CN101414927B - 用于内网网络攻击检测的报警和响应系统 - Google Patents
用于内网网络攻击检测的报警和响应系统 Download PDFInfo
- Publication number
- CN101414927B CN101414927B CN2008101223571A CN200810122357A CN101414927B CN 101414927 B CN101414927 B CN 101414927B CN 2008101223571 A CN2008101223571 A CN 2008101223571A CN 200810122357 A CN200810122357 A CN 200810122357A CN 101414927 B CN101414927 B CN 101414927B
- Authority
- CN
- China
- Prior art keywords
- time
- port
- mac
- isolated
- warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 126
- 230000004044 response Effects 0.000 title claims description 39
- 230000016571 aggressive behavior Effects 0.000 title 1
- 238000002955 isolation Methods 0.000 claims abstract description 75
- 238000000034 method Methods 0.000 claims abstract description 27
- 230000005856 abnormality Effects 0.000 claims description 62
- 238000012545 processing Methods 0.000 claims description 18
- 238000012360 testing method Methods 0.000 claims description 13
- 238000003556 assay Methods 0.000 claims description 12
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 7
- AYFVYJQAPQTCCC-GBXIJSLDSA-N L-threonine Chemical compound C[C@@H](O)[C@H](N)C(O)=O AYFVYJQAPQTCCC-GBXIJSLDSA-N 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 230000007123 defense Effects 0.000 claims description 4
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000005206 flow analysis Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- 208000002693 Multiple Abnormalities Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000001524 infective effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于内网网络攻击检测的报警和响应系统,系统包括管理中心、检测机和数据库。管理中心用于配置、修改检测机的各项参数,接收并存储检测机发送过来的报警信息,查询检测机的状态。检测机的异常检测算法模块对内网网络进行异常信息检测,获取异常检测信息并确定该信息的可信度,当该异常检测信息的可信度到达预设值时发出报警信息;根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方式,对该IP地址进行隔离;对隔离时间到达预设值的IP地址解除隔离。本发明方法可准确、及时、有效的检测和防御内网主机向外网或同内网其他主机展开的攻击。
Description
技术领域
本发明涉及计算机安全防护技术领域,尤其涉及一种用于内网网络攻击检测的报警和响应系统及实现方法。
背景技术
内网安全是当前很多网络安全设备和系统忽视的方面,现有的方法通常在子网出口处采集流量以检测攻击,而子网内部主机之间的流量无法采集得到,因而无法检测子网内部的异常,尤其是单台交换机下面各个端口之间的流量的异常。而当前很多网络异常,尤其是蠕虫,其爆发的初始阶段就是在子网内部展开扫描,产生恶意流量,如果能够监视和检测子网内部流量,就能有效的弥补已有安全措施的空白,提升网络的安全等级。
目前检测内网异常的主流方向是在作为网络节点的网络设备上部署检测和响应系统,网络设备通常是交换机,这使得检测虽然能深入网络内部,但仍没有达到网络底层,其检测目标仍然是交换机出口流量,不能检测到交换机下各个端口之间流量存在的攻击。另一种思路是在网络最末端主机上部署微检测和微响应系统,虽然能检测到最细粒度的攻击,但同时使得部署难度大幅增加。
申请号为200510036269.6的发明专利公开了一种网络病毒防护领域的主动探测病毒防护系统及其防护方法,该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统,本发明解决了现有局域网病毒防护系统无法防范局域网子网间病毒攻击的缺点,可广泛应用于电子政务,金融及内网安全性较高的网络环境。但是该专利提供的方法不能检测交换机下物理端口之间流量中存在的攻击,使得攻击检测仍有空白。
申请号为200410017802.X的发明专利公开了一种网络安全防护的分布式入侵检测与内网监控系统及方法,它适用于交换式局域网、共享式局域网、多子网分布式大中型网络,能为计算机网络用户提供网络安全保障。该系统为三层分布式结构,包括网络和主机检测器、中央控制器、管理监控中心、后台数据库。该方法包括制定安全规则;检测器根据安全规则按IP地址和MAC地址进行入侵检测和内网监控:发现入侵或违规及时阻断、报警并记入后台数据库;根据记录的信息进行审计、对被破坏的数据还原等步骤。本发明集检测、审计、控制、跟踪、报警等多种功能为一体,是一种全方位的安全检测与防御系统,具有良好的扩展性、易维护性、可读性、可移植性、组件重用性和多层次的分布性能。其问题在于不能检测单台交换机设备之下各端口之间流量中的异常,不能深入到网络底层检测攻击。
申请号为02115957.2的发明专利公开了一种分布式网络安全保护系统,网络中央管理台配置汇总决策模块和策略发布模块,网络按照树型结构分为N个子网,各子网管理台上均配置汇总决策模块和策略发布模块,子网中每个节点都安装微入侵检测模块和微防火墙模块,策略发布模块采用移动代理技术;本系统的分布式微入侵检测模块可提供应用层的安全以单个节点机为保护对象,从而实现双重细粒度的安全保护;该系统与传统的入侵检测和防火墙产品相比,具有防止外部和内部攻击、可扩展性强、防单失效点、防范协同入侵、实时安全保护及动态自免疫等优点。该发明的问题在于需要在每台被监测主机上安装入侵检测和防火墙系统,这使得部署花费大大增加,特别是网络规模比较大的情况下,部署难度很大。
发明内容
在内网安全检测中,为了有效降低异常检测算法带来的高误报率,提高检测效率,本发明提供了一种用于内网网络攻击检测的报警和响应系统,可准确、及时、有效的检测和防御内网主机向外网或同内网其他主机展开的攻击。
一种用于内网网络攻击检测的报警和响应系统,系统包括管理中心、检测机和数据库;管理中心和检测机通过专用网络连接,数据库由管理中心访问,主要用来存储检测和响应日志。
所述的管理中心用于对检测机的配置和日志查看,单台管理中心可连接多个检测机,管理中心可读取单台检测机的配置,修改后写回检测机,并可以查看检测机中异常检测算法模块的报警记录和攻击防御模块的响应记录,同时可以控制检测机的防御行为,可以指定对某台目标机采取防御措施。
所述的检测机对应有两块网卡,一块网卡连接交换机的镜像流量端口,另一块网卡作为主机网卡连接交换机的普通流量端口。
检测机的其中一块网卡的网络接口连接网络交换机的流量镜像端口,该网络接口周期性镜像交换机各个端口的流量,用于监听网络内部的数据包。同时检测机上的网络异常检测程序运行多种不同种类的异常检测算法模块,并由管理模块执行本地检测算法以及报警和响应算法,网络异常检测模块种类主要包括蠕虫检测模块和拒绝服务检测模块。
所述的网络异常检测程序由内核流量采集处理模块,多种异常检测算法模块、管理模块、攻击防御模块构成。
网络流量分析采集处理模块:从网络接口处获取网络流量,并做简单的流量分析,实时得到分析结果。
异常检测算法模块:从网络流量分析采集模块处得到的分析过的连接信息,根据各自的算法进行检测,对得到的检测结果上报管理模块;这里检测算法包括蠕虫检测算法和拒绝服务检测算法,分别用来检测蠕虫和拒绝服务攻击。
管理模块:通过报警算法对异常检测算法模块的检测结果进行判断决定是否发出报警,对于采取报警措施的检测结果的信息,由管理模块将报警信息转发给攻击防御模块采取应对措施。
攻击防御模块:收到管理模块的报警信息后,通过向检测机所连接的交换机或路由器发送SNMP(简单网络管理协议)的管理消息,采用响应算法命令设备采取措施达到防御的效果。
网络异常检测程序执行本地检测算法以及报警和响应算法,克服了现有网络攻击检测技术不能准确、高效的检测和防御内网攻击的问题,可准确、及时、有效的检测和防御内网主机向外网或同内网其他主机展开的攻击。该方法在检测方面,由检测机上底层多个检测模块向管理模块报告异常主机IP,管理模块根据报警算法过滤虚假的报警信息。其原理是针对每个被检测到异常的IP设置报警可信度,单次检测不能产生报警,而多次检测相继发生且相隔很近,则会增加该IP的报警可信度,直到超过阈值产生报警。
一种用于内网网络攻击检测的报警与响应算法,包括:
1、报警
检测机上底层的检测模块对内网网络进行异常信息检测,获取下层模块的异常检测信息并确定该异常检测信息的可信度,当该异常检测信息的可信度到达预设值时发出报警信息。
2、响应
I.隔离
根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方式,并对该IP地址进行隔离。
II.解除隔离
对产生异常检测信息的IP地址进行的隔离时间到达预设值后,解除隔离。
所述的确定异常检测信息的可信度并发出报警信息的步骤如下:
(1)设置异常信息的检测和报警的相关参数,参数包括两次检测的时间间隔的上限Tup和两次检测的时间间隔的下限Tbelow,以及触发报警的可信度阈值Cthre;
(2)确定每个从下层模块获取的异常检测信息的IP的地址并记录检测时间;
若该IP第一次被检测到,则记录其被检测时间,并设其对应的报警可信度C为0;
若该IP不是第一次被检测到,则计算当前检测时间和该IP最近一次被检测到的时间间隔Tint,并设置该IP的被检测时间为当前检测时间;
(3)若步骤(2)计算得到IP的两次被检测到的时间间隔Tint大于两次检测间隔上限Tup,则设置其报警可信度C为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tint小于或等于两次检测间隔上限Tup而大于两次检测间隔下限Tbelow,则将其报警可信度C减去报警可信度衰减值e-Tint,若报警可信度C为负,则将报警可信度C重新设置为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tint小于或等于两次检测间隔下限Tbelow,则将其报警可信度C加上e-Tint;
(4)若某IP的报警可信度C大于等于触发报警的可信度阈值Cthre,则产生该IP的报警信息。
在响应方面,本方法采取隔离IP对应的mac和设备端口的方法,根据被检测到异常信息的IP的报警程度的严重程度来决定隔离该IP的mac还是相应设备端口,对于单独的若干次报警则单独隔离mac,但若某端口被隔离mac过多,则报警严重等级上升,需要隔离该端口;同时根据报警的频繁程度来控制隔离时间,对获取异常检测信息的IP的mac或对应的设备端口进行隔离有一个对应的超时时间,隔离时间超过该超时时间则要开放该IP的mac或设备端口。
所述根据报警信息确定对产生异常检测信息的IP地址的隔离时间,并对该地址进行隔离的步骤如下:
(1)设置隔离的相关参数,隔离超时时间t的初值为T,同一个网络设备端口的被隔离mac的数量阈值为N,最长隔离时间TL;
(2)针对报警信息,获取产生异常检测信息的IP对应的mac地址;
(3)判断该mac是否已存在于被隔离mac列表;
若该mac已存在于被隔离mac列表,将其隔离超时时间t设置为最近一次设置时间的两倍,若超过最长隔离时间TL,则设为最长隔离时间TL;
若该mac不存在于被隔离mac列表,将该mac加入到被隔离mac列表里,设置其初始隔离时间t为T;
(4)判断该mac对应的网络设备端口是否已经在被隔离端口列表里;
a.若该mac对应端口已经在被隔离端口列表里,判断隔离列表中与该mac同属于一个端口的mac地址数量是否大于或等于N;
a1.若已隔离mac列表中与当前mac同端口的mac地址数量大于等于N,则设置该端口的隔离超时时间t为最近一次设置时间的两倍,若该端口的隔离超时时间t超过最长隔离时间TL,则设置该端口的隔离超时时间t为最长隔离时间TL;
a2.若已隔离mac列表中与当前mac同端口的mac地址数量小于N,则从被隔离端口列表里删除该端口;
b.若该mac对应的端口不在被隔离端口列表里,且已隔离mac列表中与当前mac同端口的mac地址数量大于或等于N,则将该mac对应的端口其端口放入被隔离端口列表里,并设置隔离时间t为T。
所述的解除隔离的步骤如下:
(1)设置一个隔离事件报警时钟,该时钟以隔离初始时间T为周期循环,每个周期后都要对被隔离mac列表和被隔离端口列表中的所有表项进行一次超时算法计算,以去除超时的表项;
对被隔离mac列表的所有表项进行一次超时算法计算时,将其中隔离的所有表项的隔离超时时间t均减去时间T,若存在剩余隔离超时时间小于或等于0的表项,则从列表中去除这些表项该项;
对被隔离端口列表的所有表项进行一次超时算法计算时,若当前的被隔离端口表项中位于该端口被屏蔽mac数量大于等于阈值N,则该隔离端口不做处理;若当前的被隔离端口表项中位于该端口被屏蔽mac数量小于阈值N,则将该项的隔离超时时间t减去时间T,若剩余隔离超时时间小于或等于0,则从隔离端口列表中去除该表项。
本发明方法主要是根据针对单IP检测上报信息的密集程度来控制报警可信度,若达到报警可信度阈值上限则触发报警。报警算法的主要作用是过滤虚假检测信息,降低误报率。触发报警后则检测机的响应模块采取措施,根据响应算法进行应对,主要是根据报警程度的严重程度来决定隔离某mac地址还是相应交换机端口,对于单独的若干次报警则单独隔离mac,但若某端口的被隔离mac过多,则报警严重等级上升,需要隔离该端口;同时根据报警的频繁程度来控制隔离时间,对于被隔离的mac或设备端口,对应有一个超时时间,隔离时间超过该超时时间则要开放该mac或设备端口。响应算法的主要作用是合理控制响应过程,使攻击响应自动化同时使得响应措施合理。
本系统的最大特点在与报警算法和响应算法,报警算法可有效降低异常检测算法带来的高误报率,改善检测效率。响应算法使得攻击响应自动化,降低了人工干预的程度。
附图说明
图1为本发明方法中内网网络攻击检测的报警与响应系统的系统部署图;
图2为本发明方法中网络异常检测程序软件架构示意图;
图3为本发明方法中报警算法流程图;
图4为本发明方法中响应算法流程图。
具体实施方式
下面结合附图对本发明的一种用于内网网络攻击检测的报警和响应系统及实现方法的实施例进行详细说明。
如图1所示,在内网中的一种用于内网网络攻击检测的报警和响应系统,系统包括管理中心、检测机和数据库。
管理中心运行在单台主机上,单台管理中心可连接多个检测机,每台检测机和一台交换机相连,每台交换机可以同时连接多台PC机。
管理中心不定期的接收检测机发送过来的报警信息,将报警信息存储到管理中心的数据库中,并通过用户界面显示出来,提供查询等功能,管理中心也将检测机的各种配置信息存储在管理中心的数据库中。
管理中心提供检测机配置界面,可读取单台检测机的配置,修改后写回检测机,同时可远程配置检测机的各项参数。配置时,管理中心首先通过菜单命令从检测机端将配置取到管理中心上,以列表的形式显示,然后通过修改列表更改配置,最后通过菜单命令将列表里的配置保存到检测机硬盘上。
管理中心能够查询检测机当前的状态,包括检测机中异常检测算法模块的报警记录和攻击防御模块的响应记录,同时可以控制检测机的防御行为,可以指定对某台目标机采取防御措施,根据需要预先指定采取手工和自动响应行为中的一种。若手工指定响应行为,则需要管理员对每条报警消息使用菜单命令分别指定是否隔离和解除隔离;管理中心通过选择报警列表里的一条记录作为目标,然后使用菜单命令将隔离请求发送到检测机端,检测机端通过SNMP协议操作网络设备访问控制列表实现目标的隔离;若是自动响应行为,则由检测机内的管理模块在接到报警后立即隔离,由响应算法控制何时解除隔离。
检测机负责检测交换机所对应的子网内部以及内部和外部网络之间的流量异常。检测机和交换机之间有两条物理链路,检测机对应有两块网卡,一块网卡连接交换机的镜像流量端口,另一块网卡作为检测机主机网卡连接交换机的普通流量端口;检测机上的网络异常检测模块运行多种不同的异常检测算法模块,执行本地检测算法以及报警算法和响应算法,网络异常检测模块种类主要包括蠕虫检测模块和拒绝服务检测模块。
连接镜像流量端口的网卡负责周期性采集镜像出来的流量,监听网络内部的数据包。
连接普通端口的网卡负责检测机和交换机之间的通信,使得检测机可通过SNMP协议控制交换机的访问控制列表,周期性的把不同端口的流量映射到镜像端口上,这样一方面可以防止镜像端口流量过大,另一方面也可以采集到所有端口的流量。
如图2所示,所述的网络异常检测程序由内核流量采集处理模块、异常检测算法模块、管理模块、攻击防御模块构成,执行本地检测算法以及报警和响应算法。其中内核流量采集处理模块在内核空间运行,异常检测算法模块、管理模块、攻击防御模块在用户空间运行。
异常检测算法模块由算法进程运行,管理模块由守护进程运行,攻击防御模块由响应进程运行。辅助过滤进程主要负责帮助内核流量采集处理模块完成辅助性工作。网卡驱动程序是操作系统的一部分,主要用于操作系统和网卡的交互。
内核流量采集处理模块:从网络接口处获取网络流量,并做简单的流量分析,实时得到分析结果;
异常检测算法模块:从内核流量采集处理模块处得到的分析过的连接信息,根据各自的算法进行检测,对得到的检测结果上报管理模块;
管理模块:以守护进程的形式,通过报警算法对异常检测算法模块的检测结果进行判断决定是否发出报警;对于需要采取报警措施的检测结果,运行响应算法,负责向管理中心报警和控制交换机的访问控制列表,以控制响应行为;利用贝叶斯算法和熵算法做蠕虫和DDoS攻击的检测并将攻击检测的结果转发给攻击防御模块采取应对措施;DDOS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。
攻击防御模块即响应进程:收到管理模块的报警算法的结果后,通过向检测机所连接的交换机或路由器发送SNMP的管理消息,命令设备采取相应的措施达到防御的效果。
内核流量采集处理模块在内核空间中,采集网卡的流量数据,并作连接分析和简单统计等前期计算,将分析的结果从内核空间提交到用户空间的异常检测算法模块中,由异常检测算法模块做进一步的异常检测,检测结果上报管理模块,管理模块负责运行报警算法和响应算法,负责向管理中心报警和控制交换机的访问控制列表,以控制响应行为。
其中内核流量采集处理模块由多个子模块构成,如图2所示,自下而上由截包模块、超时管理模块、分片处理模块、连接管理模块、事件管理模块、统计模块以及通讯模块组成,他们的主要功能就是从网络流量中分析连接信息和统计信息,生成特定事件,上报给异常检测算法模块,由对应的检测算法应用模块检测网络异常。
其中截包模块从网卡驱动程序处直接获得数据包,并将数据包发给超时管理模块和分片处理模块。
超时模块根据到达的数据包更新对应连接的超时时钟。
分片处理模块将分片的数据包整合后同时向事件管理模块、连接管理模块和统计模块发送。
其中连接管理模块在构造连接信息后将连接信息提供给事件管理模块,事件管理模块的统计相关的部分信息汇总到统计模块进行统计,最后事件管理模块和统计模块的计算结果,包括各种连接信息和各种统计信息通过通讯模块传送给上层检测模块,同时,异常检测算法模块的回应信息通过通讯模块传回内核流量采集处理模块。
网络异常检测程序执行本地检测算法以及报警和响应算法,在检测方面,由检测机上底层多个检测模块向管理模块报告异常主机IP,管理模块根据报警算法过滤虚假的报警信息。其原理是针对每个被检测到异常的IP设置报警可信度,单次检测不能产生报警,而多次检测相继发生且相隔很近,则会增加该IP的报警可信度,直到超过阈值产生报警。
一种用于内网网络攻击检测的报警与响应方法,包括:
1、报警
检测机上底层的检测模块对内网网络进行异常信息检测,获取下层模块的异常检测信息并确定该异常检测信息的可信度,当该异常检测信息的可信度到达预设值时发出报警信息;
2、响应
I.隔离
根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方式,并对该IP地址进行隔离。
II.解除隔离
对产生异常检测信息的IP地址进行的隔离时间到达预设值后,解除隔离。
如图3所示,确定异常检测信息的可信度并发出报警信息的步骤如下:
(1)设置异常信息的检测和报警的相关参数,参数包括两次检测的时间间隔的上限Tup=5秒和两次检测的时间间隔的下限Tbelow=30秒,触发报警的可信度阈值Cthre=1.0,报警可信度衰减值e-Tint;
(2)确定每个从下层模块获取的异常检测信息的IP的地址并记录检测时间;
若该IP第一次被检测到,则记录其被检测时间,并设其对应的报警可信度C为0;
若该IP不是第一次被检测到,则计算当前检测时间和该IP最近一次被检测到的时间间隔Tint,并设置该IP的被检测时间为当前检测时间;
(3)若步骤(2)计算得到IP的两次被检测到的时间间隔Tint大于两次检测间隔上限Tup,则设置其报警可信度C为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tint小于或等于两次检测间隔上限Tup而大于两次检测间隔下限Tbelow,则将其报警可信度C减去报警可信度衰减值e-Tint,若报警可信度C为负,则将报警可信度C重新设置为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tint小于或等于两次检测间隔下限Tbelow,则将其报警可信度C加上e-Tint;
(4)若某IP的报警可信度C大于等于触发报警的可信度阈值Cthre,则产生该IP的报警信息。
在响应方面,本方法采取隔离IP对应的mac和设备端口的方法,根据被检测到异常信息的IP的报警程度的严重程度来决定隔离该IP的mac还是相应设备端口,对于单独的若干次报警则单独隔离mac,但若某端口被隔离mac过多,则报警严重等级上升,需要隔离该端口;同时根据报警的频繁程度来控制隔离时间,对获取异常检测信息的IP的mac或对应的设备端口进行隔离有一个对应的超时时间,隔离时间超过该超时时间则要开放该IP的mac或设备端口。
如图4所示,根据报警信息确定对产生异常检测信息的IP地址的隔离时间,并对该地址进行隔离的步骤如下:
(1)设置隔离的相关参数,隔离超时时间t的初值为T,T通常设置为30秒,同一个网络设备端口的被隔离mac的数量阈值为N,N一般设置为5,最长隔离时间TL,TL通常为24小时;
(2)针对报警信息,获取产生异常检测信息的IP对应的mac地址;
(3)判断该mac是否已存在于被隔离mac列表;
若该mac已存在于被隔离mac列表,将其隔离超时时间t设置为最近一次设置时间的两倍,若超过最长隔离时间TL,则设为最长隔离时间TL;
若该mac不存在于被隔离mac列表,将该mac加入到被隔离mac列表里,设置其初始隔离时间t为T,T一般为60秒;
(4)判断该mac对应的网络设备端口是否已经在被隔离端口列表里;
a.若该mac对应端口已经在被隔离端口列表里,判断隔离列表中与该mac同属于一个端口的mac地址数量是否大于或等于N;
a1.若已隔离mac列表中与当前mac同端口的mac地址数量大于等于N,则设置该端口的隔离超时时间t为最近一次设置时间的两倍,若该端口的隔离超时时间t超过最长隔离时间TL,则设置该端口的隔离超时时间t为最长隔离时间TL;
a2.若已隔离mac列表中与当前mac同端口的mac地址数量小于N,则从被隔离端口列表里删除该端口;
b.若该mac对应的端口不在被隔离端口列表里,且已隔离mac列表中与当前mac同端口的mac地址数量大于或等于N,则将该mac对应的端口放入被隔离端口列表里,并设置隔离时间t为T。
解除隔离的步骤如下:
(1)设置一个隔离事件报警时钟,该时钟以隔离初始时间T为周期循环,每个周期后都要对被隔离mac列表和被隔离端口列表中的所有表项进行一次超时算法计算,以去除超时的表项;
对被隔离mac列表的所有表项进行一次超时算法计算时,将其中隔离的所有表项的隔离超时时间t均减去时间T,若存在剩余隔离超时时间小于或等于0的表项,则从列表中去除这些表项该项;
对被隔离端口列表的所有表项进行一次超时算法计算时,若当前的被隔离端口表项中位于该端口被屏蔽mac数量大于等于阈值N,则该隔离端口不做处理;若当前的被隔离端口表项中位于该端口被屏蔽mac数量小于阈值N,则将该项的隔离超时时间t减去时间T,若剩余隔离超时时间小于或等于0,则从隔离端口列表中去除该表项。
以一个具体的内网网络攻击检测为例对本发明具体实施步骤进行说明。
局域网中的网络主机192.168.0.25感染了蠕虫病毒,开始向本地网络展开扫描,并向局域网内的其他计算机发送感染病毒的扫描数据包。其发送的扫描数据包在经过交换机时,被镜像到检测机连接的端口,则扫描数据包被检测机网卡截获。
多个扫描数据包被检测机网卡截获,内核流量采集处理模块得到这些扫描数据包后对其做初步分析,将分析结果向上传送给实现了异常检测算法模块的算法进程1,算法进程1进一步检测发现了源地址192.168.0.25是可疑病毒主机,但单次检测并不能肯定病毒主机,所以当疑似病毒主机时异常检测算法模块的算法进程对其进行多次检测,对每次得到的检测结果上报管理模块;。
管理模块以守护进程的形式,通过报警算法对异常检测算法模块的从源地址192.168.0.25处检测得到的检测结果进行判断,并触发了最终报警,并将报警信息传给管理模块。
如果是自动响应,则在管理模块接到报警并经检测算法确认后直接进行隔离,通过管理模块的响应算法确定具体的隔离方式为mac地址隔离,得到源地址192.168.0.25,转换后得到其mac地址ee:f0:90:6a:78:43和对应端口号2,然后在隔离列表里加入对该mac地址的隔离,隔离时间60秒;
如果是手动响应,则管理模块将报警信息上报给管理中心,由远端管理中心提供源地址,管理中心的操作员分析后发送隔离命令给检测机,检测机端通过SNMP协议操作网络设备访问控制列表对源地址192.168.0.25的mac地址ee:f0:90:6a:78:43进行隔离,设置隔离时间60秒。
Claims (7)
1.一种用于内网网络攻击检测的报警和响应系统,包括:
管理中心:用于配置、修改检测机的各项参数,并将各项配置信息存储在管理中心的数据库中;
接收并存储检测机发送过来的报警信息;
能够查询检测机当前的状态,包括检测机中异常检测算法模块的报警记录和攻击防御模块的响应记录,能够通过命令控制检测机的防御行为,对某台目标机采取防御措施,手工指定其响应行为;
检测机:负责检测与之相连的交换机所对应的子网内部以及内部和外部网络之间的流量异常;
数据库:由管理中心访问,用于存储检测和响应日志;
检测机和交换机之间有两条物理链路,检测机对应有两块网卡,
一块网卡连接交换机的镜像流量端口,另一块网卡连接交换机的普通流量端口;
所述的检测机上运行有由内核流量采集处理模块、异常检测算法模块、管理模块和攻击防御模块构成的网络异常检测程序,执行本地检测算法以及报警算法和响应算法;
所述的内核流量采集处理模块从网络接口处获取网络流量,并做简单的流量分析,实时得出分析结果;
所述的异常检测算法模块从内核流量采集处理模块得到分析过的连接信息,根据各自的算法进行检测,将检测结果上报管理模块;
所述的管理模块以守护进程的形式,通过报警算法对异常检测算法模块的检测结果进行可信度判断,并根据可信度是否到达预设值而决定是否发出报警;对于需要采取报警措施的检测结果,运行包括隔离和解除隔离的响应算法,负责向管理中心报警和控制交换机的访问控制列表,以控制响应行为;利用贝叶斯算法和熵算法做蠕虫和分布式拒绝服务攻击,即DDoS的检测并将攻击检测的结果转发给攻击防御模块采取应对措施;
所述的攻击防御模块接收管理模块的报警后,通过向检测机所连接的交换机或路由器发送SNMP的管理消息,命令设备采取相应的防御措施。
2.根据权利要求1所述的用于内网网络攻击检测的报警和响应系统,其特征在于:所述的管理中心运行在单台主机上,单台管理中心能连接多个检测机,每台检测机和一台交换机相连,每台交换机能同时连接多台PC机,检测机和管理中心通过专用网络进行通信。
3.根据权利要求1所述的用于内网网络攻击检测的报警和响应系统,其特征在于:所述的检测机的连接镜像端口的网卡负责周期性采集镜像出来的流量,监听网络内部的数据包。
4.根据权利要求1所述的用于内网网络攻击检测的报警和响应系统, 其特征在于:所述的检测机的连接普通端口的网卡负责检测机和交换机之间的通信,使检测机可通过SNMP协议控制交换机的访问控制列表,周期性地把不同端口的流量映射到镜像端口上。
5.根据权利要求1所述的用于内网网络攻击检测的报警和响应系统,其特征在于:所述的报警算法指检测机异常检测算法模块获取内核流量采集处理模块的分析信息后对内网网络进行异常信息检测,对检测出来的信息上报管理模块,由管理模块确定该异常检测信息的可信度,当该异常检测信息的可信度到达预设值时发出报警信息,具体步骤包括:
(1)设置异常信息的检测和报警的相关参数,参数包括两次检测的时间间隔的上限Tup=5秒和两次检测的时间间隔的下限Tbelow=30秒,触发报警的可信度阈值Cthre=1.0,报警可信度衰减值e-Tint;
(2)确定每个从下层模块获取的异常检测信息的IP的地址并记录检测时间;
若该IP第一次被检测到,则记录其被检测时间,并设其对应的报警可信度C为0;
若该IP不是第一次被检测到,则计算当前检测时间和该IP最近一次被检测到的时间间隔Tint,并设置该IP的被检测时间为当前检测时间;
(3)若步骤(2)计算得到IP的两次被检测到的时间间隔Tint大于两次检测间隔上限Tup,则设置其报警可信度C为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tint小于或等于两次检测间隔上限Tup而大于两次检测间隔下限Tbelow,则将其报警可信度C减去报警可信度衰减值e-Tint,若报警可信度C为负,则将报警可信度C重新设置为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tint小于或等于两次检测间隔下限Tbelow,则将其报警可信度C加上e-Tint;
(4)若某IP的报警可信度C大于等于触发报警的可信度阈值Cthre,则产生该IP的报警信息。
6.根据权利要求1所述的用于内网网络攻击检测的报警和响应系统,其特征在于:所述的隔离指根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方式,并对该IP地址进行隔离,具体步骤包括:
(1)设置隔离的相关参数,隔离超时时间t的初值为T,同一个网络设备端口的被隔离mac的数量阈值为N,最长隔离时间TL;
(2)针对报警信息,获取产生异常检测信息的IP对应的mac地址;
(3)判断该mac是否已存在于被隔离mac列表;
若该mac已存在于被隔离mac列表,将其隔离超时时间t设置为最近一次设置时间的两倍,若超过最长隔离时间TL,则设为最长隔离时间TL;
若该mac不存在于被隔离mac列表,将该mac加入到被隔离mac列表里,设置其初始隔离时间t为T;
(4)判断该mac对应的网络设备端口是否已经在被隔离端口列表里;
a.若该mac对应端口已经在被隔离端口列表里,判断隔离列表中与该mac同属于一个端口的mac地址数量是否大于或等于N;
a1.若已隔离mac列表中与当前mac同端口的mac地址数量大于等于N,则设置该端口的隔离超时时间t为最近一次设置时间的两倍,若该端口的隔离超时时间t超过最长隔离时间TL,则设置该端口的隔离超时时间t为最长隔离时间TL;
a2.若已隔离mac列表中与当前mac同端口的mac地址数量小于N,则从被隔离端口列表里删除该端口;
b.若该mac对应的端口不在被隔离端口列表里,且已隔离mac列表中与当前mac同端口的mac地址数量大于或等于N,则将该mac对应的端口放入被隔离端口列表里,并设置隔离时间t为T。
7.根据权利要求1所述的用于内网网络攻击检测的报警和响应系统,其特征在于:所述的解除隔离指对产生异常检测信息的IP地址进行的隔离时间到达预设值后解除隔离,具体步骤包括:
(1)设置一个隔离事件报警时钟,该时钟以隔离初始时间T为周期循环,每个周期后都要对被隔离mac列表和被隔离端口列表中的所有表项进行一次超时算法计算,以去除超时的表项;
对被隔离mac列表的所有表项进行一次超时算法计算时,将其中隔离的所有表项的隔离超时时间t均减去时间T,若存在剩余隔离超时时间小于或等于0的表项,则从列表中去除这些表项该项;
对被隔离端口列表的所有表项进行一次超时算法计算时,若当前的被隔离端口表项中位于该端口被屏蔽mac数量大于等于阈值N,则该隔离端口不做处理;若当前的被隔离端口表项中位于该端口被屏蔽mac数量小于阈值N,则将该项的隔离超时时间t减去时间T,若剩余隔离超时时间小于或等于0,则从隔离端口列表中去除该表项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101223571A CN101414927B (zh) | 2008-11-20 | 2008-11-20 | 用于内网网络攻击检测的报警和响应系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101223571A CN101414927B (zh) | 2008-11-20 | 2008-11-20 | 用于内网网络攻击检测的报警和响应系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101414927A CN101414927A (zh) | 2009-04-22 |
CN101414927B true CN101414927B (zh) | 2011-05-11 |
Family
ID=40595258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101223571A Expired - Fee Related CN101414927B (zh) | 2008-11-20 | 2008-11-20 | 用于内网网络攻击检测的报警和响应系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101414927B (zh) |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546269B (zh) * | 2010-12-07 | 2015-08-19 | 中国移动通信集团广东有限公司 | 一种快速监控ip网络的方法和系统 |
CN102104606B (zh) * | 2011-03-02 | 2013-09-18 | 浙江大学 | 一种内网蠕虫主机检测方法 |
US8659415B2 (en) * | 2011-07-15 | 2014-02-25 | General Electric Company | Alarm management |
CN102868685B (zh) * | 2012-08-29 | 2015-04-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种判定自动扫描行为的方法及装置 |
CN102904876A (zh) * | 2012-09-03 | 2013-01-30 | 常州嘴馋了信息科技有限公司 | 网站安全保护系统 |
CN103905265B (zh) * | 2012-12-27 | 2018-03-23 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
CN104639504B (zh) | 2013-11-12 | 2018-09-21 | 华为技术有限公司 | 网络协同防御方法、装置和系统 |
CN103618730A (zh) * | 2013-12-04 | 2014-03-05 | 天津大学 | 一种基于积分策略的网站ddos攻击防御系统及方法 |
CN104796388B (zh) * | 2014-01-21 | 2018-10-12 | 中国移动通信集团公司 | 一种对网络设备进行扫描的方法、相关装置及系统 |
CN103944775A (zh) * | 2014-03-14 | 2014-07-23 | 广州源典科技有限公司 | 一种网络流量采集分析及展示输出的方法 |
CN104283889B (zh) * | 2014-10-20 | 2018-04-24 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
CN104394140B (zh) * | 2014-11-21 | 2018-03-06 | 南京邮电大学 | 一种基于sdn的虚拟网络优化方法 |
CN104954367B (zh) * | 2015-06-04 | 2019-02-12 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
CN105577668A (zh) * | 2015-12-25 | 2016-05-11 | 北京奇虎科技有限公司 | 一种网络连接控制方法和装置 |
CN105786730A (zh) * | 2016-03-17 | 2016-07-20 | 国网浙江嵊州市供电公司 | 计算机硬件端口智能管控装置 |
CN107241304B (zh) * | 2016-03-29 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 一种DDoS攻击的检测方法及装置 |
CN106506513A (zh) * | 2016-11-21 | 2017-03-15 | 国网四川省电力公司信息通信公司 | 基于网络流量的防火墙策略数据分析装置及方法 |
CN107920077A (zh) * | 2017-11-21 | 2018-04-17 | 湖北鑫英泰系统技术股份有限公司 | 一种用于电力调度系统的拒接服务攻击判断方法及装置 |
CN107864153A (zh) * | 2017-12-11 | 2018-03-30 | 江苏恒信和安电子科技有限公司 | 一种基于网络安全传感器的网络病毒预警方法 |
CN107864164B (zh) * | 2017-12-26 | 2020-11-06 | 北京中船信息科技有限公司 | 基于ip盗用与mac地址篡改的联动报警装置 |
CN108540443A (zh) * | 2018-02-22 | 2018-09-14 | 贵州财经大学 | 一种计算机流量异常检测分析系统 |
CN108696541A (zh) * | 2018-07-20 | 2018-10-23 | 国家电网公司 | 通信网络的安全处理方法和装置 |
US11182102B2 (en) * | 2018-12-28 | 2021-11-23 | Micron Technology, Inc. | Host inquiry response generation in a memory device |
CN109995794B (zh) * | 2019-04-15 | 2021-09-17 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
CN110445692A (zh) * | 2019-08-16 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 基于主机的流量画像生成方法、系统和计算机可读介质 |
CN110572379B (zh) * | 2019-08-29 | 2020-09-18 | 深圳市网域科技技术有限公司 | 面向网络安全的可视化大数据态势感知分析系统关键技术 |
CN111901202B (zh) * | 2020-07-31 | 2021-07-23 | 深圳市高德信通信股份有限公司 | 一种计算机互联网切换网络环境的测试系统 |
CN112800600B (zh) * | 2021-01-18 | 2023-06-30 | 浙江工业大学 | 一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法 |
CN113949555B (zh) * | 2021-10-13 | 2023-01-31 | 中国商用飞机有限责任公司 | 基于时间标记和数据比对模块的机上网络防御方法和系统 |
-
2008
- 2008-11-20 CN CN2008101223571A patent/CN101414927B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101414927A (zh) | 2009-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101414927B (zh) | 用于内网网络攻击检测的报警和响应系统 | |
US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
CN100463409C (zh) | 网络安全系统和方法 | |
RU129279U1 (ru) | Устройство обнаружения и защиты от аномальной активности на сети передачи данных | |
US7493659B1 (en) | Network intrusion detection and analysis system and method | |
CN101147143B (zh) | 向计算机系统和网络提供安全性的方法和装置 | |
CN101562537B (zh) | 分布式自优化入侵检测报警关联系统 | |
US7200866B2 (en) | System and method for defending against distributed denial-of-service attack on active network | |
CN105959144A (zh) | 面向工业控制网络的安全数据采集与异常检测方法与系统 | |
CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
CN100531219C (zh) | 一种网络蠕虫检测方法及其系统 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
US20110078301A1 (en) | Systems and methods for detecting network conditions based on correlation between trend lines | |
CN107547228B (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
US20170288979A1 (en) | Blue print graphs for fusing of heterogeneous alerts | |
CN103124293A (zh) | 一种基于多Agent的云数据安全审计方法 | |
CN111800419B (zh) | 一种SDN环境下DDoS攻击检测系统及方法 | |
CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
CN113965341A (zh) | 一种基于软件定义网络的入侵检测系统 | |
CN105007175A (zh) | 一种基于openflow的流深度关联分析方法及系统 | |
CN101656632A (zh) | 大型网络内的病毒监控方法及装置 | |
CN103916376A (zh) | 具攻击防护机制的云端系统及其防护方法 | |
D’Antonio et al. | High-speed intrusion detection in support of critical infrastructure protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110511 Termination date: 20131120 |