CN106131054B - 基于安全云的网络入侵协同检测方法 - Google Patents
基于安全云的网络入侵协同检测方法 Download PDFInfo
- Publication number
- CN106131054B CN106131054B CN201610681152.1A CN201610681152A CN106131054B CN 106131054 B CN106131054 B CN 106131054B CN 201610681152 A CN201610681152 A CN 201610681152A CN 106131054 B CN106131054 B CN 106131054B
- Authority
- CN
- China
- Prior art keywords
- nids
- secure cloud
- network
- detection
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于安全云的网络入侵协同检测方法,其包括如下步骤:S1由NIDS向安全云发起授权申请;S2对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;S3,NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;以及S4,NIDS应用网络安全检测技术进行全面检测;其包括:NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。
Description
技术领域
本发明涉及一种网络入侵检测方法,尤其是一种基于安全云的网络入侵协同检测方法。
背景技术
网络入侵检测系统(Network-based Intrusion Detection System,简称NIDS)是对防火墙有益的补充,被认为是防火墙之后的第二道安全闸门,NIDS通过对网络流量进行旁路检测,在不影响网络性能的情况下提供对内部攻击、外部攻击和误操作的实时监控,从而提高了网络的安全性。
现有NIDS一般由检测单元和管理单元组成,我们分别称之为检测节点和管理节点,NIDS的工作模式可以概括为:单点检测和多级管理。
单点检测:检测节点一般为单一的软硬件系统,旁路部署在用户网络的关键出口上,通过分光或镜像的方式采集流量,然后对流量进行协议分析和模式匹配,在发现安全威胁后,会产生安全事件并本地报警。
管理节点一般为软件系统或软硬件系统,在逻辑上有两种管理模式:单级管理和多级管理。
单级管理模式:一个管理节点直接管理一个或多个检测节点,而且检测节点和管理节idan可以同时运行在同一台设备上。
多级管理模式:管理节点支持任意层次的级联部署,实现多级管理。上级管理节点可以逐级将最新的升级包、特征规则库文件等统一发送到所有下级节点,检测节点可以逐级向上级管理节点、下级管理节点向上级管理节点上传报警日志信息。
NIDS现有管理模式的局限性有:
1、难以实现特征规则库和组件库的实时升级;现有NIDS的特征规则库的升级流程通常为非实时、周期性的,即厂商每周发布一周特征规则库升级包(遇到重大安全威胁时,可能会缩短特征规则库发布的周期)。厂商将升级包放到一个发布网站上,各NIDS自动或手动从发布网站上下载,然后经用户确认升级成功并勾选相关规则后,才能下发给检测节点并加载生效。由于某些钓鱼网站的生命周期只有几个小时,按照目前的升级方式,基本上无法保证特征规则库在钓鱼网站的生命周期内生效。
2、误报和漏报较多,因为NIDS主要是基于误用检测技术,需事先收集非正常网络流量或攻击的行为特征,建立相关的入侵特征规则库,当监测的流量与特征库中的特征相匹配时,系统就认为这种行为是入侵。但由于特征规则定义的往往不够准确和全面,且缺少对疑似事件的分析和判断机制,导致误报和漏报较多。
3、管理节点存在性能瓶颈和单点故障,无法实现大规模部署。对于集中管理模式下的NIDS,往往会遇到这样的问题:由于企业规模在不断扩大,对NIDS产品的部署从单点发展到跨区域全球部署,要求产品体系结构能够支持数以百、千计的IDS检测节点和管理节点;其次,要能够处理所有检测节点产生的告警事件;此外,还要解决特征规则库的建立,配置以及升级问题。而一般管理节点都是部署在单一硬件上的,受限于硬件资源的不足,基本不具备大数据的存储和深度分析能力,更无法展示全局的安全态势,甚至在通讯转发方面也存在性能瓶颈,很难满足用户大规模部署的需求,同时,还存在单点故障,一旦上级管理节点出现软硬件故障,就会影响整个系统的正常运行。
4、跨地域接入存在接入速度慢和不稳定的问题。如果管理节点和检测节点处于不同的地域或不同的运营商网络内,则检测节点在接入管理节点时,就会因跨网、跨区域而带来通讯上的延迟和不稳定。
发明内容
本发明要解决的技术问题是提供一种基于安全云的网络入侵协同检测方法,充分利用安全云的各种资源动态对抗网络安全威胁,突破了单点检测和单一产品的技术局限性,在多种技术能力方面实现了质的提升,可以有效地检测新型攻击。
本发明的目的是采用以下技术方案来实现的。
本发明公开一种基于安全云的网络入侵协同检测方法,其包括如下步骤:S1:由NIDS向安全云发起授权申请;S2:对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;S3:NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;以及S4:NIDS应用网络安全检测技术进行全面检测;其包括:NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。
本发明的目的还可以采用以下技术措施来实现的。
上述的基于安全云的网络入侵协同检测方法,步骤S1中所述NIDS为不同地域的NIDS的最顶级节点,该最顶级节点为管理节点或检测节点。
上述的基于安全云的网络入侵协同检测方法,步骤S3中的所述特征规则库包括组件库、特征库、漏洞库、病毒库、恶意网站库、钓鱼网站库、僵尸网络CC库中的一种或其组合。
上述的基于安全云的网络入侵协同检测方法,步骤S4中,所述NIDS留存原始报文、样本文件、原始流记录元数据。
上述的基于安全云的网络入侵协同检测方法,所述安全云通过远程查询所需的所述元数据进行回溯分析和多元异构数据的关联分析。
上述的基于安全云的网络入侵协同检测方法,所述远程查询为从安全云下发一个查询任务给NIDS,NIDS接收到查询任务后,本地执行查询,将查询结果写入到文件中,并将查询结果回传至安全云。
上述的基于安全云的网络入侵协同检测方法,步骤S4中所述NIDS根据其对应的特征库规则自身判定网络安全威胁事件,该网络安全威胁事件具有所述NIDS的标识ID。
借由上述技术方案,本发明至少具有下列优点及有益效果:
(1)检测能力:NIDS针对入侵检测的对抗性要求,可以从安全云实时获取最新的组件库和特征库、漏洞库、病毒库、恶意网站库、钓鱼网站库、僵尸网络CC库等特征规则库,可以充分应用各种网络安全检测技术进行全面检测,并留存原始报文、样本文件、原始流记录等多种元数据用于安全云的数据深度分析。
(2)分析能力:NIDS除自身具备微观关联分析能力外,还可以将可疑威胁事件上报安全云进行全局关联分析和判定;同时通过不断地向安全云提威胁数据,经过安全云的大数据分析与知识加工后,也可以充实安全云的知识库,实现安全云自身能力的增长。
(3)回溯能力:NIDS将威胁数据上报给安全云进行长周期的存储和历史查询,弥补了自身存储和回溯分析能力的不足。
将不同地域的NIDS的最顶级节点(管理节点或检测节点)通过授权和注册主动接入安全云,然后实时接收安全云下发的特征规则库,所产生的威胁数据如安全事件、可疑文件样本全部上传给安全云,由安全云进行大数据的收集、存储、分析和判定,并将判定后的威胁事件如恶意代码感染事件、网站后门事件等回传给NIDS,这样就形成了一个可支撑大规模部署的、封闭的在线协同检测体系。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,详细说明如下。
附图说明
无
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合较佳实施例,对依据本发明提出的一种基于安全云的网络入侵协同检测方法的具体实施方式、特征及其功效,详细说明如后。
本发明的基于安全云的网络入侵协同检测方法,包括如下步骤:
S1:由NIDS向安全云发起授权申请,安全云的授权子系统完成授权管理。
NIDS为不同地域的NIDS的最顶级节点,该最顶级节点为管理节点或检测节点。
授权的作用是:
a)只有经过授权的设备才能主动接入安全云进行动态注册,减少网络带宽的占用。
b)授权全过程是加密的。
c)授权是商业化的需要,通过授权可以确定安全云的服务内容和服务期限,并可以进行费用的量化。
S2:对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID。
所有接入安全云的NIDS均需要动态注册,只有在动态注册后,NIDS才能从安全云上获取唯一标识ID。才能升级事件库和汇入事件、接收事件的判定结果。未经过授权的NIDS不能进行动态注册。安全云也会定时判断所有动态注册后的NIDS是否授权过期。
S3:NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库。
安全云实时下发最新的各种特征规则库,包括组件库、特征库、漏洞库、病毒库、恶意网站库、钓鱼网站库和僵尸网络CC库中的一种或其组合。通过安全云与NIDS的加密通道实时传输,并在引擎端后台直接加载生效,实现特征规则库的后台实时升级。
S4:NIDS应用网络安全检测技术进行全面检测。其包括:
NIDS根据其对应的特征规则库自身初步判定网络安全威胁事件,该网络安全威胁事件具有NIDS的标识ID。也就是说,不同NIDS标识ID代表不同的监测节点,每个监测节点都有针对该监测节点特定的监测规则即特征规则库。监测节点上报的网络安全威胁事件都带有该监测节点的唯一标识ID。安全云判定安全事件后根据该标识ID将相关事件的结果回传至该标识ID对应的监测节点进行展示。
NIDS检测生成的所有灰名单(疑似)安全事件即网络安全威胁事件据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS,形成NIDS与安全云的可疑事件在线协同。
NIDS可以留存原始报文、样本文件、原始流记录等多种元数据用于安全云的数据深度分析。
NIDS不仅可以生成网络安全威胁事件,还可以提取并留存NetFlow记录、URL记录、域名记录的元数据。安全云在进行多元异构数据的关联分析时,如果需要关联元数据,则通过远程查询,从安全云下发一个查询任务给NIDS,NIDS接收到查询任务后,本地执行查询,并将查询结果写入到文件中,并将查询结果回传至安全云,安全云再对查询结果进行关联分析,形成分布式的元数据远程查询。
由于元数据的数据量很大,很难通过互联网实时上传安全云,本发明采用的远程查询的方法解决这一问题,即在NIDS的检测节点留存至少半年的NetFlow记录、域名记录和URL记录等元数据,安全云在进行多元异构数据的关联分析时,如果需要关联元数据,则通过远程查询的方法查询结果进行关联分析。这样,每个NIDS就成为了分布式的文件存储节点,而安全云就成为了统一的查询中心。
在安全云侧建有大数据采集、存储、挖掘、分析平台。在安全云侧充分应用大数据的存储与分析挖掘技术,将各个NIDS和其它网安业务系统以及其它渠道上报的分散的、局部的、孤立的、多来源多维度的威胁监测信息、目标感知信息、风险感知信息进行留存,通过高速处理系统对情报进行综合分析,在全球互联网内实现攻击源的追踪溯源,对攻击过程、攻击者信息、攻击手段进行全景再现。此外通过大数据的分析,提取安全威胁的本质特征,最终形成知识充实到特征规则库中。完成全局情报的综合分析与知识加工。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的方法及技术内容作出些许的更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (6)
1.一种基于安全云的网络入侵协同检测方法,其特征在于,其包括如下步骤:
S1:由NIDS向安全云发起授权申请,其中,所述NIDS为不同地域的NIDS的最顶级节点,该最顶级节点为管理节点或检测节点;
S2:对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;
S3:NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;
以及S4:NIDS应用网络安全检测技术进行全面检测;其包括:
NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。
2.根据权利要求1所述的基于安全云的网络入侵协同检测方法,其特征在于,步骤S3中的所述特征规则库包括组件库、特征库、漏洞库、病毒库、恶意网站库、钓鱼网站库、僵尸网络CC库中的一种或其组合。
3.根据权利要求1所述的基于安全云的网络入侵协同检测方法,其特征在于,步骤S4中,所述NIDS留存元数据,其中,该元数据包括:原始报文、样本文件和原始流记录。
4.根据权利要求3所述的基于安全云的网络入侵协同检测方法,其特征在于,所述安全云通过远程查询所需的所述元数据进行回溯分析和多元异构数据的关联分析。
5.根据权利要求4所述的基于安全云的网络入侵协同检测方法,其特征在于,所述远程查询为从安全云下发一个查询任务给NIDS,NIDS接收到查询任务后,本地执行查询,将查询结果写入到文件中,并将查询结果回传至安全云。
6.根据权利要求1所述的基于安全云的网络入侵协同检测方法,其特征在于,步骤S4中所述NIDS根据其对应的特征库规则自身判定网络安全威胁事件,该网络安全威胁事件具有所述NIDS的标识ID。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610681152.1A CN106131054B (zh) | 2016-08-17 | 2016-08-17 | 基于安全云的网络入侵协同检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610681152.1A CN106131054B (zh) | 2016-08-17 | 2016-08-17 | 基于安全云的网络入侵协同检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106131054A CN106131054A (zh) | 2016-11-16 |
CN106131054B true CN106131054B (zh) | 2019-07-09 |
Family
ID=57279328
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610681152.1A Active CN106131054B (zh) | 2016-08-17 | 2016-08-17 | 基于安全云的网络入侵协同检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106131054B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107612890B (zh) * | 2017-08-24 | 2020-09-15 | 中国科学院信息工程研究所 | 一种网络监测方法及系统 |
CN107786564B (zh) * | 2017-11-02 | 2020-03-17 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
CN107864153A (zh) * | 2017-12-11 | 2018-03-30 | 江苏恒信和安电子科技有限公司 | 一种基于网络安全传感器的网络病毒预警方法 |
CN112637229B (zh) * | 2020-12-29 | 2022-07-01 | 湖南文理学院 | 基于安全云的网络入侵协同检测方法 |
CN113382010B (zh) * | 2021-06-17 | 2022-08-19 | 浙江德迅网络安全技术有限公司 | 基于协同入侵检测的大规模网络安全防御系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
CN103731426A (zh) * | 2013-12-31 | 2014-04-16 | 曙光云计算技术有限公司 | 基于虚拟网络的入侵告警系统 |
CN104038466A (zh) * | 2013-03-05 | 2014-09-10 | 中国银联股份有限公司 | 用于云计算环境的入侵检测系统、方法及设备 |
CN105376251A (zh) * | 2015-12-02 | 2016-03-02 | 华侨大学 | 一种基于云计算的入侵检测方法与系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8881279B2 (en) * | 2013-03-14 | 2014-11-04 | Joyent, Inc. | Systems and methods for zone-based intrusion detection |
-
2016
- 2016-08-17 CN CN201610681152.1A patent/CN106131054B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
CN104038466A (zh) * | 2013-03-05 | 2014-09-10 | 中国银联股份有限公司 | 用于云计算环境的入侵检测系统、方法及设备 |
CN103731426A (zh) * | 2013-12-31 | 2014-04-16 | 曙光云计算技术有限公司 | 基于虚拟网络的入侵告警系统 |
CN105376251A (zh) * | 2015-12-02 | 2016-03-02 | 华侨大学 | 一种基于云计算的入侵检测方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106131054A (zh) | 2016-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106131054B (zh) | 基于安全云的网络入侵协同检测方法 | |
CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
US10148679B2 (en) | Connected security system | |
WO2018177210A1 (zh) | 防御apt攻击 | |
US9401932B2 (en) | Device and method for detection of anomalous behavior in a computer network | |
CN104144063B (zh) | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 | |
KR101070184B1 (ko) | 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법 | |
CN104067280A (zh) | 用于检测恶意命令和控制通道的系统和方法 | |
CN104967628B (zh) | 一种保护web应用安全的诱骗方法 | |
US10642906B2 (en) | Detection of coordinated cyber-attacks | |
US9060016B2 (en) | Apparatus and method for blocking zombie behavior process | |
CN105027510A (zh) | 网络监视装置、网络监视方法以及网络监视程序 | |
CN109474575A (zh) | 一种dns隧道的检测方法及装置 | |
CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
CN110381092A (zh) | 一种自适应闭环解决网络威胁的防御系统及方法 | |
Hussain et al. | Advance persistent threat—a systematic review of literature and meta-analysis of threat vectors | |
Robberechts et al. | Query log analysis: Detecting anomalies in DNS traffic at a TLD resolver | |
CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
Hwoij et al. | SIEM architecture for the Internet of Things and smart city | |
Kebande | A novel cloud forensic readiness service model | |
Mishra et al. | Intrusion detection system with snort in cloud computing: advanced IDS | |
KR101182793B1 (ko) | 도메인 이름 서비스 질의 데이터를 이용한 봇넷 탐지 방법 및 시스템 | |
Karekar et al. | Perspective of decoy technique using mobile fog computing with effect to wireless environment | |
Maskat et al. | Mobile agents in intrusion detection system: review and analysis | |
Zhang et al. | Error-sensor: mining information from HTTP error traffic for malware intelligence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |