CN101350745A - 一种入侵检测方法及装置 - Google Patents
一种入侵检测方法及装置 Download PDFInfo
- Publication number
- CN101350745A CN101350745A CNA2008101179418A CN200810117941A CN101350745A CN 101350745 A CN101350745 A CN 101350745A CN A2008101179418 A CNA2008101179418 A CN A2008101179418A CN 200810117941 A CN200810117941 A CN 200810117941A CN 101350745 A CN101350745 A CN 101350745A
- Authority
- CN
- China
- Prior art keywords
- detected
- detection
- unit
- type
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
Abstract
一种入侵检测方法及装置,该方法对要检测的每种类型的网络攻击事件,分配一个或多个检测单元,并配置该类型网络攻击事件的待检测对象的类型以及检测算子和检测知识库,入侵检测时,实时获取网络数据包,获取网络数据包中包含的待检测对象;然后由相应的检测单元根据配置的检测算子和检测知识库进行入侵检测,产生网络攻击报警事件。该入侵检测装置包括依次连接的数据预处理单元、数据分发单元、包括一个或多个检测单元的检测网格以及上述单元连接的配置管理单元。本发明支持对各种复杂网络攻击事件的精确检测,并要考虑整个入侵检测装置的执行效率。
Description
技术领域
本发明涉及网络攻击检测领域,具体涉及一种入侵检测方法及装置。
背景技术
入侵检测装置是一种旁路部署或串行部署的网络安全设备,它通常部署在关键网络内部/网络边界入口处,全面监听进出网络的网络数据包,通过对监听到的网络数据包进行扫描检测,以发现各种可能的入侵行为,并能根据攻击事件来调整安全策略或防护手段。同时,入侵检测装置产生的攻击事件序列可以为定期的安全评估和分析提供依据。
可以将当前入侵检测装置采用的入侵检测技术分为两类:一类为误用检测技术;另一类为异常检测技术。误用检测技术是由安全专家根据收集的攻击实例来抽取能够表征该类攻击事件的攻击特征串,然后在实时入侵检测时将网络数据流与先前提取的攻击特征串进行特征匹配,匹配成功则表示检测到了该类型网络攻击事件。异常检测技术则首先为被监控对象构建正常行为轮廓,然后在实时检测时,判断被检测对象当前行为轮廓与正常行为轮廓的偏离程度,当偏离程度超过一定阈值时,表示发生了网络攻击事件。由于异常事件并不一定是网络攻击事件,并且,基于异常检测技术的入侵检测方法存在正常行为轮廓构建困难和报警模糊问题,因此,现实情况中的入侵检测装置多数采用误用检测技术实现。
传统入侵检测装置主要包括三个单元:攻击特征库单元、数据收集单元和攻击特征串匹配单元。其中,攻击特征库单元存储了从已知攻击实例中提取的攻击特征串,供攻击特征匹配单元使用;数据收集单元从被监控网络中实时捕获网络数据包,经过流重组和协议解析后,将数据发送给攻击特征匹配单元;攻击特征匹配单元基于攻击特征库对数据收集单元输出的数据进行扫描检测,当发现数据流中包含已知的攻击特征串时,表示检测到了该类型网络攻击事件。
以开源Snort入侵检测产品为例,典型入侵检测装置都采用单一格式描述各类型网络攻击事件攻击特征,并在实时入侵检测时采用传统模式匹配技术来实现网络数据流与攻击特征串的匹配操作。这种基于单一攻击特征串表述格式和单一模式匹配算法的入侵检测模式正在受到当前变化多样的网络攻击事件的严峻挑战,主要表现在:1)随着各种网络应用的出现,特别是基于Web的网络应用系统的涌现,各种网络攻击事件的差异性变得越来越大,再试图采用单一格式来描述所有类型网络攻击事件的攻击特征正变得越来越困难;2)有些网络攻击事件不存在明显的攻击特征串,或者无法采用枚举方式来列出所有攻击特征串,因此采取误用检测的攻击特征知识库无法提取攻击特征串,比如SQL注入攻击和跨站脚本攻击事件就不可能使用攻击特征串枚举方式来定义攻击特征,而必须采用其他专用的检测知识库;3)传统模式匹配技术在实现复杂的攻击特征串匹配时显得越来越吃力。
为了支持对SQL注入攻击事件等复杂网络攻击事件的入侵检测,就需要克服传统入侵检测装置中采用单一攻击特征描述格式和单一攻击特征匹配技术的不足。虽然一些传统入侵检测装置通过打补丁方式来支持对某些复杂网络攻击事件的检测,但是,它破坏了传统入侵检测装置的体系结构,由此导致的问题有两个:1)随着更多检测补丁的加入,整个入侵检测装置的单元化程度越来越差,这将大大增加入侵检测装置的维护升级费用;2)检测补丁与传统入侵检测装置中的数据收集单元耦合性太强,严重影响了入侵检测装置的执行效率。
目前也看到一些入侵检测装置采用类似于高级语言的攻击特征描述语言来定义网络攻击事件的攻击特征,这使得使用单一格式描述所有攻击特征成为可能,比如开源Bro入侵检测工具和商用NFR入侵检测工具就是采取这种方式,但是,这些入侵检测工具不得不采用虚拟机技术来执行网络数据流数据与攻击特征串的匹配,导致入侵检测效率很低。
发明内容
本发明要解决的技术问题是提供一种入侵检测方法及装置,支持对各种复杂网络攻击事件的精确检测,并要考虑整个入侵检测装置的执行效率。
为了解决上述技术问题,本发明提供了一种入侵检测方法,对要检测的每种类型的网络攻击事件,在入侵检测装置中分配一个或多个检测单元,并配置该类型网络攻击事件的待检测对象的类型以及对该类型待检测对象进行入侵检测所用的检测算子和检测知识库,入侵检测时,所述入侵检测装置执行以下处理:
实时获取网络数据包并进行预处理,得到所述网络数据包中包含的需要进行入侵检测的待检测对象;
根据得到的待检测对象的类型,由相应的检测单元根据为该类型待检测对象配置的检测算子和检测知识库进行入侵检测,产生网络攻击报警事件。
进一步地,上述入侵检测方法还可具有以下特点:
在入侵检测之前,还根据配置的待检测对象类型生成一待检测对象加工过程树,该待检测对象加工过程树的叶子节点为配置的待检测对象,其他节点是为得到其下层叶子节点对应的待检测对象而对网络数据包处理的过程中需得到的中间对象;
在入侵检测时,所述入侵检测装置只对所述待检测对象加工过程树中存在的中间对象进行逐层处理,最终得到需要进行检测的待检测对象。
进一步地,上述入侵检测方法还可具有以下特点:
在所述入侵检测装置中,利用多核硬件平台来实现至少部分检测单元入侵检测的并行执行。
进一步地,上述入侵检测方法还可具有以下特点:
所述入侵检测装置产生网络攻击报警事件之后,还对网络攻击报警事件进行综合分析,产生更高级别的网络入侵攻击事件。
进一步地,上述入侵检测方法还可具有以下特点:
所述入侵检测装置对获取的网络数据包进行预处理时,还收集被监控网络的环境信息数据,包括操作系统指纹和/或应用系统指纹;
所述入侵检测装置产生网络攻击报警事件之后,使用所述环境信息数据对产生的网络攻击报警事件进行综合分析,验证攻击事件的有效性。
本发提供的网络攻击事件的入侵检测装置包括依次连接的数据预处理单元、数据分发单元和检测网格,以及与所述数据预处理单元、数据分发单元和检测网格连接的配置管理单元,所述检测网格包括一个或多个检测单元,其中:
所述配置管理单元包括一定制子单元,用于为每种类型的网络攻击事件分配一个或多个检测单元,为每一检测单元配置要检测的某类型网络攻击事件的待检测对象的类型以及入侵检测所用的检测算子和检测知识库;
所述数据预处理单元用于根据配置的待检测对象类型对实时获取的网络数据包进行预处理,得到其中包含的需要进行入侵检测的待检测对象并传送到所述数据分发单元;
所述数据分发单元用于根据为所述检测单元配置的待检测对象的类型,将接收到的待检测对象分发到对应的检测单元;
所述检测网格中的各检测单元用于采用配置的检测算子和检测知识库,对分发到本检测单元的待检测对象进行扫描检测,产生网络攻击报警事件。
进一步地,上述入侵检测装置还可具有以下特点:
所述配置管理单元还包括一加工过程树生成子单元,用于根据配置的待检测对象类型生成一待检测对象加工过程树,该待检测对象加工过程树的叶子节点为配置的待检测对象,其他节点是为得到其下层叶子节点对应的待检测对象而对网络数据包处理的过程中需得到的中间对象;
所述数据预处理单元对网络数据进行预处理时,只对所述待检测对象加工过程树中存在的中间对象进行逐层处理,得到需进行检测的待检测对象。
进一步地,上述入侵检测装置还可具有以下特点:
所述检测网格基于多核硬件平台来实现,至少部分检测单元在进行入侵检测时可并行执行。
进一步地,上述入侵检测装置还可具有以下特点,还包括一综合分析验证单元,其中:
所述各检测单元还用于将产生的网络攻击报警事件上报所述综合分析验证单元;
所述综合分析验证单元,用于对各检测单元上报的网络攻击事件序列进行综合分析,并产生更高级别的网络入侵攻击事件。
进一步地,上述入侵检测装置还可具有以下特点:
所述数据预处理单元对网络数据包进行预处理时,还从网络数据包中收集被监控网络的环境信息数据,包括操作系统指纹和/或应用系统指纹,并将这些环境信息数据发送给所述综合分析验证单元;
所述综合分析验证单元对所述网络攻击报警事件序列进行综合分析时,使用所述环境信息数据对产生的网络攻击报警事件进行综合分析,验证攻击事件的有效性。
进一步地,上述入侵检测装置还可具有以下特点:
所述定制子单元还用于对检测网格中的检测单元进行重新配置,包括更新检测单元的检测算子和检测知识库,为新的类型的网络攻击事件分配检测单元并配置待检测对象类型、检测算子和检测知识库,以及释放已分配的检测单元并删除相应的配置信息。
进一步地,上述入侵检测装置还可具有以下特点:
所述定制子单元根据各类型网络攻击事件的发生频度,为每种类型的网络攻击事件分配一个或多个检测单元,并为这些检测单元配置该类型网络攻击事件的待检测对象类型;
所述数据分发单元在某待检测对象的类型对应于一组具有相同配置的检测单元时,将该待检测对象分发到该多个检测单元中空闲的一个检测单元。
可以看出,本发明充分考虑了当前各种网络攻击事件的攻击特征差异性和新型攻击层出不穷且越来越复杂的特点,采用了基于分层分治策略的入侵检测思想,允许采用不同描述格式对各种类型网络攻击事件检测知识库进行描述以及采用专用的检测算子来实现该类型网络攻击事件的入侵检测。与传统入侵检测相比,本发明由于允许对各种网络攻击事件都采用专用检测算法,因此可以实现更为精确的入侵检测。并且,本发明所述入侵检测装置中多个检测单元之间的执行独立性特点使得其可以充分利用多核硬件平台来提高入侵检测效率;最后,本发明所述入侵检测装置还可通过重新配置单个检测单元的检测算子或者检测知识库来增强对某种网络攻击事件的检测能力,也可以通过增加新的检测单元来支持对新的网络攻击事件的检测,具有非常好的可扩展性,大大降低入侵检测装置的维护升级费用。
附图说明
图1A为本发明实施例入侵检测装置的功能单元图;
图1B为本发明实施例入侵检测方法的流程图;
图2为图1A中配置管理单元定制检测网格的处理流程图;
图3为一个专为Web安全检测定制的检测网格的示例的示意图;
图4为图1A中数据预处理单元的处理流程图;
图5为裁减前的待检测对象加工过程树的一个示例的示意图;
图6为根据检测网格定制结果对图5中待检测对象加工过程树裁减后得到的待检测对象加工过程树的示意图;
图7为图1A中数据分发单元的处理流程图;
图8为图1A中检测单元的处理流程图;
图9为图1A中入侵检测装置的综合分析验证单元的处理流程图。
具体实施方式
本发明的入侵检测方法及装置,不再采用传统入侵检测技术用单一攻击特征描述格式和单一攻击特征匹配算法的入侵检测思想,采用了分层分治策略入侵检测思想,允许对不同类型网络攻击事件采用不同的检测知识库描述格式和选择不同的攻击检测算子,以提高入侵检测装置的检测精确率和执行效率。
下面先对本发明中用到的几个名词作一下说明。
待检测对象,可以为一个应用协议消息或者为一个文件流对象,这里的应用层协议消息如可以为一个HTTP请求消息,文件流对象如可以为一个HTML文档对象。
检测算子,是用于实现对某种类型网络攻击事件检测而设计的软件程序,它以某种类型的待检测对象为输入,依据预先定义的检测知识库对待检测对象进行扫描检测,从而发现隐藏在待检测对象中的该类型网络攻击企图。检测算子可以用动态库插件形式实现,并提供统一的检测调用接口,该检测调用接口的输入参数为待检测对象和检测知识库,输出为本次检测结果。
检测知识库,是为实现某种类型的网络攻击事件检测而由安全专家预先创建的、并由该类型网络攻击事件检测算子专门使用的检测知识集合。根据检测原理的不同,所述检测知识库可以为用于实现误用检测的攻击特征知识库,也可以为用于异常检测的正常行为轮廓知识库。
为各检测单元所配置的所有检测算子及检测知识库将指导相应检测单元对某种类型的网络攻击事件的入侵检测过程。
下面结合附图,对本发明的具体实施例进行详细说明。
如图1A所示,本实施例入侵检测装置包括依次连接的数据预处理单元、数据分发单元、检测网格和综合分析验证单元,以及可与以上单元分别交互的配置管理单元,所述检测网格包括一个或多个检测单元。其中:
配置管理单元包括:
定制子单元,用于对检测网格中的检测单元进行定制,定制时根据需要检测的各种类型的网络攻击事件的类型,对每种类型的网络攻击事件分配一个或多个检测单元,为每一检测单元配置要检测的某类型网络攻击事件的待检测对象的类型以及入侵检测所用的检测算子和检测知识库。至于是分配多少个检测单元,可以根据各类型网络攻击事件的发生频度来确定。该定制子单元还用于对检测网格中的各检测单元进行重新配置,包括更新检测单元的检测算子和检测知识库,为新的类型的网络攻击事件分配检测单元并配置待检测对象类型、检测算子和检测知识库,以及释放已分配的检测单元并删除相应的配置信息等等。
加工过程树生成子单元,用于根据定制各个检测单元格时所配置的所有待检测对象生成一分层树状结构的待检测对象加工过程树,该待检测对象加工过程树的叶子节点即为检测单元要检测的待检测对象,其他节点是为得到其下层叶子节点对应的待检测对象而对网络数据包处理的过程中需得到的中间对象。所谓叶子节点即没有子节点的节点。
数据预处理单元用于实时获取网络数据包,依据待检测对象加工过程树对网络数据包进行预处理,得到其中包含的待检测对象并传送给数据分发单元。对网络数据包的预处理可以包括报文碎片处理、流重组和深层协议解析等。数据预处理单元还可以从缓存的网络数据包中收集被监控网络的各种环境信息数据,包括操作系统指纹和/或应用系统指纹信息。
数据分发单元用于接收待检测对象,根据定制检测网格时为检测单元配置的待检测对象的类型,将收到的待检测对象分发到对应的检测单元。当某待检测对象的类型对应于一组具有相同配置的检测单元时,数据分发单元将该待检测对象分发到其中一个空闲的检测单元。
各检测单元用于对分发到本检测单元的待检测对象,采用预先配置的检测算子和检测知识库对其进行检测处理,产生网络攻击报警事件并发送给综合分析验证单元;
综合分析验证单元用于对检测单元发送来的网络攻击事件序列进行综合分析,产生更高级别的网络入侵攻击事件。在进行综合分析时,还利用各种环境信息数据可以实现对网络攻击事件的关联分析和有效性验证。
应说明的是,以上单元划分不是唯一的,例如待检测对象加工过程树生成子单元也可以包含在数据预处理单元中。但完成相同的功能的不同单元组合明显等同于上述装置,仍应属于本发明的保护范围。
基于以上的入侵检测装置,本实施例入侵检测方法的流程如图1B所示,包括以下步骤:
步骤110,针对要检测的每种类型的网络攻击事件,在入侵检测装置中分配一个或多个检测单元,并配置该类型网络攻击事件的待检测对象的类型以及对该类型待检测对象进行入侵检测所用的检测算子和检测知识库;
上述配置可以很方便地进行修改、增加和删除等操作,如可以更新为检测单元配置的检测单元和/或检测知识库的版本。需要对新的类型的网络攻击事件进行入侵检测时,可以为其新分配一个或多个检测单元并配置相应的待检测对象类型、检测算子和检测知识库。不需要对已配置的某类型网络攻击事件进行入侵检测时,可以删除为该类型网络攻击事件分配的检测单元及相应的配置信息。
本实施例在进行入侵检测前先生成一待检测对象加工过程树。具体地,可以先配置一作为模板的待检测对象加工过程树,包括了各种类型网络攻击事件的待检测对象及相应的中间对象,这些对象按相互间的关系组织成树状结构。要生成实际使用的待检测对象加工过程树时,只需根据实际定制的待检测对象对作为模块的待检测对象加工过程树进行裁减,裁减时,只保留实际定制的待检测对象及其上层节点,将其他所有节点均予以删除。
根据各类型网络攻击事件的发生频度,可以为每种类型的网络攻击事件分配一个或多个检测单元。
在进行入侵检测时,入侵检测装置执行以下处理:
步骤120,实时获取网络数据包并进行预处理,得到所述网络数据包中包含的需要进行入侵检测的待检测对象;
本实施例是依据生成的待检测对象加工过程树对网络数据包进行预处理,可以包括报文碎片处理、流重组和深层协议解析等,可参照目前的处理方式。由于在该过程中只对待检测对象加工过程树中存在的中间对象进行处理,最终得到需进行检测的待检测对象,因此大大提高了处理的效率。
步骤130,根据得到的待检测对象的类型,由相应的检测单元根据为该类型待检测对象配置的检测算子和检测知识库进行入侵检测,产生网络攻击报警事件;
上文已经提到,当某一待检测对象类型对应一组具有相同配置的检测单元时,可以将该待检测对象分发到其中的一个空闲的检测单元并行处理。这样在某种类型的网络攻击事件特别频繁时,可以有效地利用资源。而一个检测单元只对应于某种类型网络攻击事件,其输入为该类型网络攻击事件的待检测对象。
步骤140,对网络攻击报警事件进行综合分析,产生更高级别的网络入侵攻击事件。
可以从缓存的网络数据包中收集被监控网络的各种环境信息数据,包括操作系统指纹和/或应用系统指纹信息,在进行综合分析时,利用各种环境信息数据可以实现对网络攻击事件的关联分析和有效性验证。
图2为配置管理单元定制检测网格的流程图。首先,确定所述入侵检测装置需要检测的所有网络攻击事件类型(步骤210);然后,判断是否存在没有分配检测单元的网络攻击事件类型(步骤220);如果存在,从未分配检测单元的攻击事件类型集合中取出某网络攻击事件类型(步骤230);为该类型网络攻击事件分配一个检测单元,并配置该检测单元所需要的待检测对象类型以及实施于该类型待检测对象上的检测算子和检测知识库,返回步骤220(步骤240);如果不存在没有分配检测单元的网络攻击事件类型,则由所有具有正确配置的检测单元构成所述入侵检测装置的检测网格(步骤250)。
图3为一个专门检测Web类攻击的检测网格示例。这里假设需要检测四种类型的Web攻击事件:SQL(Structure Query Language)注入攻击事件、脚本注入攻击事件、网页木马攻击事件和CGI(Common Gateway Interface)扫描事件。因此,这里为该检测网格配置了四个检测单元,其中,检测单元1配置为SQL注入攻击检测单元,该检测单元的待检测对象为HTTP(HyperTextTransfer Protocol)请求消息,检测算子为预先设计实现的专用SQL注入攻击检测算法,检测知识库为预先构建的SQL注入攻击特征库;检测单元2配置为脚本注入攻击检测单元,该检测单元的待检测对象为HTTP请求消息,检测算子为预先设计实现的专用脚本注入攻击检测算法,检测知识库为预先构建的脚本注入攻击特征库;检测单元3配置为网页木马检测单元,该检测单元的待检测对象为HTML页面,检测算子为预先设计实现的专用网页木马检测算法,检测知识库为预先构建的网页木马病毒特征库;检测单元4配置为CGI扫描检测单元,该检测单元的待检测对象为HTTP响应消息头,检测算子为专用的CGI扫描检测算法,检测知识库为CGI扫描攻击特征库。
所述配置管理单元还允许按照用户安全需求对检测网格进行重新配置,包括替换单个检测单元的检测算子和通过分配新的检测单元来增加对新型网络攻击事件的检测支持。比如,如图3所示,如果要升级检测单元3中的网页木马检测算法,那么只需要为检测单元3配置新的网页木马检测算子以及新的网页木马病毒特征库。或者,如果要为图3中的检测网格增加对XML(eXtensible Markup Language)注入攻击的检测,则只需增加检测单元5,为该检测单元格配置待检测对象为HTTP请求,配置的检测算子为专用XML注入检测算法,配置的检测知识库则为专用的XML注入检测知识库。
图4为数据预处理单元的处理流程图。首先,数据预处理单元缓存一段时间内截获的所有网络数据包(步骤410);之后,对缓存的网络数据包按流标识进行数据包分组和流重组,得到原始网络数据流(步骤420);然后,按照原始网络数据流所指示的应用协议类型对原始数据流进行深层协议解析,得到各类型应用层协议消息(步骤430);判断是否存在需对其携带数据体进行分析的应用层协议消息(步骤440),如果存在,将该应用层协议消息分解为应用协议消息部分和携带数据体部分,返回步骤440(步骤450);如果不存在,将得到的各种类型的待检测对象发送给检测单元(步骤460)。这里,对于某些具有数据传输能力的应用协议消息,需要进一步将其分解为应用协议消息部分和携带数据体部分,比如HTTP响应消息,可以将其分解为HTTP响应消息头部分和HTTP响应数据体部分,其中,HTTP响应消息头为HTTP协议用来响应HTTP请求的协议状态数据;而HTTP响应数据体为Web服务器发送给Web客户端的将最终由Web客户端呈现给用户的数据。
图5为数据预处理单元对缓存的网络数据包进行预处理并产生各种类型待检测对象的实施例。在该实例中,以以太网(ETHER)类型网络数据包为例,数据预处理单元从网络数据包的以太网报头中获知该网络数据包是IP(Internet Protocol)报文、ARP(Address Resolution Protocol)报文还是RARP(Reverse Address Resolution Protocol)报文;对于ARP报文和RARP报文,它本身就是一个完整的待检测对象,无需进一步的预处理,可直接发送给入侵检测单元做入侵检测;对于IP报文,首先进行报文碎片处理,然后,从IP报文的IP报头中获知第四层协议类型,包括ICMP(Internet Control MessageProtocol)、IGMP(Internet Group Message Protocol)、TCP(Transport controlprotocol)和UDP(User datagram Protocol)四种。对于ICMP、IGMP类型报文,它本身就是一个完整的待检测对象,无需进一步预处理,可直接发送给入侵检测单元做入侵检测;而对于TCP和UDP类型报文,可以从IP报头和TCP/UDP报头中提取以源IP地址、目IP地址、源端口和目端口四元组为标识的连接标识符,然后基于连接标识符对网络数据包进行分组和流重组,得到原始数据流对象;最后,对得到的原始数据流对象按应用层协议类型进行协议解析,得到各种类型应用协议消息,比如POP3(Post Office ProtocolVersion 3)、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)、DNS(Domain Name Service)等等。所有应用协议消息一般都可以分为请求和响应类型两大类,比如,HTTP协议消息可以分为HTTP请求消息(HTTPReq)和HTTP响应消息(HTTPResp),HTTP请求消息是指从Web客户端发往Web服务器的HTTP协议消息,而HTTP响应消息是指Web服务器响应Web客户端请求回送的HTTP协议消息。
此外,对于某些具有数据传输能力的应用协议消息,可以进一步将其分解为应用协议消息部分和携带数据体部分,比如HTTP响应消息(HTTPResp)可以进一步分解为HTTP响应消息头部分(HTTPRespHeader)和HTTP响应数据体部分(HTTPRespBody)。同时,对于应用协议携带数据体部分,可以根据携带数据类型将其进一步分解为各种类型的应用协议携带数据体对象,比如,HTTP响应数据体可以进一步分为图像文件、HTML文件等。对于其它类型应用协议的深层协议预处理与HTTP协议类似,由于篇幅问题,这里不再一一列举。
在实施本发明过程中,数据预处理单元并不需要产生所有可能的待检测对象,而可以根据待检测对象加工过程树只产生检测网格所需要的待检测对象,这可以大大提高数据预处理单元的执行效率。比如,图3所示的检测网格只需要三种类型的待检测对象,它们是HTTPReq、HTTPRespHeader和HTML文件,因此,相关的数据预处理单元只需按照图6所示的待检测对象加工过程树来产生检测网格所需要的所有待检测对象。图6是在图5基础上裁减得到的。
此外,数据预处理单元还可以从缓存的网络数据包中收集被监控网络的各种环境信息数据,包括操作系统指纹和应用系统指纹信息,并将这些环境信息发送给综合分析验证单元进行综合分析。其中,操作系统指纹获取可以通过检测被监控主机发出的TCP报文来实现,比如可以直接采用开源p0f软件包实现操作系统指纹获取;应用系统指纹信息的获取主要通过监控被监控软件服务返回给客户端的版本信息来实现。
图7为数据分发单元的处理流程图。首先,从数据预处理单元接收待检测对象(步骤710);然后,根据待检测对象类型检索检测网格定制数据库,得到以该类型待检测对象为输入的一组检测单元(步骤720);最后,将该类型待检测对象分配给该组检测单元中的检测单元(步骤730)。当某类型待检测对象对应一组具有相同配置的检测单元时,可以轮询等方式选择出其中空闲的检测单元进行分发。
图8为检测单元对分配给该单元的待检测对象进行检测处理的处理流程图。首先,从数据分发单元接收所需类型的待检测对象(步骤810);然后,以所接收到的待检测对象为数据输入,按预先配置的检测知识库,执行为该检测单元配置的专用检测算子,产生某种类型的网络入侵检测事件(步骤820);最后,将检测单元所产生的网络攻击报警事件发送给综合分析验证单元(步骤830)。
本实施例入侵检测装置中的各检测单元的执行操作是相互独立的,因此,在具体实施本发明过程中,可以利用多核硬件平台来实现检测网格中各检测单元的并行执行,从而大大提高入侵检测单元执行效率。
图9为综合分析验证单元的处理流程图。首先,接收从各检测单元发送来的网络攻击报警事件序列(步骤910);然后,对网络攻击报警事件序列进行综合分析,从而产生更高级别的网络攻击报警事件(步骤920);最后,将这些网络攻击报警事件发送给报警控制台或者第三方安全控制设备进行威胁抵制(步骤930)。
所述综合分析验证单元可以采用统计分析、关联分析、序列模式挖掘、聚类分析、日志相似性融合、基于攻击前提的入侵过程发现,以及结合资产与漏洞的风险评估等方法,可采用的分析模型包括序列模式挖掘模型、攻击场景重现模型,对网络攻击报警事件序列进行综合分析时可完成以下处理:1)从中寻找经常发生的攻击模式,对海量日志进行精简,提高管理员对海量日志信息的处理能力;2)及时发现隐藏在海量日志中的大规模网络安全事件,评估网络安全态势;3)从海量日志中挖掘有价值的攻击序列信息,产生攻击者入侵行为的高层视图,指导管理员进行有效防范。
所述综合分析验证单元可以从数据预处理单元接收环境信息数据实现对网络攻击事件的关联分析和有效性验证。比如,某检测单元检测到一个专门针对Windows远程过程调用服务漏洞的远程缓冲区溢出攻击企图,而通过环境信息数据发现该目标主机的操作系统为Linux系统,那么综合分析验证单元可以将该网络攻击事件标注为无效攻击事件,这将可以大大减少安全管理员的事件处理工作量。
所述综合分析验证单元也可以接收来自第三方的漏洞数据信息以实现对网络攻击事件的有效性验证。比如,某检测单元检测到一个专门针对Windows远程过程调用服务某特定类型漏洞的远程缓冲区溢出攻击企图,而通过第三方漏洞数据信息发现该目标主机的远程过程调用服务并不存在该类型漏洞,那么综合分析验证单元可以将该网络攻击事件标注为无效攻击事件,这将可以大大减少安全管理员的事件处理工作量。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1、一种入侵检测方法,对要检测的每种类型的网络攻击事件,在入侵检测装置中分配一个或多个检测单元,并配置该类型网络攻击事件的待检测对象的类型以及对该类型待检测对象进行入侵检测所用的检测算子和检测知识库,入侵检测时,所述入侵检测装置执行以下处理:
实时获取网络数据包并进行预处理,得到所述网络数据包中包含的需要进行入侵检测的待检测对象;
根据得到的待检测对象的类型,由相应的检测单元根据为该类型待检测对象配置的检测算子和检测知识库进行入侵检测,产生网络攻击报警事件。
2、如权利要求1所述的入侵检测方法,其特征在于:
在入侵检测之前,还根据配置的待检测对象类型生成一待检测对象加工过程树,该待检测对象加工过程树的叶子节点为配置的待检测对象,其他节点是为得到其下层叶子节点对应的待检测对象而对网络数据包处理的过程中需得到的中间对象;
在入侵检测时,所述入侵检测装置只对所述待检测对象加工过程树中存在的中间对象进行逐层处理,最终得到需要进行检测的待检测对象。
3、如权利要求1或2所述的入侵检测方法,其特征在于:
在所述入侵检测装置中,利用多核硬件平台来实现至少部分检测单元入侵检测的并行执行。
4、如权利要求1或2所述的入侵检测方法,其特征在于:
所述入侵检测装置产生网络攻击报警事件之后,还对网络攻击报警事件进行综合分析,产生更高级别的网络入侵攻击事件。
5、如权利要求4所述的入侵检测方法,其特征在于:
所述入侵检测装置对获取的网络数据包进行预处理时,还收集被监控网络的环境信息数据,包括操作系统指纹和/或应用系统指纹;
所述入侵检测装置产生网络攻击报警事件之后,使用所述环境信息数据对产生的网络攻击报警事件进行综合分析,验证攻击事件的有效性。
6、一种网络攻击事件的入侵检测装置,其特征在于,包括依次连接的数据预处理单元、数据分发单元和检测网格,以及与所述数据预处理单元、数据分发单元和检测网格连接的配置管理单元,所述检测网格包括一个或多个检测单元,其中:
所述配置管理单元包括一定制子单元,用于为每种类型的网络攻击事件分配一个或多个检测单元,为每一检测单元配置要检测的某类型网络攻击事件的待检测对象的类型以及入侵检测所用的检测算子和检测知识库;
所述数据预处理单元用于根据配置的待检测对象类型对实时获取的网络数据包进行预处理,得到其中包含的需要进行入侵检测的待检测对象并传送到所述数据分发单元;
所述数据分发单元用于根据为所述检测单元配置的待检测对象的类型,将接收到的待检测对象分发到对应的检测单元;
所述检测网格中的各检测单元用于采用配置的检测算子和检测知识库,对分发到本检测单元的待检测对象进行扫描检测,产生网络攻击报警事件。
7、如权利要求6所述的入侵检测装置,其特征在于:
所述配置管理单元还包括一加工过程树生成子单元,用于根据配置的待检测对象类型生成一待检测对象加工过程树,该待检测对象加工过程树的叶子节点为配置的待检测对象,其他节点是为得到其下层叶子节点对应的待检测对象而对网络数据包处理的过程中需得到的中间对象;
所述数据预处理单元对网络数据进行预处理时,只对所述待检测对象加工过程树中存在的中间对象进行逐层处理,得到需进行检测的待检测对象。
8、如权利要求6或7所述的入侵检测装置,其特征在于:
所述检测网格基于多核硬件平台来实现,至少部分检测单元在进行入侵检测时可并行执行。
9、如权利要求6或7所述的入侵检测装置,其特征在于,还包括一综合分析验证单元,其中:
所述各检测单元还用于将产生的网络攻击报警事件上报所述综合分析验证单元;
所述综合分析验证单元,用于对各检测单元上报的网络攻击事件序列进行综合分析,并产生更高级别的网络入侵攻击事件。
10、如权利要求9所述的入侵检测装置,其特征在于:
所述数据预处理单元对网络数据包进行预处理时,还从网络数据包中收集被监控网络的环境信息数据,包括操作系统指纹和/或应用系统指纹,并将这些环境信息数据发送给所述综合分析验证单元;
所述综合分析验证单元对所述网络攻击报警事件序列进行综合分析时,使用所述环境信息数据对产生的网络攻击报警事件进行综合分析,验证攻击事件的有效性。
11、如权利要求6或7所述的入侵检测装置,其特征在于:
所述定制子单元还用于对检测网格中的检测单元进行重新配置,包括更新检测单元的检测算子和检测知识库,为新的类型的网络攻击事件分配检测单元并配置待检测对象类型、检测算子和检测知识库,以及释放已分配的检测单元并删除相应的配置信息。
12、如权利要求6或7所述的入侵检测装置,其特征在于:
所述定制子单元根据各类型网络攻击事件的发生频度,为每种类型的网络攻击事件分配一个或多个检测单元,并为这些检测单元配置该类型网络攻击事件的待检测对象类型;
所述数据分发单元在某待检测对象的类型对应于一组具有相同配置的检测单元时,将该待检测对象分发到该多个检测单元中空闲的一个检测单元。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101179418A CN101350745B (zh) | 2008-08-15 | 2008-08-15 | 一种入侵检测方法及装置 |
| PCT/CN2008/072091 WO2010017679A1 (zh) | 2008-08-15 | 2008-08-21 | 一种入侵检测方法及装置 |
| US12/920,462 US20110016528A1 (en) | 2008-08-15 | 2008-08-21 | Method and Device for Intrusion Detection |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101179418A CN101350745B (zh) | 2008-08-15 | 2008-08-15 | 一种入侵检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101350745A true CN101350745A (zh) | 2009-01-21 |
| CN101350745B CN101350745B (zh) | 2011-08-03 |
Family
ID=40269341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101179418A Expired - Fee Related CN101350745B (zh) | 2008-08-15 | 2008-08-15 | 一种入侵检测方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20110016528A1 (zh) |
| CN (1) | CN101350745B (zh) |
| WO (1) | WO2010017679A1 (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025785A (zh) * | 2010-12-24 | 2011-04-20 | 汉柏科技有限公司 | 一种通过web监控网络安全的方法 |
| CN102185735A (zh) * | 2011-04-26 | 2011-09-14 | 华北电力大学 | 一种网络安全态势预测方法 |
| CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
| CN102682047A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种混合的sql注入防护方法 |
| CN101605074B (zh) * | 2009-07-06 | 2012-09-26 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| CN102893576A (zh) * | 2010-06-10 | 2013-01-23 | 国际商业机器公司 | 用于减缓跨站弱点的方法和装置 |
| CN101902337B (zh) * | 2009-05-27 | 2013-03-06 | 北京启明星辰信息技术股份有限公司 | 一种网络入侵事件的管理方法 |
| CN101800989B (zh) * | 2010-01-19 | 2013-07-10 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
| CN103297394A (zh) * | 2012-02-24 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN103428195A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种未知病毒检测方法 |
| CN103428209A (zh) * | 2013-08-02 | 2013-12-04 | 汉柏科技有限公司 | 一种生成特征的方法及安全网关设备 |
| CN103457945A (zh) * | 2013-08-28 | 2013-12-18 | 中国科学院信息工程研究所 | 入侵检测方法及系统 |
| CN105431828A (zh) * | 2013-01-28 | 2016-03-23 | 趣斯特派普有限公司 | 用于检测受损计算系统的系统与方法 |
| CN105718801A (zh) * | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于编程模式和模式匹配的漏洞聚类方法 |
| CN106130806A (zh) * | 2016-08-30 | 2016-11-16 | 四川新环佳科技发展有限公司 | 数据层实时监控方法 |
| CN106888210A (zh) * | 2017-03-10 | 2017-06-23 | 北京安赛创想科技有限公司 | 一种网络攻击的警示方法及装置 |
| CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
| CN107493259A (zh) * | 2017-04-19 | 2017-12-19 | 安徽华脉科技发展有限公司 | 一种网络安全控制系统 |
| CN107508831A (zh) * | 2017-09-21 | 2017-12-22 | 华东师范大学 | 一种基于总线的入侵检测方法 |
| CN111049849A (zh) * | 2019-12-23 | 2020-04-21 | 深圳市永达电子信息股份有限公司 | 一种网络入侵检测方法、装置、系统及存储介质 |
| CN111147497A (zh) * | 2019-12-28 | 2020-05-12 | 杭州安恒信息技术股份有限公司 | 一种基于知识不对等的入侵检测方法、装置以及设备 |
| CN111865958A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及系统 |
| CN111865959A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及装置 |
| CN111885033A (zh) * | 2020-07-14 | 2020-11-03 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的机器学习场景检测方法及系统 |
| CN112398843A (zh) * | 2020-11-09 | 2021-02-23 | 广州锦行网络科技有限公司 | 一种基于http走私攻击的检测方法及装置 |
| CN112995220A (zh) * | 2021-05-06 | 2021-06-18 | 广东电网有限责任公司佛山供电局 | 一种用于计算机网络安全数据保密系统 |
| CN108123916B (zh) * | 2016-11-28 | 2021-10-29 | 中国移动通信集团辽宁有限公司 | 网络安全防护方法、装置、服务器及系统 |
| CN113765859A (zh) * | 2020-06-05 | 2021-12-07 | 北京神州泰岳软件股份有限公司 | 网络安全过滤方法及装置 |
| CN113765852A (zh) * | 2020-06-03 | 2021-12-07 | 深信服科技股份有限公司 | 数据包的检测方法、系统、存储介质和计算设备 |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070113272A2 (en) * | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
| US9398032B1 (en) * | 2009-07-09 | 2016-07-19 | Trend Micro Incorporated | Apparatus and methods for detecting malicious scripts in web pages |
| US8578345B1 (en) * | 2010-04-15 | 2013-11-05 | Symantec Corporation | Malware detection efficacy by identifying installation and uninstallation scenarios |
| US8832283B1 (en) | 2010-09-16 | 2014-09-09 | Google Inc. | Content provided DNS resolution validation and use |
| US8555384B1 (en) * | 2010-12-10 | 2013-10-08 | Amazon Technologies, Inc. | System and method for gathering data for detecting fraudulent transactions |
| US9174118B1 (en) | 2012-08-20 | 2015-11-03 | Kabum, Inc. | System and method for detecting game client modification through script injection |
| CA2789909C (en) | 2012-09-14 | 2019-09-10 | Ibm Canada Limited - Ibm Canada Limitee | Synchronizing http requests with respective html context |
| US9361459B2 (en) * | 2013-04-19 | 2016-06-07 | Lastline, Inc. | Methods and systems for malware detection based on environment-dependent behavior |
| CN103559217B (zh) * | 2013-10-17 | 2016-06-01 | 北京航空航天大学 | 一种面向异构数据库的海量组播数据入库实现方法 |
| CN103905422B (zh) * | 2013-12-17 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
| US10944765B2 (en) * | 2014-01-10 | 2021-03-09 | Red Bend Ltd. | Security system for machine to machine cyber attack detection and prevention |
| US20170178026A1 (en) * | 2015-12-22 | 2017-06-22 | Sap Se | Log normalization in enterprise threat detection |
| US10075462B2 (en) | 2015-12-22 | 2018-09-11 | Sap Se | System and user context in enterprise threat detection |
| US9871810B1 (en) * | 2016-04-25 | 2018-01-16 | Symantec Corporation | Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties |
| CN108418776B (zh) * | 2017-02-09 | 2021-08-20 | 上海诺基亚贝尔股份有限公司 | 用于提供安全业务的方法和设备 |
| CN107959678A (zh) * | 2017-11-28 | 2018-04-24 | 江苏方天电力技术有限公司 | 一种网络数据包的分析系统和分析方法 |
| CN109150886B (zh) * | 2018-08-31 | 2021-07-27 | 腾讯科技(深圳)有限公司 | 结构化查询语言注入攻击检测方法及相关设备 |
| CN109508869B (zh) * | 2018-10-23 | 2023-09-22 | 平安医疗健康管理股份有限公司 | 一种基于数据处理的风险检测方法和装置 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| CN111353151B (zh) * | 2020-02-27 | 2023-06-16 | 腾讯云计算(北京)有限责任公司 | 一种网络应用的漏洞检测方法和装置 |
| CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
| CN111756759B (zh) * | 2020-06-28 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN112003819B (zh) * | 2020-07-07 | 2022-07-01 | 瑞数信息技术(上海)有限公司 | 识别爬虫的方法、装置、设备和计算机存储介质 |
| CN112433808A (zh) * | 2020-11-03 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 基于网格计算的网络安全事件检测系统及方法 |
| CN112699009A (zh) * | 2021-01-12 | 2021-04-23 | 树根互联技术有限公司 | 数据检测方法和装置、服务器及存储介质 |
| US11562043B1 (en) * | 2021-10-29 | 2023-01-24 | Shopify Inc. | System and method for rendering webpage code to dynamically disable an element of template code |
| CN114257414A (zh) * | 2021-11-25 | 2022-03-29 | 国网山东省电力公司日照供电公司 | 一种网络安全智能值班方法及系统 |
| CN113992442B (zh) * | 2021-12-28 | 2022-03-18 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
| CN116886370B (zh) * | 2023-07-19 | 2023-12-08 | 广东网安科技有限公司 | 一种用于网络安全认证的防护系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7483972B2 (en) * | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
| US7356585B1 (en) * | 2003-04-04 | 2008-04-08 | Raytheon Company | Vertically extensible intrusion detection system and method |
| FR2864282A1 (fr) * | 2003-12-17 | 2005-06-24 | France Telecom | Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations. |
| US8191139B2 (en) * | 2003-12-18 | 2012-05-29 | Honeywell International Inc. | Intrusion detection report correlator and analyzer |
| CN100521625C (zh) * | 2004-02-11 | 2009-07-29 | 上海三零卫士信息安全有限公司 | 计算机网络应急响应之安全策略生成系统 |
| US8615800B2 (en) * | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
| CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
| US8056115B2 (en) * | 2006-12-11 | 2011-11-08 | International Business Machines Corporation | System, method and program product for identifying network-attack profiles and blocking network intrusions |
| CN101201788A (zh) * | 2006-12-15 | 2008-06-18 | 中兴通讯股份有限公司 | 定位检测项的系统 |
-
2008
- 2008-08-15 CN CN2008101179418A patent/CN101350745B/zh not_active Expired - Fee Related
- 2008-08-21 US US12/920,462 patent/US20110016528A1/en not_active Abandoned
- 2008-08-21 WO PCT/CN2008/072091 patent/WO2010017679A1/zh active Application Filing
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902337B (zh) * | 2009-05-27 | 2013-03-06 | 北京启明星辰信息技术股份有限公司 | 一种网络入侵事件的管理方法 |
| CN101605074B (zh) * | 2009-07-06 | 2012-09-26 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| CN101800989B (zh) * | 2010-01-19 | 2013-07-10 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
| US9009821B2 (en) | 2010-06-10 | 2015-04-14 | International Business Machines Corporation | Injection attack mitigation using context sensitive encoding of injected input |
| CN102893576A (zh) * | 2010-06-10 | 2013-01-23 | 国际商业机器公司 | 用于减缓跨站弱点的方法和装置 |
| CN102025785A (zh) * | 2010-12-24 | 2011-04-20 | 汉柏科技有限公司 | 一种通过web监控网络安全的方法 |
| CN102185735A (zh) * | 2011-04-26 | 2011-09-14 | 华北电力大学 | 一种网络安全态势预测方法 |
| CN102185735B (zh) * | 2011-04-26 | 2013-06-12 | 华北电力大学 | 一种网络安全态势预测方法 |
| CN102682047A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种混合的sql注入防护方法 |
| CN102546638B (zh) * | 2012-01-12 | 2014-07-09 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
| CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
| CN103297394A (zh) * | 2012-02-24 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN103297394B (zh) * | 2012-02-24 | 2016-12-14 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN103428195A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种未知病毒检测方法 |
| CN103428195B (zh) * | 2012-12-27 | 2016-09-07 | 北京安天电子设备有限公司 | 一种未知病毒检测方法 |
| CN105431828A (zh) * | 2013-01-28 | 2016-03-23 | 趣斯特派普有限公司 | 用于检测受损计算系统的系统与方法 |
| CN105431828B (zh) * | 2013-01-28 | 2019-09-20 | 伊万X有限责任公司 | 用于检测受损计算系统的系统与方法 |
| CN103428209A (zh) * | 2013-08-02 | 2013-12-04 | 汉柏科技有限公司 | 一种生成特征的方法及安全网关设备 |
| CN103457945A (zh) * | 2013-08-28 | 2013-12-18 | 中国科学院信息工程研究所 | 入侵检测方法及系统 |
| CN105718801A (zh) * | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于编程模式和模式匹配的漏洞聚类方法 |
| CN106130806A (zh) * | 2016-08-30 | 2016-11-16 | 四川新环佳科技发展有限公司 | 数据层实时监控方法 |
| CN106130806B (zh) * | 2016-08-30 | 2020-05-22 | 上海华通铂银交易市场有限公司 | 数据层实时监控方法 |
| CN108123916B (zh) * | 2016-11-28 | 2021-10-29 | 中国移动通信集团辽宁有限公司 | 网络安全防护方法、装置、服务器及系统 |
| CN106888210A (zh) * | 2017-03-10 | 2017-06-23 | 北京安赛创想科技有限公司 | 一种网络攻击的警示方法及装置 |
| CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
| CN106973051B (zh) * | 2017-03-27 | 2019-11-19 | 山石网科通信技术股份有限公司 | 建立检测网络威胁模型的方法、装置和存储介质 |
| CN107493259A (zh) * | 2017-04-19 | 2017-12-19 | 安徽华脉科技发展有限公司 | 一种网络安全控制系统 |
| CN107508831A (zh) * | 2017-09-21 | 2017-12-22 | 华东师范大学 | 一种基于总线的入侵检测方法 |
| CN111049849A (zh) * | 2019-12-23 | 2020-04-21 | 深圳市永达电子信息股份有限公司 | 一种网络入侵检测方法、装置、系统及存储介质 |
| CN111147497A (zh) * | 2019-12-28 | 2020-05-12 | 杭州安恒信息技术股份有限公司 | 一种基于知识不对等的入侵检测方法、装置以及设备 |
| CN111147497B (zh) * | 2019-12-28 | 2022-03-25 | 杭州安恒信息技术股份有限公司 | 一种基于知识不对等的入侵检测方法、装置以及设备 |
| CN113765852B (zh) * | 2020-06-03 | 2023-05-12 | 深信服科技股份有限公司 | 数据包的检测方法、系统、存储介质和计算设备 |
| CN113765852A (zh) * | 2020-06-03 | 2021-12-07 | 深信服科技股份有限公司 | 数据包的检测方法、系统、存储介质和计算设备 |
| CN113765859A (zh) * | 2020-06-05 | 2021-12-07 | 北京神州泰岳软件股份有限公司 | 网络安全过滤方法及装置 |
| CN111865959A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及装置 |
| CN111885033B (zh) * | 2020-07-14 | 2021-06-29 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的机器学习场景检测方法及系统 |
| CN111865958B (zh) * | 2020-07-14 | 2021-05-11 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及系统 |
| CN111885033A (zh) * | 2020-07-14 | 2020-11-03 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的机器学习场景检测方法及系统 |
| CN111865958A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及系统 |
| CN112398843A (zh) * | 2020-11-09 | 2021-02-23 | 广州锦行网络科技有限公司 | 一种基于http走私攻击的检测方法及装置 |
| CN112995220A (zh) * | 2021-05-06 | 2021-06-18 | 广东电网有限责任公司佛山供电局 | 一种用于计算机网络安全数据保密系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110016528A1 (en) | 2011-01-20 |
| CN101350745B (zh) | 2011-08-03 |
| WO2010017679A1 (zh) | 2010-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101350745B (zh) | 一种入侵检测方法及装置 | |
| CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN108768917B (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
| US7941853B2 (en) | Distributed system and method for the detection of eThreats | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| US20050166072A1 (en) | Method and system for wireless morphing honeypot | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| US20050229255A1 (en) | System and method for scanning a network | |
| CN105721198B (zh) | 一种视频监控系统日志安全审计方法 | |
| CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
| CN111541705B (zh) | 一种ttp自动化提取与攻击团队聚类的方法 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN110391937A (zh) | 一种基于soap服务模拟的物联网蜜网系统 | |
| CN108471413B (zh) | 边缘网络安全准入防御系统及其方法 | |
| CN111726342A (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
| Jaeger et al. | Multi-step attack pattern detection on normalized event logs | |
| Deeter et al. | Aphids: A mobile agent-based programmable hybrid intrusion detection system | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN111510463A (zh) | 异常行为识别系统 | |
| CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
| CN110365714A (zh) | 主机入侵检测方法、装置、设备及计算机存储介质 | |
| CN101656632A (zh) | 大型网络内的病毒监控方法及装置 | |
| CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110803 Termination date: 20170815 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |