安全规则有效性的验证方法、电子设备和存储介质与流程

本申请涉及安全，具体涉及安全规则有效性的验证方法、电子设备和存储介质。

背景技术：

1、目前通常利用安全风险监测引擎对网络的安全风险进行监测，而安全风险监测引擎的运行通常依赖于安全规则(也称为安全策略)。在实际应用中，安全规则的更新、安全风险监测引擎的升级等，往往会对安全规则的有效性造成影响，进而可能影响安全风险监测引擎对安全风险的监测效果，因此需要对安全规则的有效性进行验证。

技术实现思路

1、本申请实施例的目的在于提供安全规则有效性的验证方法、电子设备和存储介质，用于解决现有技术中的技术问题。

2、本申请实施例第一方面提供了一种安全规则有效性的验证方法，所述方法包括：

3、确定验证日志数据，其中，所述验证日志数据通过采集的真实攻击日志数据生成；

4、判断所述验证日志数据是否触发待验证安全规则，以确定所述待验证安全规则的有效性。

5、于一实施例中，所述方法还包括：

6、根据预设筛选条件，从验证日志数据库中筛选出一条或多条验证日志数据，其中，所述预设筛选条件具体包括如下任意一种或多种：预设数量、预设比例、预设日志生成的时间戳、所述待验证安全规则的规则内容；

7、将所筛选出的各条验证日志数据添加至数据总线；以及，

8、确定验证日志数据具体包括：按照所述数据总线中的队列顺序，从所述数据总线获取所述验证日志数据。

9、于一实施例中，所述方法还包括：

10、将所述真实攻击日志数据中的日志生成时间戳替换为当前时刻，以生成验证日志数据；

11、将所生成的所述验证日志数据添加至所述验证日志数据库。

12、于一实施例中，所述方法还包括：

13、针对规则库中的各条安全规则分别设置对应的监控开关，其中，所述监控开关用于指示是否对对应安全规则的有效性进行验证；

14、开启所述待验证安全规则的监控开关。

15、于一实施例中，判断所述验证日志数据是否触发待验证安全规则，以确定所述待验证安全规则的有效性，具体包括：

16、通过对所述验证日志数据的解析，得到结构化的验证日志数据；

17、判断结构化的验证日志数据是否触发待验证安全规则；

18、其中，若结构化的验证日志数据触发待验证安全规则，则确定所述待验证安全规则有效；或，

19、若结构化的验证日志数据未触发待验证安全规则，则确定所述待验证安全规则失效。

20、于一实施例中，所述验证日志数据携带重放标记，其中，所述重放标记用于标识通过生成所述验证日志数据的真实攻击日志数据，已对所述待验证安全规则的有效性进行验证；以及，

21、在通过对所述验证日志数据的解析，得到结构化的验证日志数据时，所述方法还包括：

22、根据所述重放标记，在所述结构化的验证日志数据中添加验证标记，所述验证标记用于标识通过所述结构化的验证日志数据所对应的真实攻击日志数据，已对所述待验证安全规则的有效性进行验证。

23、于一实施例中，在确定出所述待验证安全规则有效的情况下，所述方法还包括：根据所述验证标记，生成验证事件，所述验证事件用于表征对应的事件为非真实攻击日志所引发的告警事件。

24、于一实施例中，所述方法还包括：

25、设置定时任务，所述定时任务包括任务执行的时刻和次数；

26、在所述定时任务的触发下，根据所述任务执行的时刻和次数来执行所述方法。

27、本申请实施例第二方面提供了一种电子设备，包括：

28、处理器；

29、用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行上述第一方面任一项所述的方法。

30、本申请实施例第三方面提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序可由处理器执行以完成上述第一方面任一项所述的方法。

31、采用本申请实施例所提供的安全规则有效性的验证方法，包括确定验证日志数据，然后判断该验证日志数据是否触发待验证安全规则。由于该验证日志数据通过采集的真实攻击日志数据生成，因此该待验证安全规则继续有效的情况下，该验证日志数据会触发该待验证安全规则，反之，若该验证日志数据未触发该待验证安全规则，则可以说明该待验证安全规则失效，进而通过该方法能够确定出待验证安全规则的有效性。

技术特征：

1.一种安全规则有效性的验证方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

5.根据权利要求1所述的方法，其特征在于，判断所述验证日志数据是否触发待验证安全规则，以确定所述待验证安全规则的有效性，具体包括：

6.根据权利要求5所述的方法，其特征在于，所述验证日志数据携带重放标记，其中，所述重放标记用于标识通过生成所述验证日志数据的真实攻击日志数据，已对所述待验证安全规则的有效性进行验证；以及，

7.根据权利要求6所述的方法，其特征在于，在确定出所述待验证安全规则有效的情况下，所述方法还包括：根据所述验证标记，生成验证事件，所述验证事件用于表征对应的事件为非真实攻击日志所引发的告警事件。

8.根据权利要求1所述的方法，其特征在于，所述方法还包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序可由处理器执行以完成权利要求1-8任意一项所述的方法。

技术总结
本申请提供安全规则有效性的验证方法、电子设备和存储介质。该方法包括：确定验证日志数据，其中，所述验证日志数据通过采集的真实攻击日志数据生成；判断所述验证日志数据是否触发待验证安全规则，以确定所述待验证安全规则的有效性。由于该验证日志数据通过真实攻击日志数据生成，因此该待验证安全规则继续有效的情况下，该验证日志数据会触发该待验证安全规则，反之，若该验证日志数据未触发该待验证安全规则，则可以说明该待验证安全规则失效，进而通过该方法能够确定出待验证安全规则的有效性。

技术研发人员：谭学士,邓小刚,李云龙,陈祚松,李洪亮
受保护的技术使用者：奇安信网神信息技术（北京）股份有限公司
技术研发日：
技术公布日：2024/1/13