CN115225370A - 一种规则库优化方法、装置、电子设备及存储介质 - Google Patents
一种规则库优化方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115225370A CN115225370A CN202210842863.8A CN202210842863A CN115225370A CN 115225370 A CN115225370 A CN 115225370A CN 202210842863 A CN202210842863 A CN 202210842863A CN 115225370 A CN115225370 A CN 115225370A
- Authority
- CN
- China
- Prior art keywords
- rule
- information
- security
- false alarm
- rule base
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000005457 optimization Methods 0.000 title claims abstract description 31
- 238000012360 testing method Methods 0.000 claims description 35
- 238000012423 maintenance Methods 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000001514 detection method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种规则库优化方法、装置、电子设备及存储介质。该方法包括:接收规则误报信息,规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;根据规则标识和规则库版本号获取对应的安全规则;获取安全规则的更新信息,并利用更新信息对安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,更新信息为根据告警报文和命中字符串特征确定的。本申请实施例通过对规则误报信息进行收集,根据告警报文和命中字符串特征生成对应安全规则的更新信息,并利用更新信息对安全规则进行更新,从而降低了误报率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种规则库优化方法、装置、电子设备及存储介质。
背景技术
安全网关主要依赖安全规则进行攻击的检测和防御,其中,安全规则主要包括IPS规则、WAF规则等。其格式以正则表达式和特征字符串为主,检测对象为网络流量,即报文内容或报文解码后的特定字段。
目前,安全规则的生成主要是由安全研究人员凭经验编写,由于经验参差不齐,以及实际的网络流量中的报文类型和报文内容多种多样,所以导致安全规则经常会出现误报的情况。
发明内容
本申请实施例的目的在于提供一种规则库优化方法、装置、电子设备及存储介质,用以降低安全规则的误报率。
第一方面,本申请实施例提供一种规则库优化方法,应用于服务器,该方法包括:接收规则误报信息,规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;根据规则标识和规则库版本号获取对应的安全规则;获取安全规则的更新信息,并利用更新信息对安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,更新信息为根据告警报文和命中字符串特征确定的。
本申请实施例通过对规则误报信息进行收集,根据告警报文和命中字符串特征生成对应安全规则的更新信息,并利用更新信息对安全规则进行更新,从而降低了误报率。
在任一实施例中,获取安全规则的更新信息,包括:根据告警报文和命中字符串特征确定误报原因,并根据误报原因生成更新信息。
本申请实施例通过利用告警报文和命中字符串特征确定产生误报的原因,从而根据误报的原因生成更新信息,从根源上解决误报的问题。
在任一实施例中,获取安全规则的更新信息,包括:接收规则维护人员输入的更新信息。
本申请实施例通过收集规则误报信息,可以是规则维护人员能够及时获得引起规则产生误报的报文,并及时对安全规则进行修改,从而降低了安全规则的误报率。
在任一实施例中,在获得包含更新后安全规则的目标规则库后,该方法还包括:获取本地白流量,所述本地白流量包括在预设时间段内接收到的告警报文;向测试网关发送本地白流量和目标规则库,以使测试网关对目标规则库进行测试。
本申请实施例通过对目标规则库进行测试,从而保证目标规则库中的安全规则的质量。
在任一实施例中,在获得包含更新后安全规则的目标规则库后,该方法还包括:向安全网关发送目标规则库。
本申请实施例中,在对安全规则进行更新后,将包含更新后安全规则的目标规则库发送给安全网关,从而使得安全网关采用最新的目标规则库对网络流量进行安全检测,降低了安全规则的误报率。
第二方面,本申请实施例提供另一种规则库优化方法,应用于安全网关,该方法包括:利用规则库中的安全规则对网络流量进行安全检查,其中,规则库为安全网关接收由服务器发送的;若网络流量命中安全规则,则生成告警信息,告警信息包括规则标识、规则库版本号、告警报文和命中字符串特征;若告警信息为误报,则确定告警信息为规则误报信息,并向所述服务器发送所述规则误报信息。
本申请实施例通过在确定告警信息为误报后,将该告警信息作为规则误报信息发送给服务器,从而使得服务器根据该规则误报信息对规则库中的安全规则进行优化更新,从而降低了安全规则的误报率。
在任一实施例中,在生成告警信息后,该方法还包括:根据安全规则和告警报文对应的网络流量判断告警信息是否为误报。
本申请实施例通过安全规则和报警报文判断告警信息是否为误报,在为误报时,及时对发生误报的安全规则进行更新。
第三方面,本申请实施例提供一种规则库优化装置,包括:信息接收模块,用于接收规则误报信息,规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;规则获取模块,用于根据规则标识和规则库版本号获取对应的安全规则;规则优化模块,用于获取安全规则的更新信息,并利用更新信息对安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,更新信息为根据告警报文和命中字符串特征确定的。
第四方面,本申请实施例提供另一种规则库优化装置,包括:安全检查模块,用于利用规则库中的安全规则对网络流量进行安全检查,其中,规则库为安全网关接收由服务器发送的;告警模块,用于若网络流量命中安全规则,则生成告警信息,告警信息包括规则标识、规则库版本号、告警报文和命中字符串特征;发送模块,用于若告警信息为误报,则确定告警信息为规则误报信息,并向服务器发送规则误报信息。
第五方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面或第二方面的方法。
第六方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面或第二方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种规则库优化方法流程示意图;
图2为本申请实施例提供的另一种规则库优化方法流程示意图;
图3为本申请实施例提供的又一种规则库优化方法流程示意图;
图4为本申请实施例提供的告警信息误报识别方法流程示意图;
图5为本申请实施例提供一种安全组网环境结构图;
图6为本申请实施例提供的一种规则库优化装置结构示意图;
图7为本申请实施例提供的另一种规则库优化装置结构示意图;
图8为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合附图对本申请技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本申请的技术方案,因此只作为示例,而不能以此来限制本申请的保护范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。
在本申请实施例的描述中,技术术语“第一”“第二”等仅用于区别不同对象,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量、特定顺序或主次关系。在本申请实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请实施例的描述中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本申请实施例的描述中,术语“多个”指的是两个以上(包括两个),同理,“多组”指的是两组以上(包括两组),“多片”指的是两片以上(包括两片)。
在本申请实施例的描述中,技术术语“中心”“纵向”“横向”“长度”“宽度”“厚度”“上”“下”“前”“后”“左”“右”“竖直”“水平”“顶”“底”“内”“外”“顺时针”“逆时针”“轴向”“径向”“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请实施例的限制。
在本申请实施例的描述中,除非另有明确的规定和限定,技术术语“安装”“相连”“连接”“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;也可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请实施例中的具体含义。
目前,当安全网关采用安全规则对网络流量进行检测时,若发现网络流量命中安全规则,则发出告警提示,该告警提示用于告知用户发现异常流量。由于实际的网络流量中的报文有各种类型和各种内容,因此,需要不断的对规则库中的安全规则进行调整,来降低误报率。
由于正常流量千变万化,规则库难以对各种场景和业务下的网络流量都能准确的识别,当出现告警后,用户可对告警信息进行研判,若该告警信息为误判,往往会禁用该安全规则,以防止后续继续出现误判的情况,从而导致该规则一直存在问题。
为了降低规则库中的安全规则的误报率,本申请实施例提供一种规则库优化方法、装置、电子设备及存储介质。该规则库优化方法通过在接收到规则误报信息后,根据规则误报信息中的告警报文和命中字符串特征确定更新信息,并利用更新信息对安全规则进行优化更新,从而使得优化后的目标规则库的误报率降低。
图1为本申请实施例提供的一种规则库优化方法流程示意图,如图1所示,该规则库优化方法可以应用于服务器;具体可以为云端服务器和本地服务器。该方法包括:
步骤101:接收规则误报信息,规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征。
其中,规则误报信息是由安全网关向服务器发送的,安全网关中预先配置有服务器的域名,通过域名可以访问到服务器。安全网关中存储有规则库,规则库中包括多条安全规则,安全网关将接收到的网络流量与规则库中的每条安全规则进行匹配,以判断网络流量是否命中某条安全规则,如果命中,则认为该网络流量为异常流量,可能存在风险,为了保证安全网关对应的终端的网络安全,会生成告警信息。如果没有命中,则说明该网络流量为正常流量,安全网关将该网络流量发送给对应的终端。
对于命中安全规则的网络流量,可能为正常的网络流量,也可能为异常的网络流量。对于命中安全规则的网络流量为正常的网络流量的情况,那么本次告警则为误报,安全网关将误报的告警信息(又称:规则误报信息)上报给服务器。
规则误报信息中包括的规则标识用于表示安全规则的唯一性,在规则库中包括了多条安全规则,每条安全规则均对应一个规则标识。规则库版本号是指安全网关当前所使用的规则库的版本号,该规则库版本号是在编写该规则库时设定的。告警报文为网络流量在命中安全规则后,安全网关自动生成的,该告警报文中包括命中安全规则的报文,可以将告警报文记录为pcap报文。命中字符串特征是指与安全规则匹配的流量特征,即,网络流量中与安全规则匹配的字符串。
步骤102:根据规则标识和规则库版本号获取对应的安全规则。
在具体的实施过程中,服务器在接收到规则误报信息后,对规则误报信息进行解析,获得对应的规则标识、规则库版本号、告警报文和命中字符串特征。服务器中可能存储有多个版本的规则库,因此,可通过规则库版本号确定规则库,并根据规则标识从规则库中查询到对应的安全规则。可以理解的是,查找到的安全规则即为出现了误报的安全规则。
步骤103:获取安全规则的更新信息,并利用更新信息对安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,更新信息为根据告警报文和命中字符串特征确定的。
在具体的实施过程中,服务器获取安全规则的更新信息,其中,更新信息可以是一条完整的新的安全规则,也可以是安全规则中的部分新的内容。若更新信息为一条完整的新的安全规则,则利用更新信息替换步骤102查询到的安全规则,从而获得更新了安全规则的目标规则库。如果更新信息为安全规则中部分新的内容,则利用更新信息将步骤102查询到的安全规则中对应部分进行替换,以获得更新了安全规则的目标规则库。
可以理解的是,服务器获得的更新信息可以是规则维护人员编写并发送给服务器的,也可以是服务器根据告警报文和命中字符串特征自动生成的,本申请实施例对此不作具体限定。
本申请实施例通过对规则误报信息进行收集,根据告警报文和命中字符串特征生成对应安全规则的更新信息,并利用更新信息对安全规则进行更新,从而降低了误报率。
在上述实施例的基础上,所述获取所述安全规则的更新信息,包括:
根据告警报文和命中字符串特征确定误报原因,并根据误报原因生成更新信息。
在具体的实施过程中,在服务器中预先配置有原因分析列表,该原因分析列表中包括告警报文和命中字符串特征与误报原因之间的对应关系,原因分析列表中的对应关系可以为规则维护人员预先根据经验配置。服务器在获得告警报文和命中字符串特征后,从原因分析列表中查找是否有匹配的对应关系,若有,则获取与告警报文和命中字符串特征相匹配的误报原因。
另外,在服务器中还预先存储有规则更新列表,该规则更新列表中包括误报原因和更新信息之间的对应关系,服务器在确定了误报原因后,根据误报原因从规则更新列表中查询是否有相匹配的更新信息,若有,则从规则更新列表中获取与误报原因相匹配的更新信息,用该更新信息对安全规则进行更新。
可以理解的是,若在原因分析列表中查不到匹配的误报原因,或在规则更新列表中查不到匹配的更新信息,则可向规则维护人员所使用的终端发送提示信息,以提醒规则维护人员手动确定更新信息。可以理解的是,规则维护人员在确定更新信息时,也是根据告警报文和命中字符串特征确定的。
本申请实施例通过利用告警报文和命中字符串特征确定产生误报的原因,从而根据误报的原因生成更新信息,从根源上解决误报的问题。
在上述实施例的基础上,所述获取所述安全规则的更新信息,包括:
接收规则维护人员输入的所述更新信息。
在具体的实施过程中,服务器在接收到规则误报信息后,可以将规则误报信息存入误报列表中,服务器可周期性向规则维护人员所使用的终端上发送规则误报信息,从而使得规则维护人员可以在看到规则误报信息后,根据规则误报信息中的告警报文和命中字符串特征对安全规则重新编写,获得更新信息,并将更新信息发送给服务器,服务器在接收到该更新信息后,利用更新信息对安全规则进行更新。
另一实施例中,规则维护人员可周期性登录服务器主动查看误报列表中的规则误报信息,并根据规则误报信息中的告警报文和命中字符串特征对安全规则重新编写,获得更新信息,利用更新信息对安全规则进行更新。
本申请实施例通过收集规则误报信息,可以是规则维护人员能够及时获得引起规则产生误报的报文,并及时对安全规则进行修改,从而降低了安全规则的误报率。
在上述实施例的基础上,在获得包含更新后安全规则的目标规则库后,所述方法还包括:
获取本地白流量,所述本地白流量包括在预设时间段内接收到的告警报文;
向测试网关发送所述本地白流量和目标规则库,以使所述测试网关对所述目标规则库进行测试。
在具体的实施过程中,服务器将接收到的规则误报信息中的告警报文进行存储,作为本地白流量。本地白流量用于对目标规则库进行测试。服务器在获得目标规则库后,为了能够测试目标规则库中的安全规则是否得到了优化,即,更新前的安全规则会将某条正常的网络流量误认为是异常的,那么服务器利用白流量测试的目的是确定更新后的安全规则是否还会将该条正常的网络流量误认为是异常的。并且,本地白流量中包含了之前被误认为是异常的正常网络流量,因此,还需要确定更新后的安全规则能否正确识别这些网络流量。
因此,服务器将目标规则库发送到测试网关,并将本地白流量也发送到该测试网关,该测试网关利用目标规则库中的安全规则对白流量进行安全检测。如果测试网关认为本地白流量为正常网络流量,则说明目标规则库能够准确的识别网络流量,得到了优化。若测试网关仍然认为本地白流量为异常网络流量,则说明目标规则库需要继续修改。
图2为本申请实施例提供的另一种规则库优化方法流程示意图,如图2所示,该方法包括:
步骤201:云端服务器本地存储各个版本规则库、本地白流量库,并通过网络连接到测试网关。
步骤202:云端服务器将安全网关上传的规则误报信息存储到误报列表。
步骤203:规则维护人员定期到云端服务器上查看误报列表。
步骤204:云端服务器根据规则误报信息中的规则ID在对应的规则库版本中获取到安全规则,并进行显示。
步骤205:规则维护人员根据规则误报信息中的pcap报文和命中字符串特征进行分析,找出误报原因,并根据误报原因对规则进行修改。
步骤206:云端服务器获得新的规则库,并在连接的测试网关中进行验证。
步骤207:云端服务器向测试网关中传输新的规则库,测试网关自动调用命令接口进行规则库升级。
步骤208:云端服务器将本地白流量发送给测试网关,测试网关回放上传的本地白流量。
步骤209:规则维护人员检查测试网关是否仍然有误报,如果有误报则重新执行步骤205,否则执行步骤210。
步骤210:规则维护人员对云端服务器中的规则库进行更新,并通过云端服务器将最新的规则库发送到安全网关中。
步骤211:云端服务器将规则误报信息中的pcap报文添加到本地白流量库中。
本申请实施例通过对目标规则库进行测试,从而保证目标规则库中的安全规则的质量。
在上述实施例的基础上,在获得包含更新后安全规则的目标规则库后,该方法还包括:向安全网关发送目标规则库。
在具体的实施过程中,服务器在获得目标规则库后,向安全网关发送该目标规则库,从而使得安全网关能够及时利用优化后的目标规则库对网络流量进行检测,以降低误报率。
图3为本申请实施例提供的又一种规则库优化方法流程示意图,如图3所示,该方法应用于安全网关,包括:
步骤301:利用规则库中的安全规则对网络流量进行安全检查,其中,规则库为安全网关接收由服务器发送的。
其中,安全网关中运行有规则库,该规则库中包括至少一条安全规则,当安全网关接收到网络流量后,利用安全规则对网络流量进行安全检查。
步骤302:若网络流量命中安全规则,则生成告警信息,告警信息包括规则标识、规则库版本号、告警报文和命中字符串特征。
在具体的实施过程中,如果网络流量命中安全规则,则安全网关认为该网络流量为异常网络流量,并生成告警信息。其中,告警信息中的规则标识、规则库版本号、告警报文和命中字符串特征的解释参见上述实施例,此处不再赘述。
步骤303:若告警信息为误报,则确定告警信息为规则误报信息,并向服务器发送规则误报信息。
在具体的实施过程中,安全网关在生成告警信息后,可以对告警信息进行判断,以确定告警信息是否为误报,如果是误报,说明网络流量为正常的网络流量,如果不是误报,则说明网络流量为异常的网路流量。对于误报的情况,该告警信息被称为规则误报信息,安全网关可以向服务器发送该规则误报信息。服务器在接收到规则误报信息后,根据规则误报信息对对应的安全规则进行更新,以优化对应的规则库。可以理解的是,服务器优化规则库的具体方法参见上述实施例,此处不再赘述。
本申请实施例通过在确定告警信息为误报后,将该告警信息作为规则误报信息发送给服务器,从而使得服务器根据该规则误报信息对规则库中的安全规则进行优化更新,从而降低了安全规则的误报率。
在上述实施例的基础上,安全网关在生成告警信息后,可以根据安全规则和告警报文对应的网络流量判断告警信息是否为误报。具体的,可在安全网关中预先配置告警列表,该告警列表中包括安全规则与命中安全规则的攻击报文特征。安全网关将网络流量与该安全规则对应的攻击报文特征进行匹配,如果匹配成功,则说明该网络流量为异常流量,该告警信息不是误报;否则说明该告警信息为误报。
在另一实施例中,还可以通过网关运维人员根据安全规则和告警报文对应的网络流量判断告警信息是否为误报,并标记判断结果,例如:可以用“1”表示误报,“0”表征真实攻击。安全网关根据该标记确定误报的告警信息。
图4为本申请实施例提供的告警信息误报识别方法流程示意图,如图4所示,该方法包括:
步骤401:在安全网关中内置服务器的域名,以能够通过域名访问服务器。
步骤402:安全网关对网络流量进行安全检查,判断网络流量是否命中规则库中的安全规则;如果命中,则执行步骤404,否则执行步骤403。
步骤403:网络流量没有命中安全规则,则说明该网络流量为安全的,安全网关对该网络流量放行。
步骤404:将网络流量记录为pcap报文,并记录该安全规则对应的规则标识、规则库版本号、命中字符串特征等信息。
步骤405:网关运维人员参考pcap报文和安全规则判断是否为误报,如果不是误报,则不进行处理,如果是误报,则执行步骤406。
步骤406:确定网络流量属于正常的网络流量,安全网关向服务器上传规则误报信息。
本申请实施例通过安全规则和报警报文判断告警信息是否为误报,在为误报时,及时对发生误报的安全规则进行更新。
为便于理解,图5为本申请实施例提供一种安全组网环境结构图,如图5所示,包括测试网关、云端服务器和安全网关。其中,云端服务器分别与测试网关和安全网关通信连接。
当客户端发送正常的网络流量时,由于安全网关中的规则匹配范围较大,导致对正常的网络流量产生了误报,并生成了告警信息,告警信息如下表1:
表1
网关运维人员在对上述告警日志分析时,参考规则描述和对应pcap文件的流量,判断是否为真实的攻击,对判断的结果填入到误报结果中,并将误报的信息如:规则ID、规则库版本号、pcap报文、命中字符串特征等信息上传至云端服务器,结果如下表2:
表2
云端服务器自动的将网关运维人员上传的规则id、规则库版本号、pcap报文等信息存储到本地的误报列表。
规则维护人员定期的查看云端服务器的误报列表,通过流量信息和规则特征分析误报的原因,确认误报问题后,对规则特征进行修改,以生成新的目标规则库。
将目标规则库、白流量库等发送到测试网关中,测试网关自动的调用规则库升级命令对规则库进行升级加载。
加载成功后,测试网关进行本地回放白流量库,查看有没有误报的规则id。如果有,则规则库维护人员进行重新修改并验证。
如果目标规则库没有产生误报,则备份目标规则库到云端服务器中,并通过网络将目标规则库发送到安全网关中。
云端服务器并收集此时的误报pcap报文到白流量库中,完善白流量库,通过上述步骤完成对安全网关中安全引擎检测误报的处理。
图6为本申请实施例提供的一种规则库优化装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:信息接收模块601、规则获取模块602和规则优化模块603,其中:
信息接收模块601用于接收规则误报信息,所述规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,所述规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;
规则获取模块602用于根据所述规则标识和所述规则库版本号获取对应的所述安全规则;
规则优化模块603用于获取所述安全规则的更新信息,并利用所述更新信息对所述安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,所述更新信息为根据所述告警报文和所述命中字符串特征确定的。
在上述实施例的基础上,规则获取模块602具体用于:
根据所述告警报文和所述命中字符串特征确定误报原因,并根据所述误报原因生成所述更新信息。
在上述实施例的基础上,规则获取模块602具体用于:
接收规则维护人员输入的所述更新信息,所述更新信息为所述规则维护人员根据所述告警报文和所述命中字符串特征编写的。
在上述实施例的基础上,该装置还包括测试模块,用于:
获取本地白流量,所述本地白流量包括在预设时间段内接收到的告警报文;
向测试网关发送所述本地白流量和目标规则库,以使所述测试网关对所述目标规则库进行测试。
在上述实施例的基础上,该装置还包括规则发送模块,用于:
向所述安全网关发送所述目标规则库。
图7为本申请实施例提供的另一种规则库优化装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图3方法实施例对应,能够执行图3方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:安全检查模块701、告警模块702和发送模块703,其中:
安全检查模块701用于利用规则库中的安全规则对网络流量进行安全检查,其中,所述规则库为安全网关接收由服务器发送的;
告警模块702用于若所述网络流量命中所述安全规则,则生成告警信息,所述告警信息包括规则标识、规则库版本号、告警报文和命中字符串特征;
发送模块703用于若所述告警信息为误报,则确定所述告警信息为规则误报信息,并向所述服务器发送所述规则误报信息。
在上述实施例的基础上,该装置还包括判断模块,用于:
根据所述安全规则和所述告警报文对应的所述网络流量判断所述告警信息是否为误报。
图8为本申请实施例提供的电子设备实体结构示意图,如图8所示,所述电子设备,包括:处理器(processor)801、存储器(memory)802和总线803;其中,
所述处理器801和存储器802通过所述总线803完成相互间的通信;
所述处理器801用于调用所述存储器802中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:接收规则误报信息,所述规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,所述规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;根据所述规则标识和所述规则库版本号获取对应的所述安全规则;获取所述安全规则的更新信息,并利用所述更新信息对所述安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,所述更新信息为根据所述告警报文和所述命中字符串特征确定的。
处理器801可以是一种集成电路芯片,具有信号处理能力。上述处理器801可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器802可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:接收规则误报信息,所述规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,所述规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;根据所述规则标识和所述规则库版本号获取对应的所述安全规则;获取所述安全规则的更新信息,并利用所述更新信息对所述安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,所述更新信息为根据所述告警报文和所述命中字符串特征确定的。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:接收规则误报信息,所述规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,所述规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;根据所述规则标识和所述规则库版本号获取对应的所述安全规则;获取所述安全规则的更新信息,并利用所述更新信息对所述安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,所述更新信息为根据所述告警报文和所述命中字符串特征确定的。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种规则库优化方法,其特征在于,应用于服务器,所述方法包括:
接收规则误报信息,所述规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,所述规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;
根据所述规则标识和所述规则库版本号获取对应的所述安全规则;
获取所述安全规则的更新信息,并利用所述更新信息对所述安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,所述更新信息为根据所述告警报文和所述命中字符串特征确定的。
2.根据权利要求1所述的方法,其特征在于,所述获取所述安全规则的更新信息,包括:
根据所述告警报文和所述命中字符串特征确定误报原因,并根据所述误报原因生成所述更新信息。
3.根据权利要求1所述的方法,其特征在于,所述获取所述安全规则的更新信息,包括:
接收规则维护人员输入的所述更新信息。
4.根据权利要求1所述的方法,其特征在于,在获得包含更新后安全规则的目标规则库后,所述方法还包括:
获取本地白流量,所述本地白流量包括在预设时间段内接收到的告警报文;
向测试网关发送所述本地白流量和目标规则库,以使所述测试网关对所述目标规则库进行测试。
5.根据权利要求1-4任一项所述的方法,其特征在于,在获得包含更新后安全规则的目标规则库后,所述方法还包括:
向所述安全网关发送所述目标规则库。
6.一种规则库优化方法,其特征在于,应用于安全网关,所述方法包括:
利用规则库中的安全规则对网络流量进行安全检查,其中,所述规则库为所述安全网关接收由服务器发送的;
若所述网络流量命中所述安全规则,则生成告警信息,所述告警信息包括规则标识、规则库版本号、告警报文和命中字符串特征;
若所述告警信息为误报,则确定所述告警信息为规则误报信息,并向所述服务器发送所述规则误报信息。
7.根据权利要求6所述的方法,其特征在于,在生成告警信息后,所述方法还包括:
根据所述安全规则和所述告警报文对应的所述网络流量判断所述告警信息是否为误报。
8.一种规则库优化装置,其特征在于,包括:
信息接收模块,用于接收规则误报信息,所述规则误报信息为安全网关利用规则库中的安全规则对网络流量进行安全检查时生成,且,所述规则误报信息包括规则标识、规则库版本号、告警报文和命中字符串特征;
规则获取模块,用于根据所述规则标识和所述规则库版本号获取对应的所述安全规则;
规则优化模块,用于获取所述安全规则的更新信息,并利用所述更新信息对所述安全规则进行更新,获得包含更新后安全规则的目标规则库;其中,所述更新信息为根据所述告警报文和所述命中字符串特征确定的。
9.一种规则库优化装置,其特征在于,包括:
安全检查模块,用于利用规则库中的安全规则对网络流量进行安全检查,其中,所述规则库为安全网关接收由服务器发送的;
告警模块,用于若所述网络流量命中所述安全规则,则生成告警信息,所述告警信息包括规则标识、规则库版本号、告警报文和命中字符串特征;
发送模块,用于若所述告警信息为误报,则确定所述告警信息为规则误报信息,并向所述服务器发送所述规则误报信息。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-7任一项所述的方法。
11.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210842863.8A CN115225370B (zh) | 2022-07-18 | 2022-07-18 | 一种规则库优化方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210842863.8A CN115225370B (zh) | 2022-07-18 | 2022-07-18 | 一种规则库优化方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115225370A true CN115225370A (zh) | 2022-10-21 |
CN115225370B CN115225370B (zh) | 2023-11-10 |
Family
ID=83611044
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210842863.8A Active CN115225370B (zh) | 2022-07-18 | 2022-07-18 | 一种规则库优化方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115225370B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6173364B1 (en) * | 1997-01-15 | 2001-01-09 | At&T Corp. | Session cache and rule caching method for a dynamic filter |
US20050144616A1 (en) * | 2003-10-27 | 2005-06-30 | Hammond Brad T. | System and method for updating a software program |
CN102222192A (zh) * | 2010-12-24 | 2011-10-19 | 卡巴斯基实验室封闭式股份公司 | 通过自动修正检测规则优化反恶意软件处理 |
US20120239981A1 (en) * | 2011-03-15 | 2012-09-20 | International Business Machines Corporation | Method To Detect Firmware / Software Errors For Hardware Monitoring |
CN103699489A (zh) * | 2014-01-03 | 2014-04-02 | 中国人民解放军装甲兵工程学院 | 一种基于知识库的软件远程故障诊断与修复方法 |
CN105099797A (zh) * | 2014-04-21 | 2015-11-25 | 珠海市君天电子科技有限公司 | 误报检测方法和装置 |
WO2016090929A1 (zh) * | 2014-12-10 | 2016-06-16 | 中兴通讯股份有限公司 | 软件系统故障诊断方法、服务器及系统 |
CN109815697A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 误报行为处理方法及装置 |
CN110704847A (zh) * | 2019-09-27 | 2020-01-17 | 重庆紫光华山智安科技有限公司 | 漏洞扫描方法及相关装置 |
CN111130941A (zh) * | 2019-12-26 | 2020-05-08 | 口碑(上海)信息技术有限公司 | 一种网络错误检测方法以及装置 |
CN111552791A (zh) * | 2020-04-27 | 2020-08-18 | 苏州思必驰信息科技有限公司 | 规则库管理系统及方法 |
CN114500334A (zh) * | 2021-12-31 | 2022-05-13 | 钉钉(中国)信息技术有限公司 | 服务端应用架构的诊断方法及装置 |
-
2022
- 2022-07-18 CN CN202210842863.8A patent/CN115225370B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6173364B1 (en) * | 1997-01-15 | 2001-01-09 | At&T Corp. | Session cache and rule caching method for a dynamic filter |
US20050144616A1 (en) * | 2003-10-27 | 2005-06-30 | Hammond Brad T. | System and method for updating a software program |
CN102222192A (zh) * | 2010-12-24 | 2011-10-19 | 卡巴斯基实验室封闭式股份公司 | 通过自动修正检测规则优化反恶意软件处理 |
US20120239981A1 (en) * | 2011-03-15 | 2012-09-20 | International Business Machines Corporation | Method To Detect Firmware / Software Errors For Hardware Monitoring |
CN103699489A (zh) * | 2014-01-03 | 2014-04-02 | 中国人民解放军装甲兵工程学院 | 一种基于知识库的软件远程故障诊断与修复方法 |
CN105099797A (zh) * | 2014-04-21 | 2015-11-25 | 珠海市君天电子科技有限公司 | 误报检测方法和装置 |
WO2016090929A1 (zh) * | 2014-12-10 | 2016-06-16 | 中兴通讯股份有限公司 | 软件系统故障诊断方法、服务器及系统 |
CN109815697A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 误报行为处理方法及装置 |
CN110704847A (zh) * | 2019-09-27 | 2020-01-17 | 重庆紫光华山智安科技有限公司 | 漏洞扫描方法及相关装置 |
CN111130941A (zh) * | 2019-12-26 | 2020-05-08 | 口碑(上海)信息技术有限公司 | 一种网络错误检测方法以及装置 |
CN111552791A (zh) * | 2020-04-27 | 2020-08-18 | 苏州思必驰信息科技有限公司 | 规则库管理系统及方法 |
CN114500334A (zh) * | 2021-12-31 | 2022-05-13 | 钉钉(中国)信息技术有限公司 | 服务端应用架构的诊断方法及装置 |
Non-Patent Citations (1)
Title |
---|
焦莉娟, 钱宇华, 张敏: "决策理论在医疗诊断中的应用", 山西煤炭管理干部学院学报, no. 03 * |
Also Published As
Publication number | Publication date |
---|---|
CN115225370B (zh) | 2023-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535727B (zh) | 资产识别方法和装置 | |
CN104202201B (zh) | 一种日志处理方法、装置及终端 | |
JP6160064B2 (ja) | 適用判定プログラム、障害検出装置および適用判定方法 | |
CN108833126B (zh) | 电子装置、数据链路风险预警方法及存储介质 | |
CN114500690B (zh) | 接口数据处理方法、装置、电子设备及存储介质 | |
CN112087462A (zh) | 一种工控系统的漏洞检测方法和装置 | |
CN111475369A (zh) | 日志监控的添加方法、装置、计算机设备及存储介质 | |
CN108763062B (zh) | 埋点名称的过滤方法及终端设备 | |
CN110650146A (zh) | 一种反作弊方法、装置及电子设备 | |
CN114996103A (zh) | 页面异常检测方法、装置、电子设备和存储介质 | |
CN115615732A (zh) | 一种质量检测器异常状态监测方法及系统 | |
EP3671512A1 (en) | Automated software vulnerability determination | |
CN111371581A (zh) | 物联网卡业务异常检测的方法、装置、设备和介质 | |
CN113987519A (zh) | 漏洞规则库生成方法、装置、电子设备、存储介质及系统 | |
CN114329469A (zh) | Api异常调用行为检测方法、装置、设备及存储介质 | |
CN110852091B (zh) | 错别字的监测方法、装置、电子设备和计算机可读介质 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN115225370A (zh) | 一种规则库优化方法、装置、电子设备及存储介质 | |
CN112232720A (zh) | 工序监管方法、装置、计算机设备和可读存储介质 | |
CN113806160A (zh) | 一种监测配置文件的方法及装置、设备、存储介质 | |
CN114500048B (zh) | 基于网络安全的外部威胁情报分析方法及系统 | |
CN110971575B (zh) | 恶意请求的识别方法、装置、电子设备和计算机存储介质 | |
CN113806196B (zh) | 根因分析方法及系统 | |
CN109450700B (zh) | 可视化的业务检测方法及装置 | |
CN110750418B (zh) | 一种信息处理方法、电子设备和信息处理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |