网络流量检测规则生成方法及装置、电子设备、存储介质转让专利
申请号 : CN202210051978.5
文献号 : CN114070655B
文献日 : 2022-04-08
发明人 : 李伟斌 , 陈庶樵
申请人 : 北京领御中安科技有限公司
摘要 :
本公开涉及网络安全技术领域,提供一种网络流量检测规则生成方法及装置、电子设备、存储介质,包括基于检测规则编号进行染色体编码,生成包括多个不同初始规则集的初始种群;将多个初始规则集分别配置至不同的网络流量检测设备,评价每个网络流量检测设备生成的报警事件;基于网络流量检测设备的评价结果,确定出目标网络流量检测设备,对其配置的初始规则集进行交叉重组得到中间规则集;对中间规则集进行检测规则变异替换,得到新一代规则集;将新一代规则集配置至目标网络流量检测设备外的网络流量检测设备,重复上述步骤直至达到预设规则演化停止条件得到目标规则集。本公开解决了检测规则数量受限情况下如何设置更为重要的检测规则的问题。
权利要求 :
1.一种网络流量检测规则生成方法,其特征在于,所述方法包括步骤:基于检测规则的编号进行染色体编码,生成初始种群;其中,所述初始种群包括多个不同的初始规则集;
将所述多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个所述网络流量检测设备生成的报警事件进行评价;
基于每个所述网络流量检测设备的评价结果,确定出目标网络流量检测设备,将所述目标网络流量检测设备配置的所述初始规则集进行检测规则的交叉重组,得到中间规则集;
对所述中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;
将所述新一代规则集分别配置至除所述目标网络流量检测设备之外的其余所述网络流量检测设备,并重复执行上述步骤直至达到预设的规则演化停止条件,得到目标规则集;
所述分别对每个所述网络流量检测设备生成的报警事件进行评价,包括:根据所述报警事件的权重和数量,分别对所述网络流量检测设备进行打分;
所述基于每个所述网络流量检测设备的评价结果,确定出目标网络流量检测设备,包括:
根据每个所述网络流量检测设备的得分,分别计算出每个所述网络流量检测设备被选中的概率;
根据每个所述网络流量检测设备被选中的概率,从所述多个网络流量检测设备中选取出预设数量的所述网络流量检测设备作为所述目标网络流量检测设备。
2.根据权利要求1所述的方法,其特征在于,所述根据所述报警事件的权重和数量,分别对所述网络流量检测设备进行打分,包括:基于所述报警事件,按照下式(1)分别对每个所述网络流量检测设备进行打分: (1)其中, 为第i个所述网络流量检测设备的得分,i=1,2,3,...,n为所述网络流量检测设备的编号,n为所述网络流量检测设备的数量,t=1,2,3,...,z为预设时间段内所述报警事件的编号,z为所述预设时间段内所述报警事件的数量, 为报警事件t对应的权重。
3.根据权利要求1或2所述的方法,其特征在于,所述将所述目标网络流量检测设备配置的所述初始规则集进行检测规则的交叉重组,得到中间规则集,包括:根据所述目标网络流量检测设备的得分比例,分别从各所述目标网络流量检测设备配置的所述初始规则集中选取检测规则;
将选取出的所述检测规则组成所述中间规则集。
4.根据权利要求3所述的方法,其特征在于,所述目标网络流量检测设备的数量为两个,分别为第一目标网络流量检测设备和第二目标网络流量检测设备。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标网络流量检测设备的得分比例,分别从各所述目标网络流量检测设备配置的所述初始规则集中选取检测规则,包括:
根据下述关系式(2)和下述关系式(3),分别从所述第一目标网络流量检测设备和所述第二目标网络流量检测设备配置的所述初始规则集中选取检测规则: (2) (3)其中, 为所述第一目标网络流量检测设备的得分比例, 为所述第二目标网络流量检测设备的得分比例, 为所述第一目标网络流量检测设备的得分, 为所述第二目标网络流量检测设备的得分。
6.根据权利要求1或2所述的方法,其特征在于,所述对所述中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群,包括:从所述中间规则集中选取预设比例的检测规则作为预变异规则;
从所述中间规则集包括的检测规则之外的检测规则中,随机选取与所述预变异规则数量相等的检测规则作为变异规则;
用所述变异规则替换所述中间规则集中的所述预变异规则,得到所述新一代规则集。
7.一种网络流量检测规则生成装置,其特征在于,所述装置包括:编码模块,用于基于检测规则的编号进行染色体编码,生成初始种群;其中,所述初始种群包括多个不同的初始规则集;
评价模块,用于将所述多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个所述网络流量检测设备生成的报警事件进行评价;
重组模块,用于基于每个所述网络流量检测设备的评价结果,确定出目标网络流量检测设备,将所述目标网络流量检测设备配置的所述初始规则集进行检测规则的交叉重组,得到中间规则集;
变异模块,用于对所述中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;
配置模块,用于将所述新一代规则集分别配置至除所述目标网络流量检测设备之外的其余所述网络流量检测设备,并重复触发所述编码模块、所述评价模块、所述重组模块、所述变异模块,直至达到预设的规则演化停止条件,得到目标规则集;
所述评价模块,用于分别对每个所述网络流量检测设备生成的报警事件进行评价,包括:
所述评价模块,用于根据所述报警事件的权重和数量,分别对所述网络流量检测设备进行打分;
所述重组模块,用于基于每个所述网络流量检测设备的评价结果,确定出目标网络流量检测设备,包括:
所述重组模块,用于根据每个所述网络流量检测设备的得分,分别计算出每个所述网络流量检测设备被选中的概率;根据每个所述网络流量检测设备被选中的概率,从所述多个网络流量检测设备中选取出预设数量的所述网络流量检测设备作为所述目标网络流量检测设备。
8.一种电子设备,其特征在于,包括:至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法。
说明书 :
网络流量检测规则生成方法及装置、电子设备、存储介质
技术领域
[0001] 本公开涉及网络安全技术领域,特别涉及一种网络流量检测规则生成方法及装置、电子设备、存储介质。
背景技术
[0002] 随着网络安全技术的发展,网络攻击技术与网络防御技术日新月异,互相促进、交替发展。其中,基于规则的网络流量安全检测是网络防御的一种重要技术手段。
[0003] 网络流量安全检测设备根据预先设置的检测规则进行网络流量安全检测,防御方通过研究攻击方的入侵手段和特征,总结提炼检测规则,并将总结提炼出的检测规则添加
到网络流量安全检测设备中,以基于检测规则对网络流量进行安全检测。
到网络流量安全检测设备中,以基于检测规则对网络流量进行安全检测。
[0004] 随着网络攻防技术的发展,攻击方在博弈中不断发展新的攻击手段,同时,防御方也积累了大量的检测规则。然而,网络流量安全检测设备能够承载的检测规则数量是有上
限的,太多的检测规则会降低设备的工作效率,不能满足实时处理的要求。同时,检测规则
的淘汰也不能简单的以其获得时间的早晚为依据。网络流量安全检测设备应该尽可能的配
置攻击后果影响严重的检测规则,以对网络攻击进行最大程度的防御。因此,如何选择最有
效的检测规则,成为网络流量安全检测领域亟待解决的技术问题。
限的,太多的检测规则会降低设备的工作效率,不能满足实时处理的要求。同时,检测规则
的淘汰也不能简单的以其获得时间的早晚为依据。网络流量安全检测设备应该尽可能的配
置攻击后果影响严重的检测规则,以对网络攻击进行最大程度的防御。因此,如何选择最有
效的检测规则,成为网络流量安全检测领域亟待解决的技术问题。
发明内容
[0005] 本公开旨在至少解决现有技术中存在的问题之一,提供一种网络流量检测规则生成方法及装置、电子设备、存储介质。
[0006] 本公开的一个方面,提供了一种网络流量检测规则生成方法,包括:
[0007] 基于检测规则的编号进行染色体编码,生成初始种群;其中,初始种群包括多个不同的初始规则集;
[0008] 将多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个网络流量检测设备生成的报警事件进行评价;
[0009] 基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集;
[0010] 对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;
[0011] 将新一代规则集分别配置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达到预设的规则演化停止条件,得到目标规则集。
[0012] 可选的,分别对每个网络流量检测设备生成的报警事件进行评价,包括:
[0013] 根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分。
[0014] 可选的,根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分,包括:
[0015] 基于报警事件,按照下式(1)分别对每个网络流量检测设备进行打分:
[0016] (1)
[0017] 其中, 为第i个网络流量检测设备的得分,i=1,2,3,...,n为网络流量检测设备的编号,n为网络流量检测设备的数量,t=1,2,3,...,z为预设时间段内报警事件的编号,z
为预设时间段内报警事件的数量, 为报警事件t对应的权重。
为预设时间段内报警事件的数量, 为报警事件t对应的权重。
[0018] 可选的,基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集,
包括:
包括:
[0019] 基于每个网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为目标网络流量检测设备;
[0020] 根据目标网络流量检测设备的得分比例,分别从各目标网络流量检测设备配置的初始规则集中选取检测规则;
[0021] 将选取出的检测规则组成中间规则集。
[0022] 可选的,基于每个网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为目标网络流量检测设备,包括:
[0023] 根据每个网络流量检测设备的得分,分别计算出每个网络流量检测设备被选中的概率;
[0024] 根据每个网络流量检测设备被选中的概率,从多个网络流量检测设备中选取出两个网络流量检测设备作为目标网络流量检测设备。
[0025] 可选的,根据目标网络流量检测设备的得分比例,分别从各目标网络流量检测设备配置的初始规则集中选取检测规则,包括:
[0026] 根据下述关系式(2)和下述关系式(3),分别从第一目标网络流量检测设备和第二目标网络流量检测设备配置的初始规则集中选取检测规则:
[0027] (2)
[0028] (3)
[0029] 其中, 为第一目标网络流量检测设备的得分比例, 为第二目标网络流量检测设备的得分比例, 为第一目标网络流量检测设备的得分, 为第二目标网络流量检测
设备的得分。
设备的得分。
[0030] 可选的,对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群,包括:
[0031] 从中间规则集中选取预设比例的检测规则作为预变异规则;
[0032] 从中间规则集包括的检测规则之外的检测规则中,随机选取与预变异规则数量相等的检测规则作为变异规则;
[0033] 用变异规则替换中间规则集中的预变异规则,得到新一代规则集。
[0034] 本公开的另一个方面,提供了一种网络流量检测规则生成装置,包括:
[0035] 编码模块,用于基于检测规则的编号进行染色体编码,生成初始种群;其中,初始种群包括多个不同的初始规则集;
[0036] 评价模块,用于将多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个网络流量检测设备生成的报警事件进行评价;
[0037] 重组模块,用于基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间
规则集;
规则集;
[0038] 变异模块,用于对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;
[0039] 配置模块,用于将新一代规则集分别配置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复触发编码模块、评价模块、重组模块、变异模块,直至达到预设的
规则演化停止条件,得到目标规则集。
规则演化停止条件,得到目标规则集。
[0040] 本公开的另一个方面,提供了一种电子设备,包括:
[0041] 至少一个处理器;以及,
[0042] 与至少一个处理器通信连接的存储器;其中,
[0043] 存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行前文记载的所述的方法。
[0044] 本公开的另一个方面,提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现前文记载的所述的方法。
[0045] 本公开相对于现有技术而言,基于检测规则的编号进行染色体编码,生成包括多个不同的初始规则集的初始种群,将初始种群中的多个初始规则集分别配置至多个不同的
网络流量检测设备,并分别对每个网络流量检测设备生成的报警事件进行评价,基于每个
网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备
配置的初始规则集进行检测规则的交叉重组,得到中间规则集,对中间规则集中的检测规
则进行变异替换,得到包括新一代规则集的新一代种群,将新一代规则集分别配置至除目
标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达到预设的
规则演化停止条件,得到目标规则集,从而通过在网络流量检测设备配置检测规则的过程
中引入遗传算法,解决了网络流量检测设备检测规则数量受限的情况下如何设置更为重要
的检测规则的问题,走出了只能依靠人工经验手动配置检测规则的困境,提高了检测规则
的配置效率,同时,利用遗传中的随机突变机制,还可以使网络流量检测设备能够根据网络
攻击态势发展,对配置的检测规则进行动态自我调整,进一步提升了网络流量检测设备的
防御能力。
网络流量检测设备,并分别对每个网络流量检测设备生成的报警事件进行评价,基于每个
网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备
配置的初始规则集进行检测规则的交叉重组,得到中间规则集,对中间规则集中的检测规
则进行变异替换,得到包括新一代规则集的新一代种群,将新一代规则集分别配置至除目
标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达到预设的
规则演化停止条件,得到目标规则集,从而通过在网络流量检测设备配置检测规则的过程
中引入遗传算法,解决了网络流量检测设备检测规则数量受限的情况下如何设置更为重要
的检测规则的问题,走出了只能依靠人工经验手动配置检测规则的困境,提高了检测规则
的配置效率,同时,利用遗传中的随机突变机制,还可以使网络流量检测设备能够根据网络
攻击态势发展,对配置的检测规则进行动态自我调整,进一步提升了网络流量检测设备的
防御能力。
附图说明
[0046] 一个或多个实施方式通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施方式的限定,附图中具有相同参考数字标号的元件表示为类似的元
件,除非有特别申明,附图中的图不构成比例限制。
件,除非有特别申明,附图中的图不构成比例限制。
[0047] 图1为本公开一实施方式提供的一种网络流量检测规则生成方法的流程图;
[0048] 图2为本公开另一实施方式提供的一种网络流量检测规则生成方法的流程图;
[0049] 图3为本公开另一实施方式提供的一种网络流量检测规则生成方法的流程图;
[0050] 图4为本公开另一实施方式提供的一种网络流量检测规则生成方法的流程图;
[0051] 图5为本公开另一实施方式提供的网络流量检测的工作场景图;
[0052] 图6为本公开另一实施方式提供的一种网络流量检测规则生成方法的流程图;
[0053] 图7为本公开另一实施方式提供的一种网络流量检测规则生成装置的结构示意图;
[0054] 图8为本公开另一实施方式提供的电子设备的结构示意图。
具体实施方式
[0055] 为使本公开实施方式的目的、技术方案和优点更加清楚,下面将结合附图对本公开的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本公开各实施
方式中,为了使读者更好地理解本公开而提出了许多技术细节。但是,即使没有这些技术细
节和基于以下各实施方式的种种变化和修改,也可以实现本公开所要求保护的技术方案。
以下各个实施方式的划分是为了描述方便,不应对本公开的具体实现方式构成任何限定,
各个实施方式在不矛盾的前提下可以相互结合相互引用。
方式中,为了使读者更好地理解本公开而提出了许多技术细节。但是,即使没有这些技术细
节和基于以下各实施方式的种种变化和修改,也可以实现本公开所要求保护的技术方案。
以下各个实施方式的划分是为了描述方便,不应对本公开的具体实现方式构成任何限定,
各个实施方式在不矛盾的前提下可以相互结合相互引用。
[0056] 本公开的一个实施方式涉及一种网络流量检测规则生成方法,其流程如图1所示,包括:
[0057] 步骤110,基于检测规则的编号进行染色体编码,生成初始种群;其中,初始种群包括多个不同的初始规则集。
[0058] 具体的,染色体的编码方式为基于检测规则编号的编码。初始种群包括多个不同的染色体,每个染色体包括多个不同的基因,因此,在进行染色体编码时,可以将多条检测
规则分别编码至多个不同的基因,以使每条检测规则分别对应一个基因,避免基因重复,得
到多个不同的染色体及各个染色体分别对应的初始规则集,即得到包括多个不同的初始规
则集的初始种群。
规则分别编码至多个不同的基因,以使每条检测规则分别对应一个基因,避免基因重复,得
到多个不同的染色体及各个染色体分别对应的初始规则集,即得到包括多个不同的初始规
则集的初始种群。
[0059] 初始规则集中的检测规则可以从预设的检测规则库中随机选取产生,也可以基于先验知识,选取特定的检测规则产生。初始规则集中的检测规则具体如何产生并不会影响
规则演化的最终结果,只会在一定程度上影响规则演化开始时的收敛速度。
规则演化的最终结果,只会在一定程度上影响规则演化开始时的收敛速度。
[0060] 在进行染色体编码时,可以使各个染色体包括的基因的数量分别与其对应的网络流量检测设备能够承载的检测规则的数量相同。例如,在某一网络流量检测设备能够承载
10000条检测规则时,其对应的染色体可以包括10000个基因,换句话说,该染色体对应的初
始规则集可以包括10000条检测规则。
10000条检测规则时,其对应的染色体可以包括10000个基因,换句话说,该染色体对应的初
始规则集可以包括10000条检测规则。
[0061] 步骤120,将多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个网络流量检测设备生成的报警事件进行评价。
[0062] 具体的,由于多个初始规则集彼此互不相同,因此,将多个初始规则集分别配置至多个不同的网络流量检测设备后,不同的网络流量检测设备对应的初始规则集也不同,配
置初始规则集后的网络流量检测设备即相当于一个拥有不同基因的个体。
置初始规则集后的网络流量检测设备即相当于一个拥有不同基因的个体。
[0063] 初始规则集配置至网络流量检测设备后,网络流量检测设备可以按照检测规则加载规范,使配置的初始规则集中的检测规则生效,网络流量检测设备即可基于配置的初始
规则集中的检测规则对接入的网络流量进行安全检测,从而发现网络流量中的安全威胁,
产生报警事件。这里的报警事件指的是网络流量检测设备在对网络流量进行安全检测的过
程中,基于某一检测规则发现网络流量中的安全威胁时,产生的与该检测规则相对应的警
示信息。
规则集中的检测规则对接入的网络流量进行安全检测,从而发现网络流量中的安全威胁,
产生报警事件。这里的报警事件指的是网络流量检测设备在对网络流量进行安全检测的过
程中,基于某一检测规则发现网络流量中的安全威胁时,产生的与该检测规则相对应的警
示信息。
[0064] 在报警事件产生之后,即可分别对每个网络流量检测设备生成的报警事件进行评价,得到每个网络流量检测设备的评价结果。由于每个报警事件均有其对应的检测规则,因
此,在对报警事件进行评价的同时,也完成了对报警事件对应的检测规则的评价。
此,在对报警事件进行评价的同时,也完成了对报警事件对应的检测规则的评价。
[0065] 步骤130,基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则
集。
集。
[0066] 步骤140,对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群。
[0067] 具体的,对中间规则集中的检测规则进行变异替换后得到的规则集即为新一代规则集,将新一代规则集加入到初始种群即可得到新一代种群。
[0068] 步骤150,将新一代规则集分别配置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达到预设的规则演化停止条件,得到目标规则集。
[0069] 具体的,预设的规则演化停止条件可以是规则演化达到预设的迭代次数,也可以是规则演化达到预设的时间间隔,还可以是其他的规则演化停止条件,本实施例对此并不
限制。
限制。
[0070] 本公开实施方式相对于现有技术而言,基于检测规则的编号进行染色体编码,生成包括多个不同的初始规则集的初始种群,将初始种群中的多个初始规则集分别配置至多
个不同的网络流量检测设备,并分别对每个网络流量检测设备生成的报警事件进行评价,
基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量
检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集,对中间规则集中
的检测规则进行变异替换,得到包括新一代规则集的新一代种群,将新一代规则集分别配
置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达
到预设的规则演化停止条件,得到目标规则集,从而通过在网络流量检测设备配置检测规
则的过程中引入遗传算法,解决了网络流量检测设备检测规则数量受限的情况下如何设置
更为重要的检测规则的问题,走出了只能依靠人工经验手动配置检测规则的困境,提高了
检测规则的配置效率,同时,利用遗传中的随机突变机制,还可以使网络流量检测设备能够
根据网络攻击态势发展,对配置的检测规则进行动态自我调整,进一步提升了网络流量检
测设备的防御能力。
个不同的网络流量检测设备,并分别对每个网络流量检测设备生成的报警事件进行评价,
基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量
检测设备配置的初始规则集进行检测规则的交叉重组,得到中间规则集,对中间规则集中
的检测规则进行变异替换,得到包括新一代规则集的新一代种群,将新一代规则集分别配
置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复执行上述步骤直至达
到预设的规则演化停止条件,得到目标规则集,从而通过在网络流量检测设备配置检测规
则的过程中引入遗传算法,解决了网络流量检测设备检测规则数量受限的情况下如何设置
更为重要的检测规则的问题,走出了只能依靠人工经验手动配置检测规则的困境,提高了
检测规则的配置效率,同时,利用遗传中的随机突变机制,还可以使网络流量检测设备能够
根据网络攻击态势发展,对配置的检测规则进行动态自我调整,进一步提升了网络流量检
测设备的防御能力。
[0071] 示例性的,步骤120中,分别对每个网络流量检测设备生成的报警事件进行评价可以包括:
[0072] 根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分。
[0073] 具体的,报警事件的权重可以表明报警事件的价值,从而间接表明报警事件对应的检测规则的有效性大小。例如,报警事件的权重越高,可以代表报警事件对应的检测规则
越有效。
越有效。
[0074] 通过根据报警事件的权重和数量对网络流量检测设备进行打分,可以对所有的报警事件进行评价,从而使网络流量检测设备的评价结果更加科学、全面。
[0075] 示例性的,根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分,包括:
[0076] 基于报警事件,按照下式(1)分别对每个网络流量检测设备进行打分:
[0077] (1)
[0078] 其中, 为第i个网络流量检测设备的得分,i=1,2,3,...,n为网络流量检测设备的编号,n为网络流量检测设备的数量,t=1,2,3,...,z为预设时间段内报警事件的编号,z
为预设时间段内报警事件的数量, 为报警事件t对应的权重。
为预设时间段内报警事件的数量, 为报警事件t对应的权重。
[0079] 具体的,在初始状态,每个网络流量检测设备的得分可以均设为0,即 =0,在将初始规则集配置至网络流量检测设备之后,每个网络流量检测设备在预设时间段内分别基于
配置的初始规则集中的检测规则对网络流量进行安全检测,并分别产生一定数量的报警事
件,针对每个网络流量检测设备,将各个报警事件的权重进行求和,即可得到每个网络流量
检测设备的得分。
配置的初始规则集中的检测规则对网络流量进行安全检测,并分别产生一定数量的报警事
件,针对每个网络流量检测设备,将各个报警事件的权重进行求和,即可得到每个网络流量
检测设备的得分。
[0080] 通过基于报警事件,按照上式(1)对网络流量检测设备进行打分,使得网络流量检测设备的得分更加科学、客观。
[0081] 示例性的,如图2所示,步骤130包括:
[0082] 步骤131,基于每个网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为目标网络流量检测设备。
[0083] 具体的,可以将各个网络流量检测设备按照得分大小进行排名,排名越靠前,表明网络流量检测设备被选中作为目标网络流量检测设备的概率越高。
[0084] 步骤132,根据目标网络流量检测设备的得分比例,分别从各目标网络流量检测设备配置的初始规则集中选取检测规则。
[0085] 具体的,目标网络流量检测设备的得分比例,可以是目标网络流量检测设备的得分在所有目标网络流量检测设备的得分之和即总得分中所占的比例。
[0086] 步骤133,将选取出的检测规则组成中间规则集。
[0087] 通过基于每个网络流量检测设备对应的得分选取目标网络流量检测设备,并根据目标网络流量检测设备的得分比例,从各目标网络流量检测设备配置的初始规则集中选取
检测规则组成中间规则集,可以使得到的中间规则集更加科学、合理。
检测规则组成中间规则集,可以使得到的中间规则集更加科学、合理。
[0088] 示例性的,如图3所示,步骤131包括:
[0089] 步骤1311,根据每个网络流量检测设备的得分,分别计算出每个网络流量检测设备被选中的概率。
[0090] 具体的,每个网络流量检测设备被选中的概率,可以通过每个网络流量检测设备的得分在所有网络流量检测设备的得分之和即总得分中所占的比例来表示。例如,将每个
网络流量检测设备被选中的概率记为 ,则 ,其中,表示所有网络流量检测设
备的总得分,即 ,其中, 越大,表明网络流量检测设备被选中的概率越大。
网络流量检测设备被选中的概率记为 ,则 ,其中,表示所有网络流量检测设
备的总得分,即 ,其中, 越大,表明网络流量检测设备被选中的概率越大。
[0091] 步骤1312,根据每个网络流量检测设备被选中的概率,从多个网络流量检测设备中选取出两个网络流量检测设备作为目标网络流量检测设备。
[0092] 具体的,可以根据每个网络流量检测设备被选中的概率 ,从多个网络流量检测设备中随机选取出两个网络流量检测设备作为目标网络流量检测设备,该目标网络流量检
测设备配置的初始规则集即可作为检测规则交叉重组的基础。
测设备配置的初始规则集即可作为检测规则交叉重组的基础。
[0093] 通过根据每个网络流量检测设备的得分,计算出每个网络流量检测设备被选中的概率,并根据每个网络流量检测设备被选中的概率,从多个网络流量检测设备中选取出两
个网络流量检测设备作为目标网络流量检测设备,可以使获得的目标网络流量检测设备更
加科学、合理。
个网络流量检测设备作为目标网络流量检测设备,可以使获得的目标网络流量检测设备更
加科学、合理。
[0094] 示例性的,步骤132可以包括:
[0095] 根据下述关系式(2)和下述关系式(3),分别从第一目标网络流量检测设备和第二目标网络流量检测设备配置的初始规则集中选取检测规则:
[0096] (2)
[0097] (3)
[0098] 其中, 为第一目标网络流量检测设备的得分比例, 为第二目标网络流量检测设备的得分比例, 为第一目标网络流量检测设备的得分, 为第二目标网络流量检测
设备的得分。
设备的得分。
[0099] 具体的,可以从第一目标网络流量检测设备配置的初始规则集中,选取比例为 的检测规则,从第二目标网络流量检测设备配置的初始规则集中,选取比例为 的检测规
则。
则。
[0100] 通过按照得分比例,分别从两个目标网络流量检测设备配置的初始规则集中选取检测规则,可以使选取检测规则的过程更加科学、合理。
[0101] 示例性的,如图4所示,步骤140包括:
[0102] 步骤141,从中间规则集中选取预设比例的检测规则作为预变异规则。
[0103] 具体的,在得到中间规则集后,可以从中间规则集中随机选取较小比例的检测规则,作为预变异规则,以模拟基因突变的过程。
[0104] 步骤142,从中间规则集包括的检测规则之外的检测规则中,随机选取与预变异规则数量相等的检测规则作为变异规则。
[0105] 具体的,将预变异规则组成的集合记为 ,其中, 分别表示各条预变异规则,则可以从中间规则集包括的检测规则之外的检测规则中,选取k条
检测规则作为变异规则,得到变异规则组成的集合 。
检测规则作为变异规则,得到变异规则组成的集合 。
[0106] 步骤143,用变异规则替换中间规则集中的预变异规则,得到新一代规则集。
[0107] 具体的,可以用变异规则组成的集合 替换预变异规则组成的集合 ,从而将中间规则集中预变异规则替换为变异规则,替换完成后的
中间规则集即为新一代规则集。
中间规则集即为新一代规则集。
[0108] 通过从中间规则集中选取预设比例的预变异规则,并用中间规则集包括的检测规则之外的检测规则替换预变异规则,得到新一代规则集,使得能够对配置至网络流量检测
设备的规则集根据网络攻击态势发展进行动态调整,进一步提升网络流量检测设备的防御
能力。
设备的规则集根据网络攻击态势发展进行动态调整,进一步提升网络流量检测设备的防御
能力。
[0109] 为使本领域技术人员能够更好地理解上述实施方式,下面以一具体示例为例进行说明。
[0110] 如图5所示,在大带宽的网络流量检测环境中,流量按照带宽平均分配至各个流量检测设备,流量检测设备根据预先配置的检测规则对流量进行安全检测,从而发现流量中
的安全威胁,生成告警事件,并将告警事件发送至分析集群,分析集群对告警事件进行综合
分析,根据分析结果对流量检测设备配置的检测规则进行调整。
的安全威胁,生成告警事件,并将告警事件发送至分析集群,分析集群对告警事件进行综合
分析,根据分析结果对流量检测设备配置的检测规则进行调整。
[0111] 基于图5所示的工作场景,一种网络流量检测规则生成方法如图6所示,包括:
[0112] S1、初始规则种群生成:基于检测规则编号进行染色体编码,生成初始种群。具体的,染色体编码方式为基于检测规则编号的编码,每条检测规则对应一个基因,基因之间不
能重复,故各个基因分别对应不同的检测规则,基因的数量与流量检测设备所承载的检测
规则数量相等。编码为染色体的检测规则可以从预设的规则库中随机产生,即从预设的规
则库中随机抽取一定数量的检测规则,组成一个初始规则集,这个规则集中检测规则的数
量等于流量检测设备承载的检测规则数量。编码为染色体的检测规则也可以根据人工经
验,主动选取特定的检测规则组成初始规则集。每个流量检测设备加载不同的初始规则集,
相当于一个具有不同基因的个体。
能重复,故各个基因分别对应不同的检测规则,基因的数量与流量检测设备所承载的检测
规则数量相等。编码为染色体的检测规则可以从预设的规则库中随机产生,即从预设的规
则库中随机抽取一定数量的检测规则,组成一个初始规则集,这个规则集中检测规则的数
量等于流量检测设备承载的检测规则数量。编码为染色体的检测规则也可以根据人工经
验,主动选取特定的检测规则组成初始规则集。每个流量检测设备加载不同的初始规则集,
相当于一个具有不同基因的个体。
[0113] S2、配置检测设备规则:将初始种群包括的多个初始规则集分别配置至多个不同的流量检测设备,按照设备规则加载规范,使初始规则集中的检测规则在配置的流量检测
设备上生效。
设备上生效。
[0114] 在配置检测设备规则完成之后,判断是否终止规则演化,若是,则结束规则演化,若否,则进入步骤S3。
[0115] S3、选择优秀个体即选择得分高的设备:检测规则在流量检测设备上生效之后,流量检测设备基于生效的检测规则对接入的流量进行安全检测,发现流量中的安全威胁,生
成告警事件,并将告警事件发送至分析集群。分析集群对每个流量检测设备生成的告警事
件进行分析评价,根据告警事件的价值和数量打分排名,得分越高说明配置的检测规则越
有效。本步骤具体包括以下步骤:
成告警事件,并将告警事件发送至分析集群。分析集群对每个流量检测设备生成的告警事
件进行分析评价,根据告警事件的价值和数量打分排名,得分越高说明配置的检测规则越
有效。本步骤具体包括以下步骤:
[0116] 1)初始状态,将每个流量检测设备的得分均设为0,即 =0,其中, 为第i个流量检测设备的得分,i=1,2,3,...,n为流量检测设备的编号,n为流量检测设备的数量。
[0117] 2)分析集群对每个流量检测设备发送的告警事件进行计分,每个告警事件均有其对应的检测规则,每个告警事件均有其对应的分值,将告警事件t对应的分值记为 。
[0118] 3)运行一段时间后,对每个流量检测设备进行评价排名,计算公式为下式(1),其中,t=1,2,3,...,z为预设时间段内流量检测设备i生成的报警事件的编号,z为预设时间段
内流量检测设备i生成的报警事件的数量:
内流量检测设备i生成的报警事件的数量:
[0119] (1)
[0120] 4)将各个流量检测设备按照得分多少进行排名。
[0121] S4、染色体交叉重组即规则交叉重组:按照流量检测设备的得分,以一定概率从各个流量检测设备中选择父母样本,流量检测设备得分越高,被选中作为父母样本的概率越
高,然后以父母样本的得分比率为基础进行基因重组。本步骤具体包括以下步骤:
高,然后以父母样本的得分比率为基础进行基因重组。本步骤具体包括以下步骤:
[0122] 1)计算每个流量检测设备被选中作为父母样本的概率 , ,其中,表示所有流量检测设备的总得分,即 。
[0123] 2)根据概率 从各个流量检测设备中随机选取出两个流量检测设备A和B作为父母样本, 越大,表明流量检测设备被选中作为父母样本的概率越大。
[0124] 3)以流量检测设备A和B的得分比率为基础,分别根据下式(2)和下式(3)产生中间规则集,其中, 为流量检测设备A的得分比例, 为流量检测设备B的得分比例, 为流
量检测设备A的得分, 为流量检测设备B的得分,中间规则集中,前 部分检测规则来自
流量检测设备A配置的初始规则集,后 部分检测规则来自流量检测设备B配置的初始规则
集。
量检测设备A的得分, 为流量检测设备B的得分,中间规则集中,前 部分检测规则来自
流量检测设备A配置的初始规则集,后 部分检测规则来自流量检测设备B配置的初始规则
集。
[0125] (2)
[0126] (3)
[0127] S5、基因变异替换即随机替换少数规则:得到中间规则集之后,按照一个较小的概率,从中间规则集中随机选取部分检测规则,生成检测规则集合 ,其中,
分别表示从中间规则集中选取出的各条检测规则,将其作为要发生变异的基
因,k表示选取出的检测规则的数量,然后,从预设的规则库中随机选取k条中间规则集自身
包括的检测规则之外的检测规则,生成变异检测规则集合 ,用
替换 。
分别表示从中间规则集中选取出的各条检测规则,将其作为要发生变异的基
因,k表示选取出的检测规则的数量,然后,从预设的规则库中随机选取k条中间规则集自身
包括的检测规则之外的检测规则,生成变异检测规则集合 ,用
替换 。
[0128] S6、生成新一代种群即生成新的规则集:完成上述操作后,即可得到新一代规则集,将新一代规则集加入到初始种群即可得到新一代种群。如果流量检测设备没有被选中
参与规则交叉重组,则意味着该流量检测设备配置的初始规则集将被新一代种群中的规则
集所替代。
参与规则交叉重组,则意味着该流量检测设备配置的初始规则集将被新一代种群中的规则
集所替代。
[0129] 在生成新一代种群后,回到步骤S2,将新一代种群中的检测规则配置至流量检测设备,使新一代种群中的检测规则生效。
[0130] 配置完新一代种群中的检测规则后,设备运行一段时间,会再次进行检测规则的适者生存演化。在规则演化初期,各次演化迭代之间的代际替换时间间隔会比较短,因为初
期的规则演化会显著提升整体的性能。随着整体性能提升的速度变慢,各次演化迭代之间
的代际替换时间间隔可能较长,因为进入稳定期之后,整体性能的提升效率会降低。规则演
化的整个过程呈现出前高后低的特征。
期的规则演化会显著提升整体的性能。随着整体性能提升的速度变慢,各次演化迭代之间
的代际替换时间间隔可能较长,因为进入稳定期之后,整体性能的提升效率会降低。规则演
化的整个过程呈现出前高后低的特征。
[0131] 本公开的另一个实施方式涉及一种网络流量检测规则生成装置,如图7所示,包括:
[0132] 编码模块710,用于基于检测规则的编号进行染色体编码,生成初始种群;其中,初始种群包括多个不同的初始规则集;
[0133] 评价模块720,用于将多个初始规则集分别配置至多个不同的网络流量检测设备,分别对每个网络流量检测设备生成的报警事件进行评价;
[0134] 重组模块730,用于基于每个网络流量检测设备的评价结果,确定出目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉重组,得到中
间规则集;
间规则集;
[0135] 变异模块740,用于对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群;
[0136] 配置模块750,用于将新一代规则集分别配置至除目标网络流量检测设备之外的其余网络流量检测设备,并重复触发编码模块710、评价模块720、重组模块730、变异模块
740,直至达到预设的规则演化停止条件,得到目标规则集。
740,直至达到预设的规则演化停止条件,得到目标规则集。
[0137] 本公开实施方式相对于现有技术而言,通过编码模块基于检测规则的编号进行染色体编码,生成包括多个不同的初始规则集的初始种群,通过评价模块将初始种群中的多
个初始规则集分别配置至多个不同的网络流量检测设备,并分别对每个网络流量检测设备
生成的报警事件进行评价,通过重组模块基于每个网络流量检测设备的评价结果,确定出
目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉
重组,得到中间规则集,通过变异模块对中间规则集中的检测规则进行变异替换,得到包括
新一代规则集的新一代种群,通过配置模块将新一代规则集分别配置至除目标网络流量检
测设备之外的其余网络流量检测设备,并重复触发编码模块、评价模块、重组模块、变异模
块,直至达到预设的规则演化停止条件,得到目标规则集,从而通过在网络流量检测设备配
置检测规则的过程中引入遗传算法,解决了网络流量检测设备检测规则数量受限的情况下
如何设置更为重要的检测规则的问题,走出了只能依靠人工经验手动配置检测规则的困
境,提高了检测规则的配置效率,同时,利用遗传中的随机突变机制,还可以使网络流量检
测设备能够根据网络攻击态势发展,对配置的检测规则进行动态自我调整,进一步提升了
网络流量检测设备的防御能力。
个初始规则集分别配置至多个不同的网络流量检测设备,并分别对每个网络流量检测设备
生成的报警事件进行评价,通过重组模块基于每个网络流量检测设备的评价结果,确定出
目标网络流量检测设备,将目标网络流量检测设备配置的初始规则集进行检测规则的交叉
重组,得到中间规则集,通过变异模块对中间规则集中的检测规则进行变异替换,得到包括
新一代规则集的新一代种群,通过配置模块将新一代规则集分别配置至除目标网络流量检
测设备之外的其余网络流量检测设备,并重复触发编码模块、评价模块、重组模块、变异模
块,直至达到预设的规则演化停止条件,得到目标规则集,从而通过在网络流量检测设备配
置检测规则的过程中引入遗传算法,解决了网络流量检测设备检测规则数量受限的情况下
如何设置更为重要的检测规则的问题,走出了只能依靠人工经验手动配置检测规则的困
境,提高了检测规则的配置效率,同时,利用遗传中的随机突变机制,还可以使网络流量检
测设备能够根据网络攻击态势发展,对配置的检测规则进行动态自我调整,进一步提升了
网络流量检测设备的防御能力。
[0138] 示例性的,评价模块720,用于分别对每个网络流量检测设备生成的报警事件进行评价,包括:
[0139] 评价模块720,用于根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分。
[0140] 示例性的,评价模块720,用于根据报警事件的权重和数量,分别对每个网络流量检测设备进行打分,包括:
[0141] 评价模块720,具体用于基于报警事件,按照下式(1)分别对每个网络流量检测设备进行打分:
[0142] (1)
[0143] 其中, 为第i个网络流量检测设备的得分,i=1,2,3,...,n为网络流量检测设备的编号,n为网络流量检测设备的数量,t=1,2,3,...,z为预设时间段内报警事件的编号,z
为预设时间段内报警事件的数量, 为报警事件t对应的权重。
为预设时间段内报警事件的数量, 为报警事件t对应的权重。
[0144] 示例性的,重组模块730具体用于:
[0145] 基于每个网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为目标网络流量检测设备;
[0146] 根据目标网络流量检测设备的得分比例,分别从各目标网络流量检测设备配置的初始规则集中选取检测规则;
[0147] 将选取出的检测规则组成中间规则集。
[0148] 示例性的,重组模块730具体用于基于每个网络流量检测设备对应的得分,从多个网络流量检测设备中选取出预设数量的网络流量检测设备作为目标网络流量检测设备,包
括:
括:
[0149] 重组模块730,用于根据每个网络流量检测设备的得分,分别计算出每个网络流量检测设备被选中的概率;根据每个网络流量检测设备被选中的概率,从多个网络流量检测
设备中选取出两个网络流量检测设备作为目标网络流量检测设备。
设备中选取出两个网络流量检测设备作为目标网络流量检测设备。
[0150] 示例性的,重组模块730具体用于根据目标网络流量检测设备的得分比例,分别从各目标网络流量检测设备配置的初始规则集中选取检测规则,包括:
[0151] 重组模块730,用于根据下述关系式(2)和下述关系式(3),分别从第一目标网络流量检测设备和第二目标网络流量检测设备配置的初始规则集中选取检测规则:
[0152] (2)
[0153] (3)
[0154] 其中, 为第一目标网络流量检测设备的得分比例, 为第二目标网络流量检测设备的得分比例, 为第一目标网络流量检测设备的得分, 为第二目标网络流量检测设
备的得分。
备的得分。
[0155] 示例性的,变异模块740,用于对中间规则集中的检测规则进行变异替换,得到包括新一代规则集的新一代种群,包括:
[0156] 变异模块740,具体用于:
[0157] 从中间规则集中选取预设比例的检测规则作为预变异规则;
[0158] 从中间规则集包括的检测规则之外的检测规则中,随机选取与预变异规则数量相等的检测规则作为变异规则;
[0159] 用变异规则替换中间规则集中的预变异规则,得到新一代规则集。
[0160] 本公开实施方式提供的网络流量检测规则生成装置的具体实现方法,可以参见本公开实施方式提供的网络流量检测规则生成方法所述,此处不再赘述。
[0161] 本公开的另一个实施方式涉及一种电子设备,如图8所示,包括:
[0162] 至少一个处理器810;以及,
[0163] 与至少一个处理器810通信连接的存储器820;其中,
[0164] 存储器820存储有可被至少一个处理器810执行的指令,指令被至少一个处理器810执行,以使至少一个处理器810能够执行上述实施方式所述的方法。
[0165] 其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围
设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知
的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机
可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与
各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,
天线还接收数据并将数据传送给处理器。
设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知
的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机
可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与
各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,
天线还接收数据并将数据传送给处理器。
[0166] 处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所
使用的数据。
使用的数据。
[0167] 本公开的另一个实施方式涉及一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述实施方式所述的方法。
[0168] 即,本领域技术人员可以理解,实现上述实施方式所述方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令
用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本公开各个实施方
式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM(Read‑Only
Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)、磁碟或者光盘等各
种可以存储程序代码的介质。
用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本公开各个实施方
式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM(Read‑Only
Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)、磁碟或者光盘等各
种可以存储程序代码的介质。
[0169] 本领域的普通技术人员可以理解,上述各实施方式是实现本公开的具体实施方式,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本公开的精神和范
围。
围。