CN117118739A - 网络安全规则的评估方法及装置、存储介质、电子设备 - Google Patents
网络安全规则的评估方法及装置、存储介质、电子设备 Download PDFInfo
- Publication number
- CN117118739A CN117118739A CN202311236776.9A CN202311236776A CN117118739A CN 117118739 A CN117118739 A CN 117118739A CN 202311236776 A CN202311236776 A CN 202311236776A CN 117118739 A CN117118739 A CN 117118739A
- Authority
- CN
- China
- Prior art keywords
- network security
- time period
- preset time
- alarm
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000012544 monitoring process Methods 0.000 claims abstract description 27
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- 230000005540 biological transmission Effects 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 16
- 230000002035 prolonged effect Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000000903 blocking effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种网络安全规则的评估方法及装置、存储介质、电子设备,该方法包括:获取第一预设时间段内发出的告警信息的数量,得到告警量,其中,告警信息是利用目标网络安全规则对目标***进行网络安全监测得到的信息,告警信息用于表示目标***的网络安全出现异常;确定告警信息的误报率,其中,误报率用于表示对目标***的网络安全误监测的概率;利用第一预设时间段、告警量以及误报率对目标网络安全规则进行评估。通过本申请,解决了相关技术中对网络安全规则的评估不准确的问题,达到准确对网络安全规则进行评估的效果。
Description
技术领域
本申请实施例涉及计算机领域,具体而言,涉及一种网络安全规则的评估方法及装置、存储介质、电子设备。
背景技术
在安全防护体系中,入侵监测***匹配到规则产生告警,当告警到达一定级别后入侵阻断***会对相应的攻击源进行阻断,限制其访问目的业务地址。但这种特定级别的设定还没有一个普遍的评估方法。告警级别的设定一般只和漏洞或者攻击特征本身相关,而和业务场景的关联性较低。在实现阻断过程中会存在因为规则不适配业务场景而存在误封禁的情况,这会影响业务活动的正常进行。现有技术中对网络安全规则的评估基本依赖人工经验,并不能准确的评估网络安全规则。
针对上述技术问题,相关技术中尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种网络安全规则的评估方法及装置、存储介质、电子设备,以至少解决相关技术中对网络安全规则的评估不准确的问题。
根据本申请的一个实施例,提供了一种网络安全规则的评估方法,包括:获取第一预设时间段内发出的告警信息的数量,得到告警量,其中,上述告警信息是利用目标网络安全规则对目标***进行网络安全监测得到的信息,上述告警信息用于表示上述目标***的网络安全出现异常;确定上述告警信息的误报率,其中,上述误报率用于表示对上述目标***的网络安全误监测的概率;利用上述第一预设时间段、上述告警量以及上述误报率对上述目标网络安全规则进行评估。
根据本申请的另一个实施例,提供了一种网络安全规则的评估装置,包括:第一获取模块,用于获取第一预设时间段内发出的告警信息的数量,得到告警量,其中,上述告警信息是利用目标网络安全规则对目标***进行网络安全监测得到的信息,上述告警信息用于表示上述目标***的网络安全出现异常;第一确定模块,用于确定上述告警信息的误报率,其中,上述误报率用于表示对上述目标***的网络安全误监测的概率;第一评估模块,用于利用上述第一预设时间段、上述告警量以及上述误报率对上述目标网络安全规则进行评估。
在一个示例性实施例中,上述第一获取模块,包括:第一获取单元,用于在利用上述目标网络安全规则对上述目标***的监测时间满足上述第一预设时间段,且上述告警信息的数量大于预设数量的情况下,得到上述告警量。
在一个示例性实施例中,上述第一获取模块,包括:第二获取单元,用于在利用上述目标网络安全规则对上述目标***的监测时间满足上述第一预设时间段,且上述告警信息的数量小于预设数量的情况下,获取第二预设时间段内发出的告警信息的数量,其中,上述第二预设时间段包括上述第一预设时间段,上述第二预设时间段是延长上述第一预设时间段后的时间段;第三获取单元,用于在上述第二预设时间段内发出的告警信息的数量大于预设数量的情况下,将上述第二预设时间段内发出的告警信息的数量确定为上述告警量。
在一个示例性实施例中,上述装置还包括:第二确定模块,用于在利用上述目标网络安全规则对上述目标***的监测时间满足上述第二预设时间段,将上述目标网络安全规则确定为异常网络安全规则。
在一个示例性实施例中,上述第一评估模块,包括:第一确定单元,用于在上述第一预设时间段内上述告警量大于预设数量,且上述误报率小于预设误报率的情况下,将上述目标网络安全规则确定为正常网络安全规则。
在一个示例性实施例中,上述第一评估模块,包括:第二确定单元,用于在上述第一预设时间段内上述告警量大于预设数量,且上述误报率大于预设误报率的情况下,将上述目标网络安全规则确定为异常网络安全规则。
在一个示例性实施例中,上述装置还包括:第一输入模块,用于利用上述第一预设时间段、上述告警量以及上述误报率对上述目标网络安全规则进行评估之前,将上述第一预设时间段内的数据传输流量输入至目标网络模型中,得到上述目标网络模型输出的临界值,其中,上述临界值包括第二预设时间段、上述预设数量一级上述预设误报率,上述第二预设时间段大于上述第一预设时间段;其中,上述目标网络模型是利用样本数据传输流量训练的,上述样本数据传输流量中包括构造的空白数据流量和恶意数据传输流量,上述恶意数据传输流量用于攻击上述目标***。
根据本申请的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本申请,由于获取第一预设时间段内发出的告警信息的数量,得到告警量,并确定告警信息的误报率,利用第一预设时间段、告警量以及误报率对目标网络安全规则进行评估。评估的过程并不需要依赖人工经验,从第一预设时间段、告警量以及误报率可以准确的评估出目标网络安全规则是否处于正常工作状态。因此,可以解决相关技术中对网络安全规则的评估不准确的问题,达到准确对网络安全规则进行评估的效果。
附图说明
图1是本申请实施例的一种网络安全规则的评估方法的移动终端的硬件结构框图;
图2是根据本申请实施例的网络安全规则的评估方法的流程图;
图3是根据本申请实施例的对网络规则的评估的具体流程图;
图4是根据本申请实施例的网络安全规则的评估装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请的实施例。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本申请实施例的一种网络安全规则的评估方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的网络安全规则的评估方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种网络安全规则的评估方法,图2是根据本申请实施例的网络安全规则的评估方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,获取第一预设时间段内发出的告警信息的数量,得到告警量,其中,告警信息是利用目标网络安全规则对目标***进行网络安全监测得到的信息,告警信息用于表示目标***的网络安全出现异常;
步骤S204,确定告警信息的误报率,其中,误报率用于表示对目标***的网络安全误监测的概率;
步骤S206,利用第一预设时间段、告警量以及误报率对目标网络安全规则进行评估。
其中,上述步骤的执行主体可以为终端、服务器、终端或服务器中设置的具体处理器,或者与终端或者服务器相对独立设置的处理器或者处理设备,但不限于此。
可选地,第一预设时间段可以是按照目标网络安全规则所应用的场景设定的。例如,在对网页应用的攻击阻断的场景中,可以设定1个小时的时间,收集一个小时内的告警的数量。
可选地,误报率的计算中包括漏报的告警信息和错误的告警信息。例如,在收到100条告警信息的情况下,其中有10条是错误的告警,则误报率是10%。
可选地,对目标网络安全规则的评估包括对目标网络安全规则是否阻断恶意攻击的评估,阻断恶意攻击的性能的评估,以及是否正常输出告警信息的评估。
本实施例中的网络安全规则的评估方法包括但不限于应用于对网页应用的攻击进行拦截、对***的网络安全攻击进行阻断的规则评估的场景中。
通过上述步骤,由于获取第一预设时间段内发出的告警信息的数量,得到告警量,并确定告警信息的误报率,利用第一预设时间段、告警量以及误报率对目标网络安全规则进行评估。评估的过程并不需要依赖人工经验,从第一预设时间段、告警量以及误报率可以准确的评估出目标网络安全规则是否处于正常工作状态。因此,可以解决相关技术中对网络安全规则的评估不准确的问题,达到准确对网络安全规则进行评估的效果。
在一个示例性实施例中,获取第一预设时间段内发出的告警信息的数量,得到告警量,包括:在利用目标网络安全规则对目标***的监测时间满足第一预设时间段,且告警信息的数量大于预设数量的情况下,得到告警量。本实施例通过设定时间段获取告警量,增加了对目标网络安全规则评估的准确性。
在一个示例性实施例中,获取第一预设时间段内发出的告警信息的数量,得到告警量,包括:在利用目标网络安全规则对目标***的监测时间满足第一预设时间段,且告警信息的数量小于预设数量的情况下,获取第二预设时间段内发出的告警信息的数量,其中,第二预设时间段包括第一预设时间段,第二预设时间段是延长第一预设时间段后的时间段;在第二预设时间段内发出的告警信息的数量大于预设数量的情况下,将第二预设时间段内发出的告警信息的数量确定为告警量。在本实施例中,在告警的数量不足时,可以延长观察时间,直至到达观察期临界值(例如,第二预设阈值,或者大于第二预设阈值的临界值)。通过延长获取告警信息的时间,可以较好的适应不用的应用场景,获取到足够的告警量。
在一个示例性实施例中,上述方法还包括:在利用目标网络安全规则对目标***的监测时间满足第二预设时间段,将目标网络安全规则确定为异常网络安全规则。在本实施例中,在第二预设时间段内仍然没有获取到足够的告警量,则可以再次延长获取时间,在达到时间的临界值的情况下,则目标网络安全规则出现异常。例如,不适用于该场景下的漏洞拦截,或者,目标网络安全规则完全瘫痪。本实施例通过延长获取告警信息的时间,可以较好的适应不用的应用场景,获取到足够的告警量。
在一个示例性实施例中,利用第一预设时间段、告警量以及误报率对目标网络安全规则进行评估,包括:在第一预设时间段内告警量大于预设数量,且误报率小于预设误报率的情况下,将目标网络安全规则确定为正常网络安全规则。在本实施例中,例如,在60分钟内获取到10条告警信息,并拦截了8条网络攻击,则认为目标网络安全规则的可以正常使用。本实施例结合获取告警的时间、告警量以及误报率可以更加准确的对目标网络安全规则进行评估。
在一个示例性实施例中,利用第一预设时间段、告警量以及误报率对目标网络安全规则进行评估,包括:在第一预设时间段内告警量大于预设数量,且误报率大于预设误报率的情况下,将目标网络安全规则确定为异常网络安全规则。在本实施例中,若告警数达标,但是误报率不达标,则判定目标网络安全规则为不合格规则,分析原因,下线并优化目标网络安全规则。本实施例通过对目标网络安全规则进行评估,可以及时的优化目标网络安全规则,增加网页的网络安全。
在一个示例性实施例中,利用第一预设时间段、告警量以及误报率对目标网络安全规则进行评估之前,方法还包括:将第一预设时间段内的数据传输流量输入至目标网络模型中,得到目标网络模型输出的临界值,其中,临界值包括第二预设时间段、预设数量一级预设误报率,第二预设时间段大于第一预设时间段;其中,目标网络模型是利用样本数据传输流量训练的,样本数据传输流量中包括构造的空白数据流量和恶意数据传输流量,恶意数据传输流量用于攻击目标***。在本实施例中,目标网络模型主要是用于输出各个参数的临界值。可以根据不同的网络使用的网络安全规则输出临界值。适用于不同的网络安全场景。训练用的数据传输流量可以是按照应用的网页场景预先构建的流量。也可以是获取的历史的数据传输流量。通过目标网络模型,可以不断的优化临界值。
下面结合具体实施例对本发明进行说明:
本实施例以应用在对网页Web应用的攻击的网络规则的评估为例进行说明,如图3所示,包括以下步骤:
S301,在评估的观察初始阶段,获取告警量;
S302,判断观察的时间t是否小于临界值T;
S303,若告警量不足,延长观察时间t,直至到达观察期临界值T,网络规则判为待定规则(P=0),放入规则池,继续观察;
S304,在观察的时间小于临界值时,在对网络规则观察的过程中,训练目标模型;
S305,通过目标模型调整临界值T、am、km;
S306,判断告警量k是否大于临界值km;
S307,告警量k不大于临界值km时,调整观察时间t=t+1;
S308,告警量k大于临界值km时,判断误报率a是否小于am;
S309,误报率a不小于am时,则判定安全规则为不合格规则(P=-1),分析原因,下线并优化规则;
S310,误报率a小于am时,则判定安全规则为合格规则(P=1)。
本实施例通过不断观察安全规则,训练目标模型,可以不断的优化临界值。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
在本实施例中还提供了一种网络安全规则的评估装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的网络安全规则的评估装置的结构框图,如图4所示,该装置包括:
第一获取模块42,用于获取第一预设时间段内发出的告警信息的数量,得到告警量,其中,上述告警信息是利用目标网络安全规则对目标***进行网络安全监测得到的信息,上述告警信息用于表示上述目标***的网络安全出现异常;
第一确定模块44,用于确定上述告警信息的误报率,其中,上述误报率用于表示对上述目标***的网络安全误监测的概率;
第一评估模块46,用于利用上述第一预设时间段、上述告警量以及上述误报率对上述目标网络安全规则进行评估。
在一个示例性实施例中,上述第一获取模块,包括:
第一获取单元,用于在利用上述目标网络安全规则对上述目标***的监测时间满足上述第一预设时间段,且上述告警信息的数量大于预设数量的情况下,得到上述告警量。
在一个示例性实施例中,上述第一获取模块,包括:
第二获取单元,用于在利用上述目标网络安全规则对上述目标***的监测时间满足上述第一预设时间段,且上述告警信息的数量小于预设数量的情况下,获取第二预设时间段内发出的告警信息的数量,其中,上述第二预设时间段包括上述第一预设时间段,上述第二预设时间段是延长上述第一预设时间段后的时间段;
第三获取单元,用于在上述第二预设时间段内发出的告警信息的数量大于预设数量的情况下,将上述第二预设时间段内发出的告警信息的数量确定为上述告警量。
在一个示例性实施例中,上述装置还包括:
第二确定模块,用于在利用上述目标网络安全规则对上述目标***的监测时间满足上述第二预设时间段,将上述目标网络安全规则确定为异常网络安全规则。
在一个示例性实施例中,上述第一评估模块,包括:
第一确定单元,用于在上述第一预设时间段内上述告警量大于预设数量,且上述误报率小于预设误报率的情况下,将上述目标网络安全规则确定为正常网络安全规则。
在一个示例性实施例中,上述第一评估模块,包括:
第二确定单元,用于在上述第一预设时间段内上述告警量大于预设数量,且上述误报率大于预设误报率的情况下,将上述目标网络安全规则确定为异常网络安全规则。
在一个示例性实施例中,上述装置还包括:第一输入模块,用于利用上述第一预设时间段、上述告警量以及上述误报率对上述目标网络安全规则进行评估之前,将上述第一预设时间段内的数据传输流量输入至目标网络模型中,得到上述目标网络模型输出的临界值,其中,上述临界值包括第二预设时间段、上述预设数量一级上述预设误报率,上述第二预设时间段大于上述第一预设时间段;其中,上述目标网络模型是利用样本数据传输流量训练的,上述样本数据传输流量中包括构造的空白数据流量和恶意数据传输流量,上述恶意数据传输流量用于攻击上述目标***。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本申请的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本申请的实施例还提供了一种电子设备,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络安全规则的评估方法,其特征在于,包括:
获取第一预设时间段内发出的告警信息的数量,得到告警量,其中,所述告警信息是利用目标网络安全规则对目标***进行网络安全监测得到的信息,所述告警信息用于表示所述目标***的网络安全出现异常;
确定所述告警信息的误报率,其中,所述误报率用于表示对所述目标***的网络安全误监测的概率;
利用所述第一预设时间段、所述告警量以及所述误报率对所述目标网络安全规则进行评估。
2.根据权利要求1所述的方法,其特征在于,获取第一预设时间段内发出的告警信息的数量,得到告警量,包括:
在利用所述目标网络安全规则对所述目标***的监测时间满足所述第一预设时间段,且所述告警信息的数量大于预设数量的情况下,得到所述告警量。
3.根据权利要求1所述的方法,其特征在于,获取第一预设时间段内发出的告警信息的数量,得到告警量,包括:
在利用所述目标网络安全规则对所述目标***的监测时间满足所述第一预设时间段,且所述告警信息的数量小于预设数量的情况下,获取第二预设时间段内发出的告警信息的数量,其中,所述第二预设时间段包括所述第一预设时间段,所述第二预设时间段是延长所述第一预设时间段后的时间段;
在所述第二预设时间段内发出的告警信息的数量大于预设数量的情况下,将所述第二预设时间段内发出的告警信息的数量确定为所述告警量。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在利用所述目标网络安全规则对所述目标***的监测时间满足所述第二预设时间段,将所述目标网络安全规则确定为异常网络安全规则。
5.根据权利要求1所述的方法,其特征在于,利用所述第一预设时间段、所述告警量以及所述误报率对所述目标网络安全规则进行评估,包括:
在所述第一预设时间段内所述告警量大于预设数量,且所述误报率小于预设误报率的情况下,将所述目标网络安全规则确定为正常网络安全规则。
6.根据权利要求1所述的方法,其特征在于,利用所述第一预设时间段、所述告警量以及所述误报率对所述目标网络安全规则进行评估,包括:
在所述第一预设时间段内所述告警量大于预设数量,且所述误报率大于预设误报率的情况下,将所述目标网络安全规则确定为异常网络安全规则。
7.根据权利要求5或6所述的方法,其特征在于,利用所述第一预设时间段、所述告警量以及所述误报率对所述目标网络安全规则进行评估之前,所述方法还包括:
将所述第一预设时间段内的数据传输流量输入至目标网络模型中,得到所述目标网络模型输出的临界值,其中,所述临界值包括第二预设时间段、所述预设数量一级所述预设误报率,所述第二预设时间段大于所述第一预设时间段;
其中,所述目标网络模型是利用样本数据传输流量训练的,所述样本数据传输流量中包括构造的空白数据流量和恶意数据传输流量,所述恶意数据传输流量用于攻击所述目标***。
8.一种网络安全规则的评估装置,其特征在于,包括:
第一获取模块,用于获取第一预设时间段内发出的告警信息的数量,得到告警量,其中,所述告警信息是利用目标网络安全规则对目标***进行网络安全监测得到的信息,所述告警信息用于表示所述目标***的网络安全出现异常;
第一确定模块,用于确定所述告警信息的误报率,其中,所述误报率用于表示对所述目标***的网络安全误监测的概率;
第一评估模块,用于利用所述第一预设时间段、所述告警量以及所述误报率对所述目标网络安全规则进行评估。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至7任一项中所述的方法的步骤。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现所述权利要求1至7任一项中所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311236776.9A CN117118739A (zh) | 2023-09-22 | 2023-09-22 | 网络安全规则的评估方法及装置、存储介质、电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311236776.9A CN117118739A (zh) | 2023-09-22 | 2023-09-22 | 网络安全规则的评估方法及装置、存储介质、电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117118739A true CN117118739A (zh) | 2023-11-24 |
Family
ID=88796559
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311236776.9A Pending CN117118739A (zh) | 2023-09-22 | 2023-09-22 | 网络安全规则的评估方法及装置、存储介质、电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117118739A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117762716A (zh) * | 2024-01-05 | 2024-03-26 | 深圳市沃存电子有限公司 | 一种快速定位主板上内存条异常的方法及*** |
CN117762716B (zh) * | 2024-01-05 | 2024-07-16 | 深圳市沃存电子有限公司 | 一种快速定位主板上内存条异常的方法及*** |
-
2023
- 2023-09-22 CN CN202311236776.9A patent/CN117118739A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117762716A (zh) * | 2024-01-05 | 2024-03-26 | 深圳市沃存电子有限公司 | 一种快速定位主板上内存条异常的方法及*** |
CN117762716B (zh) * | 2024-01-05 | 2024-07-16 | 深圳市沃存电子有限公司 | 一种快速定位主板上内存条异常的方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110417772B (zh) | 攻击行为的分析方法及装置、存储介质、电子装置 | |
EP3537658A1 (en) | Network detection method and apparatus | |
CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
CN106469276B (zh) | 数据样本的类型识别方法及装置 | |
CN112596990B (zh) | 告警风暴的处理方法、装置及终端设备 | |
CN111130912B (zh) | 内容分发网络的异常定位方法、服务器及存储介质 | |
CN110636075A (zh) | 一种运维管控、运维分析方法及装置 | |
CN116366374B (zh) | 基于大数据的电网网络管理的安全评估方法、***及介质 | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、***、设备和存储介质 | |
CN111343135B (zh) | 一种网络安全态势检测方法 | |
CN111540020A (zh) | 目标行为的确定方法及装置、存储介质、电子装置 | |
CN110598797B (zh) | 故障的检测方法及装置、存储介质和电子装置 | |
CN110807104B (zh) | 异常信息的确定方法及装置、存储介质、电子装置 | |
CN110177075B (zh) | 异常访问拦截方法、装置、计算机设备及存储介质 | |
CN110048905B (zh) | 物联网设备通信模式识别方法及装置 | |
CN117118739A (zh) | 网络安全规则的评估方法及装置、存储介质、电子设备 | |
CN115473692A (zh) | 业务请求处理方法、装置、设备及介质 | |
CN116416764A (zh) | 报警阈值的生成方法和装置、电子设备和存储介质 | |
CN114329449A (zh) | ***安全检测方法和装置、存储介质及电子装置 | |
CN114629723A (zh) | 一种攻击检测方法、装置及相关设备 | |
CN114238069A (zh) | 一种Web应用防火墙测试方法、装置、电子设备、介质及产品 | |
CN113807697A (zh) | 基于告警关联的派单方法及装置 | |
CN109427177B (zh) | 一种监控报警方法及装置 | |
CN114546703B (zh) | 文件句柄监测、泄漏分析方法和装置及电子设备 | |
EP4092581A1 (en) | Learning device, learning method, and learning program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |