【技术实现步骤摘要】
安全规则库管理方法、装置、计算机设备和存储介质
[0001]本申请涉及网络安全
,特别是涉及一种安全规则库管理方法、装置、计算机设备和存储介质。
技术介绍
[0002]用于检测或防护恶意攻击行为的网络安全系统,如IDS(Intrusion Detection Systems,入侵检测系统)、WAF(Web Application Firewall,网站应用级入侵防御系统)、安全网关等主要依赖特征检测技术实现对攻击行为的检测,而基于特征检测的攻击检测依赖规则库。
[0003]为维持对攻击行为的检测能力,网络安全系统必须维护一个广泛且全面的规则库。随着漏洞的层出不穷、规则库规模的不断扩大,检测效率逐渐降低。
技术实现思路
[0004]本申请实施例提供一种安全规则库管理方法、装置、计算机设备和存储介质,能够提升网络安全系统的检测效率。
[0005]第一方面,本申请实施例提供了一种安全规则库管理方法,该方法包括:获取安全事件数据集合;其中,安全事件数据集合包括预设历史时段内网络安全系统基于安全规则库检测到的多个安全事件的事件数据;基于安全事件数据集合确定安全规则库中各安全规则的活跃度参数;根据各安全规则的活跃度参数,控制安全规则库中各安全规则开启或关闭。
[0006]在其中一个实施例中,上述基于安全事件数据集合确定安全规则库中各安全规则的活跃度参数,包括:基于安全事件数据集合确定本地活跃度集合和全局最大活跃度集合;本地活跃度集合包括各安全规则的本地活跃度,全局最大活跃度集合包括各 ...
【技术保护点】
【技术特征摘要】
1.一种安全规则库管理方法,其特征在于,所述方法包括:获取安全事件数据集合;其中,所述安全事件数据集合包括预设历史时段内网络安全系统基于安全规则库检测到的多个安全事件的事件数据;基于所述安全事件数据集合确定所述安全规则库中各安全规则的活跃度参数;根据各所述安全规则的活跃度参数,控制所述安全规则库中各所述安全规则开启或关闭。2.根据权利要求1所述的方法,其特征在于,所述基于所述安全事件数据集合确定所述安全规则库中各安全规则的活跃度参数,包括:基于所述安全事件数据集合确定本地活跃度集合和全局最大活跃度集合;所述本地活跃度集合包括各所述安全规则的本地活跃度,所述全局最大活跃度集合包括各所述安全规则的全局最大活跃度;根据预先获取的历史活跃度集合、所述本地活跃度集合和所述全局最大活跃度集合,确定各所述安全规则的活跃度参数。3.根据权利要求2所述的方法,其特征在于,所述基于所述安全事件数据集合确定本地活跃度集合,包括:基于所述安全事件数据集合和预设的时间窗口大小,确定规则组集合;所述规则组集合包括多个规则组,各所述规则组包括多个安全规则;根据各所述安全规则所属的目标规则组的事件总量,确定各所述安全规则的本地活跃度,并由多个所述安全规则的本地活跃度组成所述本地活跃度集合。4.根据权利要求3所述的方法,其特征在于,所述事件数据包括事件时间、源地址和规则标识,所述基于所述安全事件数据集合和预设的时间窗口大小,确定规则组集合,包括:根据所述安全事件数据集合中各安全事件的事件时间与所述时间窗口大小,确定多个时间窗口;对于各所述时间窗口,从所述安全事件数据集合中提取出所述时间窗口内的安全事件,并根据所述源地址和所述规则标识对提取出的安全事件进行划分得到初始事件组集合;所述初始事件组集合包括多个初始事件组,各所述初始事件组包括多个源地址相同和规则标识相同的安全事件;对所述初始事件组集合进行过滤处理,得到所述时间窗口对应的目标事件组集合;所述目标事件组集合包括多个目标事件组,各所述目标事件组包括按照源地址划分的多个规则组;根据所述源地址对多个所述时间窗口对应的目标事件组集合进行合并处理,得到所述规则组集合。5.根据权利要求4所述的方法,其特征在于,所述对所述初始事件组进行过滤处理,得到所述时间窗口对应的目标事件组集合,包括:根据事件数量对各所述初始事件组进行归一化处理,得到各所述初始事件组的事件组参数;根据各所述初始事件组的事件组参数和预设事件阈值对所述初始事件组集合进行过滤处理,得到所述目标事件组集合。6.根据权利要求5所述的方法,其特征在于,所述根据事件数量对各所述初始事件组进
行归一化处理,得到各所述初始事件组的事件组参数,包括:根据所述初始事件组的事件数量和预设常量进行归一化处理,得到归一化后的事件数量;根据所述初始事件组中的事件数量和请求成功事件的事件数量进行归一化处理,得到归一化后的成功事件数量;根据所述归一化后的事件数量和所述归一化后的成功事件数量,确定所述初始事件组的事件组参数。7.根据权利要求5所述的方法,其特征在...
【专利技术属性】
技术研发人员:邓博仁,汪来富,刘东鑫,谢泳,吴波,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。