CN116319048A - 一种降低idps误报率的方法 - Google Patents

Abstract

本申请提供一种降低IDPS误报率的方法，包括以下步骤：设置与攻击检测规则对应的告警过滤规则，所述告警过滤规则包括过滤插桩关键字，所述过滤插桩关键字用于在流管理句柄上设置过滤插桩，所述过滤插桩记录有过滤插桩的过滤对象和过滤插桩的生命周期；当数据流匹配到告警过滤规则时，在该数据流的流管理句柄上设置过滤插桩，在所述过滤插桩中记录告警过滤规则对应的攻击检测规则以及所述过滤插桩的生命周期，对所述过滤插桩的生命周期进行监控，销毁不在生命周期内的过滤插桩；将该数据流与该攻击检测规则进行匹配，若匹配成功，存在过滤插桩时，判断为非攻击行为；当不存在过滤插桩时，判断为攻击行为。本申请有效降低了误报率，提升了灵活性。

Description

一种降低IDPS误报率的方法

技术领域

本申请涉及信息安全技术领域，具体涉及一种降低入侵检测与防御系统误报率的方法。

背景技术

IDPS(Intrusion Detection and Prevention Service)(入侵检测与防御系统)包括IDS(入侵检测系统)和IPS(入侵防御系统)，其中，IDS是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性的系统，IDS一般部署方式为旁路模式(并行模式)，通过端口镜像方式复制数据至IDS，由IDS对数据包进行侦听检测。IDS主要具备观察监控，发出告警的效用，网络管理人员能够通过IDS的警告信息对网络安全情况进行处理，有利于进行安全统计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。IPS位于防火墙和网络的设备之间，能够对入网的数据包进行检测，确定数据包的真正用途，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IPS直接嵌入到网络流量中，预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS中被清除掉。

基于IDS和IPS的工作原理可以看出，对攻击判定告警的误报率是衡量IDPS检测能力的关键指标，如果产生大量误报告警，则会大大损害IDS和IPS的工作效率，因此误报率控制一直是IDPS的重要研究方向。传统的误报率控制方法主要基于攻击行为对应网络报文的内容，通过优化攻击检测规则，使之能够提高对攻击行为判断的精准度，来实现精准检测，达到降低误报率的目的，而这种方法受限于规则定义语言(如snort规则、suricata规则等)的刻画能力。然而，随着各种逃逸检测方法的出现，单纯依靠精准定义攻击检测规则的方式已经很难适应精准检测的需求，因此各种误报率控制方法应运而生。其中，例如suricata提供了一种基于IP和端口实现告警事件过滤的方法，但这种方法的过滤条件只支持IP和端口，不支持其他指定条件，可操作范围较低；另外，在申请号为CN201710968803.X的专利文件中，提出了一种通过对告警后的IP进行分析从而控制误报的方法，是对告警的数据进行人工或者自动的分析，来判断哪些IP是误报，但这种过滤方法也只支持对指定IP的过滤，不支持其他指定条件，上述现有技术中对误报率进行控制的方法是在攻击检测规则以外再定义一套过滤规则，受限于过滤规则的公共属性，无法通过一些攻击检测规则定义中的特殊关键字进行过滤调整，使得应用范围狭窄，灵活性低，可操作性不够全面；另外，在申请号为CN202111513344.9的专利文件中，提出了一种在攻击告警产生后反向优化裁剪检测规则的方法，公开了在告警之后反向裁剪优化规则的方法，对攻击方式进行规则定义后，在反向再对规则进行修改，但这种方法依赖对原始模型的修改，要对原始模型进行修改后再重新下发，操作较为复杂，也会影响系统的稳定性。

发明内容

为解决上述问题，本申请针对上述现有技术中的问题，提供了一种降低IDPS误报率的方法，包括以下步骤：

S1，设置与攻击检测规则对应的告警过滤规则，所述告警过滤规则能够根据过滤条件对触发所述攻击检测规则的误告警进行过滤；所述告警过滤规则包括过滤插桩关键字，所述过滤插桩关键字用于在流管理句柄上设置过滤插桩，所述过滤插桩记录有过滤插桩的过滤对象和过滤插桩的生命周期；其中，所述过滤插桩的过滤对象为对应的攻击检测规则，所述过滤插桩的生命周期为所述攻击检测规则的检测内容的数据单位；

S2，当数据流匹配到告警过滤规则时，转入步骤S3；

当数据流未匹配到告警过滤规则时，转入步骤S4；

S3，根据过滤插桩关键字，在该数据流的流管理句柄上设置过滤插桩，在所述过滤插桩中记录所述过滤插桩的过滤对象以及所述过滤插桩的生命周期，对所述过滤插桩的生命周期进行监控，销毁不在生命周期内的过滤插桩；

将该数据流与该攻击检测规则进行匹配，当匹配成功时，转入步骤S31，

当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；

S4，将该数据流与该攻击检测规则进行匹配；

当匹配成功时，判断为攻击行为，触发攻击检测规则产生的警告被上报；

当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；

S31,当流管理句柄上存在匹配该攻击检测规则的过滤插桩时，判断为非攻击行为，该攻击检测规则产生的警告被过滤；

当流管理句柄上不存在匹配该攻击检测规则的过滤插桩时，判断为攻击行为，该攻击检测规则产生的警告被上报。

其中，在步骤S1中，所述数据流为TCP/UDP网络流量数据，所述流管理句柄指检测引擎对TCP三次握手到四次挥手之间或UDP双方互发信息到断开之间进行资源管理的句柄。

其中，所述攻击检测规则和所述告警过滤规则为一套配置文件，进行IDPS的流量安全检测时，流管理句柄对所述配置文件进行读取。

其中，所述过滤插桩的生命周期包括单包、会话和整流；当过滤插桩的生命周期为单包时，代表对单个流量包数据帧进行过滤；过滤插桩的生命周期为会话时，代表对应用层的会话中的请求报文和对应的响应报文的过滤；当过滤插桩的生命周期为整流时，代表对整个数据流产生的告警进行过滤。

其中，所述告警过滤规则的设置方法是在入侵检测引擎suricata上新增过滤插桩关键字eventfilter。

其中，过滤插桩关键字eventfilter的语法设置为：

eventfilter:type[packet|tx|flow],gen_id<value>,sig_id<value>,tenant_id<value>；

其中，type选项用于指示过滤插桩的生命周期，其中，packet表示过滤插桩的生命周期为单包，tx表示过滤插桩的生命周期为会话，flow表示过滤插桩的生命周期为整流；gen_id、sig_id、tenant代表过滤插桩需要记录的攻击检测规则的分组ID、攻击检测规则的ID和攻击检测规则的租户ID。

其中，设置告警过滤规则的优先级高于攻击检测规则的优先级。

其中，在过滤插桩的生命周期为会话，告警过滤规则的过滤条件在响应报文，而攻击检测规则的告警条件定义在请求报文中时，设置告警过滤规则的优先级高于攻击检测规则的优先级的方法为：在引擎中设置提前执行告警过滤规则的检测或者延后执行攻击检测规则的检测。

其中，所述告警过滤规则的过滤条件能够设置为攻击检测规则支持的所有条件。

其中，所述告警过滤规则能够用于单条攻击检测规则误告警的过滤或者同分组下的所有攻击检测规则误告警的过滤。

本申请达到的有益效果为：

误报控制方法实现简单，仅需要在攻击检测规则中添加一条对应的告警过滤规则，开源规则支持的所有条件都可以支持；易于实施，所提出的告警过滤规则与攻击检测规则完全解耦，不需要改变检测引擎的实现逻辑；具有灵活性，所提出的插桩的生命周期选项，使得规则定义人员可以根据不同的实际攻击场景灵活指定告警过滤规则的影响范围，提高了精度；适应性好，不仅适用于对单条攻击检测规则的误报控制，也可以在告警过滤规则命中时进行插桩的时候进行记录，可以多维度，多方位地对各个告警进行过滤，适用多个用户使用场景扩展性强。

附图说明

为了更清楚地说明本发明，下面将对本发明的说明书附图进行描述和说明。显而易见地，下面描述中的附图仅仅说明了本发明的一些示例性实施方案的某些方面，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本申请对攻击检测规则的警告进行过滤判断步骤的方法流程图。

具体实施方式

以下参照附图1详细描述本公开的各种示例性实施例。对示例性实施例的描述仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。本公开可以以许多不同的形式实现，不限于这里所述的实施例。提供这些实施例是为了使本公开透彻且完整，并且向本领域技术人员充分表达本公开的范围。应注意到：除非另有说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值等应被解释为仅仅是示例性的，而不是作为限制。

如图1所示，本申请提供一种能够降低IDPS误报率的方法，设计思路在于，由于考虑到能够结合流量上下文内容特征对事件误报进行控制，我们预先建立与攻击检测规则对应的警告过滤规则，对攻击检测规则的误报进行过滤，其中，对过滤条件的设置在于，通过在警告过滤规则中设置插桩关键字，使得网络流量匹配到警告过滤规则时，通过在流管理句柄中插桩，进行对攻击检测规则警告的过滤判定。

其中，具体的，所述网络流量为TCP/UDP数据流，流管理句柄指检测引擎对TCP三次握手到四次挥手之间或UDP双方互发信息到断开之间进行资源管理的句柄。攻击规则和过滤规则是一套配置文件，流管理句柄对网络流量数据流进行管理时，读取攻击检测规则和告警过滤规则。

具体实现方法为：设置攻击检测规则对应的告警过滤规则，所述告警过滤规则能够对攻击检测规则产生的告警进行过滤，在所述告警过滤规则中包括插桩关键字，通过插桩关键字设置过滤插桩以及过滤插桩记录的内容，所述过滤插桩记录的内容为告警过滤规则过滤的对象(攻击检测规则)和过滤插桩存在的生命周期，其中，将攻击检测规则中告警条件的检测内容的数据单位作为插桩生命周期；

当数据流匹配到告警过滤规则时，在该数据流的流管理句柄上进行插桩，插桩中记录有被该告警过滤规则所过滤的攻击检测规则的信息和插桩生命周期，在流管理句柄中对插桩进行监控生命周期监控，销毁生命周期结束的插桩。再将该数据流与该攻击检测规则进行匹配，当匹配失败时，判断为非攻击行为，攻击检测规则产生的警告被过滤；当匹配成功时，查看流管理句柄上是否存在针对该攻击检测规则的插桩，当存在插桩时，警告被过滤，当不存在插桩时，警告被上报。

当网络流量没有匹配到告警过滤规则时，将该数据流与被该告警过滤规则所过滤的攻击检测规则进行匹配，当匹配成功时，判断为攻击行为，攻击检测规则产生的警告被上报，当匹配失败时，判断为非攻击行为，警告被过滤。

其中，在插桩关键字设置中，将攻击检测规则中告警条件的检测内容的数据单位过滤插桩生命周期，因插桩是基于流管理资源句柄，流管理句柄管理的基本检测内容的数据单位为单包、会话和整个流，根据过滤插桩针对的攻击检测规则，将攻击检测规则中告警条件的所存在的检测内容的数据单位，作为过滤插桩的生命周期，当这个检测内容的数据单位结束，插桩的生命周期也结束，则销毁该过滤插桩。

过滤插桩的生命周期为单包，则代表对单个流量包数据帧进行过滤，多用于TCP，UDP即网络层以下告警的过滤。

过滤插桩的生命周期为会话，则代表对应用层的会话如HTTP的请求报文和对应的响应报文的过滤，依赖引擎的应用层的解析，也是应用场景最多的一个生命周期。

过滤插桩的生命周期为整流，则代表对整个数据流产生的指定告警进行过滤，影响范围最广，生命周期最长。

另外，本申请需要保证插桩在告警之前，也就是说，对于网络流量，要在匹配攻击检测规则前，先进行告警过滤规则的匹配，因此还需要对告警过滤规则进行优先级调整的处理。方法如下：

首先，需要告警过滤规则的优先级，使其优先级高于攻击检测规则，保证在相同的网络环境以及检测环境中，告警过滤规则的检测先于攻击检测规则的检测，保证插桩先于告警。

其次，对于告警过滤规则的过滤条件在响应报文，而攻击检测规则的告警条件定义在请求报文中的情况，这种场景存在因报文捕获时间差异导致的检测顺序无法符合预期的问题。为了保证插桩能够先于攻击检测，需要提前执行告警过滤规则的检测或者延后执行攻击特征的检测。这种情况强依赖于检测引擎的会话维护，由于这种情况只会发生在攻击检测规则的检测内容的数据单位为会话，也即插桩的生命周期为会话的情况中，因此可以只考虑对过滤生命周期为会话的告警过滤规则在系统中进行检测提前的设置。其他生命周期类型则不需要考虑。通过上述方法处理好报文的请求和响应的方向差异，根据各个规则的优先级即可保证插桩先于攻击特征的检测。

具体的，在一个实施例中，设置在检测引擎suricata上新增过滤插桩关键字“eventfilter”，其语法语义如下：

eventfilter:type[packet|tx|flow],gen_id<value>,sig_id<value>,tenant_id<value>

type选项用于指示过滤插桩的生命周期，其中，packet用于指示过滤插桩生命周期为单个流量包数据帧，tx用于指示过滤插桩生命周期为应用层会话，flow用于指示过滤插桩生命周期为整个流。

gen_id、sig_id、tenant选项用于指示过滤插桩需要记录的攻击检测规则的信息，gen_id对应攻击检测规则的分组id、sig_id对应攻击检测规则的id、tenant对应攻击检测规则的租户id。亦可根据使用场景添加更多维度的信息并记录。

举例说明如下：

现有一条使用目录遍历对Linux系统文件进行访问的攻击检测规则，定义如下：

alert http any any->any any(msg:"test"；http.uri；content:"../../etc/passwd"；sid:100；gid:1；)

其中，规则头信息开头alert表示规则类型为告警，http any any->any any代表是由IP端口到目的端口，规则体信息中的msg关键字代表规则名称为test，关键字http.指定了规则的检测点uri，此处根据协议的不同检测点有不同的设置，关键字content:设置了检测内容，sid:100；gid:1代表该攻击检测规则ID为100，检测规则的分组为1如上述语法实施例中代表的意义为：一条分组为1，ID为100的攻击检测规则，具体策略内容为，检测到http请求中尝试通过目录遍历访问Linux系统的敏感文件的行为时对其告警。

上述能检测http请求中尝试通过目录遍历访问Linux系统的敏感文件的行为在当前防护措施相对完善的WEB服务中，由于这条规则对应的攻击手法较为低等，因此会被WEB服务直接识别，WEB服务就会直接返回“404Not Found”解决此低等安全问题，如果攻击检测规则依然对它发出告警，就会产生大量误报。

因此针对误报的http请求所返回的响应码的特征，可以将返回状态码为404作为过滤条件，对告警进行误报控制。

具体的，使用eventfilter关键字添加一条过滤规则，规则内容如下：

alert http any any->any any(msg:"filter"；http.method；content:"404"；noalert；gid:1；sid:200；

eventfilter:tx,sig_id 100,gen_id 1；)

其中，与攻击检测规则类似，规则头信息中alert表示规则类型为告警，http anyany->any any代表由IP端口到目的端口，规则体信息中msg关键字表示告警过滤规则名称为filter。

关键字http.指定了检测点method也就是响应码，关键字content:设置了检测内容"404"，noalert代表取消告警，即为过滤，gid:1；sid:200。代表告警过滤规则ID为200，分组ID为1。

因此，上述语句意义为：检测到内容为404的响应码时对攻击检测规则进行过滤。

本实施例中，使用suricata原生关键字进行过滤条件定义http.method；content:"404"；指定过滤条件为http响应码中包含字符内容“404”eventfilter:tx,sig_id 100,gen_id 1；表示如果特征命中，则在流管理句柄上进行插桩，插桩的生命周期为应用层会话，生命周期过短无法关联上请求报文和响应报文，生命周期过长则会导致检测的响应内容并非期望的请求报文的响应数据。

插桩记录分组id为1规则id为100的攻击检测规则的信息。当目录遍历规则命中时，对流管理句柄上的过滤插桩的信息进行判断，当已经存在针对分组id为1规则id为100的攻击检测规则的过滤插桩时，不进行目录遍历日志告警，从而达到误报控制的目的。

所述告警过滤规则可以应用在单条攻击规则中，也可以用于同分组下的一批攻击类别中。

本公开中使用的“包括”或者“包含”等类似的词语意指在该词前的要素涵盖在该词后列举的要素，并不排除也涵盖其它要素的可能。

本公开使用的所有术语(包括技术术语或者科学术语)与本公开所属领域的普通技术人员理解的含义相同，除非另外特别定义。还应当理解，在诸根据通用词典中定义的术语应当被理解为具有与它们在相关技术的上下文中的含义相一致的含义，而不应用理想化或极度形式化的意义来解释，除非本文有明确地这样定义。

对于本部分中未详细描述的部件、部件的具体型号等参数、部件之间的相互关系以及控制电路，可被认为是相关领域普通技术人员已知的技术、方法和设备，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

应当理解，以上所述的具体实施例仅用于解释本发明，本发明的保护范围并不限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以变更、置换、结合，都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种降低IDPS误报率的方法，其特征在于，包括以下步骤：

S1，设置与攻击检测规则对应的告警过滤规则，所述告警过滤规则能够根据过滤条件对触发所述攻击检测规则的误告警进行过滤；所述告警过滤规则包括过滤插桩关键字，所述过滤插桩关键字用于在流管理句柄上设置过滤插桩，所述过滤插桩记录有过滤插桩的过滤对象和过滤插桩的生命周期；其中，所述过滤插桩的过滤对象为对应的攻击检测规则，所述过滤插桩的生命周期为所述攻击检测规则的检测内容的数据单位；

S2，当数据流匹配到告警过滤规则时，转入步骤S3；

当数据流未匹配到告警过滤规则时，转入步骤S4；

S3，根据过滤插桩关键字，在该数据流的流管理句柄上设置过滤插桩，在所述过滤插桩中记录所述过滤插桩的过滤对象以及所述过滤插桩的生命周期，对所述过滤插桩的生命周期进行监控，销毁不在生命周期内的过滤插桩；

将该数据流与该攻击检测规则进行匹配，当匹配成功时，转入步骤S31，

当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；

S4，将该数据流与该攻击检测规则进行匹配；

当匹配成功时，判断为攻击行为，触发攻击检测规则产生的警告被上报；

当匹配失败时，判断为非攻击行为，触发攻击检测规则产生的警告被过滤；

S31,当流管理句柄上存在匹配该攻击检测规则的过滤插桩时，判断为非攻击行为，该攻击检测规则产生的警告被过滤；

当流管理句柄上不存在匹配该攻击检测规则的过滤插桩时，判断为攻击行为，该攻击检测规则产生的警告被上报。

2.如权利要求1所述的降低IDPS误报率的方法，其特征在于，在步骤S1中，所述数据流为TCP/UDP网络流量数据，所述流管理句柄指检测引擎对TCP三次握手到四次挥手之间或UDP双方互发信息到断开之间进行资源管理的句柄。

3.如权利要求1所述的降低IDPS误报率的方法，其特征在于，所述攻击检测规则和所述告警过滤规则为一套配置文件，进行IDPS的流量安全检测时，流管理句柄对所述配置文件进行读取。

4.如权利要求1所述的降低IDPS误报率的方法，其特征在于，所述过滤插桩的生命周期包括单包、会话和整流；当过滤插桩的生命周期为单包时，代表对单个流量包数据帧进行过滤；过滤插桩的生命周期为会话时，代表对应用层的会话中的请求报文和对应的响应报文的过滤；当过滤插桩的生命周期为整流时，代表对整个数据流产生的告警进行过滤。

5.如权利要求4所述的降低IDPS误报率的方法，其特征在于，所述告警过滤规则的设置方法是在入侵检测引擎suricata上新增过滤插桩关键字eventfilter。

6.如权利要求5所述的降低IDPS误报率的方法，其特征在于，过滤插桩关键字eventfilter的语法设置为：

eventfilter:type[packet|tx|flow],gen_id<value>,sig_id<value>,tenant_id<value>；

其中，type选项用于指示过滤插桩的生命周期，其中，packet表示过滤插桩的生命周期为单包，tx表示过滤插桩的生命周期为会话，flow表示过滤插桩的生命周期为整流；gen_id、sig_id、tenant代表过滤插桩需要记录的攻击检测规则的分组ID、攻击检测规则的ID和攻击检测规则的租户ID。

7.如权利要求1所述的降低IDPS误报率的方法，其特征在于，设置告警过滤规则的优先级高于攻击检测规则的优先级。

8.如权利要求7所述的降低IDPS误报率的方法，其特征在于，在过滤插桩的生命周期为会话，告警过滤规则的过滤条件在响应报文，而攻击检测规则的告警条件定义在请求报文中时，设置告警过滤规则的优先级高于攻击检测规则的优先级的方法为：在引擎中设置提前执行告警过滤规则的检测或者延后执行攻击检测规则的检测。

9.如权利要求1所述的降低IDPS误报率的方法，其特征在于，所述告警过滤规则的过滤条件能够设置为攻击检测规则支持的所有条件。

10.如权利要求1所述的降低IDPS误报率的方法，其特征在于，所述告警过滤规则能够用于单条攻击检测规则误告警的过滤或者同分组下的所有攻击检测规则误告警的过滤。

Images