CN105991587A - 一种入侵检测方法及系统 - Google Patents
一种入侵检测方法及系统 Download PDFInfo
- Publication number
- CN105991587A CN105991587A CN201510080837.6A CN201510080837A CN105991587A CN 105991587 A CN105991587 A CN 105991587A CN 201510080837 A CN201510080837 A CN 201510080837A CN 105991587 A CN105991587 A CN 105991587A
- Authority
- CN
- China
- Prior art keywords
- service feature
- feature information
- data flow
- white list
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种入侵检测方法,该方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。本发明还同时公开了一种入侵检测系统。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种入侵检测方法及系统。
背景技术
随着信息技术的不断发展,网络信息安全问题也日显突出,如何确保网络信息的安全已成为全社会关注的问题。目前,网络入侵检测技术作为一种积极主动地安全防护技术,已被广泛应用于网络信息安全领域;网络入侵检测技术提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,因此,网络入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
现有网络入侵检测技术通常采用模式匹配、异常检测及协议分析对网络业务数据流进行入侵检测,然而,现有入侵检测技术通常是对所有被监控流量进行特征包检测,并不了解用户的业务环境,因此,经常会出现误报现象,从而降低了网络入侵检测的检测率。
发明内容
有鉴于此,本发明实施例提供一种入侵检测方法及系统,能提高入侵检测的检测率。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种入侵检测方法,该方法包括:
接收到数据采集指令时,采集业务数据流;
根据所述业务数据流提取传输基本信息;
根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
上述方案中,该方法还包括:
在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
上述方案中,所述在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:
在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;
对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
上述方案中,所述根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测,包括:
将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
上述方案中,所述方法还包括:
对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;
对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
上述方案中,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
根据上述方法,本发明实施例还提供了一种入侵检测系统,该系统包括:流量采集模块、基本信息提取模块、入侵检测模块;其中,
所述流量采集模块,用于接收到数据采集指令时,采集业务数据流;
所述基础信息提取模块,用于根据所述业务数据流提取传输基本信息;
所述入侵检测模块,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
上述方案中,所述系统还包括:
白名单确定模块,用于在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
上述方案中,所述白名单确定模块,具体用于指示所述流量采集模块在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;并在所述流量采集模块采集每类数据流的至少一个会话连接实例的业务数据流之后,对每类数据流的至少一个连接实例的业务数据流数据进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
上述方案中,所述入侵检测模块,具体用于将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
上述方案中,所述入侵检测模块,具体用于在对所述业务数据流的入侵检测未通过时,指示所述流量采集模块在预设的时间段内根据所述待测传输基本信息采集至少一个会话连接实例的业务数据流;
并在所述流量采集模块采集至少一个会话连接实例的业务数据流后,对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
上述方案中,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
本发明实施例所提供的入侵检测方法及系统,接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息;如此,本发明实施例能针对互连行为的业务数据流进行统计分析与特征提取,从而得到正常互连行为的业务特征信息;并根据正常互连行为的业务特征信息对采集的业务数据流进行入侵检测,进而能够提高入侵检测的检测率。
附图说明
图1为本发明实施例入侵检测系统的结构示意图;
图2为本发明实施例入侵检测方法流程示意图;
图3为本发明实施例入侵检测的具体场景示意图。
具体实施方式
在本发明实施例中,接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
下面结合附图对本发明的具体实施方式进行说明。
图1为本发明实施例中提供的入侵检测系统的结构示意图,如图1所示,该系统包括:流量采集模块100、基本信息提取模块101、入侵检测模块102;其中,
所述流量采集模块100,用于接收到数据采集指令时,采集业务数据流;
所述基本信息提取模块101,用于根据所述业务数据流提取传输基本信息;
所述入侵检测模块102,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;
其中,所述检测白名单包括正常互连行为的业务特征信息;
其中,所述传输基本信息可以为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
进一步地,所述系统还包括:
白名单确定模块103,用于在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
具体实施中,所述白名单确定模块103,用于指示所述流量采集模块100在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流,并在所述流量采集模块100采集每类数据流的至少一个会话连接实例的业务数据流之后,对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
具体实施中,所述入侵检测模块102,具体用于将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
具体实施中,所述入侵检测模块102,具体用于在对所述业务数据流的入侵检测未通过时,指示所述流量采集模块100在预设的时间段内根据待测的所述传输基本信息采集至少一个会话连接实例的业务数据流;
并在所述流量采集模块100采集至少一个会话连接实例的业务数据流后,对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
为了描述的方便,以上所述入侵检测系统的各部分以功能分为各种模块或单元分别描述。以上功能模块或单元的划分方式仅为本发明实施例给出的一种优选实现方式,功能模块或单元的划分方式不构成对本发明的限制。
上述功能模块可以是软件功能模块,也可以是硬件设备。该入侵检测系统可以是分布式系统或集中式系统,若为分布式系统,则上述功能模块可分别由硬件设备实现,各硬件设备之间通过网络交互;若是集中式系统,则上述各功能模块可由软件实现,集成在一个硬件设备中。
在实际应用中,若所述入侵检测系统为分布式系统,则流量采集模块100可由入侵检测系统中的探针实现,所述基础信息提取模块101、入侵检测模块102、白名单确定模块103可由入侵检测系统中的安全管理中心(SecurityManagement Center,SMC)实现。
在实际应用中,若所述入侵检测系统为集中式系统,则所述流量采集模块100、基础信息提取模块101、入侵检测模块102、白名单确定模块103可由位于SMC的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)实现。
在实际应用中,所述入侵检测系统可以为用户提供后台智能分析基础上的互连行为的可视化图形界面,该可视化图形界面能够形象展示所观察到的互连行为,并以线段方式展现任意两个IP地址的互连关系,端点表示IP地址,线段粗细表示预设时间段内的连接次数,鼠标右键点击线段可以展示详细的业务特征信息,所述业务特征信息包括源地址、源端口、目标地址、目标端口、应用协议,以及目标端口的聚焦而源端口的高度离散的特征、业务账户名称、执行指令类型、响应类型、连接频率、流量大小等多维度的业务特征信息。
基于以上系统架构,本发明实施例提出了一种入侵检测系统方法,如图2所示,该方法包括:
步骤S201:接收到数据采集指令时,采集业务数据流。
本步骤中,检测到网络中设备A向设备B发起网络连接时,接收到数据采集指令,采集设备A与设备B在互连过程中产生的业务数据流。
本步骤中,具体如何采集业务数据流可以采用现有数据采集方式,此处不再赘述。
步骤S202:根据所述业务数据流提取传输基本信息。
本步骤中,所述传输基本信息可以为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议。
本步骤中,由于所述业务数据流的数据包头包括五元组信息,因此,可以从所述业务数据流的数据包头中提取出五元组信息。
本步骤中,具体如何从所述业务数据流的数据包头中提取出五元组信息可以采用现有数据提取方式,此处不再赘述。
步骤S203:根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测。
本步骤中,所述检测白名单包括正常互连行为的业务特征信息;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
本步骤中,先将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
本步骤中,所述传输基本信息与所述检测白名单的业务特征信息中传输基本信息相同时,匹配成功;所述传输基本信息与所述检测白名单的业务特征信息中传输基本信息不相同时,未匹配成功。
本步骤中,所述传输基本信息与所述检测白名单中的业务特征信息匹配成功时,确定所述业务数据流属于正常互连行为的业务数据流,此时不需要对已确认属于正常互连行为的业务数据流进行统计分析与特征提取,从而避免浪费系统资源。
本步骤中,对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;
对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
本步骤中,在预设的时间段内采集所述传输基本信息中指定的IP地址或端口等条件的至少一个会话连接实例的业务数据流。
本步骤中,具体如何在预设的时间段内采集所述传输基本信息中指定的IP地址或端口等条件的至少一个会话连接实例的业务数据流可以采用现有数据采集方式,此处不再赘述。
本步骤中,具体如何从所述至少一个会话连接实例的业务数据流中提取业务特征信息可以采用现有数据提取方式,此处不再赘述。
本步骤中,所述白名单自动确认参数包括互连时间检测范围、互连IP地址范围、互连目标端口范围、预设时间段内的连接次数、业务账户名称、执行指令类型、响应类型、流量大小等参数,所述白名单自动确认参数可以依据数据流类型进行预设,具体实现方式如下:
1)业务互连协作类:业务流中通信网、业务系统到合作伙伴系统、其它系统的固定IP地址和端口之间的数据流。
该类数据流的白名单自动确认参数可以设置为:
互连时间检测范围:该类流量自动默认全天时间进行实时检测,不区分工作日、休息日;
互连IP地址范围:对互连行为中源地址和目标地址的范围进行配置;
互连目标端口范围:对互连行为中目标端口的范围进行配置;
以及对预设时间段内的连接次数、业务账户名称、执行指令类型、响应类型、流量大小等参数进行配置。
2)用户访问类:业务流中用户到业务系统、通信网的访问数据流。
由于该类数据流的目标地址和目标端口较为固定,而来访源地址的范围较为分散,因此,该类数据流的白名单自动确认参数可以设置为:
互连时间检测范围:该类数据流自动默认全天时间进行实时检测,不区分工作日、休息日;
互连目标地址范围:对互连行为中的目标地址的范围进行配置。
互连目标端口范围:对互连行为中的目标端口的范围进行预设,默认值为端口号8080或80;
以及对预设时间段内的连接次数、业务账户名称、执行指令类型、响应类型、流量大小等参数进行配置。
3)内部支撑类:内部计费系统、网管系统以及管控平台等安全管理功能连接网元、进行定期数据采集、同步的管理数据流。
由于该类数据流拥有固定的连接频率,且固定的两端IP地址及端口对应关系,因此,该类数据流的白名单自动确认参数可以设置为:
互连时间检测范围:该类数据流自动默认全天时间进行实时检测,不区分工作日、休息日;
互连连接频率:对预设时间段内的连接次数进行配置,例如:在预设时间段内设置连接次数为1次、2次或3次。
互连IP地址范围:对互连行为中源地址及目标地址的范围进行配置。
互连目标端口范围:对互连行为中目标端口的范围进行配置;
以及对业务账户名称、执行指令类型、响应类型、流量大小等参数进行配置。
4)日常运维类:维护人员通过网管系统以及管控平台等安全管理功能维护网元的数据流。
该类数据流的白名单自动确认参数可以设置为:
互连时间检测范围:该类数据流自动默认全天时间进行实时检测,但支持用户选择区分工作日、休息日,例如,选择仅工作日有效,在法定节假日的时间产生该类数据流,则将该类数据流视为异常互连行为的业务数据流;
互连IP地址的对应关系:对互连行为中源地址、目标地址进行一一对应的配置,可以提供三个默认值供用户选择:
A.4A管控平台堡垒机地址-网元地址;
B.网管系统平台地址-网元地址;
C.业务系统前置机地址-网元地址;
互连目标端口范围:对互连行为中目标端口的范围进行配置,默认值为端口号22或443。
本步骤中,为避免高级持续性威胁(Advanced Persistent Threat,APT)攻击而导致的网络安全问题,预设的时间段范围为15分钟-24小时。
本步骤中,根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息,具体实现方式如下:
若提取的所述业务特征信息中的各参数在对应的白名单自动确认参数范围之内,则确定所述业务特征信息为正常互连行为的业务特征信息;否则,确定所述业务特征信息为异常互连行为的业务特征信息。
进一步地,所述方法还包括:
步骤S200:在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
本步骤中,首先在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;
然后,对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
本发明实施例中,结合业务系统运营需要,对业务系统与内部网络、外部网络的互连行为进行分析、呈现,并针对互连行为的业务数据流进行统计分析与特征提取,从而得到正常互连行为的业务特征信息;根据正常互连行为的业务特征信息对采集的业务数据流进行入侵检测,能够提高入侵检测的检测率。
为了更清楚地对本发明实施例进行说明,下面以图3所示的场景为例,对入侵检测流程进行详细描述。
如图3所示,该场景中设备A与设备B建立网络连接,设备A发送短信至设备B,从而产生短信业务数据流;由于短信业务流量属于业务互连协作类数据流,因此,预设白名单自动确认参数中的互连时间检测范围为全天时间,不区分工作日、休息日,互连行为中源地址的范围为192.168.0.1-192.168.0.8,目标地址的范围为10.1.0.1-10.1.0.8,目标端口的范围为80,流量范围为512KB-1024KB。
入侵检测系统中的流量采集模块100接收到数据采集指令时,采集设备A与设备B之间的短信业务数据流;从所述业务数据流的数据包头中提取出五元组信息,该五元组信息包括:源地址192.168.0.1、目标地址10.1.0.1、源端口号20、目标端口号80;根据五元组信息中设备A的IP地址获取设备A的设备属性信息,该设备属性信息包括设备IP地址、设备名称、设备类型、所属业务系统、对应负责人等信息,将设备A的设备属性信息与综合业务管理平台(ISMP)中的IP地址进行对比,若匹配,则对设备A的合法性验证通过,否则,对设备A的合法性验证未通过,结束本次处理流程;
对设备A的合法性验证通过后,将所述五元组信息与所述检测白名单中的业务特征信息进行匹配;
若所述五元组信息与所述检测白名单中的业务特征信息未匹配成功,则对所述短信业务数据流的入侵检测未通过,在预设时间段内根据所述五元组信息中指定的源地址192.168.0.1、目标地址10.1.0.1、源端口号20、目标端口号80的短信业务数据流进行统计分析及特征提取;若得到指定条件的业务数据流的流量大小为806KB,由于流量大小806KB在预设的流量范围内,因此,确定所述短信业务数据流为正常互连行为的业务数据流,此时将正常互连行为的业务特征信息加入所述检测白名单,该业务特征信息包括正常互连行为的五元组信息以及流量大小;若得到指定条件的业务数据流的流量大小为400KB,由于流量大小400KB未在预设的流量范围内,因此,确定所述短信业务数据流为异常互连行为的业务数据流,发送报警信息并阻断拦截异常互连行为的业务数据流。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种入侵检测方法,其特征在于,所述方法包括:
接收到数据采集指令时,采集业务数据流;
根据所述业务数据流提取传输基本信息;
根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
3.根据权利要求2所述的方法,其特征在于,所述在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:
在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;
对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
4.根据权利要求1所述的方法,其特征在于,所述根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测,包括:
将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;
对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
7.一种入侵检测系统,其特征在于,所述系统包括:流量采集模块、基本信息提取模块、入侵检测模块;其中,
所述流量采集模块,用于接收到数据采集指令时,采集业务数据流;
所述基础信息提取模块,用于根据所述业务数据流提取传输基本信息;
所述入侵检测模块,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
白名单确定模块,用于在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
9.根据权利要求8所述的系统,其特征在于,所述白名单确定模块,具体用于指示所述流量采集模块在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;并在所述流量采集模块采集每类数据流的至少一个会话连接实例的业务数据流之后,对每类数据流的至少一个连接实例的业务数据流数据进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
10.根据权利要求7所述的系统,其特征在于,所述入侵检测模块,具体用于将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
11.根据权利要求10所述的系统,其特征在于,所述入侵检测模块,具体用于在对所述业务数据流的入侵检测未通过时,指示所述流量采集模块在预设的时间段内根据所述待测传输基本信息采集至少一个会话连接实例的业务数据流;
并在所述流量采集模块采集至少一个会话连接实例的业务数据流后,对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
12.根据权利要求7至11任一项所述的系统,其特征在于,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510080837.6A CN105991587B (zh) | 2015-02-13 | 2015-02-13 | 一种入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510080837.6A CN105991587B (zh) | 2015-02-13 | 2015-02-13 | 一种入侵检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105991587A true CN105991587A (zh) | 2016-10-05 |
| CN105991587B CN105991587B (zh) | 2019-10-15 |
Family
ID=57042207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510080837.6A Active CN105991587B (zh) | 2015-02-13 | 2015-02-13 | 一种入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105991587B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| CN107277005A (zh) * | 2017-06-13 | 2017-10-20 | 深圳市永达电子信息股份有限公司 | 一种分布式的业务流程检测方法 |
| CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
| CN108345902A (zh) * | 2018-01-24 | 2018-07-31 | 深圳市永达电子信息股份有限公司 | 基于事务特征的自学习白名单模型库构建及白名单检测法 |
| CN109348071A (zh) * | 2018-12-25 | 2019-02-15 | 努比亚技术有限公司 | 通话信息显示方法、终端以及计算机可读存储介质 |
| CN111031004A (zh) * | 2019-11-21 | 2020-04-17 | 腾讯科技(深圳)有限公司 | 业务流量处理的方法、业务流量学习的方法、装置及系统 |
| CN112134893A (zh) * | 2020-09-25 | 2020-12-25 | 杭州迪普科技股份有限公司 | 物联网安全防护方法、装置、电子设备及存储介质 |
| CN112333191A (zh) * | 2020-11-06 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 违规网络资产检测与访问阻断方法、装置、设备及介质 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN113656535A (zh) * | 2021-08-31 | 2021-11-16 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
| CN114884708A (zh) * | 2022-04-25 | 2022-08-09 | 浙江清捷智能科技有限公司 | 一种工业总线网络安全监测方法 |
| CN117376033A (zh) * | 2023-12-06 | 2024-01-09 | 浙江网商银行股份有限公司 | 文件处理方法以及装置 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| CN101022343A (zh) * | 2007-03-19 | 2007-08-22 | 杭州华为三康技术有限公司 | 网络入侵检测/抵御系统及方法 |
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN102045310A (zh) * | 2009-10-14 | 2011-05-04 | 上海可鲁系统软件有限公司 | 一种工业互联网入侵检测和防御方法及其装置 |
| US20120030761A1 (en) * | 2010-08-02 | 2012-02-02 | Yokogawa Electric Corporation | Improper communication detection system |
| US8161552B1 (en) * | 2009-09-23 | 2012-04-17 | Trend Micro, Inc. | White list creation in behavior monitoring system |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN103532957A (zh) * | 2013-10-18 | 2014-01-22 | 电子科技大学 | 一种木马远程shell行为检测装置及方法 |
| CN103763309A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的安全域控制方法和系统 |
| CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
-
2015
- 2015-02-13 CN CN201510080837.6A patent/CN105991587B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| CN101022343A (zh) * | 2007-03-19 | 2007-08-22 | 杭州华为三康技术有限公司 | 网络入侵检测/抵御系统及方法 |
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| US8161552B1 (en) * | 2009-09-23 | 2012-04-17 | Trend Micro, Inc. | White list creation in behavior monitoring system |
| CN102045310A (zh) * | 2009-10-14 | 2011-05-04 | 上海可鲁系统软件有限公司 | 一种工业互联网入侵检测和防御方法及其装置 |
| US20120030761A1 (en) * | 2010-08-02 | 2012-02-02 | Yokogawa Electric Corporation | Improper communication detection system |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN103532957A (zh) * | 2013-10-18 | 2014-01-22 | 电子科技大学 | 一种木马远程shell行为检测装置及方法 |
| CN103763309A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的安全域控制方法和系统 |
| CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
| CN108289088B (zh) * | 2017-01-09 | 2020-12-11 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
| CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| CN106850637B (zh) * | 2017-02-13 | 2020-02-04 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN107277005A (zh) * | 2017-06-13 | 2017-10-20 | 深圳市永达电子信息股份有限公司 | 一种分布式的业务流程检测方法 |
| CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
| CN108345902B (zh) * | 2018-01-24 | 2021-08-17 | 深圳市永达电子信息股份有限公司 | 基于事务特征的自学习白名单模型库构建及白名单检测法 |
| CN108345902A (zh) * | 2018-01-24 | 2018-07-31 | 深圳市永达电子信息股份有限公司 | 基于事务特征的自学习白名单模型库构建及白名单检测法 |
| CN109348071A (zh) * | 2018-12-25 | 2019-02-15 | 努比亚技术有限公司 | 通话信息显示方法、终端以及计算机可读存储介质 |
| CN111031004A (zh) * | 2019-11-21 | 2020-04-17 | 腾讯科技(深圳)有限公司 | 业务流量处理的方法、业务流量学习的方法、装置及系统 |
| CN112134893A (zh) * | 2020-09-25 | 2020-12-25 | 杭州迪普科技股份有限公司 | 物联网安全防护方法、装置、电子设备及存储介质 |
| CN112134893B (zh) * | 2020-09-25 | 2023-08-29 | 杭州迪普科技股份有限公司 | 物联网安全防护方法、装置、电子设备及存储介质 |
| CN112333191A (zh) * | 2020-11-06 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 违规网络资产检测与访问阻断方法、装置、设备及介质 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN113656535A (zh) * | 2021-08-31 | 2021-11-16 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
| CN113656535B (zh) * | 2021-08-31 | 2023-11-14 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
| CN114884708A (zh) * | 2022-04-25 | 2022-08-09 | 浙江清捷智能科技有限公司 | 一种工业总线网络安全监测方法 |
| CN114884708B (zh) * | 2022-04-25 | 2024-04-16 | 浙江清捷智能科技有限公司 | 一种工业总线网络安全监测方法 |
| CN117376033A (zh) * | 2023-12-06 | 2024-01-09 | 浙江网商银行股份有限公司 | 文件处理方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105991587B (zh) | 2019-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105991587A (zh) | 一种入侵检测方法及系统 | |
| RU164629U1 (ru) | Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5 | |
| CN1946077B (zh) | 基于及早通知检测异常业务的系统和方法 | |
| CN107770174A (zh) | 一种面向sdn网络的入侵防御系统和方法 | |
| CN110868425A (zh) | 一种采用黑白名单进行分析的工控信息安全监控系统 | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN106656627A (zh) | 一种基于业务的性能监控和故障定位的方法 | |
| EP2593896B1 (en) | Supervision of the security in a computer system | |
| CN105323247A (zh) | 一种用于移动终端的入侵检测系统 | |
| CN106034056A (zh) | 一种业务安全分析的方法和系统 | |
| CN108931968A (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| CN102882748A (zh) | 网络接入检测系统和网络接入检测方法 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN108600274A (zh) | 一种实现计算机内外网之间安全通信系统及其使用方法 | |
| CN109831462A (zh) | 一种病毒检测方法及装置 | |
| CN110855506A (zh) | 安全态势监测方法及系统 | |
| CN111181978A (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| US11736504B2 (en) | Method and system to detect abnormal message transactions on a network | |
| CN110266726A (zh) | 一种识别ddos攻击数据流的方法及装置 | |
| CN108683644A (zh) | 一种计算机网络安全检测方法 | |
| CN105336061A (zh) | 一种室内防盗处理方法、系统及无线接入点 | |
| CN106576072B (zh) | 信息处理装置和信息处理方法 | |
| KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
| JP2008244632A (ja) | 監視対象設定システム、監視対象設定方法、監視対象設定プログラム、ネットワーク監視システム、管理装置及び収集装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |