本公开涉及网络安全技术领域,提供一种网络流量检测规则生成方法及装置、电子设备、存储介质,包括基于检测规则编号进行染色体编码,生成包括多个不同初始规则集的初始种群;将多个初始规则集分别配置至不同的网络流量检测设备,评价每个网络流量检测设备生成的报警事件;基于网络流量检测设备的评价结果,确定出目标网络流量检测设备,对其配置的初始规则集进行交叉重组得到中间规则集;对中间规则集进行检测规则变异替换,得到新一代规则集;将新一代规则集配置至目标网络流量检测设备外的网络流量检测设备,重复上述步骤直至达到预设规则演化停止条件得到目标规则集。本公开解决了检测规则数量受限情况下如何设置更为重要的检测规则的问题。重要的检测规则的问题。重要的检测规则的问题。
【技术实现步骤摘要】
网络流量检测规则生成方法及装置、电子设备、存储介质
[0001]本公开涉及网络安全
,特别涉及一种网络流量检测规则生成方法及装置、电子设备、存储介质。
技术介绍
[0002]随着网络安全技术的发展,网络攻击技术与网络防御技术日新月异,互相促进、交替发展。其中,基于规则的网络流量安全检测是网络防御的一种重要技术手段。
[0003]网络流量安全检测设备根据预先设置的检测规则进行网络流量安全检测,防御方通过研究攻击方的入侵手段和特征,总结提炼检测规则,并将总结提炼出的检测规则添加到网络流量安全检测设备中,以基于检测规则对网络流量进行安全检测。
[0004]随着网络攻防技术的发展,攻击方在博弈中不断发展新的攻击手段,同时,防御方也积累了大量的检测规则。然而,网络流量安全检测设备能够承载的检测规则数量是有上限的,太多的检测规则会降低设备的工作效率,不能满足实时处理的要求。同时,检测规则的淘汰也不能简单的以其获得时间的早晚为依据。网络流量安全检测设备应该尽可能的配置攻击后果影响严重的检测规则,以对网络攻击进行最大程度的防御。因此,如何选择最有效的检测规则,成为网络流量安全检测领域亟待解决的技术问题。
技术实现思路
[0005]本公开旨在至少解决现有技术中存在的问题之一,提供一种网络流量检测规则生成方法及装置、电子设备、存储介质。
[0006]本公开的一个方面,提供了一种网络流量检测规则生成方法,包括:基于检测规则的编号进行染色体编码,生成初始种群;其中,初始种群包括多个不同的初始规则集;将多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个网络流量检测设备生成的报警事件进行评价;基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集;对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;将新一代规则集分别配置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达到预设的规则演化停止条件,得到目标规则集。
[0007]可选的,分别对每个网络流量检测设备生成的报警事件进行评价,包括:根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分。
[0008]可选的,根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分,包括:基于报警事件,按照下式(1)分别对每个网络流量检测设备进行打分:
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)其中,为第i个网络流量检测设备的得分,i=1,2,3,...,n为网络流量检测设备的编号,n为网络流量检测设备的数量,t=1,2,3,...,z为预设时间段内报警事件的编号,z为预设时间段内报警事件的数量,为报警事件t对应的权重。
[0009]可选的,基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集,包括:基于每个网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为目标网络流量检测设备;根据目标网络流量检测设备的得分比例,分别从各目标网络流量检测设备配置的初始规则集中选取检测规则;将选取出的检测规则组成中间规则集。
[0010]可选的,基于每个网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为目标网络流量检测设备,包括:根据每个网络流量检测设备的得分,分别计算出每个网络流量检测设备被选中的概率;根据每个网络流量检测设备被选中的概率,从多个网络流量检测设备中选取出两个网络流量检测设备作为目标网络流量检测设备。
[0011]可选的,根据目标网络流量检测设备的得分比例,分别从各目标网络流量检测设备配置的初始规则集中选取检测规则,包括:根据下述关系式(2)和下述关系式(3),分别从第一目标网络流量检测设备和第二目标网络流量检测设备配置的初始规则集中选取检测规则:
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)其中, 为第一目标网络流量检测设备的得分比例, 为第二目标网络流量检测设备的得分比例,为第一目标网络流量检测设备的得分,为第二目标网络流量检测设备的得分。
[0012]可选的,对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群,包括:从中间规则集中选取预设比例的检测规则作为预变异规则;从中间规则集包括的检测规则之外的检测规则中,随机选取与预变异规则数量相等的检测规则作为变异规则;用变异规则替换中间规则集中的预变异规则,得到新一代规则集。
[0013]本公开的另一个方面,提供了一种网络流量检测规则生成装置,包括:
编码模块,用于基于检测规则的编号进行染色体编码,生成初始种群;其中,初始种群包括多个不同的初始规则集;评价模块,用于将多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个网络流量检测设备生成的报警事件进行评价;重组模块,用于基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集;变异模块,用于对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;配置模块,用于将新一代规则集分别配置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复触发编码模块、评价模块、重组模块、变异模块,直至达到预设的规则演化停止条件,得到目标规则集。
[0014]本公开的另一个方面,提供了一种电子设备,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行前文记载的所述的方法。
[0015]本公开的另一个方面,提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现前文记载的所述的方法。
[0016]本公开相对于现有技术而言,基于检测规则的编号进行染色体编码,生成包括多个不同的初始规则集的初始种群,将初始种群中的多个初始规则集分别配置至多个不同的网络流量检测设备,并分别对每个网络流量检测设备生成的报警事件进行评价,基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集,对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群,将新一代规则集分别配置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达到预设的规则演化停止条件,得到目标规则集,从而通过在网络流量检测设备配置检测规则的过程中引入遗传算法,解本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络流量检测规则生成方法,其特征在于,所述方法包括:基于检测规则的编号进行染色体编码,生成初始种群;其中,所述初始种群包括多个不同的初始规则集;将所述多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个所述网络流量检测设备生成的报警事件进行评价;基于每个所述网络流量检测设备的评价结果,确定出目标网络流量检测设备,将所述目标网络流量检测设备配置的所述初始规则集进行检测规则的交叉重组,得到中间规则集;对所述中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;将所述新一代规则集分别配置至除所述目标网络流量检测设备之外的其余所述网络流量检测设备,并重复执行上述步骤直至达到预设的规则演化停止条件,得到目标规则集。2.根据权利要求1所述的方法,其特征在于,所述分别对每个所述网络流量检测设备生成的报警事件进行评价,包括:根据所述报警事件的权重和数量,分别对所述网络流量检测设备进行打分。3.根据权利要求2所述的方法,其特征在于,所述根据所述报警事件的权重和数量,分别对所述网络流量检测设备进行打分,包括:基于所述报警事件,按照下式(1)分别对每个所述网络流量检测设备进行打分:
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)其中,为第i个所述网络流量检测设备的得分,i=1,2,3,...,n为所述网络流量检测设备的编号,n为所述网络流量检测设备的数量,t=1,2,3,...,z为预设时间段内所述报警事件的编号,z为所述预设时间段内所述报警事件的数量,为报警事件t对应的权重。4.根据权利要求2或3所述的方法,其特征在于,所述基于每个所述网络流量检测设备的评价结果,确定出目标网络流量检测设备,将所述目标网络流量检测设备配置的所述初始规则集进行检测规则的交叉重组,得到中间规则集,包括:基于每个所述网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为所述目标网络流量检测设备;根据所述目标网络流量检测设备的得分比例,分别从各所述目标网络流量检测设备配置的所述初始规则集中选取检测规则;将选取出的所述检测规则组成所述中间规则集。5.根据权利要求4所述的方法,其特征在于,所述基于每个所述网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为所述目标网络流量检测设备,包括:根据每个所述网络流量检测设备的得分,分别计算出每个所述网络流量检测设备被选中的概率;根据每个所述网络流量检测设备被选中的概率,从所述多个网络流量检测设备中选取出两个所述网络流量检测设备作为所述目...
【专利技术属性】
技术研发人员:李伟斌,陈庶樵,
申请(专利权)人:北京领御中安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。