[发明专利]规则误报测试方法、装置、电子设备及计算机存储介质

权利要求书

1.一种规则误报测试方法，其特征在于，用于检测第一待测试设备上的规则，所述方法包括：

获取测试数据及其对应的预期测试结果；所述测试数据为真实网络所产生的网络流量；

将所述测试数据重放到所述第一待测试设备，并获取所述第一待测试设备针对所述测试数据输出的真实测试结果；

对比所述真实测试结果与所述预期测试结果，得到比对结果；

根据所述比对结果，确定所述第一待测试设备上的规则是否存在误报；

其中，所述真实测试结果与所述预期测试结果均包括第一字段以及第二字段，第一字段用于表征对应的测试数据是否产生攻击报警，第二字段用于表征产生攻击报警所对应的具体攻击事件，当第一字段表征对应的测试数据未产生攻击报警时，相应地，第二字段为空；对比所述真实测试结果与所述预期测试结果，得到比对结果，包括：

对比所述真实测试结果中的攻击报警的数量以及每个攻击报警所对应的攻击事件与所述预期测试结果中的攻击报警的数量以及每个攻击报警所对应的攻击事件，得到比对结果，其中，所述预期测试结果为第二设备根据原始数据测试得到，所述第二设备根据测试结果以及所述原始数据的反馈信息修改所述规则。

2.根据权利要求1所述的方法，其特征在于，所述根据所述比对结果，确定所述第一待测试设备上的规则是否存在误报，包括：

在确定所述真实测试结果与所述预期测试结果完全一致时，确定所述规则不存在误报；

在确定所述真实测试结果与所述预期测试结果不完全一致时，确定所述规则存在误报；

其中，当所述真实测试结果所包括的第二攻击报警的数量与所述预期测试结果所包括的第一攻击报警的数量相同，且所述真实测试结果所包括的每个攻击报警所对应的攻击事件均在所述预期测试结果能匹配到相同的攻击事件时，表征所述真实测试结果与所述预期测试结果完全一致；否则，表征所述真实测试结果与所述预期测试结果不完全一致。

3.根据权利要求1所述的方法，其特征在于，所述将所述测试数据重放到所述第一待测试设备，包括：

通过重放工具将所述测试数据逐一重放到所述第一待测试设备所在的网络，以使所述第一待测试设备通过所述网络接收到所述测试数据。

4.根据权利要求1所述的方法，其特征在于，所述测试数据的数据形式为pcap包文件形式。

5.根据权利要求1-4中任一项所述的方法，其特征在于，在所述获取测试数据及其对应的预期测试结果之前，所述方法还包括：

制作所述测试数据及其对应的预期测试结果。

6.根据权利要求5所述的方法，其特征在于，所述制作所述测试数据及其对应的预期测试结果，包括：

S1：从网络中抓取原始数据；

S2：将所述原始数据重放到第二待测试设备，并获取所述第二待测试设备针对所述原始数据输出的原始测试结果；

S3：获取攻击事件研判人员针对所述原始测试结果所包括的每个攻击事件进行核查所输入的反馈信息，所述反馈信息用于表示所述原始测试结果所包括的每个攻击事件是否是误报；

S4：在根据所述反馈信息确定所述第二待测试设备存在误报时，且待所述第二待测试设备上的规则修改后，重复S2-S3，直至确定所述第二待测试设备不存在误报；

其中，最终的原始测试结果为所述对应的预期测试结果。