[发明专利]获得防护策略集合、报文检测的方法、装置、系统及介质

说明书

本申请实施例提供了获得防护策略集合、报文检测的方法、装置、系统及介质，该方法包括：通过统计方式获取各类待处理报文，其中，不同类的待处理报文是通过IP地址和端口号区分的；获取与所述各类待处理报文分别对应的防护策略，得到防护策略集合，通过本申请的一些实施例能够针对不同类型的业务流量获得相对应的防护策略，从而能够提升报文检测的准确性，进而提升接收设备的安全性。

技术领域

本申请实施例涉及网络安全领域，具体涉及获得防护策略集合、报文检测的方法、装置、系统及介质。

背景技术

通常针对网络安全设备的安全配置有检测配置与防御配置，这些配置通过设置阈值来对待检测的报文进行检测。相关技术中，每一个阈值的取值通常会根据一定的经验来估算得到，导致报文检测不准确。

为了解决上述问题，相关技术对当前流量的数据访问行为进行学习与统计，获得相对较为客观的阈值。但是，不同的待检测报文使用同一标准进行检测，导致报文检测的准确率不能够得到有效的提升。

因此，如何提升报文检测的准确率成为需要解决的问题。

发明内容

本申请实施例提供了获得防护策略集合、报文检测的方法、装置、系统及介质，通过本申请的一些实施例至少能够实现针对不同类型的业务流量获得相对应的防护策略，从而能够提升报文检测的准确性，进而提升接收设备的安全性。

第一方面，本申请提供了一种获得防护策略集合的方法，所述方法包括：通过统计方式获取各类待处理报文，其中，不同类的待处理报文是通过IP地址和端口号区分的；获取与所述各类待处理报文分别对应的防护策略，得到防护策略集合。

因此，与相关技术中所有的待检测报文均使用同一标准(即阈值)进行检测的方案不同的是，本申请实施例通过将待处理报文进行分类，并且获得与各类相对应的防护策略，能够针对不同类型的业务流量获得相对应的防护策略，从而能够提升报文检测的准确性，进而提升接收设备的安全性。

结合第一方面，在本申请的一些实施例中，所述各类待处理报文包括第i类待处理报文，其中，所述第i类待处理报文为所述各类待处理报文中的任意一类；所述获取与所述各类待处理报文分别对应的防护策略，得到防护策略集合，包括：统计所述第i类待处理报文所对应的访问行为数据，其中，所述访问行为数据至少包括预设时间内所述第i类待处理报文的发包数量和传输时间；基于所述访问行为数据，生成与所述第i类待处理报文对应的防护策略。

因此，本申请实施例通过对各类待处理报文的访问行为数据进行统计，能够生成符合各类待处理报文特征的防护策略，从而是防护策略设置的更加精细化。

结合第一方面，在本申请的一些实施例中，所述防护策略包括检测阈值和防御阈值，其中，所述检测阈值用于判断是否触发预警，所述防御阈值用于判断是否执行防御动作，所述检测阈值至少通过所述发包数量获得，所述防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种；所述基于所述访问行为数据，生成与所述第i类待处理报文对应的防护策略，包括：确认所述预设时间之内所述发包数量的最大值，以及所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值；将所述发包数量的最大值作为所述检测阈值，并且将所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值。

因此，本申请实施例通过将发包数量的最大值和传输时间的最大值等作为阈值，能够根据真实的历史流量，获得与各类待检测报文对应的阈值。

结合第一方面，在本申请的一些实施例中，在所述通过统计方式获取各类待处理报文之前，所述方法还包括：确认所述端口号满足预设的限制条件。

因此，本申请实施例通过在对待处理报文进行分类前确认端口号满足预设条件，能够过滤掉不需要进行学习的待处理报文，从而提升学习效率。