【技术实现步骤摘要】
本申请涉及网络安全领域,具体涉及流量探针设备的安全性能综合评估方法、装置及处理设备。
技术介绍
1、对于网络架构中的相关网络安全设备,通常可以以测试仪这一测试产品来测试出对应的安全性能,以获得较为确切的数据供参考。
2、在测试工作过程中,由测试仪向被测的网络安全设备发送含有恶意特征的网络流量或者说发送具有恶意性质的网络流量,而被测的网络安全设备收到这些网络流量时,则会根据其搭载的安全策略进行安全检测,若检测出具有恶意性质(存在攻击性),则会对连接进行阻断或者删除报文,反之则是正常放过,而测试仪则会根据被测的网络安全设备是否转发过来对应的网络流量来判断被测的网络安全设备是否进行了有效响应,如此确定出被测的网络安全设备的检出率,完成安全性能评估。
3、但是,本申请专利技术人在应用过程中发现,现有的测试仪面向的是具有阻断能力的网络安全设备,对应于测试仪根据被测的网络安全设备会将正常放过的网络流量转发到测试仪的情况来处理检出率,然而,对于网络架构中不具有阻断能力的流量探针设备,则会出现明显的尴尬情况,具体来说,流量探针设备通常是不会去配置阻断能力的,而在该情况下,现有的测试仪工作机制显然是无法正常进行流量探针设备的安全性能评估工作。
技术实现思路
1、本申请提供了流量探针设备的安全性能综合评估方法、装置及处理设备,用于针对流量探针这一对于具有恶意性质的网络流量不具备阻断能力的情况,提供了一种新的安全性能评估机制,从而可以对现有的测试仪进行补足,有助于更好地评估整体网
2、第一方面,本申请提供了一种流量探针设备的安全性能综合评估方法,方法包括:
3、检测探测仪的评估对象是网络安全设备还是流量探针设备;
4、若评估对象检测为流量探针设备,则在评估时间段内向评估对象发送流量探针设备评估策略对应的预设网络流量,其中,预设网络流量配置有特定标识,特定标识用于在不同的网络流量标识出预设网络流量;
5、导出评估对象在评估时间段内的网络流量工作日志,并从中根据特定标识提取出与预设网络流量相应的目标网络流量工作日志;
6、基于目标网络流量工作日志里记录的对于预设网络流量的恶意流量判断结果,对评估对象展开安全性能综合评估处理,并得到相应的安全性能综合评估结果。
7、结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,预设网络流量具体分为正常网络流量和恶意网络流量这两个类型。
8、结合本申请第一方面或者第一方面第一种可能的实现方式,在本申请第一方面第二种可能的实现方式中,特定标识具体配置于流量报文的http请求头的预设字段。
9、结合本申请第一方面第二种可能的实现方式,在本申请第一方面第三种可能的实现方式中,预设字段具体为http请求头涉及的user-agent字段。
10、结合本申请第一方面第二种可能的实现方式,在本申请第一方面第四种可能的实现方式中,预设字段具体为在原有的http请求头所涉及字段的基础上新增的x-request-category字段,特定标识根据对应网络流量的类型,配置为正常网络流量标识或者恶意网络流量标识,特定标识还包括对应网络流量在预设网络流量中的流量编号。
11、结合本申请第一方面第四种可能的实现方式,在本申请第一方面第五种可能的实现方式中,安全性能综合评估结果包括检出率,检出率具体通过下式确定:
12、(成功检测出的威胁数量/总的负样本数量)×100%,
13、其中,成功检测出的威胁数量具体为评估对象成功检测出存在恶意性质的恶意网络流量标识的个数,总的负样本数量具体为向评估对象发送的恶意网络流量对应恶意网络流量标识的个数。
14、结合本申请第一方面第五种可能的实现方式,在本申请第一方面第六种可能的实现方式中,安全性能综合评估结果还包括误报率和准确率,误报率具体通过下式确定:
15、(误报的威胁数量/总的正样本数量)×100%,
16、其中,误报的威胁数量具体为评估对象检测为存在恶意性质的正常网络流量对应正常网络流量标识的个数,总的正样本数量具体为向评估对象发送的正常网络流量对应正常网络流量标识的个数;
17、准确率具体通过下式确定:
18、((成功检测出的威胁数量+未误报的威胁数量)/总的样本数量)×100%,
19、其中,未误报的威胁数量具体为评估对象检测为正常性质的正常网络流量对应正常网络流量标识的个数,未误报的威胁数量等于总的正样本数量减去误报的威胁数量,总的样本数量具体为向评估对象发送的正常网络流量对应正常网络流量标识的个数与恶意网络流量对应恶意网络流量标识的个数两者的和。
20、第二方面,本申请提供了一种流量探针设备的安全性能综合评估装置,装置包括:
21、检测单元,用于检测探测仪的评估对象是网络安全设备还是流量探针设备,若评估对象检测为流量探针设备,则触发发送单元;
22、发送单元,用于在评估时间段内向评估对象发送流量探针设备评估策略对应的预设网络流量,其中,预设网络流量配置有特定标识,特定标识用于在不同的网络流量标识出预设网络流量;
23、提取单元,用于导出评估对象在评估时间段内的网络流量工作日志,并从中根据特定标识提取出与预设网络流量相应的目标网络流量工作日志;
24、评估单元,用于基于目标网络流量工作日志里记录的对于预设网络流量的恶意流量判断结果,对评估对象展开安全性能综合评估处理,并得到相应的安全性能综合评估结果。
25、结合本申请第二方面,在本申请第二方面第一种可能的实现方式中,预设网络流量具体分为正常网络流量和恶意网络流量这两个类型。
26、结合本申请第二方面或者第二方面第一种可能的实现方式,在本申请第二方面第二种可能的实现方式中,特定标识具体配置于流量报文的http请求头的预设字段。
27、结合本申请第二方面第二种可能的实现方式,在本申请第二方面第三种可能的实现方式中,预设字段具体为http请求头涉及的user-agent字段。
28、结合本申请第二方面第二种可能的实现方式,在本申请第二方面第四种可能的实现方式中,预设字段具体为在原有的http请求头所涉及字段的基础上新增的x-request-category字段,特定标识根据对应网络流量的类型,配置为正常网络流量标识或者恶意网络流量标识,特定标识还包括对应网络流量在预设网络流量中的流量编号。
29、结合本申请第二方面第四种可能的实现方式,在本申请第二方面第五种可能的实现方式中,安全性能综合评估结果包括检出率,检出率具体通过下式确定:
30、(成功检测出的威胁数量/总的负样本数量)×100%,
31、其中,成功检测出的威胁数量具体为评估对象成功检测出存在恶意性质的恶意网络流量标识的个数,总的负样本数量具体为向评估对象发送的恶意网络流量对应恶意本文档来自技高网...
【技术保护点】
1.一种流量探针设备的安全性能综合评估方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述预设网络流量具体分为正常网络流量和恶意网络流量这两个类型。
3.根据权利要求1或2所述的方法,其特征在于,所述特定标识具体配置于流量报文的http请求头的预设字段。
4.根据权利要求3所述的方法,其特征在于,所述预设字段具体为http请求头涉及的User-Agent字段。
5.根据权利要求3所述的方法,其特征在于,所述预设字段具体为在原有的http请求头所涉及字段的基础上新增的X-Request-Category字段,所述特定标识根据对应网络流量的类型,配置为正常网络流量标识或者恶意网络流量标识,所述特定标识还包括对应网络流量在所述预设网络流量中的流量编号。
6.根据权利要求5所述的方法,其特征在于,所述安全性能综合评估结果包括检出率,所述检出率具体通过下式确定:
7.根据权利要求6所述的方法,其特征在于,所述安全性能综合评估结果还包括误报率和准确率,所述误报率具体通过下式确定:
9.一种处理设备,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。
...【技术特征摘要】
1.一种流量探针设备的安全性能综合评估方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述预设网络流量具体分为正常网络流量和恶意网络流量这两个类型。
3.根据权利要求1或2所述的方法,其特征在于,所述特定标识具体配置于流量报文的http请求头的预设字段。
4.根据权利要求3所述的方法,其特征在于,所述预设字段具体为http请求头涉及的user-agent字段。
5.根据权利要求3所述的方法,其特征在于,所述预设字段具体为在原有的http请求头所涉及字段的基础上新增的x-request-category字段,所述特定标识根据对应网络流量的类型,配置为正常网络流量标识或者恶意网络流量标识,所述特定标识还包括对应网络流量...
【专利技术属性】
技术研发人员:刘晓鸣,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。