CN101826994B - 一种获取入侵源主机信息的方法及装置 - Google Patents

一种获取入侵源主机信息的方法及装置 Download PDF

Info

Publication number
CN101826994B
CN101826994B CN2010101053120A CN201010105312A CN101826994B CN 101826994 B CN101826994 B CN 101826994B CN 2010101053120 A CN2010101053120 A CN 2010101053120A CN 201010105312 A CN201010105312 A CN 201010105312A CN 101826994 B CN101826994 B CN 101826994B
Authority
CN
China
Prior art keywords
information
source host
unit
detection device
invading
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010101053120A
Other languages
English (en)
Other versions
CN101826994A (zh
Inventor
柯宗贵
柯宗庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bluedon Information Security Technologies Co Ltd
Original Assignee
Bluedon Information Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bluedon Information Security Technologies Co Ltd filed Critical Bluedon Information Security Technologies Co Ltd
Priority to CN2010101053120A priority Critical patent/CN101826994B/zh
Publication of CN101826994A publication Critical patent/CN101826994A/zh
Application granted granted Critical
Publication of CN101826994B publication Critical patent/CN101826994B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

本发明公开了一种获取入侵源主机信息的方法及装置,涉及网络安全领域,用以解决现有入侵检测系统无法确定入侵源主机身份信息的问题。方法包括:探针检测装置检测到入侵信息后,扫描入侵源主机端口;探针检测装置通过该端口嗅探入侵源主机的网络服务;探针检测装置根据该网络服务判断入侵源主机所用的操作系统;探针检测装置将获取的信息一并上报。装置包括:扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口;嗅探单元,用于通过该端口嗅探入侵源主机的网络服务;判断单元,用于根据该网络服务判断入侵源主机所用的操作系统;上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。

Description

一种获取入侵源主机信息的方法及装置
技术领域
本发明涉及网络安全领域,特别是涉及一种获取入侵源主机信息的方法及装置。
背景技术
目前,入侵检测系统(IDS Intrusion-detection system)得到了广泛的应用,特别是网络型入侵检测系统在边界安全中使用最为广泛,和防火墙系统一起成为网络边界安全必不可少的网络安全产品。
现有入侵检测系统由控制中心部分和探针两部分组成。其中控制中心部分负责对探针实例的管理,包括入侵模式库的管理和同步,入侵日志的接收和处理(入库、报警、数据挖掘等);探针部分部署于网络边界,负责对网络数据包的采集、解码分析、模式库匹配和向控制中心上报入侵信息等。
现有入侵检测系统虽然能够对入侵事件进行检测报警,但其误报率较高,无法确定入侵者身份信息。
发明内容
本发明提供了一种获取入侵源主机信息的方法及装置,用以解决现有入侵检测系统无法确定入侵源主机身份信息的问题。
本发明的一种获取入侵源主机信息的方法,包括下列步骤:探针检测装置检测到入侵信息后,扫描入侵源主机端口;探针检测装置通过所述端口嗅探入侵源主机的网络服务;探针检测装置根据所述网络服务判断入侵源主机所用的操作系统;探针检测装置将上述步骤中获取的端口、网络服务及操作系统的信息一并上报。
本发明的一种探针检测装置,包括:扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口;嗅探单元,用于通过所述端口嗅探入侵源主机的网络服务;判断单元,用于根据所述网络服务判断入侵源主机所用的操作系统;上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。
本发明有益效果如下:
本发明通过扫描入侵源主机端口,嗅探入侵源主机的网络服务,以及判断入侵源主机所用的操作系统,获取了入侵源主机的身份信息,并将该信息上报。因此不但能捕捉到黑客的IP和其它入侵信息,还能给黑客拍一张“全身照”,为有关部门进一步追踪黑客和取证提供了有力的依据。
附图说明
图1为本发明实施例1中的工作流程图;
图2为本发明实施例2中的工作流程图;
图3为本发明实施例3中的装置结构示意图;
图4为本发明实施例4中的装置结构示意图。
具体实施方式
发明人提供的主要思路是通过一种“反向拍照”的方案解决在入侵检测系统中确定入侵源主机身份信息的问题。
实施例1:参见图1所示,本方法实施例的反向拍照方案的工作流程包括下列步骤:
S1、探针检测装置检测到入侵信息后,采用网络嗅测器(NMAP the NetworkMapper)工具扫描入侵源主机端口。
S2、探针检测装置通过该端口嗅探入侵源主机的网络服务。
S3、探针检测装置根据该网络服务判断入侵源主机所用的操作系统。
S4、探针检测装置将S1、S2和S3中获取的信息一并上报。具体可上报给控制中心,由控制中心对该信息进行记录和审计,为有关部门进一步追踪黑客和取证提供了有力的依据。
实施例2:参见图2所示,本方法实施例的反向拍照方案的工作流程包括下列步骤:
S11、探针检测装置对事件队列抓包。
S12、探针检测装置对所述被抓取的数据包进行解码分析。
S13、探针检测装置将所述解码分析后的数据与入侵模式库中的信息匹配,若相匹配,则判定检测到入侵信息,并转入S14;否则,判定该数据包正常,返回S11,重新抓包。
S14、探针检测装置检测到入侵信息后,采用网络嗅测器(NMAP theNetwork Mapper)工具扫描入侵源主机端口。
S15、探针检测装置通过该端口嗅探入侵源主机的网络服务。
S16、探针检测装置根据该网络服务判断入侵源主机所用的操作系统。
S17、探针检测装置将S14、S15和S16中获取的信息一并上报,并返回S11,重新抓包。具体可上报给控制中心,由控制中心对该信息进行记录和审计,为有关部门进一步追踪黑客和取证提供了有力的依据。
实施例3:参见图3所示,本装置实施例包括如下单元:
扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口。具体可采用网络嗅测器工具扫描入侵源主机端口。
嗅探单元,用于通过该端口嗅探入侵源主机的网络服务。
判断单元,用于根据该网络服务判断入侵源主机所用的操作系统。
上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。具体可上报给控制中心,由控制中心对该信息进行记录和审计,为有关部门进一步追踪黑客和取证提供了有力的依据。
实施例4:参见图4所示,本装置实施例包括如下单元:
抓包单元,用于对事件队列抓包。
解码分析单元,用于对被抓取的数据包进行解码分析。
入侵模式库单元,用于存储入侵模式信息。
匹配单元,用于将解码分析后的数据与入侵模式库中的信息匹配,若相匹配,则判定检测到入侵信息,并触发扫描单元;否则,判定该数据包正常。
扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口。具体可采用网络嗅测器工具扫描入侵源主机端口。
嗅探单元,用于通过该端口嗅探入侵源主机的网络服务。
判断单元,用于根据该网络服务判断入侵源主机所用的操作系统。
上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。具体可上报给控制中心,由控制中心对该信息进行记录和审计,为有关部门进一步追踪黑客和取证提供了有力的依据。
综上,应用本独特的方案不但能捕捉到黑客的IP和其它入侵信息,还能给黑客拍一张“全身照”,为有关部门进一步追踪黑客和取证提供了有力的依据。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (8)

1.一种获取入侵源主机信息的方法,其特征在于,包括下列步骤:
探针检测装置检测到入侵信息后,扫描入侵源主机端口;
探针检测装置通过所述端口嗅探入侵源主机的网络服务;
探针检测装置根据所述网络服务判断入侵源主机所用的操作系统;
探针检测装置将上述步骤中获取的端口、网络服务及操作系统的信息一并上报。
2.如权利要求1所述获取入侵源主机信息的方法,其特征在于,采用网络嗅测器工具扫描入侵源主机端口。
3.如权利要求1所述获取入侵源主机信息的方法,其特征在于,所述检测到入侵信息的过程包括下列步骤:
探针检测装置对事件队列抓包;
探针检测装置对所述被抓取的数据包进行解码分析;
探针检测装置将所述解码分析后的数据与入侵模式库中的信息匹配,若相匹配,则判定检测到入侵信息;否则,判定该数据包正常。
4.如权利要求1所述获取入侵源主机信息的方法,其特征在于,将获取的所述信息一并上报到控制中心;控制中心对该信息进行记录和审计。
5.一种探针检测装置,其特征在于,包括:
扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口;
嗅探单元,用于通过所述端口嗅探入侵源主机的网络服务;
判断单元,用于根据所述网络服务判断入侵源主机所用的操作系统;
上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。
6.如权利要求5所述的探针检测装置,其特征在于,还包括:
抓包单元,用于对事件队列抓包;
解码分析单元,用于对所述被抓取的数据包进行解码分析;
入侵模式库单元,用于存储入侵模式信息;
匹配单元,用于将所述解码分析后的数据与入侵模式库中的信息匹配,若相匹配,则判定检测到入侵信息,并触发扫描单元;否则,判定该数据包正常。
7.如权利要求5所述的探针检测装置,其特征在于,扫描单元采用网络嗅测器工具扫描入侵源主机端口。
8.如权利要求5所述的探针检测装置,其特征在于,上报单元将获取的所述信息一并上报到控制中心;控制中心对该信息进行记录和审计。
CN2010101053120A 2010-02-04 2010-02-04 一种获取入侵源主机信息的方法及装置 Expired - Fee Related CN101826994B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010101053120A CN101826994B (zh) 2010-02-04 2010-02-04 一种获取入侵源主机信息的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101053120A CN101826994B (zh) 2010-02-04 2010-02-04 一种获取入侵源主机信息的方法及装置

Publications (2)

Publication Number Publication Date
CN101826994A CN101826994A (zh) 2010-09-08
CN101826994B true CN101826994B (zh) 2012-07-04

Family

ID=42690712

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101053120A Expired - Fee Related CN101826994B (zh) 2010-02-04 2010-02-04 一种获取入侵源主机信息的方法及装置

Country Status (1)

Country Link
CN (1) CN101826994B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105812200B (zh) * 2014-12-31 2019-09-13 中国移动通信集团公司 异常行为检测方法及装置
CN104618181A (zh) * 2015-01-13 2015-05-13 国家电网公司 一种基于nmap对电力系统内网操作系统进行检测的方法
CN111711626A (zh) * 2020-06-16 2020-09-25 广州市安鸿网络科技有限公司 一种网络入侵监测的方法和系统
CN114650210B (zh) * 2020-12-21 2023-04-11 华为技术有限公司 告警处理方法及防护设备

Also Published As

Publication number Publication date
CN101826994A (zh) 2010-09-08

Similar Documents

Publication Publication Date Title
CN102859565B (zh) 用于安全系统恶意干扰检测的方法与系统
CN105991587B (zh) 一种入侵检测方法及系统
US10356113B2 (en) Apparatus and method for detecting abnormal behavior
US7808958B1 (en) Rogue wireless access point detection
CN102164270A (zh) 具有异常事件发掘功能的智能视频监控方法及系统
SG10201900335PA (en) Server and method to determine malicious files in network traffic
CN101826994B (zh) 一种获取入侵源主机信息的方法及装置
CN107968730A (zh) 监测物联网卡被盗用的方法和系统
CN102346153A (zh) 一种隧道病害的检测方法
CN110851834B (zh) 融合多特征分类的安卓恶意应用检测方法
CN103051627A (zh) 一种反弹式木马的检测方法
CN102622580A (zh) 一种人脸检测识别方法及系统
CN107016298B (zh) 一种网页篡改监测方法及装置
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
CN103442361A (zh) 移动应用的安全性检测方法及移动终端
CN112039858A (zh) 一种区块链服务安全加固系统与方法
CN111275984B (zh) 车辆检测方法、装置及服务器
CN109740577A (zh) 一种基于树莓派的实时人脸重识别摄像系统及其调试方法
CN104796822B (zh) 音频啸叫检测方法、使用该方法的视频监控方法及系统
CN109873990A (zh) 一种基于计算机视觉的矿山非法开采预警方法
CN106899977B (zh) 异常流量检验方法和装置
CN201317339Y (zh) 一种识别被盗嫌疑车辆的装置
CN111144181A (zh) 一种基于背景协同的风险检测方法、装置及系统
CN116824471A (zh) 智能井架区域作业监测方法和系统
CN106778276B (zh) 一种检测无实体文件恶意代码的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
DD01 Delivery of document by public notice

Addressee: Wu Bingtang

Document name: Notification of Passing Preliminary Examination of the Application for Invention

C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
DD01 Delivery of document by public notice

Addressee: Wu Bingtang

Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention

DD01 Delivery of document by public notice

Addressee: Wu Bingtang

Document name: Notification of Passing Examination on Formalities

C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: GUANGDONG BLUEDON INFORMATION SECURITY TECHNOLOGY

Free format text: FORMER OWNER: BLUEDON INFORMATION SAFETY TECHNOLOGY CO., LTD.

Effective date: 20130716

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20130716

Address after: 510665, 16, 1 Yun Road, Tianhe District, Guangdong, Guangzhou, 1, 801 rooms

Patentee after: Guangdong Landun information Safe Technology Ltd.

Address before: 510665, 16, Yun Yun Road, Tianhe District, Guangdong, 2101, 1, Guangzhou

Patentee before: BLUEDON INFORMATION SECURITY TECHNOLOGY Co.,Ltd.

C56 Change in the name or address of the patentee

Owner name: BLUEDON INFORMATION SECURITY TECHNOLOGIES CO., LTD

Free format text: FORMER NAME: GUANGDONG BLUEDON INFORMATION SECURITY TECHNOLOGY CO., LTD.

CP03 Change of name, title or address

Address after: 5 A326, two Dongming Road, Guangzhou hi tech Industrial Development Zone, Guangdong, Guangzhou 510000, China

Patentee after: BLUEDON INFORMATION SECURITY TECHNOLOGY Corp.,Ltd.

Address before: 510665, 16, 1 Yun Road, Tianhe District, Guangdong, Guangzhou, 1, 801 rooms

Patentee before: Guangdong Landun information Safe Technology Ltd.

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and device for acquiring information invading source host

Effective date of registration: 20190128

Granted publication date: 20120704

Pledgee: China Co. truction Bank Corp Guangzhou economic and Technological Development Zone sub branch

Pledgor: BLUEDON INFORMATION SECURITY TECHNOLOGY Corp.,Ltd.

Registration number: 2019440000047

PE01 Entry into force of the registration of the contract for pledge of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120704

CF01 Termination of patent right due to non-payment of annual fee