CN1282081C - 一种入侵检测方法 - Google Patents
一种入侵检测方法 Download PDFInfo
- Publication number
- CN1282081C CN1282081C CN 03149742 CN03149742A CN1282081C CN 1282081 C CN1282081 C CN 1282081C CN 03149742 CN03149742 CN 03149742 CN 03149742 A CN03149742 A CN 03149742A CN 1282081 C CN1282081 C CN 1282081C
- Authority
- CN
- China
- Prior art keywords
- leak
- intrusion
- intrusion event
- event
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供了一种入侵检测方法,入侵检测系统按照检测规则对访问受护网络或主机的每个事件进行检测,还包括以下步骤:a)判断当前检测到的事件是否为入侵事件,如果不是,返回步骤a继续检测下一个事件,如果是,则取得检测当前事件所使用的入侵检测规则;b)根据入侵检测规则与漏洞之间预先设置的对应关系确定当前检测到的入侵事件所要攻击的漏洞;c)在该受护网络或主机进行漏洞扫描得到的漏洞扫描结果库中检索该受护网络或主机是否存在步骤b所确定的漏洞;并根据入侵事件的危害度和所要攻击的漏洞与漏洞扫描结果库间存在漏洞信息的匹配度进行入侵事件风险度评估。应用本发明,提高了入侵检测结果的准确性和实用性。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别是指一种入侵检测方法。
背景技术
在计算机网络安全技术领域,网络入侵检测和网络漏洞扫描是两种保护自身网络及数据安全的方法。
网络漏洞扫描是一种自动检测远程或本地目标主机安全性弱点的程序。其原理是采用模拟攻击的形式对目标主机可能存在的已知安全漏洞进行逐项检查,搜集目标主机所存在的漏洞。例如,通过远程检测目标主机TCP/IP不同端口的服务,记录目标主机给予的回答,来搜集目标主机的各种信息,包括是否能用匿名登陆,是否有可写的FTP目录,是否能用Telnet,http是否是用root权限在运行等信息。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配判断所存在的漏洞,以发现该目标主机的安全的瓶颈、脆弱之处,并将结果保存在漏洞扫描结果库中。
网络入侵检测,是从计算机网络系统中的若干关键点收集网络通信的信息,如用户活动的状态和行为等信息,通过已建立的入侵检测规则库来分析判断网络中是否有入侵的行为。其中,入侵检测规则的来源,一部分来自已知的漏洞信息,入侵检测规则根据对漏洞的攻击行为编写。一个漏洞可对应一条或多条规则,但一条规则只对应一个漏洞,因此在入侵检测规则库中的此类规则,若以规则ID为关键字,则一条规则ID对应着一个漏洞ID。这里我们称这些漏洞的集合为标准漏洞库,标准漏洞库可以根据国际公认的漏洞信息进行分类整理建立。入侵检测规则另一部分来自与漏洞无关的攻击行为,入侵检测规则根据攻击行为进行编写,如统计分析方法,记录用户的文件、目录和设备等正常使用时的一些属性,如访问次数、访问时刻等作为判断条件;如完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性。通过以上的方法设计入侵检测规则库,一旦系统发现符合规则的行为模式,则认为此行为模式为入侵,进行报警或其他响应方式,以提供对内部攻击、外部攻击和误操作的实时保护,并将结果存储在入侵检测结果库中。
目前,对于网络漏洞扫描,可以探测出该受护网络或目标主机所存在的漏洞,但并不去管是否有针对所存在漏洞的入侵行为。而对于网络入侵检测来说,只根据预先设定的检测规则被动的检测网络中的违规行为和可疑行为,而不管该受护网络或主机存在哪些漏洞,是否真的存在该入侵行为所攻击的漏洞。因此,目前的入侵检测系统,无法将可疑行为结合当前网络实际环境进行检测,如无法结合内部受护网络的拓扑、受护主机的系统类型和服务类型等信息。无法评估入侵行为是否真正会对受护网络或主机造成损害,以及会造成多大的损害。
发明内容
有鉴于此,本发明提供一种入侵检测方法,将网络漏洞扫描与网络入侵检测过程相结合,从而提高入侵检测结果的准确性。
实现本发明,需要以下步骤:
1)判断当前检测到的事件是否为入侵事件,如果不是,返回步骤1继续检测下一个事件,如果是,则取得检测当前事件所使用的入侵检测规则;
2)在该入侵检测规则有对应的漏洞时,根据该入侵检测规则与漏洞之间预先设置的对应关系确定当前检测到的入侵事件所要攻击的漏洞;
3)在该受护网络或主机进行漏洞扫描得到的漏洞扫描结果库中检索该受护网络或主机是否存在步骤2所确定的漏洞。
其中,该方法进一步包括:根据入侵事件的危害度和所要攻击的漏洞与漏洞扫描结果库间存在漏洞信息的匹配度进行入侵事件风险度评估。
其中,所述匹配度的评估方法为:判断是否在漏洞扫描结果库中找到入侵事件所攻击的漏洞,如果找到,则匹配度为高;如果未找到,再判断是否在漏洞扫描结果库中仅检索到入侵事件所攻击漏洞的相关条件,如果是,匹配度为中;否则,匹配度为低。
其中,所述的入侵事件危害度的评估方法为:判断入侵事件攻击的漏洞是否是允许恶意入侵者访问并可能会破坏整个目标系统的漏洞,如果是,则入侵事件危害度为高;如果不是,再判断入侵事件攻击的漏洞是否是允许本地用户提高访问权限,并可能允许其获得系统控制的漏洞,如果是,入侵事件危害度为中;否则,入侵事件危害度为低。
其中,该方法进一步包括:入侵检测系统根据入侵事件风险度评估的不同结果进行不同响应。
由上述方法可以看出,本发明提供的网络入侵检测方法,在检测入侵事件的过程中,将检测到的入侵事件与漏洞扫描结果库进行关联,即可获知当前检测到的入侵事件所要攻击的漏洞是否存在,从而确定当前检测到的入侵事件是否有可能真正形成入侵,如此,入侵检测系统可以知道所保护的网络或主机的漏洞,即薄弱环节所在,使入侵检测结果更准确,更具有实用性。而且,可以对检测结果作进一步的分析,进而明显判断出该入侵事件成功的概率、造成的危害性有多大,可以评估出受护网络或目标主机受该入侵行为破坏的风险有多大,提高了入侵检测结果的合理性、准确性及智能性。使入侵检测可以根据以上所述的分析结果来调整入侵检测的上报结果。
附图说明
图1为本发明入侵检测流程图。
图2为入侵事件风险分部示意图。
具体实施方式
本发明提供了一种结合网络漏洞扫描的入侵检测方法,将漏洞扫描结果库运用到入侵检测分析的过程中。检测到入侵事件后,根据入侵检测规则库,查询相关的标准漏洞库分析该入侵事件攻击哪个漏洞,再将该事件所攻击的漏洞,在该网络的漏洞扫描结果库中检索,查询该网络是否存在这样的漏洞,确认该入侵是否会成功。
为了使入侵检测规则所对应的漏洞可以方便的在漏洞扫描结果库中进行检索,对于标准漏洞库和漏洞扫描结果库,都采用国际公认的漏洞编号如CVE ID或bugtraq ID作为数据库中漏洞的编号,这样,可以根据漏洞编号即漏洞ID将两个数据库联系起来。方便起见,入侵检测漏洞库与漏洞扫描结果库构造设计可以一致,便于进行更多信息的检索。例如,标准漏洞库中包括漏洞ID,以及该漏洞的描述信息,描述信息进一步可包括漏洞描述,漏洞所在程序,漏洞所在系统等,相应的漏洞扫描结果库也包括这些元素。这里,漏洞扫描结果库是指对受护网络或主机进行漏洞扫描得到的结果库,标准漏洞库是指根据国际公认的漏洞信息进行分类整理建立的数据库。
下面以入侵检测过程为例并参照图1所示,对本发明进一步详细说明。
步骤1,入侵检测系统对受护网络或目标主机中的通信事件进行捕获,并按照已有的入侵检测规则进行分析,如果该事件被分析是入侵事件,则在检测点生成入侵事件检测结果。其中,入侵事件检测结果中至少包括入侵检测系统分析该事件所使用的入侵检测规则的ID。这里,入侵检测规则是预先设定的,可以随时更新。
例如,当前根据入侵检测规则检测到一个攻击计算机图形接口(CGI)脚本/cgi-bin/phf漏洞的事件,则生成该入侵事件检测结果,该入侵事件检测结果包括:检测结果流水号、使用的检测规则ID等信息。
步骤2,根据入侵事件检测结果将该入侵事件与相关的标准漏洞库进行关联,得到当前检测到的入侵事件所要攻击漏洞的详细信息。
由入侵事件检测结果中包含的检测规则ID,对应到入侵检测规则库中完整的一条检测规则,若该条规则并不是针对漏洞设计,入侵检测规则库中该检测规则对应的漏洞ID项为空,则进入步骤4,直接给出结果;若该检测规则是针对某漏洞所编写的,则在入侵检测规则库中得到该规则对应的漏洞ID。之后,根据该漏洞ID,进一步在标准漏洞库中检索该漏洞的详细信息。其中,漏洞的详细信息可包括:漏洞描述,用来给出漏洞的关键特征;漏洞所在程序,用来说明所该漏洞存在的程序载体;漏洞所在系统,用来说明该漏洞所存在的操作系统。
继续以步骤1中的例子进行说明,由入侵事件检测结果包含的检测规则ID,在入侵检测规则库中检索到该检测规则所对应的漏洞ID,再通过该漏洞ID,在漏洞库中检索到该漏洞的信息,如下:
漏洞描述:缺陷的cgi-bin/phf脚本文件,在输入验证中遗失了对换行符″\n″(十六进制为0x0a)的检查;
漏洞所在程序:1.0.3版本Apache httpd服务器程序;
漏洞所在系统:Unix。
步骤3:将入侵事件所要攻击的漏洞的信息在受护网络或目标主机的漏洞扫描结果库中进行检索,分析该受护网络或目标主机是否存在该入侵事件所要攻击的漏洞。
简单的,通过步骤2得到的漏洞ID,在扫描结果库中进行检索,检索该漏洞扫描结果库中的漏洞ID,若检索到,则说明该入侵事件攻击的漏洞存在;若检索不到,则所攻击的漏洞可能不存在。
若入侵检测漏洞库与漏洞扫描结果库构造设计一致,还可以根据步骤2中得到的该漏洞各条信息分别在扫描结果数据库中进行检索匹配。如,若检索到该缺陷的cgi-bin/phf脚本文件,则该入侵事件入侵会成功;若扫描结果库中未检测到该缺陷脚本文件,但检测到1.0.3版本Apache httpd服务器程序,则该漏洞是否存在为可疑;若每条信息在扫描结果数据库中都没有检索到,则入侵事件所攻击的漏洞不存在。
步骤4,将入侵事件及分析后的结果及判断依据等信息存储于入侵检测事件数据库,以供管理员分析;并根据分析入侵事件得到的结果进行后续的响应动作,如告警或切断网络等。
另外,步骤3中进一步还可评估目标主机遭受该事件入侵的风险等级。如根据匹配度、危害度评估该入侵事件的风险等级。匹配度是指入侵事件所针对的漏洞与漏洞扫描结果库中漏洞信息的吻合度;危害度是指假设漏洞存在时该入侵事件对目标主机的破坏度。图2为评估该入侵风险等级的方法;如图2所示,横纵坐标分别为匹配度系数和危害度系数,风险等级在二维平面中进行分配。以下以此为例进行说明:
匹配度由高到低粗糙的可以分为高、中、低三个等级。匹配的过程按照匹配度由高到低进行,一旦匹配到就停止匹配过程,返回停止时的匹配度。以保证匹配到的匹配度是有可能的最高等级。具体说明如下:当入侵检测系统发现针对目标主机中漏洞D的一次攻击事件,检索漏洞扫描结果库。若在漏洞扫描结果库中找到漏洞D,则匹配度结束,匹配度为高。若在漏洞扫描结果库中检索不到漏洞D,但检索到关于漏洞D的相关条件,如检索到了该漏洞D所存在的程序,因为目标主机存在该程序并不能说明一定存在漏洞D,因此匹配度为中。若在漏洞扫描结果库中检索不到漏洞D,也检索不到关于漏洞D的相关条件,则可以认为目标主机不存在漏洞D,匹配度为低。
入侵事件的危害度可以根据所攻击的漏洞来设定。漏洞可以分为以下三级:A级漏洞是允许恶意入侵者访问并可能会破坏整个目标系统的漏洞,如允许远程用户未经授权访问的漏洞。B级漏洞是允许本地用户提高访问权限,并可能允许其获得系统控制的漏洞。例如允许本地用户非法访问的漏洞。C级漏洞是任何允许用户中断、降低或阻碍系统操作的漏洞,导致干扰系统的正常工作。如拒绝服务漏洞,典型的一种拒绝服务攻击是SYNFLOOD。相应的,入侵事件攻击的是A级漏洞,则该入侵事件危害度为高;入侵事件攻击的是B级漏洞,则该入侵事件危害度为中;入侵事件攻击的是C级漏洞,则该入侵事件危害度为低。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1、一种入侵检测方法,入侵检测系统按照检测规则对访问受护网络或主机的每个事件进行检测,其特征在于,该方法包括以下步骤:
a、判断当前检测到的事件是否为入侵事件,如果不是,返回步骤a继续检测下一个事件,如果是,则取得检测当前事件所使用的入侵检测规则;
b、在该入侵检测规则有对应的漏洞时,根据该入侵检测规则与漏洞之间预先设置的对应关系确定当前检测到的入侵事件所要攻击的漏洞;
c、在该受护网络或主机进行漏洞扫描得到的漏洞扫描结果库中检索该受护网络或主机是否存在步骤b所确定的漏洞。
2、根据权利要求1所述的方法,其特征在于,该方法进一步包括:根据入侵事件的危害度和所要攻击的漏洞与漏洞扫描结果库间存在漏洞信息的匹配度进行入侵事件风险度评估。
3、根据权利要求2所述的方法,其特征在于,所述匹配度的评估方法进一步包括:
判断是否在漏洞扫描结果库中找到入侵事件所攻击的漏洞,如果找到,则匹配度为高;
如果未找到,再判断是否在漏洞扫描结果库中仅检索到入侵事件所攻击漏洞的相关条件,如果是,匹配度为中;否则,匹配度为低。
4、根据权利要求2所述的方法,其特征在于,该方法所述的入侵事件危害度的评估方法进一步包括:
判断入侵事件攻击的漏洞是否是允许恶意入侵者访问并可能会破坏整个目标系统的漏洞,如果是,则入侵事件危害度为高;
如果不是,再判断入侵事件攻击的漏洞是否是允许本地用户提高访问权限,并可能允许其获得系统控制的漏洞,如果是,入侵事件危害度为中;否则,入侵事件危害度为低。
5、根据权利要求2所述的方法,其特征在于,该方法在进一步包括:入侵检测系统根据入侵事件风险度评估的不同结果进行不同响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03149742 CN1282081C (zh) | 2003-08-04 | 2003-08-04 | 一种入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03149742 CN1282081C (zh) | 2003-08-04 | 2003-08-04 | 一种入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1581089A CN1581089A (zh) | 2005-02-16 |
| CN1282081C true CN1282081C (zh) | 2006-10-25 |
Family
ID=34579650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03149742 Expired - Fee Related CN1282081C (zh) | 2003-08-04 | 2003-08-04 | 一种入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1282081C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109344622A (zh) * | 2018-09-26 | 2019-02-15 | 杭州迪普科技股份有限公司 | 漏洞攻击的入侵检测方法及相关设备 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100463461C (zh) * | 2005-05-10 | 2009-02-18 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN1328638C (zh) * | 2005-08-04 | 2007-07-25 | 西安交通大学 | Windows环境下的主机入侵检测方法 |
| CN100386993C (zh) * | 2005-09-05 | 2008-05-07 | 北京启明星辰信息技术有限公司 | 网络入侵事件风险评估方法及系统 |
| US8286243B2 (en) * | 2007-10-23 | 2012-10-09 | International Business Machines Corporation | Blocking intrusion attacks at an offending host |
| CN101272254B (zh) * | 2008-05-09 | 2010-09-29 | 华为技术有限公司 | 生成攻击特征库的方法、防范网络攻击的方法以及装置 |
| CN101272286B (zh) * | 2008-05-15 | 2010-12-15 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101901221B (zh) * | 2009-05-27 | 2012-08-29 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击的检测方法和装置 |
| CN101938474B (zh) * | 2010-08-27 | 2013-07-31 | 清华大学 | 一种网络入侵检测与防护的方法及装置 |
| CN101950338A (zh) * | 2010-09-14 | 2011-01-19 | 中国科学院研究生院 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
| CN102546641B (zh) * | 2012-01-14 | 2014-12-31 | 杭州安恒信息技术有限公司 | 一种在应用安全系统中进行精确风险检测的方法及系统 |
| CN104038466B (zh) * | 2013-03-05 | 2018-09-21 | 中国银联股份有限公司 | 用于云计算环境的入侵检测系统、方法及设备 |
| CN105024976B (zh) * | 2014-04-24 | 2018-06-26 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
| CN105512561B (zh) * | 2015-12-02 | 2018-11-23 | 北京安信天行科技有限公司 | 一种网络主机信息的安全检测方法和装置 |
| CN105404816B (zh) * | 2015-12-24 | 2018-11-06 | 北京奇虎科技有限公司 | 基于内容的漏洞检测方法及装置 |
| CN111277555B (zh) * | 2018-12-05 | 2022-03-11 | 中国移动通信集团河南有限公司 | 漏洞误报筛选方法及装置 |
| CN112685734A (zh) * | 2020-12-25 | 2021-04-20 | 深圳供电局有限公司 | 安全防护方法、装置、计算机设备和存储介质 |
-
2003
- 2003-08-04 CN CN 03149742 patent/CN1282081C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109344622A (zh) * | 2018-09-26 | 2019-02-15 | 杭州迪普科技股份有限公司 | 漏洞攻击的入侵检测方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1581089A (zh) | 2005-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1282081C (zh) | 一种入侵检测方法 | |
| CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
| CN101176331B (zh) | 计算机网络入侵检测系统和方法 | |
| CN1841397B (zh) | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 | |
| CN100448203C (zh) | 用于识别和防止恶意入侵的系统和方法 | |
| US8806632B2 (en) | Systems, methods, and devices for detecting security vulnerabilities in IP networks | |
| US7663479B1 (en) | Security infrastructure | |
| US20040250169A1 (en) | IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program | |
| US20100125663A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
| US20030101260A1 (en) | Method, computer program element and system for processing alarms triggered by a monitoring system | |
| CN112653678B (zh) | 一种网络安全态势感知分析方法及装置 | |
| CN1643876A (zh) | 用于降低网络入侵检测系统的误报率的方法和系统 | |
| KR101788410B1 (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
| CN102546641B (zh) | 一种在应用安全系统中进行精确风险检测的方法及系统 | |
| Xie et al. | Seurat: A pointillist approach to anomaly detection | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| CN111625821A (zh) | 一种基于云平台的应用攻击检测系统 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| US7647632B1 (en) | Object reference in a system | |
| CN111104670A (zh) | 一种apt攻击的识别和防护方法 | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| CN113572776A (zh) | 非法侵入检测装置及方法 | |
| CN100424609C (zh) | 分析和处理来自网络入侵检测系统的警报的方法和系统 | |
| Adebowale et al. | An overview of database centred intrusion detection systems | |
| Du et al. | A Multi-source Alarm Information Fusion Processing Method for Network Attack Situation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20061025 Termination date: 20200804 |