CN101471933A - 通过网络链路数据动态更新入侵检测规则的方法 - Google Patents
通过网络链路数据动态更新入侵检测规则的方法 Download PDFInfo
- Publication number
- CN101471933A CN101471933A CNA2007103061064A CN200710306106A CN101471933A CN 101471933 A CN101471933 A CN 101471933A CN A2007103061064 A CNA2007103061064 A CN A2007103061064A CN 200710306106 A CN200710306106 A CN 200710306106A CN 101471933 A CN101471933 A CN 101471933A
- Authority
- CN
- China
- Prior art keywords
- detection rule
- link data
- rule
- inbreak detection
- data package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及一种通过链路数据封包更新入侵检测规则的方法,用以动态更新局域网络的至少一Snort系统主机所采用的规则储存器,该方法包括:更新发起端传送包含至少一入侵检测规则的该链路数据封包至该Snort系统主机;该Snort系统主机取出链路数据封包中的入侵检测规则,并解析入侵检测规则所属操作类别;该Snort系统主机验证链路数据封包所载的入侵检测规则为合法的入侵检测规则;以及依据通过验证的入侵检测规则所属类别及一规则树更新规则储存器。本发明通过链路数据封包将欲新增的入侵检测规则夹带于封包中,以同步传递并更新欲更新的入侵检测规则给网络中所有Snort系统主机。
Description
技术领域
本发明为一种更新入侵检测规则的方法,特别是涉及一种通过网络链路数据动态更新入侵检测规则的方法。
背景技术
入侵检测系统(Intrusion Detection System,IDS)为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术,通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。Snort为IDS技术领域中相当著名的开放原始码(Open Source)软件,其是以检测签章(SignatureBased)及检测通讯协议(Protocol)为基础,利用内建的入侵检测规则(Intrusion Detection Rules)过滤网络的入侵行为。随着入侵行为的不断变换,此入侵检测规则也可变化与更新,或针对局域网络中的计算机主机需求取向设计合适的入侵检测规则。Snort系统的入侵检测规则采用一种轻量级的规则描述语言(Script Language),多数的入侵检测规则以单行表示,或以“/”分隔多行间的规则描述。每一则入侵检测规则分为标头(Header)、通讯协议、网络地址(IP)、连接端口号(Prot Number)、以及进阶规则文件(Rules File)。举例来说,规则:alert TCP any any→192.168.1.0/24111,表示当任何主机企图以TCP通讯协议存取与网址192.168.1.0相同的网络区段,即192.168.1.0的Class C网络区段,且连接端口号为111的联机。则Snort系统主机接收此网络封包时,随即产生警示信号。Snort管理者除了可通过输入指令新增/移除入侵检测规则外,也可通过直接下载规则文件并拷贝至指定目录后,重新启动Snort系统,以加载使用新的入侵检测规则。
然而,不管是逐步键入规则指令,或加载规则文件的更新入侵检测规则的方法,两者都面临无法动态更新的问题,都需要先卸载/中断原Snort系统的防御工作,再载用新的入侵检测规则。对于随时随地皆有可能遭受网络入侵的区段来说,中断卸载Snort系统时间越长,表示其内部计算机主机遭受恶意入侵的机率越大,越可能产生网络安全的防护漏洞。另外,对于网管人员来说,若网络内部具有多台安装Snort系统主机(或对于多台装设入侵检测规则数据库/储存器的网络卡),则必须逐一对这些系统主机(或网络卡)进行更新入侵检测规则的操作,因而拉长更新的作业时间。甚至,若Snort系统刻录于网络卡内嵌芯片,则必须拆卸芯片进行刻录操作程序,才得以将更新的入侵检测规则写入芯片。此等更新入侵规则的方式,更显其费时费力程度。
发明内容
鉴于上述对多个Snort系统主机(或网络卡)进行更新入侵检测规则时,相当费时费力等问题。本发明所要解决的技术问题在于提供一种通过链路数据封包(Raw-data Packet)更新入侵检测规则的方法,通过网络封包传递的特性,通过链路数据封包将欲新增的入侵检测规则夹带于封包之中,借以同步传递并更新所欲更新的入侵检测规则给网络中所有Snort系统主机。
为了实现上述目的,本发明提供了一种通过链路数据封包更新入侵检测规则的方法,用以动态更新局域网络的至少一Snort系统主机所采用的一规则储存器,其特点在于,该方法包括:一更新发起端传送包含至少一入侵检测规则的该链路数据封包至该Snort系统主机;该Snort系统主机取出该链路数据封包中的该入侵检测规则,并解析该入侵检测规则所属操作类别;该Snort系统主机验证该链路数据封包所载的该入侵检测规则为合法的入侵检测规则;以及依据通过验证的该入侵检测规则所属类别及一规则树更新该规则储存器。
上述通过链路数据封包更新入侵检测规则的方法,其特点在于,该链路数据封包所包含的入侵检测规则项目数量是依据该局域网络中的网络规模、网络流量以及预设更新所需时间来设定。
上述通过链路数据封包更新入侵检测规则的方法,其特点在于,该链路数据封包包括一标头文件、一规则版本、一验证码、一许可码以及该入侵检测规则。
上述通过链路数据封包更新入侵检测规则的方法,其特点在于,该标头文件包括一更新旗标用以标示该链路数据封包为用以更新该入侵检测规则的封包。
上述通过链路数据封包更新入侵检测规则的方法,其特点在于,该更新发起端更通过一广播地址,使该Snort系统主机同步接收该链路数据封包。
上述通过链路数据封包更新入侵检测规则的方法,其特点在于,该Snort系统主机验证该入侵检测规则为合法的步骤,包括:判断该链路数据封包的该验证码及该许可码为真;以及判断该链路数据封包的该规则版本较该规则储存器的规则版本新。
上述通过链路数据封包更新入侵检测规则的方法,其特点在于,该些Snort系统主机还包括于系统重置或断电前传送一储存规则请求,以触发该规则储存器储存规则版本较新的该入侵检测规则。
上述通过链路数据封包更新入侵检测规则的方法,其特点在于,该规则储存器是选自于由一远程服务器或内建于该Snort系统主机的储存装置所形成的集合之一。
由上所述,本发明通过链路数据封包夹带欲增加的入侵检测规则来进行规则更新的动作。通过链路数据封包,更新的规则可同步广播给网络上所有Snort系统主机,因此可有效简化更新入侵检测规则的程序及缩短更新Snort系统主机时所需中断执行网络入侵检测的时间,减少局域网络的系统主机遭受入侵的机率。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为本发明的通过链路数据封包更新入侵检测规则的方法流程图;
图2为本发明较佳实施例的实现通过链路数据封包更新入侵检测规则的方法的系统架构示意图;
图3为本发明较佳实施例的链路数据封包的封包格式示意图;
图4A为本发明较佳实施例的规则树示意图;
图4B为图4A的规则树分支的示意图;
图4C为图4A的规则树分支的示意图。
其中,附图标记:
210 更新发起端
212 链路数据封包
220、230 Snort系统主机
222、232 规则储存器
300 链路数据封包
310 标头文件
320 规则版本
330 许可码
340、342、344 入侵检测规则
410、420 规则分支
411、421 原有的入侵检测规则
412、422 新增的入侵检测规则
具体实施方式
本发明的目的以及提出的通过链路数据封包更新入侵检测规则的方法,在下列较佳实施例中详细说明。然而本发明的概念也可用于其它范围。以下列举的实施例仅用于说明本发明的目的与执行方法,并非用以限制其范围。
图1为本发明的通过链路数据封包更新入侵检测规则的方法流程图。请参照图1,提出的更新入侵检测规则的方法,是用以动态的更新局域网络中的至少一个Snort系统主机的规则储存器。借以将欲更新的入侵检测规则快速的写入每一个Snort系统主机所对应的规则储存器。所谓的链路数据封包即为原始网络封包的链路数据,也即在网络链路层对一个原始网络封包所需处理的数据。本发明所述的通过链路数据封包更新入侵检测规则的方法,包括以下步骤:首先,步骤S110,局域网络上的更新发起端传送包含至少一则入侵检测规则的链路数据封包至Snort系统主机。接着,步骤S120,Snort系统主机于接收链路数据封包后,取出链路数据封包中包含的入侵检测规则,并解析入侵检测规则所属操作类别,例如判断接收到的链路数据封包所载的更新指令,是用以新增一则入侵检测规则,或是用以删除一则入侵检测规则。之后,步骤S130,Snort系统主机验证链路数据封包所载的入侵检测规则是否为合法。然后,步骤S140,再依据通过验证的入侵检测规则所属的类别,以及通过一规则树来更新规则储存器。以下,将以一较佳实施例来说明本发明的通过链路数据封包更新入侵检测规则的方法。
图2为本发明较佳实施例的实现通过链路数据封包更新入侵检测规则的方法的系统架构示意图。请参照图2,本较佳实施例所述的局域网络,例如包括两个Snort系统主机220、230,其分别读取对应的规则储存器222、232中存放的入侵检测规则数据,作为分析流经Snort系统主机封包的依据。所述规则储存器可以是独立于Snort系统主机的一台远程服务器(或一般计算机主机),例如规则储存器222;或是内建于Snort系统主机的储存装置,例如规则储存器232。网络管理人员于更新发起端210指定对局域网络的某一台Snort系统主机送出用以更新入侵检测规则的链路数据封包212。
在本实施例中,例如是通过更新发起端210将所欲更新的一则(或多则)入侵检测规则包覆(Piggyback)于一个链路数据封包212并通过指定的网络地址传送到Snort系统主机220。另外,计算机主机在接收到网络封包后,定会解析网络封包中的链路数据封包。之后,再依据链路数据封包里的以太网络文件头(Ethernet Header)及地址文件头(IP Header)判断是否继续解析封包内容。基于此网络特性,更新发起端210通过广播地址传送附带有欲更新的入侵检测规则的链路数据封包212,让局域网络内的每一台Snort系统主机都可接收链路数据封包212,进而同步更新这些Snort系统主机对应的规则储存器所存放的入侵检测规则。
承上,Snort系统主机每次处理更新入侵检测规则的程序时,需暂时停止入侵检测/防护。当暂停检测/防护时,网络内部的计算机主机即可能遭受攻击。事实上,网络入侵/攻击行为是有一定的间隔历程,因此控制每次暂停检测/防护的时间便可降低遭受入侵攻击的机率。在本实施例中,更新发起端210将新的入侵检测规则以一定粒度拆分为不同的项目,再按照新增/删除进行分组。并根据局域网络的网络规模(包含的计算机主机个数)、网络流量(每分钟所接收的网络封包数量)、以及预设执行一次更新所需要的时间长度等因素,设定每一个链路数据封包可以承载的入侵检测规则项目数量。如此,便可以控制让Snort系统主机每次处理/更新入侵检测规则所需时间不致超过一默认值(Threshold),借以降低更新入侵规则期间遭受入侵攻击的风险。
图3为本发明较佳实施例的链路数据封包的封包格式示意图。请参照图3,在本实施例中链路数据封包300包含例如标头文件310、规则版本320、许可码330以及入侵检测规则340、342、344。其中的标头档310还包括一个更新旗标(未显示)。利用此更新旗标(未显示)来标示链路数据封包300,借以让Snort系统主机方便于接收链路数据封包300时,判断是否为用来更新入侵检测规则的网络封包。传送链路数据封包300的目的地则记录于标头文件310。验证链路数据封包300所载的入侵检测规则的项目新旧、入侵规则是否为合法,则分别通过规则版本320、许可码330参数达成。当前述的更新发起端210传送链路数据封包300前,会将与局域网络中的Snort系统主机协议采用的许可码。本实施例中,是记录时间戳记作为规则版本320,在此不限制其范围。
前述Snort系统主机220、230接收来自更新发起端210的链路数据封包212后,先取出封包内包含的入侵检测规则,而加以解析其所属的操作类别。举例而言,入侵检测规则分为规则文件头、通讯协议、网络地址、连接端口号以及运算子(Operator)等部份,而规则文件头又包含警报(Alert)、记录(Log)及不予动作(Pass)等三类。当Snort系统主机接收链路数据封包后,即先判断是新增规则或删除规则。之后,再依规则文件头将入侵检测规则分为警报(Alert)、记录(Log)及不予动作(Pass)三类。前述针对入侵规则进行分类的动作,乃是为保证执行措施种类的可扩展性,并帮助Snort系统主机执行时,迅速找到相应的规则分类。举例来说,如果判断为Log分类的规则,则仅需比较Log分类内的入侵规则以找出匹配、相应的规则;系统只对该数据封包进行日志记录,而无须予以警报。
接着,Snort系统主机依据规则版本320及许可码330来验证链路数据封包的入侵检测规则版本是否比目前使用的版本新,以及验证“更新入侵检测规则”的动作是由合法许可的管理者所发起。当通过验证后,Snort系统主机则依据入侵检测规则所属的类别,通过规则树来更新规则储存器。在本实施例中,例如由Snort系统主机联机至对应的规则储存器读取所有的入侵检测规则。再依据规则文件头、通讯协议、网络地址、连接端口号以及运算子(Operator)等参数,产生如图4A所示的规则树。此规则树是用以加速寻找对应于新加入的入侵检测规则的用途。之后,再将需更新(新增或删除)的入侵检测规则回存到对应的规则储存器中。
另外,为加速Snort系统主机检测网络封包的速度,本实施例更限制每一个规则储存器储存的入侵检测规则项目数量。当所储存的入侵检测规则项目数量超出默认值时,规则储存器即自动删减最不常用的入侵检测规则(或规则版本最旧的入侵检测规则)。举例来说,图4B为图4A的规则树分支示意图,请交互参照图4A及图4B,Snort系统主机先解析出“针对地址三的SMTP通讯协议新增滤除超出10M储存空间的信件”的入侵检测规则。接着,Snort系统主机取出规则储存器的入侵检测规则,并发现入侵检测规则项目数量已满。之后,Snort系统主机产生如图4A所述规则树,并依据此规则树寻访到规则分支410,并找到关于SMTP通讯协议的旧有规则。然后,Snort系统主机进一步比较新增的入侵检测规则412与原有的入侵检测规则411的规则版本后,发现新增的入侵检测规则412的规则版本较新,故取代原有的入侵检测规则411。同样地,图4C为图4A的规则树分支示意图,请交互参照图4A及图4C,入侵检测规则项目数量已满,然Snort系统主机接获针对地址三的SIP通讯协议开放允许连接端口号:25的入侵检测规则。Snort系统主机寻访规则树,当寻访到规则分支420时,Snort系统主机将储存的最少使用的规则删去。本实施例例如为删去“允许连接端口:23”的入侵检测规则421,并以“允许连接端口:25”的入侵检测规则422取代入侵检测规则421。
值得一提的是,当Snort系统主机关机前或重置系统前,Snort系统主机会传送储存规则请求,触发规则储存器储存规则版本较新的入侵检测规则。规则版本的新旧判断可通过Snort系统主机执行,或交付由规则储存器判断更新部分的入侵检测规则与原来的入侵检测规则的规则版本新旧,在此也不限制其范围。
综上所述,通过传送链路数据封包,网络的更新发起端可针对指定的Snort系统主机进行入侵检测规则的更新,网络管理人员可远程控制入侵检测规则的更新。另外,通过本发明揭露的技术,可将新增的入侵检测规则等信息广播到局域网络的每一个节点位置,从而同步更新局域网络内所有Snort系统主机采用的入侵检测规则,大幅简化进行更新入侵检测规则所需的时间。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明权利要求的保护范围。
Claims (8)
1、一种通过链路数据封包更新入侵检测规则的方法,用以动态更新局域网络的至少一Snort系统主机所采用的一规则储存器,其特征在于,该方法包括:
一更新发起端传送包含至少一入侵检测规则的该链路数据封包至该Snort系统主机;
该Snort系统主机取出该链路数据封包中的该入侵检测规则,并解析该入侵检测规则所属操作类别;
该Snort系统主机验证该链路数据封包所载的该入侵检测规则为合法的入侵检测规则;以及
依据通过验证的该入侵检测规则所属类别及一规则树更新该规则储存器。
2、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法,其特征在于,该链路数据封包所包含的入侵检测规则项目数量是依据该局域网络中的网络规模、网络流量以及预设更新所需时间来设定。
3、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法,其特征在于,该链路数据封包包括一标头文件、一规则版本、一验证码、一许可码以及该入侵检测规则。
4、根据权利要求3所述的通过链路数据封包更新入侵检测规则的方法,其特征在于,该标头文件包括一更新旗标用以标示该链路数据封包为用以更新该入侵检测规则的封包。
5、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法,其特征在于,该更新发起端更通过一广播地址,使该Snort系统主机同步接收该链路数据封包。
6、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法,其特征在于,该Snort系统主机验证该入侵检测规则为合法的步骤,包括:
判断该链路数据封包的该验证码及该许可码为真;以及
判断该链路数据封包的该规则版本较该规则储存器的规则版本新。
7、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法,其特征在于,该些Snort系统主机还包括于系统重置或断电前传送一储存规则请求,以触发该规则储存器储存规则版本较新的该入侵检测规则。
8、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法,其特征在于,该规则储存器是选自于由一远程服务器或内建于该Snort系统主机的储存装置所形成的集合之一。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007103061064A CN101471933A (zh) | 2007-12-28 | 2007-12-28 | 通过网络链路数据动态更新入侵检测规则的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007103061064A CN101471933A (zh) | 2007-12-28 | 2007-12-28 | 通过网络链路数据动态更新入侵检测规则的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101471933A true CN101471933A (zh) | 2009-07-01 |
Family
ID=40829058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007103061064A Pending CN101471933A (zh) | 2007-12-28 | 2007-12-28 | 通过网络链路数据动态更新入侵检测规则的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101471933A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102427415A (zh) * | 2011-12-07 | 2012-04-25 | 广东石油化工学院 | 基于自体集规模约束的网络入侵免疫检测方法 |
CN103338183A (zh) * | 2013-05-22 | 2013-10-02 | 蓝盾信息安全技术股份有限公司 | 一种入侵检测系统与防火墙联动的方法 |
CN103905418A (zh) * | 2013-11-12 | 2014-07-02 | 北京安天电子设备有限公司 | 一种多维度检测防御apt的系统及方法 |
CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
-
2007
- 2007-12-28 CN CNA2007103061064A patent/CN101471933A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102427415A (zh) * | 2011-12-07 | 2012-04-25 | 广东石油化工学院 | 基于自体集规模约束的网络入侵免疫检测方法 |
CN102427415B (zh) * | 2011-12-07 | 2014-01-15 | 广东石油化工学院 | 基于自体集规模约束的网络入侵免疫检测方法 |
CN103338183A (zh) * | 2013-05-22 | 2013-10-02 | 蓝盾信息安全技术股份有限公司 | 一种入侵检测系统与防火墙联动的方法 |
CN103905418A (zh) * | 2013-11-12 | 2014-07-02 | 北京安天电子设备有限公司 | 一种多维度检测防御apt的系统及方法 |
CN103905418B (zh) * | 2013-11-12 | 2017-02-15 | 北京安天电子设备有限公司 | 一种多维度检测防御apt的系统及方法 |
CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7904942B2 (en) | Method of updating intrusion detection rules through link data packet | |
CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
US7640589B1 (en) | Detection and minimization of false positives in anti-malware processing | |
EP3404948B1 (en) | Centralized selective application approval for mobile devices | |
US9613213B2 (en) | Using telemetry to reduce malware definition package size | |
CN101558384B (zh) | 软件漏洞利用防护 | |
US7856661B1 (en) | Classification of software on networked systems | |
CN117171743A (zh) | 在内核模式下对隐写术的实时检测和防护 | |
US20150256554A1 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
US7533413B2 (en) | Method and system for processing events | |
US20100306847A1 (en) | Identifying security properties of systems from application crash traffic | |
KR100690187B1 (ko) | 악성 코드 차단 방법 및 장치 및 그 시스템 | |
US7845010B2 (en) | Terminal control apparatus and terminal control method | |
WO2018146757A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CA2674327A1 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
CN101471933A (zh) | 通过网络链路数据动态更新入侵检测规则的方法 | |
CN114417326A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
CN101587521A (zh) | 获取远程计算机信息的方法及装置 | |
CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及系统 | |
CN103430153A (zh) | 用于计算机安全的接种器和抗体 | |
CN102480521A (zh) | web应用安全综合防御保障系统 | |
CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
CN112597492B (zh) | 一种基于Windows内核的二进制可执行文件更改监测方法 | |
CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
US11763004B1 (en) | System and method for bootkit detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090701 |