基于安全设备的告警评估方法、装置、设备及存储介质与流程

本发明涉及网络安全，尤其涉及一种基于安全设备的告警评估方法、装置、设备及存储介质。

背景技术：

1、随着互联网络科技的迅速发展，攻击安全设备的方式也越来越多，因此安全设备的告警能力也需要较高要求，而现有技术中只能通过模拟攻击触发安全设备的告警，以此对安全设备的告警能力进行评估，但这种方式导致安全设备的告警评估不精准。

2、上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

1、本发明的主要目的在于提供了一种基于安全设备的告警评估方法、装置、设备及存储介质，旨在解决如何提高安全设备告警评估的精准率的技术问题。

2、为实现上述目的，本发明提供了一种基于安全设备的告警评估方法，所述基于安全设备的告警评估方法包括以下步骤：

3、获取待攻击安全设备对应的攻击成功用例和攻击规则；

4、按所述攻击规则通过所述攻击成功用例对所述待攻击安全设备进行模拟攻击，以获得用例攻击结果；

5、对所述用例攻击结果进行分析，并根据分析结果对所述待攻击安全设备进行告警评估。

6、可选地，所述获取待攻击安全设备对应的攻击成功用例的步骤，包括：

7、获取待攻击安全设备的防护功能信息；

8、根据所述防护功能信息确定所述待攻击安全设备的设备类型；

9、根据所述设备类型在预设成功用例库中查找攻击成功用例。

10、可选地，所述根据所述设备类型在预设成功用例库中查找攻击成功用例的步骤之前，包括：

11、根据所述待攻击安全设备的设备类型从预设用例库中匹配对应的待确认攻击用例；

12、通过所述待确认攻击用例对所述待攻击安全设备进行循环攻击，获得循环攻击结果；

13、在所述循环攻击结果为攻击成功时，将所述设备类型及所述待确认攻击用例关联后保存至预设成功用例库中。

14、可选地，所述通过所述待确认攻击用例对所述待攻击安全设备进行循环攻击，获得循环攻击结果的步骤之后，还包括：

15、在所述循环攻击结果为攻击失败时，在所述预设用例库除所述待确认攻击用例之外的攻击用例中确定多个待检测攻击用例；

16、分别提取各待检测攻击用例对应的攻击行为特征；

17、根据所述防护功能信息分别对多个攻击行为特征进行分析，获得各攻击用例对应的攻击能力；

18、根据所述攻击能力从多个所述待检测攻击用例中确定攻击成功用例，并将所述设备类型及所述攻击成功用例关联后保存至预设成功用例库中。

19、可选地，所述根据所述攻击能力从多个所述待检测攻击用例中确定攻击成功用例的步骤，包括：

20、根据所述攻击能力对多个待检测攻击用例进行排序，获得排序结果；

21、根据所述排序结果通过多个所述待检测攻击用例对所述待攻击安全设备进行循环攻击；

22、在攻击结果满足预设攻击条件时，根据所述攻击结果确定攻击成功用例。

23、可选地，所述获取待攻击安全设备对应的攻击规则的步骤之前，包括：

24、获取待攻击安全设备对应的设备标识；

25、根据所述设备标识确定所述待攻击安全设备的告警抑制策略；

26、根据所述告警抑制策略及所述攻击成功用例生成攻击规则。

27、可选地，所述根据所述告警抑制策略及所述攻击成功用例生成攻击规则的步骤，包括：

28、根据所述告警抑制策略确定告警抑制时长；

29、根据所述告警抑制时长确定攻击间隔时长；

30、根据所述攻击间隔时长和所述攻击成功用例生成攻击规则。

31、可选地，所述根据所述告警抑制时长确定攻击间隔时长的步骤，包括：

32、根据所述告警抑制时长确定预设间隔时长；

33、根据所述预设间隔时长和所述告警抑制时长确定待确认间隔时长；

34、在所述待确认间隔时长大于所述告警抑制时长时，将所述待确认间隔时长作为攻击间隔时长。

35、可选地，所述根据所述预设间隔时长和所述告警抑制时长确定待确认间隔时长的步骤之后，还包括：

36、在所述待确认间隔时长小于或等于所述告警抑制时长时，返回所述根据所述告警抑制时长确定预设间隔时长的步骤。

37、可选地，所述对所述用例攻击结果进行分析，并根据分析结果对所述待攻击安全设备进行告警评估的步骤，包括：

38、对所述用例攻击结果进行分析，获得目标攻击日志；

39、基于所述目标攻击日志对所述待攻击安全设备进行告警评估。

40、可选地，所述基于所述目标攻击日志对所述待攻击安全设备进行告警评估的步骤，包括：

41、根据所述目标攻击日志确定攻击反馈次数和攻击数量；

42、根据所述攻击反馈次数和所述攻击数量确定攻击成功率；

43、根据所述攻击成功率对所述待攻击安全设备进行告警评估。

44、可选地，所述根据所述攻击成功率对所述待攻击安全设备进行告警评估的步骤，包括：

45、根据所述攻击成功率在预设攻击映射关系表中匹配对应的攻击等级；

46、根据所述攻击等级确定对应的预设评估策略；

47、基于所述预设评估策略对所述待攻击安全设备进行告警评估。

48、此外，为实现上述目的，本发明还提出一种基于安全设备的告警评估装置，所述基于安全设备的告警评估装置包括：

49、获取模块，用于获取待攻击安全设备对应的攻击成功用例和攻击规则；

50、攻击模块，用于按所述攻击规则通过所述攻击成功用例对所述待攻击安全设备进行模拟攻击，以获得用例攻击结果；

51、评估模块，用于对所述用例攻击结果进行分析，并根据分析结果对所述待攻击安全设备进行告警评估。

52、可选地，所述获取模块，还用于获取待攻击安全设备的防护功能信息；

53、所述获取模块，还用于根据所述防护功能信息确定所述待攻击安全设备的设备类型；

54、所述获取模块，还用于根据所述设备类型在预设成功用例库中查找攻击成功用例。

55、可选地，所述获取模块，还用于根据所述待攻击安全设备的设备类型从预设用例库中匹配对应的待确认攻击用例；

56、所述获取模块，还用于通过所述待确认攻击用例对所述待攻击安全设备进行循环攻击，获得循环攻击结果；

57、所述获取模块，还用于在所述循环攻击结果为攻击成功时，将所述设备类型及所述待确认攻击用例关联后保存至预设成功用例库中。

58、可选地，所述基于安全设备的告警评估装置还包括生成模块；

59、所述生成模块，用于获取待攻击安全设备对应的设备标识；

60、所述生成模块，还用于根据所述设备标识确定所述待攻击安全设备的告警抑制策略；

61、所述生成模块，还用于根据所述告警抑制策略及所述攻击成功用例生成攻击规则。

62、可选地，所述生成模块，还用于根据所述告警抑制策略确定告警抑制时长；

63、所述生成模块，还用于根据所述告警抑制时长确定攻击间隔时长；

64、所述生成模块，还用于根据所述攻击间隔时长和所述攻击成功用例生成攻击规则。

65、可选地，所述评估模块，还用于对所述用例攻击结果进行分析，获得目标攻击日志；

66、所述评估模块，还用于基于所述目标攻击日志对所述待攻击安全设备进行告警评估。

67、此外，为实现上述目的，本发明还提出一种基于安全设备的告警评估设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于安全设备的告警评估程序，所述基于安全设备的告警评估程序配置为实现如上文所述的基于安全设备的告警评估方法的步骤。

68、此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有基于安全设备的告警评估程序，所述基于安全设备的告警评估程序被处理器执行时实现如上文所述的基于安全设备的告警评估方法的步骤。

69、本发明首先获取待攻击安全设备对应的攻击成功用例和攻击规则，然后按攻击规则通过攻击成功用例对待攻击安全设备进行模拟攻击，以获得用例攻击结果，之后对用例攻击结果进行分析，并根据分析结果对待攻击安全设备进行告警评估。相较于现有技术中直接根据告警抑制策略对安全设备进行告警检测，但这种方式导致安全设备的告警评估不精准，而本发明中根据攻击成功用例和攻击规则对待攻击安全设备进行模块攻击，之后根据用例攻击结果对待攻击安全设备进行告警评估，从而提高安全设备告警评估的精准率，进而提高了用户体验。