【技术实现步骤摘要】
一种降低IDPS误报率的方法
[0001]本申请涉及信息安全
,具体涉及一种降低入侵检测与防御系统误报率的方法。
技术介绍
[0002]IDPS(Intrusion Detection and Prevention Service)(入侵检测与防御系统)包括IDS(入侵检测系统)和IPS(入侵防御系统),其中,IDS是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性的系统,IDS一般部署方式为旁路模式(并行模式),通过端口镜像方式复制数据至IDS,由IDS对数据包进行侦听检测。IDS主要具备观察监控,发出告警的效用,网络管理人员能够通过IDS的警告信息对网络安全情况进行处理,有利于进行安全统计和事后追踪,对于追溯和阻止拒绝服务攻击能够提供有价值的线索。IPS位于防火墙和网络的设备之间,能够对入网的数据包进行检测,确定数据包的真正用途,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IP...
【技术保护点】
【技术特征摘要】
1.一种降低IDPS误报率的方法,其特征在于,包括以下步骤:S1,设置与攻击检测规则对应的告警过滤规则,所述告警过滤规则能够根据过滤条件对触发所述攻击检测规则的误告警进行过滤;所述告警过滤规则包括过滤插桩关键字,所述过滤插桩关键字用于在流管理句柄上设置过滤插桩,所述过滤插桩记录有过滤插桩的过滤对象和过滤插桩的生命周期;其中,所述过滤插桩的过滤对象为对应的攻击检测规则,所述过滤插桩的生命周期为所述攻击检测规则的检测内容的数据单位;S2,当数据流匹配到告警过滤规则时,转入步骤S3;当数据流未匹配到告警过滤规则时,转入步骤S4;S3,根据过滤插桩关键字,在该数据流的流管理句柄上设置过滤插桩,在所述过滤插桩中记录所述过滤插桩的过滤对象以及所述过滤插桩的生命周期,对所述过滤插桩的生命周期进行监控,销毁不在生命周期内的过滤插桩;将该数据流与该攻击检测规则进行匹配,当匹配成功时,转入步骤S31,当匹配失败时,判断为非攻击行为,触发攻击检测规则产生的警告被过滤;S4,将该数据流与该攻击检测规则进行匹配;当匹配成功时,判断为攻击行为,触发攻击检测规则产生的警告被上报;当匹配失败时,判断为非攻击行为,触发攻击检测规则产生的警告被过滤;S31,当流管理句柄上存在匹配该攻击检测规则的过滤插桩时,判断为非攻击行为,该攻击检测规则产生的警告被过滤;当流管理句柄上不存在匹配该攻击检测规则的过滤插桩时,判断为攻击行为,该攻击检测规则产生的警告被上报。2.如权利要求1所述的降低IDPS误报率的方法,其特征在于,在步骤S1中,所述数据流为TCP/UDP网络流量数据,所述流管理句柄指检测引擎对TCP三次握手到四次挥手之间或UDP双方互发信息到断开之间进行资源管理的句柄。3.如权利要求1所述的降低IDPS误报率的方法,其特征在于,所述攻击检测规则和所述告警过滤规则为一套配置文件,进行IDPS的流量安全检测时,流管理句柄对所述配置文件进行读取。4.如权利要求1所述的降低IDPS误报率的方法,其特征在于,所述过滤插桩的生命周期包括单包、会话和整流...
【专利技术属性】
技术研发人员:罗淦,刘流,邓曌,夏勇,
申请(专利权)人:北京网御星云信息技术有限公司启明星辰信息技术集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。