一种自动拆分IPS事件的方法、系统及服务器技术方案

本申请提供一种自动拆分IPS事件的方法、系统及服务器。该方法包括：获取csv文件和pcap文件；提取第一会话信息，所述第一会话信息为csv文件中的会话信息；根据第一会话信息创建会话信息字典和IPS事件拆分文件；提取第二会话信息以及对应的事件数据包，所述第二会话信息为pcap文件中的会话信息；判断第二会话信息是否在会话信息字典中；如果在会话信息字典中，则将第二会话信息对应的事件数据包添加到目标IPS事件拆分文件中，所述目标IPS事件拆分文件为与第二会话信息对应的IPS事件拆分文件。本申请提供的方法，根据会话信息可以实现对IPS事件的自动拆分，无需人工选择操作，提高了IPS事件拆分效率。了IPS事件拆分效率。了IPS事件拆分效率。

【技术实现步骤摘要】
一种自动拆分IPS事件的方法、系统及服务器


[0001]本申请涉及设备性能测试
，尤其涉及一种自动拆分IPS事件的方法、系统及服务器。

技术介绍

[0002]在对应用软件进行性能测试时，测试人员通过测试装置可以获取测试报文文件，根据测试报文文件可以进行性能分析和验证。例如，在对应用软件进行安全性能测试时，获取的测试报文文件中包括多个入侵预防系统(Intrusion Prevension System，IPS)事件，测试人员根据需求需要对测试报文文件中的多个IPS事件进行拆分，从中选取指定的IPS事件进行分析。
[0003]目前，通常采用测试人员根据会话信息手动选择的方式对IPS事件进行拆分。但是，如果获取的测试报文文件较大，通过测试人员手动拆分IPS事件，会消耗大量的人力和时间，导致IPS事件拆分的效率降低。

技术实现思路

[0004]本申请提供了一种自动拆分IPS事件的方法、系统及服务器。以解决现有的手动拆分IPS事件的方法，会消耗大量的人力和时间，导致IPS事件拆分效率低的问题。
[0005]第一方面，本申请提供一种自动拆分IPS事件的方法，包括：
[0006]获取csv文件和pcap文件，所述csv文件用于记录IPS事件的会话信息和事件名称，所述pcap文件用于记录IPS事件的会话信息和事件数据包；
[0007]提取第一会话信息，所述第一会话信息为所述csv文件中的会话信息；
[0008]根据所述第一会话信息创建会话信息字典和IPS事件拆分文件，所述会话信息字典为所述第一会话信息的集合，所述IPS事件拆分文件的名称与所述第一会话信息一一对应；
[0009]提取第二会话信息以及与所述第二会话信息对应的事件数据包，所述第二会话信息为所述pcap文件中的会话信息；
[0010]判断所述第二会话信息是否在所述会话信息字典中；
[0011]如果所述第二会话信息在所述会话信息字典中，则将所述第二会话信息对应的事件数据包添加到目标IPS事件拆分文件中，所述目标IPS事件拆分文件为与所述第二会话信息对应的所述IPS事件拆分文件。
[0012]结合第一方面，在一种可能的实现方式中，在所述提取第二会话信息以及与所述第二会话信息对应的事件数据包的步骤之前还包括：
[0013]判断所述pcap文件是否包括数据链路层；
[0014]如果所述pcap文件包括所述数据链路层，则提取所述第二会话信息和所述事件数据包。
[0015]结合第一方面，在一种可能的实现方式中，所述判断所述第二会话信息是否在所
述会话信息字典中的方法包括：
[0016]获取所述第二会话信息和所述第一会话信息的集合；
[0017]遍历所述第一会话信息的集合，判断是否存在与所述第二会话信息相同的所述第一会话信息；
[0018]如果存在与所述第二会话信息相同的所述第一会话信息，则所述第二会话信息在所述会话信息字典中。
[0019]结合第一方面，在一种可能的实现方式中，所述方法还包括：
[0020]根据所述csv文件提取事件名称，所述事件名称与所述第一会话信息一一对应。
[0021]结合第一方面，在一种可能的实现方式中，所述IPS事件拆分文件的名称设置为所述第一会话信息和/或与所述第一会话信息对应的所述事件名称。
[0022]结合第一方面，在一种可能的实现方式中，所述方法还包括：
[0023]获取所述事件名称；
[0024]判断所述事件名称中是否包括cve关键词；
[0025]如果所述事件名称中包括所述cve关键词，则所述IPS事件拆分文件的名称设置为所述第一会话信息和/或所述cve关键词。
[0026]结合第一方面，在一种可能的实现方式中，所述判断所述第二会话信息是否在所述会话信息字典中的步骤之前还包括：
[0027]获取所述pcap文件的传输层；
[0028]判断所述传输层是否为TCP协议或者UDP协议；
[0029]如果所述传输层是所述TCP协议或者所述UDP协议，则判断所述第二会话信息是否在所述会话信息字典中。
[0030]结合第一方面，在一种可能的实现方式中，所述第二会话信息包括：源端口和目的端口；所述判断所述传输层是否为TCP协议或者UDP协议的步骤之后还包括：
[0031]如果所述传输层不是所述TCP协议或者所述UDP协议，则将所述第二会话信息中的源端口和目的端口设置为0。
[0032]第二方面，本申请还提供一种自动拆分IPS事件的系统，包括：
[0033]获取模块，用于获取csv文件和pcap文件，所述csv文件用于记录IPS事件的会话信息和事件名称，所述pcap文件用于记录IPS事件的会话信息和事件数据包；
[0034]第一提取模块，用于提取第一会话信息，所述第一会话信息为所述csv文件中的会话信息；
[0035]创建模块，用于根据所述第一会话信息创建会话信息字典和IPS事件拆分文件，所述会话信息字典为所述第一会话信息的集合，所述IPS事件拆分文件的名称与所述第一会话信息一一对应；
[0036]第二提取模块，用于提取第二会话信息以及与所述第二会话信息对应的事件数据包，所述第二会话信息为所述pcap文件中的会话信息；
[0037]判断模块，用于判断所述第二会话信息是否在所述会话信息字典中；
[0038]写入模块，用于如果所述第二会话信息在所述会话信息字典中，则将所述第二会话信息对应的事件数据包添加到目标IPS事件拆分文件中，所述目标IPS事件拆分文件为与所述第二会话信息对应的所述IPS事件拆分文件。
[0039]第三方面，本申请还提供一种自动拆分IPS事件的服务器，包括存储器和处理器，所述存储器用于存储程序指令，所述处理器用于通过运行所述程序指令，以执行下述步骤：
[0040]获取csv文件和pcap文件，所述csv文件用于记录IPS事件的会话信息和事件名称，所述pcap文件用于记录IPS事件的会话信息和事件数据包；
[0041]提取第一会话信息，所述第一会话信息为所述csv文件中的会话信息；
[0042]根据所述第一会话信息创建会话信息字典和IPS事件拆分文件，所述会话信息字典为所述第一会话信息的集合，所述IPS事件拆分文件的名称与所述第一会话信息一一对应；
[0043]提取第二会话信息以及与所述第二会话信息对应的事件数据包，所述第二会话信息为所述pcap文件中的会话信息；
[0044]判断所述第二会话信息是否在所述会话信息字典中；
[0045]如果所述第二会话信息在所述会话信息字典中，则将所述第二会话信息对应的事件数据包添加到目标IPS事件拆分文件中，所述目标IPS事件拆分文件为与所述第二会话信息对应的所述IPS事件拆分文件。
[0046]由以上技术方案可知，本申请提供一种自动拆分IPS事件的方法、系统及服务器。该方法包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种自动拆分IPS事件的方法，其特征在于，包括：获取csv文件和pcap文件，所述csv文件用于记录IPS事件的会话信息和事件名称，所述pcap文件用于记录IPS事件的会话信息和事件数据包；提取第一会话信息，所述第一会话信息为所述csv文件中的会话信息；根据所述第一会话信息创建会话信息字典和IPS事件拆分文件，所述会话信息字典为所述第一会话信息的集合，所述IPS事件拆分文件的名称与所述第一会话信息一一对应；提取第二会话信息以及与所述第二会话信息对应的事件数据包，所述第二会话信息为所述pcap文件中的会话信息；判断所述第二会话信息是否在所述会话信息字典中；如果所述第二会话信息在所述会话信息字典中，则将所述第二会话信息对应的事件数据包添加到目标IPS事件拆分文件中，所述目标IPS事件拆分文件为与所述第二会话信息对应的所述IPS事件拆分文件。2.根据权利要求1所述的方法，其特征在于，在所述提取第二会话信息以及与所述第二会话信息对应的事件数据包的步骤之前还包括：判断所述pcap文件是否包括数据链路层；如果所述pcap文件包括所述数据链路层，则提取所述第二会话信息和所述事件数据包。3.根据权利要求1所述的方法，其特征在于，所述判断所述第二会话信息是否在所述会话信息字典中的方法包括：获取所述第二会话信息和所述第一会话信息的集合；遍历所述第一会话信息的集合，判断是否存在与所述第二会话信息相同的所述第一会话信息；如果存在与所述第二会话信息相同的所述第一会话信息，则所述第二会话信息在所述会话信息字典中。4.根据权利要求1所述的方法，其特征在于，还包括：根据所述csv文件提取事件名称，所述事件名称与所述第一会话信息一一对应。5.根据权利要求4所述的方法，其特征在于，所述IPS事件拆分文件的名称设置为所述第一会话信息和/或与所述第一会话信息对应的所述事件名称。6.根据权利要求4所述的方法，其特征在于，还包括：获取所述事件名称；判断所述事件名称中是否包括cve关键词；如果所述事件名称中包括所述cve关键词，则所述IPS事件拆分文件的名称设置为所述第一会话信息和/或所述cve关键词。7.根据权利要求1所述的方法，其特征在于，所述判断所述第二会话信息是否在所述会话信息字典中的步骤之前还包括：获取所述pcap文件的传输层；判断所述传输层是否为TCP协议或者UDP协议；如果所述传输层是所述TCP协议或者所述UDP...

【专利技术属性】
技术研发人员：尹志勇，
申请(专利权)人：北京安博通科技股份有限公司，
类型：发明
国别省市：