CN101902337B - 一种网络入侵事件的管理方法 - Google Patents
一种网络入侵事件的管理方法 Download PDFInfo
- Publication number
- CN101902337B CN101902337B CN 200910085038 CN200910085038A CN101902337B CN 101902337 B CN101902337 B CN 101902337B CN 200910085038 CN200910085038 CN 200910085038 CN 200910085038 A CN200910085038 A CN 200910085038A CN 101902337 B CN101902337 B CN 101902337B
- Authority
- CN
- China
- Prior art keywords
- event
- control center
- management control
- comparison rule
- detection engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络入侵事件的管理方法,应用于网络入侵检测系统,包括:网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与管理控制中心中预先配置的比较规则相匹配,如果是,再判断所述比较规则的对应响应策略与检测引擎当前所应用的响应策略是否一致,如果不一致,则将所述比较规则的响应策略下发至检测引擎;检测引擎根据所述下发的响应策略向管理控制中心上报事件;所述响应策略包括:取消事件上报、将事件合并后上报、或者将事件合并上报并提高其事件级别。通过本发明所述方法,网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。
Description
技术领域
本发明涉及网络入侵检测系统技术领域,更具体地,涉及一种网络入侵检测系统的管理控制中心根据实时统计检测引擎上报的事件进行策略调整的管理方法。
背景技术
目前基于网络的入侵检测系统在市场上比较常见,网络入侵检测系统(Network Intrusion Detection System,简称NIDS)也已经被网络建设和管理人员所熟知。通常,一个大型网络为了加强自身网络安全,都会部署入侵检测系统,利用多个检测引擎实时监控重要网段状况,并通过集中管理的中央控制台对所有检测引擎进行管理。然而,网络管理员面对管理控制中心上不断滚动的告警信息,却经常显得无所适从。这是因为,网络管理员往往在花费大量时间对数目繁多的报警信息进行逐条追查后,却发现是误报;而面对不断滚动的报警信息,如果不能及时从中发现攻击事件又会导致漏报。所以有些网管人员经过一番试用后,甚至放弃了对入侵检测系统的使用。
据统计,目前NIDS的报警信息中,仅有10%是有用的。当NIDS部署到网络后,网络管理员会发现系统产生大量的入侵误报信息,这些误报信息将给网络和管理员带来如下困扰:首先,网络管理员很难从大量的报警信息中发现真实的入侵事件,这样就会引起对网络入侵信息的遗漏;其次,这给网络传输和日志存储带来严重的问题,可能使网络传输负载变大,也将使日志存储系统空间占满,导致真实的入侵事件无法进行审计。
网络入侵检测系统误报原因大致可分为三种:
1.由网络结构引起
网络结构,特别是路由结构的设计,在一些特殊情况下,比如路由不可达时,将产生大量的ICMP Echo(Internet Control Message Protocol Echo,因特网控制报文协议回声)请求,这时候网络入侵检测系统将产生ICMP Flood(ICMP泛滥)的入侵信息,该入侵方式即攻击者发送大量的ICMP Echo请求,超过了协议堆栈所能处理的能力;
2.由特殊设备引起的
一些特殊设备会产生特殊的、畸形的数据包,比如负载均衡设备。在特定情况下,如果发出的数据包和返回的数据包经过不同链路的设备,此时网络入侵检测系统将产生入侵告警;
3.由特殊应用协议引起
在网络环境中,一些应用系统由于设计和实现时存在缺陷,比如Client(客户端)同Server(服务器)之间通信的协议在数据传输过程中,恰好包括了网络入侵检测系统模式匹配的特征串,此时网络入侵检测系统也将产生误报告警。
分析以上原因,如果能够了解入侵检测系统的检测机制,然后根据本地网络环境的情况,利用入侵检测系统提供的配置管理机制,对入侵检测系统进行适当的配置和调整,则将使入侵检测系统变得得心应手。因此,有必要提供一种针对网络入侵事件的有效管理方法。
发明内容
本发明要解决的技术问题是提供一种网络入侵事件的管理方法,使网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。
为了解决上述问题,本发明提供了一种网络入侵事件的管理方法,应用于网络入侵检测系统,包括:
所述网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与所述管理控制中心中预先配置的比较规则相匹配,如果是,再判断所述比较规则的对应响应策略与所述检测引擎当前所应用的响应策略是否一致,如果不一致,则将所述比较规则的响应策略下发至所述检测引擎;
所述检测引擎根据所述下发的响应策略向所述管理控制中心上报事件;
所述响应策略包括:取消事件上报、将事件合并后上报、或者将事件合并上报并提高其事件级别。
进一步地,上述方法还可具有如下特点:
所述与比较规则相匹配是指达到所述事件的统计信息的预定阈值;
其中,所述事件的统计信息包括所述管理控制中心统计的该类事件的数量及其在总事件数的占有率的其中一种或其结合。
进一步地,上述方法还可具有如下特点:
所述比较规则设置有优先级;
当所述管理控制中心判断出某一事件同时与多个比较规则相匹配时,则优先匹配优先级较高的比较规则。
进一步地,上述方法还可具有如下特点:
所述事件的合并上报包括:按相同的源IP、目的IP、源和目的IP、源网段或者目的网段对所述事件进行合并上报。
进一步地,上述方法还可具有如下特点:
所述响应策略还包括增加下列事件响应方式:邮件报警或全局预警。
进一步地,上述方法还可具有如下特点:
所述管理控制中心定期或实时对所述检测引擎上报的所述事件进行统计信息的更新,并根据所述统计信息和所述比较规则的响应策略,动态的调整策略集,并将调整后的策略集下发给所述检测引擎。
进一步地,上述方法还可具有如下特点:
如果所述比较规则的对应响应策略与所述检测引擎当前所应用的响应策略一致,则所述检测引擎根据当前应用的响应策略向所述管理控制中心上报事件。
进一步地,上述方法还可具有如下特点:
所述管理控制中心采用遍历的方式判断所述事件是否与所述比较规则相匹配。
附图说明
图1是本发明实施例的网络入侵事件管理方法的流程示意图。
具体实施方式
本发明的核心思想是:管理控制中心实时统计各个检测引擎上报的各类事件的数量、占有比例等信息,并根据这些信息设置自己关心事件的阈值并且配置达到阈值后的响应策略;当达到阈值以后,管理控制中心应用这个响应策略并下发给检测引擎,使检测引擎应用本策略后能够合并或者忽略网络管理员不关心的事件,定制自己关心的事件。
在本发明描述中,“事件”是指检测引擎进行报文匹配以后生成的报警信息;“策略”是指对事件定义检测的补充规定,以及生成事件日志以后系统的处理规则,这些规则统称为该事件的策略,策略的集合就是策略集。
本发明提供的网络入侵事件的管理方法主要包括以下步骤:
1)管理控制中心接收事件并统计
首先,管理控制中心必须运行在一台能够连接网络的主机上,连接了检测引擎,并且有入侵检测事件上报。管理控制中心针对每个引擎建立一个统计项,每当有一条事件上报给管理控制中心以后,更新这些统计项,调整这条事件所属事件类型的条数和这类事件在总事件数中的占有率。
2)网络管理员配置比较规则
其中,比较规则是指定义的某条事件或者某类事件的统计项的阈值,达到或超过这个阈值就称为比较规则的生效。网络管理员还需要定义比较规则生效后对应的响应策略,比如合并该类事件或者改变响应方式。所述的阈值可以是比例上的,也可以是数量上的,比如危险级别比较低的事件的占所有事件的比例太高时,可以设定一个比例上的阈值,当达或超过这个比例后,所有这类低危险级别的事件如果再进行上报时,将每合并三十条上报一次。
3)匹配比较规则
管理控制中心每隔一段时间加载一次统计数据,统计各检测引擎上报的各类事件的数量、占有比例等信息,并将事件以遍历的方式与所制定的比较 规则匹配。
4)向检测引擎下发生效的策略
比较规则生效后,如果网络管理员定义的事件合并或响应方式与当前检测引擎应用的响应策略不一致,那么管理控制中心需要将对应的策略动态的生成策略集,然后下发给检测引擎,使策略集的应用生效。
采用以上技术方案,生效的新策略可以有如下效果:通过取消响应方式来过滤掉不关心的告警,归并高频率低级别的告警使告警界面更直观,通过提高响应级别或增加响应方式以定制关心的安全事件。
下面结合附图及具体实施例对本发明的具体实现作进一步详述。
假设IP为192.168.0.2的主机部署管理控制中心,而检测引擎有2台,为了进行区分,分别命名为E1、E2。
步骤101,首先,在192.168.0.2的主机上运行管理控制中心模块,添加E1、E2作为其管理的检测引擎,并且配置两台检测引擎事件上报的统计频度;
例如,设置统计频率为2分钟,则每2分钟将当前检测引擎上报的各类事件的条数和所占比例更新一遍。
步骤102,设置连接引擎后,管理控制中心接收检测引擎的上报事件;
步骤103,管理控制中心实时进行事件统计工作;
其中,统计工作对每个检测引擎都是单独的,即每个检测引擎都有一个统计数据,这是因为各个检测引擎在不同的网络节点,上报来的事件具有其特殊性,配置比较规则时需要符合各个检测引擎的具体情况。
步骤104,管理控制中心根据事件统计项匹配比较规则;
网络管理人员可以配置事件的比较规则,例如,如果用户想过滤不关心的警告事件,则可以取消它的相关响应方式,不进行报警。同理,也可以通过修改相关响应方式,以定制网络管理员比较关心的事件,提供邮件报警、全局预警等响应方式。此外,还可以配置比较规则的响应方式为事件归并,如按相同的源IP、目的IP、源和目的IP、源网段、目的网段等方式归并一些低级别的事件,以方便网络管理员发现网络中的其他异常行为。
管理控制中心负责将事件按优先级与预先配置的比较规则进行匹配。如果一类事件有多条比较规则都匹配,则优先匹配优先级高的比较规则,如果优先级相同,则规则指定的条数大(规则指定条数越大,越接近实际条数)的生效。
例如,如果在比较规则中设置了ICMP_PING(Ping是ICMP协议中的一类,用于查询主机是否在网上)事件满足每秒钟大于50条时进行事件合并,并且调高合并后的事件级别,那么,每当管理控制中心更新过统计数据后,将遍历统计数据,检查每秒钟这类事件是否大于50条。
步骤105,向检测引擎下发生效的策略。
如果满足条件,并且管理控制中心判断出比较规则的响应策略设置与旧的策略同类事件的响应设置不同,那么就生成新的响应策略,并下发给检测引擎。新策略在检测引擎生效后,上报给管理控制中心的事件就是符合新的策略的。例如,如果ICMP_PING_事件满足每秒钟大于50条,则按照上一步骤104中的策略,将对事件进行合并,并且调高合并后的事件级别,检测引擎应用该策略后,ICMP_PING_事件就已经是每合并50条,并且作为高级事件上报给管理控制中心,而不再是按照旧的策略逐条上报给管理控制中心了。
应用这个动态产生的新策略集后,以后的使用中,如果又发现新的事件上报需求,则网络管理员可以调整或添加新的比较规则及其响应策略,满足新的事件上报需求,更好的管理网络入侵事件
通过以上描述可以看出,利用本发明可大大降低网络管理员不关心的事件量,以及通过定制网络管理员专注的事件,减少了误报率,方便发现网络中异常行为,增强了网络入侵检测系统的易用性。
应当理解的是,以上针对网络入侵检测事件的管理方法仅是本发明的具体应用实例,显然,本发明还可有其它实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的普通技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (8)
1.一种网络入侵事件的管理方法,应用于网络入侵检测系统,其特征在于,包括:
所述网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与所述管理控制中心中预先配置的比较规则相匹配,如果是,再判断所述比较规则的对应响应策略与所述检测引擎当前所应用的响应策略是否一致,如果不一致,则将所述比较规则的响应策略下发至所述检测引擎;
所述检测引擎根据所述下发的响应策略向所述管理控制中心上报事件;所述响应策略包括:取消事件上报、将事件合并后上报、或者将事件合并上报并提高其事件级别。
2.如权利要求1所述的方法,其特征在于,
所述与比较规则相匹配是指达到所述事件的统计信息的预定阈值;
其中,所述事件的统计信息包括所述管理控制中心统计的该类事件的数量及其在总事件数的占有率的其中一种或其结合。
3.如权利要求1或2所述的方法,其特征在于,
所述比较规则设置有优先级;
当所述管理控制中心判断出某一事件同时与多个比较规则相匹配时,则优先匹配优先级较高的比较规则。
4.如权利要求1所述的方法,其特征在于,
所述事件的合并上报包括:按相同的源IP、目的IP、源和目的IP、源网段或者目的网段对所述事件进行合并上报。
5.如权利要求1所述的方法,其特征在于,
所述响应策略还包括增加下列事件响应方式:邮件报警或全局预警。
6.如权利要求2所述的方法,其特征在于,
所述管理控制中心定期或实时对所述检测引擎上报的所述事件进行统计信息的更新,并根据所述统计信息和所述比较规则的响应策略,动态的调整策略集,并将调整后的策略集下发给所述检测引擎。
7.如权利要求1或2所述的方法,其特征在于,
如果所述比较规则的对应响应策略与所述检测引擎当前所应用的响应策略一致,则所述检测引擎根据当前应用的响应策略向所述管理控制中心上报事件。
8.如权利要求1所述的方法,其特征在于,
所述管理控制中心采用遍历的方式判断所述事件是否与所述比较规则相匹配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910085038 CN101902337B (zh) | 2009-05-27 | 2009-05-27 | 一种网络入侵事件的管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910085038 CN101902337B (zh) | 2009-05-27 | 2009-05-27 | 一种网络入侵事件的管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101902337A CN101902337A (zh) | 2010-12-01 |
CN101902337B true CN101902337B (zh) | 2013-03-06 |
Family
ID=43227560
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200910085038 Expired - Fee Related CN101902337B (zh) | 2009-05-27 | 2009-05-27 | 一种网络入侵事件的管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101902337B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105512561B (zh) * | 2015-12-02 | 2018-11-23 | 北京安信天行科技有限公司 | 一种网络主机信息的安全检测方法和装置 |
CN107483448A (zh) * | 2017-08-24 | 2017-12-15 | 中国科学院信息工程研究所 | 一种网络安全检测方法及检测系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及系统 |
US7421737B1 (en) * | 2004-05-04 | 2008-09-02 | Symantec Corporation | Evasion detection |
CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
-
2009
- 2009-05-27 CN CN 200910085038 patent/CN101902337B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及系统 |
US7421737B1 (en) * | 2004-05-04 | 2008-09-02 | Symantec Corporation | Evasion detection |
CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101902337A (zh) | 2010-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102308522B (zh) | 一种定位网络故障的方法、设备及系统 | |
CN101582807B (zh) | 一种基于北向接口实现网络管理的方法及系统 | |
CN101431449B (zh) | 一种网络流量清洗系统 | |
CA2372539C (en) | Method and apparatus for efficient reactive monitoring | |
CN101312405B (zh) | 一种告警处理方法及网管系统 | |
KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
CN103491060B (zh) | 一种防御Web攻击的方法、装置、及系统 | |
US20060236402A1 (en) | Methods, systems, and computer program products for detecting and mitigating denial of service attacks in a telecommunications signaling network | |
CN101034976B (zh) | Ip连接安全系统中的入侵检测设备 | |
CN112468592B (zh) | 一种基于电力信息采集的终端在线状态侦测方法及系统 | |
CN104219091A (zh) | 一种网络运行故障检测系统及其方法 | |
CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
KR100523483B1 (ko) | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 | |
CN1685662A (zh) | 监控电信网络单元 | |
CN110048872A (zh) | 一种网络告警方法、装置、系统及终端 | |
CN102843274B (zh) | 一种多链路故障检测的方法及装置 | |
CN102035895A (zh) | 基于http协议分析的网站监管方法 | |
CN101902337B (zh) | 一种网络入侵事件的管理方法 | |
CN102045320A (zh) | 安全策略的老化方法及装置 | |
CN116302862B (zh) | 一种微服务架构下监控告警方法和系统 | |
CN101888386A (zh) | 一种用于七号信令网的防火墙装置 | |
Ergenç et al. | Tsnzeek: An open-source intrusion detection system for ieee 802.1 time-sensitive networking | |
RU2685989C1 (ru) | Способ снижения ущерба, наносимого сетевыми атаками серверу виртуальной частной сети | |
Lai et al. | Detecting denial of service attacks in sensor networks | |
Wu et al. | Network Traffic Monitoring and Real-time Risk Warning based on Static Baseline Algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130306 Termination date: 20180527 |