CN113726779B - 规则误报测试方法、装置、电子设备及计算机存储介质 - Google Patents
规则误报测试方法、装置、电子设备及计算机存储介质 Download PDFInfo
- Publication number
- CN113726779B CN113726779B CN202111010472.1A CN202111010472A CN113726779B CN 113726779 B CN113726779 B CN 113726779B CN 202111010472 A CN202111010472 A CN 202111010472A CN 113726779 B CN113726779 B CN 113726779B
- Authority
- CN
- China
- Prior art keywords
- test result
- attack
- test
- tested
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种规则误报测试方法、装置、电子设备及计算机存储介质,属于网络安全领域。该方法包括:获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量;将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果;对比所述真实测试结果与所述预期测试结果,得到比对结果;根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报。通过该方法,可以提高测试效果以及测试效率。
Description
技术领域
本申请属于网络安全领域,具体涉及一种规则误报测试方法、装置、电子设备及计算机存储介质。
背景技术
在网络安全领域,需要在网络设备中配置检测规则来对获取到的流量的安全性进行检测,避免被携带有安全隐患的报文攻击。其中,网络设备内的每条检测规则一般是基于某个已知漏洞/攻击的特征,以描述语言的方式配置而成。
其中,规则误报是指检测攻击的规则在没有攻击的正常流量下报警。规则误报会误导专业的攻击事件研判人员,还会产生大量的本不需要报警的事件,进而“淹没”真正的攻击报警事件,严重时甚至会引发设备故障。因此,有必要对网络设备内的检测规则是否产生误报进行检测。
在现有技术中,存在两种规则误报检测方案:
一种是用测试仪表发送不含攻击的混合流量,如果待测试设备产生攻击报警事件,则说明待测试设备上的规则误报。这种方案虽然较为简单,但是测试仪表所构造的不包含攻击的报文较为单一、简单,一般会产生误报的概率较小,因此,这种方式对规则的误报测试效果不明显。
另一种是对网络抓包到的真实报文在待测试设备上进行重放。若待测试设备在此过程中检测出的攻击事件,需要进行人工核对来判断该攻击事件是否存在规则误报。由于该方案需要人工参与进行核对,导致测试效率较低。
发明内容
有鉴于此,本申请的目的在于提供一种规则误报测试方法、装置、电子设备及计算机存储介质,可以提高测试效果以及测试效率。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供一种规则误报测试方法,用于检测第一待测试设备上的规则,所述方法包括:
获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量;将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果;对比所述真实测试结果与所述预期测试结果,得到比对结果;根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报。
在上述过程中,对于电子设备而言,当其在获取到预先制作的测试数据及其对应的预期测试结果后,便可以通过上述过程对第一待测试设备上的规则进行自动测试,并确定第一待测试设备上的规则是否存在误报。其中,由于该过程无需人为参与,因此,可以提高测试的效率。此外,由于在本申请实施例中,是通过携带有攻击的非正常报文以及未携带攻击的正常报文来对规则进行测试,相较于现有技术中的,通过只构造简单的正常报文来对规则进行测试的方式,具有更好的测试效果。
结合第一方面实施例,在一种可能的实施方式中,所述根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报,包括:在确定所述真实测试结果与所述预期测试结果完全一致时,确定所述规则不存在误报;在确定所述真实测试结果与所述预期测试结果不完全一致时,确定所述规则存在误报。
结合第一方面实施例,在一种可能的实施方式中,所述真实测试结果与所述预期测试结果包括攻击报警的数量以及每个攻击报警所对应的攻击事件;所述确定所述真实测试结果与所述预期测试结果完全一致,包括:当所述真实测试结果所包括的第二攻击报警的数量与所述预期测试结果所包括的第一攻击报警的数量相同,且所述真实测试结果所包括的每个攻击报警所对应的攻击事件均在所述预期测试结果能匹配到相同的攻击事件时,表征所述真实测试结果与所述预期测试结果完全一致;否则,表征所述真实测试结果与所述预期测试结果不完全一致。
结合第一方面实施例,在一种可能的实施方式中,所述将所述测试数据重放到所述第一待测试设备,包括:通过重放工具将所述测试数据逐一重放到所述第一待测试设备所在的网络,以使所述第一待测试设备通过所述网络接收到所述测试数据。
结合第一方面实施例,在一种可能的实施方式中,所述测试数据的数据形式为pcap包文件形式。
结合第一方面实施例,在一种可能的实施方式中,在所述获取测试数据及其对应的预期测试结果之前,所述方法还包括:制作所述测试数据及其对应的预期测试结果。
结合第一方面实施例,在一种可能的实施方式中,所述制作所述测试数据及其对应的预期测试结果,包括:S1:从网络中抓取原始数据;S2:将所述原始数据重放到第二待测试设备,并获取所述第二待测试设备针对所述原始数据输出的原始测试结果;S3:获取攻击事件研判人员针对所述原始测试结果所包括的每个攻击事件进行核查所输入的反馈信息,所述反馈信息用于表示所述原始测试结果所包括的每个攻击事件是否是误报;S4:在根据所述反馈信息确定所述第二待测试设备存在误报时,且待所述第二待测试设备上的规则修改后,重复S2-S3,直至确定所述第二待测试设备不存在误报;其中,最终的原始测试结果为所述对应的预期测试结果。
第二方面,本申请实施例提供一种规则误报测试装置,用于检测第一待测试设备上的规则,所述装置包括:获取模块、重放模块、比对模块以及确定模块。
获取模块,用于获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量;
重放模块,用于将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果;
比对模块,用于对比所述真实测试结果与所述预期测试结果,得到比对结果;
确定模块,用于根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报。
结合第二方面实施例,在一种可能的实施方式中,所述确定模块,用于在确定所述真实测试结果与所述预期测试结果完全一致时,确定所述规则不存在误报;在确定所述真实测试结果与所述预期测试结果不完全一致时,确定所述规则存在误报。
结合第二方面实施例,在一种可能的实施方式中,所述真实测试结果与所述预期测试结果包括攻击报警的数量以及每个攻击报警所对应的攻击事件;当所述真实测试结果所包括的第二攻击报警的数量与所述预期测试结果所包括的第一攻击报警的数量相同,且所述真实测试结果所包括的每个攻击报警所对应的攻击事件均在所述预期测试结果能匹配到相同的攻击事件时,表征所述真实测试结果与所述预期测试结果完全一致;否则,表征所述真实测试结果与所述预期测试结果不完全一致。
结合第二方面实施例,在一种可能的实施方式中,所述重放模块,用于通过重放工具将所述测试数据逐一重放到所述第一待测试设备所在的网络,以使所述第一待测试设备通过所述网络接收到所述测试数据。
结合第二方面实施例,在一种可能的实施方式中,所述测试数据的数据形式为pcap包文件形式。
结合第二方面实施例,在一种可能的实施方式中,所述装置还包括制作模块,用于制作所述测试数据及其对应的预期测试结果。
结合第二方面实施例,在一种可能的实施方式中,所述制作模块,用于执行:
S1:从网络中抓取原始数据;
S2:将所述原始数据重放到第二待测试设备,并获取所述第二待测试设备针对所述原始数据输出的原始测试结果;
S3:获取攻击事件研判人员针对所述原始测试结果所包括的每个攻击事件进行核查所输入的反馈信息,所述反馈信息用于表示所述原始测试结果所包括的每个攻击事件是否是误报;
S4:在根据所述反馈信息确定所述第二待测试设备存在误报时,且待所述第二待测试设备上的规则修改后,重复S2-S3,直至确定所述第二待测试设备不存在误报;
其中,最终的原始测试结果为所述对应的预期测试结果。
第三方面,本申请实施例还提供一种电子设备,包括:存储器和处理器,所述存储器和所述处理器连接;所述存储器用于存储程序;所述处理器调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
第四方面,本申请实施例还提供一种非易失性计算机可读取存储介质(以下简称计算机存储介质),其上存储有计算机程序,所述计算机程序被计算机运行时执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出本申请实施例提供的一种规则误报测试方法的流程图。
图2示出本申请实施例提供的一种规则误报测试装置的结构框图。
图3示出本申请实施例提供的一种电子设备的结构示意图。
图标:100-电子设备;110-处理器;120-存储器;400-规则误报测试装置;410-获取模块;420-重放模块;430-比对模块;440-确定模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
此外,针对现有技术中的规则误报测试方案所存在的缺陷(测试效果不明显或者测试效率较低)均是申请人在经过实践并仔细研究后得出的结果,因此,上述缺陷的发现过程以及在下文中本申请实施例针对上述缺陷所提出的解决方案,都应该被认定为是申请人对本申请做出的贡献。
为了解决上述问题,本申请实施例提供一种规则误报测试方法、装置、电子设备及计算机存储介质,可以提高测试效果以及测试效率。
该技术可采用相应的软件、硬件以及软硬结合的方式实现。以下对本申请实施例进行详细介绍。
下面将针对本申请所提供的规则误报测试方法进行介绍。
请参照图1,本申请实施例提供一种应用于电子设备的规则误报测试方法,用于检测第一待测试设备上的规则。下面将结合图1对其所包含的步骤进行说明。
步骤S110:获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量。
值得指出的是,本申请实施例中的测试数据是从真实网络中进行抓取所得到的网络流量,相应的,在测试数据中包括携带有攻击的非正常报文以及未携带攻击的正常报文。
由于在本申请实施例中,是通过携带有攻击的非正常报文以及未携带攻击的正常报文来对规则进行测试,相较于现有技术中的,通过只构造简单的正常报文来对规则进行测试的方式,具有更好的测试效果。
其中,针对每个测试数据,存在与之对应的预期测试结果。在本申请中,默认测试数据的预期测试结果用于反应该测试数据的真实属性。
就具体一个测试数据而言,其预期测试结果包括第一字段以及第二字段。第一字段用于表征对应的测试数据是否产生攻击报警,第二字段用于表征产生攻击报警所对应的具体攻击事件。
值得指出的是,当某个预期测试结果所包括的第一字段表征对应的试数据未产生攻击报警时,相应的,该预期测试结果所包括的第二字段为空。
当然,值得指出的是,在执行步骤S110之前,需要预先制作测试数据及其预期测试结果。
在一些实施方式中,该测试数据及其对应的预期测试结果可以由执行本方法的电子设备制作并获取;在另一些实施方式中,该测试数据及其对应的预期测试结果可以由其他电子设备制作完成,然后由执行本方法的电子设备对其进行获取。
下面将针对制作测试数据及其对应的预测测试结果的过程进行介绍。
其中,测试数据及其对应的预测测试结果可以包括以下步骤:
S1:从网络中抓取原始数据。
其中,可以通过对现有的真实网络进行抓包,从而获取到原始数据。
当然,在一些实施方式中,为了尽可能地保证抓取到的原始数据的多样性,可以分别针对不同网络上的流量进行抓取,从而尽可能多地获取到来自不同行业领域、不同业务场景的原始数据。
在抓取到原始数据后,可以将所有的原始数据以pcap包文件形式保存,以便于后续对其进行重放。
其中,至于每个pcap包的具体大小可以不做过多限制。当然,在一些实施方式中,从测试效率进行考虑,每个pcap包的大小不宜过大,一般设置为100M左右。
S2:将所述原始数据重放到第二待测试设备,并获取所述第二待测试设备针对所述原始数据输出的原始测试结果。
其中,值得指出的是,在第二待测试设备上预先配置有用于对流量数据进行测试的测试规则。
在本申请实施例中,可以通过重放工具(例如tcp replay、pcap包重放工具软件等)将原始数据重放到第二待测试设备所在的网络上,以便第二待测试设备可以通过网络接收到该原始数据。
第二待测试设备在接收到该原始数据后,可以基于预先配置的规则对原始数据进行检测,并输出相应的原始测试结果。
其中,与预期测试结果类似,原始测试结果也包括第一字段以及第二字段。第一字段用于表征对应的原始数据是否产生攻击报警,第二字段用于表征产生攻击报警所对应的具体攻击事件。
S3:获取攻击事件研判人员针对所述原始测试结果所包括的每个攻击事件进行核查所输入的反馈信息,所述反馈信息用于表示所述原始测试结果所包括的每个攻击事件是否是误报。
S4:在根据所述反馈信息确定所述第二待测试设备存在误报时,且待所述第二待测试设备上的规则修改后,重复S2-S3,直至确定所述第二待测试设备不存在误报。
在制作测试数据阶段,专业的攻击事件研判人员可以针对每个产生了攻击报警的原始测试结果进行人工校对核查,以精确判断引发了该攻击报警的原始数据是否携带有攻击。
其中,若该原始数据携带有攻击,则说明规则未产生误报;若该原始数据未携带有攻击,则说明规则产生误报,此时需要研发人员对第二待测试设备上产生该攻击报警的规则进行修改,以及需要专业的攻击事件研判人员向制作测试数据的电子设备输入反馈信息,以表征第二待测试设备上的规则存在误报。
在确定第二待测试设备上的规则存在误报,以及确定第二待测试设备上的规则被修改后,重复上述步骤S2-S3,直至根据确定第二待测试设备上的规则不存在误报,以保证原始测试结果的准确性。那么此时由第二待测试设备针对原始数据所输出的原始测试结果即为预期测试结果,相应的,原始数据即为测试数据。
步骤S120:将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果。
与上文类似,可以通过重放工具(例如tcp replay、pcap包重放工具软件等)将测试数据重放到第一待测试设备所在的网络上,以便第一待测试设备可以通过网络接收到该测试数据。
第一待测试设备在接收到该测试数据后,可以基于预先配置的规则对该测试数据进行检测,并输出相应的真实测试结果。
步骤S130:对比所述真实测试结果与所述预期测试结果,得到比对结果。
步骤S140:根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报。
其中,在确定真实测试结果与预期测试结果完全一致时,确定规则不存在误报;在确定真实测试结果与预期测试结果不完全一致时,确定规则存在误报。
具体的,与预期测试结果类似,真实测试结果也包括第一字段以及第二字段。第一字段用于表征对应的测试数据是否产生攻击报警,第二字段用于表征产生攻击报警所对应的具体攻击事件。
可选的,在本申请实施例中,当真实测试结果所包括的攻击报警的数量(为了进行区分,称之为第二攻击报警的数量)与预期测试结果所包括的攻击报警的数量(为了进行区分,称之为第一攻击报警的数量)相同,且真实测试结果所包括每个攻击报警所对应的攻击事件均在预期测试结果能匹配到相同的攻击事件时,表征真实测试结果与预期测试结果完全一致;否则,表征真实测试结果与预期测试结果不完全一致。
其中,对于电子设备而言,当其在获取到预先制作的测试数据及其对应的预期测试结果后,便可以通过上述过程对第一待测试设备上的规则进行自动测试,并确定第一待测试设备上的规则是否存在误报。其中,由于该过程无需人为参与,因此,可以提高测试的效率。
如图2所示,本申请实施例还提供一种规则误报测试装置400,用于检测第一待测试设备上的规则,规则误报测试装置400可以包括:获取模块410、重放模块420、比对模块430以及确定模块440。
获取模块410,用于获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量;
重放模块420,用于将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果;
比对模块430,用于对比所述真实测试结果与所述预期测试结果,得到比对结果;
确定模块440,用于根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报。
在一种可能的实施方式中,所述确定模块440,用于在确定所述真实测试结果与所述预期测试结果完全一致时,确定所述规则不存在误报;在确定所述真实测试结果与所述预期测试结果不完全一致时,确定所述规则存在误报。
在一种可能的实施方式中,所述真实测试结果与所述预期测试结果包括攻击报警的数量以及每个攻击报警所对应的攻击事件;当所述真实测试结果所包括的第二攻击报警的数量与所述预期测试结果所包括的第一攻击报警的数量相同,且所述真实测试结果所包括的每个攻击报警所对应的攻击事件均在所述预期测试结果能匹配到相同的攻击事件时,表征所述真实测试结果与所述预期测试结果完全一致;否则,表征所述真实测试结果与所述预期测试结果不完全一致。
在一种可能的实施方式中,所述重放模块420,用于通过重放工具将所述测试数据逐一重放到所述第一待测试设备所在的网络,以使所述第一待测试设备通过所述网络接收到所述测试数据。
在一种可能的实施方式中,所述测试数据的数据形式为pcap包文件形式。
在一种可能的实施方式中,所述装置还包括制作模块,用于制作所述测试数据及其对应的预期测试结果。
在一种可能的实施方式中,所述制作模块,用于执行:
S1:从网络中抓取原始数据;
S2:将所述原始数据重放到第二待测试设备,并获取所述第二待测试设备针对所述原始数据输出的原始测试结果;
S3:获取攻击事件研判人员针对所述原始测试结果所包括的每个攻击事件进行核查所输入的反馈信息,所述反馈信息用于表示所述原始测试结果所包括的每个攻击事件是否是误报;
S4:在根据所述反馈信息确定所述第二待测试设备存在误报时,且待所述第二待测试设备上的规则修改后,重复S2-S3,直至确定所述第二待测试设备不存在误报;
其中,最终的原始测试结果为所述对应的预期测试结果。
本申请实施例所提供的规则误报测试装置400,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
此外,本申请实施例还提供一种计算机存储介质,该计算机存储介质上存储有计算机程序,该计算机程序被计算机运行时,执行如上述的规则误报测试方法所包含的步骤。
此外,请参照图3,本申请实施例还提供一种用于实现本申请实施例的规则误报测试方法、装置的电子设备100。
其中,上述的第一待测试设备以及第二待测试设备的结构均可以与电子设备100一致。
可选的,电子设备100,可以是,但不限于个人电脑(Personal computer,PC)、智能手机、平板电脑、移动上网设备(Mobile Internet Device,MID)、个人数字助理、服务器等设备。其中,服务器可以是,但不限于网络服务器、数据库服务器、云端服务器等。
其中,电子设备100可以包括:处理器110、存储器120。
应当注意,图3所示的电子设备100的组件和结构只是示例性的,而非限制性的,根据需要,电子设备100也可以具有其他组件和结构。
处理器110、存储器120以及其他可能出现于电子设备100的组件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,处理器110、存储器120以及其他可能出现的组件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
存储器120用于存储程序,例如存储有前文出现的规则误报测试方法对应的程序或者前文出现的规则误报测试装置。可选的,当存储器120内存储有规则误报测试装置时,规则误报测试装置包括至少一个可以以软件或固件(firmware)的形式存储于存储器120中的软件功能模块。
可选的,规则误报测试装置所包括软件功能模块也可以固化在电子设备100的操作系统(operating system,OS)中。
处理器110用于执行存储器120中存储的可执行模块,例如规则误报测试装置包括的软件功能模块或计算机程序。当处理器110在接收到执行指令后,可以执行计算机程序,例如执行:获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量;将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果;对比所述真实测试结果与所述预期测试结果,得到比对结果;根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报。
当然,本申请任一实施例所揭示的方法都可以应用于处理器110中,或者由处理器110实现。
综上所述,本发明实施例提出的规则误报测试方法、装置、电子设备及计算机存储介质,对于电子设备而言,当其在获取到预先制作的测试数据及其对应的预期测试结果后,便可以通过上述过程对第一待测试设备上的规则进行自动测试,并确定第一待测试设备上的规则是否存在误报。其中,由于该过程无需人为参与,因此,可以提高测试的效率。此外,由于在本申请实施例中,是通过携带有攻击的非正常报文以及未携带攻击的正常报文来对规则进行测试,相较于现有技术中的,通过只构造简单的正常报文来对规则进行测试的方式,具有更好的测试效果。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (9)
1.一种规则误报测试方法,其特征在于,用于检测第一待测试设备上的规则,所述方法包括:
获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量;
将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果;
对比所述真实测试结果与所述预期测试结果,得到比对结果;
根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报;
其中,所述真实测试结果与所述预期测试结果均包括第一字段以及第二字段,第一字段用于表征对应的测试数据是否产生攻击报警,第二字段用于表征产生攻击报警所对应的具体攻击事件,当第一字段表征对应的测试数据未产生攻击报警时,相应地,第二字段为空;对比所述真实测试结果与所述预期测试结果,得到比对结果,包括:
对比所述真实测试结果中的攻击报警的数量以及每个攻击报警所对应的攻击事件与所述预期测试结果中的攻击报警的数量以及每个攻击报警所对应的攻击事件,得到比对结果,其中,所述预期测试结果为第二设备根据原始数据测试得到,所述第二设备根据测试结果以及所述原始数据的反馈信息修改所述规则。
2.根据权利要求1所述的方法,其特征在于,所述根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报,包括:
在确定所述真实测试结果与所述预期测试结果完全一致时,确定所述规则不存在误报;
在确定所述真实测试结果与所述预期测试结果不完全一致时,确定所述规则存在误报;
其中,当所述真实测试结果所包括的第二攻击报警的数量与所述预期测试结果所包括的第一攻击报警的数量相同,且所述真实测试结果所包括的每个攻击报警所对应的攻击事件均在所述预期测试结果能匹配到相同的攻击事件时,表征所述真实测试结果与所述预期测试结果完全一致;否则,表征所述真实测试结果与所述预期测试结果不完全一致。
3.根据权利要求1所述的方法,其特征在于,所述将所述测试数据重放到所述第一待测试设备,包括:
通过重放工具将所述测试数据逐一重放到所述第一待测试设备所在的网络,以使所述第一待测试设备通过所述网络接收到所述测试数据。
4.根据权利要求1所述的方法,其特征在于,所述测试数据的数据形式为pcap包文件形式。
5.根据权利要求1-4中任一项所述的方法,其特征在于,在所述获取测试数据及其对应的预期测试结果之前,所述方法还包括:
制作所述测试数据及其对应的预期测试结果。
6.根据权利要求5所述的方法,其特征在于,所述制作所述测试数据及其对应的预期测试结果,包括:
S1:从网络中抓取原始数据;
S2:将所述原始数据重放到第二待测试设备,并获取所述第二待测试设备针对所述原始数据输出的原始测试结果;
S3:获取攻击事件研判人员针对所述原始测试结果所包括的每个攻击事件进行核查所输入的反馈信息,所述反馈信息用于表示所述原始测试结果所包括的每个攻击事件是否是误报;
S4:在根据所述反馈信息确定所述第二待测试设备存在误报时,且待所述第二待测试设备上的规则修改后,重复S2-S3,直至确定所述第二待测试设备不存在误报;
其中,最终的原始测试结果为所述对应的预期测试结果。
7.一种规则误报测试装置,其特征在于,用于检测第一待测试设备上的规则,所述装置包括:
获取模块,用于获取测试数据及其对应的预期测试结果;所述测试数据为真实网络所产生的网络流量;
重放模块,用于将所述测试数据重放到所述第一待测试设备,并获取所述第一待测试设备针对所述测试数据输出的真实测试结果;
比对模块,用于对比所述真实测试结果与所述预期测试结果,得到比对结果;
确定模块,用于根据所述比对结果,确定所述第一待测试设备上的规则是否存在误报;
其中,所述真实测试结果与所述预期测试结果均包括第一字段以及第二字段,第一字段用于表征对应的测试数据是否产生攻击报警,第二字段用于表征产生攻击报警所对应的具体攻击事件,当第一字段表征对应的测试数据未产生攻击报警时,相应地,第二字段为空;比对模块具体用于:
对比所述真实测试结果中的攻击报警的数量以及每个攻击报警所对应的攻击事件与所述预期测试结果中的攻击报警的数量以及每个攻击报警所对应的攻击事件,得到比对结果,其中,所述预期测试结果为第二设备根据原始数据测试得到,所述第二设备根据测试结果以及所述原始数据的反馈信息修改所述规则。
8.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器连接;
所述存储器用于存储程序;
所述处理器调用存储于所述存储器中的程序,以执行如权利要求1-6中任一项所述的方法。
9.一种计算机存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被计算机运行时执行如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111010472.1A CN113726779B (zh) | 2021-08-31 | 2021-08-31 | 规则误报测试方法、装置、电子设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111010472.1A CN113726779B (zh) | 2021-08-31 | 2021-08-31 | 规则误报测试方法、装置、电子设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113726779A CN113726779A (zh) | 2021-11-30 |
| CN113726779B true CN113726779B (zh) | 2023-07-07 |
Family
ID=78679526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111010472.1A Active CN113726779B (zh) | 2021-08-31 | 2021-08-31 | 规则误报测试方法、装置、电子设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726779B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992438B (zh) * | 2021-12-27 | 2022-03-22 | 北京微步在线科技有限公司 | 一种网络安全检测方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112035363A (zh) * | 2020-09-01 | 2020-12-04 | 中国银行股份有限公司 | 接口自动化测试方法及装置 |
| CN112714138A (zh) * | 2021-03-29 | 2021-04-27 | 北京网测科技有限公司 | 基于攻击流量的测试方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102209006B (zh) * | 2011-03-04 | 2014-09-03 | 北京神州绿盟信息安全科技股份有限公司 | 规则测试设备及方法 |
| US8151341B1 (en) * | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| CN107454096B (zh) * | 2017-08-24 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 一种基于日志回放的误报消除方法 |
| CN108880915B (zh) * | 2018-08-20 | 2023-03-24 | 全球能源互联网研究院有限公司 | 一种电力信息网络安全告警信息误报判定方法和系统 |
-
2021
- 2021-08-31 CN CN202111010472.1A patent/CN113726779B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112035363A (zh) * | 2020-09-01 | 2020-12-04 | 中国银行股份有限公司 | 接口自动化测试方法及装置 |
| CN112714138A (zh) * | 2021-03-29 | 2021-04-27 | 北京网测科技有限公司 | 基于攻击流量的测试方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113726779A (zh) | 2021-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113315828B (zh) | 一种流量录制方法、装置及流量录制设备、存储介质 | |
| CN111078513A (zh) | 日志处理方法、装置、设备、存储介质及日志告警系统 | |
| CN112385196A (zh) | 用于报告计算机安全事故的系统和方法 | |
| CN113726779B (zh) | 规则误报测试方法、装置、电子设备及计算机存储介质 | |
| CN108073499A (zh) | 应用程序的测试方法及装置 | |
| CN115396324A (zh) | 一种网络安全态势感知预警处理系统 | |
| CN117501658A (zh) | 安全事件告警的可能性评估 | |
| CN113112038B (zh) | 智能监测与诊断分析系统、装置、电子设备及存储介质 | |
| CN112671724B (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
| CN112257546B (zh) | 一种事件预警方法、装置、电子设备及存储介质 | |
| CN112882948A (zh) | 一种应用的稳定性测试方法、装置、系统及存储介质 | |
| CN115834188A (zh) | 一种漏洞扫描监控方法、系统、电子设备及存储介质 | |
| CN111585830A (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| CN116318990A (zh) | 一种攻击链实时检测方法、装置、电子设备及存储介质 | |
| CN108075918B (zh) | 互联网业务变更检测方法及系统 | |
| CN115659351A (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN113014587A (zh) | 一种api检测方法、装置、电子设备及存储介质 | |
| CN116743508B (zh) | 一种电力系统网络攻击链检测方法、装置、设备及介质 | |
| CN114244539B (zh) | Web应用攻击分析方法和装置、计算机可读存储介质 | |
| CN112541183B (zh) | 数据处理方法及装置、边缘计算设备、存储介质 | |
| CN112799956B (zh) | 资产识别能力测试方法、装置及系统装置 | |
| US20240169814A1 (en) | Fire detection apparatus using multiple sensors and operating method thereof | |
| CN111274585B (zh) | 一种Web应用越权漏洞检测方法、装置、设备和介质 | |
| CN111125692B (zh) | 反爬虫方法及装置 | |
| CN116938678A (zh) | 云平台运维方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |