【技术实现步骤摘要】
一种规则质量检测方法、装置、设备及可读存储介质
本专利技术涉及网络安全
,特别涉及一种规则质量检测方法、规则质量检测装置、规则质量检测设备及计算机可读存储介质。
技术介绍
在网络安全领域,使用规则匹配网络流量的异常特征(本申请所述的异常特征可以为攻击特征)是非常重要而且有效的方案,用于描述异常特征的内容被称为规则。规则质量的高低很大程度上影响了安全效果的优劣,但规则质量的评估是一个比较困难的问题。异常的形式千变万化,而针对异常特征提取的规则,很容易存在多方面的质量问题。这些问题往往是非显式地存在的,例如某规则可能会命中特定的正常流量,从而形成误报;某规则的部分特征可能在流量检测的过程中大量命中,从而产生较大的性能影响;某异常的特征可能很难通过特定的规则语法描述,从而产生规则描述与实际异常有所偏差,造成误报或是漏报的情况。在相关技术中,规则的质量往往难以保障,仅能通过人工手段进行质量确认,即由审核人员对规则进行审核。然而,该方法代价高且低效,对审核人员的能力要求很高,且对规则的质量保障效果也十分有限。因此...
【技术保护点】
1.一种规则质量检测方法,其特征在于,包括:/n获取用于检测网络流量是否异常的待检测规则;/n获取用于对所述待检测规则的质量进行检测的检测数据;/n利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果。/n
【技术特征摘要】
1.一种规则质量检测方法,其特征在于,包括:
获取用于检测网络流量是否异常的待检测规则;
获取用于对所述待检测规则的质量进行检测的检测数据;
利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果。
2.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括静态特征库;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
利用所述静态特征库对所述待检测规则进行静态检测,得到静态质量检测结果。
3.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括正常网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
基于所述待检测规则检测所述正常网络流量是否存在异常,得到误报检测结果。
4.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括异常网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
基于所述待检测规则检测所述异常网络流量是否存在异常,得到漏报检测结果。
5.根据权利要求4所述的规则质量检测方法,其特征在于,所述基于所述待检测规则检测所述异常网络流量是否存在异常,得到漏报检测结果,包括:
对所述异常网络流量进行绕过处理;
基于所述待检测规则检测经绕过处理后的异常网络流量,确定所述待检测规则是否存在漏报,得到漏报检测结果。
6.根据权利要求1所述的规则质量检测方法,其特征在于,所述检测数据包括原始规则库以及用于对待检测规则进行性能检测的性能检测网络流量;
相应地,所述利用所述检测数据对所述待检测规则进行质量检测,得到质量检测结果,包括:
将所述待检测规则加入所述原始规则库;
基于加入所述待检测规则后的原始规则库,对所述性能检测网络流量进行异常检测;
确定所述待检测规则的加入所述原始规则库后,在进行异常检测时的性能消耗增量。
7.根据权利要求6所述的规则质量检测方法,其特征在于,所述性能检测网络流量的获取方法包括:
获取所述待检测规则的应用场景信息,并获取与所述待检测规则的应用场景信息对应的多个流量样本;
根据所述应用场...
【专利技术属性】
技术研发人员:董枫,李响,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。