CN101572691B - 一种入侵检测方法、系统和装置 - Google Patents
一种入侵检测方法、系统和装置 Download PDFInfo
- Publication number
- CN101572691B CN101572691B CN 200810093831 CN200810093831A CN101572691B CN 101572691 B CN101572691 B CN 101572691B CN 200810093831 CN200810093831 CN 200810093831 CN 200810093831 A CN200810093831 A CN 200810093831A CN 101572691 B CN101572691 B CN 101572691B
- Authority
- CN
- China
- Prior art keywords
- rule
- intrusion
- intrusion rule
- message
- preliminary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种入侵检测方法、系统和装置。该方法包括:获取(201)报文的异常行为特征;根据所述异常行为特征提取(202)初步异常入侵规则;根据所述初步异常入侵规则对后续接收的报文进行匹配查找(203),如果匹配,则视为(205)存在入侵行为。通过本发明实施例缩短了对异常入侵的检测响应时间,提高了入侵发现率,增强了对变异入侵行为的适应能力。
Description
技术领域
本发明涉及计算机网络技术领域,特别涉及一种入侵检测方法、系统和装置。
背景技术
随着计算机及网络系统中存储的重要信息越来越多,系统的安全问题日益突出,需要找到更好的措施来保护系统免受入侵者的攻击。IDS(Intmsion Detection System,入侵检测系统)是继“防火墙”和“数据加密”等传统安全保护措施之后又一项非常重要的安全保障技术。
IDS可分为误用检测系统和异常检测系统。误用检测系统预先为已知系统和应用软件的漏洞建立入侵特征模式库,检测时将接收到的信息与入侵特征进行模式匹配来判断是否发生了入侵。异常检测系统预先为系统建立一个正常活动的特征文件,通过统计那些不同于特征文件的所有系统状态的数量来识别入侵企图。
在实现本发明的过程中,发明人发现现有技术中存在以下缺点:
现有技术中,入侵行为表现出不确定性、复杂性及多样性等特点,而入侵检测系统只有获取到系统发送对应的新入侵规则后才能检测出新出现的入侵行为。因此,在没有获取到对应的新入侵规则的情况下,新的入侵行为无法被发现,进而导致客户端对异常入侵的检测响应时间长,入侵发现率低,对变异入侵行为的适应能力差。
发明内容
本发明实施例提供一种入侵检测方法、系统和装置,以缩短对异常入侵的检测响应时间,提高入侵发现率,增强应对变异入侵行为的适应能力。
为达到上述目的,本发明实施例一方面提供一种入侵检测方法,包括:
获取(201)报文的异常行为特征;所述获取报文的异常行为特征,包括:
根据入侵规则对所述报文进行匹配查找,当不匹配时,对所述报文进行协议分析,获取所述报文对应的网络事件;
根据行为规则库对所述网络事件进行匹配查找,当不匹配时,将所述网络事件转化为对应的异常行为特征;
根据所述异常行为特征提取(202)初步异常入侵规则,用所述初步异常入侵规则更新入侵规则数据库,向入侵分析服务器发送所述初步异常入侵规则和异常行为特征;
接收所述入侵分析服务器发送的根据所述初步异常入侵规则和异常行为特征提炼的本质入侵规则,并用所述本质入侵规则替换所述入侵规则数据库的初步异常入侵规则;
所述提炼的本质入侵规则具体为:在所述入侵分析服务器通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的情况下,所述入侵分析服务器继续计算所述两个入侵的内容的相似性,并提炼出所述两个入侵的内容的共有部分,生成本质入侵规则;
根据所述本质入侵规则对后续接收的报文进行匹配查找(203),如果匹配,则视为(205)存在入侵行为。
另一方面,本发明实施例还提供一种入侵检测系统,包括:至少一个入侵检测子系统(1)及入侵分析服务器(2);
所述入侵检测子系统,用于获取异常行为特征,提取初步异常入侵规则,并根据所述初步异常入侵规则对后续接收的报文进行匹配查找,如果匹配,则视为存在入侵行为;所述获取报文的异常行为特征,包括:
根据入侵规则对所述报文进行匹配查找,当不匹配时,对所述报文进行协议分析,获取所述报文对应的网络事件;
根据行为规则库对所述网络事件进行匹配查找,当不匹配时,将所述网络事件转化为对应的异常行为特征;
所述入侵分析服务器,用于根据所述入侵检测子系统发送的初步异常入侵规则和异常行为特征提炼本质入侵规则,并向所述入侵检测子系统发送所述本质入侵规则,由所述入侵检测子系统用所述本质入侵规则替换所述初步异常入侵规则;
所述提炼本质入侵规则具体为:在所述入侵分析服务器通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的情况下,所述入侵分析服务器继续计算所述两个入侵的内容的相似性,并提炼出所述两个入侵的内容的共有部分,生成本质入侵规则。
再一方面,本发明实施例还提供一种入侵检测子系统,包括:行为分析模块、内容跟踪模块、规则提取模块和数据传输模块;
所述行为分析模块,用于将协议分析模块获取的网络事件与行为规则数据库中的正常行为规则进行匹配,当不匹配时,则将所述网络事件转化为对应的异常行为特征,触发所述内容跟踪模块;
所述协议分析模块获取网络事件具体为:根据入侵规则对所述获取的报文进行匹配查找,当不匹配时,对所述报文进行协议分析,获取所述报文对应的网络事件;
所述内容跟踪模块,用于对所述行为分析模块发现的异常行为特征进行内容跟踪,接收与所述异常行为特征相关的报文的网络流量;
规则提取模块,用于将所述内容跟踪模块收集的网络流量进行分析,提取与所述异常行为特征对应的初步异常入侵规则;
数据传输模块,用于将所述规则提取模块提取的初步异常入侵规则和所述行为分析模块获取的异常行为特征发送给入侵分析服务器,接收所述入侵分析服务器发送的本质入侵规则,并用所述本质入侵规则替换所述入侵规则数据库中的初步异常入侵规则;
所述本质入侵规则具体为:在所述入侵分析服务器通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的情况下,所述入侵分析服务器继续计算所述两个入侵的内容的相似性,并提炼出所述两个入侵的内容的共有部分,生成本质入侵规则。。
与现有技术相比,本发明实施例具有以下优点:
本发明实施例的入侵检测子系统自身能够提取初步异常入侵规则,在没有获得对应的本质入侵规则的情况下,入侵检测子系统可根据该初步异常入侵规则对后续的异常行为进行检测,从而缩短了对异常入侵的检测响应时间,提高了入侵发现率,增强了对变异入侵行为的适应能力。
附图说明
图1为本发明实施例一的入侵检测系统的结构示意图;
图2为本发明实施例二的入侵检测方法框图;
图3为本发明实施例三的入侵检测方法框图;
图4为本发明实施例四的入侵检测方法框图。
具体实施方式
下面结合附图对本发明实施例的实施方式进行详细描述:
如图1所示,为本发明实施例一的入侵检测系统的结构示意图,包括:至少一个入侵检测子系统1、入侵分析服务器2和初步入侵规则发送装置3,其中:
入侵检测子系统1,用于获取异常行为特征,提取初步异常入侵规则,并根据所述初步异常入侵规则对后续接收的报文进行匹配查找,如果匹配,则视为存在入侵行为。
入侵分析服务器2,用于根据入侵检测子系统1发送的初步异常入侵规则和异常行为特征提炼本质入侵规则,并向入侵检测子系统1发送所述本质入侵规则,由所述入侵检测子系统1用所述本质入侵规则替换所述初步异常入侵规则。
初步入侵规则发送装置3,用于在入侵检测子系统1提取初步异常入侵规则后,将所述初步异常入侵规则发送给其他入侵检测子系统,作为入侵匹配条件之一。
另外,上述入侵分析服务器2和初步入侵规则发送装置3的功能也可以由入侵检测子系统1来实现,入侵分析服务器2和初步入侵规则发送装置3并非是本发明实施例所必需的。
上述入侵检测子系统1,包括:行为分析模块101、内容跟踪模块102、规则提取模块103、数据传输模块104、入侵规则数据库105、行为规则数据库106、数据包收集模块107、模式匹配模块108、入侵提示模块109和协议分析模块110,其中:
行为分析模块101,用于将协议分析模块110获取的网络事件与行为规则数据库106中的正常行为规则进行匹配,如果不匹配,则将所述网络事件转化为对应的异常行为特征,触发内容跟踪模块102,否则,认定所述网络事件为正常网络事件。
内容跟踪模块102,用于对行为分析模块101发现的异常行为特征进行内容跟踪,接收与所述异常行为特征相关的报文的网络流量。
规则提取模块103,用于将内容跟踪模块102收集的网络流量进行分析,提取与所述异常行为特征对应的初步异常入侵规则,并将所述初步异常入侵规则保存到入侵规则数据库105。
数据传输模块104,用于将规则提取模块103提取的初步异常入侵规则和行为分析模块101获取的异常行为特征发送给入侵分析服务器2,接收入侵分析服务器2发送的本质入侵规则,并用所述本质入侵规则替换入侵规则数据库105中的初步异常入侵规则。上述初步入侵规则发送装置3的实现功能也可以由各个入侵检测子系统1的数据传输模块104来实现。
入侵规则数据库105,用于保存规则提取模块103发送的初步异常入侵规则和数据传输模块104发送的本质入侵规则。
行为规则数据库106,用于保存正常行为规则。
数据包收集模块107,用于接收流经网络的报文。
模式匹配模块108,用于根据入侵规则数据库105中的入侵规则对数据包收集模块107收集的报文进行匹配,如果匹配,则触发入侵提示模块109,否则,触发协议分析模块110。
入侵提示模块109,用于收集模式匹配模块108输出的与所述入侵规则匹配的报文,并提示所述报文存在入侵行为。
协议分析模块110,用于将模式匹配模块108输出的与所述入侵规则不匹配的报文进行协议分析,获取所述报文对应的网络事件。
上述入侵分析服务器2,包括:规则保存模块201、规则提炼模块202和规则发布模块203,其中:
规则保存模块201,用于保存入侵检测子系统1发送的初步异常入侵规则和异常行为特征。
规则提炼模块202,用于根据规则保存模块201保存的初步异常入侵规则和异常行为特征提炼本质入侵规则。
规则发布模块203,用于将规则提炼模块202提炼的本质入侵规则发送给入侵检测子系统1。
本发明实施例的入侵检测子系统1自身能够提取初步异常入侵规则,以用于在收到入侵分析服务器2发送的对应的本质入侵规则前对异常入侵进行检测,从而缩短了对异常入侵的检测响应时间,提高了入侵发现率,增强了对变异入侵行为的适应能力。
本领域技术人员可以理解,上述实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
如图2所示,为本发明实施例二的入侵检测方法框图,具体包括:
框图S201,获取报文的异常行为特征。对报文进行入侵检测,当发现被检测的报文不可识别时,对所述报文进行行为分析,获取所述报文的异常行为特征。
框图S202,根据所述异常行为特征建立初步异常入侵规则,并用所述初步异常入侵规则更新入侵规则数据库。
框图S203,根据所述更新后的入侵规则数据库对后续接收的报文进行匹配查找。
框图S204,判断是否匹配。如果匹配,则执行框图S205,否则,执行框图S201及其以后的步骤。
框图S205,当后续接收的报文与所述更新后的入侵规则数据库中的某个入侵规则匹配时,则视为存在入侵行为。
本发明实施例实现了在没有对应的本质入侵规则的情况下,可根据初步异常入侵规则对后续的异常行为进行检测,从而缩短了对异常入侵的检测响应时间,提高了入侵发现率,增强了对变异入侵行为的适应能力。
如图3所示,为本发明实施例三的入侵检测方法框图。本发明实施例基于实施例一,在实际应用中,由于需求不同,部分模块的内部实现会略有不同,例如检测DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、检测蠕虫传播以及各种欺骗攻击就具有不同的行为规则和判定条件。本发明实施例对行为规则和判定条件不作限定。下面以检测DDoS攻击为例来进行说明,具体包括:
框图S301,数据包收集模块107接收流经网络设备的所有报文。例如通过嗅探的方式接收流经网络设备的所有报文,并转交给模式匹配模块108进行处理。
框图S302,模式匹配模块108查询入侵规则数据库105将所述报文进行模式匹配。模式匹配模块108将所述报文携带的有效载荷同预先读入的入侵规则数据库105中的入侵规则进行比较,比较的过程可以通过Aho Corasick等算法实现。
框图S303,模式匹配模块108判断所述报文是否与某个入侵规则匹配。如果匹配则执行框图S304,否则,执行框图S305。
框图S304,入侵提示模块109报警。模式匹配模块108读取所述入侵规则对应的报警信息,并传递给入侵提示模块109。入侵提示模块109将所述报警信息写入日志文件中,并显示在用户界面内报警。
框图S305,协议分析模块110将没有产生报警的报文进行协议分析。协议分析模块110将没有产生报警的报文自底向上依次分析报文中包含的各种协议,如ARP(Address Resolution Protocol,地址解析协议)、IP(Internet Protocol,因特网协议)、TCP(TransferControl Protocol,传输控制协议)、HTTP(Hyper Text TransferProtocol,超文本传输协议)等,并根据各种协议的内容来生成具体的网络事件。例如对于TCP协议,需要分析SYN(同步)、ACK(确认)等标志位,并以此来生成TCP连接尝试、连接建立、连接断开的网络事件。
框图S306,行为分析模块101查询行为规则数据库106,对网络事件进行行为分析。行为分析模块101根据网络事件来分析网络行为,并与正常行为规则进行比较,从而判断网络行为是否存在异常。例如一定时间内针对某个主机的TCP连接尝试的次数可以看作是主机的扫描率,一定时间内对某个端口的TCP连接尝试的次数可以看作是端口的扫描率,如果它们超过行为规则数据库106中预先设定的正常值,则认为发生了异常,并汇总异常网络行为的异常行为特征。
框图S307,内容跟踪模块102对异常行为特征进行内容跟踪。内容跟踪模块102对发生异常的主机或者端口进行跟踪,收集该主机或者该端口上的所有报文。
框图S308,规则提取模块103提取初步异常入侵规则。规则提取模块103根据内容跟踪模块102的跟踪结果计算数据的出现频率和地址分布情况提取初步异常入侵规则。例如目前IPv4版本中IP地址为32比特,将网络报文中的IP地址映射到某个预先建立的32位的数组中,出现1的部分设置为1,如果有超过20个比特的位成为1,则认为存在地址发散,此时采用统计的方法来计算数据的出现频率。为了提高统计的效率,在计算每段数据时均生成对应的hash值。并按照本规则的唯一ID号从行为分析模块101获取对应的异常行为特征,将所述初步异常入侵规则及对应的异常行为特征一起传递到数据传输模块104。
框图S309,数据传输模块104将所述初步异常入侵规则及对应的异常行为特征传递给入侵分析服务器2,同时将所述初步异常入侵规则发送给入侵规则数据库105,更新所述入侵规则数据库105。
框图S310,在数据传输模块104收到规则发布模块102发送的本质入侵规则前,模式匹配模块108可以根据包含所述初步异常入侵规则的入侵规则数据库105对后续的异常行为进行检测。
框图S311,规则保存模块103保存初步异常入侵规则及对应的异常行为特征。规则保存模块103将数据传输模块104传递的初步异常入侵规则及对应的异常行为特征保存在本地数据库中,同时将其传递给规则提炼模块101。
框图S312,规则提炼模块101提炼本质入侵规则。将所述初步异常入侵规则对应的异常行为特征与本地保存的其他行为特征进行比较,通过计算该异常行为特征的相似程度来判定两种行为特征是否属于同类入侵。如果该异常行为特征的相似程度和对应初步异常入侵规则的相似程度超过预先设定的阈值,则提炼出多条入侵规则相同的部分作为该类入侵的简化规则,即提炼出本质入侵规则,然后,规则发布模块102将规则提炼模块101提炼的本质入侵规则下发到各个入侵检测子系统1,否则,入侵分析服务器2结束处理流程。
框图S313,数据传输模块104用入侵分析服务器2发送的本质入侵规则替换入侵规则数据库105中的初步异常入侵规则。数据传输模块104接收入侵分析服务器2发送的根据所述初步异常入侵规则和异常行为特征提炼的本质入侵规则,并用所述本质入侵规则替换入侵规则数据库105中的初步异常入侵规则。
本发明实施例的入侵检测子系统1可以部署在主机、交换机以及路由器等网络设备上用于入侵检测,并且分别与入侵分析服务器2连接。并且入侵分析服务器2除了与各个入侵检测子系统1相连之外,可以独立存在,也可以根据需要与其他的网络设备相连。假设部署在网络设备上的入侵检测子系统1通过行为分析模块101和规则提取模块103生成了表1中的ID号为1和2的两条初步异常入侵规则和异常行为特征。入侵分析服务器2通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近,在这种情况下,入侵分析服务器2继续计算内容的相似性,并提炼出它们的共有部分ZZZZ,从而生成了ID号为3的本质入侵规则。如表1所示:
表1
本发明实施例的入侵检测子系统1与入侵分析服务器2直接传输的是入侵规则和行为特征,从而大大减少了系统内部需要传输的数据量。在入侵分析服务器2没有下发提炼后的本质入侵规则之前,各个入侵检测子系统1可以根据初步异常入侵规则进行入侵检测,因此减少了入侵检测需要的响应时间。而经过规则提炼模块202生成的本质入侵规则同初步入侵规则相比只提取了入侵的固有特征,因此能够检测变异后的入侵行为,例如本实施例中的标识为3的本质入侵规则可以检测出报文内容为aaZZZZ的入侵。同时,由于提炼后的本质入侵规则更加简洁,这不仅可以提高模式匹配的效率,也可以减少系统运行时占用的内存。
如图4所示,为本发明实施例四的入侵检测方法框图,具体包括:
框图S401,入侵检测子系统1接收报文。例如入侵检测子系统可以通过嗅探的方式来接收流经网络汇聚设备的报文。
框图S402,入侵检测子系统1根据入侵规则数据库105中的入侵规则对所述报文进行模式匹配,将所述报文携带的有效载荷同预先读入的入侵规则数据库105中的入侵规则进行比较,比较的过程可以通过Aho Corasick等算法实现。
框图S403,入侵检测子系统1判断所述报文与所述入侵规则是否匹配。如果所述报文与所述入侵规则匹配,则执行框图S404,否则,执行框图S405及其以后的步骤。
框图S404,入侵检测子系统1对与所述入侵规则匹配的报文产生报警。
框图S405,入侵检测子系统1对与所述入侵规则不匹配的报文进行协议分析,获取所述报文对应的网络事件。典型的网络事件包括连接尝试、连接建立、连接完成、FTP(File Transfer Protocol,文件传输协议)请求、FTP应答等。
框图S406,入侵检测子系统1对所述网络事件进行行为分析,获取对应的行为特征。入侵检测子系统1对所述网络事件进行行为分析,根据对所述网络事件的行为分析获取对应网络事件的网络活动行为特征。典型的行为特征包括主机扫描、端口的扫描率、报文碎片的接收率等。入侵检测子系统1将行为规则数据库106的正常行为规则与获取的行为特征进行匹配。
框图S407,入侵检测子系统1判断网络事件的行为特征是否与所述正常行为规则匹配。如果匹配,则执行框图S408,否则,执行框图S409。
框图S408,入侵检测子系统1判定所述网络事件为正常网络事件。
框图S409,入侵检测子系统1对异常行为特征进行内容跟踪。入侵检测子系统1判定所述网络事件为异常网络事件,对所述异常行为特征进行内容跟踪,接收与所述异常行为特征相关的报文的网络流量。
框图S410,入侵检测子系统1提取初步异常入侵规则。入侵检测子系统1对所述网络流量进行分析,计算报文中部分数据的出现频率及地址分布情况,提取与所述异常行为特征对应的初步异常入侵规则。
框图S411,入侵检测子系统1向入侵分析服务器2发送所述初步异常入侵规则及对应的异常行为特征,同时将所述初步异常入侵规则发送给入侵规则数据库105,更新所述入侵规则数据库105。
框图S412,根据所述更新的入侵规则数据库105对后续的异常行为进行检测。在收到入侵分析服务器2发送的对应的本质入侵规则前,入侵检测子系统1可根据所述初步异常入侵规则对后续的异常行为进行检测。
框图S413,入侵分析服务器2保存来自入侵检测子系统1的异常行为特征及对应的初步异常入侵规则。
框图S414,入侵分析服务器2对初步异常入侵规则及对应的异常行为特征进行相似性分析和关联分析。入侵分析服务器2将所述初步异常入侵规则及对应的异常行为特征进行相似性分析,获取相似行为特征,对所述相似行为特征对应的初步异常入侵规则进行关联分析。
框图S415,入侵分析服务器2根据分析结果判断是否提炼本质入侵规则。如果分析表明初步异常入侵规则没有共同的特征,则执行框图S416,否则,执行框图S417。
框图S416,入侵分析服务器2结束处理。
框图S417,入侵分析服务器2提炼对应的本质入侵规则。
框图S418,入侵分析服务器2向所有入侵检测子系统1发送所述本质入侵规则。
框图S419,所有入侵检测子系统1更新入侵规则数据库105。入侵检测子系统1根据收到的本质入侵规则中包含的信息在入侵规则数据库105中查找,找到对应的项(即之前保存的初步异常入侵规则),对其进行更新(即用所述本质入侵规则替换所述初步异常入侵规则)。
本发明实施例中的入侵检测子系统1并不需要等待入侵分析服务器2下发的本质入侵规则即可利用自身的提取的初步异常入侵规则进行入侵检测,从而有效地降低了检测异常入侵所需的响应时间,提高了入侵发现率,增强了对变异入侵行为的适应能力。另外,本发明实施例在在整个入侵检测系统内部传输的是入侵规则和行为特征,这大大减少了需要传输的数据量,保证了入侵分析服务器2不会因为过载而发生异常。并且本发明实施例还引入了行为分析方法,通过在多个入侵检测子系统1之间共享行为特征,入侵分析服务器2能够基于行为特征的相似程度从多条入侵规则中提炼出反映入侵特征的数据,并生成更加简洁的本质入侵规则,这一方面可以有效地减少入侵规则数据库105中入侵规则的数量,提高模式匹配的速度,另一方面也可以提高入侵检测子系统1的发现率,增强系统对变异入侵行为的适应能力。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必需的。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
权利要求的内容记载的方案也是本发明实施例的保护范围。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明,可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种入侵检测方法,其特征在于,包括:
获取(201)报文的异常行为特征;所述获取报文的异常行为特征,包括:
根据入侵规则对所述报文进行匹配查找,当不匹配时,对所述报文进行协议分析,获取所述报文对应的网络事件;
根据行为规则库对所述网络事件进行匹配查找,当不匹配时,将所述网络事件转化为对应的异常行为特征;
根据所述异常行为特征提取(202)初步异常入侵规则,用所述初步异常入侵规则更新入侵规则数据库,向入侵分析服务器发送所述初步异常入侵规则和异常行为特征;
接收所述入侵分析服务器发送的根据所述初步异常入侵规则和异常行为特征提炼的本质入侵规则,并用所述本质入侵规则替换所述入侵规则数据库的初步异常入侵规则;
所述提炼的本质入侵规则具体为:在所述入侵分析服务器通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的情况下,所述入侵分析服务器继续计算所述两个入侵的内容的相似性,并提炼出所述两个入侵的内容的共有部分,生成本质入侵规则;
根据所述本质入侵规则对后续接收的报文进行匹配查找(203),如果匹配,则视为(205)存在入侵行为。
2.如权利要求1所述入侵检测方法,其特征在于,所述对后续接收的报文进行匹配查找,具体为根据所述更新后的入侵规则数据库对后续接收的报文进行匹配查找。
3.如权利要求1所述入侵检测方法,其特征在于,所述对后续接收的报文进行匹配查找,具体为根据所述更新后的包括所述本质入侵规则的入侵规则数据库对后续接收的报文进行匹配查找的。
4.如权利要求1或3所述入侵检测方法,其特征在于,所述根据异常行为特征提取初步异常入侵规则,包括:
根据所述异常行为特征对所述报文进行内容跟踪,收集与所述异常行为特征相关的报文的网络流量;
根据所述网络流量计算所述异常行为特征出现的频率和地址分布情况;
根据所述频率和地址分布情况提取与所述异常行为特征对应的初步异常入侵规则。
5.如权利要求1所述入侵检测方法,其特征在于,在向入侵分析服务器发送所述初步异常入侵规则和异常行为特征之后,还包括:
所述入侵分析服务器将所述异常行为特征进行相似性分析,获取相似行为特征;
所述入侵分析服务器对所述相似行为特征对应的初步异常入侵规则进行关联分析,提炼所述本质入侵规则。
6.一种入侵检测系统,其特征在于,包括:至少一个入侵检测子系统(1)及入侵分析服务器(2);
所述入侵检测子系统,用于获取异常行为特征,提取初步异常入侵规则,并根据所述初步异常入侵规则对后续接收的报文进行匹配查找,如果匹配,则视为存在入侵行为;所述获取报文的异常行为特征,包括:
根据入侵规则对所述报文进行匹配查找,当不匹配时,对所述报文进行协议分析,获取所述报文对应的网络事件;
根据行为规则库对所述网络事件进行匹配查找,当不匹配时,将所述网络事件转化为对应的异常行为特征;
所述入侵分析服务器,用于根据所述入侵检测子系统发送的初步异常入侵规则和异常行为特征提炼本质入侵规则,并向所述入侵检测子系统发送所述本质入侵规则,由所述入侵检测子系统用所述本质入侵规则替换所述初步异常入侵规则;
所述提炼本质入侵规则具体为:在所述入侵分析服务器通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的情况下,所述入侵分析服务器继续计算所述两个入侵的内容的相似性,并提炼出所述两个入侵的内容的共有部分,生成本质入侵规则。
7.如权利要求6所述入侵检测系统,其特征在于,还包括:初步入侵规则发送装置;
所述初步入侵规则发送装置,用于在所述入侵检测子系统提取初步异常入侵规则后,将所述初步异常入侵规则发送给其他入侵检测子系统,作为入侵匹配条件之一。
8.一种入侵检测子系统,其特征在于,包括:行为分析模块、内容跟踪模块、规则提取模块和数据传输模块;
所述行为分析模块,用于将协议分析模块获取的网络事件与行为规则数据库中的正常行为规则进行匹配,当不匹配时,则将所述网络事件转化为对应的异常行为特征,触发所述内容跟踪模块;
所述协议分析模块获取网络事件具体为:根据入侵规则对所述获取的报文进行匹配查找,当不匹配时,对所述报文进行协议分析,获取所述报文对应的网络事件;
所述内容跟踪模块,用于对所述行为分析模块发现的异常行为特征进行内容跟踪,接收与所述异常行为特征相关的报文的网络流量;
规则提取模块,用于将所述内容跟踪模块收集的网络流量进行分析,提取与所述异常行为特征对应的初步异常入侵规则;
数据传输模块,用于将所述规则提取模块提取的初步异常入侵规则和所述行为分析模块获取的异常行为特征发送给入侵分析服务器,接收所述入侵分析服务器发送的本质入侵规则,并用所述本质入侵规则替换所述入侵规则数据库中的初步异常入侵规则;
所述本质入侵规则具体为:在所述入侵分析服务器通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的情况下,所述入侵分析服务器继续计算所述两个入侵的内容的相似性,并提炼出所述两个入侵的内容的共有部分,生成本质入侵规则。
9.如权利要求8所述入侵检测子系统,其特征在于,还包括:行为规则数据库和入侵规则数据库;
所述行为规则数据库,用于保存正常行为规则;
所述入侵规则数据库,用于保存所述规则提取模块发送的初步异常入侵规则和所述数据传输模块发送的本质入侵规则。
10.如权利要求8所述入侵检测子系统,其特征在于,还包括数据包收集模块、模式匹配模块、协议分析模块和入侵提示模块;所述数据包收集模块,用于接收流经网络的报文;
所述模式匹配模块,用于根据所述入侵规则数据库中的入侵规则对所述数据包收集模块收集的报文进行匹配,如果匹配,则触发所述入侵提示模块,否则,触发所述协议分析模块;
所述协议分析模块,用于将所述模式匹配模块输出的与所述入侵规则不匹配的报文进行协议分析,获取所述报文对应的网络事件;
所述入侵提示模块,用于收集所述模式匹配模块输出的与所述入侵规则匹配的报文,并提示所述报文存在入侵行为。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810093831 CN101572691B (zh) | 2008-04-30 | 2008-04-30 | 一种入侵检测方法、系统和装置 |
| PCT/CN2009/071289 WO2009132552A1 (zh) | 2008-04-30 | 2009-04-16 | 一种入侵检测方法、系统和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810093831 CN101572691B (zh) | 2008-04-30 | 2008-04-30 | 一种入侵检测方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101572691A CN101572691A (zh) | 2009-11-04 |
| CN101572691B true CN101572691B (zh) | 2013-10-02 |
Family
ID=41231928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810093831 Expired - Fee Related CN101572691B (zh) | 2008-04-30 | 2008-04-30 | 一种入侵检测方法、系统和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101572691B (zh) |
| WO (1) | WO2009132552A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106125680A (zh) * | 2016-06-23 | 2016-11-16 | 北京东土科技股份有限公司 | 基于工业互联网的工业过程控制数据安全处理方法及装置 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932320A (zh) * | 2011-08-12 | 2013-02-13 | 西安秦码软件科技有限公司 | 一种基于分流的IPv6千兆分布式入侵检测方法 |
| CN102769607B (zh) * | 2011-12-30 | 2015-01-07 | 北京安天电子设备有限公司 | 一种基于网络数据包检测恶意代码的方法和系统 |
| CN102684944B (zh) * | 2012-04-20 | 2015-06-24 | 北京启明星辰信息技术股份有限公司 | 入侵检测方法和装置 |
| WO2014056200A1 (zh) * | 2012-10-12 | 2014-04-17 | 华为技术有限公司 | 网络数据流检测状态的同步方法和设备 |
| CN103384241B (zh) * | 2012-12-21 | 2016-07-13 | 北京安天电子设备有限公司 | 一种面向安全事件数据的分布式分析方法及系统 |
| CN103384242B (zh) * | 2013-03-15 | 2016-12-28 | 中标软件有限公司 | 基于Nginx代理服务器的入侵检测方法及系统 |
| CN104426836A (zh) * | 2013-08-20 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 一种入侵检测方法及装置 |
| KR101801581B1 (ko) * | 2013-12-19 | 2017-11-27 | 인텔 코포레이션 | 머신 학습 스냅샷 평가를 포함하는 보호 시스템 |
| CN103747601B (zh) * | 2013-12-19 | 2016-03-02 | 广西科技大学 | 一种基于can总线的智能照明监测系统 |
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
| CN105187224B (zh) * | 2014-06-17 | 2018-05-01 | 腾讯科技(深圳)有限公司 | 入侵检测方法和装置 |
| CN105812200B (zh) * | 2014-12-31 | 2019-09-13 | 中国移动通信集团公司 | 异常行为检测方法及装置 |
| CN104537328B (zh) * | 2015-01-28 | 2017-10-03 | 北京红马传媒文化发展有限公司 | 一种基于rfid票据的防入侵检测方法 |
| CN105592044B (zh) * | 2015-08-21 | 2019-05-07 | 新华三技术有限公司 | 报文攻击检测方法以及装置 |
| CN110891048B (zh) | 2015-12-24 | 2021-09-03 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN105959255A (zh) * | 2016-01-08 | 2016-09-21 | 杭州迪普科技有限公司 | 入侵报文的分流方法及装置 |
| CN108270727A (zh) * | 2016-12-30 | 2018-07-10 | 北京国双科技有限公司 | 异常数据分析方法和装置 |
| CN109768949B (zh) * | 2017-11-09 | 2021-09-03 | 阿里巴巴集团控股有限公司 | 一种端口扫描处理系统、方法及相关装置 |
| CN108540473A (zh) * | 2018-04-09 | 2018-09-14 | 华北理工大学 | 一种数据分析方法及数据分析装置 |
| CN109639654A (zh) * | 2018-11-30 | 2019-04-16 | 成都知道创宇信息技术有限公司 | 一种基于自适应过滤模型识别tcp异常流量的方法 |
| CN113163369A (zh) * | 2020-01-20 | 2021-07-23 | 北京新能源汽车股份有限公司 | 一种车辆入侵防御处理方法、装置及汽车 |
| CN113727348B (zh) * | 2020-05-12 | 2023-07-11 | 华为技术有限公司 | 用户设备ue用户数据的检测方法、设备、系统及存储介质 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
| CN112532615B (zh) * | 2020-11-26 | 2022-07-26 | 深圳供电局有限公司 | 一种智能电网蠕虫检测方法 |
| CN112910895B (zh) * | 2021-02-02 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 网络攻击行为检测方法、装置、计算机设备和系统 |
| CN113868646B (zh) * | 2021-08-06 | 2024-04-26 | 华北电力科学研究院有限责任公司 | 基于主机的入侵检测方法及装置 |
| CN114039776B (zh) * | 2021-11-09 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 流量检测规则的生成方法、装置、电子设备及存储介质 |
| CN115320538A (zh) * | 2022-07-20 | 2022-11-11 | 国汽智控(北京)科技有限公司 | 智能网联汽车入侵检测系统及方法 |
| CN115277244B (zh) * | 2022-08-05 | 2023-07-25 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
| CN116846060A (zh) * | 2023-03-08 | 2023-10-03 | 国网江苏省电力有限公司淮安供电分公司 | Iec61850智能变电站工况安全学习系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1460932A (zh) * | 2003-06-18 | 2003-12-10 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测系统和方法 |
| CN101060444A (zh) * | 2007-05-23 | 2007-10-24 | 西安交大捷普网络科技有限公司 | 基于贝叶斯统计模型的网络异常检测方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1252555C (zh) * | 2003-12-19 | 2006-04-19 | 华中科技大学 | 基于分布式数据挖掘的协同入侵检测系统 |
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
| CN100428688C (zh) * | 2005-06-09 | 2008-10-22 | 杭州华三通信技术有限公司 | 网络攻击的防护方法 |
| KR100772523B1 (ko) * | 2006-08-01 | 2007-11-01 | 한국전자통신연구원 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
| JP2008085819A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
-
2008
- 2008-04-30 CN CN 200810093831 patent/CN101572691B/zh not_active Expired - Fee Related
-
2009
- 2009-04-16 WO PCT/CN2009/071289 patent/WO2009132552A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1460932A (zh) * | 2003-06-18 | 2003-12-10 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测系统和方法 |
| CN101060444A (zh) * | 2007-05-23 | 2007-10-24 | 西安交大捷普网络科技有限公司 | 基于贝叶斯统计模型的网络异常检测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106125680A (zh) * | 2016-06-23 | 2016-11-16 | 北京东土科技股份有限公司 | 基于工业互联网的工业过程控制数据安全处理方法及装置 |
| CN106125680B (zh) * | 2016-06-23 | 2018-09-11 | 北京东土科技股份有限公司 | 基于工业互联网的工业过程控制数据安全处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101572691A (zh) | 2009-11-04 |
| WO2009132552A1 (zh) | 2009-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101572691B (zh) | 一种入侵检测方法、系统和装置 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| KR101575282B1 (ko) | 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법 | |
| US8839430B2 (en) | Intrusion detection in communication networks | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US20130332456A1 (en) | Method and system for detecting operating systems running on nodes in communication network | |
| CN107835149A (zh) | 基于dns流量分析的网络窃密行为检测方法以及装置 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| CN101605074A (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| CN104937886A (zh) | 日志分析装置、信息处理方法以及程序 | |
| CN101902349B (zh) | 一种检测端口扫描行为的方法和系统 | |
| CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
| CN107888606B (zh) | 一种域名信誉度评估方法及系统 | |
| CN104901971A (zh) | 对网络行为进行安全分析的方法和装置 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
| CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
| Janabi et al. | Convolutional neural network based algorithm for early warning proactive system security in software defined networks | |
| CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131002 Termination date: 20160430 |