CN1741472A - 网络入侵事件风险评估方法及系统 - Google Patents
网络入侵事件风险评估方法及系统 Download PDFInfo
- Publication number
- CN1741472A CN1741472A CN 200510086351 CN200510086351A CN1741472A CN 1741472 A CN1741472 A CN 1741472A CN 200510086351 CN200510086351 CN 200510086351 CN 200510086351 A CN200510086351 A CN 200510086351A CN 1741472 A CN1741472 A CN 1741472A
- Authority
- CN
- China
- Prior art keywords
- result
- scanning
- event
- incident
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及一种网络入侵事件的有效性分析过滤、风险评估的方法及系统,它包括:1.按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算的引擎模块单元;2.对引擎模块的控制和管理单元;3.入侵事件风险评估结果显示和报表模块单元。入侵风险评估主要是在入侵检测系统(IDS)中引入了周期性的漏洞扫描结果,这样,在综合比较入侵特征和漏洞扫描得到的结果后就可以对网络中所存在的漏洞与攻击所产生的威胁进行一个更加全面和更加准确的描述与评价,从而极大的降低了IDS的误报率和提高了准确率,弥补了IDS本身固有的缺陷。
Description
技术领域
本发明涉及计算机网络安全领域,是一种网络入侵监测系统(NIDS:Network Intrusion Detection System)和脆弱性扫描系统(Scanner)协同工作的方法和系统,以降低IDS报警事件的数据量和提高IDS报警事件的精确程度。
背景技术
NIDS安装在被保护的网段中,其监听网卡工作在混杂模式下,依据网络行为特征同特征库(知识库)进行模式匹配分析网段中所有的数据包,进行网络安全事件的实时检测和响应。在事件上报的数据量和检测的准确性方面,这种单一的匹配检测方法存在着一定程度的缺陷。简单地举个例子就可以说明这一点,设想下面的一个环境:
某企业内网中运行这一台WEB服务器Server_WEB,运行的操作系统是Linux,出于安全考虑,这台服务器仅开放端口80提供WEB服务,而关闭了FTP端口20、21和TELNET端口23等其它端口。这台WEB服务器位于企业内网部署的IDS的监控范围之内,即如果IDS不存在漏报,那么IDS就可以有效地检测到一切对于Server_WEB进行的入侵攻击。假设处于企业外网的一名黑客对该服务器进行了基于FTP服务的用户口令穷举猜解,那么事实上由于该服务器没有提供FTP服务并且关闭了21端口,所以此次入侵并不能真正形成威胁,但由于传统的IDS并没有关于该服务器系统配置的记录,也会报出这条事件来。因此有必要结合其他手段和技术来提高IDS报警事件的精确程度。
而脆弱性扫描系统则可以比较准确的扫描出内部网络中的各主机的操作系统、开放的端口和存在的漏洞等信息。这样IDS的入侵事件通过与脆弱性扫描系统周期性的扫描结果进行关联分析,将无效事件进行过滤,将有效事件的风险程度进行计算,就能大大提高IDS报警结果的可用性。
发明内容
本发明的目的就是设计一种与IDS协同工作的方法和系统,以提高IDS报警事件的准确度,使IDS用户从巨大的事件数据量中解脱出来,而将更多的精力放在解决真正是有效的网络攻击事件上。为实现上述目的,本发明实现了一种网络入侵事件进行有效性分析和风险评估计算方法和系统,通过它可以结合IDS和Scanner的安全功能,使它们能够协同工作,从而降低IDS报警事件的数据量和提高IDS报警事件的精确程度。
该系统包括:
1、引擎模块单元:按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算的,主要是将IDS上报的入侵事件与Scanner最新的扫描结果进行匹配分析;
其中使用的分析方法包含:
(1)对入侵检测系统报出事件的端口和所宿主机的端口扫描结果进行匹配,包括TCP和UDP端口;
(2)对入侵检测系统报出事件的所属操作系统和所宿主机的操作系统扫描结果进行匹配;
(3)对入侵检测系统报出事件所对应的漏洞和所宿主机的漏洞扫描结果进行匹配;
(4)根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行的风险评估计算;
(5)输出分析计算后的匹配结果和风险指数;
2、引擎的控制和设置模块单元:主要是对引擎工作状态进行控制及查询,设置需要监控的IP范围及引擎的工作匹配模式。
其主要功能包括:
(1)控制及查询引擎的工作状态,如是否启动、停止等;
(2)设置需要进行入侵风险评估的主机的IP范围,也就是需要进行脆弱性扫描的主机IP范围;
(3)设置引擎的工作匹配模式,包括是否设置端口匹配、主机操作系统匹配以及漏洞匹配等。
3、脆弱性扫描设置模块单元:设置对监控主机周期性脆弱扫描的相关参数,包括是否周期性扫描、每次扫描的日期时间、每次扫描工作的最大线程数,设置完毕后,扫描任务就立即生效。
4、网络资产管理模块单元:设置和管理网络主机的资产信息,资产信息可以从脆弱性扫描的结果中导入,并可以进行修改和删除。
5、入侵事件风险评估结果显示和报表模块单元:将引擎对入侵事件与扫描结果进行匹配和风险评估计算的结果在用户界面上显示出来,以便于用户查看和分析;同时在报表模块中还可以对结果进行统计、分析、归档等。
本专利中所申请的网络入侵事件风险评估方法及系统,具有以下优点:
1、将两个主要的网络安全产品IDS和Scanner进行了无缝结合,突出的体现了各自的优点和互补性,弥补了各自的缺陷,提高了它们的使用价值;
2、对入侵事件的风险程度进行了全面准确的分析,使用户能够将主要精力集中在高风险程度的入侵事件上;
3、可以有效地降低入侵检测系统的误报率,提高其报告事件的准确率。
附图说明
图1.系统实现框架图。
图2.系统实现流程图。
具体实施方式
对行为关联事件描述语言的软件实现结构,见说明书附图2。本系统工作于IDS和SCANNER之上,它主要是利用IDS和SCANNER所报的结果进行分析,剔除误报的事件,并对有效事件进行风险评估。
引擎启动后会定时根据指定IP范围取得所有IP的最新脆弱性扫描结果,其数据结构如下:
typedef struct
{
//指定IP范围扫描任务的ID
DWORD dwTID;
//扫描任务dwTID扫描完成时间,用以标定是否是最新的结果
time_t tCurrentTime;
//扫描任务dwTID的扫描结果
map<DWORD,Single IPScanLog>map_ScanLog;
//标定该扫描结果是否正在使用
LONG nSLCounter;
}MapScanLog;
其中map_ScanLog根据事件漏洞对应表对扫描结果与相关的事件ID进行关联和排序,以提高引擎对上报事件查询、检索和分析的速度。
每当IDS上报一条攻击事件时,引擎首先分析该事件是与事件的源IP相关还是目的IP相关,也就是该攻击特征是针对源IP还是目的IP的;然后检查该相关的IP是否在指定的IP范围内:如果不在指定的IP范围内就放弃这条事件;如果在指定的IP范围内,则分别与扫描结果中的端口信息、操作系统信息、事件ID进行匹配,并取得匹配结果。然后根据匹配结果MV(取值范围0~3)、该事件的风险级别EL(四个级别:1~4)、对应漏洞的危险级别VL(三个级别:2~4)来得到该事件的风险评估结果RV。事件的风险评估计算公式为:RV=(MV*EL*VL)/(3*4*4)*100%。RV值越高表示该入侵事件的攻击可能性越大,反之就越小。
Claims (3)
1.一种网络入侵事件风险评估方法,其特征在于:根据所宿主机的脆弱性扫描结果对入侵检测系统报出事件进行关联分析和风险评估计算或根据脆弱性扫描系统的周期性扫描结果对IDS上报事件的准确性和威胁性进行关联分析和风险评估计算。
2.根据权利要求1所述的网络入侵事件风险评估方法,其特征在于:关联分析包含:
(1)对入侵检测系统所报事件的端口和所宿主机开放的端口扫描结果进行匹配,包括TCP和UDP端口;
(2)对入侵检测系统报出事件的所属操作系统和所宿主机的操作系统扫描结果进行匹配;
(3)对入侵检测系统报出事件所对应的漏洞和所宿主机的漏洞扫描结果进行匹配;
(4)根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行的风险评估计算;
(5)输出分析计算后的匹配结果和风险。
3.一种网络入侵事件风险评估系统,该系统包括一计算机主机,一网络服务器,多个终端服务器,数据存储装置,网卡,以及数据输入装置和输出装置,其特征在于:
该系统还包括:
(1)分析引擎模块单元:按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算,将IDS上报的入侵事件与Scanner最新的扫描结果进行匹配分析;
(2)引擎的控制和设置模块单元:是对引擎工作状态的启动、停止进行控制及查询,设置需要监控的IP范围及匹配方式;
(3)脆弱性扫描设置模块单元:设置对监控主机周期性脆弱扫描的相关参数,包括是否周期性扫描、每次扫描的日期时间、每次扫描工作的最大线程数,设置完毕后,扫描任务就立即生效;
(4)网络资产管理模块单元:设置对监控主机周期性脆弱扫描的相关参数,管理网络主机的资产信息;
(5)事件风险评估结果显示和报表模块单元:将引擎对入侵事件与扫描结果进行匹配和风险评估计算的结果在用户界面上显示出来,便于用户查看和分析;同时在报表模块中还可以对结果进行统计、分析、归档。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510086351XA CN100386993C (zh) | 2005-09-05 | 2005-09-05 | 网络入侵事件风险评估方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510086351XA CN100386993C (zh) | 2005-09-05 | 2005-09-05 | 网络入侵事件风险评估方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1741472A true CN1741472A (zh) | 2006-03-01 |
| CN100386993C CN100386993C (zh) | 2008-05-07 |
Family
ID=36093693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200510086351XA Expired - Fee Related CN100386993C (zh) | 2005-09-05 | 2005-09-05 | 网络入侵事件风险评估方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100386993C (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272286B (zh) * | 2008-05-15 | 2010-12-15 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101938474A (zh) * | 2010-08-27 | 2011-01-05 | 清华大学 | 一种网络入侵检测与防护的方法及装置 |
| CN102075377A (zh) * | 2010-11-30 | 2011-05-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备测试系统及其方法 |
| CN101488168B (zh) * | 2008-01-17 | 2011-06-22 | 北京启明星辰信息技术股份有限公司 | 一种计算机信息系统综合风险计算方法和系统 |
| CN101610174B (zh) * | 2009-07-24 | 2011-08-24 | 深圳市永达电子股份有限公司 | 一种日志事件关联分析系统与方法 |
| CN101651567B (zh) * | 2009-07-10 | 2012-08-01 | 深圳市永达电子股份有限公司 | 一种可用性风险扩散评估方法 |
| CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
| CN103890771A (zh) * | 2011-10-18 | 2014-06-25 | 迈克菲股份有限公司 | 用户定义的对抗措施 |
| CN104520871A (zh) * | 2012-07-31 | 2015-04-15 | 惠普发展公司,有限责任合伙企业 | 漏洞矢量信息分析 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算系统及方法 |
| CN112073355A (zh) * | 2019-05-25 | 2020-12-11 | 福建雷盾信息安全有限公司 | 基于网络流量的脆弱性分析方法 |
| CN112751830A (zh) * | 2020-12-15 | 2021-05-04 | 广东华兴银行股份有限公司 | 一种提升网络攻击检测准确性的方法、设备及介质 |
| CN113206828A (zh) * | 2021-03-30 | 2021-08-03 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003220582A1 (en) * | 2002-03-29 | 2003-10-13 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
| US7774839B2 (en) * | 2002-11-04 | 2010-08-10 | Riverbed Technology, Inc. | Feedback mechanism to minimize false assertions of a network intrusion |
| CN1282081C (zh) * | 2003-08-04 | 2006-10-25 | 联想(北京)有限公司 | 一种入侵检测方法 |
| US7725936B2 (en) * | 2003-10-31 | 2010-05-25 | International Business Machines Corporation | Host-based network intrusion detection systems |
| CN1558605A (zh) * | 2004-01-19 | 2004-12-29 | 上海交通大学 | 漏洞扫描的实现方法 |
-
2005
- 2005-09-05 CN CNB200510086351XA patent/CN100386993C/zh not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488168B (zh) * | 2008-01-17 | 2011-06-22 | 北京启明星辰信息技术股份有限公司 | 一种计算机信息系统综合风险计算方法和系统 |
| CN101272286B (zh) * | 2008-05-15 | 2010-12-15 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101651567B (zh) * | 2009-07-10 | 2012-08-01 | 深圳市永达电子股份有限公司 | 一种可用性风险扩散评估方法 |
| CN101610174B (zh) * | 2009-07-24 | 2011-08-24 | 深圳市永达电子股份有限公司 | 一种日志事件关联分析系统与方法 |
| CN101938474B (zh) * | 2010-08-27 | 2013-07-31 | 清华大学 | 一种网络入侵检测与防护的方法及装置 |
| CN101938474A (zh) * | 2010-08-27 | 2011-01-05 | 清华大学 | 一种网络入侵检测与防护的方法及装置 |
| CN102075377A (zh) * | 2010-11-30 | 2011-05-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备测试系统及其方法 |
| CN103890771A (zh) * | 2011-10-18 | 2014-06-25 | 迈克菲股份有限公司 | 用户定义的对抗措施 |
| CN103890771B (zh) * | 2011-10-18 | 2017-04-12 | 迈克菲股份有限公司 | 用户定义的对抗措施 |
| CN104520871A (zh) * | 2012-07-31 | 2015-04-15 | 惠普发展公司,有限责任合伙企业 | 漏洞矢量信息分析 |
| CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算系统及方法 |
| CN112073355A (zh) * | 2019-05-25 | 2020-12-11 | 福建雷盾信息安全有限公司 | 基于网络流量的脆弱性分析方法 |
| CN112751830A (zh) * | 2020-12-15 | 2021-05-04 | 广东华兴银行股份有限公司 | 一种提升网络攻击检测准确性的方法、设备及介质 |
| CN112751830B (zh) * | 2020-12-15 | 2024-01-23 | 广东华兴银行股份有限公司 | 一种提升网络攻击检测准确性的方法、设备及介质 |
| CN113206828A (zh) * | 2021-03-30 | 2021-08-03 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
| CN113206828B (zh) * | 2021-03-30 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100386993C (zh) | 2008-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1741472A (zh) | 网络入侵事件风险评估方法及系统 | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| US20040250169A1 (en) | IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program | |
| Estevez-Tapiador et al. | Stochastic protocol modeling for anomaly based network intrusion detection | |
| US20150358344A1 (en) | Automated forensics of computer systems using behavioral intelligence | |
| CN100531219C (zh) | 一种网络蠕虫检测方法及其系统 | |
| CN1946077A (zh) | 基于及早通知检测异常业务的系统和方法 | |
| CN1643876A (zh) | 用于降低网络入侵检测系统的误报率的方法和系统 | |
| US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
| CN1949720A (zh) | 一种分布式网络入侵检测系统 | |
| CN101436967A (zh) | 一种网络安全态势评估方法及其系统 | |
| CN1697404A (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN108848069A (zh) | 一种基于大数据的电力网络信息安全主动防御系统 | |
| Zhang et al. | Intrusion detection in SCADA systems by traffic periodicity and telemetry analysis | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
| CN105959316A (zh) | 网络安全性验证系统 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN106254318A (zh) | 一种网络攻击分析方法 | |
| CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
| CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御系统及方法 | |
| Sinha et al. | Wind: Workload-aware intrusion detection | |
| CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| Bolzoni et al. | ATLANTIDES: An Architecture for Alert Verification in Network Intrusion Detection Systems. | |
| CN112804190B (zh) | 一种基于边界防火墙流量的安全事件检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: No 12, No. 188 South Main Street, Beijing, Haidian District, Zhongguancun Patentee after: Beijing Venus Information Technology Co., Ltd. Address before: No 12, No. 188 South Main Street, Beijing, Haidian District, Zhongguancun Patentee before: Beijing Qiming Xingchen Information Technology Co., Ltd. |
|
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING QIMINGXINGCHEN INFORMATION TECHNOLOGY CO., Free format text: FORMER NAME: BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY CO. LTD. |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080507 Termination date: 20130905 |