CN113992438B - 一种网络安全检测方法及装置 - Google Patents
一种网络安全检测方法及装置 Download PDFInfo
- Publication number
- CN113992438B CN113992438B CN202111607836.4A CN202111607836A CN113992438B CN 113992438 B CN113992438 B CN 113992438B CN 202111607836 A CN202111607836 A CN 202111607836A CN 113992438 B CN113992438 B CN 113992438B
- Authority
- CN
- China
- Prior art keywords
- test
- rule
- preset
- detection result
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种网络安全检测方法及装置,包括:生成用于网络安全检测的测试规则;然后将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果;再根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率;并根据对应率判断测试规则是否有效;如果是,则将测试规则确定为正式规则,并将正式规则下发至所有待检测用户端进行网络安全检测。可见,实施该方法能够避免漏报及误报问题,实现及时响应、及时发现、及时解决发现的网络安全问题,从而维护网络安全。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络安全检测方法及装置。
背景技术
随着网络不断发展,网络安全问题也越来越受到重视。现有的网络安全检测方法,在真实的网络攻击中需要针对流量的特征进行规则编写后直接下发并进行网络安全检测,从而解决网络安全的问题。然而在实践中发现,现有编写好的规则直接应用于实际场景中,存在漏报及误报问题,无法及时发现网络安全问题,从而无法及时维护网络安全。可见,现有网络安全检测方法存在漏报及误报问题,且无法及时发现、及时响应、及时解决发现的网络安全问题。
发明内容
本申请实施例的目的在于提供一种网络安全检测方法及装置,能够避免漏报及误报问题,实现及时响应、及时发现、及时解决发现的网络安全问题,从而维护网络安全。
本申请实施例第一方面提供了一种网络安全检测方法,包括:
生成用于网络安全检测的测试规则;
将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果;
根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率;
根据所述对应率判断所述测试规则是否有效;
如果是,则将所述测试规则确定为正式规则,并将所述正式规则下发至所有待检测用户端进行网络安全检测。
在上述实现过程中,先生成用于网络安全检测的测试规则;然后将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果;再根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率;并根据对应率判断测试规则是否有效;如果是,则将测试规则确定为正式规则,并将正式规则下发至所有待检测用户端进行网络安全检测。可见,实施该方法能够避免漏报及误报问题,实现及时响应、及时发现、及时解决发现的网络安全问题,从而维护网络安全。
进一步地,所述生成用于网络安全检测的测试规则,包括:
获取用于生成规则的检测需求数据;
根据所述检测需求数据生成初始检测规则;
当所述初始检测规则通过自动化测试后,执行所述的将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果。
进一步地,将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果,包括:
将所述测试规则下发至测试用户端进行网络安全检测;
接收所述测试用户端在预设测试周期内根据所述测试规则进行网络安全检测得到的检测结果集合;
从所述检测结果集合中提取具有告警数据的检测结果,作为有效检测结果。
进一步地,根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率,包括:
通过预设审核策略对所述预设测试周期内的每个所述有效检测结果进行研判,得到研判结果;
根据所述研判结果确定所述预设测试周期内通过审核的第一检测结果;
根据所述第一检测结果的数量和所有所述有效检测结果的数量计算所述测试规则的对应率。
进一步地,所述方法还包括:
根据所述研判结果确定所述预设测试周期内未通过审核的第二检测结果,并根据所述第二检测结果获取新的测试规则;
将所述新的测试规则重新下发至所述测试用户端进行测试,得到所述测试用户端返回的有效检测结果,并执行所述的通过预设审核策略对所述预设测试周期内的每个所述有效检测结果进行研判,得到研判结果。
进一步地,根据所述对应率判断所述测试规则是否有效,包括:
当所述对应率为预设目标值时,并确定所述测试规则为有效,并执行所述的则将所述测试规则确定为正式规则;
当所述对应率小于所述预设目标值且大于预设阈值时,重复执行所述的将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果,以及所述的根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率,直至得到的对应率为预设目标值,并确定所述测试规则为有效,并执行所述的则将所述测试规则确定为正式规则;其中,所述预设阈值小于所述预设目标值;
当所述对应率小于所述预设阈值时,将所述有效检测结果确定为第二检测结果,并执行所述的根据所述第二检测结果获取新的测试规则。
进一步地,在接收所述测试用户端在预设测试周期内根据所述测试规则进行网络安全检测得到的检测结果集合之后,所述方法还包括:
判断所述检测结果集合是否存在具有报警数据的检测结果;
如果是,则执行所述的从所述检测结果集合中提取具有告警数据的检测结果,作为有效检测结果;
如果否,则确定所述测试规则存在内容缺失,并对所述测试规则进行规则修改处理,得到新的测试规则;
将所述新的测试规则重新下发至所述测试用户端进行测试,得到所述测试用户端返回的有效检测结果,并执行所述的根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率。
本申请实施例第二方面提供了一种网络安全检测装置,所述网络安全检测装置包括:
生成单元,用于生成用于网络安全检测的测试规则;
第一下发单元,用于将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果;
计算单元,用于根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率;
判断单元,用于根据所述对应率判断所述测试规则是否有效;
第二下发单元,用于当判断出所述测试规则有效时,则将所述测试规则确定为正式规则,并将所述正式规则下发至所有待检测用户端进行网络安全检测。
在上述实现过程中,生成单元先生成用于网络安全检测的测试规则;然后第一下发单元将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果;计算单元再根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率;判断单元根据对应率判断测试规则是否有效;如果是,第二下发单元则将测试规则确定为正式规则,并将正式规则下发至所有待检测用户端进行网络安全检测。可见,实施该装置能够避免漏报及误报问题,实现及时响应、及时发现、及时解决发现的网络安全问题,从而维护网络安全。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的网络安全检测方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的网络安全检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络安全检测方法的流程示意图;
图2为本申请实施例提供的一种网络安全检测装置的结构示意图;
图3为本申请实施例提供的一种新建测试规则的展示界面示意图;
图4为本申请实施例提供的一种有效检测结果的收集展示示意图;
图5为本申请实施例提供的一种正式规则的列表展示示意图;
图6为本申请实施例提供的一种正式规则的应用情况展示示意图;
图7为本申请实施例提供的一种漏报误报规则的列表展示示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种网络安全检测方法的流程示意图。其中,该网络安全检测方法包括:
S101、生成用于网络安全检测的测试规则。
本申请实施例中,该方法应用于自动化规则管理平台,具体地,该自动化规则管理平台可以运行于计算机、服务器等计算装置上,还可以运行于智能手机、平板电脑等电子设备上,对此本实施例中不作任何限定。
作为一种可选的实施方式,生成用于网络安全检测的测试规则,包括:
获取用于生成规则的检测需求数据;
根据检测需求数据生成初始检测规则;
当初始检测规则通过自动化测试后,执行的将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果。
在上述实施方式中,检测需求数据包括但不限于规则类型、规则ID、规则名称、规则描述、严重级别等,对此本申请实施例不作限定。
S102、将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果。
本申请实施例中,可以通过自动化规则管理平台产生规则,通过自动化规则测试后将规则批量下发至测试用户端进行威胁检测。
作为一种可选的实施方式,将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果,包括:
将测试规则下发至测试用户端进行网络安全检测;
接收测试用户端在预设测试周期内根据测试规则进行网络安全检测得到的检测结果集合;
从检测结果集合中提取具有告警数据的检测结果,作为有效检测结果。
在上述实施方式中,测试用户端接收到下发的测试规则之后,会通过该测试规则进行威胁检测,得到检测结果集合,其中该检测结果集合中包括具有告警数据的检测结果和不具有告警数据的检测结果。
作为进一步可选的实施方式,在接收测试用户端在预设测试周期内根据测试规则进行网络安全检测得到的检测结果集合之后,方法还包括:
判断检测结果集合是否存在具有报警数据的检测结果;
如果是,则执行的从检测结果集合中提取具有告警数据的检测结果,作为有效检测结果;
如果否,则确定测试规则存在内容缺失,并对测试规则进行规则修改处理,得到新的测试规则;
将新的测试规则重新下发至测试用户端进行测试,得到测试用户端返回的有效检测结果,并执行的根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率。
在上述实施方式中,当测试规则在下发至测试用户端一段时间后,得到的检测结果集合中,没有有效检测结果,则判定该测试规则的规则内容有部分缺失且需进行规则修改,解决了漏报问题。
S103、通过预设审核策略对预设测试周期内的每个有效检测结果进行研判,得到研判结果,并执行步骤S107~步骤S108或者步骤S104~步骤S106。
本申请实施例中,测试用户端可以按照预设测试周期定时将检测结果回传至自动化规则管理平台进行有效检测结果的收集,收集的有效检测结果将通过预设审核策略进行内容审核研判。
本申请实施例中,预设审核策略包括触发规则的日志内容、检测手段、威胁类型等,对此本申请实施例不作限定。
在步骤S103之后,还包括以下步骤:
S104、根据研判结果确定预设测试周期内未通过审核的第二检测结果。
本申请实施例中,预设测试周期为预先配置,具体可以为每隔12小时、每隔24小时等,对此本申请实施例不作限定。
S105、根据第二检测结果获取新的测试规则。
S106、将新的测试规则重新下发至测试用户端进行测试,得到测试用户端返回的有效检测结果,并执行步骤S103。
本申请实施例中,当有效检测结果中触发的告警与预设审核策略不对应时,判定为审核不通过,当审核不通过时,根据第二检测结果生成新的测试规则,将新的测试规则重新下发至测试用户端进行测试,一直循环上述过程。
本申请实施例中,在生成新的测试规则之后,还可以对该新的测试规则进行人工研判,当通过人工研判之后,将该新的测试规则重新下发至测试用户端进行测试。
S107、根据研判结果确定预设测试周期内通过审核的第一检测结果。
S108、根据第一检测结果的数量和所有有效检测结果的数量计算测试规则的对应率。
本申请实施例中,当有效检测结果中触发的告警与预设审核策略对应时,则判定为审核通过;在审核通过后,根据第一检测结果计算对应率,以判断测试规则的有效性。
本申请实施例中,实施上述步骤S103~步骤S108,能够根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率。
S109、当对应率为预设目标值时,则确定测试规则为有效,并执行步骤S112。
本申请实施例中,该预设目标值可以为1、100%等,对此本申请实施例不作限定。
本申请实施例中,当测试规则下发至测试用户端之后,测试规则在既定策略下运行一段时间后,存在有效检测结果,且测试规则与预设审核策略对应,则计算出的对应率为预设目标值,即在本周期内测试规则与预设审核策略对应,不存在不对应的情况,则执行步骤S112将测试规则确定为正式规则,下发至所有用户进行威胁的发现。
S110、当对应率小于预设目标值且大于预设阈值时,重复执行步骤S102~步骤S108,直至得到的对应率为预设目标值,则确定测试规则为有效,并执行步骤S112。
本申请实施例中,预设阈值小于预设目标值;当预设目标值为1时,预设阈值可以为0.8;当预设目标值为100%时,预设阈值可以为80%,对此本申请实施例不作限定。
本申请实施例中,如果在本周期内测试规则与预设审核策略对应率小于预设目标值且大于预设阈值时,则重复重复执行步骤S102~步骤S108,直至完全对应(即计算出的对应率为预设目标值)。
本申请实施例中,当重复执行步骤S102~步骤S108时,得到的对应率可以为预设目标值,可以小于预设目标值且大于预设阈值,也可以小于预设阈值。当得到的对应率小于预设目标值且大于预设阈值时,则执行步骤S110;当得到的对应率小于预设阈值时,则执行步骤S111。
S111、当对应率小于预设阈值时,将有效检测结果确定为第二检测结果,并执行步骤S105。
本申请实施例中,如果在本周期内测试规则与预设审核策略对应率小于预设阈值时,则将有效检测结果确定为第二检测结果,反馈至平台同时生成正确规则进行人工研判,并执行步骤S105,直至完全对应。
本申请实施例中,实施上述步骤S109~步骤S111,能够根据对应率判断测试规则是否有效。
S112、将测试规则确定为正式规则。
S113、将正式规则下发至所有待检测用户端进行网络安全检测。
本申请实施例中,通过增加灰度规则,下发后通过回传数据进行有效分析,并循环灰度规则,从而下发最准确的规则减少误报,同时动态持续上述过程能够提升检测的实时性。及时发现威胁,响应并自动化产生规则,下发策略解决。
本申请实施例中,该方法及时发现测试规则的问题,及时分析问题解决漏报问题。另一方面,增加灰度规则,下发后通过回传数据进行有效分析,并循环灰度规则,从而下发最准确的规则减少误报;最后,得到的正式规则检测准确度高,能够及时发现问题,响应问题、解决问题。
本申请实施例中,该方法应用于自动化规则管理平台,第一步、先通过自动化规则管理平台产生规则。请一并参阅图3~图7,用户先通过如图3所示的界面,新建测试规则,新建测试规则过程包括以下方面:规则类型、规则ID、规则名称、规则描述、严重级别等,对此本申请实施例不作限定,并通过PCAP测试;通过自动化规则测试后将测试规则批量下发至测试用户端进行威胁检测。
本申请实施例中,当配置多条测试规则时,还可以按照规则ID、规则分类、规则名称、规则类型、严重级别、攻击结果以及规则描述、灰度告警数、更新时间、提交人、操作数据等进行列表展示。
第二步、定时(如每日)将检测结果回传至自动化规则管理平台进行相关检测内容的有效检测结果的收集,收集的有效检测结果将通过预设审核策略进行内容审核,有效检测结果的收集展示如图4所示。当有效检测结果中触发的告警与预设审核策略对应时,判定为审核通过,并将其研判结果返至自动化规则管理平台计算有效性,从而判断测试规则的有效性。当有效检测结果中触发的告警与预设审核策略不对应时,判定为审核不通过,当审核不通过时将无效内容反馈至平台同时生成正确规则进行人工研判,通过后将继续下发至测试用户端,一直循环上述过程。
第三步、当测试规则在下发至测试用户端一段时间后,仍没有有效检测结果反馈,则判定测试规则的规则内容有部分缺失且需进行规则修改,保证漏报进行解决。
第四步、设目标预设值为1,预设阈值可以为0.8,当对应率为1时,表示测试规则与预设审核策略完全对应,不存在不对应的情况,则将该测试规则确定为正式规则,并将其下发至所有用户进行威胁的发现。当对应率在0.8-1之间,则将该规则标记为存疑规则,继续重复第二步,直至对应率为1,或对应率小于0.8。对应率为1时,则转为正式规则。当对应率小于0.8,则反馈至平台同时进行人工研判生成新的测试规则进行下发测试,重复执行第二步,直至完全对应,或对应率小于0.8。完全对应则转为正式规则,生成的正式规则就可以发布了,正式规则的列表展示如图5所示。在将正式规则下发至全部用户进行威胁检测时,还可以对下发后的正式规则的应用情况进行查看,如图6所示。
当重复执行第二步时,得到的对应率小于0.8时,则根据第四步的处理策略进行重复循环处理,直至最终得到的对应率为1。如图7所示,当测试规则的对应率不为1时,表明存在漏报误报,此时还可以输出对应率不为1的测试规则列表供查看。
本申请实施例中,该方法能够通过自动化平台及时发现问题分析问题解决漏报问题;通过增加灰度规则,下发后通过回传数据进行有效分析,并循环灰度规则,从而下发最准确的规则减少误报,进而能够及时发现问题,响应问题、解决问题。
可见,实施本实施例所描述的网络安全检测方法,能够避免漏报及误报问题,实现及时响应、及时发现、及时解决发现的网络安全问题,从而维护网络安全。
实施例2
请参看图2,图2为本申请实施例提供的一种网络安全检测装置的结构示意图。如图2所示,该网络安全检测装置包括:
生成单元210,用于生成用于网络安全检测的测试规则;
第一下发单元220,用于将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果;
计算单元230,用于根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率;
判断单元240,用于根据对应率判断测试规则是否有效;
第二下发单元250,用于当判断出测试规则有效时,则将测试规则确定为正式规则,并将正式规则下发至所有待检测用户端进行网络安全检测。
作为一种可选的实施方式,生成单元210包括:
获取子单元211,用于获取用于生成规则的检测需求数据;
生成子单元212,用于根据检测需求数据生成初始检测规则;当初始检测规则通过自动化测试后,触发第一下发单元220将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果。
作为一种可选的实施方式,第一下发单元220包括:
第一下发子单元221,用于将测试规则下发至测试用户端进行网络安全检测;
接收子单元222,用于接收测试用户端在预设测试周期内根据测试规则进行网络安全检测得到的检测结果集合;
提取子单元223,用于从检测结果集合中提取具有告警数据的检测结果,作为有效检测结果。
作为一种可选的实施方式,计算单元230包括:
研判子单元231,用于通过预设审核策略对预设测试周期内的每个有效检测结果进行研判,得到研判结果;
第一确定子单元232,用于根据研判结果确定预设测试周期内通过审核的第一检测结果;
计算子单元233,用于根据第一检测结果的数量和所有有效检测结果的数量计算测试规则的对应率。
作为一种可选的实施方式,第一确定子单元232,还用于根据研判结果确定预设测试周期内未通过审核的第二检测结果,并根据第二检测结果获取新的测试规则;
计算单元230,还包括:
第二下发子单元234,用于将新的测试规则重新下发至测试用户端进行测试,得到测试用户端返回的有效检测结果,并触发研判子单元231通过预设审核策略对预设测试周期内的每个有效检测结果进行研判,得到研判结果。
作为一种可选的实施方式,判断单元240,具体用于当对应率为预设目标值时,则确定测试规则为有效,并触发第二下发单元250将测试规则确定为正式规则;以及当对应率小于预设目标值且大于预设阈值时,重复触发第一下发单元220将测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到测试用户端返回的有效检测结果,以及计算单元230根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率,直至得到的对应率为预设目标值,并确定测试规则为有效,并触发第二下发单元250将测试规则确定为正式规则;以及当对应率小于预设阈值时,将有效检测结果确定为第二检测结果,并执行的根据第二检测结果获取新的测试规则;其中,预设阈值小于预设目标值。
作为一种可选的实施方式,第一下发单元220还包括:
判断子单元224,用于在接收测试用户端在预设测试周期内根据测试规则进行网络安全检测得到的检测结果集合之后,判断检测结果集合是否存在具有报警数据的检测结果;如果是,则触发提取子单元223从检测结果集合中提取具有告警数据的检测结果,作为有效检测结果;如果否,则确定测试规则存在内容缺失,并对测试规则进行规则修改处理,得到新的测试规则;
第一下发子单元221,还用于将新的测试规则重新下发至测试用户端进行测试,得到测试用户端返回的有效检测结果,并执行的根据有效检测结果计算测试规则在预设测试周期内与预设审核策略的对应率。
本申请实施例中,对于网络安全检测装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的网络安全检测装置,能够避免漏报及误报问题,实现及时响应、及时发现、及时解决发现的网络安全问题,从而维护网络安全。
本申请实施例提供了一种电子设备,包括存储器以及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行本申请实施例1中的网络安全检测方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的网络安全检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种网络安全检测方法,其特征在于,包括:
生成用于网络安全检测的测试规则;
将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果;
根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率;
根据所述对应率判断所述测试规则是否有效;
如果是,则将所述测试规则确定为正式规则,并将所述正式规则下发至所有待检测用户端进行网络安全检测;
根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率,包括:
通过预设审核策略对所述预设测试周期内的每个所述有效检测结果进行研判,得到研判结果;
根据所述研判结果确定所述预设测试周期内通过审核的第一检测结果;
根据所述第一检测结果的数量和所有所述有效检测结果的数量计算所述测试规则的对应率;
该方法还包括:
根据所述研判结果确定所述预设测试周期内未通过审核的第二检测结果,并根据所述第二检测结果获取新的测试规则;
将所述新的测试规则重新下发至所述测试用户端进行测试,得到所述测试用户端返回的有效检测结果,并执行所述的通过预设审核策略对所述预设测试周期内的每个所述有效检测结果进行研判,得到研判结果。
2.根据权利要求1所述的网络安全检测方法,其特征在于,所述生成用于网络安全检测的测试规则,包括:
获取用于生成规则的检测需求数据;
根据所述检测需求数据生成初始检测规则;
当所述初始检测规则通过自动化测试后,执行所述的将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果。
3.根据权利要求1所述的网络安全检测方法,其特征在于,将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果,包括:
将所述测试规则下发至测试用户端进行网络安全检测;
接收所述测试用户端在预设测试周期内根据所述测试规则进行网络安全检测得到的检测结果集合;
从所述检测结果集合中提取具有告警数据的检测结果,作为有效检测结果。
4.根据权利要求1所述的网络安全检测方法,其特征在于,根据所述对应率判断所述测试规则是否有效,包括:
当所述对应率为预设目标值时,并确定所述测试规则为有效,并执行所述的则将所述测试规则确定为正式规则;
当所述对应率小于所述预设目标值且大于预设阈值时,重复执行所述的将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果,以及所述的根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率,直至得到的对应率为预设目标值,并确定所述测试规则为有效,并执行所述的则将所述测试规则确定为正式规则;其中,所述预设阈值小于所述预设目标值;
当所述对应率小于所述预设阈值时,将所述有效检测结果确定为第二检测结果,并执行所述的根据所述第二检测结果获取新的测试规则。
5.根据权利要求3所述的网络安全检测方法,其特征在于,在接收所述测试用户端在预设测试周期内根据所述测试规则进行网络安全检测得到的检测结果集合之后,所述方法还包括:
判断所述检测结果集合是否存在具有报警数据的检测结果;
如果是,则执行所述的从所述检测结果集合中提取具有告警数据的检测结果,作为有效检测结果;
如果否,则确定所述测试规则存在内容缺失,并对所述测试规则进行规则修改处理,得到新的测试规则;
将所述新的测试规则重新下发至所述测试用户端进行测试,得到所述测试用户端返回的有效检测结果,并执行所述的根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率。
6.一种网络安全检测装置,其特征在于,所述网络安全检测装置包括:
生成单元,用于生成用于网络安全检测的测试规则;
第一下发单元,用于将所述测试规则下发至测试用户端进行基于预设测试周期的网络安全检测,得到所述测试用户端返回的有效检测结果;
计算单元,用于根据所述有效检测结果计算所述测试规则在所述预设测试周期内与预设审核策略的对应率;
判断单元,用于根据所述对应率判断所述测试规则是否有效;
第二下发单元,用于当判断出所述测试规则有效时,则将所述测试规则确定为正式规则,并将所述正式规则下发至所有待检测用户端进行网络安全检测;
计算单元包括:
研判子单元,用于通过预设审核策略对预设测试周期内的每个有效检测结果进行研判,得到研判结果;
第一确定子单元,用于根据研判结果确定预设测试周期内通过审核的第一检测结果;
计算子单元,用于根据第一检测结果的数量和所有有效检测结果的数量计算测试规则的对应率;
第一确定子单元,还用于根据研判结果确定预设测试周期内未通过审核的第二检测结果,并根据第二检测结果获取新的测试规则;
计算单元,还包括:
第二下发子单元,用于将新的测试规则重新下发至测试用户端进行测试,得到测试用户端返回的有效检测结果,并触发研判子单元通过预设审核策略对预设测试周期内的每个有效检测结果进行研判,得到研判结果。
7.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述的网络安全检测方法。
8.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至5任一项所述的网络安全检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111607836.4A CN113992438B (zh) | 2021-12-27 | 2021-12-27 | 一种网络安全检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111607836.4A CN113992438B (zh) | 2021-12-27 | 2021-12-27 | 一种网络安全检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992438A CN113992438A (zh) | 2022-01-28 |
| CN113992438B true CN113992438B (zh) | 2022-03-22 |
Family
ID=79734418
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111607836.4A Active CN113992438B (zh) | 2021-12-27 | 2021-12-27 | 一种网络安全检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992438B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102209006A (zh) * | 2011-03-04 | 2011-10-05 | 北京神州绿盟信息安全科技股份有限公司 | 规则测试设备及方法 |
| CN107454096A (zh) * | 2017-08-24 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于日志回放的误报消除方法 |
| EP3624402A1 (fr) * | 2018-09-13 | 2020-03-18 | Thales | Procédé de détection de sources illégitimes responsables d'une attaque distribuée par déni de service par inondation de lien et installation associée |
| CN113726779A (zh) * | 2021-08-31 | 2021-11-30 | 北京天融信网络安全技术有限公司 | 规则误报测试方法、装置、电子设备及计算机存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110990295B (zh) * | 2019-12-19 | 2023-10-31 | 卡斯柯信号(北京)有限公司 | 测试用例的验证方法、装置及电子设备 |
-
2021
- 2021-12-27 CN CN202111607836.4A patent/CN113992438B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102209006A (zh) * | 2011-03-04 | 2011-10-05 | 北京神州绿盟信息安全科技股份有限公司 | 规则测试设备及方法 |
| CN107454096A (zh) * | 2017-08-24 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于日志回放的误报消除方法 |
| EP3624402A1 (fr) * | 2018-09-13 | 2020-03-18 | Thales | Procédé de détection de sources illégitimes responsables d'une attaque distribuée par déni de service par inondation de lien et installation associée |
| CN113726779A (zh) * | 2021-08-31 | 2021-11-30 | 北京天融信网络安全技术有限公司 | 规则误报测试方法、装置、电子设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992438A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| CN107154950B (zh) | 一种日志流异常检测的方法及系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| EP2691848B1 (en) | Determining machine behavior | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN102664875B (zh) | 基于云模式的恶意代码类别检测方法 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN107122669B (zh) | 一种评估数据泄露风险的方法和装置 | |
| CN110516156B (zh) | 一种网络行为监控装置、方法、设备和存储介质 | |
| US20070071081A1 (en) | Communication analysis apparatus and method and storage medium storing communication analysis program, and organization rigidification analysis apparatus and method and storage medium storing organization rigidification analysis program | |
| CN111177714A (zh) | 异常行为检测方法、装置、计算机设备和存储介质 | |
| CN114003903A (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN112131249A (zh) | 一种攻击意图识别方法及装置 | |
| CN110933115A (zh) | 基于动态session的分析对象行为异常检测方法及装置 | |
| CN106998336B (zh) | 渠道中的用户检测方法和装置 | |
| CN116112292A (zh) | 基于网络流量大数据的异常行为检测方法、系统和介质 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| CN114445088A (zh) | 一种欺诈行为的判定方法、装置、电子设备和存储介质 | |
| CN116340934A (zh) | 终端异常行为检测方法、装置、设备及存储介质 | |
| CN113992438B (zh) | 一种网络安全检测方法及装置 | |
| CN108566307A (zh) | 一种定量化的网络安全保护强度评估方法及系统 | |
| CN116015979B (zh) | 一种智能安全态势感知方法、系统和存储介质 | |
| CN114006776B (zh) | 一种敏感信息泄露检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |