CN101090334A - 一种解决入侵检测系统中海量报警的方法 - Google Patents
一种解决入侵检测系统中海量报警的方法 Download PDFInfo
- Publication number
- CN101090334A CN101090334A CN 200710017921 CN200710017921A CN101090334A CN 101090334 A CN101090334 A CN 101090334A CN 200710017921 CN200710017921 CN 200710017921 CN 200710017921 A CN200710017921 A CN 200710017921A CN 101090334 A CN101090334 A CN 101090334A
- Authority
- CN
- China
- Prior art keywords
- incident
- keeper
- warning message
- chained list
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络入侵检测(NIDS)技术领域,具体涉及一种解决入侵检测系统中海量报警的方法。本发明要克服现有入侵检测系统存在的报警洪灾、误报率高和孤立报警的问题。本发明的方法分为两个阶段:(1)预处理阶段:将网卡设置为混杂模式,通过Libpcap进行循环抓包,Libpcap采用零拷贝技术把用户内存映射到内核中,抓取到的数据包通过链路层解码,协议层处理和流重组,进行规则匹配,产生一个告警事件,这个事件存储到一个hash链表中,使f(x)=a[x],用数组下表作索引以提高查找的效率。(2)统计阶段:根据链表的属性值,对产生的事件进行统计,即根据设定选项来决定是否报警。
Description
技术领域:
本发明涉及网络入侵检测(NIDS)技术领域,具体涉及一种解决入侵检测系统中海量报警的方法。
背景技术:
随着计算机网络技术的发展,网络安全问题已成为最令人关注的问题之一。入侵检测技术是动态网络安全技术的核心技术之一,它从网络系统中的若干关键点收集信息并对其进行分析,从中发现网络系统中是否有违反安全策略的行为和遭到袭击的迹象。在实际网络环境中,入侵检测系统常常遇到大量的报警信息,缺乏经验的管理员,难以从纷繁芜杂的报警中准确识别出真正的攻击,无法确定实际的攻击行为和来源。出现上述现象是因为目前的入侵检测系统存在报警洪灾、误报率高和孤立报警等问题,主要表现在以下几个方面:
(1)报警信息洪灾
在实际网络环境中,各种邮件病毒、网络广播、网络状态探测数据包众多,为了保证网络入侵事件记录的完整性,IDS会记录所有探测到的相关信息,往往会掩盖相对为数较少的真正发起攻击的报警信息。
(2)报警信息重复
IDS收集入侵信息时,会针对每一条信息进行记录,一次长时间的DoS攻击会引发检测器发送多个报警信息,这些报警信息具有同样的攻击方式、同样的源IP和目的IP。一方面会淹没其他攻击信息,使报警信息没有任何可读性,另一方面数据库有可能因为短时间记录大量信息而无法提供正常服务,最终可能导致日志数据库崩溃。
针对以上的问题,发明一种解决网络入侵检测系统海量报警的方法。
发明内容:
本发明要提供一种解决入侵检测系统中海量报警的方法,以克服现有入侵检测系统存在报警洪灾、误报率高和孤立报警的问题。
本发明基于统计的思想,提出一种解决入侵检测系统中海量报警的方法。主要分为两个阶段:预处理阶段和统计阶段。
第一阶段:预处理阶段:
将网卡设置为混杂模式,通过Libpcap进行循环抓包,Libpcap采用零拷贝技术把用户内存映射到内核中,抓取到的数据包通过链路层解码,协议层处理和流重组,进行规则匹配,产生一个告警事件,这个事件存储到一个hash链表中,使f(x)=a[x],用数组下表作索引以提高查找的效率。
第二阶段:统计阶段
根据链表的属性值,对产生的事件进行统计,即根据设定选项来决定是否报警。
上述统计阶段中的设定选项包括:
1.设定时间间隔:根据链表中事件的第一次触发时间与最后一次产生事件的时间间隔来决定是否向管理员发送报警信息;
2.设定事件个数:根据链表中计数器的值,决定是否向管理员发送报警信息;
3.设定事件密度:计算事件个数与间隔时间的比值,如果超过设定事件密度的阈值,则向管理员发送报警信息;
4.设定持续时间:根据链表中事件的第一次触发时间与当前时间的间隔来决定是否向管理员发送报警信息;
5.设定源IP地址:根据选定的源IP地址向管理员发送报警信息;
6.设定目的IP地址:管理员根据网络中不同服务器的重要程度,来设定相应的目的IP地址,根据选定的目的IP地址向管理员发送报警信息,
上述六个选项可以单独使用也可以联合使用,在联合使用的过程中管理员可以根据网络实际情况给这六种选项分配不同的优先级,只要满足条件就发送报警信息。
与现有技术相比,通过本发明,管理员可以方便地从纷繁芜杂的报警中准确识别出真正的攻击,确定实际的攻击行为以及来源。
附图说明:
附图为本发明解决入侵检测系统中海量报警方法的流程图。
具体实施方式:
本发明可以部属于IDS设备中。下面将通过在IDS设备中实施本发明进行详细描述。
本发明的步骤是:
第一阶段:预处理阶段:
(一)以旁路侦听方式捕获网络上的数据包;
(二)规则匹配,假设当IDS规则有9000条时,建立一个数组为a[9000],数组中存放指向不同链表的地址,对于每一条规则的统计信息存放在一个数据元素指向的链表中,这样触发事件时匹配非常快,a[id]就能直接找到需要统计的链表首地址(也就是hash查找),用id作为索引,链表的每一个结点存放了触发这条规则的一个连接上的统计信息,其中包括:源地址(SrcIP)、目的地址(DstIP)、源端口(SrcPort)、目的端口(DstPort)、开始时间(Starttime)、结束时间(Endtime)、次数(Count)以及各告警阈值等。
第二阶段:统计阶段:
根据链表的属性值,对产生的事件进行统计,根据用户对六个选项的综合选择来产生报警,并且可以给选项设置优先级,检测引擎把检测结果写到这个hash链表中,发送引擎定时根据用户要求把结果进行上报,下面给出了不同的例子来说明
例子1:设定目的IP为192.168.1.8,并且设置这个选项的优先级最高,又设定了事件个数为10次(即该选项的阈值为10),当产生事件的目的IP是192.168.1.8时,直接发送报警给管理员,而当产生事件的目的IP不是192.168.1.8时,需满足事件个数累计10次后才发送报警。
例子2:设定了时间间隔为五分钟(这相当于是一个时间窗),源IP为192.168.1.8,事件个数为10,目的IP是192.168.1.18,当同时满足这四个条件时发送一个报警给管理员。
例子3:设定某个规则的产生事件密度为100个/秒,当这个规则被触发的密度满足条件时,则给管理员发送一个报警。
最后所应说明的是:以上实施方式仅用以说明而非限制本发明的技术方案,尽管参照上述实施方式对本发明进行了详细的说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改与局部替换,其均应涵盖在本发明的权利要求范围内。
Claims (2)
1、一种解决入侵检测系统中海量报警的方法,分为下述两个阶段
第一阶段:预处理阶段
将网卡设置为混杂模式,通过Libpcap进行循环抓包,Libpcap采用零拷贝技术把用户内存映射到内核中,抓取到的数据包通过链路层解码,协议层处理和流重组,进行规则匹配,产生一个告警事件,这个事件存储到一个hash链表中,使f(x)=a[x],用数组下表作索引以提高查找的效率。
第二阶段:统计阶段
根据链表的属性值,对产生的事件进行统计,即根据设定选项来决定是否报警。
2、如权利要求1所述的一种解决入侵检测系统中海量报警的方法,其特征在于:所述统计阶段中的设定选项包括
①设定时间间隔:根据链表中事件的第一次触发时间与最后一次产生事件的时间间隔来决定是否向管理员发送报警信息;
②设定事件个数:根据链表中计数器的值,决定是否向管理员发送报警信息;
③设定事件密度:计算事件个数与间隔时间的比值,如果超过设定事件密度的阈值,则向管理员发送报警信息;
④设定持续时间:根据链表中事件的第一次触发时间与当前时间的间隔来决定是否向管理员发送报警信息;
⑤设定源IP地址:根据选定的源IP地址向管理员发送报警信息;
⑥设定目的IP地址:管理员根据网络中不同服务器的重要程度,来设定相应的目的IP地址,根据选定的目的IP地址向管理员发送报警信息,
上述六个选项可以单独使用也可以联合使用,在联合使用的过程中管理员可以根据网络实际情况给这六种选项分配不同的优先级,只要满足条件就发送报警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710017921 CN101090334A (zh) | 2007-05-23 | 2007-05-23 | 一种解决入侵检测系统中海量报警的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710017921 CN101090334A (zh) | 2007-05-23 | 2007-05-23 | 一种解决入侵检测系统中海量报警的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101090334A true CN101090334A (zh) | 2007-12-19 |
Family
ID=38943515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710017921 Pending CN101090334A (zh) | 2007-05-23 | 2007-05-23 | 一种解决入侵检测系统中海量报警的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101090334A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286896B (zh) * | 2008-06-05 | 2010-09-29 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
| CN101296227B (zh) * | 2008-06-19 | 2010-11-17 | 上海交通大学 | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 |
| CN101465863B (zh) * | 2009-01-14 | 2012-09-26 | 北京航空航天大学 | 一种内核虚拟机环境下高效网络i/o的实现方法 |
| CN104243184A (zh) * | 2013-06-06 | 2014-12-24 | 中国移动通信集团河北有限公司 | 一种告警信息的处理方法及装置 |
| CN104778111A (zh) * | 2014-01-14 | 2015-07-15 | 深圳市腾讯计算机系统有限公司 | 一种进行报警的方法和装置 |
| CN105208040A (zh) * | 2015-10-12 | 2015-12-30 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络攻击检测方法及装置 |
| CN106599168A (zh) * | 2016-12-09 | 2017-04-26 | 北京锐安科技有限公司 | 网络数据的来源分析方法及装置 |
| CN107968765A (zh) * | 2016-10-19 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 一种网络入侵检测方法及服务器 |
| CN109714347A (zh) * | 2018-12-29 | 2019-05-03 | 杭州迪普科技股份有限公司 | 策略命中结果的存储、查询方法与装置、设备及介质 |
| CN110445799A (zh) * | 2019-08-15 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 入侵阶段的确定方法、装置及服务器 |
| CN110661806A (zh) * | 2019-09-30 | 2020-01-07 | 华南理工大学广州学院 | 一种智能变电站过程总线防火墙系统 |
| CN110677425A (zh) * | 2019-09-30 | 2020-01-10 | 华南理工大学广州学院 | 一种匹配goose报文的防火墙系统的匹配方法 |
| CN114157514A (zh) * | 2022-02-07 | 2022-03-08 | 北京金睛云华科技有限公司 | 一种多路ids集成检测方法和装置 |
-
2007
- 2007-05-23 CN CN 200710017921 patent/CN101090334A/zh active Pending
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286896B (zh) * | 2008-06-05 | 2010-09-29 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
| CN101296227B (zh) * | 2008-06-19 | 2010-11-17 | 上海交通大学 | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 |
| CN101465863B (zh) * | 2009-01-14 | 2012-09-26 | 北京航空航天大学 | 一种内核虚拟机环境下高效网络i/o的实现方法 |
| CN104243184B (zh) * | 2013-06-06 | 2018-01-30 | 中国移动通信集团河北有限公司 | 一种告警信息的处理方法及装置 |
| CN104243184A (zh) * | 2013-06-06 | 2014-12-24 | 中国移动通信集团河北有限公司 | 一种告警信息的处理方法及装置 |
| CN104778111A (zh) * | 2014-01-14 | 2015-07-15 | 深圳市腾讯计算机系统有限公司 | 一种进行报警的方法和装置 |
| CN104778111B (zh) * | 2014-01-14 | 2019-03-01 | 深圳市腾讯计算机系统有限公司 | 一种进行报警的方法和装置 |
| CN105208040B (zh) * | 2015-10-12 | 2019-03-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络攻击检测方法及装置 |
| CN105208040A (zh) * | 2015-10-12 | 2015-12-30 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络攻击检测方法及装置 |
| CN107968765A (zh) * | 2016-10-19 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 一种网络入侵检测方法及服务器 |
| CN106599168B (zh) * | 2016-12-09 | 2020-03-20 | 北京锐安科技有限公司 | 网络数据的来源分析方法及装置 |
| CN106599168A (zh) * | 2016-12-09 | 2017-04-26 | 北京锐安科技有限公司 | 网络数据的来源分析方法及装置 |
| CN109714347A (zh) * | 2018-12-29 | 2019-05-03 | 杭州迪普科技股份有限公司 | 策略命中结果的存储、查询方法与装置、设备及介质 |
| CN110445799A (zh) * | 2019-08-15 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 入侵阶段的确定方法、装置及服务器 |
| CN110445799B (zh) * | 2019-08-15 | 2021-11-05 | 杭州安恒信息技术股份有限公司 | 入侵阶段的确定方法、装置及服务器 |
| CN110677425A (zh) * | 2019-09-30 | 2020-01-10 | 华南理工大学广州学院 | 一种匹配goose报文的防火墙系统的匹配方法 |
| CN110661806B (zh) * | 2019-09-30 | 2021-07-30 | 华南理工大学广州学院 | 一种智能变电站过程总线防火墙系统 |
| CN110677425B (zh) * | 2019-09-30 | 2021-09-21 | 华南理工大学广州学院 | 一种匹配goose报文的防火墙系统的匹配方法 |
| CN110661806A (zh) * | 2019-09-30 | 2020-01-07 | 华南理工大学广州学院 | 一种智能变电站过程总线防火墙系统 |
| CN114157514A (zh) * | 2022-02-07 | 2022-03-08 | 北京金睛云华科技有限公司 | 一种多路ids集成检测方法和装置 |
| CN114157514B (zh) * | 2022-02-07 | 2022-05-06 | 北京金睛云华科技有限公司 | 一种多路ids集成检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101090334A (zh) | 一种解决入侵检测系统中海量报警的方法 | |
| Ding et al. | Intrusion as (anti) social communication: characterization and detection | |
| US8806632B2 (en) | Systems, methods, and devices for detecting security vulnerabilities in IP networks | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN100384153C (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
| US20100125663A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
| CN103220173B (zh) | 一种报警监控方法及监控系统 | |
| KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
| US20100262688A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
| CN105721198B (zh) | 一种视频监控系统日志安全审计方法 | |
| US7669241B2 (en) | Streaming algorithms for robust, real-time detection of DDoS attacks | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN107770174A (zh) | 一种面向sdn网络的入侵防御系统和方法 | |
| CN102447707B (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
| US20100050084A1 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN106713307B (zh) | 一种检测sdn中流表一致性的方法和系统 | |
| CN108183884A (zh) | 一种网络攻击判定方法及装置 | |
| Yan et al. | Unwanted traffic control via hybrid trust management | |
| Katiyar et al. | Detection and discrimination of DDoS attacks from flash crowd using entropy variations | |
| Zhan et al. | Adaptive detection method for Packet-In message injection attack in SDN | |
| CN114884806A (zh) | 一种基于高集聚场景下的环路识别与阻断方法 | |
| CN105554041A (zh) | 一种检测基于流表超时机制的分布式拒绝服务攻击的方法 | |
| Kongjian et al. | Machine-based automotive intrusion detection Technology | |
| Shen et al. | Implementation of an evaluation platform for unwanted traffic control via trust management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20071219 |