本发明涉及信息安全,特别涉及一种网络安全检测规则生成方法、装置、设备及存储介质。
背景技术:
1、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络漏洞可以理解为在硬件、软件和协议等的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
2、网络漏洞具有来源广,数量多,信息杂的特点。传统的网络安全检测需要安全专家人工分析漏洞告警信息,这种人工分析漏洞的传统方式会导致安全专家无法及时有效的编写检测规则,且无法覆盖所有漏洞,从而导致真实安全事件得不到及时有效的告警和处置。
技术实现思路
1、有鉴于此,本发明的目的在于提供一种网络安全检测规则生成方法、装置、设备及存储介质,能够通过利用预设定时任务自动获取目标漏洞信息,并将目标漏洞信息发送至预设模型,使预设模型自动生成相应的漏洞检测规则,避免了因人工处理不及时导致不能对获取到的漏洞信息编写相应的漏洞检测规则的问题。其具体方案如下:
2、第一方面,本技术提供了一种网络安全检测规则生成方法,应用于安全自动化和响应平台,包括:
3、根据预设定时任务对应的第一预设时间间隔自动获取预设网络的目标漏洞信息,并将所述目标漏洞信息发送至预设模型,以便所述预设模型根据所述目标漏洞信息生成相应的漏洞检测规则;
4、将所述漏洞检测规则发送至预设分析平台,以便所述预设分析平台根据所述漏洞检测规则生成异常记录;
5、获取所述预设分析平台生成的所述异常记录,并确定所述异常记录中包含的特征信息,并根据所述特征信息对所述漏洞检测规则进行有效性验证,以得到相应的验证结果;
6、根据所述验证结果确认是否需要对所述漏洞检测规则进行调整,以得到网络安全检测规则。
7、可选的,所述根据预设定时任务对应的第一预设时间间隔自动获取预设网络的目标漏洞信息,并将所述目标漏洞信息发送至预设模型,以便所述预设模型根据所述目标漏洞信息生成相应的漏洞检测规则之前,还包括:
8、收集历史漏洞信息以及与所述历史漏洞信息对应的历史漏洞检测规则,并根据所述历史漏洞信息以及所述历史漏洞检测规则构建训练集;
9、通过所述训练集对预设的待训练模型进行模型训练,以得到预设模型。
10、可选的,所述根据预设定时任务对应的第一预设时间间隔自动获取预设网络的目标漏洞信息,并将所述目标漏洞信息发送至预设模型,以便所述预设模型根据所述目标漏洞信息生成相应的漏洞检测规则,包括:
11、运行预设定时任务,以根据所述预设定时任务对应的第一预设时间间隔采集预设网络当前的目标漏洞信息;
12、基于所述目标漏洞信息确认是否存在新的目标漏洞告警,若存在所述目标漏洞告警,则将所述目标漏洞信息发送至所述预设模型,以通过所述预设模型生成与所述目标漏洞信息对应的漏洞检测规则;
13、若不存在所述目标漏洞告警,则结束网络安全检测规则的生成。
14、可选的,所述确定所述异常记录中包含的特征信息,并根据所述特征信息对所述漏洞检测规则进行有效性验证,以得到相应的验证结果,包括:
15、获取当前时间,并根据所述当前时间判断所述漏洞检测规则对应的规则生成时间是否超过第一预设时间阈值;
16、若否,则在第二预设时间间隔后获取所述异常记录中包含的异常记录数量,并根据所述异常记录数量对所述漏洞检测规则进行有效性验证。
17、可选的,所述根据所述异常记录数量对所述漏洞检测规则进行有效性验证,包括:
18、若所述异常记录数量大于预设数量阈值,则进行人工有效性验证提醒,并生成第一验证结果;
19、若所述异常记录数量不大于所述预设数量阈值且所述异常记录数量不为零,则将所述漏洞检测规则替换为预设安全告警规则,并在第二预设时间阈值之后查询所述预设安全告警规则对应的安全事件记录,以确定所述安全事件记录中是否存在漏洞告警;若不存在,则将所述预设安全告警规则替换为所述漏洞检测规则,并进行所述人工有效性验证提醒,并生成第二验证结果;若存在,则结束网络安全检测规则的生成;
20、若所述异常记录数量为零,则跳转至所述确定所述异常记录中包含的特征信息,并根据所述特征信息对所述漏洞检测规则进行有效性验证,以得到相应的验证结果的步骤。
21、可选的,所述根据所述验证结果确认是否需要对所述漏洞检测规则进行调整,以得到网络安全检测规则,包括:
22、若所述验证结果为所述第一验证结果或所述第二验证结果,则获取人工分析结果,并基于所述人工分析结果确定所述漏洞检测规则是否有效;
23、若所述漏洞检测规则有效,则结束网络安全检测规则生成;
24、若所述漏洞检测规则无效,则将所述人工分析结果发送至所述预设模型,以通过所述预设模型基于所述人工分析结果对所述漏洞检测规则进行调整,以得到网络安全检测规则。
25、可选的,所述根据所述验证结果确认是否需要对所述漏洞检测规则进行调整,以得到网络安全检测规则之后,还包括:
26、停用所述漏洞检测规则,并利用所述网络安全检测规则替换所述漏洞检测规则。
27、第二方面,本技术提供了一种网络安全检测规则生成装置,应用于安全自动化和响应平台,包括:
28、信息发送模块,用于根据预设定时任务对应的第一预设时间间隔自动获取预设网络的目标漏洞信息,并将所述目标漏洞信息发送至预设模型,以便所述预设模型根据所述目标漏洞信息生成相应的漏洞检测规则;
29、规则发送模块,用于将所述漏洞检测规则发送至预设分析平台,以便所述预设分析平台根据所述漏洞检测规则生成异常记录;
30、规则验证模块,用于获取所述预设分析平台生成的所述异常记录,并确定所述异常记录中包含的特征信息,并根据所述特征信息对所述漏洞检测规则进行有效性验证,以得到相应的验证结果;
31、规则调整模块,用于根据所述验证结果确认是否需要对所述漏洞检测规则进行调整,以得到网络安全检测规则。
32、第三方面,本技术提供了一种电子设备,包括:
33、存储器,用于保存计算机程序;
34、处理器,用于执行所述计算机程序以实现前述的网络安全检测规则生成方法。
35、第四方面,本技术提供了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的网络安全检测规则生成方法。
36、由此可见,本技术中,安全自动化和响应平台首先根据预设定时任务对应的第一预设时间间隔自动获取预设网络的目标漏洞信息,并将所述目标漏洞信息发送至预设模型,以便所述预设模型根据所述目标漏洞信息生成相应的漏洞检测规则,然后将所述漏洞检测规则发送至预设分析平台,以便所述预设分析平台根据所述漏洞检测规则生成异常记录,之后获取所述预设分析平台生成的所述异常记录,并确定所述异常记录中包含的特征信息,并根据所述特征信息对所述漏洞检测规则进行有效性验证,以得到相应的验证结果,最后根据所述验证结果确认是否需要对所述漏洞检测规则进行调整,以得到网络安全检测规则。这样一来,通过利用预设定时任务自动获取目标漏洞信息,解决了获取漏洞信息依赖人工操作的问题,通过将目标漏洞信息发送至预设模型,使预设模型自动生成相应的漏洞检测规则,使得生成漏洞检测规则的过程无需人工参与,避免了因人工处理不及时导致不能对最后一次获取到的漏洞信息编写相应的漏洞检测规则的问题,从而解决了安全事件得不到及时有效的告警和处置的问题。
1.一种网络安全检测规则生成方法,其特征在于,应用于安全自动化和响应平台,包括:
2.根据权利要求1所述的网络安全检测规则生成方法,其特征在于,所述根据预设定时任务对应的第一预设时间间隔自动获取预设网络的目标漏洞信息,并将所述目标漏洞信息发送至预设模型,以便所述预设模型根据所述目标漏洞信息生成相应的漏洞检测规则之前,还包括:
3.根据权利要求1所述的网络安全检测规则生成方法,其特征在于,所述根据预设定时任务对应的第一预设时间间隔自动获取预设网络的目标漏洞信息,并将所述目标漏洞信息发送至预设模型,以便所述预设模型根据所述目标漏洞信息生成相应的漏洞检测规则,包括:
4.根据权利要求1所述的网络安全检测规则生成方法,其特征在于,所述确定所述异常记录中包含的特征信息,并根据所述特征信息对所述漏洞检测规则进行有效性验证,以得到相应的验证结果,包括:
5.根据权利要求4所述的网络安全检测规则生成方法,其特征在于,所述根据所述异常记录数量对所述漏洞检测规则进行有效性验证,包括:
6.根据权利要求5所述的网络安全检测规则生成方法,其特征在于,所述根据所述验证结果确认是否需要对所述漏洞检测规则进行调整,以得到网络安全检测规则,包括:
7.根据权利要求1至6任一项所述的网络安全检测规则生成方法,其特征在于,所述根据所述验证结果确认是否需要对所述漏洞检测规则进行调整,以得到网络安全检测规则之后,还包括:
8.一种网络安全检测规则生成装置,其特征在于,应用于安全自动化和响应平台,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络安全检测规则生成方法。
