[发明专利]安全策略评价方法及装置、计算机可读介质和电子设备

权利要求书

1.一种安全策略评价方法，其特征在于，包括：

将历史原始日志作为样本数据，对所述样本数据进行分类处理；

根据分类处理的结果确定各所述样本数据的样本表名；

确定安全策略的一组或多组输入配置参数，所述配置参数包括所述安全策略的数据输入点与样本表名的映射关系，所述安全策略用于检测网络攻击；

根据所述一组或多组输入配置参数确定待输入所述数据输入点的目标样本数据的样本表名，并基于所述目标样本数据的样本表名获取所述目标样本数据，并将所述目标样本数据输入对应的数据输入点；

利用所述安全策略对由所述数据输入点输入的所述目标样本数据进行处理，以输出告警数据；

将所述告警数据与预配置输出集合进行比对，并基于比对结果对所述安全策略进行评价。

2.根据权利要求1所述的安全策略评价方法，其特征在于，利用所述安全策略对由所述数据输入点输入的所述目标样本数据进行处理，以输出告警数据包括：

如果所述安全策略的所有数据输入点中存在未输入有所述目标样本数据的数据输入点，则向所述未输入有所述目标样本数据的数据输入点输入用户日志数据；

利用所述安全策略对输入的所述目标样本数据和所述用户日志数据进行处理，以输出所述告警数据。

3.根据权利要求1所述的安全策略评价方法，其特征在于，所述安全策略评价方法还包括：

将所述样本数据存储于样本库中；

其中，响应针对不同安全策略的评价过程，均从所述样本库中获取对应的样本数据。

4.根据权利要求1所述的安全策略评价方法，其特征在于，将所述告警数据与预配置输出集合进行比对包括：

确定与所述告警数据对应的攻击行为标识；

将与所述告警数据对应的攻击行为标识与所述预配置输出集合中的攻击行为标识进行比对。

5.根据权利要求1或4所述的安全策略评价方法，其特征在于，基于比对结果对所述安全策略进行评价包括：

基于比对结果确定所述安全策略的覆盖率和误报率；

利用所述覆盖率和误报率对所述安全策略进行评价。

6.一种安全策略评价装置，其特征在于，包括：

样本分类模块，用于将历史原始日志作为样本数据，对所述样本数据进行分类处理；根据分类处理的结果确定各所述样本数据的样本表名；

样本输入模块，用于确定安全策略的一组或多组输入配置参数，所述配置参数包括所述安全策略的数据输入点与样本表名的映射关系，所述安全策略用于检测网络攻击；根据所述一组或多组输入配置参数确定待输入所述数据输入点的目标样本数据的样本表名，并基于所述目标样本数据的样本表名获取所述目标样本数据，并将所述目标样本数据输入对应的数据输入点；

告警输出模块，用于利用所述安全策略对由所述数据输入点输入的所述目标样本数据进行处理，以输出告警数据；

策略评价模块，用于将所述告警数据与预配置输出集合进行比对，并基于比对结果对所述安全策略进行评价。

7.根据权利要求6所述的安全策略评价装置，其特征在于，所述告警输出模块，用于如果所述安全策略的所有数据输入点中存在未输入有所述目标样本数据的数据输入点，则向所述未输入有所述目标样本数据的数据输入点输入用户日志数据；利用所述安全策略对输入的所述目标样本数据和所述用户日志数据进行处理，以输出所述告警数据。

8.根据权利要求6所述的安全策略评价装置，其特征在于，所述安全策略评价装置还包括：样本存储模块，用于将所述样本数据存储于样本库中；其中，响应针对不同安全策略的评价过程，均从所述样本库中获取对应的样本数据。

9.根据权利要求6所述的安全策略评价装置，其特征在于，所述策略评价模块包括：

攻击比对单元，用于确定与所述告警数据对应的攻击行为标识；将与所述告警数据对应的攻击行为标识与所述预配置输出集合中的攻击行为标识进行比对。