CN100386993C - 网络入侵事件风险评估方法及系统 - Google Patents
网络入侵事件风险评估方法及系统 Download PDFInfo
- Publication number
- CN100386993C CN100386993C CNB200510086351XA CN200510086351A CN100386993C CN 100386993 C CN100386993 C CN 100386993C CN B200510086351X A CNB200510086351X A CN B200510086351XA CN 200510086351 A CN200510086351 A CN 200510086351A CN 100386993 C CN100386993 C CN 100386993C
- Authority
- CN
- China
- Prior art keywords
- result
- scanning
- risk assessment
- incident
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明涉及一种网络入侵事件的有效性分析过滤、风险评估的方法及系统,它包括:1.按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算的引擎模块单元;2.对引擎模块的控制和管理单元;3.入侵事件风险评估结果显示和报表模块单元,入侵风险评估主要是在入侵检测系统(IDS)中引入了周期性的漏洞扫描结果,这样,在综合比较入侵特征和漏洞扫描得到的结果后就可以对网络中所存在的漏洞与攻击所产生的威胁进行一个更加全面和更加准确的描述与评价,从而极大的降低了IDS的误报率和提高了准确率,弥补了IDS本身固有的缺陷。
Description
技术领域
本发明涉及计算机网络安全领域,是一种网络入侵监测系统(NIDS:Network Intrusion Detection System)和脆弱性扫描系统(Scanner)协同工作的方法和系统,以降低IDS报警事件的数据量和提高IDS报警事件的精确程度。
背景技术
NIDS安装在被保护的网段中,其监听网卡工作在混杂模式下,依据网络行为特征同特征库(知识库)进行模式匹配分析网段中所有的数据包,进行网络安全事件的实时检测和响应。在事件上报的数据量和检测的准确性方面,这种单一的匹配检测方法存在着一定程度的缺陷。简单地举个例子就可以说明这一点,设想下面的一个环境:
某企业内网中运行这一台WEB服务器Server_WEB,运行的操作系统是Linux,出于安全考虑,这台服务器仅开放端口80提供WEB服务,而关闭了FTP端口20、21和TELNET端口23等其它端口。这台WEB服务器位于企业内网部署的IDS的监控范围之内,即如果IDS不存在漏报,那么IDS就可以有效地检测到一切对于Server_WEB进行的入侵攻击。假设处于企业外网的一名黑客对该服务器进行了基于FTP服务的用户口令穷举猜解,那么事实上由于该服务器没有提供FTP服务并且关闭了21端口,所以此次入侵并不能真正形成威胁,但由于传统的IDS并没有关于该服务器系统配置的记录,也会报出这条事件来。因此有必要结合其他手段和技术来提高IDS报警事件的精确程度。
而脆弱性扫描系统则可以比较准确的扫描出内部网络中的各主机的操作系统、开放的端口和存在的漏洞等信息。这样IDS的入侵事件通过与脆弱性扫描系统周期性的扫描结果进行关联分析,将无效事件进行过滤,将有效事件的风险程度进行计算,就能大大提高IDS报警结果的可用性。
发明内容
本发明的目的就是设计一种与IDS协同工作的方法和系统,以提高IDS报警事件的准确度,使IDS用户从巨大的事件数据量中解脱出来,而将更多的精力放在解决真正是有效的网络攻击事件上。
为实现上述目的,本发明实现了一种网络入侵事件进行有效性分析和风险评估计算方法和系统,通过它可以结合IDS和Scanner的安全功能,使它们能够协同工作,从而降低IDS报警事件的数据量和提高IDS报警事件的精确程度。
一种网络入侵事件风险评估方法,该方法根据脆弱性扫描系统的扫描结果对入侵检测系统IDS上报事件的准确性和威胁性进行关联分析和风险评估计算,关联分析和风险评估计算包含:
(1)将入侵检测系统所报事件的端口和脆弱性扫描系统对被监控主机的端口扫描结果进行匹配,端口包括TCP和UDP端口;
(2)将入侵检测系统报出事件的所属操作系统和脆弱性扫描系统对被监控主机的操作系统扫描结果进行匹配;
(3)将入侵检测系统报出事件所对应的漏洞和脆弱性扫描系统对被监控主机的漏洞扫描结果进行匹配;
(4)根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行风险评估计算;
(5)输出分析计算后的匹配结果和风险。
网络入侵事件风险评估系统包括:
(1)分析引擎模块单元:按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算,将入侵检测系统IDS上报的入侵事件与脆弱性扫描系统Scanner最新的扫描结果进行匹配分析;其中使用的分析方法包含:将入侵检测系统所报事件的端口和脆弱性扫描系统对被监控主机的端口扫描结果进行匹配,端口包括TCP和UDP端口;将入侵检测系统报出事件的所属操作系统和脆弱性扫描系统对被监控主机的操作系统扫描结果进行匹配;将入侵检测系统报出事件所对应的漏洞和脆弱性扫描系统对被监控主机的漏洞扫描结果进行匹配;根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行风险评估计算;输出分析计算后的匹配结果和风险;
(2)引擎的控制和设置模块单元:对引擎工作状态的启动、停止进行控制及查询,设置需要监控的主机IP范围及引擎的工作匹配模式;
(3)脆弱性扫描设置模块单元:设置对被监控主机进行周期性脆弱扫描的相关参数,包括是否周期性扫描、每次扫描的日期时间、每次扫描工作的最大线程数,设置完毕后,扫描任务就立即生效;
(4)网络资产管理模块单元:设置和管理被监控主机的资产信息,资产信息从脆弱性扫描的结果中导入,并可以进行修改和删除;
(5)事件风险评估结果显示和报表模块单元:将引擎对入侵事件与扫描结果进行匹配和风险评估计算的结果在用户界面上显示出来,便于用户查看和分析;同时在报表模块中对结果进行统计、分析、归档。
本专利中所申请的网络入侵事件风险评估方法及系统,具有以下优点:
1、将两个主要的网络安全产品IDS和Scanner进行了无缝结合,突出的体现了各自的优点和互补性,弥补了各自的缺陷,提高了它们的使用价值;
2、对入侵事件的风险程度进行了全面准确的分析,使用户能够将主要精力集中在高风险程度的入侵事件上;
3、可以有效地降低入侵检测系统的误报率,提高其报告事件的准确率。
附图说明
图1.系统实现框架图。
图2.系统实现流程图。
具体实施方式
对行为关联事件描述语言的软件实现结构,见说明书附图2。本系统工作于IDS和SCANNER之上,它主要是利用IDS和SCANNER所报的结果进行分析,剔除误报的事件,并对有效事件进行风险评估。
引擎启动后会定时根据指定IP范围取得所有IP的最新脆弱性扫描结果,其数据结构如下:
typedef struct
{
//指定IP范围扫描任务的ID
DWORD dwTID;
//扫描任务dwTID扫描完成时间,用以标定是否是最新的结果
time_t tCurrentTime;
//扫描任务dwTID的扫描结果
map<DWORD,SingleIPScanLog>map_ScanLog;
//标定该扫描结果是否正在使用
LONG nSLCounter;
}MapScanLog;
其中map_ScanLog根据事件漏洞对应表对扫描结果与相关的事件ID进行关联和排序,以提高引擎对上报事件查询、检索和分析的速度。
每当IDS上报一条攻击事件时,引擎首先分析该事件是与事件的源IP相关还是目的IP相关,也就是该攻击特征是针对源IP还是目的IP的;然后检查该相关的IP是否在指定的IP范围内:如果不在指定的IP范围内就放弃这条事件;如果在指定的IP范围内,则分别与扫描结果中的端口信息、操作系统信息、事件ID进行匹配,并取得匹配结果。然后根据匹配结果MV(取值范围0~3)、该事件的风险级别EL(四个级别:1~4)、对应漏洞的危险级别VL(三个级别:2~4)来得到该事件的风险评估结果RV。事件的风险评估计算公式为:RV=(MV*EL*VL)/(3*4*4)*100%。RV值越高表示该入侵事件的攻击可能性越大,反之就越小。
Claims (2)
1.一种网络入侵事件风险评估方法,该方法根据脆弱性扫描系统的扫描结果对入侵检测系统IDS上报事件的准确性和威胁性进行关联分析和风险评估计算,其特征在于:关联分析和风险评估计算包含:
(1)将入侵检测系统所报事件的端口和脆弱性扫描系统对被监控主机的端口扫描结果进行匹配,端口包括TCP和UDP端口;
(2)将入侵检测系统报出事件的所属操作系统和脆弱性扫描系统对被监控主机的操作系统扫描结果进行匹配;
(3)将入侵检测系统报出事件所对应的漏洞和脆弱性扫描系统对被监控主机的漏洞扫描结果进行匹配;
(4)根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行风险评估计算;
(5)输出分析计算后的匹配结果和风险。
2.一种网络入侵事件风险评估系统,其特征在于:
该系统包括:
(1)分析引擎模块单元:按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算,将入侵检测系统IDS上报的入侵事件与脆弱性扫描系统Scanner最新的扫描结果进行匹配分析;其中使用的分析方法包含:将入侵检测系统所报事件的端口和脆弱性扫描系统对被监控主机的端口扫描结果进行匹配,端口包括TCP和UDP端口;将入侵检测系统报出事件的所属操作系统和脆弱性扫描系统对被监控主机的操作系统扫描结果进行匹配;将入侵检测系统报出事件所对应的漏洞和脆弱性扫描系统对被监控主机的漏洞扫描结果进行匹配;根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行风险评估计算;输出分析计算后的匹配结果和风险;
(2)引擎的控制和设置模块单元:对引擎工作状态的启动、停止进行控制及查询,设置需要监控的主机IP范围及引擎的工作匹配模式;
(3)脆弱性扫描设置模块单元:设置对被监控主机进行周期性脆弱扫描的相关参数,包括是否周期性扫描、每次扫描的日期时间、每次扫描工作的最大线程数,设置完毕后,扫描任务就立即生效;
(4)网络资产管理模块单元:设置和管理被监控主机的资产信息,资产信息从脆弱性扫描的结果中导入,并可以进行修改和删除;
(5)事件风险评估结果显示和报表模块单元:将引擎对入侵事件与扫描结果进行匹配和风险评估计算的结果在用户界面上显示出来,便于用户查看和分析;同时在报表模块中对结果进行统计、分析、归档。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510086351XA CN100386993C (zh) | 2005-09-05 | 2005-09-05 | 网络入侵事件风险评估方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510086351XA CN100386993C (zh) | 2005-09-05 | 2005-09-05 | 网络入侵事件风险评估方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1741472A CN1741472A (zh) | 2006-03-01 |
| CN100386993C true CN100386993C (zh) | 2008-05-07 |
Family
ID=36093693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200510086351XA Expired - Fee Related CN100386993C (zh) | 2005-09-05 | 2005-09-05 | 网络入侵事件风险评估方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100386993C (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488168B (zh) * | 2008-01-17 | 2011-06-22 | 北京启明星辰信息技术股份有限公司 | 一种计算机信息系统综合风险计算方法和系统 |
| CN101272286B (zh) * | 2008-05-15 | 2010-12-15 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101651567B (zh) * | 2009-07-10 | 2012-08-01 | 深圳市永达电子股份有限公司 | 一种可用性风险扩散评估方法 |
| CN101610174B (zh) * | 2009-07-24 | 2011-08-24 | 深圳市永达电子股份有限公司 | 一种日志事件关联分析系统与方法 |
| CN101938474B (zh) * | 2010-08-27 | 2013-07-31 | 清华大学 | 一种网络入侵检测与防护的方法及装置 |
| CN102075377A (zh) * | 2010-11-30 | 2011-05-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备测试系统及其方法 |
| US20130096980A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | User-defined countermeasures |
| CN104520871A (zh) * | 2012-07-31 | 2015-04-15 | 惠普发展公司,有限责任合伙企业 | 漏洞矢量信息分析 |
| CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算系统及方法 |
| CN112073355A (zh) * | 2019-05-25 | 2020-12-11 | 福建雷盾信息安全有限公司 | 基于网络流量的脆弱性分析方法 |
| CN112751830B (zh) * | 2020-12-15 | 2024-01-23 | 广东华兴银行股份有限公司 | 一种提升网络攻击检测准确性的方法、设备及介质 |
| CN113206828B (zh) * | 2021-03-30 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040261030A1 (en) * | 2002-11-04 | 2004-12-23 | Nazzal Robert N. | Feedback mechanism to minimize false assertions of a network intrusion |
| CN1558605A (zh) * | 2004-01-19 | 2004-12-29 | 上海交通大学 | 漏洞扫描的实现方法 |
| CN1581089A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
| US20050108393A1 (en) * | 2003-10-31 | 2005-05-19 | International Business Machines Corporation | Host-based network intrusion detection systems |
| CN1643876A (zh) * | 2002-03-29 | 2005-07-20 | 思科技术公司 | 用于降低网络入侵检测系统的误报率的方法和系统 |
-
2005
- 2005-09-05 CN CNB200510086351XA patent/CN100386993C/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1643876A (zh) * | 2002-03-29 | 2005-07-20 | 思科技术公司 | 用于降低网络入侵检测系统的误报率的方法和系统 |
| US20040261030A1 (en) * | 2002-11-04 | 2004-12-23 | Nazzal Robert N. | Feedback mechanism to minimize false assertions of a network intrusion |
| CN1581089A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
| US20050108393A1 (en) * | 2003-10-31 | 2005-05-19 | International Business Machines Corporation | Host-based network intrusion detection systems |
| CN1558605A (zh) * | 2004-01-19 | 2004-12-29 | 上海交通大学 | 漏洞扫描的实现方法 |
Non-Patent Citations (4)
| Title |
|---|
| 入侵检测系统评估技术研究. 董晓梅,肖珂,于戈.小型微型计算机系统,第26卷第4期. 2005 |
| 入侵检测系统评估技术研究. 董晓梅,肖珂,于戈.小型微型计算机系统,第26卷第4期. 2005 * |
| 网络安全漏洞扫描与脆弱性分析研究. 吕镇邦,张军才,张军.航空计算技术,第35卷第2期. 2005 |
| 网络安全漏洞扫描与脆弱性分析研究. 吕镇邦,张军才,张军.航空计算技术,第35卷第2期. 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1741472A (zh) | 2006-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100386993C (zh) | 网络入侵事件风险评估方法及系统 | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN101803337B (zh) | 入侵检测方法和系统 | |
| CN100531219C (zh) | 一种网络蠕虫检测方法及其系统 | |
| CN109861995A (zh) | 一种网络空间安全大数据智能分析方法、计算机可读介质 | |
| CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
| CN101436967A (zh) | 一种网络安全态势评估方法及其系统 | |
| Lan et al. | A framework for network security situation awareness based on knowledge discovery | |
| CN105204487A (zh) | 基于通信模型的工业控制系统的入侵检测方法及系统 | |
| CN102812441A (zh) | 自动化的恶意软件检测和修复 | |
| CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
| Gómez et al. | Design of a snort-based hybrid intrusion detection system | |
| Zhang et al. | Intrusion detection in SCADA systems by traffic periodicity and telemetry analysis | |
| CN1949720A (zh) | 一种分布式网络入侵检测系统 | |
| CN105812200A (zh) | 异常行为检测方法及装置 | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
| CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
| CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN111754359A (zh) | 一种智能制造工业大数据处理平台的安全监控方法和系统 | |
| Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
| Bolzoni et al. | ATLANTIDES: An Architecture for Alert Verification in Network Intrusion Detection Systems. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: No 12, No. 188 South Main Street, Beijing, Haidian District, Zhongguancun Patentee after: Beijing Venus Information Technology Co., Ltd. Address before: No 12, No. 188 South Main Street, Beijing, Haidian District, Zhongguancun Patentee before: Beijing Qiming Xingchen Information Technology Co., Ltd. |
|
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING QIMINGXINGCHEN INFORMATION TECHNOLOGY CO., Free format text: FORMER NAME: BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY CO. LTD. |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080507 Termination date: 20130905 |