本申请提供一种入侵防御数据处理方法、装置及计算机设备、存储介质,其中,入侵防御数据处理方法包括步骤:当第一入侵防御配置信息针对目标数据包报警失败时,获取所述第一入侵防御配置信息的失败原因信息;根据所述失败原因信息从失败原因数据库中匹配针对所述第一入侵防御配置信息的目标修改信息;基于所述目标修改信息修改所述第一入侵防御配置信息,并得到第二入侵防御配置信息。本申请能够提高针对不报警的入侵防御规则的处理效率。不报警的入侵防御规则的处理效率。不报警的入侵防御规则的处理效率。
【技术实现步骤摘要】
入侵防御数据处理方法、装置及计算机设备、存储介质
[0001]本申请涉及计算机
,具体而言,涉及一种入侵防御数据处理方法、装置及计算机设备、存储介质。
技术介绍
[0002]IPS(Intrusion Prevention System)入侵防御系统,是一种安全机制,通过分析网络流量,检测入侵,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御系统(IPS)规则通过检查会话中的有效负载以及数据包的序列。例如开源的Snort IPS使用一系列规则来帮助定义恶意网络活动,并使用这些规则查找与其匹配的数据包并为用户生成告警。而在实际的应用过程中,由于各种原因会出现部分规则无法产生告警,此时需要去人工手动去分析规则不报警的原因并进行修改,然后再次进行测试是否可以报警,此过程通过手动去修改规则消耗了大量人力成本以及不利于规则的报警率提升。
技术实现思路
[0003]本申请实施例的目的在于提供一种入侵防御数据处理、装置及计算机设备、存储介质,用以提高针对不报警的入侵防御规则的处理效率。
[0004]为此本申请第一方面公开一种入侵防御数据处理方法,所述方法包括:
[0005]当第一入侵防御配置信息针对目标数据包报警失败时,获取所述第一入侵防御配置信息的失败原因信息;
[0006]根据所述失败原因信息从失败原因数据库中匹配针对所述第一入侵防御配置信息的目标修改信息;
[0007]基于所述目标修改信息修改所述第一入侵防御配置信息,并得到第二入侵防御配置信息。
[0008]本申请第一方面的方法通过失败原因数据库,能够找到针对第一入侵防御配置信息的目标修改信息,从而避免人工确定针对第一入侵防御配置信息的目标修改信息,尤其是在报警失败的入侵防御配置信息有很多时,操作人员无需人工逐条确定每个入侵防御配置信息的修改信息,从而提高了入侵防御配置信息的修改效率,例如假设报警失败的入侵防御配置信息有4条,则人工需要重复执行确定失败原因和基于失败原因手动修改入侵防御配置信息,而通过失败原因数据库,能够自动确定失败原因的修改信息,避免人工重复多次对失败原因相同的入侵防御规则,进行手动修改。
[0009]在本申请第一方面中,作为一种可选的实施方式,在所述基于所述目标修改信息修改所述第一入侵防御配置信息并得到第二入侵防御配置信息之后,所述方法还包括:
[0010]根据所述第二入侵防御配置信息对所述目标数据包进行处理并产生告警日志;
[0011]若所述告警日志表征所述第二入侵防御配置信息针对所述目标数据包报警成功,则确定所述第一入侵防御配置信息修改成功。
[0012]在本申请第一方面中,作为一种可选的实施方式,在所述获取所述入侵防御配置信息的失败原因信息之前,所述方法还包括:
[0013]获取若干个测试数据包以和每个所述测试数据包对应的测试入侵防御配置信息;
[0014]基于所述入侵防御配置信息对若干个所述测试数据包进行测试,并基于若干次测试生成告警日志统计结果;
[0015]基于所述告警日志统计结果确定报警失败的测试入侵防御配置信息;
[0016]获取所述报警失败的测试入侵防御配置信息的失败原因信息;
[0017]获取所述报警失败的测试入侵防御配置信息的修改数据;
[0018]基于若干个所述报警失败的测试入侵防御配置信息的失败原因信息、所述报警失败的测试入侵防御配置信息的修改数据,构建所述失败原因数据库。
[0019]在本申请第一方面中,作为一种可选的实施方式,所述方法还包括:
[0020]当存在两个或两个以上的所述第一入侵防御配置信息报警失败时,根据所述第一入侵防御配置信息的所述失败原因信息对所两个或两个以上的所述第一入侵防御配置信息报警进行分类,并得到分类结果;
[0021]以及,所述基于所述目标修改信息修改所述第一入侵防御配置信息,包括:
[0022]调用目标自动化脚本;
[0023]基于所述自动化脚本和所述目标修改信息批量修改两个或两个以上的所述第一入侵防御配置信息。
[0024]在本申请第一方面中,作为一种可选的实施方式,所述基于所述入侵防御配置信息对若干个所述测试数据包进行测试,并基于若干次测试生成告警日志统计结果,包括:
[0025]调用所述目标自动化脚本;
[0026]基于所述目标自动化脚本和所述入侵防御配置信息对若干个所述测试数据包进行批量测试,并基于若干次测试生成所述告警日志统计结果。
[0027]在本申请第一方面中,作为一种可选的实施方式,所述方法还包括:
[0028]当所述失败原因数据库中存在所述第一入侵防御配置信息的目标修改信息时,获取针对所述第一入侵防御配置信息的修改信息;
[0029]基于所述第一入侵防御配置信息的修改信息更新所述失败原因数据库。
[0030]本申请第二方面公开一种入侵防御数据处理装置,所述装置包括:
[0031]获取模块,用于当第一入侵防御配置信息针对目标数据包报警失败时,获取所述第一入侵防御配置信息的失败原因信息;
[0032]匹配模块,用于根据所述失败原因信息从失败原因数据库中匹配针对所述第一入侵防御配置信息的目标修改信息;
[0033]修改模块,用于基于所述目标修改信息修改所述第一入侵防御配置信息,并得到第二入侵防御配置信息。
[0034]在本申请第二方面中,作为一种可选的实施方式,所述装置还包括:
[0035]处理模块,用于根据所述第二入侵防御配置信息对所述目标数据包进行处理并产生告警日志;
[0036]确定模块,用于若所述告警日志表征所述第二入侵防御配置信息针对所述目标数据包报警成功,则确定所述第一入侵防御配置信息修改成功。
[0037]本申请第二方面的装置通过失败原因数据库,能够找到针对第一入侵防御配置信息的目标修改信息,从而避免人工确定针对第一入侵防御配置信息的目标修改信息,尤其是在报警失败的入侵防御配置信息有很多时,操作人员无需人工逐条确定每个入侵防御配置信息的修改信息,从而提高了入侵防御配置信息的修改效率,例如假设报警失败的入侵防御配置信息有4条,则人工需要重复执行确定失败原因和基于失败原因手动修改入侵防御配置信息,而通过失败原因数据库,能够自动确定失败原因的修改信息,避免人工重复多次对失败原因相同的入侵防御规则,进行手动修改。
[0038]本申请第三方面公开一种计算机设备,该计算机设备包括:
[0039]处理器;以及
[0040]存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行本申请第一方面的入侵防御数据处理方法。
[0041]本申请第三方面的设备通过失败原因数据库,能够找到针对第一入侵防御配置信息的目标修改信息,从而避免人工确定针对第一入侵防御配置信息的目标修改信息,尤其是在报警失败的入侵防御配置信息有很多时,操作人员无需人工逐条确定每个入侵防御本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种入侵防御数据处理方法,其特征在于,所述方法包括:当第一入侵防御配置信息针对目标数据包报警失败时,获取所述第一入侵防御配置信息的失败原因信息;根据所述失败原因信息从失败原因数据库中匹配针对所述第一入侵防御配置信息的目标修改信息;基于所述目标修改信息修改所述第一入侵防御配置信息,并得到第二入侵防御配置信息。2.如权利要求1所述的方法,其特征在于,在所述基于所述目标修改信息修改所述第一入侵防御配置信息并得到第二入侵防御配置信息之后,所述方法还包括:根据所述第二入侵防御配置信息对所述目标数据包进行处理并产生告警日志;若所述告警日志表征所述第二入侵防御配置信息针对所述目标数据包报警成功,则确定所述第一入侵防御配置信息修改成功。3.如权利要求1所述的方法,其特征在于,在所述获取所述入侵防御配置信息的失败原因信息之前,所述方法还包括:获取若干个测试数据包以和每个所述测试数据包对应的测试入侵防御配置信息;基于所述入侵防御配置信息对若干个所述测试数据包进行测试,并基于若干次测试生成告警日志统计结果;基于所述告警日志统计结果确定报警失败的测试入侵防御配置信息;获取所述报警失败的测试入侵防御配置信息的失败原因信息;获取所述报警失败的测试入侵防御配置信息的修改数据;基于若干个所述报警失败的测试入侵防御配置信息的失败原因信息、所述报警失败的测试入侵防御配置信息的修改数据,构建所述失败原因数据库。4.如权利要求1所述的方法,其特征在于,所述方法还包括:当存在两个或两个以上的所述第一入侵防御配置信息报警失败时,根据所述第一入侵防御配置信息的所述失败原因信息对所两个或两个以上的所述第一入侵防御配置信息报警进行分类,并得到分类结果;以及,所述基于所述目标修改信息修改所述第一入侵防御配置信息,包括:调用目标自动化脚本;基于所述自动化脚本和所述目标修改信息批量修改两个或两个...
【专利技术属性】
技术研发人员:马环环,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。