一种威胁检测库的更新方法、装置、电子设备及存储介质与流程

本技术涉及网络安全，特别涉及一种威胁检测库的更新方法、装置、电子设备及存储介质。

背景技术：

1、入侵检测系统ids用于对网络数据报用指定的威胁检测库(包含病毒库、威胁特征库、自定义规则等)进行实时监视，在发现可疑威胁时发出警报或者采取主动反应措施。当前，由于网络威胁的层出不穷，入侵检测系统很难将所有互联网的威胁攻击全部精准的识别出来，在出现威胁误报、漏报的情况时，往往需要程序员通过debug版本，用各种调试工具(如gdb、kdb等)去定位威胁漏报的原因，准确率较低。

2、因此，如何准确识别入侵检测系统的误报事件或漏报事件，提高入侵检测系统的可靠性是本领域技术人员目前需要解决的技术问题。

技术实现思路

1、本技术的目的是提供一种威胁检测库的更新方法、装置、电子设备及存储介质，能够准确识别入侵检测系统的误报事件或漏报事件，提高入侵检测系统的可靠性。

2、为解决上述技术问题，本技术提供一种威胁检测库的更新方法，应用于入侵检测系统的离线分析子进程，包括：

3、根据接收到的配置信息确定待分析报文；

4、利用威胁检测库对所述待分析报文进行安全威胁分析，得到所述待分析报文的匹配路径；其中，所述匹配路径用于描述所述威胁检测库的规则命中情况；

5、根据所述匹配路径判断所述待分析报文是否被漏报和/或误报；

6、若是，则对所述威胁检测库中的规则进行更新。

7、可选的，根据接收到的配置信息确定待分析报文，包括：

8、若接收到的所述配置信息包括报文数据，则将所述报文数据设置为所述待分析报文；

9、若接收到的所述配置信息包括报文五元组，则根据所述报文五元组构造所述待分析报文。

10、可选的，利用威胁检测库对所述待分析报文进行安全威胁分析，得到所述待分析报文的匹配路径，包括：

11、通过解析所述配置信息得到分析模式；

12、利用威胁检测库对所述待分析报文进行所述分析模式对应的安全威胁分析，得到所述待分析报文的匹配路径。

13、可选的，利用威胁检测库对所述待分析报文进行所述分析模式对应的安全威胁分析，得到所述待分析报文的匹配路径，包括：

14、若所述分析模式为数据流分析模式，则利用所述威胁检测库对所述待分析报文中的每一条数据流进行安全威胁分析，得到所述待分析报文的数据流匹配路径；

15、其中，所述数据流匹配路径用于描述所述待分析报文中的每一条数据流与所述威胁检测库所有规则的子项的命中情况。

16、可选的，利用威胁检测库对所述待分析报文进行所述分析模式对应的安全威胁分析，得到所述待分析报文的匹配路径，包括：

17、若所述分析模式为数据包分析模式，则利用所述威胁检测库对所述待分析报文中的每一个数据包进行安全威胁分析，得到所述待分析报文的数据包匹配路径；

18、其中，所述数据包匹配路径用于描述所述待分析报文中的每一个数据包与所述威胁检测库所有规则的子项的命中情况。

19、可选的，在利用威胁检测库对所述待分析报文进行安全威胁分析之前，还包括：

20、通过解析所述配置信息确定目标规则，并根据所述目标规则从数据库中读取对应的所述威胁检测库。

21、可选的，在得到所述待分析报文的匹配路径之后，还包括；

22、若规则命中，则将命中的报文特征添加至对应的匹配路径；

23、若规则未命中，则打印规则未命中原因，并将所述规则未命中原因添加至对应的匹配路径；其中，所述规则未命中原因包括规则子项期望筛选的报文特征、以及所述待分析报文的实际报文特征。

24、可选的，在根据所述匹配路径判断所述待分析报文是否被漏报和/或误报之前，还包括：

25、根据所述规则未命中原因判断所述离线分析子进程是否出现bug；

26、若是，则根据所述规则未命中原因对应的匹配路径执行bug定位操作；

27、若否，则进入根据所述匹配路径判断所述待分析报文是否被漏报和/或误报的步骤。

28、可选的，所述待分析报文为经过所述入侵检测系统检测的报文。

29、可选的，根据所述匹配路径判断所述待分析报文是否被漏报和/或误报，包括：

30、查询所述待分析报文对应的预设规则匹配结果；

31、判断所述匹配路径是否符合所述预设规则匹配结果；

32、若是，则判定所述待分析报文被所述入侵检测系统正确检测；

33、若否，则判定所述待分析报文被所述入侵检测系统漏报和/或误报。

34、可选的，在根据接收到的配置信息确定待分析报文之前，还包括：

35、若接收到所述配置信息，则通过所述入侵检测系统的后台检测主进程以fork(复刻)函数的方式启动所述离线分析子进程。

36、可选的，在得到所述待分析报文的匹配路径之后，还包括：

37、将所述匹配路径显示至所述入侵检测系统的web页面。

38、本技术还提供了一种威胁检测库的更新装置，所述威胁检测库的更新装置运行有入侵检测系统的离线分析子进程，所述威胁检测库的更新装置包括：

39、报文确定模块，用于根据接收到的配置信息确定待分析报文；

40、规则匹配模块，用于利用威胁检测库对所述待分析报文进行安全威胁分析，得到所述待分析报文的匹配路径；其中，所述匹配路径用于描述所述威胁检测库的规则命中情况；

41、检测模块，用于根据所述匹配路径判断所述待分析报文是否被漏报和/或误报；

42、更新模块，用于若所述待分析报文被漏报和/或误报，则对所述威胁检测库中的规则进行更新。

43、本技术还提供了一种存储介质，其上存储有计算机程序，所述计算机程序执行时实现上述威胁检测库的更新方法执行的步骤。

44、本技术还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述威胁检测库的更新方法执行的步骤。

45、本技术提供了一种威胁检测库的更新方法，应用于入侵检测系统的离线分析子进程，包括：根据接收到的配置信息确定待分析报文；利用威胁检测库对所述待分析报文进行安全威胁分析，得到所述待分析报文的匹配路径；其中，所述匹配路径用于描述所述威胁检测库的规则命中情况；根据所述匹配路径判断所述待分析报文是否被漏报和/或误报；若是，则对所述威胁检测库中的规则进行更新。

46、本技术根据接收到的配置信息对待分析报文进行安全威胁分析，得到待分析报文的匹配路径。根据上述匹配路径可以确定威胁检测库中各条规则的命中情况，即规则命中情况，因此根据匹配路径可以判断待分析报文是否被漏报和/或误报，并在漏报和/或误报的情况下对威胁检测库中的规则进行更新。上述过程由入侵检测系统的离线分析子进程实现，可以对待分析报文与威胁检测库的规则匹配情况进行全路径展示，可以准确识别入侵检测系统的误报事件或漏报事件，进而基于误报事件或漏报事件对威胁检测库的规则进行更新，提高了入侵检测系统的可靠性。本技术同时还提供了一种威胁检测库的更新装置、一种存储介质和一种电子设备，具有上述有益效果，在此不再赘述。