CN101364981A - 基于因特网协议版本6的混合式入侵检测方法 - Google Patents
基于因特网协议版本6的混合式入侵检测方法 Download PDFInfo
- Publication number
- CN101364981A CN101364981A CNA2008101243715A CN200810124371A CN101364981A CN 101364981 A CN101364981 A CN 101364981A CN A2008101243715 A CNA2008101243715 A CN A2008101243715A CN 200810124371 A CN200810124371 A CN 200810124371A CN 101364981 A CN101364981 A CN 101364981A
- Authority
- CN
- China
- Prior art keywords
- submodule
- feature
- network
- packet
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
基于因特网协议版本6的混合式入侵检测方法,使用混合式的检测手段,有效地提高准确度,降低误报率,适应IPv6对入侵检测系统的新要求。该方法分为混合式入侵检测的总体架构的设计、子模块的划分、入侵识别方法三部分:其中的可变特征库子模块的引入,通过将捕获的数据包首先同可变特征库进行匹配,若匹配成功,立即转入告警子模块,使得入侵检测系统能更快的检测到某些网络入侵,提高入侵检测的效率。同时可变特征库的邻近网络共享方案通过邻近网络的可变特征库的互相复制,可以在一些网络在本网尚未被入侵时就预先截获入侵特征,便于尽早采取相应措施,提高网络的整体安全性。
Description
技术领域
本发明是一种采用基于网络和基于主机相结合的分布式总体架构,使用混合式的检测手段,能有效地提高准确度,降低误报率,适应IPv6(因特网协议6)对入侵检测系统的新要求,属于网络安全的技术领域。
背景技术
IPv6概述
IPv6是“Internet ProtocolVersion 6”的缩写,也被称作下一代互联网协议,它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6是为了解决IPv4所存在的一些问题和不足而提出的,主要在地址空间、数据报头结构、地址自动配置、数据传输的安全性(IPSec协议)、服务质量(QoS)等方面作了改进。对入侵检测系统产生主要影响的是数据报头结构和IPSec协议。
入侵检测概述
入侵检测作为被动的网络安全防御措施,相对于防火墙而言具有主动检测入侵和实时性的特点。有效地弥补防火墙的不足,是防火墙重要的和有益的补充。入侵检测技术主要分为异常检测(anomaly detection,AD)和误用检测(misusedetection,MD)两种。异常检测也被称为基于行为的检测,是根据使用者的行为或资源使用状况来判断是否入侵。误用检测也被称为基于知识的检测,它运用已知攻击方法,根据已定义的入侵模式,通过判断这些入侵模式是否出现来检测。在实际的应用中,最佳的方式是将两种检测技术并用。利用误用检测技术来保证检测的实时性和准确性,利用异常检测技术来检测可能发生的未知攻击。应用的方式是将误用检测技术应用于系统前台,而把异常检测技术应用于系统的后台。
现有技术方案及其缺陷
1.基于主机的入侵检测系统(HIDS)
早期的入侵检测系统采用基于主机的体系结构,其主要目标是在单机模式下,防范对主机本身的入侵,检测原理是根据主机操作系统提供的审计数据来发
现可疑的入侵事件,再依据一定的方法判断是否确为入侵。基于主机的入侵检测系统可以运行于被检测的主机或单独的主机上。
由于基于主机的入侵检测系统依赖于审计数据和系统日志的准确性和完整性,同时依赖于对入侵事件的定义,若入侵者设法逃避审计和进行合作入侵,基于主机的入侵检测系统就不能有效检测入侵,特别是在网络环境下,仅仅依靠基于主机的入侵检测系统已不能有效防范对网络系统的入侵,主要是因为:(1)主机的审计信息本身易受攻击,入侵者可以通过使用某些系统特权或比审计操作本身更低级的操作来逃避审计;(2)不能仅通过分析审计数据来检测网络攻击(如域名欺骗、端口扫描)。除此之外,基于主机的HIDS只能知道它所保护的主机的信息,却很难收集到其他主机的信息,甚至由于它运行在应用层而很难得到底层的网络信息。并且,HIDS自身的安全直接依赖于它所在的主机的安全,如果主机被攻破了,HIDS报警的正确性,就很值得怀疑。
2.基于网络的入侵检测系统(NIDS)
基于网络的入侵检测系统是当前入侵检测系统的发展趋势,其主要策略就是建立网络通信描述模型,根据网络流量、协议分析等数据来检测入侵。典型的网络通信描述模式是一个四维矩阵<源端、目的端、使用的服务、连接ID>,其中ID是一个特定连接的唯一标识,矩阵中的每一个单元代表网络上一个特定的连接,它从源端主机到目的端主机并使用一定的服务,每个单元保存两个值:一段时间内通过网络的包数和这些包所传送的数据量,检测方法分为两种:(1)把当前网络通信矩阵同一特定模式矩阵进行比较,这个特定模式矩阵可以是代表某种入侵的模式矩阵,如果当前通信模式与之匹配,则表示这种入侵可能发生,这种入侵检测对应前面所述的误用入侵检测;特定模式矩阵还可以是代表网络正常交通模式的模式矩阵,如果当前通信模式的概率过低,则表示异常发生,这种入侵检测对应于前面所述的异常入侵检测;(2)利用一系列规则在当前网络通信矩阵中寻找特定的交通模式,从而发现入侵或异常活动,在特定网络通信模式有待产生时,这种方法非常重要,因为此时前一种方法还没有检测的依据。
在对待被加密的IPv6数据方面,NIDS有着和包过滤防火墙同样的尴尬。如果有黑客使用加密之后的数据包进行攻击,NIDS就很难抓到什么蛛丝马迹了。
发明内容
技术问题:本发明的目的是提供一种基于因特网协议版本6的混合式入侵检测方法,采用基于网络和基于主机相结合的分布式总体架构,使用混合式的检测手段,能有效地提高准确度,降低误报率,适应IPv6对入侵检测系统的新要求。
技术方案:本发明改进的基于IPv6的混合式入侵检测的总体设计架构:
在IPv6环境中,由于IPSec协议的存在,终端之间可以采用加密格式进行会话。此时,使用网络侦听的手段无法获取数据包的内容,因此单纯基于网络的入侵检测系统(NIDS)将无法检测出所有攻击。本发明的IDS采用基于网络和基于主机相结合的总体架构。
基于网络的分析部分采用改进的模式匹配算法侦听网络数据包,检测已知攻击和未经IPSec加密的攻击;基于主机的部分针对IPSec加密数据设计了应用层数据匹配算法,对解密后的数据进行检测。同时,系统采用基于异常的统计分析算法,监控网内机器的系统参数,防止漏报攻击给系统带来进一步的损失。
子模块及关键技术:
1.协议分析子模块
协议分析子模块处于可变特征库模块之上,对收到的数据包进行协议解析,根据解析结果,将数据包分流到不同的检测方法集。
2.基于状态转换的模式匹配子模块
模式匹配算法原理是将已知的入侵特征编成模式,将其与统计的数据进行匹配,一旦匹配成立,则判为入侵行为。
3.监控管理子模块
由于本系统是一个分布式的检测系统,因此有必要设置一个服务器模块来监视记录局域网内各主机的工作状态,这就是监控管理子模块。
4.统计分析子模块
统计分析子模块负责处理监控管理子模块获取的网络中各主机的即时特征文件。
5.自学习子模块
统计分析子模块对异常的判定是以状态参量数据库作为标准的。而对于不同的系统,由于配置不同,其正常状态下的系统参数也不尽相同,因此状态参量数据库的确定是一个非常重要的过程。在本项目中,依靠自学习子模块来完成此项工作。
6.应用层防护子模块
由于IPSec加密的数据在网关无法被侦听到,加密数据流中的数据就构成了可能的安全隐患,应用层防护子模块就是针对IPSec加密数据而设立的。
7.可变特征库子模块
可变特征库子模块中的特征库初始为空,它接受由统计分析子模块对数据包特征提取后传来的数据包特征信息,再将提取的特征作为特征库的特征项入库时需要做一个判别,判别此次提取的特征是否已经包含在特征库中,如存在则此次特征入库操作不成功,若不存在则将其加入特征库中。
8.告警子模块
一旦入侵被检测到,各子模块均会将告警信息传到告警模块。
可变特征库的邻近网络共享
网络攻击在很多时候都不只是攻击某一台或几台机器,更多的时候我们会发现在某区域的网络会在同一时间段或相隔不长的时间里受到相同手段的攻击。鉴于此,我们提出可变特征库的邻近网络共享这一方案,进一步提高入侵检测的效率,并提高整个网络的安全性。
该方法分为混合式入侵检测的总体架构的设计、子模块的划分、入侵识别方法三部分:
a.总体架构设计:
总体架构设计分为三个部分:网关、主机、监控平台,网关部分负责抓包解包,然后开始特征匹配和模式匹配,主机部分负责对IPSEC加密数据进行解密并进行规则匹配,监控平台负责监控网关和主机部分。
b.划分子模块:
b1).协议分析子模块:协议分析子模块处于可变特征库模块之上,对收到的数据包进行协议解析,根据解析结果,将数据包分流到不同的检测方法集,
b2).基于状态转换的模式匹配子模块:模式匹配算法原理是将已知的入侵特征编成模式,将其与统计的数据进行匹配,一旦匹配成立,则判为入侵行为,
b3).监控管理子模块:设置一个服务器模块来监视记录局域网内各主机的工作状态,即监控管理子模块,
b4).统计分析子模块:统计分析子模块负责处理监控管理子模块获取的网络中各主机的即时特征文件,
b5).自学习子模块:统计分析子模块对异常的判定是以状态参量数据库作为标准的,而对于不同的系统,由于配置不同,其正常状态下的系统参数也不尽相同,因此状态参量数据库的确定是一个非常重要的过程,依靠自学习子模块来完成此项工作,
b6).应用层防护子模块:由于IPSec加密的数据在网关无法被侦听到,加密数据流中的数据就构成了可能的安全隐患,应用层防护子模块就是针对IPSec加密数据而设立的,
b7).可变特征库子模块:可变特征库子模块中的特征库初始为空,它接受由统计分析子模块对数据包特征提取后传来的数据包特征信息,再将提取的特征作为特征库的特征项入库时需要做一个判别,判别此次提取的特征是否已经包含在特征库中,如存在则此次特征入库操作不成功,若不存在则将其加入特征库中。
b8).告警子模块:一旦入侵被检测到,各子模块均会将告警信息传到告警模块,
c.入侵识别:
c1).通过将捕获的数据包首先同可变特征库进行匹配,若匹配成功,立即转入告警子模块,使得入侵检测系统能更快的检测到某些网络入侵。
c2).若在可变特征库中找不到匹配项,则进入协议分析子模块开始模式匹配,若匹配成功转入告警子模块。
c3).对使用了IPSEC加密的数据在主机部分进行解密,然后进行规则匹配,若匹配成功转入告警子模块。
有益效果:本发明技术方案中的可变特征库子模块的引入,通过将捕获的数据包首先同可变特征库进行匹配,若匹配成功,立即转入告警子模块,使得入侵检测系统能更快的检测到某些网络入侵,极大的提高入侵检测的效率。同时可变特征库的邻近网络共享方案通过邻近网络的可变特征库的互相复制,可以在一些网络在本网尚未被入侵时就预先截获入侵特征,便于尽早采取相应措施,极大提高了网络的整体安全性。
其主要保护点如下:
1)主要技术:引入可变特征库:解决的问题:通过将截获的数据包特征同特征库中特征项匹配来初步判断入侵。与现有技术最主要区别:现有技术缺少这一步检测。
2)主要技术:设定特征项的标志位:解决的问题是利用标志位值的变化去控制特征项的传递距离。
有益效果:使得特征项的传递不至于过多导致网络阻塞,距离也不至于过远导致无用。
可变特征库的邻近网络共享,解决的问题:使得某范围内的一部分网络在受
到入侵前就可预测到可能的攻击,并采取措施。比现有技术能更快的检测到可能的入侵,带有智能特征。其主要特点如下:
1)主要技术:引入可变特征库。
解决的问题:通过将截获的数据包特征同特征库中特征项匹配来初步判断入侵。
与现有技术最主要区别:现有技术缺少这一步检测。
2)主要技术:设定特征项的标志位。
解决的问题:是利用标志位值的变化去控制特征项的传递距离。
技术优点:使得特征项的传递不至于过多导致网络阻塞,距离也不至于过远导致无用。
3)主要技术:可变特征库的邻近网络共享
解决的问题:使得某范围内的一部分网络在受到入侵前就可预测到可能的攻击,并采取措施。
技术优点:比现有技术能更快的检测到可能的入侵,带有智能特征。
附图说明
图1为该体系工作原理图,
图2协议分析示意图,
图3基于状态转换的模式匹配原理示意图,
图4特征匹配和入库过程示意图,
图5可变特征库的邻近网络共享示意图。
具体实施方式
为了适应IPv6环境的需要,本项目的IDS采用基于网络和基于主机相结合的总体架构,如图1所示。
1.协议分析子模块
协议分析子模块处于可变特征库模块之上,对收到的数据包进行协议解析,根据解析结果,将数据包分流到不同的检测方法集。图中的匹配算法A、匹配算法B分别代表了针对特定协议设计的优化算法。在实际开发中,协议分析可进一步细化,如图2所示。这种匹配算法技术利用了网络协议的高度有序性,有效地减少了目标的匹配范围,大大减少了计算量,极大提高了入侵分析的效率,同时也使系统对攻击检测更加准确。
该模块还具有初步检测作用,用以防御大规模分布式攻击带来的危害。通过对协议的识别,协议分析子模块针对不同的协议设置不同的网络流量阈值,一旦发现明显偏离正常的流量,直接判为入侵,通知告警子模块,同时旁路异常流量,从而保证模式匹配子模块的正常工作,减轻模式匹配子模块的负担,并且对未知的攻击也具有一定的检测能力。
2.基于状态转换的模式匹配子模块
模式匹配算法原理是将已知的入侵特征编成模式,将其与统计的数据进行匹配,一旦匹配成立,则判为入侵行为。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,但检测的效率和准确率都需要提高。
状态转移分析是一种使用状态转换图来表示和检测入侵的方法。初始状态是指系统检测入侵以前的状态,而危险状态则是指确认为入侵以后的状态。整个检测系统被描述为一张状态转移图,根据当前的环境分析,进行状态变迁,从安全状态转到非安全的状态。
本项目采用改进的模式匹配子模块,将模式匹配分析和状态转换分析有机结合,以提高监测的效率和准确率。针对不同的传输层协议,首先由模式匹配部分使用细化了的规则来确定可疑的入侵行为,状态转移分析部分随即采用状态转移图对入侵行为实行进一步的判定,降低误报率,提高准确度。原理如图3:
正常状态是系统的安全状态,在没有匹配到可疑的用户行为时,系统一直处于此状态。一旦模式匹配部分匹配到可疑的、危险的操作,系统进入到可疑状态,同时根据当前所处的不同类型的可疑状态,动态的确定下一步匹配应使用的规则集。在后续的匹配都符合的情况下,系统的预警级别不断提高,最终进入攻击判定状态,通知告警子模块采取相应的措施。
改进的模式匹配方法比普通的模式匹配方法有了较大的改进,一方面,它克服了以往简单模式匹配无法考虑事件发生顺序的缺点,可以检测与顺序相关的异常事件;另一方面,它改变了以往链式匹配方式“规则越多,匹配越慢”的缺点,规则数和匹配复杂度之间呈现对数关系,加快了匹配的速度。
3.监控管理子模块
基于误用的检测方法是以规则库为基础的,因此对于未知的攻击手段检测较为薄弱。基于异常的监测模块通过检测系统参数及工作情况来判定可能的入侵,可以在入侵行为造成更大的危害之前发现入侵,是模式匹配子模块的有益补充。由于本系统是一个分布式的检测系统,因此有必要设置一个服务器模块来监视记录局域网内各主机的工作状态,这就是监控管理子模块。
系统监视器工作在受保护的每台主机上,实时地记录主机的系统参数,例如CPU的占用率,一段时间主机内的网络连接数等等,经过简单处理后发送给监控管理子模块。监控管理子模块采集一段时间内各主机的系统参数,格式化为统一的数据格式,生成原始的特征文件,发送给统计分析子模块进行处理。
4.统计分析子模块
统计分析子模块负责处理监控管理子模块获取的网络中各主机的即时特征文件。由于计算机系统的瞬时状态具有很强的随机性,发现异常立刻报警的方法会带来较高的误报率。基于统计的异常检测子模块考察系统一段时间内的活动情况,并结合状态参量数据库中的各种系统参数进行统筹分析,最终使用异常度函数来判别系统的安全状态,并试图对确定为入侵状态的数据包特征进行提取。
如果异常度S对于给定时间的集平均大于某一阈值,则判定当前为入侵状态,并将能够进行特征提取的数据包的特征提取出来并提交给可变特征库模块,反之为正常状态。统计分析子模块能在攻击产生危害时快速的作出反应,有效的弥补模式匹配子模块漏报所带来的危害。
5.自学习子模块
统计分析子模块对异常的判定是以状态参量数据库作为标准的。而对于不同的系统,由于配置不同,其正常状态下的系统参数也不尽相同,因此状态参量数据库的确定是一个非常重要的过程。在本项目中,依靠自学习子模块来完成此项工作。在系统投入使用之前,必须先经过一段时期的训练过程。在此过程中,系统交替处于正常状态和受控的攻击状态,目的是使自学习模块判别正常状态和攻击状态的统计阈值。经过训练,状态参量数据库中的各项阈值逐渐趋于稳定,统计分析子模块的误报率大大降低,此时可以将系统投入实际使用。
6.应用层防护子模块
由于IPSec加密的数据在网关无法被侦听到,加密数据流中的数据就构成了可能的安全隐患,应用层防护子模块就是针对IPSec加密数据而设立的。该模块对于未经加密的流量不进行检测,只对其IPv6报头进行扫描。一旦发现包头之后跟有AH头或ESP头则启动防护模块对IPSec协议栈解密后的数据进行模式匹配检查。匹配的数据来自主机的应用层规则库,采用改进的BM算法进行多模匹配。考虑到采用IPSec加密的流量不大,应用层防护子模块对主机性能不会造成太大的影响。
7.可变特征库子模块
可变特征库子模块中的特征库初始为空,它接受由统计分析子模块对数据包特征提取后传来的数据包特征信息,再将提取的特征作为特征库的特征项入库时需要做一个判别,判别此次提取的特征是否已经包含在特征库中,如存在则此次特征入库操作不成功,若不存在则将其加入特征库中。此库随时间增加会逐渐增大,为避免特征库无限增大,可设定一个库容量最大值,当特征库已满,而又有新特征需要添加进来时,可对原特征库的特征项利用最久未匹配算法进行舍弃。同时可变特征库定期清楚标志位为00的特征项(关于特征项的标志位在本专利的后续部分会介绍)。可变特征库子模块直接位于抓包、重组模块之上。首先对所抓数据包与特征库进行匹配,若特征符合则判定当前为入侵状态,直接转入告警子模块。若与特征库不匹配,则转入协议分析子模块中继续分析(见图4)。利用特征库子模块可以对某些具有典型数据包特征的入侵攻击在对截获数据包进行特征匹配后就进行告警,这极大的提高入侵检测的效率。
8.告警子模块
一旦入侵被检测到,各子模块均会将告警信息传到告警模块。告警模块负责在第一时间通知管理员,评估入侵损失,在紧急情况下则采取相关的保护措施。告警通知可以通过图标、声音或者EMAIL的方式来进行;损失评估则通过查看监控管理子模块收集到的各种系统信息,将主机的异常工作情况,例如CPU占用率高、网络连接阻塞等等,及时地反映出来,方便管理员决策;针对严重的入侵行为,告警子模块采用限制网络速度、限制外发连接数甚至部分断开网络等紧急措施,防止入侵损失的进一步扩大。
可变特征库的邻近网络共享
在图1所示的改进的基于IPV6的混合式入侵检测的总体设计架构中,我们在基于网络的部分增加了可变特征库子模块,接下来我们考虑这样一个事实,网络攻击在很多时候都不只是攻击某一台或几台机器,更多的时候我们会发现在某区域的网络会在同一时间段或相隔不长的时间里受到相同手段的攻击。鉴于此,我们提出可变特征库的邻近网络共享这一方案,进一步提高入侵检测的效率,并提高整个网络的安全性。具体方案如下:
如图5所示,在某时刻网络设备1、2、3、4的可变特征库模块分别为A、B、C、D,每个网络设备均定时的将自己的可变特征库与同自己直接相邻的网络设备的特征库作比较,如发现对方特征库中有自己特征库中没有的特征项,则加入这些新的特征项。但如果直接按照此方法进行下去,则可以推知全部网络设备的特征库将会趋向相同,这将使得可变特征库很快膨胀到最大容量,导致可变特征库不停的使用最久未匹配算法去清除久未匹配的特征项和不断添加新的特征项,导致效率降低,并且这也不合实际。对此我们提出如下解决方法:
对每一特征项附加一个两位的标志位。对每一个从统计分析模块提取的特征入库时将特征项的标志位置为11,以后当邻近的网络设备的特征库之间互相复制特征项时,均首先检查其标志位是否为00,若为00,则不复制此特征项,否则复制后对其标志位作减1操作。
利用上述方法,特征项既可以传递至一定的网络范围,又不至于扩散到整个网络中,前述问题获得圆满解决。特征项在一定的网络范围内传递是相当有利的,这个范围以特征项的标志位为11的网络设备为中心,从实际情况来看,假设当网络设备A首先截获到攻击M的数据包并将其特征成功分析后导入此网络设备的可变特征库中,网络设备之间进行特征库比较后传递至一定范围,根据网络攻击的一般性特征,M极有可能会攻击与A邻近的网络,而此时A的邻近网络已经获取M攻击的数据包特征,这样就能快速有效检测并对攻击采取相应措施。
Claims (1)
1.一种基于因特网协议版本6的混合式入侵检测方法,其特征在于该方法分为混合式入侵检测的总体架构的设计、子模块的划分、入侵识别方法三部分:
a.总体架构设计:
总体架构设计分为三个部分:网关、主机、监控平台,网关部分负责抓包解包,然后开始特征匹配和模式匹配,主机部分负责对IPSEC加密数据进行解密并进行规则匹配,监控平台负责监控网关和主机部分,
b.划分子模块:
b1).协议分析子模块:协议分析子模块处于可变特征库模块之上,对收到的数据包进行协议解析,根据解析结果,将数据包分流到不同的检测方法集,
b2).基于状态转换的模式匹配子模块:模式匹配算法原理是将已知的入侵特征编成模式,将其与统计的数据进行匹配,一旦匹配成立,则判为入侵行为,
b3).监控管理子模块:设置一个服务器模块来监视记录局域网内各主机的工作状态,即监控管理子模块,
b4).统计分析子模块:统计分析子模块负责处理监控管理子模块获取的网络中各主机的即时特征文件,
b5).自学习子模块:统计分析子模块对异常的判定是以状态参量数据库作为标准的,而对于不同的系统,由于配置不同,其正常状态下的系统参数也不尽相同,因此状态参量数据库的确定是一个非常重要的过程,依靠自学习子模块来完成此项工作,
b6).应用层防护子模块:由于IPSec加密的数据在网关无法被侦听到,加密数据流中的数据就构成了可能的安全隐患,应用层防护子模块就是针对IPSec加密数据而设立的,
b7).可变特征库子模块:可变特征库子模块中的特征库初始为空,它接受由统计分析子模块对数据包特征提取后传来的数据包特征信息,再将提取的特征作为特征库的特征项入库时需要做一个判别,判别此次提取的特征是否已经包含在特征库中,如存在则此次特征入库操作不成功,若不存在则将其加入特征库中,
b8).告警子模块:一旦入侵被检测到,各子模块均会将告警信息传到告警模块,
c.入侵识别:
c1).通过将捕获的数据包首先同可变特征库进行匹配,若匹配成功,立即转入告警子模块,使得入侵检测系统能更快的检测到某些网络入侵,
c2).若在可变特征库中找不到匹配项,则进入协议分析子模块开始模式匹配,若匹配成功转入告警子模块,
c3).对使用了IPSEC加密的数据在主机部分进行解密,然后进行规则匹配,若匹配成功转入告警子模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101243715A CN101364981A (zh) | 2008-06-27 | 2008-06-27 | 基于因特网协议版本6的混合式入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101243715A CN101364981A (zh) | 2008-06-27 | 2008-06-27 | 基于因特网协议版本6的混合式入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101364981A true CN101364981A (zh) | 2009-02-11 |
Family
ID=40391133
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101243715A Pending CN101364981A (zh) | 2008-06-27 | 2008-06-27 | 基于因特网协议版本6的混合式入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101364981A (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567812B (zh) * | 2009-03-13 | 2011-12-21 | 华为技术有限公司 | 对网络攻击进行检测的方法和装置 |
CN101719849B (zh) * | 2009-11-03 | 2011-12-28 | 清华大学 | 一种基于模式聚类的并行网络流特征检测方法 及系统 |
CN102355375A (zh) * | 2011-06-28 | 2012-02-15 | 电子科技大学 | 具有隐私保护功能的分布式异常流量检测方法与系统 |
CN103259778A (zh) * | 2012-02-15 | 2013-08-21 | 株式会社日立制作所 | 安全监视系统以及安全监视方法 |
CN103428209A (zh) * | 2013-08-02 | 2013-12-04 | 汉柏科技有限公司 | 一种生成特征的方法及安全网关设备 |
CN104105124A (zh) * | 2013-04-08 | 2014-10-15 | 南京理工大学常熟研究院有限公司 | 基于Android智能移动终端的流量监测系统 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN105335869A (zh) * | 2015-09-24 | 2016-02-17 | 精硕世纪科技(北京)有限公司 | 一种广告监测的预警方法及系统 |
CN106921661A (zh) * | 2017-02-28 | 2017-07-04 | 山东大学 | 一种基于关联规则的IPv6地址扫描方法 |
CN107360159A (zh) * | 2017-07-11 | 2017-11-17 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
CN108667856A (zh) * | 2018-08-10 | 2018-10-16 | 广东电网有限责任公司 | 一种网络异常检测方法、装置、设备及存储介质 |
CN110572379A (zh) * | 2019-08-29 | 2019-12-13 | 深圳市网域信息安全技术有限公司 | 面向网络安全的可视化大数据态势感知分析系统关键技术 |
CN113765852A (zh) * | 2020-06-03 | 2021-12-07 | 深信服科技股份有限公司 | 数据包的检测方法、系统、存储介质和计算设备 |
CN113839925A (zh) * | 2021-08-31 | 2021-12-24 | 国网新疆电力有限公司电力科学研究院 | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 |
-
2008
- 2008-06-27 CN CNA2008101243715A patent/CN101364981A/zh active Pending
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567812B (zh) * | 2009-03-13 | 2011-12-21 | 华为技术有限公司 | 对网络攻击进行检测的方法和装置 |
CN101719849B (zh) * | 2009-11-03 | 2011-12-28 | 清华大学 | 一种基于模式聚类的并行网络流特征检测方法 及系统 |
CN102355375A (zh) * | 2011-06-28 | 2012-02-15 | 电子科技大学 | 具有隐私保护功能的分布式异常流量检测方法与系统 |
CN102355375B (zh) * | 2011-06-28 | 2014-04-23 | 电子科技大学 | 具有隐私保护功能的分布式异常流量检测方法与系统 |
CN103259778A (zh) * | 2012-02-15 | 2013-08-21 | 株式会社日立制作所 | 安全监视系统以及安全监视方法 |
CN104105124A (zh) * | 2013-04-08 | 2014-10-15 | 南京理工大学常熟研究院有限公司 | 基于Android智能移动终端的流量监测系统 |
CN103428209A (zh) * | 2013-08-02 | 2013-12-04 | 汉柏科技有限公司 | 一种生成特征的方法及安全网关设备 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN105335869A (zh) * | 2015-09-24 | 2016-02-17 | 精硕世纪科技(北京)有限公司 | 一种广告监测的预警方法及系统 |
CN106921661A (zh) * | 2017-02-28 | 2017-07-04 | 山东大学 | 一种基于关联规则的IPv6地址扫描方法 |
CN106921661B (zh) * | 2017-02-28 | 2020-05-05 | 山东大学 | 一种基于关联规则的IPv6地址扫描方法 |
CN107360159A (zh) * | 2017-07-11 | 2017-11-17 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
CN107360159B (zh) * | 2017-07-11 | 2019-12-03 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
CN108667856A (zh) * | 2018-08-10 | 2018-10-16 | 广东电网有限责任公司 | 一种网络异常检测方法、装置、设备及存储介质 |
CN108667856B (zh) * | 2018-08-10 | 2021-01-26 | 广东电网有限责任公司 | 一种网络异常检测方法、装置、设备及存储介质 |
CN110572379A (zh) * | 2019-08-29 | 2019-12-13 | 深圳市网域信息安全技术有限公司 | 面向网络安全的可视化大数据态势感知分析系统关键技术 |
CN113765852A (zh) * | 2020-06-03 | 2021-12-07 | 深信服科技股份有限公司 | 数据包的检测方法、系统、存储介质和计算设备 |
CN113765852B (zh) * | 2020-06-03 | 2023-05-12 | 深信服科技股份有限公司 | 数据包的检测方法、系统、存储介质和计算设备 |
CN113839925A (zh) * | 2021-08-31 | 2021-12-24 | 国网新疆电力有限公司电力科学研究院 | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101364981A (zh) | 基于因特网协议版本6的混合式入侵检测方法 | |
CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
CN100443910C (zh) | 主动网络防护系统与方法 | |
CN103312689B (zh) | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 | |
CN104937886B (zh) | 日志分析装置、信息处理方法 | |
Patil et al. | DoS attack prevention technique in wireless sensor networks | |
CN101789931B (zh) | 一种基于数据挖掘的网络入侵检测系统及方法 | |
KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
CN101286896B (zh) | 基于流的IPSec VPN协议深度检测方法 | |
CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
CN110839019A (zh) | 一种面向电力监控系统的网络安全威胁溯源方法 | |
CN106411562A (zh) | 一种电力信息网络安全联动防御方法及系统 | |
CN101296227B (zh) | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
Krishnan et al. | An adaptive distributed intrusion detection system for cloud computing framework | |
Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
CN103281336A (zh) | 网络入侵检测方法 | |
CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
CN108833430A (zh) | 一种软件定义网络的拓扑保护方法 | |
CN1326365C (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
Kumar et al. | Statistical based intrusion detection framework using six sigma technique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090211 |