[发明专利]一种威胁检测库的更新方法、装置、电子设备及存储介质

说明书

本申请公开了一种威胁检测库的更新方法、装置、电子设备及存储介质，所属的技术领域为网络安全技术领域。所述威胁检测库的更新方法应用于入侵检测系统的离线分析子进程，包括：根据接收到的配置信息确定待分析报文；利用威胁检测库对所述待分析报文进行安全威胁分析，得到所述待分析报文的匹配路径；根据所述匹配路径判断所述待分析报文是否被漏报和/或误报；若是，则对所述威胁检测库中的规则进行更新。本申请能够准确识别入侵检测系统的误报事件或漏报事件，提高入侵检测系统的可靠性。

技术领域

本申请涉及网络安全技术领域，特别涉及一种威胁检测库的更新方法、装置、电子设备及存储介质。

背景技术

入侵检测系统IDS用于对网络数据报用指定的威胁检测库(包含病毒库、威胁特征库、自定义规则等)进行实时监视，在发现可疑威胁时发出警报或者采取主动反应措施。当前，由于网络威胁的层出不穷，入侵检测系统很难将所有互联网的威胁攻击全部精准的识别出来，在出现威胁误报、漏报的情况时，往往需要程序员通过debug版本，用各种调试工具(如gdb、kdb等)去定位威胁漏报的原因，准确率较低。

因此，如何准确识别入侵检测系统的误报事件或漏报事件，提高入侵检测系统的可靠性是本领域技术人员目前需要解决的技术问题。

发明内容

本申请的目的是提供一种威胁检测库的更新方法、装置、电子设备及存储介质，能够准确识别入侵检测系统的误报事件或漏报事件，提高入侵检测系统的可靠性。

为解决上述技术问题，本申请提供一种威胁检测库的更新方法，应用于入侵检测系统的离线分析子进程，包括：

根据接收到的配置信息确定待分析报文；

利用威胁检测库对所述待分析报文进行安全威胁分析，得到所述待分析报文的匹配路径；其中，所述匹配路径用于描述所述威胁检测库的规则命中情况；

根据所述匹配路径判断所述待分析报文是否被漏报和/或误报；

若是，则对所述威胁检测库中的规则进行更新。

可选的，根据接收到的配置信息确定待分析报文，包括：

若接收到的所述配置信息包括报文数据，则将所述报文数据设置为所述待分析报文；

若接收到的所述配置信息包括报文五元组，则根据所述报文五元组构造所述待分析报文。

可选的，利用威胁检测库对所述待分析报文进行安全威胁分析，得到所述待分析报文的匹配路径，包括：

通过解析所述配置信息得到分析模式；

利用威胁检测库对所述待分析报文进行所述分析模式对应的安全威胁分析，得到所述待分析报文的匹配路径。

可选的，利用威胁检测库对所述待分析报文进行所述分析模式对应的安全威胁分析，得到所述待分析报文的匹配路径，包括：

若所述分析模式为数据流分析模式，则利用所述威胁检测库对所述待分析报文中的每一条数据流进行安全威胁分析，得到所述待分析报文的数据流匹配路径；

其中，所述数据流匹配路径用于描述所述待分析报文中的每一条数据流与所述威胁检测库所有规则的子项的命中情况。

可选的，利用威胁检测库对所述待分析报文进行所述分析模式对应的安全威胁分析，得到所述待分析报文的匹配路径，包括：

若所述分析模式为数据包分析模式，则利用所述威胁检测库对所述待分析报文中的每一个数据包进行安全威胁分析，得到所述待分析报文的数据包匹配路径；

其中，所述数据包匹配路径用于描述所述待分析报文中的每一个数据包与所述威胁检测库所有规则的子项的命中情况。