方法做出限定,例如可以采用POC构建,POC即Proof of Concept,概念验证,也称为验证性触发代码,是对某些想法的较短而不完整的实现,以证明其可行性,示范其原理的方法,其目的是为了验证一些概念或理论。在计算机安全术语中,概念验证经常被用来作为0day(破解)、exploit(利用,漏洞利用)的别名。
检测数据的数量可以为一项或多项。需要说明的是,根据检测数据具体内容的不同,检测的方式也可以不同。例如根据检测数据具体内容的不同,检测的方式可以为静态检测、误报检测或性能检测。
S103:利用检测数据对待检测规则进行质量检测,得到质量检测结果。
在得到检测数据后,利用检测数据对待检测规则进行质量检测,即可得到质量检测结果。质量检测结果可以反映待检测规则的质量好坏,其具体内容与待检测规则以及检测的具体过程相关,本实施例不做限定。例如,当检测数据可以从某一个方面(例如静态检测、误报检测、漏保检测等)对待检测规则的质量进行检测时,质量检测结果仅包括这一个方面的质量检测的结果;当检测数据可以从多个方面对待检测规则进行多项质量检测时,质量检测结果可以包括这多个方面的质量检测的结果。
应用本发明实施例提供的规则质量检测方法,在获取待检测规则后,需要获取用于对待检测规则的质量进行检测的检测数据。利用检测数据可以对待检测规则进行质量检测。因此不需要人工对待检测规则进行质量审核,大大提高了规则的审核效率,减少了所需时间和人工精力的消耗,解决了利用人工对规则质量审核代价高且效率低的问题。同时,由于审核标准确定,因此可以保证规则审核的质量。
基于上述实施例,在一种可能的实施方式中,可以采用静态检测、误报检测和漏报检测对待检测规则进行质量检测。具体请参考图2,图2为本发明实施例提供的一种静态检测和误报漏报检测方法流程图,包括:
S201:当获取到待检测规则时,确定待检测规则的规则类型。
在一种可能的实施方式中,根据各个待检测规则的规则类型预设多个数据库,各个数据库中存储有对应类型的检测数据。在获取到待检测规则后,确定该待检测规则的规则类型。规则类型用于对数据库进行筛选,其具体内容本实施例不做限定,规则类型可以为数字形式,或者可以为字符串形式,例如可以提前为不同类型的待检测规则设定对应的数字编号,利用该数字编号确定待检测规则的规则类型;或者可以利用不同类型的待检测规则的类型名称确定其对应的规则类型。
本实施例并不限定规则类型的确定方法,例如可以解析待检测规则对应的检测指令,从所述检测指令中获取规则类型;或者可以对待检测规则进行格式匹配,将通过匹配的规则类型确定为待检测规则的规则类型。
S202:根据规则类型对多个数据库进行筛选,将与规则类型匹配的数据库确定为目标数据库。
在确定待检测规则的规则类型后,根据该规则类型对多个数据库进行筛选,并将通过筛选,即与规则类型匹配的数据库,确定为目标数据库。具体的,可以建立数据库与规则类型之间的对应关系,在确定待检测规则的规则类型后,利用对应关系进行筛选,并在筛选后得到目标数据库。
S203:从目标数据库中获取用于对待检测规则的质量进行检测的检测数据。
S204:利用静态特征库对待检测规则进行静态检测,得到静态质量检测结果。
在本发明实施例中,检测数据包括静态特征库,静态特征库用于进行静态检测。在获取目标数据库后,从中提取静态特征库,将静态特征库作为待检测数据对待检测规则的质量进行检测。静态特征库中包括有多个静态检测特征,用于对待检测规则进行静态匹配。
静态检测用于对待检测规则的描述方式或语法进行检测,具体检测方式可以被提前设定好,或依照静态检测规则确定检测方式。在一种实施方式中,静态特征库中还可以包括静态检测规则。静态检测规则用于限定如何进行静态检测,其具体内容本实施例不做限定。例如可以进行文字特征匹配、正则表达式语法分析或通配符滥用等检测。静态检测规则与静态特征库中的静态检测特征相对应,例如可以包括在多种规则均存在的共性特征、长度过短的字段以及各种通配符等。
通过对待检测规则进行静态检测,即可得到静态质量检测结果,该检测结果的具体内容和待检测规则相关,其形式本实施例不做限定,例如可以为分数形式,或者可以为文字形式。例如,可以建立各项检测对应的分值,当检测到正则表达式语法出错时,从满分中扣除正则表达式语法对应的分值,并将最后的分值确定为静态质量检测结果;或者可以为各项检测设定对应的文字表达,例如当检测到通配符滥用时,可以将对应的文字表达,例如“检测到通配符滥用”,确定为静态质量检测结果。
S205:基于待检测规则检测正常网络流量是否存在异常,得到误报检测结果。
在一种实施方式中,检测数据可以包括正常网络流量,利用正常网络流量对待检测规则进行误报检测。具体的,可以从目标数据库中获取正常网络流量,正常网络流量为合法的正常流量,待检测规则不应当命中,用于进行误报检测。
误报检测需要利用正常检测流量进行,以便检测待检测规则是否会对正常检测流量进行错误反映,进而产生误报。在一种实施方式中,可以利用误报检测规则对误报检测的流程以及得到的误报检测结果的内容进行设置。误报检测规则的具体内容不做限定,例如可以对误报检测的检测流程进行规定,例如将所有正常流量均进行检测后,得到误报检测结果;或者可以当检测到第一次误报后,停止后续检测,得到误报检测结果。误报检测结果的具体内容本实施例不做限定,例如可以包括产生误报的次数,误报对应的正常检测流量的具体内容等。
S206:基于待检测规则检测异常网络流量是否存在异常,得到漏报检测结果。
在一种实施方式中,检测数据可以包括异常网络流量,利用异常网络流量对待检测规则进行漏报检测。具体的,可以从目标数据库中获取异常网络流量,异常网络流量可以为非法的攻击流量,待检测流量应当命中,用于进行异常检测。
漏报检测需要利用异常网络流量进行,以便检测待检测规则是否没有对异常网络流量进行正常的反映,进而产生漏报。在一种实施方式中,可以利用漏报检测规则对漏报检测的流程以及得到的漏报检测结果的内容进行设置。漏报检测规则的具体内容与误报检测规则的具体内容类似,在此不作赘述。与误报检测结果类似,漏报检测结果的具体内容本实施例也不做限定,可以与漏报检测规则相对应。
在一种可能的实施方式中,漏报检测还可以包括绕过检测,用于检测待检测规则对经过绕过处理的异常流量的检测能力,具体包括:
S2061:对异常网络流量进行绕过处理。
S2062:基于待检测规则检测经绕过处理后的异常网络流量,确定待检测规则是否存在漏报,得到漏报检测结果。
在对异常网络流量进行绕过处理后,就可以利用其对待检测规则进行绕过检测,以便对待检测规则面对绕过攻击的检测能力进行检测。绕过处理的具体方式可以包括分片、插入正常流量等,由于对异常网络流量进行绕过处理后得到的流量情况复杂,因此可以在漏报检测过程中专门利用经过绕过处理的异常网络流量进行检测,得到绕过检测结果,以便用于根据结果判断是否存在规则质量问题。
需要说明的是,本实施例对静态检测、误报检测和漏报检测的执行顺序不做限定,例如可以先进行静态检测,再进行误报检测,再进行漏报检测;或者可以先进行误报检测,再进行漏报检测,再进行静态检测;或者可以同时进行静态检测、误报检测和漏报检测;或者还可以先做其中部分类型的检测,在该检测通过的情况下,再进行其他类型的检测,比如,先进行静态检测,在通过静态检测的情况下,再进行误报漏报检测。在本实施例中,还可以对待检测规则进行其他类型的检测,例如性能检测等。在另外的实施方式中,可以仅执行静态检测、仅进行误报检测或仅进行漏报检测,或者从三者之间选择一种或两种与其他检测方法对待检测规则进行质量检测,本发明实施例对此不做限定。
本实施例中,在得到质量检测结果后,还可以利用其生成质量检测报告,其中,质量检测结果包括静态质量检测结果、误报检测结果和/或漏报检测结果。在某种实施方式中,还可以将质量检测报告输出。需要说明的是,该步骤并不是必须步骤,只是在得到质量检测结果之后的一种后续操作,在其他可能的实施方式中,还可以执行其他后续操作,后续操作的具体内容不做限定。
基于上述实施例,在一种可能的实施方式中,可以对待检测规则进行性能检测,以便确定其执行时所需的性能消耗。具体请参考图3,图3为本发明实施例提供的一种性能检测方法流程图,包括:
S301:将待检测规则加入原始规则库。
在一种实施方式中,检测数据包括原始规则库以及用于对待检测规则进行性能检测的性能检测网络流量。性能检测网络流量的具体内容本实施例不做限定,可以根据实际需要进行设置,为表现待检测规则在实际应用情况中的性能消耗,性能检测流量应尽可能与真实流量相似。为了使测试结果更加真实,更具有价值,可以将待检测规则加入原始规则库以便模拟在真实情况下待检测规则可能造成的性能消耗。同时检测在规则库中新增待检测规则后对系统的性能影响。利用该方法得到的性能检测结果中,可以仅包括待检测规则对应的检测结果,或者可以包括整个规则库中所有规则对应的检测结果。
S302:基于加入待检测规则后的原始规则库,对性能检测网络流量进行异常检测。
S303:确定待检测规则的加入原始规则库后,在进行异常检测时的性能消耗增量。
在一种实施方式中,可以利用性能检测规则对性能检测的过程和性能消耗增量的内容进行设置。性能检测规则可以对性能检测的过程进行设置,例如统计性能消耗的方法、性能检测的时长等。本实施例不对性能消耗增量的具体内容做出限定,例如可以为计算资源的消耗增量,或者可以为目标函数的调用次数增量。
基于上述实施例,在一种可能的实施方式中,在性能检测过程中,利用目标函数的调用次数增量作为消耗增量。可以参考图4,图4为本发明实施例提供的另一种性能检测方法流程图,包括:
S401:获取待检测规则的应用场景信息,并获取与待检测规则的应用场景信息对应的多个流量样本。
待检测规则的应用场景信息表示待检测数据可能被应用的真实场景信息,用于生成与真实流量相似的性能检测流量。在本实施例中,可以获取多个流量样本,每个流量样本为一种具体的流量。由于待测试规则可能应用于不同的场景下,不同场景下的真实流量不同,因此根据待检测规则的应用场景信息对流量样本进行选择,得到与待检测规则的应用场景信息相对应的多个流量样本,这些流量样本即为真实情况下正常流量中包括的流量。
待检测规则的应用场景信息可以从与待检测规则对应的检测指令中解析得到,也可以由用户直接输入或通过其他设备或终端发送得到,本实施例对待检测规则的应用场景信息的获取方法不做限定。
S402:根据应用场景信息将多个流量样本进行混合处理,得到性能检测网络流量。
在得到流量样本后,按照待检测规则的应用场景信息对流量样本进行混合处理,混合处理的具体方式可以为长度变换处理和比例混合处理。其中,长度变换处理用于对流量样本的长度进行修改,生成同类但不相同的流量样本,在长度变换处理中,可以对流量数据包的部分或全部协议头部字段的可变内容进行修改。
由于真实流量中的各类流量并不是平均分配的,因此需要对流量样本进行比例混合处理,按照真实流量中各类流量的比例将流量样本进行混合,最终得到性能检测流量。
S403:基于加入待检测规则后的原始规则库,采用异常检测引擎对性能检测网络流量进行异常检测。
在本实施例中,可以采用异常检测引擎对性能检测网络流量进行异常检测。需要说明的是,异常检测引擎为在初始异常检测引擎中加入用于对调用目标函数的次数进行统计的计数器后的引擎。初始异常检测引擎为基本框架,其具体形式和内容本实施例不做限定。初始攻击检测引擎在经过不同的处理后,可以得到不同测试所需的检测引擎。在本实施例中,利用初始异常检测引擎可以快速构建异常检测引擎。
本实施例中,通过记录目标函数的调用次数进行性能检测,目标函数为可以用于评估计算次数或计算消耗的函数,其可以包括一个或多个函数,具体内容本实施例不做限定。用于对调用目标函数的次数进行统计的计数器可以被称为目标函数计数器,目标函数计数器用于统计目标函数的调用次数,将其加入初始异常检测引擎,即可得到异常检测引擎。
相应地,确定待检测规则的加入原始规则库后,在进行异常检测时的性能消耗增量,包括:
确定待检测规则的加入,在基于异常检测引擎进行异常检测时,根据异常检测引擎的输出得到调用目标函数的次数增量在利用加载有性能检测流量的异常检测引擎对待检测规则进行性能检测时,利用目标函数计数器统计目标函数的调用次数增量,由于目标函数可以用于评估计算次数或计算消耗,因此目标函数增量的调用次数越多,待检测规则的性能消耗增量越大,目标函数的调用次数增量越少,待检测规则的性能消耗增量越小。
在一种实施方式中,可以根据调用次数增量生成性能检测结果作为质量检测结果。本实施例不对性能检测结果的内容和形式做出限定,例如可以直接将调用次数作为性能检测结果,或者可以根据调用次数生成对应的性能检测结果。例如,预设有次数阈值,当调用次数小于次数阈值时,说明消耗较小,因此将性能检测结果确定为通过;当调用次数大于次数阈值时,说明消耗较大,因此将性能检测结果确定为不通过。
基于上述实施例,在一种可能的实施方式中,当对待检测规则进行静态检测和性能检测时,可以根据性能检测对静态检测的静态特征库进行更新,以便提高静态检测的检测能力。包括:
若调用对目标特征串处理的目标函数的次数大于预设阈值,则将目标特征串加入用于对待检测规则进行静态检测的静态特征库。
在一种实施方式中,该目标函数即为对待检测规则中的特征串进行处理的函数。待检测规则中可以包括多个特征串。需要说明的是,在本实施例中,除了静态检测和性能检测两种检测外,还可以采用其他检测方法(比如误报检测等)对待检测规则进行检测。
当对某个特征串(比如特征串A)处理的目标函数的调用次数较大的时候,则该特征串A即为上述目标特征串,将该特征串A写入静态特征库。
目标特征串可以为性能消耗较大的特征串,或者可以为根据实际需要指定的特征串。在一种实施方式中,统计待检测规则中各个特征串的性能开销。待检测规则中包括多个特征串,用于对异常特征进行描述。通过统计待检测规则中各个特征串的性能开销,可以确定是否存在被滥用、或者特别共性的特征。本实施例并不限定各个特征串的性能开销的统计方法,例如可以确定各个目标函数对应的特征串数量以及每个特征串执行一次的开销,通过统计目标函数的调用次数即可得到各个特征串的性能开销。或者可以直接利用特征串计数器对各个特征串进行计数,并利用各个特征串执行一次的开销得到各个特征串对应的性能开销。
在得到性能开销后,将性能开销大于预设开销的特征串确定为目标特征串。预设开销可以根据实际情况进行设定,本实施例不对其值进行设定。将各个特征串的性能开销与预设开销最比对,性能开销大于预设开销的特征串即为对性能影响较大的特征串,利用其对静态特征库进行更新,即将其加入静态特征库,可以在后续对其他待检测规则进行静态检测时提高检测能力。
下面对本发明实施例提供的规则质量检测装置进行介绍,下文描述的规则质量检测装置与上文描述的规则质量检测方法可相互对应参照。
请参考图5,图5为本发明实施例提供的一种规则质量检测装置的结构示意图,包括:
第一获取模块610,用于获取用于检测网络流量是否异常的待检测规则;
第二获取模块620,用于获取用于对所述待检测规则的质量进行检测的检测数据;
检测模块630,用于利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果。
可选地,检测模块630,包括:
静态检测单元,用于利用所述静态特征库对所述待检测规则进行静态检测,得到静态质量检测结果。
可选地,检测模块630,包括:
误报检测单元,用于基于所述待检测规则检测所述正常网络流量是否存在异常,得到误报检测结果。
可选地,检测模块630,包括:
漏报检测单元,用于基于所述待检测规则检测所述异常网络流量是否存在异常,得到漏报检测结果。
可选地,漏报检测单元,包括:
绕过处理子单元,用于对所述异常网络流量进行绕过处理;
检测子单元,用于基于所述待检测规则检测经绕过处理后的异常网络流量,确定所述待检测规则是否存在漏报,得到漏报检测结果。
可选地,检测模块630,包括:
加入单元,用于将所述待检测规则加入所述原始规则库;
性能检测单元,用于基于加入所述待检测规则后的原始规则库,对所述性能检测网络流量进行异常检测;
消耗增量确定单元,用于确定所述待检测规则的加入所述原始规则库后,在进行异常检测时的性能消耗增量。
可选地,包括:
样本获取模块,用于获取所述待检测规则的应用场景信息,并获取与所述待检测规则的应用场景信息对应的多个流量样本;
混合处理模块,用于根据所述应用场景信息将所述多个流量样本进行混合处理,得到所述性能检测网络流量。
可选地,性能检测单元,包括:
第一检测子单元,用于基于加入所述待检测规则后的原始规则库,采用异常检测引擎对所述性能检测网络流量进行异常检测,其中,所述异常检测引擎为在初始异常检测引擎中加入用于对调用目标函数的次数进行统计的计数器后的引擎;
相应地,消耗增量确定单元,包括:
第一增量确定子单元,用于确定所述待检测规则的加入,在基于所述异常检测引擎进行异常检测时,根据所述异常检测引擎的输出得到调用所述目标函数的次数增量。
可选地,还包括:
更新模块,用于若调用对目标特征串处理的目标函数的次数大于预设阈值,则将所述目标特征串加入用于对所述待检测规则进行静态检测的静态特征库。
可选地,第二获取模块620,包括:
类型检测单元,用于当获取到所述待检测规则时,确定所述待检测规则的规则类型;
筛选单元,用于根据所述规则类型对多个数据库进行筛选,将与所述规则类型匹配的所述数据库确定为目标数据库;
获取单元,用于从所述目标数据库中获取用于对所述待检测规则的质量进行检测的检测数据。
应用本发明实施例提供的规则质量检测装置,在获取待检测规则后,需要获取用于对待检测规则的质量进行检测的检测数据。利用检测数据可以对待检测规则进行质量检测。因此不需要人工对待检测规则进行质量审核,大大提高了规则的审核效率,减少了所需时间和人工精力的消耗,解决了利用人工对规则质量审核代价高且效率低的问题。同时,由于审核标准确定,因此可以保证规则审核的质量。
下面对本发明实施例提供的规则质量检测设备进行介绍,下文描述的规则质量检测设备与上文描述的规则质量检测方法可相互对应参照。
请参考图6,图6为本发明实施例提供的一种规则质量检测设备的结构示意图。其中规则质量检测设备700可以包括处理器701和存储器702,还可以进一步包括多媒体组件703、信息输入/信息输出(I/O)接口704以及通信组件705中的一种或多种。
其中,处理器701用于控制规则质量检测设备700的整体操作,以完成上述的规则质量检测方法中的全部或部分步骤;存储器702用于存储各种类型的数据以支持在规则质量检测设备700的操作,这些数据例如可以包括用于在该规则质量检测设备700上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static RandomAccess Memory,SRAM)、电可擦除可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory,EEPROM)、可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,EPROM)、可编程只读存储器(Programmable Read-OnlyMemory,PROM)、只读存储器(Read-Only Memory,ROM)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。
多媒体组件703可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器702或通过通信组件705发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口704为处理器701和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件705用于规则质量检测设备700与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件707可以包括:Wi-Fi部件,蓝牙部件,NFC部件。
规则质量检测设备700可以被一个或多个应用专用集成电路(ApplicationSpecific Integrated Circuit,简称ASIC)、数字信号处理器(Digital SignalProcessor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例给出的规则质量检测方法。
下面对本发明实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的规则质量检测方法可相互对应参照。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的规则质量检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语包括、包含或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上对本发明所提供的规则质量检测方法、规则质量检测装置、规则质量检测设备和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种规则质量检测方法,其特征在于,包括:
获取用于检测网络流量是否异常的待检测规则;
获取用于对所述待检测规则的质量进行检测的检测数据;
利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果。
2.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括静态特征库;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
利用所述静态特征库对所述待检测规则进行静态检测,得到静态质量检测结果。
3.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括正常网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
基于所述待检测规则检测所述正常网络流量是否存在异常,得到误报检测结果。
4.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括异常网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
基于所述待检测规则检测所述异常网络流量是否存在异常,得到漏报检测结果。
5.根据权利要求4所述的规则质量检测方法,其特征在于,所述基于所述待检测规则检测所述异常网络流量是否存在异常,得到漏报检测结果,包括:
对所述异常网络流量进行绕过处理;
基于所述待检测规则检测经绕过处理后的异常网络流量,确定所述待检测规则是否存在漏报,得到漏报检测结果。
6.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括原始规则库以及用于对待检测规则进行性能检测的性能检测网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
将所述待检测规则加入所述原始规则库;
基于加入所述待检测规则后的原始规则库,对所述性能检测网络流量进行异常检测;
确定所述待检测规则的加入所述原始规则库后,在进行异常检测时的性能消耗增量。
7.根据权利要求6所述的规则质量检测方法,其特征在于,所述性能检测网络流量的获取方法包括:
获取所述待检测规则的应用场景信息,并获取与所述待检测规则的应用场景信息对应的多个流量样本;
根据所述应用场景信息将所述多个流量样本进行混合处理,得到所述性能检测网络流量。
8.根据权利要求6所述的规则质量检测方法,其特征在于,所述基于加入所述待检测规则后的原始规则库,对所述性能检测网络流量进行异常检测,包括:
基于加入所述待检测规则后的原始规则库,采用异常检测引擎对所述性能检测网络流量进行异常检测,其中,所述异常检测引擎为在初始异常检测引擎中加入用于对调用目标函数的次数进行统计的计数器后的引擎;
相应地,所述确定所述待检测规则的加入所述原始规则库后,在进行异常检测时的性能消耗增量,包括:
确定所述待检测规则的加入,在基于所述异常检测引擎进行异常检测时,根据所述异常检测引擎的输出得到调用所述目标函数的次数增量。
9.根据权利要求8所述的规则质量检测方法,其特征在于,所述目标函数为对所述待检测规则中的特征串进行处理的函数;
相应地,所述规则质量检测方法还包括:
若调用对目标特征串处理的目标函数的次数大于预设阈值,则将所述目标特征串加入用于对所述待检测规则进行静态检测的静态特征库。
10.根据权利要求1至9任一项所述的规则质量检测方法,其特征在于,所述获取用于对所述待检测规则的质量进行检测的检测数据,包括:
当获取到所述待检测规则时,确定所述待检测规则的规则类型;
根据所述规则类型对多个数据库进行筛选,将与所述规则类型匹配的所述数据库确定为目标数据库;
从所述目标数据库中获取用于对所述待检测规则的质量进行检测的检测数据。
11.一种规则质量检测装置,其特征在于,包括:
第一获取模块,用于获取用于检测网络流量是否异常的待检测规则;
第二获取模块,用于获取用于对所述待检测规则的质量进行检测的检测数据;
检测模块,用于利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果。
12.一种规则质量检测设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至10任一项所述的规则质量检测方法。
13.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至10任一项所述的规则质量检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010656577.3A CN113328981A (zh) | 2020-07-09 | 2020-07-09 | 一种规则质量检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010656577.3A CN113328981A (zh) | 2020-07-09 | 2020-07-09 | 一种规则质量检测方法、装置、设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113328981A true CN113328981A (zh) | 2021-08-31 |
Family
ID=77413013
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010656577.3A Pending CN113328981A (zh) | 2020-07-09 | 2020-07-09 | 一种规则质量检测方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113328981A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726633A (zh) * | 2022-04-14 | 2022-07-08 | 中国电信股份有限公司 | 流量数据处理方法及装置、存储介质及电子设备 |
| CN115426135A (zh) * | 2022-08-12 | 2022-12-02 | 中国电信股份有限公司 | 流量检测规则的处理、网络流量的检测方法、装置及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7685271B1 (en) * | 2006-03-30 | 2010-03-23 | Symantec Corporation | Distributed platform for testing filtering rules |
| CN106708909A (zh) * | 2015-11-18 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 数据质量的检测方法和装置 |
| CN109491990A (zh) * | 2018-09-17 | 2019-03-19 | 武汉达梦数据库有限公司 | 一种检测数据质量的方法以及检测数据质量的装置 |
-
2020
- 2020-07-09 CN CN202010656577.3A patent/CN113328981A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7685271B1 (en) * | 2006-03-30 | 2010-03-23 | Symantec Corporation | Distributed platform for testing filtering rules |
| CN106708909A (zh) * | 2015-11-18 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 数据质量的检测方法和装置 |
| CN109491990A (zh) * | 2018-09-17 | 2019-03-19 | 武汉达梦数据库有限公司 | 一种检测数据质量的方法以及检测数据质量的装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726633A (zh) * | 2022-04-14 | 2022-07-08 | 中国电信股份有限公司 | 流量数据处理方法及装置、存储介质及电子设备 |
| CN114726633B (zh) * | 2022-04-14 | 2023-10-03 | 中国电信股份有限公司 | 流量数据处理方法及装置、存储介质及电子设备 |
| CN115426135A (zh) * | 2022-08-12 | 2022-12-02 | 中国电信股份有限公司 | 流量检测规则的处理、网络流量的检测方法、装置及设备 |
| CN115426135B (zh) * | 2022-08-12 | 2023-12-12 | 中国电信股份有限公司 | 流量检测规则的处理、网络流量的检测方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8776226B2 (en) | Method and apparatus for detecting SSH login attacks | |
| CN110351280B (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
| US9705899B2 (en) | Digital filter correlation engine | |
| CN104517054B (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
| CN109101815B (zh) | 一种恶意软件检测方法及相关设备 | |
| CN112035359B (zh) | 程序测试方法、装置、电子设备及存储介质 | |
| CN110474900B (zh) | 一种游戏协议测试方法及装置 | |
| US10681076B1 (en) | Automated security analysis of software libraries | |
| US20120131668A1 (en) | Policy-Driven Detection And Verification Of Methods Such As Sanitizers And Validators | |
| CN113328981A (zh) | 一种规则质量检测方法、装置、设备及可读存储介质 | |
| CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
| CN111414402A (zh) | 一种日志威胁分析规则生成方法及装置 | |
| CN110287700B (zh) | 一种iOS应用安全分析方法及装置 | |
| CN112632547A (zh) | 一种数据处理方法和相关装置 | |
| CN112153062A (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN110493475A (zh) | 电话网络的实时网络利用效率低和滥用检测平台 | |
| CN108573148B (zh) | 一种基于词法分析的混淆加密脚本识别方法 | |
| US10002253B2 (en) | Execution of test inputs with applications in computer security assessment | |
| CN112104674B (zh) | 攻击检测召回率自动测试方法、装置和存储介质 | |
| CN115357894A (zh) | 带有自定义验证函数的应用程序漏洞检测方法及系统 | |
| CN113839912B (zh) | 主被动结合进行异常主机分析的方法、装置、介质和设备 | |
| CN111934949A (zh) | 一种基于数据库注入测试的安全测试系统 | |
| CN115801456B (zh) | 网络攻击检测方法、装置、电子设备及存储介质 | |
| Slamet et al. | Campus hybrid intrusion detection system using snort and c4. 5 algorithm | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210831 |