CN101039179A - 一种入侵检测精确报警方法和系统 - Google Patents
一种入侵检测精确报警方法和系统 Download PDFInfo
- Publication number
- CN101039179A CN101039179A CNA2007100654424A CN200710065442A CN101039179A CN 101039179 A CN101039179 A CN 101039179A CN A2007100654424 A CNA2007100654424 A CN A2007100654424A CN 200710065442 A CN200710065442 A CN 200710065442A CN 101039179 A CN101039179 A CN 101039179A
- Authority
- CN
- China
- Prior art keywords
- intrusion
- information
- event
- incident
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种作为网络安全的重要产品之一的网络入侵检测系统(NIDS:Network Intrusion Detection System)的关键技术——入侵检测精确报警技术,特征是在捕获到可疑入侵事件的基础上,将攻击事件信息与目标主机信息进行关联,判断该攻击事件的有效性。可以通过人为输入与扫描结果导入两种方式,定义一台受保护主机的信息。可以根据目标主机的开放端口、操作系统、存在漏洞信息,判断一个入侵事件是否可能导致目标主机被入侵,对上报的入侵事件进行精确报警过滤。可以根据精确报警过滤的结果,判断是否显示某个入侵事件,消除无效事件的干扰,降低NIDS的虚警率。
Description
技术领域
本发明涉及一种入侵检测精确报警方法和系统,属于一种作为网络安全的重要产品之一的网络入侵检测系统(NIDS:Network Intrusion DetectionSystem)的关键技术的网络安全领域。
背景技术
NIDS安装在被保护的网段中,其监听网卡工作在混杂模式下,分析网段中所有的数据包,进行网络安全事件的实时检测和响应。目前NIDS普遍采用误用检测技术,其检测方法为:首先对标识特定的入侵行为模式进行编码,建立误用模式库,然后对实际检测过程中得到的事件数据进行过滤,检查是否包含入侵行为的标识。
目前网络上大量的入侵行为具有盲目性,并不能对目标主机的安全性造成影响。产生这种盲目性的原因是多方面的,例如黑客正在通过扫描方式搜寻攻击目标,或者Internet蠕虫传播时随机扫描等。误用检测的一个缺点在于只能判断出一个数据包中是否包含可疑的入侵行为,但缺乏入侵行为的目标主机的相关信息,无法判断该入侵行为能否真正危害目标主机的安全,从而产生大量无效报警,导致目前NIDS较高的虚警率。
概括起来,由于缺乏目标主机信息导致的误报有以下几种:
1.入侵行为针对某个IP地址的主机,但监控范围内并不存在该主机。例如对IP地址为1.2.3.4的主机进行入侵,但监控网络内没有分配该IP地址。
2.入侵行为针对目标主机的某个端口,但该主机并没有开放该端口。例如对IP地址为1.2.3.4的主机的80端口发动攻击,但该主机80端口并没有开放服务。
3.目标主机的操作系统与入侵行为所针对的操作系统不一致。例如针对IP地址为1.2.3.4的主机发动基于Windows系统的攻击,但该主机真实操作系统为Linux系统。
4.目标主机不存在入侵者利用的漏洞。例如攻击者对目标主机发动针对Apache 1.3版本漏洞的入侵,但该主机运行的Apache版本为1.4,已经修补了该漏洞。
发明内容
本发明的目的是提供一种应用于误用检测的入侵检测精确报警方法和系统。
本发明解决其技术问题所采用的技术方案是:一种应用于误用检测的入侵检测精确报警方法,该方法包括以下步骤:在捕获到可疑入侵事件的基础上,将入侵事件信息与目标主机信息进行关联,判断该事件是否可能导致目标主机被入侵,并根据判断结果决定是否显示该事件。
该方法包括提供一个主机信息设置模块,能够对监控范围内主机的IP地址、操作系统、开放端口、存在漏洞等信息进行设置。
在NIDS引擎捕获到可疑入侵事件之后,NIDS控制端的精确报警过滤模块将入侵事件信息与目标主机信息进行关联分析,判断该入侵事件是否可能导致目标主机被入侵。
如果关联分析的结果表明该事件是一次无效的入侵,NIDS控制端将不显示该事件,否则将以指定的方式显示该事件,以提醒管理员进行防范。
通过将观测到的入侵事件与目标主机信息进行关联分析,可以避免对无效入侵行为产生虚假报警,从而有效降低NIDS的虚警率。
一种入侵检测精确报警系统,包括:
有定义一台主机的IP地址、开放端口、操作系统、存在漏洞信息的主机信息定义单元;
有监听网络上的数据包,发现网络上的可疑入侵事件的误用检测单元;
有用于将可疑入侵事件与目标主机信息进行关联,判断该入侵事件是否能够导致目标主机被入侵,并最终确定是否向管理员显示该事件的精确报警过滤单元。
本发明的有益效果:
1.可以通过人为设置和扫描结果导入两种方式,定义一台主机的IP地址、开放端口、操作系统、存在漏洞等消息。例如我们可以手工输入一台主机的消息,也可以利用扫描工具先对该主机进行扫描,然后将扫描结果导入到主机信息表中完成设定。
2.可以通过一个事件的目的地址,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为:攻击者对192.168.0.1主机进行了攻击,但监控范围内并没有哪台主机的地址是192.168.0.1,精确报警模块将不显示该事件。
3.可以通过一个事件的目的端口,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为:攻击者对192.168.0.1主机进行了针对80端口的攻击,但192.168.0.1的80端口并没有开放,精确报警模块将不显示该事件。
4.可以通过一个事件所针对的操作系统,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为:攻击者对192.168.0.1的主机进行了针对Windows系统漏洞的攻击,但该主机的系统为Unix系统,精确报警模块将不显示该事件。
5.可以通过一个事件所利用的漏洞,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为:攻击者对192.168.0.1的主机进行了针对漏洞1的攻击,但该主机上并不存在该漏洞,精确报警模块将不显示该事件。
附图说明
图1系统整体步骤图。
图2精确报警模块流程图。
下面结合附图和实施例对发明进一步说明。
入侵检测精确报警方法说明
该方法包括如下步骤:
(1)定义主机信息:指定监控范围内主机的IP地址、操作系统、开放端口、存在漏洞信息;
(2)NIDS引擎监听网络上的数据,并根据误用模式库中定义的入侵模式,捕获当前网络上的可疑入侵事件;
(3)精确报警过滤:NIDS控制端将引擎上报的可疑入侵事件与目标主机信息进行关联,如果该事件有可能造成目标主机被入侵,控制端将显示该事件,否则不显示该事件。
这个过程可参见附图1,有步骤如下;
步骤1:网络数据旁路监听,进入步骤2;
步骤2:捕获可疑攻击事件,进入步骤3;
步骤3:查找目标主机信息;
步骤4:事件与主机信息关联分析;
步骤5:判断是否需要显示;否则转步骤2;是则转步骤6;
步骤6:显示该入侵事件;转步骤2。
下面对每个重要步骤的操作进行详细说明:
定义主机信息
主机信息定义了一个主机的IP地址、开放端口、操作系统、存在漏洞等信息。
只有当引擎上报入侵事件的目标为已定义的主机时,精确报警模块才对该事件进行精确报警过滤。如果管理员没有配置某个IP地址的相关信息,则目标为该地址的事件都将被丢弃,不进行显示。例如对于地址为192.168.0.1和192.168.0.2的两台主机,如果管理员设置了192.168.0.1主机的信息,而没有设置192.168.0.2主机的信息,则所有目标地址为192.168.0.1的事件都要经过精确报警过滤,所有目标地址为192.168.0.2的事件则直接丢弃。有两种方法可以定义主机信息:
(1)人为设置:管理员通过手工方式设定某个主机的信息,主要设定内容包括:
IP地址:该主机的网络地址。
开放端口:该主机对外监听的端口号,以及监听时采用的协议是TCP还是UDP。
操作系统:该主机的操作系统类型。
漏洞信息:该主机上存在的漏洞的编号。
(2)扫描结果导入:利用扫描工具对某台主机进行扫描,扫描结果保存在特定格式的xml文件中,可以通过主机信息设置模块将该xml文件直接导入完成设置。例如管理员可以利用扫描工具对IP地址为192.168.0.1-192.168.0.254之间的所有主机进行扫描,然后将扫描结果导入,完成对该地址范围内所有主机信息的设置。
精确报警过滤
精确报警模块接收引擎上报的可疑攻击事件,按以下步骤进行精确报警过滤:
(1)判断该事件的目标地址是否包含在已定义的主机信息列表中,如果包含进入第2步判断,否则不显示该事件。
(2)精确报警模块查看该入侵事件所攻击的目的端口,然后在目标主机的开放端口中进行查找。如果目标主机开放了该端口进入第3步判断,否则不显示该事件。
(3)精确报警模块查看该入侵事件所攻击的操作系统,然后比较目标主机的操作系统是否受该事件的影响。如果入侵事件能够影响目标主机上运行的操作系统进入第4步判断,否则不显示该事件。
(4)精确报警模块查看该入侵事件是否是针对某个特定的漏洞,如果攻击事件与某个漏洞相关则进入第5步判断,否则显示该事件,提示管理员进行防范。
(5)精确报警模块查看目标主机上是否存在入侵事件所针对的漏洞,如果存在该漏洞则显示该事件,提示管理员进行防范,否则不显示该事件。
具体实施方式
精确报警过滤举例:
定义一台主机:IP地址为1.2.3.4,开放端口为80,135,操作系统为windows XP,存在漏洞代码为1。则
1.如果NIDS引擎上报事件为:攻击者对1.2.3.5主机进行了攻击,精确报警模块发现该主机信息未被定义,将不显示该事件。
2.如果NIDS引擎上报事件为:攻击者对1.2.3.4主机进行了针对21端口的攻击,精确报警模块发现该主机未开放21端口,将不显示该事件。
3.如果NIDS引擎上报事件为:攻击者对1.2.3.4主机进行针对Unix系统的80端口的攻击,精确报警模块发现虽然是针对80端口的攻击,但该攻击对Unix系统才有效,将不显示该事件。
4.如果NIDS引擎上报事件为:攻击者对1.2.3.4主机进行了针对80端口的攻击,利用的漏洞为2。精确报警模块发现该主机上不存在该漏洞,将不显示该事件。
5.如果NIDS引擎上报事件为:攻击者对1.2.3.4主机进行了针对80端口的攻击,利用的漏洞为1。精确报警模块发现该事件可能导致主机1.2.3.4被入侵,将显示该事件。
以上处理过程可以见图2,有步骤如下;
步骤1:查找目标主机信息;
步骤2:是否查找到该主机的信息;是则转步骤3;否则转步骤8;
步骤3:判断目标端口是否开放;是则转步骤4;否则转步骤8;
步骤4:判断操作系统是否匹配;是则转步骤5;否则转步骤8;
步骤5:判断该攻击是否依赖特定漏洞;是则转步骤6;否则转步骤7;
步骤6:判断是否存在对应漏洞;是则转步骤7;否则转步骤8;
步骤7:显示该事件。
步骤8:不显示该事件。
Claims (6)
1.一种入侵检测精确报警方法,其特征是:是在捕获到可疑入侵事件的基础上,将入侵事件信息与目标主机信息进行关联,判断该事件是否可能导致目标主机被入侵,并根据判断结果决定是否显示该事件。
2.根据权利要求1所述的一种入侵检测精确报警方法,其特征是:该方法包括如下步骤:
(1)定义主机信息:指定监控范围内主机的IP地址、操作系统、开放端口、存在漏洞信息;
(2)NIDS引擎监听网络上的数据,并根据误用模式库中定义的入侵模式,捕获当前网络上的可疑入侵事件;
(3)精确报警过滤:NIDS控制端将引擎上报的可疑入侵事件与目标主机信息进行关联,如果该事件有可能造成目标主机被入侵,控制端将显示该事件,否则不显示该事件。
3.根据权利要求1所述的一种入侵检测精确报警方法,其特征是:主机信息可采用两种定义方式,一种是由管理员指定某台主机的IP地址、开放端口、操作系统、存在漏洞信息,或另一种是直接将扫描工具对某台主机的扫描结果导入到主机信息列表中,完成对该主机信息的定义。
4.根据权利要求1所述的一种入侵检测精确报警方法,其特征在于:将捕获到的可疑入侵事件与主机信息进行关联,根据入侵事件的目的地址、目的端口、所针对的操作系统、所利用的漏洞信息,判断该入侵事件是否可能导致目标主机被入侵。
5.根据权利要求1所述的一种入侵检测精确报警方法,其特征在于:根据精确报警过滤的结果,判断是否向管理员显示一条捕获到的可疑入侵行为,从而减少上报的无效攻击事件。
6.根据权利要求1或2所述的一种入侵检测精确报警方法的系统,其特征是:包括:有定义一台主机的IP地址、开放端口、操作系统、存在漏洞信息的主机信息定义单元;
有监听网络上的数据包,发现网络上的可疑入侵事件的误用检测单元;
有用于将可疑入侵事件与目标主机信息进行关联,判断该入侵事件是否能够导致目标主机被入侵,并最终确定是否向管理员显示该事件的精确报警过滤单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100654424A CN101039179A (zh) | 2007-04-13 | 2007-04-13 | 一种入侵检测精确报警方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100654424A CN101039179A (zh) | 2007-04-13 | 2007-04-13 | 一种入侵检测精确报警方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101039179A true CN101039179A (zh) | 2007-09-19 |
Family
ID=38889842
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100654424A Pending CN101039179A (zh) | 2007-04-13 | 2007-04-13 | 一种入侵检测精确报警方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101039179A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102063588A (zh) * | 2010-12-15 | 2011-05-18 | 北京北信源软件股份有限公司 | 一种计算机终端网络安全防护的控制方法和系统 |
| CN104091116A (zh) * | 2014-06-30 | 2014-10-08 | 珠海市君天电子科技有限公司 | 监控网站漏洞信息的方法、装置及终端 |
| CN104580201A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 网站漏洞检测方法和系统 |
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
| CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
| CN106850675A (zh) * | 2017-03-10 | 2017-06-13 | 北京安赛创想科技有限公司 | 一种网络攻击行为的确定方法及装置 |
| CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
| CN109218315A (zh) * | 2018-09-20 | 2019-01-15 | 华为技术有限公司 | 一种安全管理方法和安全管理装置 |
| CN111262730A (zh) * | 2020-01-10 | 2020-06-09 | 中国银联股份有限公司 | 一种告警信息的处理方法及装置 |
-
2007
- 2007-04-13 CN CNA2007100654424A patent/CN101039179A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102063588A (zh) * | 2010-12-15 | 2011-05-18 | 北京北信源软件股份有限公司 | 一种计算机终端网络安全防护的控制方法和系统 |
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
| CN104091116B (zh) * | 2014-06-30 | 2017-06-27 | 珠海市君天电子科技有限公司 | 监控网站漏洞信息的方法、装置及终端 |
| CN104091116A (zh) * | 2014-06-30 | 2014-10-08 | 珠海市君天电子科技有限公司 | 监控网站漏洞信息的方法、装置及终端 |
| CN104580201A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 网站漏洞检测方法和系统 |
| CN104580201B (zh) * | 2014-12-31 | 2018-02-06 | 北京奇安信科技有限公司 | 网站漏洞检测方法和系统 |
| CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
| CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
| CN106909847B (zh) * | 2017-02-17 | 2020-10-16 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
| CN106850675A (zh) * | 2017-03-10 | 2017-06-13 | 北京安赛创想科技有限公司 | 一种网络攻击行为的确定方法及装置 |
| CN109218315A (zh) * | 2018-09-20 | 2019-01-15 | 华为技术有限公司 | 一种安全管理方法和安全管理装置 |
| CN111262730A (zh) * | 2020-01-10 | 2020-06-09 | 中国银联股份有限公司 | 一种告警信息的处理方法及装置 |
| CN111262730B (zh) * | 2020-01-10 | 2022-08-30 | 中国银联股份有限公司 | 一种告警信息的处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101039179A (zh) | 一种入侵检测精确报警方法和系统 | |
| CN1578227A (zh) | 一种动态ip数据包过滤方法 | |
| Kruegel et al. | Alert verification determining the success of intrusion attempts | |
| US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN1697404A (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN1655518A (zh) | 网络安全系统和方法 | |
| CN1771709A (zh) | 网络攻击特征标记的产生 | |
| CN1878093A (zh) | 安全事件关联分析方法和系统 | |
| CN1909488A (zh) | 一种结合病毒检测与入侵检测的方法及系统 | |
| CN1874303A (zh) | 一种黑名单实现的方法 | |
| CN1889573A (zh) | 一种主动诱骗方法与系统 | |
| CN1738257A (zh) | 基于应用协议检测引擎的网络入侵检测系统和方法 | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN108931968A (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| CN1741472A (zh) | 网络入侵事件风险评估方法及系统 | |
| CN105024976A (zh) | 一种高级持续威胁攻击识别方法及装置 | |
| CN1818822A (zh) | 缓冲区溢出攻击的检测方法 | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN1588880A (zh) | 基于聚类与关联的网络安全报警系统 | |
| CN110381009A (zh) | 一种基于行为检测的反弹shell的检测方法 | |
| CN1558605A (zh) | 漏洞扫描的实现方法 | |
| CN101068168A (zh) | 主机入侵检测方法及系统 | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070919 |