一种网络安全告警规则描述方法与系统技术方案

技术编号：44556961 阅读：2 留言：0更新日期：2025-03-11 14:18

本发明专利技术提供一种网络安全告警规则描述方法与系统，属于网络安全技术领域，具体包括：通过不同的预设网络规则的匹配的历史攻击行为的类型以及不同类型的历史攻击行为的攻击次数确定不同的预设网络规则的匹配度以及关注网络规则的确定，通过所述预设网络规则与其它的预设网络规则的同时匹配的历史攻击行为的类型以及不同类型的历史攻击行为的攻击次数确定所述预设网络规则与其它的预设网络规则的关联系数，获取所述网络访问行为匹配的预设网络规则，并将其作为匹配网络规则，基于不同的匹配网络规则的匹配度以及不同的匹配网络规则之间的关联系数进行网络访问行为的访问风险的确定，从而进一步提升了访问风险的评估的准确性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络安全，尤其涉及一种网络安全告警规则描述方法与系统。

技术介绍

1、目前，网络安全告警系统使用固定的规则来识别网络安全威胁，存在以下不足之处：

2、1、传统的规则模式不具备足够的灵活性，当新的网络安全攻击出现时，系统需要经常更新规则库，这种更新操作非常耗时且可能会错过一些新型的网络攻击。

3、2、攻击行为往往有多种特征组合，传统的固定规则模式无法有效描述复杂的攻击场景，具有较高的漏报率和误报率。

4、因此，有必要对现有技术做出改进，提供一种能够精准、灵活性、自适应性表达告警规则表达方法以及解析引擎实现对攻击行为的实时发现。

5、针对上述技术问题，本专利技术提供了一种网络安全告警规则描述方法与系统。

技术实现思路

1、为实现本专利技术目的，本专利技术采用如下技术方案：

2、根据本专利技术的一个方面，提供了一种网络安全告警规则描述方法。

3、一种网络安全告警规则描述方法，其特征在于，具体包括：

4、s1通过不同的预设网络规则的匹配的历史攻击行为的类型以及不同类型的历史攻击行为的攻击次数确定不同的预设网络规则的匹配度以及关注网络规则的确定；

5、s2通过所述预设网络规则与其它的预设网络规则的同时匹配的历史攻击行为的类型以及不同类型的历史攻击行为的攻击次数确定所述预设网络规则与其它的预设网络规则的关联系数，并基于所述关联系数进行所述关注网络规则的关联网络规则的确定；

7、s4获取所述网络访问行为匹配的预设网络规则，并将其作为匹配网络规则，基于不同的匹配网络规则的匹配度以及不同的匹配网络规则之间的关联系数进行网络访问行为的访问风险的确定。

8、进一步的技术方案在于，所述预设网络规则根据预先设置的网络规则库的网络规则进行确定。

9、进一步的技术方案在于，所述预设网络规则的匹配度的取值范围在0到1之间，其中所述预设网络规则的匹配度越大，则所述预设网络规则与历史攻击行为越匹配。

10、进一步的技术方案在于，所述初始访问风险的确定的方法为：

11、基于所述匹配关注网络规则的关联网络规则的匹配数据进行所述不同的匹配关注网络规则的关联网络规则的匹配数量的确定，并结合不同匹配关注网络规则的异常程度进行不同的匹配关注网络规则的匹配风险程度值的确定；

12、通过不同的匹配关注网络规则的匹配风险程度值以及匹配数量进行所述初始访问风险的确定。

13、另一方面，本专利技术提供了一种计算机系统，包括：通信连接的存储器和处理器，以及存储在所述存储器上并能够在所述处理器上运行的计算机程序，其特征在于：所述处理器运行所述计算机程序时执行上述的一种网络安全告警规则描述方法。

14、本专利技术的有益效果在于：

15、1、通过匹配的历史攻击行为的类型以及不同类型的历史攻击行为的攻击次数确定预设网络规则与其它的预设网络规则的关联系数，实现了在不同的历史攻击行为下的预设网络规则之间的关联关系进行关联系数的评估，避免了原有的单一依靠预设的组合网络规则进行访问风险识别的更新速度较慢的技术问题。

16、2、通过基于匹配关注网络规则的匹配数量、异常程度以及不同的匹配关联网络规则的关联网络规则的匹配数据进行初始访问风险的确定，从而实现了从匹配关注网络规则的角度实现了对网络访问行为的初始访问风险的评估，充分考虑到在网络访问行为异常时的匹配的网络规则的数量以及异常程度的差异，同时还考虑到在网络访问行为异常时的匹配的网络规则之间的关联关系。

17、3、通过基于不同的匹配网络规则的匹配度以及不同的匹配网络规则之间的关联系数进行网络访问行为的访问风险的确定，从而实现了从网络访问行为匹配的匹配网络规则的角度进行访问风险的评估，充分考虑到不同的访问风险下的不同的匹配网络规则与异常访问行为的匹配度的差异以及在不同的异常访问行为下的匹配网络规则之间的关联系数的差异，实现了对网络访问风险的准确识别。

18、其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。

19、为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

本文档来自技高网...

【技术保护点】

1.一种网络安全告警规则描述方法，其特征在于，具体包括：

2.如权利要求1所述的网络安全告警规则描述方法，其特征在于，所述预设网络规则根据预先设置的网络规则库的网络规则进行确定。

3.如权利要求1所述的网络安全告警规则描述方法，其特征在于，所述预设网络规则的匹配度的取值范围在0到1之间，其中所述预设网络规则的匹配度越大，则所述预设网络规则与历史攻击行为越匹配。

4.如权利要求1所述的网络安全告警规则描述方法，其特征在于，所述预设网络规则与其它的预设网络规则的关联系数的确定的方法为：

5.如权利要求4所述的网络安全告警规则描述方法，其特征在于，所述预设时长占比根据所述关联攻击行为时长的大小进行确定，其中所述关联攻击行为时长越大，则所述预设时长占比越小。

6.如权利要求1所述的网络安全告警规则描述方法，其特征在于，所述初始访问风险的确定的方法为：

7.如权利要求1所述的网络安全告警规则描述方法，其特征在于，所述初始访问风险的取值范围在0到1之间，其中所述初始访问风险越大，则所述网络流量所对应的网络访问行为的风险越大。

8.一种计算机系统，包括：通信连接的存储器和处理器，以及存储在所述存储器上并能够在所述处理器上运行的计算机程序，其特征在于：所述处理器运行所述计算机程序时执行权利要求1-7任一项所述的一种网络安全告警规则描述方法。

...

【技术特征摘要】

1.一种网络安全告警规则描述方法，其特征在于，具体包括：

2.如权利要求1所述的网络安全告警规则描述方法，其特征在于，所述预设网络规则根据预先设置的网络规则库的网络规则进行确定。

4.如权利要求1所述的网络安全告警规则描述方法，其特征在于，所述预设网络规则与其它的预设网络规则的关联系数的确定的方法为：

5.如权利要求4所述的网络安全告警规则描述方法，其特征在于，所述预设时长占比根...

【专利技术属性】
技术研发人员：杨文，汪明，王丹，周劼英，詹雄，杨立波，栗维勋，郑锋，吕卓，栗会峰，
申请(专利权)人：国网河南省电力公司电力科学研究院，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人