CN115664869B - 入侵防御系统误识别处理方法、设备以及存储介质 - Google Patents
入侵防御系统误识别处理方法、设备以及存储介质 Download PDFInfo
- Publication number
- CN115664869B CN115664869B CN202211689126.5A CN202211689126A CN115664869B CN 115664869 B CN115664869 B CN 115664869B CN 202211689126 A CN202211689126 A CN 202211689126A CN 115664869 B CN115664869 B CN 115664869B
- Authority
- CN
- China
- Prior art keywords
- message
- network
- feature
- network message
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请公开了一种入侵防御系统误识别处理方法、设备以及存储介质,该方法包括:获取网络报文流量;结合预设的特征库对网络报文流量进行报文特征匹配;记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。本申请方案能够迅速感知到可能存在的IPS误报事件,使管理员能及时发现,并作出相应处理,保证正常业务不收到影响;此外可以将可能误报的报文流量提取出来,供后续进行分析,解决了多数厂商无法有效针对IPS误报进行特征分析的问题,对后续降低IPS误报率有很大作用;而且本方案无需通过镜像引流方式进行报文取证,无需占用端口资源。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种入侵防御系统误识别处理方法、设备以及存储介质。
背景技术
随着计算机技术的发展和网络的普及,网络攻击日益增多,入侵防御系统(IPS)也越来越多的被用于网络入侵防护。IPS可以有效的针对各类攻击进行实时检测和防护,并通过丰富的访问控制手段来对攻击行为进行限制,对用户进行深度的定制防护。
IPS防御网络攻击依赖于识别攻击特征的准确性,高质量的攻击特征库可以有效降低漏报和误报率,避免影响正常的通讯业务。目前攻击特征库日趋准确和完善,但由于网络报文十分庞杂多变,加之各厂商的IPS特征库质量不一,难免会有误识别情况出现。
频繁的误识别会严重影响用户体验、降低用户信心。目前,对于误识别的处理,大部分厂商还停留在日志收集阶段,即在用户发现误识别情况后,知会设备厂商进行查看,设备厂商根据误报日志进行分析修改特征。少部分厂商进行了误识别报文的取证工作,典型的方案是通过端口镜像功能,将识别到的所有流量都镜像到一台外部电脑上进行保存,待出现问题后再进行查找。
现有的对于误识别的处理方式,往往存在延误和困难。一方面在于误识别的时效性很强,可能在短时间内出现大量误报,用户往往不能及时发现和处理,例如,误识别情况的发现往往是在业务中断或者管理员登陆到IPS设备上发现大量日志,才感知到误识别情况发生,此时很可能影响了正常业务较长时间;另一方面,在误识别出现后,多数厂商无法获取当时触发误识别的报文流量,从而无解决依据,仅根据相关日志信息,设备厂商一般无法定位到具体原因,只能关闭引起误报的特征,导致问题不能从根本解决。此外,少数厂商镜像流量的方案需要额外连接设备,占用了设备宝贵的端口资源。
发明内容
本申请的主要目的在于提供一种入侵防御系统误识别处理方法、设备以及存储介质,旨在无需占用设备的端口资源,即可及时发现IPS误识别情况,降低IPS误识别对系统业务的影响。
为实现上述目的,本申请提供一种入侵防御系统误识别处理方法,所述方法包括:
获取网络报文流量;
结合预设的特征库对所述网络报文流量进行报文特征匹配;
记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;
若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。
可选地,所述若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应的步骤包括:
统计预设时间周期内命中单个报文特征的网络报文的数量;
若所述预设时间周期内命中单个报文特征的网络报文的数量达到预设阈值,则触发策略响应。
可选地,所述触发策略响应的步骤包括:
抓取所述预设时间周期内命中单个报文特征的网络报文,并通知对应的相关人员。
可选地,所述通知对应的相关人员的步骤包括:
将抓取的网络报文作为附件发送告警邮件给对应的管理人员,由所述管理人员根据当时的业务情况,判断是否产生了误识别事件,并进行特征库动作调整。
可选地,所述通知对应的相关人员的步骤包括:
将抓取的网络报文发送给对应的开发人员,由所述开发人员根据抓取的网络报文进行定位分析。
可选地,所述若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应的步骤之前还包括:
根据历史情况配置所述时间周期和阈值。
可选地,所述结合预设的特征库对所述网络报文流量进行报文特征匹配的步骤之后,还包括:
若所述报文特征匹配成功,则对命中所述报文特征的网络报文执行预定义的操作。
本申请实施例还提出一种入侵防御系统误识别处理装置,所述装置包括:
获取模块,用于获取网络报文流量;
匹配模块,用于结合预设的特征库对所述网络报文流量进行报文特征匹配;
记录模块,用于记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;
响应模块,用于若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。
本申请实施例还提出一种处理设备,所述处理设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的入侵防御系统误识别处理程序,所述入侵防御系统误识别处理程序被所述处理器执行时实现如上所述的入侵防御系统误识别处理方法。
本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有入侵防御系统误识别处理程序,所述入侵防御系统误识别处理程序被处理器执行时实现如上所述的入侵防御系统误识别处理方法。
本申请实施例提出的入侵防御系统误识别处理方法、设备以及存储介质,通过获取网络报文流量;结合预设的特征库对所述网络报文流量进行报文特征匹配;记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。由此,通过预设的策略过滤机制,能够迅速感知到可能存在的IPS误报事件,使管理员能及时发现,并作出相应处理,保证正常业务不收到影响;本方案能将可能误报的报文流量提取出来,供后续进行分析,解决了多数厂商无法有效针对IPS误报进行特征分析的问题,对后续降低IPS误报率有很大作用;此外,本方案无需通过镜像引流方式进行报文取证,无需占用端口资源。
附图说明
图1为本申请入侵防御系统误识别处理装置所属设备的功能模块示意图;
图2为本申请入侵防御系统误识别处理方法一示例性实施例的流程示意图;
图3为本申请入侵防御系统误识别处理方法另一示例性实施例的流程示意图;
图4为本申请入侵防御系统误识别处理装置一示例性实施例的功能模块示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例的主要解决方案是:通过获取网络报文流量;结合预设的特征库对所述网络报文流量进行报文特征匹配;记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。由此,通过预设的策略过滤机制,能够迅速感知到可能存在的IPS误报事件,使管理员能及时发现,并作出相应处理,保证正常业务不收到影响;本方案能将可能误报的报文流量提取出来,供后续进行分析,解决了多数厂商无法有效针对IPS误报进行特征分析的问题,对后续降低IPS误报率有很大作用;此外,本方案无需通过镜像引流方式进行报文取证,无需占用端口资源。
本申请实施例考虑到,目前对目前,对于IPS误识别的处理,大部分厂商还停留在日志收集阶段,即在用户发现误识别情况后,知会设备厂商进行查看,设备厂商根据误报日志进行分析修改特征。少部分厂商进行了误识别报文的取证工作,典型的方案是通过端口镜像功能,将识别到的所有流量都镜像到一台外部电脑上进行保存,待出现问题后再进行查找。
现有的对于误识别的处理方式,往往存在延误和困难。一方面在于误识别的时效性很强,可能在短时间内出现大量误报,用户往往不能及时发现和处理,例如,误识别情况的发现往往是在业务中断或者管理员登陆到IPS设备上发现大量日志,才感知到误识别情况发生,此时很可能影响了正常业务较长时间;另一方面,在误识别出现后,多数厂商无法获取当时触发误识别的报文流量,从而无解决依据,仅根据相关日志信息,设备厂商一般无法定位到具体原因,只能关闭引起误报的特征,导致问题不能从根本解决。此外,少数厂商镜像流量的方案需要额外连接设备,占用了设备宝贵的端口资源。
由此,本申请实施例提出解决方案,无需占用设备的端口资源,即可及时发现IPS误识别情况,降低IPS误识别对系统业务的影响。
具体地,参照图1,图1为本申请入侵防御系统误识别处理装置所属设备的功能模块示意图。该入侵防御系统误识别处理装置可以为独立于设备的装置,其可以通过硬件或软件的形式承载于设备上。该设备可以为手机、平板电脑等具有数据处理功能的智能移动终端,还可以为具有数据处理功能的固定终端设备或服务器等。
在本实施例中,该入侵防御系统误识别处理装置所属设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及入侵防御系统误识别处理程序;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的入侵防御系统误识别处理程序被处理器执行时实现以下步骤:
获取网络报文流量;
结合预设的特征库对所述网络报文流量进行报文特征匹配;
记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;
若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。
进一步地,存储器130中的入侵防御系统误识别处理程序被处理器执行时还实现以下步骤:
统计预设时间周期内命中单个报文特征的网络报文的数量;
若所述预设时间周期内命中单个报文特征的网络报文的数量达到预设阈值,则触发策略响应。
进一步地,存储器130中的入侵防御系统误识别处理程序被处理器执行时还实现以下步骤:
抓取所述预设时间周期内命中单个报文特征的网络报文,并通知对应的相关人员。
进一步地,存储器130中的入侵防御系统误识别处理程序被处理器执行时还实现以下步骤:
将抓取的网络报文作为附件发送告警邮件给对应的管理人员,由所述管理人员根据当时的业务情况,判断是否产生了误识别事件,并进行特征库动作调整。
进一步地,存储器130中的入侵防御系统误识别处理程序被处理器执行时还实现以下步骤:
将抓取的网络报文发送给对应的开发人员,由所述开发人员根据抓取的网络报文进行定位分析。
进一步地,存储器130中的入侵防御系统误识别处理程序被处理器执行时还实现以下步骤:
根据历史情况配置所述时间周期和阈值。
进一步地,存储器130中的入侵防御系统误识别处理程序被处理器执行时还实现以下步骤:
若所述报文特征匹配成功,则对命中所述报文特征的网络报文执行预定义的操作。
本实施例通过上述方案,具体通过获取网络报文流量;结合预设的特征库对所述网络报文流量进行报文特征匹配;记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。由此,通过预设的策略过滤机制,能够迅速感知到可能存在的IPS误报事件,使管理员能及时发现,并作出相应处理,保证正常业务不收到影响;本方案能将可能误报的报文流量提取出来,供后续进行分析,解决了多数厂商无法有效针对IPS误报进行特征分析的问题,对后续降低IPS误报率有很大作用;此外,本方案无需通过镜像引流方式进行报文取证,无需占用端口资源。
基于上述设备架构但不限于上述架构,提出本申请方法实施例。
本实施例方法的执行主体可以是一种入侵防御系统误识别处理装置,也可以是一种入侵防御系统误识别处理设备(比如网络安全设备)或服务器,本实施例以网络安全设备进行举例。
参照图2,图2为本申请入侵防御系统误识别处理方法一示例性实施例的流程示意图。所述入侵防御系统误识别处理方法包括:
步骤S101,获取网络报文流量;
其中,网络报文流量可以是通过入侵防御系统的需要进行网络攻击检测的网络相关数据。其来源可以是来自各种网络平台、业务平台、服务器、终端设备等。
步骤S102,结合预设的特征库对所述网络报文流量进行报文特征匹配;
本实施例预先配置有特征库,该特征库中包括各种攻击特征,这些攻击特征可以通过历史数据获得,比如可以通过历史的对各种网络攻击场景检测中获得各种网络报文的攻击特征,并对应构建攻击特征库。
在本实施例中,在获取到网络报文流量后,结合预设的特征库对所述网络报文流量进行报文特征匹配,通过报文特征匹配,可以确定当前网络报文流量中,是否有命中攻击特征的网络报文。
具体地,对网络报文流量中的每个网络报文,与特征库中的特征进行匹配,通过报文特征匹配,若匹配成功,则确定该网络报文为命中攻击特征的网络报文,命中攻击特征的网络报文则可能是具有攻击风险的网络报文。
步骤S103,记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;
将匹配成功的报文特征及对应的命中所述报文特征的网络报文记录下来,以便根据预设的策略过滤机制判断是否存在误识别的情况。
步骤S104,若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。
其中,预设的策略过滤机制可以根据实际情况进行配置。
其中,作为一种实施方式,可以结合时间和命中单个报文特征的网络报文的数量来判断是否出现误识别,由此来配置策略过滤机制。
本实施例考虑到,当短时间内出现大量重复特征匹配时,可能设备识别到了大量的攻击流量,也可能由于特征不准确造成了大量误识别。
因此,若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。
具体实现如下:
首先,统计预设时间周期内命中单个报文特征的网络报文的数量;
然后,若所述预设时间周期内命中单个报文特征的网络报文的数量达到预设阈值,则触发策略响应。
其中,作为一种实施方式,所述触发策略响应的步骤可以包括:
抓取所述预设时间周期内命中单个报文特征的网络报文,并通知对应的相关人员。
具体地,可以将抓取的网络报文作为附件发送告警邮件给对应的管理人员,由所述管理人员根据当时的业务情况,判断是否产生了误识别事件,并进行特征库动作调整。
也可以将抓取的网络报文发送给对应的开发人员,由所述开发人员根据抓取的网络报文进行定位分析。
本实施例实现入侵防御系统误识别处理方法的具体流程可以参照图3所示。
具体地,在IPS识别流程中,会对通过的流量按照特征库中的特征信息进行一一匹配,当匹配成功后,可以认为当前网络报文流量存在此攻击特征,并执行预定义的阻断或其他动作。
当短时间内出现大量重复特征匹配时,可能设备识别到了大量的攻击流量,也可能由于特征不准确造成了大量误识别。
由此,本实施例提供了一种及时发现短时间内出现大量重复特征命中的情况时,将当时的网络报文流量进行抓取记录,并实时通知管理人员的解决方案。
首先,配置策略过滤机制,根据历史情况配置时间周期和阈值。
具体地,可以对单条特征命中的网络报文数据提供一种策略过滤机制,比如,可自定义时间周期(例如:60 - 86400秒)及特征命中阈值(例如:1 - 99999999条);例如每60秒内,单个特征有10条网络报文命中,如满足则认为可能出现误识别情况,触发策略响应。
管理人员可根据历史网络受攻击情况,对此策略过滤机制的时间周期和阈值进行设定。
在获取到网络报文流量后,结合预设的特征库对所述网络报文流量进行报文特征匹配,通过报文特征匹配,可以确定当前网络报文流量中,是否有命中攻击特征的网络报文。
网络安全设备自动记录命中特征的网络报文,通过统计匹配成功的报文特征及对应的命中所述报文特征的网络报文,若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应,即自动筛选此符合此策略的对应的网络报文作为邮件附件,并发送告警邮件给管理员。
管理员收到告警邮件后,可以根据当时的业务情况,及时判断是否产生了误识别事件,如果通过判断产生了误识别事件,则可进行特征库动作调整,避免影响正常业务;或立刻通知设备厂商开发人员根据抓取的流量报文进行定位分析。
本实施例通过上述方案,具体通过获取网络报文流量;结合预设的特征库对所述网络报文流量进行报文特征匹配;记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。由此,通过预设的策略过滤机制,能够迅速感知到可能存在的IPS误报事件,使管理员能及时发现,并作出相应处理,保证正常业务不收到影响;本方案能将可能误报的报文流量提取出来,供后续进行分析,解决了多数厂商无法有效针对IPS误报进行特征分析的问题,对后续降低IPS误报率有很大作用;此外,本方案无需通过镜像引流方式进行报文取证,无需占用端口资源。
进一步地,在所述若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应的步骤之前还可以包括:
根据历史情况配置所述时间周期和阈值。
具体地,可以对单条特征命中的网络报文数据提供一种策略过滤机制,比如,可自定义时间周期(例如:60 - 86400秒)及特征命中阈值(例如:1 - 99999999条);例如每60秒内,单个特征有10条网络报文命中,如满足则认为可能出现误识别情况,触发策略响应。
本实施例通过上述方案,具体通过根据历史情况配置所述时间周期和阈值,获取网络报文流量;结合预设的特征库对所述网络报文流量进行报文特征匹配;记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;若命中单个报文特征的网络报文符合预设的时间周期和阈值的策略过滤机制,则触发策略响应。由此,通过预设的策略过滤机制,能够迅速感知到可能存在的IPS误报事件,使管理员能及时发现,并作出相应处理,保证正常业务不收到影响;本方案能将可能误报的报文流量提取出来,供后续进行分析,解决了多数厂商无法有效针对IPS误报进行特征分析的问题,对后续降低IPS误报率有很大作用;此外,本方案无需通过镜像引流方式进行报文取证,无需占用端口资源。
进一步地,所述结合预设的特征库对所述网络报文流量进行报文特征匹配的步骤之后,还包括:
若所述报文特征匹配成功,则对命中所述报文特征的网络报文执行预定义的操作。
在IPS识别流程中,可以对通过的流量按照特征库中的特征信息进行一一匹配,当匹配成功后,则认为当前报文流量存在此攻击特征,并可以执行预定义的阻断或其他动作。
此外,通过对IPS误识别情况进行处理,能够及时通知管理员,使其对系统业务影响降至最低。而且本实施例方案中,误识别流量可以智能提取,供后续专业人员分析,网络安全设备无需外接其他镜像设备,由此,无需占用端口资源。
相比现有技术,本实施例方案通过误识别策略,根据历史情况配置时间周期和阈值,可以灵活的进行误识别检测;此外,在网络报文的检测情况命中策略后,对策略范围内的网络报文进行提取,发送邮件告警给管理员,既能及时通知管理员出现异常,又为后续分析误识别情况存留了依据。
本申请实施例还提出一种入侵防御系统误识别处理装置,所述装置包括:
获取模块,用于获取网络报文流量;
匹配模块,用于结合预设的特征库对所述网络报文流量进行报文特征匹配;
记录模块,用于记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;
响应模块,用于若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。
由于本入侵防御系统误识别处理程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
本申请实施例还提出一种处理设备,所述处理设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的入侵防御系统误识别处理程序,所述入侵防御系统误识别处理程序被所述处理器执行时实现如上述实施例所述的入侵防御系统误识别处理方法。
由于本入侵防御系统误识别处理程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有入侵防御系统误识别处理程序,所述入侵防御系统误识别处理程序被处理器执行时实现如上述实施例所述的入侵防御系统误识别处理方法。
由于本入侵防御系统误识别处理程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
本申请实施例提出的入侵防御系统误识别处理方法、设备以及存储介质,通过获取网络报文流量;结合预设的特征库对所述网络报文流量进行报文特征匹配;记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应。由此,通过预设的策略过滤机制,能够迅速感知到可能存在的IPS误报事件,使管理员能及时发现,并作出相应处理,保证正常业务不收到影响;本方案能将可能误报的报文流量提取出来,供后续进行分析,解决了多数厂商无法有效针对IPS误报进行特征分析的问题,对后续降低IPS误报率有很大作用;此外,本方案无需通过镜像引流方式进行报文取证,无需占用端口资源。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (6)
1.一种入侵防御系统误识别处理方法,其特征在于,所述方法应用于网络安全设备,所述方法包括:
获取网络报文流量;
结合预设的特征库对所述网络报文流量进行报文特征匹配;
记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;
若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应;
其中,所述若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应的步骤包括:
统计预设时间周期内命中单个报文特征的网络报文的数量;
若所述预设时间周期内命中单个报文特征的网络报文的数量达到预设阈值,则抓取所述预设时间周期内命中单个报文特征的网络报文,并通知对应的相关人员;
其中,所述通知对应的相关人员的步骤包括:
将抓取的网络报文作为附件发送告警邮件给对应的管理人员,由所述管理人员根据当时的业务情况,判断是否产生了误识别事件,并进行特征库动作调整;和/或
将抓取的网络报文发送给对应的开发人员,由所述开发人员根据抓取的网络报文进行定位分析。
2.根据权利要求1所述的方法,其特征在于,所述若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应的步骤之前还包括:
根据历史情况配置所述时间周期和阈值。
3.根据权利要求1所述的方法,其特征在于,所述结合预设的特征库对所述网络报文流量进行报文特征匹配的步骤之后,还包括:
若所述报文特征匹配成功,则对命中所述报文特征的网络报文执行预定义的操作。
4.一种入侵防御系统误识别处理装置,其特征在于,所述装置包括:
获取模块,用于获取网络报文流量;
匹配模块,用于结合预设的特征库对所述网络报文流量进行报文特征匹配;
记录模块,用于记录匹配成功的报文特征及对应的命中所述报文特征的网络报文;
响应模块,用于若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应;
其中,所述若命中单个报文特征的网络报文符合预设的策略过滤机制,则触发策略响应的步骤包括:
统计预设时间周期内命中单个报文特征的网络报文的数量;
若所述预设时间周期内命中单个报文特征的网络报文的数量达到预设阈值,则抓取所述预设时间周期内命中单个报文特征的网络报文,并通知对应的相关人员;
其中,所述通知对应的相关人员的步骤包括:
将抓取的网络报文作为附件发送告警邮件给对应的管理人员,由所述管理人员根据当时的业务情况,判断是否产生了误识别事件,并进行特征库动作调整;和/或
将抓取的网络报文发送给对应的开发人员,由所述开发人员根据抓取的网络报文进行定位分析。
5.一种处理设备,其特征在于,所述处理设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的入侵防御系统误识别处理程序,所述入侵防御系统误识别处理程序被所述处理器执行时实现如权利要求1-3中任一项所述的入侵防御系统误识别处理方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有入侵防御系统误识别处理程序,所述入侵防御系统误识别处理程序被处理器执行时实现如权利要求1-3中任一项所述的入侵防御系统误识别处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211689126.5A CN115664869B (zh) | 2022-12-28 | 2022-12-28 | 入侵防御系统误识别处理方法、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211689126.5A CN115664869B (zh) | 2022-12-28 | 2022-12-28 | 入侵防御系统误识别处理方法、设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115664869A CN115664869A (zh) | 2023-01-31 |
CN115664869B true CN115664869B (zh) | 2023-05-16 |
Family
ID=85023583
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211689126.5A Active CN115664869B (zh) | 2022-12-28 | 2022-12-28 | 入侵防御系统误识别处理方法、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115664869B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105306436A (zh) * | 2015-09-16 | 2016-02-03 | 广东睿江科技有限公司 | 一种异常流量检测方法 |
CN106375278A (zh) * | 2016-08-22 | 2017-02-01 | 汉柏科技有限公司 | Ips主动识别并关闭误识别特征项的方法、装置及系统 |
CN110784458A (zh) * | 2019-10-21 | 2020-02-11 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
US10931692B1 (en) * | 2015-01-22 | 2021-02-23 | Cisco Technology, Inc. | Filtering mechanism to reduce false positives of ML-based anomaly detectors and classifiers |
CN112953971A (zh) * | 2021-04-01 | 2021-06-11 | 长扬科技(北京)有限公司 | 一种网络安全流量入侵检测方法和系统 |
CN113904881A (zh) * | 2021-12-13 | 2022-01-07 | 北京金睛云华科技有限公司 | 一种入侵检测规则误报处理方法和装置 |
CN114257403A (zh) * | 2021-11-16 | 2022-03-29 | 北京网宿科技有限公司 | 误报检测方法、设备及可读存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10735438B2 (en) * | 2016-01-06 | 2020-08-04 | New York University | System, method and computer-accessible medium for network intrusion detection |
-
2022
- 2022-12-28 CN CN202211689126.5A patent/CN115664869B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10931692B1 (en) * | 2015-01-22 | 2021-02-23 | Cisco Technology, Inc. | Filtering mechanism to reduce false positives of ML-based anomaly detectors and classifiers |
CN105306436A (zh) * | 2015-09-16 | 2016-02-03 | 广东睿江科技有限公司 | 一种异常流量检测方法 |
CN106375278A (zh) * | 2016-08-22 | 2017-02-01 | 汉柏科技有限公司 | Ips主动识别并关闭误识别特征项的方法、装置及系统 |
CN110784458A (zh) * | 2019-10-21 | 2020-02-11 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
CN112953971A (zh) * | 2021-04-01 | 2021-06-11 | 长扬科技(北京)有限公司 | 一种网络安全流量入侵检测方法和系统 |
CN114257403A (zh) * | 2021-11-16 | 2022-03-29 | 北京网宿科技有限公司 | 误报检测方法、设备及可读存储介质 |
CN113904881A (zh) * | 2021-12-13 | 2022-01-07 | 北京金睛云华科技有限公司 | 一种入侵检测规则误报处理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115664869A (zh) | 2023-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100511159C (zh) | 用于解决对计算机系统的侵入攻击的方法和系统 | |
CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
Viinikka et al. | Processing intrusion detection alert aggregates with time series modeling | |
US20200034743A1 (en) | Bot-based data collection for detecting phone solicitations | |
US20040215972A1 (en) | Computationally intelligent agents for distributed intrusion detection system and method of practicing same | |
CN112671807B (zh) | 威胁处理方法、装置、电子设备及计算机可读存储介质 | |
CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
CN112954031B (zh) | 一种基于云手机的设备状态通知方法 | |
KR20180098181A (ko) | 복합 이벤트 처리 및 상황 인지 기반 지능형 관제 플랫폼 및 지능형 관제 방법 | |
CN110858831B (zh) | 安全防护方法、装置以及安全防护设备 | |
CN116707965A (zh) | 一种威胁检测方法、装置、存储介质以及电子设备 | |
CN115664869B (zh) | 入侵防御系统误识别处理方法、设备以及存储介质 | |
US20060126518A1 (en) | Apparatus and method for securing internet server | |
US20030229803A1 (en) | Communication systems automated security detection based on protocol cause codes | |
KR20150131846A (ko) | 캡차를 이용한 아이디도용 차단방법 및 차단 시스템 | |
CN108667685B (zh) | 移动应用网络流量聚类装置 | |
CN113360907A (zh) | 一种基于ides和nides的防黑客入侵方法 | |
CN111932290A (zh) | 请求处理方法、装置、设备和存储介质 | |
KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
CN112766977B (zh) | 风险识别方法、装置和系统 | |
CN116260640B (zh) | 基于人工智能进行大数据分析的信息拦截控制方法及系统 | |
CN112498269B (zh) | 车载终端的异常识别方法、装置、服务器和存储介质 | |
CN114157711B (zh) | 一种资产处置方法及装置 | |
CN113341856B (zh) | 一种安防监控系统及安防监控方法、设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |