本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種IDS規(guī)則的優(yōu)化系統(tǒng)及優(yōu)化方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全越來越受到重視，IDS(Intrusion Detection Systems，入侵檢測(cè)系統(tǒng))是被企業(yè)廣泛使用的系統(tǒng)，它用于監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況，盡可能地發(fā)現(xiàn)攻擊企圖、行為，以此來保證網(wǎng)絡(luò)系統(tǒng)的安全性。但是IDS系統(tǒng)本身存在大量的誤報(bào)情況，導(dǎo)致產(chǎn)生了大量的報(bào)警，安全工程師無法從海量的報(bào)警信息中獲取真正的威脅，大大的降低了IDS系統(tǒng)的可用性。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中IDS本身存在大量的誤報(bào)情況，導(dǎo)致產(chǎn)生了大量的報(bào)警的缺陷，提供一種IDS規(guī)則的優(yōu)化系統(tǒng)及優(yōu)化方法。

本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的：

本發(fā)明提供了一種IDS規(guī)則的優(yōu)化系統(tǒng)，其特點(diǎn)在于，包括：

報(bào)警日志處理模塊，用于收集IDS報(bào)警日志，所述IDS報(bào)警日志中包括IDS規(guī)則名稱、源IP(網(wǎng)絡(luò)之間互連的協(xié)議)地址以及目的IP地址，并根據(jù)所述IDS規(guī)則名稱、源IP地址以及目的IP地址生成所述IDS報(bào)警日志的唯一識(shí)別碼，并獲取所述IDS報(bào)警日志的當(dāng)天日期；

歷史報(bào)警數(shù)據(jù)庫，用于存儲(chǔ)歷史IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；

查詢模塊，用于查詢所述報(bào)警日志處理模塊收集的IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期是否存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫中，并在判斷為否時(shí)將所述報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫中；

規(guī)則統(tǒng)計(jì)模塊，用于統(tǒng)計(jì)過去M天的歷史報(bào)警數(shù)據(jù)庫，并根據(jù)每一天的歷史報(bào)警數(shù)據(jù)庫生成一個(gè)歷史報(bào)警列表，每個(gè)歷史報(bào)警列表均記錄有當(dāng)天的歷史報(bào)警數(shù)據(jù)庫中的所有歷史報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；其中M為正整數(shù)；

掃描模塊，用于依次掃描每個(gè)歷史報(bào)警列表并按照唯一識(shí)別碼進(jìn)行查詢，若一目標(biāo)唯一識(shí)別碼不存在，則將所述目標(biāo)唯一識(shí)別碼及對(duì)應(yīng)的IDS規(guī)則名稱、源IP地址、目的IP地址、當(dāng)天日期保存至一統(tǒng)計(jì)列表中，并將所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)設(shè)置為1次；若所述目標(biāo)唯一識(shí)別碼存在，則將所述統(tǒng)計(jì)列表中的所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)加1；

提取模塊，用于在所述掃描模塊完成掃描后，提取統(tǒng)計(jì)次數(shù)大于第一閾值的歷史報(bào)警日志并獲取對(duì)應(yīng)的IDS規(guī)則名稱；

地址統(tǒng)計(jì)模塊，用于根據(jù)IDS規(guī)則名稱的流量方向統(tǒng)計(jì)地址數(shù)量；

誤報(bào)規(guī)則認(rèn)定模塊，用于將統(tǒng)計(jì)的地址數(shù)量大于第二閾值的IDS規(guī)則認(rèn)定為誤報(bào)規(guī)則；

處理模塊，用于刪除誤報(bào)規(guī)則。

較佳地，所述處理模塊還用于刪除誤報(bào)規(guī)則對(duì)應(yīng)的所有歷史報(bào)警數(shù)據(jù)。

較佳地，所述唯一識(shí)別碼為MD5(消息摘要算法第五版)值。

較佳地，所述地址統(tǒng)計(jì)模塊用于在所述流量方向?yàn)檎驎r(shí)統(tǒng)計(jì)源IP地址數(shù)量，在所述流量方向?yàn)榉聪驎r(shí)統(tǒng)計(jì)目的IP地址數(shù)量。

本發(fā)明的目的在于還提供了一種IDS規(guī)則的優(yōu)化方法，其特點(diǎn)在于，其利用上述的IDS規(guī)則的優(yōu)化系統(tǒng)實(shí)現(xiàn)，所述優(yōu)化方法包括以下步驟：

S₁、所述報(bào)警日志處理模塊收集IDS報(bào)警日志，所述IDS報(bào)警日志中包括IDS規(guī)則名稱、源IP地址以及目的IP地址，并根據(jù)所述IDS規(guī)則名稱、源IP地址以及目的IP地址生成所述IDS報(bào)警日志的唯一識(shí)別碼，并獲取所述IDS報(bào)警日志的當(dāng)天日期；

S₂、所述歷史報(bào)警數(shù)據(jù)庫存儲(chǔ)歷史IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；

S₃、所述查詢模塊查詢所述報(bào)警日志處理模塊收集的IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期是否存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫中，并在判斷為否時(shí)將所述報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫中；

S₄、所述規(guī)則統(tǒng)計(jì)模塊統(tǒng)計(jì)過去M天的歷史報(bào)警數(shù)據(jù)庫，并根據(jù)每一天的歷史報(bào)警數(shù)據(jù)庫生成一個(gè)歷史報(bào)警列表，每個(gè)歷史報(bào)警列表均記錄有當(dāng)天的歷史報(bào)警數(shù)據(jù)庫中的所有歷史報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；其中M為正整數(shù)；

S₅、所述掃描模塊依次掃描每個(gè)歷史報(bào)警列表并按照唯一識(shí)別碼進(jìn)行查詢，若一目標(biāo)唯一識(shí)別碼不存在時(shí)，則將所述目標(biāo)唯一識(shí)別碼及對(duì)應(yīng)的IDS規(guī)則名稱、源IP地址、目的IP地址、當(dāng)天日期保存至一統(tǒng)計(jì)列表中，并將所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)設(shè)置為1次；若所述目標(biāo)唯一識(shí)別碼存在時(shí)，則將所述統(tǒng)計(jì)列表中的所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)加1；

S₆、所述提取模塊在所述掃描模塊完成掃描后，提取統(tǒng)計(jì)次數(shù)大于第一閾值的歷史報(bào)警日志并獲取對(duì)應(yīng)的IDS規(guī)則名稱；

S₇、所述地址統(tǒng)計(jì)模塊根據(jù)IDS規(guī)則名稱的流量方向統(tǒng)計(jì)地址數(shù)量；

S₈、所述誤報(bào)規(guī)則認(rèn)定模塊將統(tǒng)計(jì)的地址數(shù)量大于第二閾值的IDS規(guī)則認(rèn)定為誤報(bào)規(guī)則；

S₉、所述處理模塊刪除誤報(bào)規(guī)則。

較佳地，步驟S₉還包括：所述處理模塊還刪除誤報(bào)規(guī)則對(duì)應(yīng)的所有歷史報(bào)警數(shù)據(jù)。

較佳地，所述唯一識(shí)別碼為MD5值。

較佳地，步驟S₇中所述地址統(tǒng)計(jì)模塊在所述流量方向?yàn)檎驎r(shí)統(tǒng)計(jì)源IP地址數(shù)量，在所述流量方向?yàn)榉聪驎r(shí)統(tǒng)計(jì)目的IP地址數(shù)量。

本發(fā)明的積極進(jìn)步效果在于：本發(fā)明采用對(duì)所有IDS報(bào)警進(jìn)行計(jì)算和統(tǒng)計(jì)的方式來對(duì)IDS規(guī)則進(jìn)行分析，并根據(jù)分析結(jié)果識(shí)別出誤報(bào)的IDS規(guī)則，并且在確認(rèn)為誤報(bào)規(guī)則時(shí)自動(dòng)進(jìn)行規(guī)則更新等操作，直接消除了誤報(bào)規(guī)則，從而從根本上減少了報(bào)警數(shù)量，提高了報(bào)警的準(zhǔn)確性，優(yōu)化了IDS規(guī)則，降低了IDS系統(tǒng)的誤報(bào)率，提高了IDS系統(tǒng)的可用性。

附圖說明

圖1為本發(fā)明的較佳實(shí)施例的IDS規(guī)則的優(yōu)化系統(tǒng)的模塊示意圖。

圖2為本發(fā)明的較佳實(shí)施例的IDS規(guī)則的優(yōu)化方法的流程圖。

具體實(shí)施方式

下面通過實(shí)施例的方式進(jìn)一步說明本發(fā)明，但并不因此將本發(fā)明限制在所述的實(shí)施例范圍之中。

如圖1所示，本發(fā)明的IDS規(guī)則的優(yōu)化系統(tǒng)包括報(bào)警日志處理模塊1、歷史報(bào)警數(shù)據(jù)庫2、查詢模塊3、規(guī)則統(tǒng)計(jì)模塊4、掃描模塊5、提取模塊6、地址統(tǒng)計(jì)模塊7、誤報(bào)規(guī)則認(rèn)定模塊8以及處理模塊9。

其中，所述報(bào)警日志處理模塊1首先收集IDS報(bào)警日志，所述IDS報(bào)警日志中包括IDS規(guī)則名稱、源IP地址以及目的IP地址，并根據(jù)所述IDS規(guī)則名稱、源IP地址以及目的IP地址生成所述IDS報(bào)警日志的唯一識(shí)別碼，并獲取所述IDS報(bào)警日志的當(dāng)天日期；

其中，所述唯一識(shí)別碼具體可為MD5值；

所述歷史報(bào)警數(shù)據(jù)庫2則用于存儲(chǔ)歷史IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；

所述查詢模塊3會(huì)查詢所述報(bào)警日志處理模塊1收集的IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期是否存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫2中，并在判斷為否時(shí)將所述報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫2中(當(dāng)然，還可以存儲(chǔ)所述報(bào)警日志對(duì)應(yīng)的IDS規(guī)則、源IP地址以及目的IP地址)，若判斷為是則不做處理；

所述規(guī)則統(tǒng)計(jì)模塊4用于統(tǒng)計(jì)過去M天的歷史報(bào)警數(shù)據(jù)庫，并根據(jù)每一天的歷史報(bào)警數(shù)據(jù)庫生成一個(gè)歷史報(bào)警列表(即共生成M個(gè)歷史報(bào)警列表)，每個(gè)歷史報(bào)警列表均記錄有當(dāng)天的歷史報(bào)警數(shù)據(jù)庫中的所有歷史報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；其中M為正整數(shù)；

所述規(guī)則統(tǒng)計(jì)模塊4優(yōu)選可以每天運(yùn)行一次；

所述掃描模塊5用于依次掃描每個(gè)歷史報(bào)警列表并按照唯一識(shí)別碼進(jìn)行查詢，若一目標(biāo)唯一識(shí)別碼不存在，則將所述目標(biāo)唯一識(shí)別碼及對(duì)應(yīng)的IDS規(guī)則名稱、源IP地址、目的IP地址、當(dāng)天日期保存至一統(tǒng)計(jì)列表中，并將所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)設(shè)置為1次；若所述目標(biāo)唯一識(shí)別碼存在，則將所述統(tǒng)計(jì)列表中的所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)加1；

優(yōu)選地，所述掃描模塊5在完成掃描后，可以生成最終的統(tǒng)計(jì)列表，并可以將統(tǒng)計(jì)次數(shù)進(jìn)行換算：次數(shù)＝統(tǒng)計(jì)次數(shù)*100/M；

所述提取模塊6則在所述掃描模塊5完成掃描后，提取統(tǒng)計(jì)次數(shù)(或者次數(shù))大于第一閾值的歷史報(bào)警日志并獲取對(duì)應(yīng)的IDS規(guī)則名稱；

所述地址統(tǒng)計(jì)模塊7用于根據(jù)IDS規(guī)則名稱的流量方向統(tǒng)計(jì)地址數(shù)量；具體地，所述地址統(tǒng)計(jì)模塊7用于在所述流量方向?yàn)檎驎r(shí)統(tǒng)計(jì)源IP地址數(shù)量，在所述流量方向?yàn)榉聪驎r(shí)統(tǒng)計(jì)目的IP地址數(shù)量；

所述誤報(bào)規(guī)則認(rèn)定模塊8則用于將統(tǒng)計(jì)的地址數(shù)量大于第二閾值的IDS規(guī)則認(rèn)定為誤報(bào)規(guī)則；其中所述第二閾值可以根據(jù)內(nèi)網(wǎng)主機(jī)的IP數(shù)量進(jìn)行設(shè)定；

所述處理模塊9會(huì)刪除誤報(bào)規(guī)則，并刪除誤報(bào)規(guī)則對(duì)應(yīng)的所有歷史報(bào)警數(shù)據(jù)。

如圖2所示，本發(fā)明還提供了一種IDS規(guī)則的優(yōu)化方法，其利用上述的IDS規(guī)則的優(yōu)化系統(tǒng)實(shí)現(xiàn)，所述IDS規(guī)則的優(yōu)化方法包括以下步驟：

步驟101、所述報(bào)警日志處理模塊收集IDS報(bào)警日志，所述IDS報(bào)警日志中包括IDS規(guī)則名稱、源IP地址以及目的IP地址，并根據(jù)所述IDS規(guī)則名稱、源IP地址以及目的IP地址生成所述IDS報(bào)警日志的唯一識(shí)別碼，并獲取所述IDS報(bào)警日志的當(dāng)天日期；

步驟102、所述歷史報(bào)警數(shù)據(jù)庫存儲(chǔ)歷史IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；

步驟103、所述查詢模塊查詢所述報(bào)警日志處理模塊收集的IDS報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期是否存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫中，并在判斷為否時(shí)將所述報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期存儲(chǔ)于所述歷史報(bào)警數(shù)據(jù)庫中；

步驟104、所述規(guī)則統(tǒng)計(jì)模塊統(tǒng)計(jì)過去M天的歷史報(bào)警數(shù)據(jù)庫，并根據(jù)每一天的歷史報(bào)警數(shù)據(jù)庫生成一個(gè)歷史報(bào)警列表，每個(gè)歷史報(bào)警列表均記錄有當(dāng)天的歷史報(bào)警數(shù)據(jù)庫中的所有歷史報(bào)警日志對(duì)應(yīng)的唯一識(shí)別碼及當(dāng)天日期；其中M為正整數(shù)；

步驟105、所述掃描模塊依次掃描每個(gè)歷史報(bào)警列表并按照唯一識(shí)別碼進(jìn)行查詢，若一目標(biāo)唯一識(shí)別碼不存在時(shí)，則將所述目標(biāo)唯一識(shí)別碼及對(duì)應(yīng)的IDS規(guī)則名稱、源IP地址、目的IP地址、當(dāng)天日期保存至一統(tǒng)計(jì)列表中，并將所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)設(shè)置為1次；若所述目標(biāo)唯一識(shí)別碼存在時(shí)，則將所述統(tǒng)計(jì)列表中的所述目標(biāo)唯一識(shí)別碼的統(tǒng)計(jì)次數(shù)加1；

步驟106、所述提取模塊在所述掃描模塊完成掃描后，提取統(tǒng)計(jì)次數(shù)大于第一閾值的歷史報(bào)警日志并獲取對(duì)應(yīng)的IDS規(guī)則名稱；

步驟107、所述地址統(tǒng)計(jì)模塊根據(jù)IDS規(guī)則名稱的流量方向統(tǒng)計(jì)地址數(shù)量；

步驟108、所述誤報(bào)規(guī)則認(rèn)定模塊將統(tǒng)計(jì)的地址數(shù)量大于第二閾值的IDS規(guī)則認(rèn)定為誤報(bào)規(guī)則；

步驟109、所述處理模塊刪除誤報(bào)規(guī)則，并刪除誤報(bào)規(guī)則對(duì)應(yīng)的所有歷史報(bào)警數(shù)據(jù)。

其中，所述唯一識(shí)別碼優(yōu)選為MD5值，步驟107中所述地址統(tǒng)計(jì)模塊具體在所述流量方向?yàn)檎驎r(shí)統(tǒng)計(jì)源IP地址數(shù)量，在所述流量方向?yàn)榉聪驎r(shí)統(tǒng)計(jì)目的IP地址數(shù)量。

雖然以上描述了本發(fā)明的具體實(shí)施方式，但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，這些僅是舉例說明，本發(fā)明的保護(hù)范圍是由所附權(quán)利要求書限定的。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實(shí)質(zhì)的前提下，可以對(duì)這些實(shí)施方式做出多種變更或修改，但這些變更和修改均落入本發(fā)明的保護(hù)范圍。