[发明专利]规则误报测试方法、装置、电子设备及计算机存储介质

说明书

本发明涉及一种规则误报测试方法、装置、电子设备及计算机存储介质，属于网络安全领域。该方法包括：获取测试数据及其对应的预期测试结果；所述测试数据为真实网络所产生的网络流量；将所述测试数据重放到所述第一待测试设备，并获取所述第一待测试设备针对所述测试数据输出的真实测试结果；对比所述真实测试结果与所述预期测试结果，得到比对结果；根据所述比对结果，确定所述第一待测试设备上的规则是否存在误报。通过该方法，可以提高测试效果以及测试效率。

技术领域

本申请属于网络安全领域，具体涉及一种规则误报测试方法、装置、电子设备及计算机存储介质。

背景技术

在网络安全领域，需要在网络设备中配置检测规则来对获取到的流量的安全性进行检测，避免被携带有安全隐患的报文攻击。其中，网络设备内的每条检测规则一般是基于某个已知漏洞/攻击的特征，以描述语言的方式配置而成。

其中，规则误报是指检测攻击的规则在没有攻击的正常流量下报警。规则误报会误导专业的攻击事件研判人员，还会产生大量的本不需要报警的事件，进而“淹没”真正的攻击报警事件，严重时甚至会引发设备故障。因此，有必要对网络设备内的检测规则是否产生误报进行检测。

在现有技术中，存在两种规则误报检测方案：

一种是用测试仪表发送不含攻击的混合流量，如果待测试设备产生攻击报警事件，则说明待测试设备上的规则误报。这种方案虽然较为简单，但是测试仪表所构造的不包含攻击的报文较为单一、简单，一般会产生误报的概率较小，因此，这种方式对规则的误报测试效果不明显。

另一种是对网络抓包到的真实报文在待测试设备上进行重放。若待测试设备在此过程中检测出的攻击事件，需要进行人工核对来判断该攻击事件是否存在规则误报。由于该方案需要人工参与进行核对，导致测试效率较低。

发明内容

有鉴于此，本申请的目的在于提供一种规则误报测试方法、装置、电子设备及计算机存储介质，可以提高测试效果以及测试效率。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供一种规则误报测试方法，用于检测第一待测试设备上的规则，所述方法包括：

获取测试数据及其对应的预期测试结果；所述测试数据为真实网络所产生的网络流量；将所述测试数据重放到所述第一待测试设备，并获取所述第一待测试设备针对所述测试数据输出的真实测试结果；对比所述真实测试结果与所述预期测试结果，得到比对结果；根据所述比对结果，确定所述第一待测试设备上的规则是否存在误报。

在上述过程中，对于电子设备而言，当其在获取到预先制作的测试数据及其对应的预期测试结果后，便可以通过上述过程对第一待测试设备上的规则进行自动测试，并确定第一待测试设备上的规则是否存在误报。其中，由于该过程无需人为参与，因此，可以提高测试的效率。此外，由于在本申请实施例中，是通过携带有攻击的非正常报文以及未携带攻击的正常报文来对规则进行测试，相较于现有技术中的，通过只构造简单的正常报文来对规则进行测试的方式，具有更好的测试效果。

结合第一方面实施例，在一种可能的实施方式中，所述根据所述比对结果，确定所述第一待测试设备上的规则是否存在误报，包括：在确定所述真实测试结果与所述预期测试结果完全一致时，确定所述规则不存在误报；在确定所述真实测试结果与所述预期测试结果不完全一致时，确定所述规则存在误报。

结合第一方面实施例，在一种可能的实施方式中，所述真实测试结果与所述预期测试结果包括攻击报警的数量以及每个攻击报警所对应的攻击事件；所述确定所述真实测试结果与所述预期测试结果完全一致，包括：当所述真实测试结果所包括的第二攻击报警的数量与所述预期测试结果所包括的第一攻击报警的数量相同，且所述真实测试结果所包括的每个攻击报警所对应的攻击事件均在所述预期测试结果能匹配到相同的攻击事件时，表征所述真实测试结果与所述预期测试结果完全一致；否则，表征所述真实测试结果与所述预期测试结果不完全一致。