CN101803337A - 入侵检测方法和系统 - Google Patents
入侵检测方法和系统 Download PDFInfo
- Publication number
- CN101803337A CN101803337A CN200880107741A CN200880107741A CN101803337A CN 101803337 A CN101803337 A CN 101803337A CN 200880107741 A CN200880107741 A CN 200880107741A CN 200880107741 A CN200880107741 A CN 200880107741A CN 101803337 A CN101803337 A CN 101803337A
- Authority
- CN
- China
- Prior art keywords
- prerequisite
- guarantee
- data
- safety alarm
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
用于检测网络的目标系统的未授权使用或异常活动的入侵检测方法,包括:对与目标系统有关的每个漏洞和/或利用一个或多个漏洞的每个攻击创建所定义的前提;创建与所定义的前提对应并考虑目标边界的保障基准;捕获与目标系统有关的数据;将所捕获的数据与攻击信号进行比较,以在所捕获的数据与至少一个攻击信号匹配时,生成至少一个安全警报;根据目标边界的监控捕获保障数据;将根据目标边界的保障监控发布的保障数据与保障基准进行比较,以在根据保障监控发布的数据与至少一个保障基准匹配时生成保障信息;获取所生成的安全警报的前提;检查与前提对应的保障信息是否已被获取;当所生成的安全警报及其所获取的前提与至少一个对应的保障信息匹配时,生成验证后的安全警报;当安全警报的所获取的前提与至少一个对应的保障信息不匹配时,过滤安全警报;当没有获取该警报的前提和/或没有定义与前提对应的保障基准时,发出未经验证的安全警报。
Description
技术领域
本发明通常涉及例如IP网络的通信系统领域,更具体地,涉及用于在这种通信系统中检测入侵的系统和方法。
背景技术
网络在信息系统中的快速增长已经引起对诸如NIDS(网络入侵检测系统)、HIDS(主机入侵检测系统)的IDS(入侵检测系统)和NIPS(网络入侵防御系统)的日益关注,其中NIPS结合了防火墙和NIDS。
计算机网络必须被保护以免受DoS(拒绝服务)攻击、未授权的信息披露或操纵以及数据的修改或破坏。同时,必须提供关键信息系统的可用性、机密性和完整性。
据报道,在2004年已经有10,000种新病毒或已有病毒的变种,每小时有至少一次新攻击(Kay,“Low volume viruses:new tools for criminals”,Network Secur.6,2005,第16-18页)。2001年,红色蠕虫代码在不到14小时内传播到超过359,000台因特网主机(Moore等,“Code Red:acase study on the spread and victims of internet worm”,Proceeding of thesecond ACM Internet measurement workshop,2002)。在2003年,SQLSlammer蠕虫在不到30分钟内传播超过75,000台主机,其中90%的主机在10分钟内被感染(Moore等,“The spread of the sapphire/slammer wormtechnical report”,CAIDA技术报告,2003年)。2002年,美国联邦调查局调查报告说外部黑客成功攻击的平均成本是56,000美元,而成功内部人员攻击的平均成本被报道为270万美元(Power“2002CSI/FBI computercrime and security survey”,计算机安全问题和趋势,第八卷第一篇,2002年春)。
IDS通常指定一些具有检测、识别和响应目标系统上未授权或异常的活动的软件。
传统地,IDS在设计上被集中化,集中式IDS通常安装在网络的阻塞点,例如网络服务提供商网关,并利用在物理上集成在单个处理单元内的集中式应用以独立模式运行。也存在分布式IDS,其包括部署在大型网络的不同区域上的多个传感器,所有这些传感器最终向聚集信息并进行处理的中央服务器报告。
IDS的目的是区分入侵者和正常用户。IDS的目标是提供一种用于实时或批量检测安全违背的机制。违背通过外部人员企图闯入系统或者内部人员企图滥用其特权而启动。
IDS所执行的主要功能是:监控并分析用户和系统活动,评估关键系统或数据文件的完整性,识别反映已知攻击的活动模式,自动响应所检测的活动,以及报告检测处理的结果。
入侵检测可根据检测方法划分为三种类型:滥用检测、异常检测和数据挖掘。混合入侵方法也是已知的,其同时结合了两种方法。已知如KDD-99,用于比较检测方法的标签数据集已由国际知识发现与数据发掘工具竞赛提供。
滥用检测致力于搜索已知攻击的踪迹或模式。滥用检测系统试图将计算机活动与所存储的已知的利用或攻击的签名进行匹配。它使用攻击的先验知识以查找攻击踪迹。换句话说,滥用检测是指使用已知的系统入侵或弱点的模式(例如,具有缓冲器溢出漏洞的系统实用程序)以匹配和识别入侵。
攻击动作的顺序、危害系统安全的条件以及入侵后遗留的证据(例如,损害或系统日志)可用多个通用模式匹配模型表示。这些模式匹配模型将已知的签名编码为模式,接着这些模式与审计数据进行匹配。模式匹配常常是指模糊逻辑和人工智能技术,如神经网络。
例如,NIDES(下一代入侵检测专家系统)使用规则以描述攻击动作,STAT(状态转移分析工具)使用状态转移图以模拟系统的一般状态和访问控制违背,IDIOT(现代入侵检测)使用彩色网格以将入侵签名表示为目标系统上的事件序列。
滥用检测系统的主要优点在于:一旦已知的入侵的模式被存储,这些入侵的未来实例可被有效地检测。
然而,新发明的攻击将可能不被检测到,导致不可接受的漏报率。尽管滥用检测被假定为比异常检测更准确,但这种技术的主要缺陷是创建包含入侵和非入侵活动的最有可能的变异的签名。
异常检测使用正常用户或系统行为的模型(用户和系统简档),并将偏离该模型的重大偏差标记为潜在恶意。例如,在用户登录会话期间的CPU使用率和系统命令的频率是包含在用户简档中的统计参数。偏离简档的偏差可以被计算为要素统计的偏差的加权和。
异常检测系统的主要优点在于其能够检测未知的入侵,因为这种系统不需要特定入侵的先验知识。
然而,定义并维护正常简档是不平凡并易出错的任务,导致有时出现不可接受的故障警报等级。
许多近来的IDS方法已经利用数据挖掘技术,例如CMDS(计算机滥用检测系统)、IDES(入侵检测专家系统)、MIDAS(多入侵检测和报警系统)。
基于数据挖掘的IDS从传感器收集数据,诸如例如从Cyber-Patrol公司可获得的传感器。传感器监控系统的某些方面,诸如网络活动性、由用户进程使用的系统呼叫、文件系统访问。传感器从正被监控的原始数据流中提取预测特征以产生可用于检测的格式化数据。
对于基于网络的攻击系统,JAM使用频繁情节挖掘,其在网络中生成特定节点的正常使用模式。这些模式被用于建立确定网络节点的异常的基本分类器。为了确保正确的分类,应当为分类器的学习阶段收集足够量的正常和异常数据。一组基本分类器可用于建立元分类器,因为每个基本分类器监控网络的不同节点,该网络的入侵可由元分类器结合其基本分类器的结果而检测。
IDS根据其分析的审计资源位置的类型来分类。
大多数IDS被分类为用于识别并转移攻击的基于网络的入侵检测或者基于主机的入侵检测方法。
当IDS在网络流中查找这些模式时,其被分类为基于网络的入侵检测。
基于网络的IDS分析在网络上捕获的网络分组。作为例子,SNORT是开源网络入侵检测系统,其能够执行实时流量分析和分组登录IP网络。SNORT不能自动生成入侵模式。专家必须首先分析并分类攻击分组,并对相应的用于滥用检测的模式和规则进行手编程序。模式的数量不断在增长,在当前SNORT版本中已经超过2100种。
当IDS在日志文件中查找攻击签名时,其被分类为基于主机的入侵检测。基于主机的IDS系统被本地安装在主机机器上。基于主机的IDS分析主机边界审计资源,诸如操作系统审计痕迹、系统日志和应用日志。换句话说,基于主机的IDS系统评估活动,并访问放置有基于主机的IDS的关键服务器。
当前IDS已经致力于使用历史模式来识别攻击。但是在使用新的模式或者不采用模式识别攻击方面存在困难。使用基于规则的方法,诸如USTAT(用于UNIX的状态转移分析工具)、NADIR(网络异常检测和入侵报告)和W&S(智慧与感知),攻击序列中轻微的变化能够影响活动规则比较,以致入侵不能被入侵检测机制检测到。
两种类型的错误导致引起不可避免的IDS成本。这些错误包括IDS中误报错误(false positive error)和漏报错误(false negative error)。
由于IDS传感器将正常分组或者活动曲解为攻击,因此发生误报错误。由于攻击者被误分类为正常用户,因此发生漏报错误。
估计IDS报告的多达99%的警报与安全问题无关(Julish,“Using rootcause analysis to handle intrusion detection alarm”,多特蒙德大学博士论文,2003年,第一页)。原因包括以下方面。首先,在许多情况下,入侵与正常活动仅有轻微的不同。由于苛刻的实时要求,IDS不能够分析所有活动的上下文到所要求的程度。第二,书写IDS的签名是非常困难的任务。在某些情况下,很难在极度特定的签名(其不能够捕获所有攻击或其变异)和极度普通的信号(其将合法动作识别为入侵)之间确定恰当的平衡。第三,在某些环境中正常的动作在其它环境中可能是恶意的。第四,假定每天分析包含二十个入侵分组的一百万个分组,1.0的理想检测率和非常低的10-5级误报率导致10个误报,即,贝叶斯正确检测率仅有66%。
这些误报入侵警报是关键问题,其抑制实际入侵事件的评估和解决。这个数量的误报对任何在入侵警报之后的关联进程有重大的负面影响,无论该进程是基于自动还是人工的。实际上,本领域有关入侵检测的研究状况已经证明巨量的误报警报极大地降低了试图链接几个警报以检测多步复杂攻击的自动关联引擎的性能(Ning等,“Learning attack strategiesfrom intrusion alert”,关于计算机与通信安全的ACM会议,2003年)。
如果人类专家执行该关联,则大量的误报警报会使其分心,因为他试图检测危险的攻击。这使得发现真实的入侵更加困难。
为了给出真实的例子,多达10G字节的安全日志每天由大约15个传感器生成。在关联之后,每天大约100个警报被传送到安全管理系统,在由人类专家分析后,每天仅有十个情形被认为是“看起来危险”。
已经提出各种方案以解决降低入侵警报误报的问题。
这些方案中的大多数与报警关联有关。关联技术可以被分类为若干类型。首先,关联装置集合与同一个危险事件(即,同一个攻击)有关的几个入侵警报。第二装置集合几个与几个危险事件有关的入侵警报以便确定复杂攻击是否在网络内正在进行。
尽管报警关联的鼓动者已首先期望可降低误报警报的数量,但现在,已知误报警报抑制共同的关联引擎的性能(Ning等,“Learning attackstrategies from intrusion alert”,有关计算机与通信安全的ACM会议,2003年)。另外,该关联已经成为计算机的耗时任务,其通过误报泛滥将关联系统暴露给DoS攻击。
另一种降低误报警报的方法包括:使用体系结构(例如网络拓扑、已知的现有弱点)的上下文信息以确定攻击是否有某些机会成功,并指出真实入侵的可能性。这种技术与警报验证的概念有关。在文献中,存在两种类型的警报验证:主动的和被动的。
主动警报验证使用在警报已经出现后收集的信息以确定该攻击是否成功,而被动验证使用体系结构安全的先验信息以确定该攻击是否有机会成功。
现有的被动验证系统使用体系结构安全的静态知识,并且不衡量它。这可导致警报被误分类为误报,并进而产生漏报(警报不是针对真实攻击生成,并且被分类为误报)。
在另一个方面,现有的主动警报验证系统是基于可证明攻击成功的信息(即,与通常由IDS/IPS使用的攻击签名相比的入侵的签名)的后验(在入侵警报已经发布后)收集。在这种情况下,主要问题是验证可在攻击者已经掩盖了其入侵的踪迹后发生。
发明内容
鉴于传统的系统和方法的上述和其它问题,本发明的一个目的是提供一种用于在入侵检测系统中过滤误报警报的有效方法。
在本发明的第一个方面,提供一种入侵检测方法,用于检测网络的目标系统的未授权使用或异常活动,该方法包括以下步骤:
对与目标系统有关的每个漏洞和/或利用一个或多个漏洞的每个攻击创建所定义的前提(defined precondition);
创建与所述所定义的前提对应并考虑目标边界的保障基准(assurancereference);
捕获与目标系统有关的数据,例如,网络数据、类似日志的数据,有利地,该捕获步骤实时地进行;
将所捕获的数据与攻击签名进行比较,以在所捕获的数据与至少一个攻击签名匹配时,生成至少一个安全警报;
根据目标边界的监控捕获保障数据,用于定义与所述所定义的前提对应的保障基准;
将根据目标边界的保障监控发布的数据(例如,体系结构单元的配置文件)与保障基准进行比较,以在所述根据保障监控发布的数据与至少一个保障基准匹配时生成保障信息;
获取所生成的安全警报的前提;
检查与所述前提对应的保障信息是否已被获取;
当所生成的安全警报及其所获取的前提与至少一个对应的保障信息匹配时,生成验证后的安全警报;
当所述安全警报的所获取的前提与至少一个对应的保障信息之间没有发现匹配时,过滤所述安全警报;
当对该警报没有获取前提和/或与所述前提对应的保障基准没有被定义时,发出未经验证的安全警报。
前提的定义可以使用诸如Lambda的攻击语言描述进行。使用Lambda语言的攻击描述的例子可以例如在Cuppens等所著的“Alert Correlation ina Cooperative Intrusion Detection Framework”(Proceedings of the 2002IEEE Symposium on security and privacy)中找到。
“每个漏洞的前提”指出允许利用一个漏洞的目标系统的未授权或异常使用的方段。换句话说,如果对于攻击,系统缺点(例如,代码错误)可被利用,则这种缺点就是漏洞。
“每个攻击的前提”指出具有签名并利用几个漏洞的攻击的前提。换句话说,如果各种系统形式缺陷(例如,代码错误)可被具有签名的攻击使用,则这些形式缺陷都是漏洞。
有利地,在检测漏洞警报(例如,CERT警报)后,进行强化(enrichment)过程,所述强化过程包括:对所述新漏洞的每一个或利用一个或多个漏洞的攻击定义将被监控的保障基准;对所述新漏洞的每一个或利用一个或多个漏洞的攻击定义安全事件;以及对所述安全事件定义前提。
“利用一个或多个漏洞的攻击”包括至少一个新漏洞和已被处理的漏洞的组合。
有利地,使用自动算法以相关引擎可理解的语言转换漏洞警报。
在本发明的另一个方面,提供一种入侵检测系统,用于检测网络的目标系统的未授权使用或异常活动,该系统包括:
用于对与目标系统有关的每个漏洞和/或利用一个或多个漏洞的每个攻击创建所定义的前提的装置;
用于创建与所述所定义的前提对应并考虑所述目标边界的保障基准的装置;
用于捕获与目标系统有关的数据的嗅探器;
用于将所捕获的数据与攻击签名进行比较,以在所捕获的数据与至少一个攻击签名匹配时,生成至少一个安全警报的装置;
用于根据目标边界的监控捕获保障数据的装置;
用于将根据目标边界的保障监控发布的数据与保障基准进行比较,以在所述根据保障监控发布的数据与至少一个保障基准匹配时生成保障信息的装置;
用于获取所生成的安全警报的前提的装置;
用于检查与所述前提对应的保障信息是否已被获取的装置;
其中,当所生成的安全警报及其所获取的前提与至少一个对应的保障信息匹配时,所述系统生成验证后的安全警报;
当所述安全警报的所获取的前提与至少一个对应的保障信息之间没有发现匹配时,所述系统过滤所述安全警报;
当对该警报没有获取前提和/或与所述前提对应的保障基准没有被定义时,所述系统发出未经验证的安全警报。
在本发明的另一个方面中,提供一种包括计算机可用媒体的计算机程序产品,所述媒体存储有用于使计算机检测网络的目标系统的未授权使用或异常活动的控制逻辑,所述控制逻辑包括:
-用于对与所述目标系统有关的每个漏洞和/或利用一个或多个漏洞的每个攻击创建所定义的前提的第一计算机可读程序代码;
-用于创建与所述所定义的前提对应并考虑目标边界的保障基准的第二计算机可读程序代码;
-用于捕获与所述目标系统有关的数据的第三计算机可读程序代码;
-用于将所捕获的数据与攻击签名比较,以在所捕获的数据与至少一个攻击签名匹配时,生成至少一个安全警报的第四计算机可读程序代码;
-用于根据所述目标边界的监控捕获保障数据的第五计算机可读程序代码;
-用于将根据所述目标边界的保障监控发出的保障数据与保障基准比较,以在根据保障监控发出的所述数据与至少一个保障基准匹配时生成保障信息的第六计算机可读程序代码;
-用于获取所生成的安全警报的前提的第七计算机可读程序代码;
-用于检查与所述前提对应的保障信息是否已被获取的第八计算机可读程序代码;
其中,所述计算机程序产品
-当所生成的安全警报及其所获取的前提与至少一个对应的保障信息匹配时,生成验证后的安全警报;
-当所述安全警报的所获取的前提与至少一个对应的保障信息之间没有发现匹配时,过滤所述安全警报;
-当对该警报没有获取前提和/或与所述前提对应的保障基准没有被定义时,发出未经验证的安全警报。
通过结合附图考虑优选实施例的详细说明,本发明的上述和其它目的和优点将变得明显。
附图说明
图1是根据本发明的入侵检测系统的示意图。
具体实施方式
信息流(漏洞的保障方面)从漏洞数据库1开始,漏洞数据库1可由CERT(计算机应急响应小组)建立或由专家根据其知识和CERT所发布的信息建立。
转换/强化模块2能够定义度量(metrics)的保障基准3,度量是负责观察目标边界的监控探测器,以便检查安全策略是否已被应用,并还验证安全机制根据所述策略被激活并运行。
考虑用于安全保障的可测量数据4的范围和CERT漏洞数据库1,模块2定义将被度量为了安全保障目的而监控的保障基准3。安全保障,也称为SCC(安全顺应性和一致性)是实体满足组织的AR(保障基准)的信心的基础。
漏洞一被公开,该过程就能够生成先验保障基准。
从CERT数据库1开始,另一个信息流(漏洞的安全方面)被转发到强化模块5,用于安全关联目的。
模块5使用IDS/IPS/探测器签名数据库6作为输入以定义与每个CERT漏洞有关的前提和后置条件7。
两个基于CERT的转换/强化过程2、5都能通过使用自动算法来进行,CERT警报被转换成关联引擎可理解的语言,或通过人工转换CERT警报。
前提的定义可以使用诸如Lambda的攻击语言描述进行。使用Lambda语言的攻击描述的例子可以在例如Cuppens等人所著的“AlertCorrelation in a Cooperative Intrusion Detection Framework”(Proceedings of the 2002 IEEE Symposium on security and privacy,http://41x.free.fr/articles/cm02.pdf)中找到。
该转换/强化过程可以在IETF(互联网工程任务组)被标准化,例如在入侵检测工作组。
模块8查找处理安全事件前提7的保障基准3。如果某些安全事件前提7没有被保障基准数据库3覆盖,则模块9将其定义到数据库10中。这有利于获得将用于误报降低的一组完整的保障基准。
某些安全装置11,如IDS或防火墙,监督目标边界12。同时,安全保障度量13也监督同一目标边界12。
安全软件或装置11基于已知的攻击签名生成安全警报14,而保障度量13基于保障基准数据库3生成保障信息15。安全警报14和保障信息15被发送到验证模块16。
安全警报14一生成,验证模块16就获取特定安全警报14的前提,并检查对应的保障信息是否也已被获取。
如果安全警报及其前提与一个或多个保障信息匹配,则该警报被认为是可信的,并生成验证后的安全警报17。
如果现有的监控精确边界的保障度量没有提供保障信息,而安全警报对于该边界被发出,则该警报被认为是不可信的,并被过滤18。
最后,如果安全警报在安全警报数据库中是未知的和/或对该警报不存在保障度量,那么发出未经验证的安全警报19。可以通知将稍后安装的SOC(安全操作中心,例如,阿尔卡特-朗讯的危险管理中心)将监控并给出安全保障反馈的度量。
由IDS和/或防火墙发出的安全警报在中间模块(验证模块16)被过滤,降低误报的数量。
通过用新型的安全保障信息强化现有的警报验证,所提出的发明将降低误报率。
例子
目标系统被配置为处理SSH(安全外壳)连接。登录被缺省设置为使用基于证书的SSH认证,该信息被存储在安全保障策略中。
对应的安全保障度量定期检查SSH认证是否仍在正确地工作。
暴力攻击由IDS检测。该攻击只有在前提被验证时才成功。前提是SSH连接必须被设置为密码认证。
当该警报到达验证模块时,该模块检查“SSH认证配置已变化”保障信息(从证书认证到密码认证)是否已被发出。如果已发出,则该安全警报被认为是关于保障上下文相关,并发出验证后的安全警报。相反,如果没有获取对应的保障信息,则安全警报被认为是不相关的,并被过滤。
已知误报警报降低关联过程的性能、准确性和相关性。已知误报警报抑制入侵告警关联引擎的整体性能,但是对于人工执行安全事件的分析的安全专家,误报警报也是重要的问题。
本发明通过使用安全保障(即,配置一致性测量)以过滤(即,验证)(由商用现货COTS IDS/IPS生成的)入侵警报,能够降低误报入侵警报的出现。
这将使安全专家和入侵关联引擎集中在真实警报上,从而改善能力以更快并准确地理解攻击的真正危险。
另外,保障基准通过提取并强化CERT类警报的信息,相对可检测的IDS/IPS事件的前提进行更新。该阶段可在IETF入侵检测工作组被标准化。
本发明在被动验证方法上的价值在于:体系结构的漏洞被连续地测量(主动和先验方法)。
与后验方法相比,本发明通过在验证过程已收集了入侵成功的线索之前覆盖攻击者的踪迹,极大地降低了攻击者欺骗验证系统的可能性。换句话说,本发明产生了较少的漏报。
另外,在本发明的方案中,验证在攻击已发生之前执行。与入侵的线索在攻击已发生后收集的后验验证相比,真实警报更快地出现。事实上,收集过程是耗时的。
Claims (5)
1.一种入侵检测方法,用于检测网络的目标系统的未授权使用或异常活动,包括以下步骤:
-对与所述目标系统有关的每个漏洞和/或利用一个或多个漏洞的每个攻击创建所定义的前提;
-创建与所述所定义的前提对应并考虑目标边界的保障基准;
-捕获与所述目标系统有关的数据;
-将所捕获的数据与攻击签名进行比较,以在所捕获的数据与至少一个攻击签名匹配时,生成至少一个安全警报;
-根据所述目标边界的监控捕获保障数据;
-将根据所述目标边界的保障监控发布的保障数据与保障基准进行比较,以在根据保障监控发布的所述数据与至少一个保障基准匹配时生成保障信息;
-获取所生成的安全警报的前提;
-检查与所述前提对应的保障信息是否已被获取;
-当所生成的安全警报及其所获取的前提与至少一个对应的保障信息匹配时,生成验证后的安全警报;
-当所述安全警报的所获取的前提与至少一个对应的保障信息之间没有发现匹配时,过滤所述安全警报;
-当对该警报没有获取前提和/或与所述前提对应的保障基准没有被定义时,发出未经验证的安全警报。
2.根据权利要求1的入侵检测方法,其中,在检测漏洞警报之后,进行强化过程,所述强化过程包括:对所述新漏洞的每一个或利用一个或多个漏洞的攻击(即,至少一个新漏洞和已被处理的漏洞的结合)定义将被监控的保障基准;对所述新漏洞的每一个或利用一个或多个漏洞的攻击定义安全事件;以及对所述安全事件定义前提。
3.根据权利要求2的入侵检测方法,包括:以关联引擎可理解的语言转换所述漏洞警报。
4.一种入侵检测系统,用于检测网络的目标系统的未授权使用或异常活动,包括:
-用于对与所述目标系统有关的每个漏洞和/或利用一个或多个漏洞的每个攻击创建所定义的前提的装置;
-用于创建与所述所定义的前提对应并考虑目标边界的基准的装置;
-用于捕获与所述目标系统有关的数据的嗅探器;
-用于将所捕获数据与攻击签名进行比较,以在所捕获的数据与至少一个攻击签名匹配时,生成至少一个安全警报的装置;
-用于根据所述目标边界的监控捕获保障数据的装置;
-用于将根据所述目标边界的保障监控发布的保障数据与保障基准进行比较,以在根据保障监控发布的所述数据与至少一个保障基准匹配时生成保障信息的装置;
-用于获取所生成的安全警报的前提的装置;
-用于检查与所述前提对应的保障信息是否已被获取的装置;
其中,当所生成的安全警报及其所获取的前提与至少一个对应的保障信息匹配时,所述系统生成验证后的安全警报;
当所述安全警报的所获取的前提与至少一个对应的保障信息之间没有发现匹配时,所述系统过滤所述安全警报;
当对该警报没有获取前提和/或与所述前提对应的保障基准没有被定义时,所述系统发出未经验证的安全警报。
5.一种包括计算机可用媒体的计算机程序产品,所述媒体存储有用于使计算机检测网络的目标系统的未授权使用或异常活动的控制逻辑,所述控制逻辑包括:
-用于对与所述目标系统有关的每个漏洞和/或利用一个或多个漏洞的每个攻击创建所定义的前提的第一计算机可读程序代码;
-用于创建与所述所定义的前提对应并考虑目标边界的保障基准的第二计算机可读程序代码;
-用于捕获与所述目标系统有关的数据的第三计算机可读程序代码;
-用于将所捕获的数据与攻击签名进行比较,以在所捕获的数据与至少一个攻击签名匹配时,生成至少一个安全警报的第四计算机可读程序代码;
-用于根据所述目标边界的监控捕获保障数据的第五计算机可读程序代码;
-用于将根据所述目标边界的保障监控发布的保障数据与保障基准进行比较,以在根据保障监控发布的所述数据与至少一个保障基准匹配时生成保障信息的第六计算机可读程序代码;
-用于获取所生成的安全警报的前提的第七计算机可读程序代码;
-用于检查与所述前提对应的保障信息是否已被获取的第八计算机可读程序代码;
其中,所述计算机程序产品
-当所生成的安全警报及其所获取的前提与至少一个对应的保障信息匹配时,生成验证后的安全警报;
-当所述安全警报的所获取的前提与至少一个对应的保障信息之间没有发现匹配时,过滤所述安全警报;
-当对该警报没有获取前提和/或与所述前提对应的保障基准没有被定义时,发出未经验证的安全警报。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07291115.9 | 2007-09-19 | ||
| EP07291115.9A EP2040435B1 (en) | 2007-09-19 | 2007-09-19 | Intrusion detection method and system |
| PCT/EP2008/062505 WO2009037333A2 (en) | 2007-09-19 | 2008-09-19 | Intrusion detection method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101803337A true CN101803337A (zh) | 2010-08-11 |
| CN101803337B CN101803337B (zh) | 2014-07-23 |
Family
ID=38705120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880107741.2A Expired - Fee Related CN101803337B (zh) | 2007-09-19 | 2008-09-19 | 入侵检测方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8418247B2 (zh) |
| EP (1) | EP2040435B1 (zh) |
| JP (1) | JP5248612B2 (zh) |
| CN (1) | CN101803337B (zh) |
| WO (1) | WO2009037333A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
| CN111931168A (zh) * | 2020-06-19 | 2020-11-13 | 河海大学常州校区 | 一种基于警报关联的僵尸机检测方法 |
| CN113536299A (zh) * | 2021-07-08 | 2021-10-22 | 浙江网安信创电子技术有限公司 | 一种基于贝叶斯神经网络的入侵检测系统的设计方法 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9143393B1 (en) | 2004-05-25 | 2015-09-22 | Red Lambda, Inc. | System, method and apparatus for classifying digital data |
| US8676883B2 (en) | 2011-05-27 | 2014-03-18 | International Business Machines Corporation | Event management in a distributed processing system |
| US9419650B2 (en) | 2011-06-22 | 2016-08-16 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US9160539B1 (en) * | 2011-09-30 | 2015-10-13 | Emc Corporation | Methods and apparatus for secure, stealthy and reliable transmission of alert messages from a security alerting system |
| US20130097272A1 (en) | 2011-10-18 | 2013-04-18 | International Business Machines Corporation | Prioritized Alert Delivery In A Distributed Processing System |
| US9178936B2 (en) | 2011-10-18 | 2015-11-03 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| CN102882893A (zh) * | 2012-10-30 | 2013-01-16 | 吉林大学 | 基于黑板结构的警报协同系统 |
| US9361184B2 (en) | 2013-05-09 | 2016-06-07 | International Business Machines Corporation | Selecting during a system shutdown procedure, a restart incident checkpoint of an incident analyzer in a distributed processing system |
| US9170860B2 (en) | 2013-07-26 | 2015-10-27 | International Business Machines Corporation | Parallel incident processing |
| US9658902B2 (en) | 2013-08-22 | 2017-05-23 | Globalfoundries Inc. | Adaptive clock throttling for event processing |
| US9256482B2 (en) | 2013-08-23 | 2016-02-09 | International Business Machines Corporation | Determining whether to send an alert in a distributed processing system |
| US9086968B2 (en) * | 2013-09-11 | 2015-07-21 | International Business Machines Corporation | Checkpointing for delayed alert creation |
| US9602337B2 (en) | 2013-09-11 | 2017-03-21 | International Business Machines Corporation | Event and alert analysis in a distributed processing system |
| US10223530B2 (en) | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
| GB2520987B (en) * | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
| US9389943B2 (en) | 2014-01-07 | 2016-07-12 | International Business Machines Corporation | Determining a number of unique incidents in a plurality of incidents for incident processing in a distributed processing system |
| US9916445B2 (en) | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
| US9386031B2 (en) | 2014-09-12 | 2016-07-05 | AO Kaspersky Lab | System and method for detection of targeted attacks |
| FR3027129B1 (fr) | 2014-10-08 | 2016-10-21 | Renault Sa | Systeme de reseau embarque de vehicule et procede de detection d'intrusion sur le reseau embarque |
| US20160226893A1 (en) * | 2015-01-30 | 2016-08-04 | Wipro Limited | Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| US10110634B2 (en) * | 2016-02-04 | 2018-10-23 | Amadeus S.A.S. | Monitoring user authenticity in distributed system |
| US9876825B2 (en) * | 2016-02-04 | 2018-01-23 | Amadeus S.A.S. | Monitoring user authenticity |
| US10681059B2 (en) * | 2016-05-25 | 2020-06-09 | CyberOwl Limited | Relating to the monitoring of network security |
| CN106911694B (zh) * | 2017-02-28 | 2020-08-25 | 广东电网有限责任公司信息中心 | 一种基于android漏洞知识库自动更新的方法 |
| JP6831763B2 (ja) * | 2017-09-08 | 2021-02-17 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
| US11481647B1 (en) * | 2019-03-19 | 2022-10-25 | Humana Inc. | Determining high impact features for a prediction of a machine learning model |
| CN111181971B (zh) * | 2019-12-31 | 2022-07-15 | 南京联成科技发展股份有限公司 | 一种自动检测工业网络攻击的系统 |
| CN111526164B (zh) * | 2020-07-03 | 2020-10-30 | 北京每日优鲜电子商务有限公司 | 一种用于电商平台的网络攻击检测方法及系统 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN112559595A (zh) * | 2020-12-14 | 2021-03-26 | 东软集团股份有限公司 | 安全事件挖掘方法、装置、存储介质及电子设备 |
| US20240119163A1 (en) | 2021-02-10 | 2024-04-11 | Digital Arts Inc. | Information processing system, information processing method, and information processing program |
| US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
| US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
| US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
| CN113259364B (zh) * | 2021-05-27 | 2021-10-22 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN117240611B (zh) * | 2023-11-13 | 2024-01-30 | 傲拓科技股份有限公司 | 一种基于人工智能的plc信息安全保护系统和方法 |
| CN118611996B (zh) * | 2024-08-08 | 2024-10-29 | 宜宾职业技术学院 | 一种面向智能家居的入侵检测方法及系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6311274B1 (en) * | 1997-12-15 | 2001-10-30 | Intel Corporation | Network alert handling system and method |
| US7203962B1 (en) * | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
| EP1430377A1 (en) * | 2001-09-28 | 2004-06-23 | BRITISH TELECOMMUNICATIONS public limited company | Agent-based intrusion detection system |
| CN1705938A (zh) * | 2002-10-22 | 2005-12-07 | 崔云虎 | 信息基础结构的综合攻击事故应对系统及其运营方法 |
| CN1246993C (zh) * | 2004-03-29 | 2006-03-22 | 四川大学 | 一种网络安全入侵检测方法 |
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| US7406606B2 (en) * | 2004-04-08 | 2008-07-29 | International Business Machines Corporation | Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis |
| JP2006139747A (ja) * | 2004-08-30 | 2006-06-01 | Kddi Corp | 通信システムおよび安全性保証装置 |
| EP1806888B1 (en) * | 2004-10-28 | 2012-04-25 | Nippon Telegraph And Telephone Corporation | Denial-of-service attack detecting system, and denial-of-service attack detecting method |
| US7703138B2 (en) * | 2004-12-29 | 2010-04-20 | Intel Corporation | Use of application signature to identify trusted traffic |
| US7631354B2 (en) * | 2004-12-30 | 2009-12-08 | Intel Corporation | System security agent authentication and alert distribution |
| US7571474B2 (en) * | 2004-12-30 | 2009-08-04 | Intel Corporation | System security event notification aggregation and non-repudiation |
| US7904962B1 (en) * | 2005-03-10 | 2011-03-08 | George Mason Intellectual Properties, Inc. | Network attack modeling, analysis, and response |
| US8020207B2 (en) * | 2007-01-23 | 2011-09-13 | Alcatel Lucent | Containment mechanism for potentially contaminated end systems |
-
2007
- 2007-09-19 EP EP07291115.9A patent/EP2040435B1/en not_active Not-in-force
-
2008
- 2008-09-19 US US12/733,057 patent/US8418247B2/en active Active
- 2008-09-19 CN CN200880107741.2A patent/CN101803337B/zh not_active Expired - Fee Related
- 2008-09-19 JP JP2010524530A patent/JP5248612B2/ja not_active Expired - Fee Related
- 2008-09-19 WO PCT/EP2008/062505 patent/WO2009037333A2/en active Application Filing
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
| CN111931168A (zh) * | 2020-06-19 | 2020-11-13 | 河海大学常州校区 | 一种基于警报关联的僵尸机检测方法 |
| CN111931168B (zh) * | 2020-06-19 | 2022-09-09 | 河海大学常州校区 | 一种基于警报关联的僵尸机检测方法 |
| CN113536299A (zh) * | 2021-07-08 | 2021-10-22 | 浙江网安信创电子技术有限公司 | 一种基于贝叶斯神经网络的入侵检测系统的设计方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009037333A3 (en) | 2009-08-13 |
| JP5248612B2 (ja) | 2013-07-31 |
| EP2040435B1 (en) | 2013-11-06 |
| WO2009037333A2 (en) | 2009-03-26 |
| US20100287615A1 (en) | 2010-11-11 |
| US8418247B2 (en) | 2013-04-09 |
| EP2040435A1 (en) | 2009-03-25 |
| CN101803337B (zh) | 2014-07-23 |
| JP2010539574A (ja) | 2010-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101803337B (zh) | 入侵检测方法和系统 | |
| Bai et al. | Intrusion detection systems: technology and development | |
| Pradhan et al. | Intrusion detection system (IDS) and their types | |
| Yu | A survey of anomaly intrusion detection techniques | |
| Guezzaz et al. | A Global Intrusion Detection System using PcapSockS Sniffer and Multilayer Perceptron Classifier. | |
| CN117955712A (zh) | 一种基于大数据的通信信息安全风险预警管控方法及系统 | |
| WO2004051929A1 (fr) | Systeme de plate-forme de verification pour processus d'application base sur des composantes | |
| Rapaka et al. | Intrusion detection using radial basis function network on sequences of system calls | |
| Bhati et al. | A comprehensive study of intrusion detection and prevention systems | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| Kumar et al. | Intrusion detection system-false positive alert reduction technique | |
| Abouabdalla et al. | False positive reduction in intrusion detection system: A survey | |
| El-Taj et al. | Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study | |
| Barsha et al. | Anomaly Detection in SCADA Systems: A State Transition Modeling | |
| Abdel-Azim et al. | Performance analysis of artificial neural network intrusion detection systems | |
| Cordella et al. | A multi-stage classification system for detecting intrusions in computer networks | |
| Bhuyan et al. | Alert management and anomaly prevention techniques | |
| Torkaman et al. | A threat-aware Host Intrusion Detection System architecture model | |
| Liang et al. | Outlier-based Anomaly Detection in Firewall Logs | |
| Al-Mamory et al. | Building scenario graph using clustering | |
| Aziz et al. | Intrusion Detection Systems: Status, Challenges and Future Trends-A survey | |
| Dhakar et al. | The Conceptual and Architectural Design of an Intelligent Intrusion Detection System | |
| Onashoga et al. | A simulated multiagent-based architecture for intrusion detection system | |
| Karande et al. | Hybrid intrusion detection system for securing cloud based services | |
| Shrivastava et al. | EXISTING TRENDS IN INTRUSION DETECTION-A COMPARATIVE ANALYSIS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140723 Termination date: 20210919 |