CN101453363A - 网络入侵检测系统 - Google Patents
网络入侵检测系统 Download PDFInfo
- Publication number
- CN101453363A CN101453363A CNA2007101871936A CN200710187193A CN101453363A CN 101453363 A CN101453363 A CN 101453363A CN A2007101871936 A CNA2007101871936 A CN A2007101871936A CN 200710187193 A CN200710187193 A CN 200710187193A CN 101453363 A CN101453363 A CN 101453363A
- Authority
- CN
- China
- Prior art keywords
- network
- package
- intrusion detection
- detection system
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种网络入侵检测系统,架设于重要网络节点处,用以进行网络封包的侦测与监控。网络入侵检测系统包括有网络卡及系统核心处理器。当接收到网络封包时,由网络卡的微处理器执行封包解析程序及封包预处理程序,以预先分辨封包种类及来源地址及转换为入侵检测格式封包。之后,再交由系统核心处理器判断是否为入侵封包。因为解析封包及预处理程序的运算负担已分担于网络卡,故网络入侵检测系统较不易因运算负担过重导致丢包现象,网络入侵检测系统的精确度亦得以大幅提升。
Description
技术领域
本发明涉及一种入侵检测系统,且特别涉及一种入侵检测系统,其具有可执行封包解析及封包预处理能力的网卡。
背景技术
以往,网络安全的解决方案多由防毒软件与防火墙达到基本的网络安全防护。由防毒软件避免计算机系统感染计算机病毒,再由防火墙保障私人数据不被窃取。虽然靠着防火墙与防毒病毒可控管大部分意图入侵计算机系统者的恶意入侵,但部分黑客仍可突破防火墙入侵计算机系统。网络入侵检测系统(Intrusion Detection System,IDS)技术遂发展成为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术,由入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。入侵检测系统主要是通过监视与分析计算机系统的网络活动,由分析接收的所有网络封包,发现系统中未授权或异常的网络封包活动,并于遭受入侵活动时,实时对异常的存取行为发出警报,并将统计分析的结果记录于报表。一般而言,网络入侵检测系统可以是计算机/服务器,其架设于因特网的重要节点,例如内部网络的边界路由器后端、或重要的(欲保护的)服务器/计算机主机前端,以在侦测到恶意攻击或可疑的联机活动时,实时发出警示信号,进而阻断或滤除恶意联机所产生的攻击,避免内部网络遭受攻击而造成数据被窃取或损坏。网络入侵检测主要侦测手法为特征比对侦测(Signature Based Detection)、异常行为侦测(Behavioral AnomalyDetection)、以及异常通讯协议侦测(Protocol Anomaly Detection)。网络入侵检测系统的服务器检查网络联机状态与流经网络入侵检测系统服务器的所有传输封包的内容,当发现网络攻击事件、或符合网络入侵检测系统管理者所定义的异常事件时,即发出警示通知网络入侵检测系统管理者进行防御,或进一步将异常事件记录在程序或日志文件内。
以目前网络入侵检测技术上看来,分为基于网络或基于主机的入侵检测系统两大类。基于网络的网络入侵检测系统系将网络入侵检测系统的主机放置于网络区段中较重要的端点,由对流经网络入侵检测的主机的每一个数据封包,或可疑的封包类型进行特征分析;基于主机的网络入侵检测系统主要是对主机或系统的网络联机日志(Login File)进行分析判断。然而不管是哪类的网络入侵检测系统,进行入侵检测时皆需消耗相当的系统资源。网络入侵检测系统需分析每一个封包的类型甚至需针对封包内容进行解析,因此在一些传输速度较为高速或者是流量较繁重的网络,例如超高速以太网络(Gigabit Ethernet),可能会入侵攻击的复杂度或传播速度过快,网络入侵检测系统的响应能力无法跟上,而无法实时侦测到网络入侵攻击。
发明内容
鉴于上述网络入侵检测系统的响应能力无法跟上流量繁重的网络环境等问题,本发明的目的在于提出一种网络入侵检测系统,由在网络卡上附加一个有处理封包解析及封包预处理程序能力的微处理器,用以分担网络入侵检测系统的系统核心处理器的工作量。
为实现上述的目的,本发明将网络入侵检测系统架设于重要网络节点处来侦测并监控网络封包,此网络侦测系统包括了一张网络卡以及网络侦测系统的系统核心处理器。其中,网络卡接收了多个网络封包。在网络卡上设置有一个内存及微处理器,内存储存了一个封包解析程序、一个封包预处理程序、以及暂存前述接收的网络封包;而微处理器则是用以执行前述的封包解析程序来解析接收的网络封包,之后再执行封包预处理程序来分析前述的解析结果,以产生多个入侵检测格式封包。系统核心处理器则是读取那些入侵检测格式封包,并依据入侵判断规则表来判断这些入侵检测格式封包是否为正常的格式/内容,进而判断出网络是否存在异常现象。若判断有异常现象,则由异常警示通报来通知所在网络正遭受入侵。
依照本发明的较佳实施例所述的网络入侵检测系统,上述的封包解析程序包括下列程序:首先,呼叫网络过滤器(Netfilter)来抓取流经网络卡的封包;接着,解析这些封包的来源地址(Source Address)、目的地址(Destination Address)及网络通讯协议种类(Protocol Type);然后,再将这些封包的解析结果记录于封包流信息表(Network-Flow Inform table)。其中,封包解析程序可由多条执行绪来个别处理不同的网络通讯协议的解析。
依照本发明的较佳实施例所述的网络入侵检测系统,上述的封包预处理程序包括下列步骤:首先,加载多个预处理器(pre-Processor);接着再读取封包流信息表,并依据入侵判断规则表及封包流信息表,产生入侵检测格式封包。其中,通过一个使用者接口可新增或删除前述的入侵判断规则于入侵判断规则表;另外,亦可通过此使用者接口加载新增的预处理器,或移除已载入的预处理器。
依照本发明的较佳实施例所述的网络入侵检测系统,当产生异常警示通报时,可由入侵检测记录文件、入侵检测语音提示、或入侵检测文字提示来进行通报。
由上所述,本发明由附加一个有处理封包解析及封包预处理程序能力的微处理器,分担系统核心处理器的工作量。由网络卡的微处理器进行网络封包的前处理,而系统核心处理器仅需处理判断是否为异常封包的工作。由于解析封包与判断封包是否异常的工作可同时进行,因此可让网络入侵检测系统处理速度更佳快速,以切合高速网络环境下,繁重封包流量的处理需求,并免因遗漏封包而使侦测网络入侵的精确度打折扣。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为本发明较佳实施例的网络入侵检测系统于网络拓墣的示意图;
图2为本发明较佳实施例的网络入侵检测系统的系统架构示意图;
图3为本实施例的利用使用者接口新增删除预处理器的示意图;
图4为本实施例的利用使用者接口新增删除入侵判断规则的示意图。
其中,附图标记
110 因特网
120 入侵检测系统
130、132 服务器
140、142、144、146、148 计算机主机
210 网络卡
212 微处理器
214 内存
216 连接端口
220 系统核心处理器
230 内存
240 硬盘
310 显示窗口
320 浏览键
330 新增键
410 显示窗口
420 输入窗口
430 新增键
440 取消键
具体实施方式
本发明的目的及提出的在下列较佳实施例中详细说明的。然而本发明的概念亦可用于其它范围。以下列举的实施例仅用于说明本发明的目的与执行方法,并非用以限制其范围。
图1为本发明较佳实施例的网络入侵检测系统于网络拓墣的示意图。请参照图1,网络入侵检测系统120常架设于内部网络(intra-net)重要网络节点处,以进行网络封包的侦测与监控,进而发现异常网络活动而加以滤除,以保护内部网络每壹台主机的数据免于被窃取或恶意破坏主机系统。在本较佳实施例中,网络入侵检测系统120是架设于内部网络的边界服务器(not shown)后端,而连接至因特网110,用以保护内部网络的服务器(130、132),或计算机主机(140、142、144、146、148)。在一些实施例中,网络入侵检测系统120亦可以架设于内部网络的任意重要节点,例如架设于服务器130前端,用以保护服务器130及服务器130后端的计算机主机(146、148),并于侦测到恶意使用的网络入侵动作时,实时发出警示信号通知网管人员排除此恶意网络入侵动作(例如阻绝恶意入侵者的封包)。
接着说明本发明的网络入侵检测系统的架构。图2为本发明较佳实施例的网络入侵检测系统的系统架构示意图,请参照图2,网络入侵检测系统120通过网络卡210上的连接端口216与因特网110连接。网络入侵检测系统120包括两部份,第一部份为接收网络封包用的网络卡210,而第二部份则是系统主机的系统核心处理器220。两者分别用以处理网络入侵检测的封包前处理动作以及判断是否为异常封包的处理动作。网络卡210包括一个内存214,其储存有一个网络封包解析程序(Decode)、一个封包预处理程序(pre-Process),而其余内存空间则用以暂存接收的网络封包;网络卡210上更包括一个微处理器212,其执行封包解析程序(Decode Processing)解析暂存于内存214的网络封包,以及执行封包预处理程序(pre-Processing),以分析经封包解析程序解析后的结果,并进一步将这些被解析的封包转为入侵检测格式封包(IDS format packet),所谓的入侵检测格式封包即是包含封包的来源地址、目的地址、连接端口、使用的网络通讯协议、封包数据内容夹带的特殊符元等字段的封包,其用以供网络入侵检测系统进行判断。网络入侵检测系统并不需再花费额外运算资源来解析封包的标头档(header),仅需由封包内的上述字段即可读取判断是否为异常封包的信息。系统核心处理器220则是用以判断上述入侵检测格式封包是否为异常封包,系统核心处理器220先接收/读取网络卡所处理好的入侵检测格式封包,并读取系统内存230或硬盘240的入侵判断规则表(IDS rules table),根据此入侵判断规则表判断入侵检测格式封包是否为异常封包,若为异常封包则将此异常封包的来源地址所建议的联机视为异常联机,并发出一异常警示通报,告知网络管理者目前所在网络的异常现象/网络正(已)遭受入侵。
前述的封包解析程序包括的处理步骤如下:首先,呼叫网络过滤器(Netfilter)抓取流经网络卡210的封包;之后,解析这些封包的来源地址(SourceAddress)、目的地址(Destination Address)及网络通讯协议种类(Protocol Type)等标头信息,并检查封包内容是否夹带特殊符元或被视为是病毒/木马程序等恶意数据;当这些网络封包解析完成后,进而将解析结果记录于一张封包流信息表(Network-Flow Inform table),并将此封包流信息表暂存于网络卡210的内存214。另外,当网络卡210的微处理器212执行封包解析程序时,更通过产生多条执行绪来个别处理不同种类通讯协议的数据,以加快封包解析的速度。封包预处理程序则是用以进行网络入侵检测系统的设定动作,其包括预先加载多个预处理器(pre-Processor),以及读取存放于网络卡210上的内存214的封包流信息表,并依据此入侵判断规则表及封包流信息表,产生对应的入侵检测格式封包。
每一种入侵行为都有其特殊的模式,例如阻断式服务攻击(Denial ofService,DOS)即是当攻击者入侵服务器后控制被入侵的服务器于一时间内传输大量的封包,以企图让该服务器无法正常提供联机服务,由将这些入侵行为模式定义为入侵规则,并汇整为一张入侵判断规则表。当接收的封包所代信息符合入侵判断规则表所列的条件时,则认定入侵行为成立。同时判断由该些封包的来源地址所建立的联机或预存取的服务或连接端口出现异常现象,加以送出警示通报通知网管人员对此入侵行为做出适当响应。
图3为本实施例的利用使用者接口新增删除预处理器的示意图。请参照33」,使用者通过此使用界面新增预处理器功能,此时系统核心处理器至网络卡的内存抓取目前已加载的预处理器种类,进而将所加载的预处理器种类(例如PreprocDefrag预处理器、BoProcess预处理器等)显示于如图3的显示窗口310。使用者可点选浏览键320抓取储存于IDS系统的预处理器,并于选取所欲新增的预处理器后点选新增330的功能键,以加载网络卡。另外,使用者欲新增网络封包的解析规则亦可由此使用者接口新增。图4为本实施例的利用使用者接口新增删除入侵判断规则的示意图。使用者选取新增入侵判断规则选项后,可通过输入窗口420条列示的新增判断规则。所新增的判断规则会调适式的显示于显示窗口410。当欲新增判断规则时则按下新增键430;反之,欲放弃建立判断规则时,按下取消键440。当按下新增键430时,系统核心处理器立即将新增的入侵判断规则数据写至入侵判断规则表,并以新的入侵判断规则表判断网络封包是否为正常/异常封包。在一些实施例中,此使用者接口更可用来新增/移除封包解析规则,在本实施例中封包解析规则例如记录于入侵判断规则表,或一张封包解析规则表,在此不限定其范围。
为清楚说明本发明的入侵检测系统,将以一种名为NT IIS Showcode ASP的由结构化网址获取非法访问权限的攻击方式进行说明。此类攻击是向网络服务器传送URL联机请求,以非法(未经许可)阅读服务器上的文件的网络入侵,例如传送“http://attack.host/msadc/Samples/SELECTOR/showcode.asp?source=/msadc/Samples/../../../../../boot.ini”。当接收这类攻击类型的网络封包时,首先网络卡上的微处理器会先解析出此类封包的来源地址以及存取的连接端口,并且可解析出封包的数据段内容包含“/selector/showcode.asp”的句柄。当解析封包后,产生入侵检测格式封包,此入侵检测格式封包内则包含封包的来源地址、目的地址、连接端口、以及所代的特殊数据段内容(在特殊数据段内容字段记录封包夹带的特定句柄)。系统核心处理器在读取到封包类型为TCP且包含特定的句柄类型时,会再进一步判断句柄是否为showcode.asp,若为showcode.asp则进一步判断此联机是否为由信任区段(即预设的网络地址区段)发出的联机,若为非信任区段的联机,则判断为一条异常联机,并发出异常警示通报通知网管人员进一步确认,并将此异常联机的相关信息记录于警报日志档案(syslog.txt)。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (7)
1、一种网络入侵检测系统,该网络入侵检测系统架设于重要网络节点处,用以进行网络封包的侦测与监控,其特征在于,该网络入侵检测系统包括:
一网络卡,接收数个网络封包,该网络卡包括:
一内存,储存有一封包解析程序、一封包预处理程序、及暂存该些网络封包;以及
一微处理器,该微处理器执行该封包解析程序解析该些网络封包,并执行该封包预处理程序分析该些网络封包的解析结果,而产生数个入侵检测格式封包;以及
一系统核心处理器,读取该些入侵检测格式封包,并依据一入侵判断规则表判断是否有异常现象,若存在异常现象,则由一异常警示通报通知所在网络遭受入侵。
2、根据权利要求1所述的网络入侵检测系统,其特征在于,该封包解析程序包括:
呼叫一网络过滤器抓取流经该网络卡的封包;
解析该些封包的来源地址、目的地址及网络通讯协议种类;以及
将该些封包的解析结果记录于一封包流信息表。
3、根据权利要求2所述的网络入侵检测系统,其特征在于,该封包预处理程序包括:
加载数个预处理器;以及
读取该封包流信息表,并依据该入侵判断规则表及该封包流信息表,产生该些入侵检测格式封包。
4、根据权利要求1所述的网络入侵检测系统,其特征在于,包括通过一使用者接口新增或删除入侵判断规则于该入侵判断规则表。
5、根据权利要求4所述的网络入侵检测系统,其特征在于,更包括通过该使用者接口加载新增的预处理器,或移除载入的该些预处理器之一。
6、根据权利要求1所述的网络入侵检测系统,其特征在于,该异常警示通报是选自于由入侵检测记录文件、入侵检测语音提示、或入侵检测文字提示组成集合的任一。
7、根据权利要求1所述的网络入侵检测系统,其特征在于,该封包解析程序更包括通过数条多执行绪分别处理多种不同的网络通讯协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101871936A CN101453363A (zh) | 2007-11-28 | 2007-11-28 | 网络入侵检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101871936A CN101453363A (zh) | 2007-11-28 | 2007-11-28 | 网络入侵检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101453363A true CN101453363A (zh) | 2009-06-10 |
Family
ID=40735398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101871936A Pending CN101453363A (zh) | 2007-11-28 | 2007-11-28 | 网络入侵检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101453363A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN102711107A (zh) * | 2012-05-17 | 2012-10-03 | 北京工业大学 | 基于关键节点的无线传感器网络入侵检测方法 |
| CN106713006A (zh) * | 2015-11-13 | 2017-05-24 | 克利万工业-电子有限公司 | 信息物理系统 |
| CN109525562A (zh) * | 2018-10-30 | 2019-03-26 | 孙湘 | 一种计算机网络安全中的信息防盗管理系统 |
| CN114070611A (zh) * | 2018-03-23 | 2022-02-18 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
| CN114205105A (zh) * | 2020-09-01 | 2022-03-18 | 威联通科技股份有限公司 | 网络恶意行为检测方法与利用其的交换系统 |
-
2007
- 2007-11-28 CN CNA2007101871936A patent/CN101453363A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN102438026B (zh) * | 2012-01-12 | 2014-05-07 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN102711107A (zh) * | 2012-05-17 | 2012-10-03 | 北京工业大学 | 基于关键节点的无线传感器网络入侵检测方法 |
| CN102711107B (zh) * | 2012-05-17 | 2015-09-02 | 北京工业大学 | 基于关键节点的无线传感器网络入侵检测方法 |
| CN106713006A (zh) * | 2015-11-13 | 2017-05-24 | 克利万工业-电子有限公司 | 信息物理系统 |
| CN114070611A (zh) * | 2018-03-23 | 2022-02-18 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
| US11979415B2 (en) | 2018-03-23 | 2024-05-07 | Juniper Networks, Inc. | Enforcing threat policy actions based on network addresses of host threats |
| CN109525562A (zh) * | 2018-10-30 | 2019-03-26 | 孙湘 | 一种计算机网络安全中的信息防盗管理系统 |
| CN114205105A (zh) * | 2020-09-01 | 2022-03-18 | 威联通科技股份有限公司 | 网络恶意行为检测方法与利用其的交换系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | Intrusion prevention system design | |
| Modi et al. | A survey of intrusion detection techniques in cloud | |
| KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| US20090178140A1 (en) | Network intrusion detection system | |
| KR20000072707A (ko) | 실시간 침입탐지 및 해킹 자동 차단 방법 | |
| Sequeira | Intrusion prevention systems: security's silver bullet? | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| Somwanshi et al. | Implementation of honeypots for server security | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| Abbas et al. | Subject review: Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) | |
| Efe et al. | Comparison of the host based intrusion detection systems and network based intrusion detection systems | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| JP2000354034A (ja) | 事業:ハッカー監視室 | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| Araújo et al. | EICIDS-elastic and internal cloud-based detection system | |
| Resmi et al. | Intrusion detection system techniques and tools: A survey | |
| Jayan et al. | Sys-log classifier for complex event processing system in network security | |
| KR100728446B1 (ko) | 하드웨어 기반의 침입방지장치, 시스템 및 방법 | |
| KR102671718B1 (ko) | 머신러닝을 통한 새로운 침입을 예측하는 웹로그 신규 위협 탐지 보안 시스템 | |
| Sharma et al. | Intrusion detection system using shadow honeypot | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090610 |