CN101176331A

CN101176331A - 计算机网络入侵检测系统和方法

Info

Publication number: CN101176331A
Application number: CNA200680016585XA
Authority: CN
Inventors: J-J·德奎维
Original assignee: International Business Machines Corp
Current assignee: Qindarui Co.
Priority date: 2005-06-06
Filing date: 2006-05-31
Publication date: 2008-05-07
Anticipated expiration: 2026-05-31
Also published as: JP4742144B2; US20120297489A1; US8272054B2; ATE459184T1; DE602006012479D1; US8631496B2; CA2610350C; CN101176331B; EP1889443B1; US20080209541A1; CA2610350A1; JP2009539271A; EP1889443A1; WO2006131475A1

Abstract

公开了一种用于标识试图入侵基于TCP/IP协议的网络的设备的方法。本发明允许在两个独立的信息级别，即一方面是TCP/IP栈信息而另一方面是Windows安全事件日志信息之间创建链接。该方法允许在存储于所述安全事件日志中的攻击者设备的计算机名称与涉及该计算机名称的TCP/IP信息之间建立关系。

Description

计算机网络入侵检测系统和方法

技术领域

本发明一般涉及计算机系统安全，并且更特别地涉及一种系统和方法，其检测和标识非法试图登录这样的计算机系统以访问计算机网络的始发方。

背景技术

在现今广泛的网络企业中，安全已经成为阻止对网络的很多计算机系统进行未授权访问的大事。通常使用局域网(LAN)来连接一个商务站点内的计算机系统，并且网络管理员负责维持网络以及正常运行。随着局域网(LAN)的持续扩张，以及连接到LAN的个人计算机(PC)的数目快速地持续增长，网络安全对于网络管理员而言成为了日益加剧的问题。

随着部署分布式LAN的趋势的持续，这为企业网络提供了多个接入点。这些分布式接入点中的每一个，如果不加以控制，都是网络的潜在安全风险。在这些风险当中，病毒攻击通过非常快速的病毒传播，对所有的IT基础设施造成强烈的影响。一种特殊的病毒是众所周知的“Worm(蠕虫)”病毒，其代表了所有攻击中超过1/3的攻击。该病毒利用操作系统中的安全漏洞，并且通过公认TCP/IP端口号137、139和445经由网络从一个系统传播到另一系统。

TCP/IP是传输控制协议/因特网协议(TCP/IP)端口号137(即NetBIOS名称服务)、139(即Net BIOS会话服务)和445(即Microsoft-DS)的首字母缩写。

另一风险是主动攻击以及对受保护资源的未授权访问(也使用诱骗)。

普遍的误解是防火墙识别攻击并且阻挡它们。防火墙只是这样的设备，即该设备切断一切，并且然后再仅仅打开一些适当选择(well-chosen)的项目。在理想的世界里，系统会是已经被“锁住(locked down)”和安全的，并且防火墙将是不需要的。之所以使用防火墙，确切原因是偶然开放了安全漏洞。

因而，当安装防火墙时，防火墙做的第一件事是终止所有的通信。然后，防火墙管理员仔细添加允许特定类型的通信量穿过防火墙的“规则”。例如，允许访问因特网的典型的公司防火墙会终止所有的用户数据报协议(UDP)和因特网控制消息协议(ICMP)数据报通信量，终止引入TCP连接(incoming TCP connection)但却允许引出TCP连接(outgoing TCPconnection)。这终止了来自因特网黑客的所有引入连接，但却仍然允许内部用户连接至引出方向。

防火墙只是围绕着网络、具有几个适当选择的入口(gate)的围栏(fence)。围栏没有能力检测到有人试图闯入(例如在它下面挖洞)，围栏也不能知晓通过入口进来的人是否被允许进入。其仅仅限制对指定点的访问。

最后，防火墙不是动态防御系统。相反，入侵检测系统(IDS，intrusiondetection system)却不仅仅是动态系统。IDS识别了防火墙不能看到的对网络的攻击。

防火墙的另一问题在于，它们仅在企业网络的边缘。由于非法侵入(hacking)而导致的全部财政损失的大概80％来自于网络内部。位于网络边界的防火墙看不到内部的任何情况；其看到的仅仅是在内部网络与因特网之间经过的通信量。

日志文件和其它的核算机制可以用于跟踪用户及其活动。使用日志文件和审计信息被称为被动检测，因为它们依赖于对数据集的被动分析。系统管理员负责审查操作系统安全事件日志，以便确定是否发生了系统攻击或安全破坏。一些已知的产品允许审查这些日志，例如来自受让人的TivoliRisk Manager以及来自GFI软件公司的GFi LANguard S.E.L.M。

Tivoli Risk Manager基于框架基础设施，其允许交叉操作系统可用性OS/2(OS/2是IBM公司的商标)、Windows(Windows是微软公司的商标)、Linux(Linux是Linus Torvalds的商标)和AIX(AIX是IBM公司的商标)在集中式控制台上报告警报。该解决方案为管理员在各种安全警报之间创建合适的关系提供了可能性。然而，与不同操作系统之间的NetBIOS非法尝试相关的关系并未被深入地分析，并且其不涉及外部数据库。

GFi LANguard S.E.L.M是安全事件日志监控器，其在一个中央数据库中收集所有的安全事件，创建报告和定制过滤器。该解决方案受到仅在一个操作系统(即Windows)上操作的限制，由此对其它操作系统留有攻击的可能性。

更一般地，所有现有的解决方案均使得管理员接收到大量的假告警消息，这些告警消息迫使花费大量的时间来手工分析那些消息以及从真的侵犯中分类出无关的侵犯。

因此，需要一种克服上述缺陷的解决方案。

来自受让人的题为“System and Method for detecting invalid access tocomputer network”的专利申请No04292461.3提供了一种在任何操作系统服务器中检测任何入侵的解决方案。

然而，该解决方案的缺陷在于，所有的源信息均来自于操作系统的固有日志文件(built-in log files)，并且那些日志文件仅给出了攻击者设备的工作站/计算机名称。如果没有在任何域名服务器(DNS)服务器中注册该计算机名称，或者该计算机名称对于受害公司是未知的，则通常不可能物理定位该攻击者设备。

在那些现有的分析解决方案的情况下，问题仍然是存在的，因为日志警报是在安全事件之后实现的，由于没有固有办法来检查进入一个Windows服务器的TCP/IP端口的历史，因此没有办法来检查设备是否连接到受害服务器。

还有其它的TCP/IP日志器工具，但是需要在安全事件发生之后手工检查日志文件，以便发现是否存在远程攻击。

此外，那些TCP/IP工具需要深入探查TCP/IP栈(查看TCP/IP协议的软件)，并且不能检验一个Windows登录137/139/445是否是正常的(如果其碰巧进入这样的Windows文件服务器，即该Windows文件服务器的主要角色是提供对137/139/445 TCP端口的访问)。

因此，这是那些日志分析方法的主要缺陷。此外，分析和物理定位攻击者设备以及断开该攻击者设备是花时间的。

本发明提供了一种消除那些缺陷的解决方案。

发明内容

因此，本发明的目的是提供一种即时和“联机的”解决方案，以便将所有的TCP/IP端口记录到一个本地日志文件中。本发明在两个层级同时操作：在TCP/IP栈层级和安全事件日志层级。

本发明的另一目的是提供一种系统和方法，其在TCP/IP端口号137/139/445之一受攻击的情况下检索和记录攻击者设备的MAC地址(MAC是媒体访问控制(Media Access Control)的缩写，即唯一标识网络中的每个节点的硬件地址)。

本发明的另一目的是提供一种系统和方法，其在TCP/IP端口号137/139/445之一受攻击的情况下检索和记录攻击者设备的IP地址。

本发明的另一目的是提供一种系统和方法，其在TCP/IP端口号137/139/445之一受攻击的情况下，通过将IP地址链接到公司的网络基础设施描述来检索和记录攻击者设备的物理位置(城市、建筑、楼层、交换机号码、交换机上的端口)。

本发明的又一目的是提供一种解决方案，以便容易和有效地标识企业计算机网络中感染WORM病毒的设备。

本发明再一目的是提供一种解决方案，其涉及较少的人力资源来分析计算机系统侵犯事件，由此允许快速积极的反应。

根据本发明的一方面，提出了一种如所附权利要求中所陈述的系统，用于检测计算机设备到计算机网络的非法访问。

更一般地，所述方法优选地操作在这样的计算机网络上，即该计算机网络具有操作在不同操作系统上的计算机服务器以及多个计算机设备。每个计算机设备由处于操作系统级的计算机服务器管理。所述计算机网络包括多个信息数据库，所述信息数据库含有与用户以及所述计算机网络的计算机设备相关联的信息。所述方法允许在每个计算机服务器上为所述计算机服务器所管理的每个计算机设备生成一组标识文件。将来自所述多个计算机服务器的所有组的标识文件聚集到唯一的中央侵犯数据库。在每组标识文件与所述多个信息数据库之间创建链接，以便为每个计算机设备确定网络访问侵犯的级别。基于所述网络访问侵犯的级别为每个计算机设备生成侵犯消息。

本发明针对独立权利要求中所定义的方法、系统及计算机程序。

根据本发明的一方面，提出了一种如所附权利要求1中所陈述的方法，用于标识试图入侵基于TCP/IP协议的网络的设备。所述方法在包括多个受管设备的网络中操作，在所述多个受管设备中，至少一个受管设备处理安全事件日志。所述方法包括以下步骤：

在所述至少一个受管设备处检测引入TCP/IP连接；

从所述至少一个受管设备的TCP/IP栈提取与生成所检测到的引入连接的设备相关的所有TCP/IP信息；

将所述引入TCP/IP连接的端口号与一组预定义的端口号进行比较；

如果所述比较匹配，则从所述安全事件日志检索与所检测到的引入TCP/IP连接相关联的所有事件日志信息；以及

将生成所检测到的引入TCP/IP连接的设备的事件日志信息以及TCP/IP信息聚集到侵犯日志文件。

所附从属权利要求中提供了本发明的更多实施例。

在商业形式上，允许计算机机器实现根据方法权利要求中任何一项的方法的计算机可读程序装置体现在所述计算机机器可读的程序存储设备上。

计算机程序产品可以被加载/下载到客户机器，并且可以从中央侵犯机器远程监控，所述中央侵犯机器解释在执行所述程序的末端所接收到的侵犯日志文件。在有侵犯的情况下，可以生成侵犯报告以便将入侵通知给网络管理员。

附图说明

图1是运行本发明的方法的网络基础设施的概略图；

图2是本发明的方法的优选实施例的步骤的流程图；

图3示出了最终的侵犯报告的图像；以及

图4是分析安全事件日志的过程的步骤的流程图。

具体实施方式

在进入对本发明的描述的细节之前，在下文中所使用的术语具有以下含义：

TCP/IP协议(传输控制协议/因特网协议)：计算机之间通信的协议，用作通过网络传输数据的标准以及标准因特网协议的基础。

TCP/IP端口号：端口是到逻辑连接的端点。一些端口具有预分派的号码。端口号分为三类：公认端口(Well Known Ports)、注册端口(RegisteredPorts)，以及动态和/或专用端口(Dynamic and/or Private Ports)。公认端口是从0到1023的端口。注册端口是从1024到49151的端口。动态和/或专用端口是从49152到65535的端口。

TCP/IP栈：TCP/IP协议的软件实现。聚集了与网络中所管理的任何设备相关的所有TCP/IP信息。

IP地址(因特网协议地址)：附于IP网络(TCP/IP网络)的设备的地址。每个客户机、服务器和网络设备均有唯一的IP地址用于每个网络连接。

主机名称：是唯一的名称，通过其而获知网络上的设备。

安全事件日志：记录与任何安全事件相关的所有信息的日志文件。在本地将事件记录到诸如硬盘驱动器的存储器，其驻留于正在运行操作系统的同一计算机上。还可以通过网络实施事件记录过程，其中在远离发生事件的主计算机的另一计算机上记录事件。安全事件日志可以含有合法和非法的登录尝试。由特定的号码表示每种事件。

事件ID：标识事件种类的号码。

用户ID：唯一地标识共享计算系统上特定用户的帐户的名称。

图1上示出了操作本发明的入侵检测工具的优选网络环境。如图中所示，校园网含有路由器100、交换机102、106(优选以太网类型)、邮件服务器108、操作系统服务器(Windows 110、AIX 112、OS/2 114)以及中央侵犯数据库116。示出了在本地校园网内的第一个人计算机104通过以太网交换机102耦合于网络，以说明试图访问该网络的第一攻击者设备。示出了在物理上位于本地校园网外部的第二个人计算机120通过路由器100耦合于本地校园网，以说明试图访问该网络的第二攻击者设备。攻击者设备可以是工作站或服务器，或者更一般地是能够进入网络的任何计算机设备。

本发明的主要想法在于，通过在两个独立的信息层级(一方面指TCP/IP栈信息，而另一方面指Windows安全事件日志信息)之间创建链接来跟踪恶意登录。该方法允许在存储于安全事件日志中的工作站/计算机名称与涉及该工作站/计算机名称的TCP/IP信息之间建立关系。

含有引入或引出TCP/IP连接的所有细节的日志文件随着新的连接而被持续更新。

一检测到137/139/445 TCP/IP端口之一，就搜索安全事件日志来确定该Net BIOS连接是否正在创建恶意登录。

如果始发方设备创建了至少一个恶意登录，那么从TCP/IP栈和安全事件日志这二者中检索与该攻击者设备(图1中的104和/或120)相关的所有逻辑和物理信息。

检索的逻辑信息包括：

●IP地址；

●网络主机名称；

●其网络适配器的MAC地址；

●工作站/计算机名称；

●用户ID；

●该用户ID是否出现在服务器上所定义的一列授权用户ID中；

●该用户ID是否出现在SPY列表中，该SPY列表含有Worm病毒所使用的所有缺省用户ID。

检索的物理信息包括：

●国家；

●建筑；

●楼层；

●以太网交换机标识；

●该交换机上的端口号。

聚集所有这样的信息并且将其添加到中央侵犯数据库116，以便实时通知网络管理员正在发生安全破坏。

另外，可以将一个或多个信息邮件发送给一个或多个收件人。

现参照图2，其说明了本发明的总体过程的优选实施例。优选地，该过程运行在操作于Windows环境下(Windows 2000 Professional、Server2000、Server 2003或Windows XP Professional)的任何计算机设备上。

在最初的步骤200，该过程开始于分析设备启动。

在步骤202，该过程检查在其上操作该过程的分析设备的操作系统。

在步骤204，标识和存储被定义到配置文件(通常称为“.INI”文件)中的几个配置参数：

[MAIL]

SENDING＝YES

[SERVER]

MAILSERVER＝″<mail sever address>″

[DESTINATION]

MAIL1＝″<mail recipient 1>″

MAIL2＝″<mail recipient 2>″

BCC＝″<mail blank copy>″

[SPEED]

INTERVAL＝2sec.

[MAC_ADDRESS]

MAC＝YES

[LOGFILE]

MAXSIZE＝10000bytes

[POPUP]

SHOW＝YES

应该理解，可以根据网络特性调整诸如两个循环之间的时间间隔的那些参数。

在步骤206，该过程将当前日志文件的大小与先前在“.INI”文件中所定义的MAXSIZE参数进行比较。如果当前值大于MAXSIZE值，那么该过程转至步骤208(分支“是”)，在其中清空日志文件。

如果当前值小于MAXSIZE值，那么该过程转至步骤210(分支“否”)。

在步骤210，该过程创建IP栈存储阵列来进一步在步骤212存储IP栈信息。

在步骤212，从公认的Windows′GetTcpTable′API即时读取IP栈信息。关于该API的更深入的信息可以在该网址找到：http://msdn.micro soft.com/library/default.asp？url＝/library/en-us/iphlp/iphlp/gettcptable.asp

上述API提供了以下信息：

●分析设备的本地IP地址；

●分析设备的本地TCP通信端口；

●攻击者设备的远程IP地址；

●攻击者设备的远程TCP通信端口；以及

●攻击者设备的远程主机名称。

接下来，在步骤213，该过程测试API深度的末端。该测试旨在检验其是否是到记录的最后的连接。如果该API还未结束(分支“否”)，则该过程转至步骤214，否则，如果其是API的最后的记录(分支“是”)，则该过程转至步骤204以重新启动“.INI”文件读循环。

在步骤214，该过程将先前在步骤212读取的当前连接信息与来自上一读循环的现存连接信息进行比较。该测试旨在检验哪些连接是新的。如果没有发现新的连接(分支“否”)，那么该过程循环返回步骤204以启动新的“.INI”文件读循环。如果发现至少一个新连接(分支“是”)，则该过程继续步骤216。

在步骤216，该过程过滤不需要的IP地址。在优选的实现中，将不需要的IP地址(等于“127.0.0.1”或“0.0.0.0”)归类为对于记录是不重要的。

如果遇到不需要的值中的一个(分支“是”)，那么该过程循环返回步骤213以分析接下来的有效连接。

如果没有遇到不需要的值(分支“否”)，那么该过程继续步骤218。

在步骤218，该过程将发现的新连接信息存储到一个IP栈存储阵列中，并且转至步骤220。

在步骤220，该过程搜索在当前所分析的连接中是否出现了端口137、139或445之一。如果测试结果是“否”，那么该过程转至步骤226，否则，如果测试结果是“是”，这意味着存在潜在的病毒攻击，那么该过程继续步骤222。

在步骤222，该过程检索当前所分析的连接的网络主机名称。网络主机名称是固定主机名称或者是由动态主机配置协议(DHCP，Dynamic HostConfiguration Protocol)分发的动态主机名称。然后，该过程转至步骤224。

在步骤224，该过程调用子例程来分析安全事件日志。参照图4进一步详述该过程。在完成例程步骤224之后，该过程转至步骤226。

在步骤226，取决于先前的安全事件分析的结果，将新的条目添加到侵犯结果日志文件中。优选地，可以写入三种不同类型的条目：

I.如果所分析的连接不是Net BIOS连接，那么记录含有至少以下字段：

●日期和时间

●本地IP地址

●本地IP端口

●远程IP地址

●远程IP端口。

II.如果所分析的连接是Net BIOS连接但却未检测到侵犯，那么除了先前所列的字段之外，记录还含有主机名称。

III.如果所分析的连接是Net BIOS连接并且检测到所检测的侵犯，那么记录含有补充信息来标识攻击者设备，例如工作站/计算机名称以及用于侵犯的用户ID。下面的列表示例了这样的详细信息：

●日期和时间

●本地IP地址

●本地IP端口

●远程IP地址

●远程端口地址

●主机名称

●工作站名称

●用于侵犯的用户ID

●MAC地址

●侵犯的告警级别(低、中、高)。

当在侵犯日志文件中记录了条目之后，该过程转至步骤228。

在步骤228，如果确认先前的条目是第III类条目，那么该过程转至步骤230，否则该过程循环返回步骤213。

在步骤230，将包括了安全事件日志细节、IP栈信息这二者的完整信息，以及诸如告警级别的所有附加信息作为最终的侵犯报告发送至中央侵犯数据库。并且该过程循环返回步骤213。

图3说明了对于病毒攻击的这样的侵犯报告的例子。在Windows之上设置告警消息。将示例性Windows分成几个区域，其各自提供与受害设备相关的信息、攻击者设备的TCP/IP栈、攻击的逻辑和物理信息。

现转至图4，现在描述从安全事件日志读取信息的过程。

在步骤400，从步骤224调用的过程开始。

在步骤402，检索运行该过程的设备的本地主机名称。

在步骤404，该过程从安全事件日志提取最新的侵犯事件。如本领域的技术人员已知的，安全事件日志含有若干信息字段，其中公知的“事件ID”用于限定安全事件的性质。在步骤404，优选地对事件ID“529、530、531、532、533、534、535、537和539”进行归类，以便提取仅与这些事件ID相对应的侵犯信息。关于事件ID的更多信息可以在该网址找到：http://support.microsoft.com/default.aspx？scid＝kb；en-us；305822&sd＝ee

接下来，在步骤406，该过程检查自从执行上一过程以来是否已经发生了恶意(非法的)登陆。

如果检测到恶意登陆，则该过程将该恶意登陆与在步骤220所检测到的最新的NETBIOS连接进行链接，并且转至步骤410。

如果没有检测到恶意登陆，则该过程继续步骤436。

在步骤410，该过程提取本地设备上所定义的用户ID。

接下来，在步骤412，该过程将当前侵犯所发现的用户ID与先前在本地设备上所发现和定义的用户ID进行比较。

如果用于侵犯的用户ID是为本地设备所定义的用户ID之一，那么该过程继续步骤414以设置“低”级别告警(步骤414)。并且该过程转至步骤422。

如果用于侵犯的用户ID不是为本地设备所定义的用户ID之一，那么该过程继续步骤416。

在步骤416，该过程将用于侵犯的用户ID与本地SPY列表中所定义的用户ID进行比较。

如本领域的技术人员已知的，SPY列表代表病毒持续使用的所有用户ID。

如果用于侵犯的用户ID是SPY列表用户ID之一，那么该过程转至步骤420以设置与病毒攻击相关的“高”级别告警。并且该过程继续步骤422。

如果用于侵犯的用户ID不是SPY列表用户ID之一，那么该过程转至步骤418以设置“中”级别告警。

在接下来的步骤422，该过程基于在步骤204所读取的参数来检索攻击者设备的MAC地址。

在步骤424，启动新的子例程“LOCATION(位置)”，以便将攻击者设备的IP地址与定义了每个IP地址的物理位置的网络基础设施数据库中所含的一列IP地址进行比较。

在步骤426，进行测试以确定攻击者设备的IP地址是否是网络基础设施数据库中现存的那些IP地址之一。

如果是的话，则该过程继续步骤428，其中从网络基础设施数据库中提取与攻击者设备的拥有者相关的所有信息。将该信息添加到将要在步骤230中发送的侵犯报告。并且该过程转至步骤434。

如果否的话，意味着在网络基础设施数据库中没有找到攻击者设备的IP地址，则该过程继续步骤430。

在步骤430，该过程允许扩大位置搜索，以便确定与同一组IP地址有关的所有设备位于何处。为了达到该目的，截断攻击者设备的IP地址以移除最后的区域(例如，用关于“9.36.164”的新搜索代替“9.36.164.76”)。

如果搜索结果为“是”，意味着标识了具有同一IP地址范围的设备组，然后该过程继续步骤428，否则该过程转至步骤432。

在步骤432，将关于“未标识位置”的注释添加到稍后在步骤230中发送的最终的侵犯报告。

在接下来的步骤434，将本地设备的IP地址添加到稍后在步骤230中发送的最终的侵犯报告。

并且最后在步骤436，该子例程返回到在步骤226处的初始调用过程。

总的来说，本发明允许检测病毒攻击以及在受攻击设备的用户觉察到攻击之前立即向网络管理员报警。

此外，由于快速的病毒检测，网络管理员能够控制和减轻病毒攻击的传播，由此大大降低了病毒攻击影响的代价。

已经针对检测任何的病毒攻击描述了本发明，但是可以理解，本发明将易于用来实时监控任何的非法访问以及及时采取必要的行动。

最后，本发明的另一好处在于对CPU资源的低使用度。

Claims

1.一种用于标识试图入侵具有多个受管设备(108、110、112、114、116)的基于TCP/IP协议的网络的设备(104、120)的方法，所述网络进一步具有处理安全事件日志的至少一个受管设备，所述方法包括以下步骤：

在所述至少一个受管设备处检测引入TCP/IP连接；

将生成所检测到的引入TCP/IP连接的设备的事件日志信息以及TCP/IP信息聚集到侵犯日志文件中。

2.根据权利要求1的方法，其中所述一组预定义的端口号包括端口号137、139和445。

3.根据权利要求1或2的方法，其中处理安全事件日志的所述至少一个受管设备操作在Windows操作系统上。

4.根据权利要求1、2或3的方法，其中所述提取TCP/IP信息的步骤包括步骤：读取Windows′GetTcpTable′API。

5.根据权利要求1至4中任何一项的方法，其在所述检测步骤之后进一步包括步骤：将所述引入TCP/IP连接的IP地址与一组不需要的IP地址进行比较，以便在匹配的情况下终止标识过程。

6.根据权利要求5的方法，其中所述一组不需要的IP地址包括等于“127.0.0.1”和“0.0.0.0”的IP地址。

7.根据权利要求1至6中任何一项的方法，其在所述比较步骤之后进一步包括步骤：在匹配的情况下检索生成所检测到的引入TCP/IP连接的设备的主机名称。

8.根据权利要求1至7中任何一项的方法，其中所述检索安全事件日志信息的步骤进一步包括步骤：检索所述至少一个受管设备的主机名称。

9.根据权利要求1至8中任何一项的方法，其进一步包括步骤：根据所述引入TCP/IP连接的事件ID的值来过滤所述引入连接。

10.根据权利要求1至9中任何一项的方法，其进一步包括步骤：检查所述引入TCP/IP连接的登陆信息是否满足具有一个或多个过滤器的一组过滤器。

11.根据权利要求10的方法，其中所述具有一个或多个过滤器的一组过滤器包括一列或多列未授权登陆。

12.根据权利要求11的方法，其中所述检索安全事件日志信息的步骤进一步包括步骤：检索生成所述TCP/IP引入连接的设备的MAC地址。

13.根据权利要求12的方法，其进一步包括步骤：将生成所述TCP/IP引入连接的设备的IP地址与为所述基于TCP/IP协议的网络所定义的一组IP地址进行比较。

14.根据权利要求1至13中任何一项的方法，其中随所述TCP/IP信息所聚集的事件日志信息包括生成所述引入TCP/IP连接的设备的逻辑和物理位置信息。

15.根据权利要求1至14中任何一项的方法，其进一步包括步骤：将所聚集的信息发送至中央侵犯数据库，指示已经标识了入侵。

16.一种用于标识试图入侵具有多个受管设备(108、110、112、114、116)的基于TCP/IP协议的网络的设备(104、120)的系统，所述网络进一步具有处理安全事件日志的至少一个受管设备，所述系统包括用于操作权利要求1至15中任何一项的方法的每个步骤的装置。

17.一种存储在可由计算机机器读取的介质上的计算机程序产品，所述计算机程序产品有形地体现了用于使所述计算机机器实现根据权利要求1至15中任何一项的方法的可读程序装置。

18.一种在基于TCP/IP的网络中监控安全事件的方法，所述基于TCP/IP的网络具有使用安全事件记录过程来记下安全事件的多个基于Windows的设备，所述基于Windows的设备耦合于中央侵犯数据库，所述方法包括以下步骤：

在所述多个基于Windows的设备中的至少一个上执行权利要求1的方法的步骤；

在所述中央侵犯数据库处接收通过所述执行步骤所生成的侵犯日志文件；以及

在侵犯的情况下解释所述侵犯日志文件，以便生成侵犯报告给网络管理员。

19.根据权利要求18的方法，其在所述执行步骤之前进一步包括步骤：将权利要求17的计算机程序产品加载到所述多个基于Windows的设备中的至少一个中。