一种降低IDPS误报率的方法技术

本申请提供一种降低IDPS误报率的方法，包括以下步骤：设置与攻击检测规则对应的告警过滤规则，所述告警过滤规则包括过滤插桩关键字，所述过滤插桩关键字用于在流管理句柄上设置过滤插桩，所述过滤插桩记录有过滤插桩的过滤对象和过滤插桩的生命周期；当数据流匹配到告警过滤规则时，在该数据流的流管理句柄上设置过滤插桩，在所述过滤插桩中记录告警过滤规则对应的攻击检测规则以及所述过滤插桩的生命周期，对所述过滤插桩的生命周期进行监控，销毁不在生命周期内的过滤插桩；将该数据流与该攻击检测规则进行匹配，若匹配成功，存在过滤插桩时，判断为非攻击行为；当不存在过滤插桩时，判断为攻击行为。本申请有效降低了误报率，提升了灵活性。提升了灵活性。提升了灵活性。

【技术实现步骤摘要】
一种降低IDPS误报率的方法


[0001]本申请涉及信息安全
，具体涉及一种降低入侵检测与防御系统误报率的方法。

技术介绍

[0002]IDPS(Intrusion Detection and Prevention Service)(入侵检测与防御系统)包括IDS(入侵检测系统)和IPS(入侵防御系统)，其中，IDS是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性的系统，IDS一般部署方式为旁路模式(并行模式)，通过端口镜像方式复制数据至IDS，由IDS对数据包进行侦听检测。IDS主要具备观察监控，发出告警的效用，网络管理人员能够通过IDS的警告信息对网络安全情况进行处理，有利于进行安全统计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。IPS位于防火墙和网络的设备之间，能够对入网的数据包进行检测，确定数据包的真正用途，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IPS直接嵌入到网络流量中，预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS中被清除掉。
[0003]基于IDS和IPS的工作原理可以看出，对攻击判定告警的误报率是衡量IDPS检测能力的关键指标，如果产生大量误报告警，则会大大损害IDS和IPS的工作效率，因此误报率控制一直是IDPS的重要研究方向。传统的误报率控制方法主要基于攻击行为对应网络报文的内容，通过优化攻击检测规则，使之能够提高对攻击行为判断的精准度，来实现精准检测，达到降低误报率的目的，而这种方法受限于规则定义语言(如snort规则、suricata规则等)的刻画能力。然而，随着各种逃逸检测方法的出现，单纯依靠精准定义攻击检测规则的方式已经很难适应精准检测的需求，因此各种误报率控制方法应运而生。其中，例如suricata提供了一种基于IP和端口实现告警事件过滤的方法，但这种方法的过滤条件只支持IP和端口，不支持其他指定条件，可操作范围较低；另外，在申请号为CN201710968803.X的专利文件中，提出了一种通过对告警后的IP进行分析从而控制误报的方法，是对告警的数据进行人工或者自动的分析，来判断哪些IP是误报，但这种过滤方法也只支持对指定IP的过滤，不支持其他指定条件，上述现有技术中对误报率进行控制的方法是在攻击检测规则以外再定义一套过滤规则，受限于过滤规则的公共属性，无法通过一些攻击检测规则定义中的特殊关键字进行过滤调整，使得应用范围狭窄，灵活性低，可操作性不够全面；另外，在申请号为CN202111513344.9的专利文件中，提出了一种在攻击告警产生后反向优化裁剪检测规则的方法，公开了在告警之后反向裁剪优化规则的方法，对攻击方式进行规则定义后，在反向再对规则进行修改，但这种方法依赖对原始模型的修改，要对原始模型进行修改后再重新下发，操作较为复杂，也会影响系统的稳定性。

技术实现思路

[0004]为解决上述问题，本申请针对上述现有技术中的问题，提供了一种降低IDPS误报率的方法，包括以下步骤：
[0005]S1，设置与攻击检测规则对应的告警过滤规则，所述告警过滤规则能够根据过滤条件对触发所述攻击检测规则的误告警进行过滤；所述告警过滤规则包括过滤插桩关键字，所述过滤插桩关键字用于在流管理句柄上设置过滤插桩，所述过滤插桩记录有过滤插桩的过滤对象和过滤插桩的生命周期；其中，所述过滤插桩的过滤对象为对应的攻击检测规则，所述过滤插桩的生命周期为所述攻击检测规则的检测内容的数据单位；
[0006]S2，当数据流匹配到告警过滤规则时，转入步骤S3；
[0007]当数据流未匹配到告警过滤规则时，转入步骤S4；
[0008]S3，根据过滤插桩关键字，在该数据流的流管理句柄上设置过滤插桩，在所述过滤插桩中记录所述过滤插桩的过滤对象以及所述过滤插桩的生命周期，对所述过滤插桩的生命周期进行监控，销毁不在生命周期内的过滤插桩；
[0009]将该数据流与该攻击检测规则进行匹配，当匹配成功时，转入步骤S31，
[0010]当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；
[0011]S4，将该数据流与该攻击检测规则进行匹配；
[0012]当匹配成功时，判断为攻击行为，触发攻击检测规则产生的警告被上报；
[0013]当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；
[0014]S31,当流管理句柄上存在匹配该攻击检测规则的过滤插桩时，判断为非攻击行为，该攻击检测规则产生的警告被过滤；
[0015]当流管理句柄上不存在匹配该攻击检测规则的过滤插桩时，判断为攻击行为，该攻击检测规则产生的警告被上报。
[0016]其中，在步骤S1中，所述数据流为TCP/UDP网络流量数据，所述流管理句柄指检测引擎对TCP三次握手到四次挥手之间或UDP双方互发信息到断开之间进行资源管理的句柄。
[0017]其中，所述攻击检测规则和所述告警过滤规则为一套配置文件，进行IDPS的流量安全检测时，流管理句柄对所述配置文件进行读取。
[0018]其中，所述过滤插桩的生命周期包括单包、会话和整流；当过滤插桩的生命周期为单包时，代表对单个流量包数据帧进行过滤；过滤插桩的生命周期为会话时，代表对应用层的会话中的请求报文和对应的响应报文的过滤；当过滤插桩的生命周期为整流时，代表对整个数据流产生的告警进行过滤。
[0019]其中，所述告警过滤规则的设置方法是在入侵检测引擎suricata上新增过滤插桩关键字eventfilter。
[0020]其中，过滤插桩关键字eventfilter的语法设置为：
[0021]eventfilter:type[packet|tx|flow],gen_id<value>,sig_id<value>,tenant_id<value>；
[0022]其中，type选项用于指示过滤插桩的生命周期，其中，packet表示过滤插桩的生命周期为单包，tx表示过滤插桩的生命周期为会话，flow表示过滤插桩的生命周期为整流；gen_id、sig_id、tenant代表过滤插桩需要记录的攻击检测规则的分组ID、攻击检测规则的ID和攻击检测规则的租户ID。
[0023]其中，设置告警过滤规则的优先级高于攻击检测规则的优先级。
[0024]其中，在过滤插桩的生命周期为会话，告警过滤规则的过滤条件在响应报文，而攻击检测规则的告警条件定义在请求报文中时，设置告警过滤规则的优先级高于攻击检测规则的优先级的方法为：在引擎中设置提前本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种降低IDPS误报率的方法，其特征在于，包括以下步骤：S1，设置与攻击检测规则对应的告警过滤规则，所述告警过滤规则能够根据过滤条件对触发所述攻击检测规则的误告警进行过滤；所述告警过滤规则包括过滤插桩关键字，所述过滤插桩关键字用于在流管理句柄上设置过滤插桩，所述过滤插桩记录有过滤插桩的过滤对象和过滤插桩的生命周期；其中，所述过滤插桩的过滤对象为对应的攻击检测规则，所述过滤插桩的生命周期为所述攻击检测规则的检测内容的数据单位；S2，当数据流匹配到告警过滤规则时，转入步骤S3；当数据流未匹配到告警过滤规则时，转入步骤S4；S3，根据过滤插桩关键字，在该数据流的流管理句柄上设置过滤插桩，在所述过滤插桩中记录所述过滤插桩的过滤对象以及所述过滤插桩的生命周期，对所述过滤插桩的生命周期进行监控，销毁不在生命周期内的过滤插桩；将该数据流与该攻击检测规则进行匹配，当匹配成功时，转入步骤S31，当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；S4，将该数据流与该攻击检测规则进行匹配；当匹配成功时，判断为攻击行为，触发攻击检测规则产生的警告被上报；当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；S31,当流管理句柄上存在匹配该攻击检测规则的过滤插桩时，判断为非攻击行为，该攻击检测规则产生的警告被过滤；当流管理句柄上不存在匹配该攻击检测规则的过滤插桩时，判断为攻击行为，该攻击检测规则产生的警告被上报。2.如权利要求1所述的降低IDPS误报率的方法，其特征在于，在步骤S1中，所述数据流为TCP/UDP网络流量数据，所述流管理句柄指检测引擎对TCP三次握手到四次挥手之间或UDP双方互发信息到断开之间进行资源管理的句柄。3.如权利要求1所述的降低IDPS误报率的方法，其特征在于，所述攻击检测规则和所述告警过滤规则为一套配置文件，进行IDPS的流量安全检测时，流管理句柄对所述配置文件进行读取。4.如权利要求1所述的降低IDPS误报率的方法，其特征在于，所述过滤插桩的生命周期包括单包、会话和整流...

【专利技术属性】
技术研发人员：罗淦，刘流，邓曌，夏勇，
申请(专利权)人：北京网御星云信息技术有限公司启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：