CN101001242B - 网络设备入侵检测的方法 - Google Patents
网络设备入侵检测的方法 Download PDFInfo
- Publication number
- CN101001242B CN101001242B CN200610000284XA CN200610000284A CN101001242B CN 101001242 B CN101001242 B CN 101001242B CN 200610000284X A CN200610000284X A CN 200610000284XA CN 200610000284 A CN200610000284 A CN 200610000284A CN 101001242 B CN101001242 B CN 101001242B
- Authority
- CN
- China
- Prior art keywords
- control plane
- intrusion
- network devices
- flow
- testing network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种网络设备入侵检测的方法,包括:(1)监测各通信端口流量,超出设定阈值时启动入侵检测流程;(2)入侵检测流程启动,嗅探器按照设定的嗅探条件截取数据包并将其复制后发送至控制平面,由该控制平面对所述数据包进行解包分析,并将解析结果与预设的特征库进行匹配,若存在匹配项,则所述控制平面启动相应的安全策略;若不存在匹配项,则进入步骤(3);(3)改变嗅探器的嗅探条件,重新截取数据包进行解包分析,由所述控制平面将分析结果与预设的特征库进行匹配,确定入侵类型后启动相应的安全策略。本发明实现简单、成本较低。
Description
技术领域
本发明涉及通讯网络安全技术领域,具体地说涉及一种网络设备对网络流量异常的检测方法。
背景技术
随着通信技术和网络的不断发展,安全问题越来越突显出来。计算机病毒和黑客的攻击不仅造成用户主机的信息损失及其可用性的降低,而且造成网络流量大大增加,甚至阻塞,影响其他用户的正常通讯。服务提供商的网络设备最主要的目标是识别异常流量,使其不对网络通讯产生影响,同时,对可以识别的其他攻击采取措施。信息的安全性由用户主机或网络来保障,网络设备不需要对所有的针对主机的攻击采取措施。主机的入侵检测系统(IDS,Intrusion Detection System)不应当放过任何一个攻击,而网络设备针对数据转发的IDS可以具有一定的时延。
在服务提供商级别的网络设备上,针对网络设备本身的安全防护技术,其研究和应用已经相当广泛。而对通过网络设备的数据流的检测,存在很多困难和挑战。参见图1,通常网络设备的入侵检测是针对送往检测控制区的控制流,而对数据流的检测存在困难。
服务提供商的基本目标是尽可能快速而准确地传送流量,而入侵检测是一项耗费机时的技术,路由器和其他网络设备上的数据流的安全实现可能会变成潜在的瓶颈影响性能。同时,在网络设备的数据平面,通常是由网络处理器(NP,NetworkProcessor)或其他硬件实现的,这对比较复杂的入侵检测来讲,其实现也存在困难。
鉴于上述实现的难点,只实现对网络设备控制平面的安全防护,对数据平面则只进行静态的速率控制。这种情况不能区分正常流量和异常流量,其作用有限。尤其在感染病毒用户较多的情况下,会失去作用。
此外,静态配置安全策略,在设备上确定应用需求后,进行访问控制列表(ACL,Access Control List)等的访问控制。其不足之处在于,静态配置无法对复杂多变的网络流量做出灵活的反应。
另外,IDS、防火墙技术,对于用户网络的入口来讲是较为理想的技术。其目的在于阻止一切异常流量以及对攻击性数据包的转发,需要对所通过的每一个数据包进行检测。其不足之处在于,需要增加专用硬件进行处理,大大增加成本。
发明内容
本发明的目的是解决现有网络设备入侵检测方法成本高,网络资源消耗高所存在的问题和不足,提供一种成本低,网络资源消耗低,并且易于实现的网络设备入侵检测的方法。
为解决上述问题,本发明采用如下技术方案:一种网络设备入侵检测的方法,包括以下步骤:
(1)监测各通信端口流量,超出设定阈值时启动入侵检测流程;
(2)入侵检测流程启动,嗅探器按照设定的嗅探条件截取数据包并将其复制后发送至控制平面,由该控制平面对所述数据包进行解包分析,并将解析结果与预设的特征库进行匹配,若存在匹配项,则所述控制平面启动相应的安全策略;若不存在匹配项,则进入步骤(3);
(3)改变嗅探器的嗅探条件,重新截取数据包进行解包分析,由所述控制平面将分析结果与预设的特征库进行匹配,确定入侵类型后启动相应的安全策略。
本发明每次检测分析都是针对部分数据包,而不是所有数据包逐个检测,所以资源消耗很低,不会影响数据转发性能,同时根据特征库分级引导嗅探内容,使得检测又能够比较全面。由于资源消耗低,这些检测操作可以放在控制平面处理,同NP和硬件处理相比,具有更大的灵活性,可以应用更丰富的安全分析策略。
附图说明
图1是网络设备流量示意图;
图2是本发明的实现流程图。
具体实施方式
下面结合具体实施方式,进一步说明本发明的技术特征和功能特色,目的是能够更好地说明本发明,但不是用来限制本发明的保护范围。
参见图2,本发明包括以下步骤:
1、入侵检测;入侵检测可以一直执行,也可以在设定条件下触发。比如,检测到某个端口流量异常时,开始执行。
2、数据嗅探;本方法的特点是不能把所有的数据流送往控制平面,而是按照一定的条件过滤(如只采集指定流量异常的端口的流量,或再进行细分,采集异常端口上指定IP地址段的流量),将一部分数据流送往控制平面进行分析。
3、数据包解码检测;进行数据包的检测分析。
4、根据检测结果改变嗅探器;如果检测结果可以确定是某种异常攻击,则直接执行步骤5;
5、报警日志输出并确定安全动作。检测到确定的攻击内容后,采取措施阻塞攻击来源,并给出报警日志。
如果检测结果表明可能为某几种攻击,需要进一步采集数据信息判断。按照攻击特征库的信息,改变嗅探条件,过滤条件,进一步获取需要的判断信息。这正是动态嗅探、分级引导检测的思想体现。重复进行第二、三、四步,直到可以确定攻击类型。
下面以常见的冲击波病毒的探测过程和未知攻击类型的探测过程为例详细说明本发明的具体实施步骤,说明中对通常的入侵检测技术中特征库,嗅探器,检测引擎的原理不做详细介绍。
冲击波病毒首先不断的在网络上扫描TCP 135端口,然后在TCP 4444端口建立连接进行传播和破坏。目的TCP端口为135、目的TCP端口为4444,具备上述两个特征,确定为冲击波病毒传送。依据冲击波病毒特征建立相应的特征库。
根据指定的条件进行数据流采样的代码模块建立嗅探器。嗅探器的采样过滤能力,必须和所要检测的安全功能相匹配。对于检测冲击波病毒,必须具有按照协议端口过滤的能力。嗅探器需要根据控制平面的信息保证采样速率不能给控制平面造成处理压力。
检测引擎进行协议分析,和特征库进行匹配,确定具体的攻击类型。
对于检测结果,可以根据不同情况进行不同的处理。举例来讲:对于确定的危害较严重的攻击,可以直接禁止数据流通过。对于某些异常流量,不能确定是否是攻击,但其流量已经影响网络,可以采取速率限制措施。
对于检测到的异常进行报警并日志记录。在正常情况下IDS可以按照某种方式(按照用户,IP地址,协议端口)进行轮询检测。也可以只监视网络流量,在流量异常,可能影响设备工作的情况下启动。本例中我们让IDS进行按照IP地址的轮询检测,对流量较大的IP地址,再区分目的地址或协议端口。
对于冲击波病毒,本发明的具体步骤如下:
1、检测触发;处于按照IP地址进行轮询检测的状态。
2、数据嗅探;截取某个IP地址的数据流。
复制截取的数据包到控制平面
3、对嗅探器截取的数据包,复制后送往控制平面进行检测。这样做可以不影响数据流的转发。
4、数据包解码检测;协议分析为TCP包,取出目的端口为135。判断可能为冲击波病毒。对照特征库,需要对目的TCP 4444端口进行确认。由于嗅探器截取的并不是全部数据流,可能在步骤2截取的数据包中不包含TCP4444端口。需要重新采样。
5、重复进行2、3步骤。根据检测结果改变嗅探器。根据冲击波病毒的特征,只采样此IP地址的目的地址为TCP135、TCP4444端口的数据包。再次进行数据包解码检测,检测结果显示,这两种包的数量都较大,表明此IP地址有冲击波病毒攻击。
6、报警日志输出并确定安全动作;对此IP的这两个端口进行禁止。
对未知类型的攻击,可以有很多种策略,下例中采取最简单的策略,按照数据包类型找到异常流量来源:
1、检测触发;处于按照IP地址进行轮询检测的状态。此时,系统某端口流量出现异常。
2、数据嗅探;对异常流量端口数据包进行持续截取。对嗅探器截取的数据包,复制后送往控制平面进行检测。这样做可以不影响数据流的转发。
3、数据包解码检测;按照IP地址分析,未发现异常流量IP。改变分析方法。按照协议分析显示TCP80端口和TCP n端口数据包较多。80端口作为常用端口,检查其流量比未超过设定门槛值。所以先对n端口进行分析。对n端口详细分析,未发现匹配现有攻击类型特征。
4、重复进行2、3步骤;根据此检测结果改变嗅探器,只嗅探此端口数据。再次进行数据包解码检测。统计其IP地址分布。如果检测结果显示,大量用户此端口数据流量都有异常,所占流量比较高。病毒攻击的可能性很大。
5、报警日志输出并确定安全动作;对此端口进行较严格的限速,计入报警日志。如果流量异常消除,则表明检测成功。否则,继续进行其他策略的检测。
上述具体实施方式以较佳实施例对本发明进行了说明,但这只是为了便于理解而举的一个形象化的实例,不应被视为是对本发明范围的限制。同样,根据本发明的技术方案及其较佳实施例的描述,可以做出各种可能的等同改变或替换,而所有这些改变或替换都应属于本发明权利要求的保护范围。
Claims (5)
1.一种网络设备入侵检测的方法,其特征在于,该方法包括以下步骤:
(1)监测各通信端口流量,超出设定阈值时启动入侵检测流程;
(2)入侵检测流程启动,嗅探器按照设定的嗅探条件截取数据包并将其复制后发送至控制平面,由该控制平面对所述数据包进行解包分析,并将解析结果与预设的特征库进行匹配,若存在匹配项,则所述控制平面启动相应的安全策略;若不存在匹配项,则进入步骤(3);
(3)改变嗅探器的嗅探条件,重新截取数据包进行解包分析,由所述控制平面将分析结果与预设的特征库进行匹配,确定入侵类型后启动相应的安全策略。
2.如权利要求1所述的网络设备入侵检测的方法,其特征在于,该方法还包括步骤:
启动相应的安全策略后,所述控制平面输出相应入侵病毒的报警日志。
3.如权利要求1或2所述的网络设备入侵检测的方法,其特征在于,所述入侵检测为按照预设方式进行轮询检测。
4.如权利要求3所述的网络设备入侵检测的方法,其特征在于,所述入侵检测按照预设方式进行轮询检测,具体为,按照用户、IP地址或协议端口进行轮询检测。
5.如权利要求2所述的网络设备入侵检测的方法,其特征在于,所启动的安全策略为禁止数据流通过或采取速率限制措施。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610000284XA CN101001242B (zh) | 2006-01-10 | 2006-01-10 | 网络设备入侵检测的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610000284XA CN101001242B (zh) | 2006-01-10 | 2006-01-10 | 网络设备入侵检测的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101001242A CN101001242A (zh) | 2007-07-18 |
| CN101001242B true CN101001242B (zh) | 2011-04-20 |
Family
ID=38693052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610000284XA Expired - Fee Related CN101001242B (zh) | 2006-01-10 | 2006-01-10 | 网络设备入侵检测的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101001242B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902744B (zh) * | 2010-07-28 | 2013-05-01 | 南京航空航天大学 | 基于sniffer的无线传感网的入侵检测方法 |
| CN102014010B (zh) * | 2010-12-31 | 2013-04-03 | 北京网康科技有限公司 | 一种网络行为管理系统及方法 |
| CN102510388B (zh) * | 2012-01-02 | 2014-04-16 | 西安电子科技大学 | 基于自体半径可变的否定选择入侵检测方法 |
| CN104850782B (zh) * | 2014-02-18 | 2019-05-14 | 腾讯科技(深圳)有限公司 | 匹配病毒特征的方法及装置 |
| CN105024989B (zh) * | 2014-11-26 | 2018-09-07 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
| CN105991587B (zh) * | 2015-02-13 | 2019-10-15 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
| CN105763561B (zh) * | 2016-04-15 | 2019-06-28 | 新华三技术有限公司 | 一种攻击防御方法和装置 |
| CN106169992A (zh) * | 2016-06-27 | 2016-11-30 | 安徽科成信息科技有限公司 | 一种网络在线监控方法 |
| CN108881145A (zh) * | 2017-12-26 | 2018-11-23 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN108650225B (zh) * | 2018-04-03 | 2021-03-02 | 国家计算机网络与信息安全管理中心 | 一种远程安全监测设备、系统及远程安全监测方法 |
| CN112311723A (zh) * | 2019-07-26 | 2021-02-02 | 国网河北省电力有限公司信息通信分公司 | 一种基于国家电网信息系统特点的域名服务防护方法 |
| CN111542056B (zh) * | 2020-05-22 | 2021-06-15 | 济南三泽信息安全测评有限公司 | 移动通讯安全智能监测方法、系统及装置 |
| CN113645624A (zh) * | 2021-08-25 | 2021-11-12 | 广东省高峰科技有限公司 | 一种异常网络数据的排查方法和装置 |
| CN114039763A (zh) * | 2021-11-04 | 2022-02-11 | 杭州安恒信息技术股份有限公司 | 一种分布式拒绝服务攻击的防御方法、装置及服务器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040042064A (ko) * | 2002-11-12 | 2004-05-20 | 학교법인 성균관대학 | 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법 |
| JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
| CN1679264A (zh) * | 2002-08-12 | 2005-10-05 | 哈里公司 | 具有入侵检测特征的无线局域网或城域网及相关方法 |
-
2006
- 2006-01-10 CN CN200610000284XA patent/CN101001242B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1679264A (zh) * | 2002-08-12 | 2005-10-05 | 哈里公司 | 具有入侵检测特征的无线局域网或城域网及相关方法 |
| KR20040042064A (ko) * | 2002-11-12 | 2004-05-20 | 학교법인 성균관대학 | 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법 |
| JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101001242A (zh) | 2007-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101001242B (zh) | 网络设备入侵检测的方法 | |
| CN1946077B (zh) | 基于及早通知检测异常业务的系统和方法 | |
| JP3968724B2 (ja) | ネットワーク保安システム及びその動作方法 | |
| US7509681B2 (en) | Interoperability of vulnerability and intrusion detection systems | |
| CN1330131C (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| JP6714314B2 (ja) | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 | |
| CN101116068B (zh) | 数据中心环境中的入侵检测 | |
| EP2953298A1 (en) | Log analysis device, information processing method and program | |
| CN108931968A (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| US20090178140A1 (en) | Network intrusion detection system | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| KR100520687B1 (ko) | 네트워크 상태 표시 장치 및 방법 | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| CN114629711B (zh) | 一种针对Windows平台特种木马检测的方法及系统 | |
| WO2016038662A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| CN112287252B (zh) | 网站域名劫持检测方法、装置、设备及存储介质 | |
| Resmi et al. | Intrusion detection system techniques and tools: A survey | |
| JP3822588B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 | |
| US8869267B1 (en) | Analysis for network intrusion detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 Termination date: 20150110 |
|
| EXPY | Termination of patent right or utility model |