【技术实现步骤摘要】
本专利技术涉及数据处理,尤其是一种防火墙流数据处理方法及装置。
技术介绍
1、当前,安全团队必须应对大量不同的工具和产品,例如端点检测和响应(edr)软件、防火墙以及安全信息和事件管理(siem)解决方案,面对用户通过防火墙访问主机时产生的海量行为数据,需要对行为数据进行验证,防止恶意用户对主机进行攻击,然而面对用户通过防火墙产生源源不断的行为数据(用户主机数据以及用户防火墙数据),现有方法仅可以对高风险或者容易识别的行为数据进行预警,而对于潜在风险行为数据,需要人工识别,人工识别方式仅根据用户防火墙数据判断是否出现异常,未考虑用户主机数据,进而出现误判。实际上存在如下情况,例如虽然用户防火墙数据出现异常而用户访问主机产生的数据并未产生异常,该种方式不应认为存在异常,但由于人工无法将用户防火墙数据及用户主机数据关联,会将异常的用户防火墙数据对应的用户进行封禁,因此现有技术中没有使用用户主机数据以及用户防火墙数据进行联合判断,出现大量误告警的情况。
技术实现思路
1、针对现有技术的上述问题,本说明书的目的在于,提供一种防火墙流数据处理方法及装置,以解决现有技术中没有使用用户主机数据以及用户防火墙数据进行联合判断,出现大量误告警的问题。
2、为了解决上述技术问题,本说明书的具体技术方案如下:
3、一方面,本说明书提供一种防火墙流数据处理方法,应用于规则组件,所述规则组件分别与防火墙以及各主机相连,包括:
4、获取用户通过所述防火墙访问主机时产生的交互
5、按照时间顺序提取所述存储设备中的一条用户防火墙数据,并通过当前获取的用户防火墙数据在规则模板库中匹配规则模板,其中所述规则模板根据异常防火墙数据与异常主机数据关联的时间信息以及关键字信息确定;
6、根据匹配得到的规则模板从存储设备中查询用户主机数据,若查询成功,则发送告警指令。
7、作为本说明书的一个实施例,所述根据匹配得到的规则模板从存储设备中查询用户主机数据,若查询成功,则发送告警指令,进一步包括:
8、根据当前获取到用户防火墙数据的生成时刻以及匹配得到的规则模板中的时间信息,计算查询数据时间范围;
9、在所述查询数据时间范围内,从存储设备中查询满足匹配得到的规则模板中的关键字信息的用户主机数据,若查询成功,则发送与用户主机数据对应的告警指令。
10、作为本说明书的一个实施例,在所述根据当前获取到用户防火墙数据的生成时刻以及匹配得到的规则模板中的时间信息,计算查询数据时间范围之后,包括:
11、若在所述查询数据时间范围内未获取到满足所述关键字信息的用户主机数据,则将用户防火墙数据在所述存储设备中删除,并按照时间顺序提取所述存储设备中的下一条用户防火墙数据,重复上述匹配规则模板及查询过程。
12、作为本说明书的一个实施例,所述获取用户通过防火墙访问主机时产生的交互数据,进一步包括:
13、获取用户通过所述防火墙访问主机时生成的所有原始数据;
14、在所述原始数据中,将用户对于主机的威胁行为对应的数据以及根据防火墙拦截标准拦截的数据进行筛选,得到该用户对应的用户主机数据以及用户防火墙数据。
15、作为本说明书的一个实施例,所述通过当前获取的用户防火墙数据在规则模板库中匹配规则模板,进一步包括:
16、所述用户防火墙数据包括实体字段以及特征字段,所述规则模板库中的每一规则模板均具有其唯一的前缀;
17、使用用户防火墙数据中的特征字段在所述规则模板库中与每一规则模板的前缀进行匹配,当匹配得到前缀与所述用户防火墙数据的特征字段一致的规则模板,则将该规则模板作为该用户防火墙数据的规则模板。
18、作为本说明书的一个实施例,还包括:
19、获取任一规则模板在采样周期内匹配成功的数据量,以及所有规则模板在所述采样周期内匹配成功的数据总量;
20、根据任一规则模板的所述数据量以及所述数据总量计算该规则模板的规则命中率;
21、若该规则模板的规则命中率大于预设平均阈值,则调整该规则组件的时间信息以及关键字信息。
22、作为本说明书的一个实施例,根据任一规则模板的所述数据量以及所述数据总量计算该规则模板的规则命中率包括利用如下公式计算所述命中率:
23、
24、其中,为规则模板i的规则命中率,ni为规则模板i的在采样周期内匹配成功的数据量,nntot为所有规则模板在所述采样周期内匹配成功的数据总量。
25、作为本说明书的一个实施例,还包括:
26、在告警周期内,确定针对每一用户发送告警指令的次数,若超过预设告警阈值,则通过用户访问的主机将用户的特征信息发送至所述防火墙;
27、所述防火墙根据用户的特征信息将用户加入黑名单,并禁止用户在封禁周期访问任一主机。
28、作为本说明书的一个实施例,在所述防火墙根据用户的特征信息将用户加入黑名单,并禁止用户在封禁周期访问任一主机之后,包括:
29、若超出封禁周期后,则调整该用户的预设告警阈值。
30、另一方面,本说明书还提供一种防火墙流数据处理装置,应用于规则组件,所述规则组件分别与防火墙以及各主机相连,包括:
31、获取单元,用于获取用户通过所述防火墙访问主机时产生的交互数据,并按照交互数据的生成时间顺序将交互数据存储于存储设备中,其中,所述交互数据包括用户主机数据以及用户防火墙数据;
32、匹配单元,用于按照时间顺序提取所述存储设备中的一条用户防火墙数据,并通过当前获取的用户防火墙数据在规则模板库中匹配规则模板,其中所述规则模板根据异常防火墙数据与异常主机数据关联的时间信息以及关键字信息确定;
33、判断单元,用于根据匹配得到的规则模板从存储设备中查询用户主机数据,若查询成功,则发送告警指令。
34、另一方面,本说明书还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现任意一项所述的防火墙流数据处理方法。
35、另一方面,本说明书还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现任意一项所述的防火墙流数据处理方法。
36、采用上述技术方案,通过获取用户通过所述防火墙访问主机时产生的交互数据,并按照交互数据的生成时间顺序将交互顺序存储于存储设备中,其中,所述交互数据包括用户主机数据以及用户防火墙数据,可以实现获取用户访问主机时产生的所有交互数据,并将其中的用户主机数据以及用户防火墙数据保存在存储设备中;通过按照时间顺序提取所述存储设备中的一条用户防火墙数据,并通过当前获取的用户防火墙数据在规则模板本文档来自技高网...
【技术保护点】
1.一种防火墙流数据处理方法,其特征在于,应用于规则组件,所述规则组件分别与防火墙以及各主机相连,包括:
2.根据权利要求1所述的防火墙流数据处理方法,其特征在于,所述根据匹配得到的规则模板从存储设备中查询用户主机数据,若查询成功,则发送告警指令,进一步包括:
3.根据权利要求2所述的防火墙流数据处理方法,其特征在于,在所述根据当前获取到用户防火墙数据的生成时刻以及匹配得到的规则模板中的时间信息,计算查询数据时间范围之后,包括:
4.根据权利要求1所述的防火墙流数据处理方法,其特征在于,所述获取用户通过防火墙访问主机时产生的交互数据,进一步包括:
5.根据权利要求1所述的防火墙流数据处理方法,其特征在于,所述通过当前获取的用户防火墙数据在规则模板库中匹配规则模板,进一步包括:
6.根据权利要求1所述的防火墙流数据处理方法,其特征在于,还包括:
7.根据权利要求6所述的防火墙流数据处理方法,其特征在于,根据任一规则模板的所述数据量以及所述数据总量计算该规则模板的规则命中率包括利用如下公式计算所述命中率:
...【技术特征摘要】
1.一种防火墙流数据处理方法,其特征在于,应用于规则组件,所述规则组件分别与防火墙以及各主机相连,包括:
2.根据权利要求1所述的防火墙流数据处理方法,其特征在于,所述根据匹配得到的规则模板从存储设备中查询用户主机数据,若查询成功,则发送告警指令,进一步包括:
3.根据权利要求2所述的防火墙流数据处理方法,其特征在于,在所述根据当前获取到用户防火墙数据的生成时刻以及匹配得到的规则模板中的时间信息,计算查询数据时间范围之后,包括:
4.根据权利要求1所述的防火墙流数据处理方法,其特征在于,所述获取用户通过防火墙访问主机时产生的交互数据,进一步包括:
5.根据权利要求1所述的防火墙流数据处理方法,其特征在于,所述通过当前获取...
【专利技术属性】
技术研发人员:李文达,史瑞杰,付瑞欣,王学森,吴迪,
申请(专利权)人:上海睿德汇智科技有限公司北京分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。