CN109413021B - 一种ips误报的检测方法和装置 - Google Patents
一种ips误报的检测方法和装置 Download PDFInfo
- Publication number
- CN109413021B CN109413021B CN201810400505.5A CN201810400505A CN109413021B CN 109413021 B CN109413021 B CN 109413021B CN 201810400505 A CN201810400505 A CN 201810400505A CN 109413021 B CN109413021 B CN 109413021B
- Authority
- CN
- China
- Prior art keywords
- hit
- data packet
- ips
- feature
- processed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种IPS误报的检测方法和装置,其中,所述方法包括:在接收到预设周期内的各个数据包之后,获取各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,命中特征为IPS特征库中被非法数据包命中的攻击特征;根据命中特征配置特征过滤策略,特征过滤策略包括:预设特征命中阈值,预设特征命中阈值为在预设周期内任一命中特征允许被命中的最大次数;如果任一命中特征在所述预设周期内被命中的次数大于或等于预设特征命中阈值,确定IPS误报。采用前述方法或装置,能够及时对IPS误报进行检测,减少IPS误报对正常网络业务造成的影响,提高了IPS的防御效率。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种IPS误报的检测方法和装置。
背景技术
入侵防御系统(Intrusion Prevention System,IPS)通常包括IPS特征库。通过在网络中部署IPS,能够对经过IPS的数据包进行逐字节的检查,从而对网络攻击行为进行实时的检测,并结合丰富的控制手段针对网络攻击者的访问请求进行限制。例如,如果数据包中包含IPS特征库中的攻击特征,确认所述数据包命中所述IPS特征库,即所述数据包为非法数据包,并且确定在IPS特征库中,与所述非法数据包相匹配的特征为命中特征,以及确定非法数据包的发送端为网络攻击者。而后丢弃所述非法数据包,将被命中的攻击特征记载于IPS日志,并对后续来自网络攻击者的所有数据包进行拦截。IPS的防御效果依赖于IPS特征库的准确性,虽然IPS攻击特征库日趋准确和完善,但由于数据包庞杂多变,经过一段时间对IPS的部署,IPS特征库中的攻击特征的准确度相对降低,在对经过IPS的数据包进行检查时,会将正常的数据包当做非法数据包丢弃,即会有IPS误报的情况出现。
一旦出现IPS误报,IPS就会对并非来自网络攻击者,而是来自正常发送端的所有数据包进行拦截,往往会影响正常的网络业务。例如,在某企业部署的IPS中,触发IPS误报的数据包恰好是与客户进行会话的一部分,整个会话将会被IPS关闭。如果后续客户想要再次连接到该企业的网络,所有合法的网络访问请求都会被IPS拦截。因此,为了降低IPS误报对正常网络业务造成的影响,需要对IPS误报进行检测。
现有的IPS误报检测方法中,由于IPS将命中IPS特征库的攻击特征记载于IPS日志,管理员通过定期查看IPS日志,能够对是否出现了IPS误报进行判断。具体的,在IPS日志中,如果出现了短时间内某一条攻击特征被命中的次数过多的情况,则管理员确定出现了IPS误报。
但是,发明人在本申请的研究过程中发现,现有的IPS误报检测方法在时间上存在明显的滞后性。当管理员检测到发生IPS误报后,往往距离IPS误报发生的时间较长,而IPS误报已经对正常的网络业务产生了较大影响。
发明内容
本申请提供了一种IPS误报的检测方法,以解决现有的IPS误报的检测滞后性严重,导致IPS误报对正常的网络业务产生了较大影响这一问题。
第一方面,本申请实施例提供一种IPS误报的检测方法,所述方法包括:
在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征;
根据所述命中特征配置特征过滤策略,所述特征过滤策略包括:预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数;
如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报。
结合第一方面,在一种实现方式中,所述检测方法在根据所述命中特征配置特征过滤策略之前,还包括:
获取历史周期的历史IPS日志,所述历史IPS日志包括:历史命中特征和历史命中次数,所述历史命中次数为所述历史命中特征在所述历史周期内被命中的次数;
根据所述历史IPS日志,确定历史网络受攻击的变化情况;
根据所述历史网络受攻击的变化情况,调整所述预设特征命中阈值。
结合第一方面,在一种实现方式中,所述检测方法在确定匹配所述命中特征的数据包为非法数据包之后,还包括:
将目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置,所述目标数据包为引起IPS误报的非法数据包。
结合第一方面,在一种实现方式中,所述检测方法在将所述目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置之后,还包括:
提取所述目标数据包中的会话信息,所述会话信息包括五元组;
如果所述会话信息与所述目标特征对应的业务进程相符,确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征;
将所述存储装置中的所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器。
结合第一方面,在一种实现方式中,所述检测方法在确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征之后,还包括:
根据所述待处理数据包中的会话信息和所述待处理特征对应的业务进程,修改所述IPS特征库中的所述待处理特征,或修改所述IPS对所述待处理特征执行的操作。
第二方面,本申请实施例提供一种IPS误报的检测装置,所述装置包括:
第一确定模块,用于在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征;
配置模块,用于根据所述命中特征配置特征过滤策略,所述特征过滤策略包括:预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数;
第二确定模块,用于如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报。
结合第二方面,在一种实现方式中,所述装置还包括调整模块,所述调整模块包括:
获取单元,用于获取历史周期的历史IPS日志,所述历史IPS日志包括:历史命中特征和历史命中次数,所述历史命中次数为所述历史命中特征在所述历史周期内被命中的次数;
第一确定单元,用于根据所述历史IPS日志,确定历史网络受攻击的变化情况;
调整单元,用于根据所述历史网络受攻击的变化情况,调整所述预设特征命中阈值。
结合第二方面,在一种实现方式中,所述装置还包括传输模块,所述传输模块用于将目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置,所述目标数据包为引起IPS误报的非法数据包。
结合第二方面,在一种实现方式中,所述装置还包括第三确定模块,所述第三确定模块包括:
提取单元,用于提取所述目标数据包中的会话信息,所述会话信息包括五元组;
第二确定单元,用于如果所述会话信息与所述目标特征对应的业务进程相符,确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征;
传输单元,用于将所述存储装置中的所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器。
结合第二方面,在一种实现方式中,所述装置还包括修改模块,所述修改模块用于:根据所述待处理数据包中的会话信息和所述待处理特征对应的业务进程,修改所述IPS特征库中的所述待处理特征,或修改所述IPS对所述待处理特征执行的操作。
由以上技术方案可知,本申请实施例提供一种IPS误报的检测方法和装置。其中所述方法包括:在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征;根据所述命中特征配置特征过滤策略,所述特征过滤策略包括:预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数;如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报。
现有技术中,当检测到IPS误报后,往往距离IPS误报发生的时间较长,IPS误报已经对正常的网络业务产生了较大影响。而采用前述方法或装置,按照预设特征过滤策略,对命中IPS特征库的命中特征进行周期性的过滤,从而能够及时对IPS误报进行检测,通过将命中特征中产生误报的目标特征筛选出来,确定IPS误报,达到了及时对IPS误报进行检测的效果。通过及时对IPS误报进行检测,减少IPS误报对正常网络业务造成的影响,因此相对于现有技术,提高了IPS的防御效率。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例部分提供的一种IPS误报的检测方法的工作流程示意图;
图2是本申请实施例部分提供的一种IPS误报的检测方法中策略调整的工作流程示意图;
图3是本申请实施例部分提供的一种IPS误报的检测方法中确定待处理特征的工作流程示意图;
图4是本申请实施例部分提供的一种IPS误报的检测装置的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
本发明第一实施例公开一种IPS误报检测方法,本方法应用于IPS,IPS为部署在网络内的一种网络攻击入侵防御系统,所述IPS包括IPS特征库,能够对经过的数据包进行逐字节的检查,丢弃包含攻击特征的数据包,将被命中的攻击特征记载于IPS日志,并对后续来自网络攻击者的所有数据包进行拦截。
参照图1,是本申请实施例部分提供的一种IPS误报的检测方法的工作流程示意图,包括以下步骤:
步骤101,在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征。
本步骤中,所述预设周期由管理员根据检测准确度的需求进行设定,通常周期越长,准确度越小。其具体数值可以是一个月,也可以是一个星期、一天,在此不做限定。例如,接收一天内经过IPS的所有数据包,如果其中的某些数据包包含IPS特征库中的攻击特征,能够确定这些数据包命中IPS特征库,以及这些数据包为非法数据包。
步骤102,根据所述命中特征配置特征过滤策略,所述特征过滤策略包括:预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数。
本步骤中,通过配置所述预设特征命中阈值,能够确定在所述预设周期内任一所述命中特征允许被命中的最大次数,从而配置特征过滤策略,所述预设特征命中阈值为正整数。
步骤103,如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报。
本步骤中,通过将任一所述命中特征在所述预设周期内被命中的次数,与所述预设特征命中阈值作对比,能够判断IPS是否发生误报。例如,所述预设特征命中阈值为10,如果在所述预设周期一天内,某一命中特征被命中15次,那么能够确定IPS发生误报;如果在所述预设周期一天内,某一命中特征被命中8次,那么能够确定IPS没有发生误报。
本发明实施例部分通过步骤101至步骤103公开一种IPS误报的检测方法,该方法中,IPS在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征;然后根据所述命中特征配置特征过滤策略,所述特征过滤策略包括:预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数;如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报。
通过本发明实施例公开的一种IPS误报的检测方法,IPS在获取到一个周期内,各个非法数据包对应的命中特征后,能够根据特征过滤策略对命中特征进行过滤,如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报。因此,本发明实施例公开的方法,通过预设特征过滤策略,对命中IPS特征库的命中特征进行周期性的过滤,对IPS误报进行及时的检测,解决了现有的IPS误报的检测方法中在时间上存在明显的滞后性的问题,即在检测到发生了IPS误报后,距离IPS误报发生的时间较长的问题。
本发明第二实施例公开一种IPS误报检测方法中策略调整的方法,参照图2,是本申请实施例部分提供的一种IPS误报的检测方法中策略调整的工作流程示意图,在根据所述命中特征配置特征过滤策略之前,还包括以下步骤:
步骤201,获取历史周期的历史IPS日志,所述历史IPS日志包括:历史命中特征和历史命中次数,所述历史命中次数为所述历史命中特征在所述历史周期内被命中的次数。
本步骤中,由于IPS在丢弃包含攻击特征的数据包的同时,能够将命中特征记载于IPS日志上,同一条命中特征被记载于IPS日志上的次数即该命中特征的命中次数,通过获取历史周期内的历史IPS日志,能够以历史命中特征和历史命中次数为根据,合理调整IPS误报检测方法中的特征过滤策略,达到提升误报检测准确性的效果。
步骤202,根据所述历史IPS日志,确定历史网络受攻击的变化情况。
本步骤中,根据所述历史IPS日志,能够获取历史命中特征和历史命中次数的情况,如果历史周期中所述历史命中特征和历史命中次数发生了变化,能够确定历史网络受攻击情况发生了变化;如果历史周期中所述历史命中特征和历史命中次数未发生变化,能够确定历史网络受攻击情况未发生变化。
步骤203,根据所述历史网络受攻击的变化情况,调整所述预设特征命中阈值。
本步骤中,通过根据所述历史网络受攻击的变化情况,对所述预设特征命中阈值进行调整,能够提升IPS误报检测的准确性。例如,在相邻两个历史周期内,某一历史命中特征的历史命中次数增大,可以确定历史网络受攻击的情况变严重,那么根据所述两个历史周期内的历史命中特征和历史命中次数,增大预设特征命中阈值,放宽特征过滤策略,从而达到根据所述历史网络受攻击情况对所述特征过滤策略进行调整的效果。
本发明实施例部分通过步骤201至步骤203公开一种IPS误报的检测方法中策略调整的方法,首先获取历史周期的历史IPS日志,所述历史IPS日志包括:历史命中特征和历史命中次数,所述历史命中次数为所述历史命中特征在所述历史周期内被命中的次数;然后根据所述历史IPS日志,确定历史网络受攻击的变化情况;再根据所述历史网络受攻击的变化情况,调整所述预设特征命中阈值。
通过本发明实施例部分公开的一种IPS误报的检测方法中策略调整的方法,能够根据历史网络受攻击的变化情况,调整所述特征过滤策略中的预设特征命中阈值。因此,本发明实施例公开的方法,不仅解决了现有的IPS误报检测方法中在时间上具有滞后性的问题,进一步还能够达到提升误报准确性的效果。
此外,在确定匹配所述命中特征的数据包为非法数据包之后,还包括:
将目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置,所述目标数据包为引起IPS误报的非法数据包。
本步骤中,通过将目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置,能够在确认IPS误报后,根据存储装置内的目标数据包与目标特征,对误报进行处理。例如,在确认IPS误报后,管理员根据所述目标数据包,可以定位产生误报的原因,或根据所述目标特征对IPS特征库中的攻击特征进行调整。
而现有技术中,在定位产生IPS误报的原因时,需要预先通过IPS系统的端口镜像功能,将IPS系统接收到的数据包镜像至额外配置的外部服务器,在管理员检查到出现IPS误报后,管理员会通过查找外部服务器,确定其中存储的各个数据包中引起IPS误报的数据包,根据引起IPS误报的数据包确定误报原因,实现IPS误报的原因的定位。
也就是说,通过现有技术定位产生IPS误报的原因时,必须利用IPS系统的端口镜像功能,并且需要额外配置外部服务器。而本申请实施例的方案通过非法数据包即可确定目标数据包,进一步根据目标数据包确定产生IPS误报的原因。因此,与现有技术相比,本申请实施例的方案能够节约端口资源,以及节省成本。
本发明第三实施例公开一种IPS误报检测方法中确定待处理特征的方法,参照图3,是本申请实施例部分提供的一种IPS误报的检测方法中确定待处理特征的工作流程示意图,在将所述目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置之后,还包括以下步骤:
步骤301,提取所述目标数据包中的会话信息,所述会话信息包括五元组。
本步骤中,通过提取所述目标数据包中的会话信息,能够得到目标数据包的源IP地址、目标IP地址、源端口、目标端口和协议,从而确定所述目标数据包的来源与目的。
步骤302,如果所述会话信息与所述目标特征对应的业务进程相符,确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征。
本步骤中,通过所述目标数据包中的会话信息,即通过所述目标的来源与目的,与所述业务进程进行比较,如果所述会话信息与所述目标数据包对应的业务进程相符,确定待处理数据包与待处理特征。例如:如果某企业部署的IPS中,所述目标数据包的会话信息表明所述目标数据包的来源为某客户的IP地址,目的为进行网络文件上传,而目标特征为阻止网络文件上传,能够确认IPS关闭了与客户的正常会话。因此,能够进一步确定IPS误报,并定位产生IPS误报的原因。相比于现有技术,在确定IPS误报后,能够进一步提升检测IPS误报方法的准确性。
步骤303,将所述存储装置中的所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器。
本步骤中,可以通过告警邮件的方式,将所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器,目标服务器侧的管理员再根据待处理数据包与待处理特征进行处理。因此,管理员能够及时了解IPS误报的情况。
本发明实施例部分通过步骤301至步骤303公开一种IPS误报的检测方法中确定待处理特征的方法,首先提取所述目标数据包中的会话信息,所述会话信息包括五元组;如果所述会话信息与所述目标特征对应的业务进程相符,确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征;最后将所述存储装置中的所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器。
通过本发明实施例部分公开的一种IPS误报的检测方法中确定待处理特征的方法,能够根据目标数据包中的会话信息进一步确认发生IPS误报的情况,提升了检测IPS误报方法的准确性,并根据所述待处理数据包与所述待处理特征发出告警,使得管理员能够依据具体待处理数据包与待处理特征,进行下一步处理。
此外,在确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征之后,还包括:
根据所述待处理数据包中的会话信息和所述待处理特征对应的业务进程,修改所述IPS特征库中的所述待处理特征,或修改所述IPS对所述待处理特征执行的操作。
本步骤中,通过管理员修改所述IPS特征库中的所述待处理特征,或修改所述IPS对所述待处理特征执行的操作,能够避免再次因为所述待处理特征引起IPS误报。例如,管理员将所述IPS特征库中的所述待处理特征删除,或者,将所述IPS对所述待处理特征执行的操作修改为针对命中该特征的非法数据包进行告警,而非直接将该非法数据包丢弃。因此,通过本发明实施例部分公开的一种IPS误报的检测方法,能够在准确检测到IPS误报后,针对引起IPS误报的原因进行处理,避免再次因为该原因引起IPS误报,提升了IPS的防御效率。
本发明第四实施例公开一种IPS误报的检测装置,参照图4,是本申请实施例部分提供的一种IPS误报的检测装置的结构图示意图,包括以下模块:
第一确定模块401,用于在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征。
配置模块402,用于根据所述命中特征配置特征过滤策略,所述特征过滤策略包括:预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数。
第二确定模块403,用于如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报。
所述装置还包括调整模块,所述调整模块包括:
获取单元,用于获取历史周期的历史IPS日志,所述历史IPS日志包括:历史命中特征和历史命中次数,所述历史命中次数为所述历史命中特征在所述历史周期内被命中的次数。
第一确定单元,用于根据所述历史IPS日志,确定历史网络受攻击的变化情况。
调整单元,用于根据所述历史网络受攻击的变化情况,调整所述预设特征命中阈值。
所述装置还包括传输模块,所述传输模块用于将目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置,所述目标数据包为引起IPS误报的非法数据包。
所述装置还包括第三确定模块,所述第三确定模块900包括:
提取单元,用于提取所述目标数据包中的会话信息,所述会话信息包括五元组。
第二确定单元,用于如果所述会话信息与所述目标特征对应的业务进程相符,确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征。
传输单元,用于将所述存储装置中的所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器。
所述装置还包括修改模块,所述修改模块用于:根据所述待处理数据包中的会话信息和所述待处理特征对应的业务进程,修改所述IPS特征库中的所述待处理特征,或修改所述IPS对所述待处理特征执行的操作。
具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的一种IPS误报的检测方法和装置的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-onlymemory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。
Claims (6)
1.一种IPS误报的检测方法,其特征在于,包括:
在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征;
获取历史周期的历史IPS日志,所述历史IPS日志包括:历史命中特征和历史命中次数,所述历史命中次数为所述历史命中特征在所述历史周期内被记载于IPS日志上的次数;
根据所述历史IPS日志,确定历史网络受攻击的变化情况;
若在与所述预设周期相邻两个历史周期内,所述历史命中特征的历史命中次数增大,则增大预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数;
如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报;
将目标数据包以及与所述目标数据包相匹配的目标特征传输至存储装置,所述目标数据包为引起IPS误报的非法数据包。
2.根据权利要求1所述的方法,其特征在于,在将所述目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置之后,还包括:
提取所述目标数据包中的会话信息,所述会话信息包括五元组;
如果所述会话信息与所述目标特征对应的业务进程相符,确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征;
将所述存储装置中的所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器。
3.根据权利要求2所述的方法,其特征在于,在确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征之后,还包括:
根据所述待处理数据包中的会话信息和所述待处理特征对应的业务进程,修改所述IPS特征库中的所述待处理特征,或修改所述IPS对所述待处理特征执行的操作。
4.一种IPS误报的检测装置,其特征在于,包括:
第一确定模块,用于在接收到预设周期内的各个数据包之后,获取所述各个数据包对应的命中特征,并确定匹配所述命中特征的数据包为非法数据包,所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征;
获取单元,用于获取历史周期的历史IPS日志,所述历史IPS日志包括:历史命中特征和历史命中次数,所述历史命中次数为所述历史命中特征在所述历史周期内被命中的次数;
第一确定单元,用于根据所述历史IPS日志,确定历史网络受攻击的变化情况;
调整单元,用于若在相邻两个历史周期内,所述历史命中特征的历史命中次数增大,则增大预设特征命中阈值,所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数;
第二确定模块,用于如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值,确定IPS误报;
传输模块,用于将目标数据包,以及与所述目标数据包相匹配的目标特征传输至存储装置,所述目标数据包为引起IPS误报的非法数据包。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括第三确定模块,所述第三确定模块包括:
提取单元,用于提取所述目标数据包中的会话信息,所述会话信息包括五元组;
第二确定单元,用于如果所述会话信息与所述目标特征对应的业务进程相符,确定所述目标数据包为待处理数据包,并确定与所述目标数据包相匹配的目标特征为待处理特征;
传输单元,用于将所述存储装置中的所述待处理数据包,及与所述待处理数据包相匹配的待处理特征传输至目标服务器。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括修改模块,所述修改模块用于:根据所述待处理数据包中的会话信息和所述待处理特征对应的业务进程,修改所述IPS特征库中的所述待处理特征,或修改所述IPS对所述待处理特征执行的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810400505.5A CN109413021B (zh) | 2018-04-28 | 2018-04-28 | 一种ips误报的检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810400505.5A CN109413021B (zh) | 2018-04-28 | 2018-04-28 | 一种ips误报的检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109413021A CN109413021A (zh) | 2019-03-01 |
| CN109413021B true CN109413021B (zh) | 2021-04-09 |
Family
ID=65464116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810400505.5A Active CN109413021B (zh) | 2018-04-28 | 2018-04-28 | 一种ips误报的检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413021B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110730165A (zh) * | 2019-09-25 | 2020-01-24 | 山石网科通信技术股份有限公司 | 数据处理方法及装置 |
| CN115174251B (zh) * | 2022-07-19 | 2023-09-05 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7308714B2 (en) * | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
| CN101399658A (zh) * | 2007-09-24 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种安全日志分析方法及系统 |
| CN106572083A (zh) * | 2016-10-18 | 2017-04-19 | 汉柏科技有限公司 | 一种日志处理方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100738537B1 (ko) * | 2005-12-27 | 2007-07-11 | 삼성전자주식회사 | 네트워크 침입 탐지 시스템 및 그 탐지 방법 |
| CN101355463B (zh) * | 2008-08-27 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
| CN103581180B (zh) * | 2013-10-28 | 2017-01-11 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| CN104601556B (zh) * | 2014-12-30 | 2017-12-26 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
-
2018
- 2018-04-28 CN CN201810400505.5A patent/CN109413021B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7308714B2 (en) * | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
| CN101399658A (zh) * | 2007-09-24 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种安全日志分析方法及系统 |
| CN106572083A (zh) * | 2016-10-18 | 2017-04-19 | 汉柏科技有限公司 | 一种日志处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109413021A (zh) | 2019-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11316878B2 (en) | System and method for malware detection | |
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| Yung | Detecting long connection chains of interactive terminal sessions | |
| US10110627B2 (en) | Adaptive self-optimzing DDoS mitigation | |
| US8578493B1 (en) | Botnet beacon detection | |
| CN109756512B (zh) | 一种流量应用识别方法、装置、设备及存储介质 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| US10834125B2 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
| US10218725B2 (en) | Device and method for detecting command and control channel | |
| US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
| WO2015078388A1 (zh) | 针对拒绝服务攻击的处理方法及装置 | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| US20150026806A1 (en) | Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack | |
| CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
| US10142360B2 (en) | System and method for iteratively updating network attack mitigation countermeasures | |
| CN109413021B (zh) | 一种ips误报的检测方法和装置 | |
| CN110113290B (zh) | 网络攻击的检测方法、装置、主机及存储介质 | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| KR101918441B1 (ko) | 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템 | |
| US11444973B2 (en) | Detecting over-mitigation of network traffic by a network security element | |
| US10721148B2 (en) | System and method for botnet identification | |
| CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
| CN111835719A (zh) | 基于多终端检验的计算机网络防火墙系统及其工作方法 | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |