CN103618689A - 一种网络入侵检测的方法、装置和系统 - Google Patents
一种网络入侵检测的方法、装置和系统 Download PDFInfo
- Publication number
- CN103618689A CN103618689A CN201310415514.9A CN201310415514A CN103618689A CN 103618689 A CN103618689 A CN 103618689A CN 201310415514 A CN201310415514 A CN 201310415514A CN 103618689 A CN103618689 A CN 103618689A
- Authority
- CN
- China
- Prior art keywords
- inner computer
- data
- computer
- intrusion
- system log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种网络入侵检测的方法、装置和系统。所述方法包括:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。本发明实施例,综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测,提高了网络入侵检测的全面性和准确性。同时,本发明实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程,在保证网络数据能及时传输到内部计算机的同时,还实现了网络入侵检测。
Description
技术领域
本发明涉及通信及计算机技术领域,尤其涉及一种网络入侵检测的方法、装置和系统。
背景技术
互联网(Internet)蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。因此为了保护用户网络环境的安全,及时发觉网络入侵行为,网络入侵检测系统便应运而生。
传统的网络入侵检测系统包括防火墙、入侵检测系统和交换机,如图1所示。其中,网络数据是在通过防火墙之后、进入交换机之前接入到入侵检测系统进行检测。由于防火墙和入侵检测系统都要对进入内部计算机的的网络数据进行检测,因此造成网络数据不能及时传输到内部计算机,导致内部计算机用户对网络数据使用效率低。另外,因传统的入侵检测系统中待检测的数据来源不够全面,对入侵检测结果的准确性造成一定影响。
发明内容
本发明实施例提供一种网络入侵检测的方法、装置和系统,用于解决现有网络入侵检测技术使得网络数据不能及时传输到内部计算机,导致内部计算机用户对网络数据使用效率低的问题。
一种网络入侵检测的方法,包括以下步骤:
在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;
检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
本发明实施例,实现综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测,提高了网络入侵检测的全面性和准确性,从而能够更好的保证内部网络环境的安全。同时,本发明实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程,在保证网络数据能及时传输到内部计算机、提高网络数据的使用效率的同时,还实现了网络入侵检测。
作为上述技术方案的优选,检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件,包括:
利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果;
将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。
本发明实施例实现将入侵检测的分析结果发送至防火墙,由防火墙根据该结果进行安全防范,保证了内部计算机用户网络环境的安全。
作为上述技术方案的优选,预设策略包括:
基于标识的入侵检测策略和基于异常的入侵检测策略。
本发明实施例还提出一种网络入侵检测的装置,其特征在于,包括:
获取模块,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;
检测模块,用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
作为上述技术方案的优选,所述检测模块包括:
分析单元,用于利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果;
发送单元,用于将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。
本发明实施例还提出一种网络入侵检测的系统,其特征在于,包括:
交换机,具有一个镜像端口,所述交换机与内部计算机连接;
入侵检测装置,与所述镜像端口连接,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为现有网络入侵检测技术的示意图;
图2为本发明实施例中网络入侵检测的方法的主要方法流程图;
图3为本发明实施例中第一种网络入侵检测的方法的详细方法流程图;
图4为本发明实施例中网络入侵检测系统的示意图;
图5为本发明实施例中网络入侵检测的装置的主要结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
网络入侵检测的对象是数据,因此该数据的来源及数据的准确性会直接影响网络入侵检测的准确性。若只对交换机中的传输数据进行网络入侵检测,数据来源比较单一,对内部计算机工作的网络环境监测的不够全面,不利于及时发现入侵事件。另外,有些入侵事件并不能从网络数据中及时的检测到,而计算机的系统日志却能够记录下网络入侵的踪迹,从这些踪迹中可以很好的发现网络入侵事件。
本发明实施例提出的网络入侵检测的方法中,网络入侵检测和交换机传输数据同时进行,并对交换机向内部计算机传输的数据和内部计算机的系统日志信息进行检测。参见图2,本发明实施例中网络入侵检测的主要方法流程包括:
步骤201:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息。
优选的,可以在交换机上单独设置一个镜像端口,通过该镜像端口来获取备份数据。
优选的,系统日志信息包括:系统安全日志、网络日志和审计数据等。
系统日志由系统管理并加以保护,一般情况下不能随意更改。该系统日志中严格记录着系统的行为,利用系统日志信息可以快速的对潜在的系统入侵作出记录和预测。例如当系统日志中记录系统收到连续、反复的端口连接请求时,根据这一迹象,可以判定可能遭受到入侵者正在使用端口扫描器对系统进行外部扫描。根据系统日志信息中的侵入踪迹,可以追踪到入侵来源,以便于预警进行安全防范操作。
步骤202:检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
本发明实施例,实现综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测,提高了网络入侵检测的全面性和准确性,从而能够更好的保证内部网络环境的安全。同时,本发明实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程,在保证网络数据能及时传输到内部计算机、提高网络数据的使用效率的同时,还实现了网络入侵检测。
本发明实施例中进行网络入侵检测后需要生成入侵检测分析结果,并将该入侵检测分析结果发送至防火墙,由防火墙根据该入侵检测分析结果进行进行安全防范操作,比如屏蔽掉入侵IP等。参见图3,本发明实施例中网络入侵检测的详细方法流程包括:
步骤301:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息。
步骤302:利用预设策略对内部计算机的系统日志信息和备份数据进行入侵分析,产生入侵事件分析结果。
优选的,入侵事件分析结果包括:入侵时间、入侵过程、入侵来源等。
优选的,预设策略包括基于标识的入侵检测策略和基于异常的入侵检测策略。
其中,基于标识的入侵检测策略,需要预先定义违背安全策略的入侵事件的特征,并给予这些特征建立一个特征集合用于检测入侵事件。例如当检测当检测到网络数据包的包头信息与特征集合想匹配时,则确定为检测到入侵事件。
其中,基于异常的入侵检测策略,需要预先定义系统正常运行模式下的模型,该模型中包括中央处理器(Central Processing Unit,CPU)利用率、内存使用率和文件校验和等(这一模型可以人为定义,也可以通过对系统进行统计分析得出)。将系统运行时的状态值与该模型进行对比,当两者不匹配时,则确定为检测到入侵事件。
步骤303:将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。
本发明实施例实现将入侵检测的分析结果发送至防火墙,由防火墙根据该结果进行安全防范,保证了内部计算机用户网络环境的安全。
本发明实施例中还提出一种网络入侵检测的系统,参见图4,该系统包括:
交换机,具有一个镜像端口,所述交换机与内部计算机连接;
入侵检测装置,与所述镜像端口连接,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
本发明实施例中还提出一种网络入侵检测装置,参见图5,该装置包括:
获取模块501,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;
检测模块502,用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
优选的,检测模块可包括:
分析单元,用于利用预设策略对内部计算机的系统日志信息和备份数据进行入侵分析,产生入侵事件分析结果;
发送单元,用于将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种网络入侵检测的方法,其特征在于,包括以下步骤:
在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;
检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
2.根据权利要求1所述的方法,其特征在于,检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件,包括:
利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果;
将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。
3.根据权利要求2所述的方法,其特征在于,预设策略包括:
基于标识的入侵检测策略和基于异常的入侵检测策略。
4.一种网络入侵检测的装置,其特征在于,包括:
获取模块,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;
检测模块,用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
5.根据权利要求4所述的装置,其特征在于,所述检测模块包括:
分析单元,用于利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果;
发送单元,用于将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。
6.一种网络入侵检测的系统,其特征在于,包括:
交换机,具有一个镜像端口,所述交换机与内部计算机连接;
入侵检测装置,与所述镜像端口连接,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
7.根据权利要求6所述的系统,其特征在于,所述入侵检测装置包括:
获取模块,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;
检测模块,用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
8.根据权利要求7所述的系统,其特征在于,所述检测模块包括:
分析单元,用于利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果;
发送单元,用于将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310415514.9A CN103618689A (zh) | 2013-09-12 | 2013-09-12 | 一种网络入侵检测的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310415514.9A CN103618689A (zh) | 2013-09-12 | 2013-09-12 | 一种网络入侵检测的方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103618689A true CN103618689A (zh) | 2014-03-05 |
Family
ID=50169393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310415514.9A Pending CN103618689A (zh) | 2013-09-12 | 2013-09-12 | 一种网络入侵检测的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103618689A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104392173A (zh) * | 2014-11-13 | 2015-03-04 | 普华基础软件股份有限公司 | 审计系统及审计检测方法 |
| CN107735987A (zh) * | 2015-06-02 | 2018-02-23 | 三菱电机大楼技术服务株式会社 | 中继装置、网络监视系统和程序 |
| CN109309649A (zh) * | 2017-07-27 | 2019-02-05 | 苏宁云商集团股份有限公司 | 一种攻击预警方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002027443A2 (en) * | 2000-09-25 | 2002-04-04 | Itt Manufacturing Enterprises, Inc. | Global computer network intrusion detection system |
| CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
-
2013
- 2013-09-12 CN CN201310415514.9A patent/CN103618689A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002027443A2 (en) * | 2000-09-25 | 2002-04-04 | Itt Manufacturing Enterprises, Inc. | Global computer network intrusion detection system |
| CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
Non-Patent Citations (4)
| Title |
|---|
| 吴庆佺: "入侵检测和防火墙联动技术研究", 《中国优秀博硕士学位论文全文数据库》, 15 January 2007 (2007-01-15) * |
| 张前忠: "分布式防火墙与入侵检测系统的联动技术研究", 《中国优秀博硕士学位论文全文数据库》, 15 November 2008 (2008-11-15) * |
| 李声: "防火墙与入侵检测系统联动技术的研究与实现", 《中国优秀博硕士学位论文全文数据库》, 15 January 2008 (2008-01-15) * |
| 胡伏湘: "入侵检测技术融入分布式防火墙的技术", 《计算技术与自动化 》, vol. 25, no. 4, 30 December 2006 (2006-12-30), pages 123 - 126 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104392173A (zh) * | 2014-11-13 | 2015-03-04 | 普华基础软件股份有限公司 | 审计系统及审计检测方法 |
| CN107735987A (zh) * | 2015-06-02 | 2018-02-23 | 三菱电机大楼技术服务株式会社 | 中继装置、网络监视系统和程序 |
| US10826915B2 (en) | 2015-06-02 | 2020-11-03 | Mitsubishi Electric Corporation | Relay apparatus, network monitoring system, and program |
| CN109309649A (zh) * | 2017-07-27 | 2019-02-05 | 苏宁云商集团股份有限公司 | 一种攻击预警方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10419458B2 (en) | Distributed techniques for detecting atypical or malicious wireless communications activity | |
| CN112114533B (zh) | 物联网数据处理方法、装置、计算机设备和存储介质 | |
| CN105264861A (zh) | 用于检测多阶段事件的方法和设备 | |
| US11509499B2 (en) | Detecting abnormal events in vehicle operation based on machine learning analysis of messages transmitted over communication channels | |
| CN106657163B (zh) | 工业控制动态防御方法和系统 | |
| US10791177B2 (en) | System to monitor and control sensor devices | |
| Karabiyik et al. | Digital forensics for IoT and WSNS | |
| US20150193280A1 (en) | Method and device for monitoring api function scheduling in mobile terminal | |
| CN102790706A (zh) | 海量事件安全分析方法及装置 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| CN114666156A (zh) | 数据安全防护系统、方法、装置、计算机设备和存储介质 | |
| CN103618689A (zh) | 一种网络入侵检测的方法、装置和系统 | |
| CN112615858A (zh) | 物联网设备监控方法、装置与系统 | |
| CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
| CN103233646A (zh) | 用于监控保险柜安全的方法及系统 | |
| CN103871185B (zh) | 输电线路反外力处理方法、装置及系统 | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| CN113791792A (zh) | 应用调用信息的获取方法、设备以及存储介质 | |
| KR102124611B1 (ko) | 보안 정책 관리 방법 및 그 시스템 | |
| CN109586788B (zh) | 监控系统故障诊断方法、装置、计算机设备及存储介质 | |
| JP2021196997A (ja) | ログ送信制御装置 | |
| US20230156450A1 (en) | Wireless device detection systems and methods incorporating streaming survival modeling for discrete rotating identifier data | |
| CN113507691B (zh) | 一种基于配电网跨区服务的信息推送系统和方法 | |
| Kabashkin | Reliability of bidirectional V2X communications in the intelligent transport systems | |
| Bai et al. | Internet of vehicles security situation awareness based on intrusion detection protection systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140305 |