本发明专利技术公开了一种数据处理方法及装置。其中,该方法包括:获取预先部署的入侵防御系统中的特征匹配日志,其中,上述特征匹配日志基于对应的特征数据生成;确定与上述特征匹配日志对应的上述特征数据的评分;依据上述评分与预设阈值的比对结果,确定是否删除目标特征库中的上述特征数据。本发明专利技术解决了现有技术中通过人工校验特征数据的效率过低,导致误报率较高且特征库的质量较低的技术问题。
Data processing method and device
【技术实现步骤摘要】
数据处理方法及装置
本专利技术涉及计算机
,具体而言,涉及一种数据处理方法及装置。
技术介绍
随着计算机的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。目前流行的攻击程序和有害代码如拒绝服务攻击,分布式拒绝服务攻击,暴力猜解,端口扫描,嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还存在利用软件的漏洞和缺陷进行的攻击。入侵防御系统深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。入侵防御系统基于特征匹配进行识别,特征数据的提供者通过人工分析攻击流量并提取特征数据,误报现象不可避免。误报率是衡量特征库质量的重要标准,表征着特征数据的准确率。出现误报有可能会影响网络正常业务,同时会产生大量的攻击事件,管理员需要在海量日志数据中寻找真正有价值的攻击内容。因此,改进特征数据,降低误报率是入侵防御系统应用的核心,而这项工作的基础是对特征数据的质量进行管理。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种数据处理方法及装置,以至少解决现有技术中通过人工校验特征数据的效率过低,导致误报率较高且特征库的质量较低的技术问题。根据本专利技术实施例的一个方面,提供了一种数据处理方法,包括:获取预先部署的入侵防御系统中的特征匹配日志,其中,上述特征匹配日志基于对应的特征数据生成;确定与上述特征匹配日志对应的上述特征数据的评分;依据上述评分与预设阈值的比对结果,确定是否删除目标特征库中的上述特征数据。根据本专利技术实施例的另一方面,还提供了一种数据处理装置,包括:获取模块,用于获取预先部署的入侵防御系统中的特征匹配日志,其中,上述特征匹配日志基于对应的特征数据生成;第一确定模块,用于确定与上述特征匹配日志对应的上述特征数据的评分;第二确定模块,用于依据上述评分与预设阈值的比对结果,确定是否删除目标特征库中的上述特征数据。根据本专利技术实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行任意一项所述的数据处理方法。根据本专利技术实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行任意一项所述的数据处理方法。在本专利技术实施例中,采用对特征数据的质量进行评分,并依据评分对特征数据进行管理的方式,通过获取预先部署的入侵防御系统中的特征匹配日志,其中,上述特征匹配日志基于对应的特征数据生成;确定与上述特征匹配日志对应的上述特征数据的评分;依据上述评分与预设阈值的比对结果,确定是否删除目标特征库中的上述特征数据,达到了降低分析攻击流量的误报率,并提高目标特征库的质量的目的,从而实现了保证网络的正常业务运行的技术效果,进而解决了现有技术中通过人工校验特征数据的效率过低,导致误报率较高且特征库的质量较低的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的一种数据处理方法的流程图;图2是根据本专利技术实施例的一种可选的数据处理方法的流程图;图3是根据本专利技术实施例的一种可选的数据处理方法的流程图;图4是根据本专利技术实施例的一种数据处理装置的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。首先,为方便理解本专利技术实施例,下面将对本专利技术中所涉及的部分术语或名词进行解释说明:入侵防御系统:是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。特征数据:也称为规则数据,指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动。误报:是指将无害的网络资料传输行为识别为有害的网络资料传输行为。IP/URL信誉:是指针对IP地址或URL地址的可信度评价。实施例1根据本专利技术实施例,提供了一种数据处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。图1是根据本专利技术实施例的一种数据处理方法的流程图,如图1所示,该方法包括如下步骤:步骤S102,获取预先部署的入侵防御系统中的特征匹配日志,其中,上述特征匹配日志基于对应的特征数据生成;步骤S104,确定与上述特征匹配日志对应的上述特征数据的评分;步骤S106,依据上述评分与预设阈值的比对结果,确定是否删除目标特征库中的上述特征数据。在本专利技术实施例中,采用对特征数据的质量进行评分,并依据评分对特征数据进行管理的方式,通过获取预先部署的入侵防御系统中的特征匹配日志,其中,上述特征匹配日志基于对应的特征数据生成;确定与上述特征匹配日志对应的上述特征数据的评分;依据上述评分与预设阈值的比对结果,确定是否删除目标特征库中的上述特征数据,达到了降低分析攻击流量的误报率,并提高目标特征库的质量的目的,从而实现了保证网络的正常业务运行的技术效果,进而解决了现有技术中通过人工校验特征数据的效率过低,导致误报率较高且特征库的质量较低的技术问题。需要说明的是,本申请实施例基于针对典型网络流量的特征匹配日志进行分析,确定与特征匹配日志对应的特征数据,并通过确定该特征数据的评分确定该特征数据的质量,进而确定是否删除目标特征库中的上述特征数据。作为一种可选的实施例,本申请实施例利用网络攻击发作的统计规律,也即针对固定的网络攻击,其发作次数往往在一个固定的取值范围内,一部分低质量的特征数据由于缺乏足够的限制条件,造成针对正常网络流量的大量报警,其异常的日志量可以被作为误报的一个特征数据被识别出。可选的,在确定该特征数据的评分的过程中,由于特征匹配日志中还可能包含IP地址和U本文档来自技高网...
【技术保护点】
1.一种数据处理方法,其特征在于,包括:/n获取预先部署的入侵防御系统中的特征匹配日志,其中,所述特征匹配日志基于对应的特征数据生成;/n确定与所述特征匹配日志对应的所述特征数据的评分;/n依据所述评分与预设阈值的比对结果,确定是否删除目标特征库中的所述特征数据。/n
【技术特征摘要】
1.一种数据处理方法,其特征在于,包括:
获取预先部署的入侵防御系统中的特征匹配日志,其中,所述特征匹配日志基于对应的特征数据生成;
确定与所述特征匹配日志对应的所述特征数据的评分;
依据所述评分与预设阈值的比对结果,确定是否删除目标特征库中的所述特征数据。
2.根据权利要求1所述的方法,其特征在于,在获取预先部署的入侵防御系统中的特征匹配日志之前,所述方法还包括:
选取预设数量的目标网络环境;
分别在每个所述目标网络环境中部署所述入侵防御系统,其中,所述入侵防御系统用于获取所述特征数据以生成所述特征匹配日志。
3.根据权利要求1所述的方法,其特征在于,获取预先部署的入侵防御系统中的特征匹配日志,包括:
确定预先设定的获取周期;
依据所述获取周期,分别获取预先部署的多个所述入侵防御系统中的所述特征匹配日志。
4.根据权利要求1所述的方法,其特征在于,确定与所述特征匹配日志对应的所述特征数据的评分,包括:
获取所述特征数据在每个所述入侵防御系统中的触发次数,其中,所述触发次数用于表征所述特征数据识别到的网络攻击的发生频率;
依据所述特征匹配日志中的网络地址信息,获取所述特征数据的网络地址可信度数据;
获取所述特征数据的来源属性数据;
依据所述触发次数、所述网络地址可信度数据和所述来源属性数据确定所述评分。
5.根据权利要求4所述的方法,其特征在于,依据所述触发次数、所述网络地址可信度数据和所述来源属性数据确定所述评分,包括:
依据所述触发次数确定所述特征数据的第一分值;
依据所述网络地址可信度数据确定所述特征数据的第二分值;
依据所述来源属性数据确定所述特征数据的第三分值;
依据所述第一分值、所述第二分值和所述第三分值确定所述评分。
【专利技术属性】
技术研发人员:贺志强,钱旗伟,杨启军,林蔡宗,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。