用于入侵检测系统的入侵过滤器技术方案

本发明专利技术的实施例涉及一种用于检测防御系统(detection prevention system，DPS)和入侵检测防御系统(intrusion detection prevention system，IDPS)的入侵过滤器(100)。本发明专利技术的实施例还涉及一种包括这种入侵过滤器的检测子系统(300)以及收集和调查系统(400)。所述入侵过滤器过滤异常指示，使得丢弃识别为误报异常指示的异常指示。否则，所述异常指示被提供给收集和调查系统(400)以进行进一步处理。因此，例如，减少所述系统上的计算负载。此外，本发明专利技术的实施例还涉及对应的方法和计算机程序。计算机程序。计算机程序。

【技术实现步骤摘要】
【国外来华专利技术】用于入侵检测系统的入侵过滤器


[0001]本专利技术的实施例涉及用于入侵检测系统的入侵过滤器，并且涉及包括这种入侵过滤器的检测子系统以及收集和调查系统。此外，本专利技术的实施例还涉及对应的方法和计算机程序。

技术介绍

[0002]入侵防御系统(intrusion prevention system，IPS)以及入侵检测和防御系统(intrusion detection and prevention system，IDPS)是用于检测连接到互联网的车辆上的网络攻击的网络安全系统。DPS和IDPS通常在车辆中的嵌入式设备中运行。例如，车辆为汽车、公共汽车和卡车。
[0003]在传统方案中，IPS和IDPS使用基于规则的算法，但目前的趋势是使用基于人工智能(artificial intelligence，AI)的算法进行异常检测。基于AI的检测是在网络流量看起来不正常或与算法先前学到的网络流量不同时用于检测异常。基于AI的异常检测的缺点之一是误报与漏报的程度，这是调整基于AI的异常检测算法时的优化参数。误报是一种假警报，表示AI算法将正常的网本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于入侵检测系统(500)的入侵过滤器(100)，其特征在于，所述入侵过滤器(100)用于从异常检测设备(110)获得异常指示(I
n
)，其中，所述异常指示(I
n
)指示所述异常检测设备(110)检测到的事件；在识别所述异常指示(I
n
)是误报异常指示时，丢弃所述异常指示(I
n
)，否则向收集和调查系统(400)提供所述异常指示(I
n
)。2.根据权利要求1所述的入侵过滤器(100)，其特征在于，所述入侵过滤器用于使用识别算法识别所述异常指示(I
n
)是误报异常指示。3.根据权利要求2所述的入侵过滤器(100)，其特征在于，所述入侵过滤器用于获得与所述异常指示(I
n
)相关联的元数据；使用所述识别算法和所述元数据识别所述异常指示(I
n
)是误报异常指示。4.根据权利要求2或3所述的入侵过滤器(100)，其特征在于，所述入侵过滤器用于从收集和调查设备(400)获得第一反馈消息(F
n
)，其中所述第一反馈消息(F
n
)指示所述异常指示(I
n
)是误报异常指示；更新所述识别算法以识别所述异常指示(I
n
)是误报异常指示。5.根据权利要求4所述的入侵过滤器(100)，其特征在于，所述第一反馈消息(F
n
)包括部分或完整的识别算法；并且用于基于所述第一反馈消息(F
n
)更新或替换所述识别算法。6.根据前述权利要求中任一项所述的入侵过滤器(100)，其特征在于，所述入侵过滤器(100)是人工智能入侵过滤器和/或基于规则的入侵过滤器。7.一种用于入侵检测系统(500)的检测子系统(300)，其特征在于，所述检测子系统(300)包括根据权利要求1至6中任一项所述的入侵过滤器(100)，异常检测设备(110)，用于：从一个或多个网络传感器(120a、120b
……
120n)获得网络传感器输出；在识别所述网络传感器输出包括事件时，向所述入侵过滤器(100)提供指示事件的异常指示(I
n
)。8.根据权利要求7所述的检测子系统(300)，其特征在于，所述异常检测设备(110)用于使用事件检测算法识别所述网络传感器输出包括事件。9.根据权利要求8所述的检测子系统(300)，其特征在于，所述异常检测设备(110)还用于从收集和调查系统(400)获得第二反馈消息(F
n
')，其中，所述第二反馈消息(F
n
')指示所述网络传感器输出不包括事件；更新所述事件检测算法以识别所述网络传感器输出不包括所述事件。10.根据权利要求9所述的检测子系统(300)，其特征在于，所述第二反馈消息(F
n
')包括部分或完整的事件检测算法；并且用于基于所述第二反馈消息(F
n
')更新或替换所述...

【专利技术属性】
技术研发人员：卡斯滕，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：