【技术实现步骤摘要】
本申请涉及信息安全的威胁检测,特别是涉及一种告警结果的修正方法、装置、计算机设备和存储介质。
技术介绍
1、在信息安全领域,ids(intrusion detection systems,入侵检测系统)是一种常用的安全防护工具。ids通过监控网络流量和系统活动,检测和识别潜在的入侵行为和攻击。当ids检测到可疑的活动时,会产生相应的告警,通知管理员进行进一步的处理和响应。
2、然而,传统的ids在进行告警判定时存在一定的局限性,在判定攻击结果时可能存在误报或漏报的情况,降低了告警结果的准确性和可靠性。
3、因此,需要一种告警结果的修正方法,以提高ids规则告警的准确性,解决ids规则产生的告警中一些无法确定攻击结果的问题。
技术实现思路
1、基于此,有必要针对现有技术中ids告警不准确,不全面的问题,提供一种告警结果的修正方法、装置、计算机设备和存储介质。
2、第一方面,本申请提供了一种告警结果的修正方法,所述方法包括:
3、获取入侵检测系统产生的初始告警结果,并获取所述初始告警结果的第一资产指纹信息;
4、获取预设的指纹库;其中,所述指纹库中存储有根据所述入侵检测系统产生的日志获取的第二资产指纹信息;
5、比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,得到目标告警结果。
6、在其中一个实施例中,当检测到所述初始告警结果为尝试攻击
7、在其中一个实施例中,所述日志是在入侵检测系统的历史流量审计中产生的。
8、在其中一个实施例中,获取所述第一资产指纹信息,包括:
9、获取所述初始告警结果的第一网络资产,并针对所述第一网络资产进行特征属性提取处理,得到所述第一资产指纹信息;和/或,
10、获取所述第二资产指纹信息,包括:
11、获取所述入侵检测系统产生的日志中的第二网络资产,并针对所述第二网络资产进行特征属性提取处理,得到所述第二资产指纹信息。
12、在其中一个实施例中,所述比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,包括:
13、针对所述第一资产指纹信息的指纹类别和所述第二资产指纹信息的指纹类别进行比对,得到指纹类别比对结果;
14、在所述指纹类别比对结果指示所述第一资产指纹信息的指纹分类和所述第二资产指纹信息的指纹分类不匹配时,将所述初始告警结果修正为指示攻击失败的目标告警结果。
15、在其中一个实施例中,所述比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,包括:
16、针对所述第一资产指纹信息的指纹信息和所述第二资产指纹信息的指纹信息进行比对,得到指纹信息比对结果;
17、在所述指纹信息比对结果指示所述第一资产指纹信息的指纹信息和所述第二资产指纹信息的指纹信息不匹配时,将所述初始告警结果修正为指示攻击失败的目标告警结果。
18、第二方面,本申请还提供了一种告警结果的修正装置,所述装置包括:
19、第一获取模块,用于获取入侵检测系统产生的初始告警结果,并获取所述初始告警结果的第一资产指纹信息;
20、第二获取模块,用于获取预设的指纹库;
21、修正模块,用于比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,得到目标告警结果;
22、指纹库模块,用于根据所述入侵检测系统产生的日志获取第二资产指纹信息,并保存入指纹库。
23、第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
24、获取入侵检测系统产生的初始告警结果,并获取所述初始告警结果的第一资产指纹信息;
25、获取预设的指纹库;其中,所述指纹库中存储有根据所述入侵检测系统产生的日志获取的第二资产指纹信息;
26、比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,得到目标告警结果。
27、第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
28、获取入侵检测系统产生的初始告警结果,并获取所述初始告警结果的第一资产指纹信息;
29、获取预设的指纹库;其中,所述指纹库中存储有根据所述入侵检测系统产生的日志获取的第二资产指纹信息;
30、比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,得到目标告警结果。
31、第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
32、获取入侵检测系统产生的初始告警结果,并获取所述初始告警结果的第一资产指纹信息;
33、获取预设的指纹库;其中,所述指纹库中存储有根据所述入侵检测系统产生的日志获取的第二资产指纹信息;
34、比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,得到目标告警结果。
35、上述告警结果的修正方法、装置、计算机设备和存储介质,通过获取预设的,存储有根据所述入侵检测系统产生的日志获取的第二资产指纹信息的指纹库,利用历史日志产生的内容丰富的指纹库,保证了修正的全面性;通过比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,保证了修正后告警结果的准确性。
本文档来自技高网...【技术保护点】
1.一种告警结果的修正方法,其特征在于,所述方法包括:
2.根据权利要求1所述的告警结果的修正方法,其特征在于,当检测到所述初始告警结果为尝试攻击时,获取所述初始告警结果的第一资产指纹信息。
3.根据权利要求1所述的告警结果的修正方法,其特征在于,所述日志是在入侵检测系统的历史流量审计中产生的。
4.根据权利要求1所述的告警结果的修正方法,其特征在于,获取所述第一资产指纹信息,包括:
5.根据权利要求1所述的告警结果的修正方法,其特征在于,所述比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,包括:
6.根据权利要求1所述的告警结果的修正方法,其特征在于,所述比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,包括:
7.一种告警结果的修正装置,其特征在于,所述装置包括:
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种告警结果的修正方法,其特征在于,所述方法包括:
2.根据权利要求1所述的告警结果的修正方法,其特征在于,当检测到所述初始告警结果为尝试攻击时,获取所述初始告警结果的第一资产指纹信息。
3.根据权利要求1所述的告警结果的修正方法,其特征在于,所述日志是在入侵检测系统的历史流量审计中产生的。
4.根据权利要求1所述的告警结果的修正方法,其特征在于,获取所述第一资产指纹信息,包括:
5.根据权利要求1所述的告警结果的修正方法,其特征在于,所述比对所述初始告警结果的第一资产指纹信息与所述指纹库的第二资产指纹信息,并基于比对结果对所述初始告警结果进行修正处理,包括:
6.根据权利要求1所述的告警结果的修...
【专利技术属性】
技术研发人员:明磊,林军,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。