IDS规则的优化系统及优化方法.pdf

本发明公开了一种IDS规则的优化系统及优化方法，优化系统包括：报警日志处理模块，收集IDS报警日志并生成唯一识别码，获取当天日期；历史报警数据库，存储历史IDS报警日志；查询模块，查询收集的IDS报警日志是否存储于历史报警数据库中，若否则存储；规则统计模块，统计过去M天的历史报警数据库并生成M个历史报警列表；扫描模块，扫描每个历史报警列表并进行查询；提取模块，提取统计次数大于第一阈值的历史报警日志并获取IDS规则名称；地址统计模块，根据流量方向统计地址数量；误报规则认定模块，将统计的地址数量大于第二阈值的IDS规则认定为误报规则；处理模块，删除误报规则。本发明减少报警数量，提高了报警准确性。

1.一种IDS规则的优化系统，其特征在于，包括：
报警日志处理模块，用于收集IDS报警日志，所述IDS报警日志中包括IDS规则名称、源
IP地址以及目的IP地址，并根据所述IDS规则名称、源IP地址以及目的IP地址生成所述IDS
报警日志的唯一识别码，并获取所述IDS报警日志的当天日期；
历史报警数据库，用于存储历史IDS报警日志对应的唯一识别码及当天日期；
查询模块，用于查询所述报警日志处理模块收集的IDS报警日志对应的唯一识别码及
当天日期是否存储于所述历史报警数据库中，并在判断为否时将所述报警日志对应的唯一
识别码及当天日期存储于所述历史报警数据库中；
规则统计模块，用于统计过去M天的历史报警数据库，并根据每一天的历史报警数据库
生成一个历史报警列表，每个历史报警列表均记录有当天的历史报警数据库中的所有历史
报警日志对应的唯一识别码及当天日期；其中M为正整数；
扫描模块，用于依次扫描每个历史报警列表并按照唯一识别码进行查询，若一目标唯
一识别码不存在，则将所述目标唯一识别码及对应的IDS规则名称、源IP地址、目的IP地址、
当天日期保存至一统计列表中，并将所述目标唯一识别码的统计次数设置为1次；若所述目
标唯一识别码存在，则将所述统计列表中的所述目标唯一识别码的统计次数加1；
提取模块，用于在所述扫描模块完成扫描后，提取统计次数大于第一阈值的历史报警
日志并获取对应的IDS规则名称；
地址统计模块，用于根据IDS规则名称的流量方向统计地址数量；
误报规则认定模块，用于将统计的地址数量大于第二阈值的IDS规则认定为误报规则；
处理模块，用于删除误报规则。
2.如权利要求1所述的IDS规则的优化系统，其特征在于，所述处理模块还用于删除误
报规则对应的所有历史报警数据。
3.如权利要求1所述的IDS规则的优化系统，其特征在于，所述唯一识别码为MD5值。
4.如权利要求1所述的IDS规则的优化系统，其特征在于，所述地址统计模块用于在所
述流量方向为正向时统计源IP地址数量，在所述流量方向为反向时统计目的IP地址数量。
5.一种IDS规则的优化方法，其特征在于，其利用如权利要求1所述的IDS规则的优化系
统实现，所述优化方法包括以下步骤：
S1、所述报警日志处理模块收集IDS报警日志，所述IDS报警日志中包括IDS规则名称、源
IP地址以及目的IP地址，并根据所述IDS规则名称、源IP地址以及目的IP地址生成所述IDS
报警日志的唯一识别码，并获取所述IDS报警日志的当天日期；
S2、所述历史报警数据库存储历史IDS报警日志对应的唯一识别码及当天日期；
S3、所述查询模块查询所述报警日志处理模块收集的IDS报警日志对应的唯一识别码及
当天日期是否存储于所述历史报警数据库中，并在判断为否时将所述报警日志对应的唯一
识别码及当天日期存储于所述历史报警数据库中；
S4、所述规则统计模块统计过去M天的历史报警数据库，并根据每一天的历史报警数据
库生成一个历史报警列表，每个历史报警列表均记录有当天的历史报警数据库中的所有历
史报警日志对应的唯一识别码及当天日期；其中M为正整数；
S5、所述扫描模块依次扫描每个历史报警列表并按照唯一识别码进行查询，若一目标唯
一识别码不存在时，则将所述目标唯一识别码及对应的IDS规则名称、源IP地址、目的IP地
址、当天日期保存至一统计列表中，并将所述目标唯一识别码的统计次数设置为1次；若所
述目标唯一识别码存在时，则将所述统计列表中的所述目标唯一识别码的统计次数加1；
S6、所述提取模块在所述扫描模块完成扫描后，提取统计次数大于第一阈值的历史报警
日志并获取对应的IDS规则名称；
S7、所述地址统计模块根据IDS规则名称的流量方向统计地址数量；
S8、所述误报规则认定模块将统计的地址数量大于第二阈值的IDS规则认定为误报规
则；
S9、所述处理模块删除误报规则。
6.如权利要求5所述的IDS规则的优化方法，其特征在于，步骤S9还包括：所述处理模块
还删除误报规则对应的所有历史报警数据。
7.如权利要求5所述的IDS规则的优化方法，其特征在于，所述唯一识别码为MD5值。
8.如权利要求5所述的IDS规则的优化方法，其特征在于，步骤S7中所述地址统计模块在
所述流量方向为正向时统计源IP地址数量，在所述流量方向为反向时统计目的IP地址数
量。

IDS规则的优化系统及优化方法

技术领域

本发明涉及一种网络安全技术领域，特别是涉及一种IDS规则的优化系统及优化
方法。

背景技术

随着互联网的发展，网络安全越来越受到重视，IDS(Intrusion Detection
Systems，入侵检测系统)是被企业广泛使用的系统，它用于监控网络运行状况，尽可能地发
现攻击企图、行为，以此来保证网络系统的安全性。但是IDS系统本身存在大量的误报情况，
导致产生了大量的报警，安全工程师无法从海量的报警信息中获取真正的威胁，大大的降
低了IDS系统的可用性。

发明内容

本发明要解决的技术问题是为了克服现有技术中IDS本身存在大量的误报情况，
导致产生了大量的报警的缺陷，提供一种IDS规则的优化系统及优化方法。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种IDS规则的优化系统，其特点在于，包括：

报警日志处理模块，用于收集IDS报警日志，所述IDS报警日志中包括IDS规则名
称、源IP(网络之间互连的协议)地址以及目的IP地址，并根据所述IDS规则名称、源IP地址
以及目的IP地址生成所述IDS报警日志的唯一识别码，并获取所述IDS报警日志的当天日
期；

历史报警数据库，用于存储历史IDS报警日志对应的唯一识别码及当天日期；

查询模块，用于查询所述报警日志处理模块收集的IDS报警日志对应的唯一识别
码及当天日期是否存储于所述历史报警数据库中，并在判断为否时将所述报警日志对应的
唯一识别码及当天日期存储于所述历史报警数据库中；

规则统计模块，用于统计过去M天的历史报警数据库，并根据每一天的历史报警数
据库生成一个历史报警列表，每个历史报警列表均记录有当天的历史报警数据库中的所有
历史报警日志对应的唯一识别码及当天日期；其中M为正整数；

扫描模块，用于依次扫描每个历史报警列表并按照唯一识别码进行查询，若一目
标唯一识别码不存在，则将所述目标唯一识别码及对应的IDS规则名称、源IP地址、目的IP
地址、当天日期保存至一统计列表中，并将所述目标唯一识别码的统计次数设置为1次；若
所述目标唯一识别码存在，则将所述统计列表中的所述目标唯一识别码的统计次数加1；

提取模块，用于在所述扫描模块完成扫描后，提取统计次数大于第一阈值的历史
报警日志并获取对应的IDS规则名称；

地址统计模块，用于根据IDS规则名称的流量方向统计地址数量；

误报规则认定模块，用于将统计的地址数量大于第二阈值的IDS规则认定为误报
规则；

处理模块，用于删除误报规则。

较佳地，所述处理模块还用于删除误报规则对应的所有历史报警数据。

较佳地，所述唯一识别码为MD5(消息摘要算法第五版)值。

较佳地，所述地址统计模块用于在所述流量方向为正向时统计源IP地址数量，在
所述流量方向为反向时统计目的IP地址数量。

本发明的目的在于还提供了一种IDS规则的优化方法，其特点在于，其利用上述的
IDS规则的优化系统实现，所述优化方法包括以下步骤：

S1、所述报警日志处理模块收集IDS报警日志，所述IDS报警日志中包括IDS规则名
称、源IP地址以及目的IP地址，并根据所述IDS规则名称、源IP地址以及目的IP地址生成所
述IDS报警日志的唯一识别码，并获取所述IDS报警日志的当天日期；

S2、所述历史报警数据库存储历史IDS报警日志对应的唯一识别码及当天日期；

S3、所述查询模块查询所述报警日志处理模块收集的IDS报警日志对应的唯一识
别码及当天日期是否存储于所述历史报警数据库中，并在判断为否时将所述报警日志对应
的唯一识别码及当天日期存储于所述历史报警数据库中；

S4、所述规则统计模块统计过去M天的历史报警数据库，并根据每一天的历史报警
数据库生成一个历史报警列表，每个历史报警列表均记录有当天的历史报警数据库中的所
有历史报警日志对应的唯一识别码及当天日期；其中M为正整数；

S5、所述扫描模块依次扫描每个历史报警列表并按照唯一识别码进行查询，若一
目标唯一识别码不存在时，则将所述目标唯一识别码及对应的IDS规则名称、源IP地址、目
的IP地址、当天日期保存至一统计列表中，并将所述目标唯一识别码的统计次数设置为1
次；若所述目标唯一识别码存在时，则将所述统计列表中的所述目标唯一识别码的统计次
数加1；

S6、所述提取模块在所述扫描模块完成扫描后，提取统计次数大于第一阈值的历
史报警日志并获取对应的IDS规则名称；

S7、所述地址统计模块根据IDS规则名称的流量方向统计地址数量；

S8、所述误报规则认定模块将统计的地址数量大于第二阈值的IDS规则认定为误
报规则；

S9、所述处理模块删除误报规则。

较佳地，步骤S9还包括：所述处理模块还删除误报规则对应的所有历史报警数据。

较佳地，所述唯一识别码为MD5值。

较佳地，步骤S7中所述地址统计模块在所述流量方向为正向时统计源IP地址数
量，在所述流量方向为反向时统计目的IP地址数量。

本发明的积极进步效果在于：本发明采用对所有IDS报警进行计算和统计的方式
来对IDS规则进行分析，并根据分析结果识别出误报的IDS规则，并且在确认为误报规则时
自动进行规则更新等操作，直接消除了误报规则，从而从根本上减少了报警数量，提高了报
警的准确性，优化了IDS规则，降低了IDS系统的误报率，提高了IDS系统的可用性。

附图说明

图1为本发明的较佳实施例的IDS规则的优化系统的模块示意图。

图2为本发明的较佳实施例的IDS规则的优化方法的流程图。

具体实施方式

下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实
施例范围之中。

如图1所示，本发明的IDS规则的优化系统包括报警日志处理模块1、历史报警数据
库2、查询模块3、规则统计模块4、扫描模块5、提取模块6、地址统计模块7、误报规则认定模
块8以及处理模块9。

其中，所述报警日志处理模块1首先收集IDS报警日志，所述IDS报警日志中包括
IDS规则名称、源IP地址以及目的IP地址，并根据所述IDS规则名称、源IP地址以及目的IP地
址生成所述IDS报警日志的唯一识别码，并获取所述IDS报警日志的当天日期；

其中，所述唯一识别码具体可为MD5值；

所述历史报警数据库2则用于存储历史IDS报警日志对应的唯一识别码及当天日
期；

所述查询模块3会查询所述报警日志处理模块1收集的IDS报警日志对应的唯一识
别码及当天日期是否存储于所述历史报警数据库2中，并在判断为否时将所述报警日志对
应的唯一识别码及当天日期存储于所述历史报警数据库2中(当然，还可以存储所述报警日
志对应的IDS规则、源IP地址以及目的IP地址)，若判断为是则不做处理；

所述规则统计模块4用于统计过去M天的历史报警数据库，并根据每一天的历史报
警数据库生成一个历史报警列表(即共生成M个历史报警列表)，每个历史报警列表均记录
有当天的历史报警数据库中的所有历史报警日志对应的唯一识别码及当天日期；其中M为
正整数；

所述规则统计模块4优选可以每天运行一次；

所述扫描模块5用于依次扫描每个历史报警列表并按照唯一识别码进行查询，若
一目标唯一识别码不存在，则将所述目标唯一识别码及对应的IDS规则名称、源IP地址、目
的IP地址、当天日期保存至一统计列表中，并将所述目标唯一识别码的统计次数设置为1
次；若所述目标唯一识别码存在，则将所述统计列表中的所述目标唯一识别码的统计次数
加1；

优选地，所述扫描模块5在完成扫描后，可以生成最终的统计列表，并可以将统计
次数进行换算：次数＝统计次数*100/M；

所述提取模块6则在所述扫描模块5完成扫描后，提取统计次数(或者次数)大于第
一阈值的历史报警日志并获取对应的IDS规则名称；

所述地址统计模块7用于根据IDS规则名称的流量方向统计地址数量；具体地，所
述地址统计模块7用于在所述流量方向为正向时统计源IP地址数量，在所述流量方向为反
向时统计目的IP地址数量；

所述误报规则认定模块8则用于将统计的地址数量大于第二阈值的IDS规则认定
为误报规则；其中所述第二阈值可以根据内网主机的IP数量进行设定；

所述处理模块9会删除误报规则，并删除误报规则对应的所有历史报警数据。

如图2所示，本发明还提供了一种IDS规则的优化方法，其利用上述的IDS规则的优
化系统实现，所述IDS规则的优化方法包括以下步骤：

步骤101、所述报警日志处理模块收集IDS报警日志，所述IDS报警日志中包括IDS
规则名称、源IP地址以及目的IP地址，并根据所述IDS规则名称、源IP地址以及目的IP地址
生成所述IDS报警日志的唯一识别码，并获取所述IDS报警日志的当天日期；

步骤102、所述历史报警数据库存储历史IDS报警日志对应的唯一识别码及当天日
期；

步骤103、所述查询模块查询所述报警日志处理模块收集的IDS报警日志对应的唯
一识别码及当天日期是否存储于所述历史报警数据库中，并在判断为否时将所述报警日志
对应的唯一识别码及当天日期存储于所述历史报警数据库中；

步骤104、所述规则统计模块统计过去M天的历史报警数据库，并根据每一天的历
史报警数据库生成一个历史报警列表，每个历史报警列表均记录有当天的历史报警数据库
中的所有历史报警日志对应的唯一识别码及当天日期；其中M为正整数；

步骤105、所述扫描模块依次扫描每个历史报警列表并按照唯一识别码进行查询，
若一目标唯一识别码不存在时，则将所述目标唯一识别码及对应的IDS规则名称、源IP地
址、目的IP地址、当天日期保存至一统计列表中，并将所述目标唯一识别码的统计次数设置
为1次；若所述目标唯一识别码存在时，则将所述统计列表中的所述目标唯一识别码的统计
次数加1；

步骤106、所述提取模块在所述扫描模块完成扫描后，提取统计次数大于第一阈值
的历史报警日志并获取对应的IDS规则名称；

步骤107、所述地址统计模块根据IDS规则名称的流量方向统计地址数量；

步骤108、所述误报规则认定模块将统计的地址数量大于第二阈值的IDS规则认定
为误报规则；

步骤109、所述处理模块删除误报规则，并删除误报规则对应的所有历史报警数
据。

其中，所述唯一识别码优选为MD5值，步骤107中所述地址统计模块具体在所述流
量方向为正向时统计源IP地址数量，在所述流量方向为反向时统计目的IP地址数量。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些
仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背
离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更
和修改均落入本发明的保护范围。