[发明专利]一种IPS误报的检测方法和装置

说明书

本申请实施例公开了一种IPS误报的检测方法和装置，其中，所述方法包括：在接收到预设周期内的各个数据包之后，获取各个数据包对应的命中特征，并确定匹配所述命中特征的数据包为非法数据包，命中特征为IPS特征库中被非法数据包命中的攻击特征；根据命中特征配置特征过滤策略，特征过滤策略包括：预设特征命中阈值，预设特征命中阈值为在预设周期内任一命中特征允许被命中的最大次数；如果任一命中特征在所述预设周期内被命中的次数大于或等于预设特征命中阈值，确定IPS误报。采用前述方法或装置，能够及时对IPS误报进行检测，减少IPS误报对正常网络业务造成的影响，提高了IPS的防御效率。

技术领域

本申请涉及网络安全领域，尤其涉及一种IPS误报的检测方法和装置。

背景技术

入侵防御系统(Intrusion Prevention System，IPS)通常包括IPS特征库。通过在网络中部署IPS，能够对经过IPS的数据包进行逐字节的检查，从而对网络攻击行为进行实时的检测，并结合丰富的控制手段针对网络攻击者的访问请求进行限制。例如，如果数据包中包含IPS特征库中的攻击特征，确认所述数据包命中所述IPS特征库，即所述数据包为非法数据包，并且确定在IPS特征库中，与所述非法数据包相匹配的特征为命中特征，以及确定非法数据包的发送端为网络攻击者。而后丢弃所述非法数据包，将被命中的攻击特征记载于IPS日志，并对后续来自网络攻击者的所有数据包进行拦截。IPS的防御效果依赖于IPS特征库的准确性，虽然IPS攻击特征库日趋准确和完善，但由于数据包庞杂多变，经过一段时间对IPS的部署，IPS特征库中的攻击特征的准确度相对降低，在对经过IPS的数据包进行检查时，会将正常的数据包当做非法数据包丢弃，即会有IPS误报的情况出现。

一旦出现IPS误报，IPS就会对并非来自网络攻击者，而是来自正常发送端的所有数据包进行拦截，往往会影响正常的网络业务。例如，在某企业部署的IPS中，触发IPS误报的数据包恰好是与客户进行会话的一部分，整个会话将会被IPS关闭。如果后续客户想要再次连接到该企业的网络，所有合法的网络访问请求都会被IPS拦截。因此，为了降低IPS误报对正常网络业务造成的影响，需要对IPS误报进行检测。

现有的IPS误报检测方法中，由于IPS将命中IPS特征库的攻击特征记载于IPS日志，管理员通过定期查看IPS日志，能够对是否出现了IPS误报进行判断。具体的，在IPS日志中，如果出现了短时间内某一条攻击特征被命中的次数过多的情况，则管理员确定出现了IPS误报。

但是，发明人在本申请的研究过程中发现，现有的IPS误报检测方法在时间上存在明显的滞后性。当管理员检测到发生IPS误报后，往往距离IPS误报发生的时间较长，而IPS误报已经对正常的网络业务产生了较大影响。

发明内容

本申请提供了一种IPS误报的检测方法，以解决现有的IPS误报的检测滞后性严重，导致IPS误报对正常的网络业务产生了较大影响这一问题。

第一方面，本申请实施例提供一种IPS误报的检测方法，所述方法包括：

在接收到预设周期内的各个数据包之后，获取所述各个数据包对应的命中特征，并确定匹配所述命中特征的数据包为非法数据包，所述命中特征为IPS特征库中被所述非法数据包命中的攻击特征；

根据所述命中特征配置特征过滤策略，所述特征过滤策略包括：预设特征命中阈值，所述预设特征命中阈值为在所述预设周期内任一所述命中特征允许被命中的最大次数；

如果任一所述命中特征在所述预设周期内被命中的次数大于或等于所述预设特征命中阈值，确定IPS误报。

结合第一方面，在一种实现方式中，所述检测方法在根据所述命中特征配置特征过滤策略之前，还包括：

获取历史周期的历史IPS日志，所述历史IPS日志包括：历史命中特征和历史命中次数，所述历史命中次数为所述历史命中特征在所述历史周期内被命中的次数；