安全规则库管理方法、装置、计算机设备和存储介质制造方法及图纸

本申请涉及一种安全规则库管理方法、装置、计算机设备和存储介质。所述方法包括：获取安全事件数据集合；其中，所述安全事件数据集合包括预设历史时段内网络安全系统基于安全规则库检测到的多个安全事件的事件数据；基于所述安全事件数据集合确定所述安全规则库中各安全规则的活跃度参数；根据各所述安全规则的活跃度参数，控制所述安全规则库中各所述安全规则开启或关闭。采用本方法能够提升网络安全系统的检测效率。全系统的检测效率。全系统的检测效率。

【技术实现步骤摘要】
安全规则库管理方法、装置、计算机设备和存储介质


[0001]本申请涉及网络安全
，特别是涉及一种安全规则库管理方法、装置、计算机设备和存储介质。

技术介绍

[0002]用于检测或防护恶意攻击行为的网络安全系统，如IDS（Intrusion Detection Systems，入侵检测系统）、WAF（Web Application Firewall，网站应用级入侵防御系统）、安全网关等主要依赖特征检测技术实现对攻击行为的检测，而基于特征检测的攻击检测依赖规则库。
[0003]为维持对攻击行为的检测能力，网络安全系统必须维护一个广泛且全面的规则库。随着漏洞的层出不穷、规则库规模的不断扩大，检测效率逐渐降低。

技术实现思路

[0004]本申请实施例提供一种安全规则库管理方法、装置、计算机设备和存储介质，能够提升网络安全系统的检测效率。
[0005]第一方面，本申请实施例提供了一种安全规则库管理方法，该方法包括：获取安全事件数据集合；其中，安全事件数据集合包括预设历史时段内网络安全系统基于安全规则库检测到的多个安全事件的事件数据；基于安全事件数据集合确定安全规则库中各安全规则的活跃度参数；根据各安全规则的活跃度参数，控制安全规则库中各安全规则开启或关闭。
[0006]在其中一个实施例中，上述基于安全事件数据集合确定安全规则库中各安全规则的活跃度参数，包括：基于安全事件数据集合确定本地活跃度集合和全局最大活跃度集合；本地活跃度集合包括各安全规则的本地活跃度，全局最大活跃度集合包括各安全规则的全局最大活跃度；根据预先获取的历史活跃度集合、本地活跃度集合和全局最大活跃度集合，确定各安全规则的活跃度参数。
[0007]在其中一个实施例中，上述基于安全事件数据集合确定本地活跃度集合，包括：基于安全事件数据集合和预设的时间窗口大小，确定规则组集合；规则组集合包括多个规则组，各规则组包括多个安全规则；根据各安全规则所属的目标规则组的事件总量，确定各安全规则的本地活跃度，并由多个安全规则的本地活跃度组成本地活跃度集合。
[0008]在其中一个实施例中，事件数据包括事件时间、源地址和规则标识，上述基于安全事件数据集合和预设的时间窗口大小，确定规则组集合，包括：根据安全事件数据集合中各安全事件的事件时间与时间窗口大小，确定多个时间窗口；
对于各时间窗口，从安全事件数据集合中提取出时间窗口内的安全事件，并根据源地址和规则标识对提取出的安全事件进行划分得到初始事件组集合；初始事件组集合包括多个初始事件组，各初始事件组包括多个源地址相同和规则标识相同的安全事件；对初始事件组集合进行过滤处理，得到时间窗口对应的目标事件组集合；目标事件组集合包括多个目标事件组，各目标事件组包括按照源地址划分的多个规则组；根据源地址对多个时间窗口对应的目标事件组集合进行合并处理，得到规则组集合。
[0009]在其中一个实施例中，上述对初始事件组进行过滤处理，得到时间窗口对应的目标事件组集合，包括：根据事件数量对各初始事件组进行归一化处理，得到各初始事件组的事件组参数；根据各初始事件组的事件组参数和预设事件阈值对初始事件组集合进行过滤处理，得到目标事件组集合。
[0010]在其中一个实施例中，上述根据事件数量对各初始事件组进行归一化处理，得到各初始事件组的事件组参数，包括：根据初始事件组的事件数量和预设常量进行归一化处理，得到归一化后的事件数量；根据初始事件组中的事件数量和请求成功事件的事件数量进行归一化处理，得到归一化后的成功事件数量；根据归一化后的事件数量和归一化后的成功事件数量，确定初始事件组的事件组参数。
[0011]在其中一个实施例中，上述根据各初始事件组的事件组参数和预设事件阈值对初始事件组集合进行过滤处理，得到目标事件组集合，包括：对于初始事件组集合中的各初始事件组，若事件组参数小于预设事件阈值，则过滤初始事件组；根据初始事件组集合中未被过滤的初始事件组，得到目标事件组集合。
[0012]在其中一个实施例中，上述根据安全事件数据集合中各安全事件的事件时间与时间窗口大小，确定多个时间窗口，包括：根据安全事件数据集合中各安全事件的事件时间，确定首个时间窗口的起始时间；根据首个时间窗口的起始时间和时间窗口大小，确定多个时间窗口。
[0013]在其中一个实施例中，全局最大活跃度集合的确定过程包括：将本地活跃度集合发送至预设服务器，以供预设服务器根据多个本地活跃度集合确定各安全规则的全局最大活跃度，并由多个安全规则的全局最大活跃度组成全局最大活跃度集合；接收预设服务器反馈的全局活跃度集合。
[0014]在其中一个实施例中，上述根据各安全规则的活跃度参数，控制安全规则库中各安全规则开启或关闭，包括：根据活跃度参数和网络安全系统的运行负载数据，确定各安全规则的开启概率；
根据各安全规则的开启概率，控制安全规则库中各安全规则开启或关闭。
[0015]在其中一个实施例中，上述根据活跃度参数和网络安全系统的运行负载数据，确定各安全规则的开启概率，包括：从预设的多个负载区间中，确定出运行负载数据所在的目标负载区间；对于安全规则库中的各安全规则，根据活跃度参数确定安全规则的规则类别；根据运行负载数据、安全规则的规则类别对应的类别参数和目标负载区间对应的预设关系式，确定各安全规则的开启概率。
[0016]在其中一个实施例中，上述根据各安全规则的开启概率，控制安全规则库中各安全规则开启或关闭，包括：获取各安全规则对应的随机数；根据随机数和各安全规则的开启概率，控制各安全规则开启或关闭。
[0017]第二方面，本申请实施例提供了一种安全规则库管理装置，该装置包括：数据获取模块，用于获取安全事件数据集合；其中，安全事件数据集合包括预设历史时段内网络安全系统基于安全规则库检测到的多个安全事件的事件数据；活跃度确定模块，用于基于安全事件数据集合确定安全规则库中各安全规则的活跃度参数；规则库管理模块，用于根据各安全规则的活跃度参数，控制安全规则库中各安全规则开启或关闭。
[0018]第三方面，本申请实施例提供了一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现如第一方面所述方法的步骤。
[0019]第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时如第一方面所述方法的步骤。
[0020]第五方面，本申请实施例提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如第一方面所述方法的步骤。
[0021]上述安全规则库管理方法、装置、计算机设备和存储介质，获取安全事件数据集合；基于安全事件数据集合确定安全规则库中各安全规则的活跃度参数；根据各安全规则的活跃度参数，控制安全规则库中各安全规则开启或关闭。通过本申请实施例，可以将安全规则库中命中次数较低的安全规则关闭，这样，网络安全系统在进行安全检测时，无需遍历安全规则库中的所有安全规则，因此，可以提升网络安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全规则库管理方法，其特征在于，所述方法包括：获取安全事件数据集合；其中，所述安全事件数据集合包括预设历史时段内网络安全系统基于安全规则库检测到的多个安全事件的事件数据；基于所述安全事件数据集合确定所述安全规则库中各安全规则的活跃度参数；根据各所述安全规则的活跃度参数，控制所述安全规则库中各所述安全规则开启或关闭。2.根据权利要求1所述的方法，其特征在于，所述基于所述安全事件数据集合确定所述安全规则库中各安全规则的活跃度参数，包括：基于所述安全事件数据集合确定本地活跃度集合和全局最大活跃度集合；所述本地活跃度集合包括各所述安全规则的本地活跃度，所述全局最大活跃度集合包括各所述安全规则的全局最大活跃度；根据预先获取的历史活跃度集合、所述本地活跃度集合和所述全局最大活跃度集合，确定各所述安全规则的活跃度参数。3.根据权利要求2所述的方法，其特征在于，所述基于所述安全事件数据集合确定本地活跃度集合，包括：基于所述安全事件数据集合和预设的时间窗口大小，确定规则组集合；所述规则组集合包括多个规则组，各所述规则组包括多个安全规则；根据各所述安全规则所属的目标规则组的事件总量，确定各所述安全规则的本地活跃度，并由多个所述安全规则的本地活跃度组成所述本地活跃度集合。4.根据权利要求3所述的方法，其特征在于，所述事件数据包括事件时间、源地址和规则标识，所述基于所述安全事件数据集合和预设的时间窗口大小，确定规则组集合，包括：根据所述安全事件数据集合中各安全事件的事件时间与所述时间窗口大小，确定多个时间窗口；对于各所述时间窗口，从所述安全事件数据集合中提取出所述时间窗口内的安全事件，并根据所述源地址和所述规则标识对提取出的安全事件进行划分得到初始事件组集合；所述初始事件组集合包括多个初始事件组，各所述初始事件组包括多个源地址相同和规则标识相同的安全事件；对所述初始事件组集合进行过滤处理，得到所述时间窗口对应的目标事件组集合；所述目标事件组集合包括多个目标事件组，各所述目标事件组包括按照源地址划分的多个规则组；根据所述源地址对多个所述时间窗口对应的目标事件组集合进行合并处理，得到所述规则组集合。5.根据权利要求4所述的方法，其特征在于，所述对所述初始事件组进行过滤处理，得到所述时间窗口对应的目标事件组集合，包括：根据事件数量对各所述初始事件组进行归一化处理，得到各所述初始事件组的事件组参数；根据各所述初始事件组的事件组参数和预设事件阈值对所述初始事件组集合进行过滤处理，得到所述目标事件组集合。6.根据权利要求5所述的方法，其特征在于，所述根据事件数量对各所述初始事件组进
行归一化处理，得到各所述初始事件组的事件组参数，包括：根据所述初始事件组的事件数量和预设常量进行归一化处理，得到归一化后的事件数量；根据所述初始事件组中的事件数量和请求成功事件的事件数量进行归一化处理，得到归一化后的成功事件数量；根据所述归一化后的事件数量和所述归一化后的成功事件数量，确定所述初始事件组的事件组参数。7.根据权利要求5所述的方法，其特征在...

【专利技术属性】
技术研发人员：邓博仁，汪来富，刘东鑫，谢泳，吴波，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：