WO2009132552A1

WO2009132552A1 - 一种入侵检测方法、系统和装置

Info

Publication number: WO2009132552A1
Application number: PCT/CN2009/071289
Authority: WO
Inventors: 金美娟; 张波; 王小琼
Original assignee: 华为技术有限公司
Priority date: 2008-04-30
Filing date: 2009-04-16
Publication date: 2009-11-05
Also published as: CN101572691B; CN101572691A

Description

一种入侵检测方法、系统和装置本申请要求于 2008 年 4 月 30 日提交中国专利局，申请号为 200810093831.2, 发明名称为 "一种入侵检测方法、系统和装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及计算机网络技术领域，特别涉及一种入侵检测方法、系统和装置。背景技术

随着计算机及网络系统中存储的重要信息越来越多，系统的安全问题日益突出，需要找到更好的措施来保护系统免受入侵者的攻击。 IDS ( Intrusion Detection System, 入侵检测系统）是继 "防火墙" 和 "数据加密"等传统安全保护措施之后又一项非常重要的安全保障技术。

IDS可分为误用检测系统和异常检测系统。误用检测系统预先为已知系统和应用软件的漏洞建立入侵特征模式库，检测时将接收到的信息与入侵特征进行模式匹配来判断是否发生了入侵。异常检测系统预先为系统建立一个正常活动的特征文件，通过统计那些不同于特征文件的所有系统状态的数量来识别入侵企图。

在实现本发明的过程中，发明人发现现有技术中存在以下缺点：现有技术中，入侵行为表现出不确定性、复杂性及多样性等特点，而入侵检测系统只有获取到系统发送对应的新入侵规则后才能检测出新出现的入侵行为。因此，在没有获取到对应的新入侵规则的情况下，新的入侵行为无法被发现，进而导致客户端对异常入侵的检测响应时间长，入侵发现率低，对变异入侵行为的适应能力差。发明内容

本发明实施例提供一种入侵检测方法、系统和装置，以缩短对异常入侵的检测响应时间，提高入侵发现率，增强应对变异入侵行为的适应能力。

为达到上述目的，本发明实施例一方面提供一种入侵检测方法，包括：

获取（ 201 )报文的异常行为特征；

根据所述异常行为特征提取 ( 202 )初步异常入侵规则；根据所述初步异常入侵规则对后续接收的报文进行匹配查找 ( 203 ), 如果匹配，则视为（205 )存在入侵行为。

另一方面，本发明实施例还提供一种入侵检测系统，包括：至少一个入侵检测子系统（1 );

所述入侵检测子系统，用于获取异常行为特征，提取初步异常入侵规则，并根据所述初步异常入侵规则对后续接收的报文进行匹配查找，如果匹配，则视为存在入侵行为。

再一方面，本发明实施例还提供一种入侵检测子系统，包括：行为分析模块、内容跟踪模块和规则提取模块；

所述行为分析模块，用于将协议分析模块获取的网络事件与行为规则数据库中的正常行为规则进行匹配，当不匹配时，则将所述网络事件转化为对应的异常行为特征，触发所述内容跟踪模块；

所述内容跟踪模块，用于对所述行为分析模块发现的异常行为特征进行内容跟踪，接收与所述异常行为特征相关的报文的网络流量；规则提取模块，用于将所述内容跟踪模块收集的网络流量进行分析，提取与所述异常行为特征对应的初步异常入侵规则。

再一方面，本发明实施例还提供一种入侵分析服务器，包括：规则保存模块、规则提炼模块和规则发布模块；

所述规则保存模块，用于保存入侵检测子系统发送的初步异常入侵规则和异常行为特征；所述规则提炼模块，用于根据所述规则保存模块保存的初步异常入侵规则和异常行为特征提炼本质入侵规则；

所述规则发布模块，用于将所述规则提炼模块提炼的本质入侵规则发送给所述入侵检测子系统。

再一方面，本发明实施例还提供一种计算机程序，包括：若干指令，用以执行所述入侵检测方法。

再一方面，本发明实施例还提供一种机器可读存储介质，所述机器可读存储介质用于存储所述计算机程序。

再一方面，本发明实施例还提供一种计算机设备，包括用以执行所述入侵检测方法的软件及与软件配合的硬件。

与现有技术相比，本发明实施例具有以下优点：

本发明实施例的入侵检测子系统自身能够提取初步异常入侵规则，在没有获得对应的本质入侵规则的情况下，入侵检测子系统可根据该初步异常入侵规则对后续的异常行为进行检测，从而缩短了对异常入侵的检测响应时间，提高了入侵发现率，增强了对变异入侵行为的适应能力。附图说明

图 1为本发明实施例一的入侵检测系统的结构示意图；图 2为本发明实施例二的入侵检测方法框图；

图 3为本发明实施例三的入侵检测方法框图；

图 4为本发明实施例四的入侵检测方法框图。具体实施方式

下面结合附图对本发明实施例的实施方式进行详细描述：如图 1所示，为本发明实施例一的入侵检测系统的结构示意图，包括：至少一个入侵检测子系统 1、入侵分析服务器 2和初步入侵规则发送装置 3 , 其中：入侵检测子系统 1 , 用于获取异常行为特征，提取初步异常入侵规则，并根据所述初步异常入侵规则对后续接收的报文进行匹配查找，如果匹配，则视为存在入侵行为。

入侵分析服务器 2, 用于根据入侵检测子系统 1发送的初步异常入侵规则和异常行为特征提炼本质入侵规则，并向入侵检测子系统 1 发送所述本质入侵规则，由所述入侵检测子系统 1用所述本质入侵规则替换所述初步异常入侵规则。

初步入侵规则发送装置 3, 用于在入侵检测子系统 1提取初步异常入侵规则后，将所述初步异常入侵规则发送给其他入侵检测子系统，作为入侵匹配条件之一。

另外，上述入侵分析服务器 2和初步入侵规则发送装置 3的功能也可以由入侵检测子系统 1来实现，入侵分析服务器 2和初步入侵规则发送装置 3并非是本发明实施例所必需的。

上述入侵检测子系统 1 , 包括：行为分析模块 101、内容跟踪模块 102、规则提取模块 103、数据传输模块 104、入侵规则数据库 105、行为规则数据库 106、数据包收集模块 107、模式匹配模块 108、入侵提示模块 109和协议分析模块 110, 其中：

行为分析模块 101 , 用于将协议分析模块 110获取的网络事件与行为规则数据库 106中的正常行为规则进行匹配，如果不匹配，则将所述网络事件转化为对应的异常行为特征，触发内容跟踪模块 102, 否则，认定所述网络事件为正常网络事件。

内容跟踪模块 102, 用于对行为分析模块 101发现的异常行为特征进行内容跟踪，接收与所述异常行为特征相关的报文的网络流量。

规则提取模块 103, 用于将内容跟踪模块 102收集的网络流量进行分析，提取与所述异常行为特征对应的初步异常入侵规则，并将所述初步异常入侵规则保存到入侵规则数据库 105。

数据传输模块 104, 用于将规则提取模块 103提取的初步异常入侵规则和行为分析模块 101 获取的异常行为特征发送给入侵分析服务器 2, 接收入侵分析服务器 2发送的本质入侵规则，并用所述本质入侵规则替换入侵规则数据库 105中的初步异常入侵规则。上述初步入侵规则发送装置 3的实现功能也可以由各个入侵检测子系统 1的数据传输模块 104来实现。

入侵规则数据库 105 , 用于保存规则提取模块 103发送的初步异常入侵规则和数据传输模块 104发送的本质入侵规则。

行为规则数据库 106, 用于保存正常行为规则。

数据包收集模块 107 , 用于接收流经网络的报文。

模式匹配模块 108, 用于根据入侵规则数据库 105中的入侵规则对数据包收集模块 107收集的报文进行匹配，如果匹配，则触发入侵提示模块 109, 否则，触发协议分析模块 110。

入侵提示模块 109, 用于收集模式匹配模块 108输出的与所述入侵规则匹配的报文，并提示所述报文存在入侵行为。

协议分析模块 110, 用于将模式匹配模块 108输出的与所述入侵规则不匹配的报文进行协议分析，获取所述报文对应的网络事件。

上述入侵分析服务器 2, 包括：规则保存模块 201、规则提炼模块 202和规则发布模块 203 , 其中：

规则保存模块 201 , 用于保存入侵检测子系统 1发送的初步异常入侵规则和异常行为特征。

规则提炼模块 202, 用于根据规则保存模块 201保存的初步异常入侵规则和异常行为特征提炼本质入侵规则。

规则发布模块 203 , 用于将规则提炼模块 202提炼的本质入侵规则发送给入侵检测子系统 1。

本发明实施例的入侵检测子系统 1 自身能够提取初步异常入侵规则，以用于在收到入侵分析服务器 2发送的对应的本质入侵规则前对异常入侵进行检测，从而缩短了对异常入侵的检测响应时间，提高了入侵发现率，增强了对变异入侵行为的适应能力。

本领域技术人员可以理解，上述实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

如图 2所示，为本发明实施例二的入侵检测方法框图，具体包括：框图 S201 , 获取报文的异常行为特征。对报文进行入侵检测，当发现被检测的报文不可识别时，对所述报文进行行为分析，获取所述"¾文的异常行为特征。

框图 S202, 根据所述异常行为特征建立初步异常入侵规则，并用所述初步异常入侵规则更新入侵规则数据库。

框图 S203 , 根据所述更新后的入侵规则数据库对后续接收的报文进行匹配查找。

框图 S204, 判断是否匹配。如果匹配，则执行框图 S205, 否贝' J , 执行框图 S201及其以后的步骤。

框图 S205 , 当后续接收的报文与所述更新后的入侵规则数据库中的某个入侵规则匹配时，则视为存在入侵行为。

本发明实施例实现了在没有对应的本质入侵规则的情况下，可根据初步异常入侵规则对后续的异常行为进行检测，从而缩短了对异常入侵的检测响应时间，提高了入侵发现率，增强了对变异入侵行为的适应能力。

如图 3所示，为本发明实施例三的入侵检测方法框图。本发明实施例基于实施例一，在实际应用中，由于需求不同，部分模块的内部实现会略有不同，例如检测 DDoS ( Distributed Denial of Service, 分布式拒绝服务）攻击、检测蠕虫传播以及各种欺骗攻击就具有不同的行为规则和判定条件。本发明实施例对行为规则和判定条件不作限定。下面以检测 DDoS攻击为例来进行说明，具体包括：

框图 S301 , 数据包收集模块 107接收流经网络设备的所有报文。例如通过嗅探的方式接收流经网络设备的所有报文，并转交给模式匹配模块 108进行处理。

框图 S302, 模式匹配模块 108查询入侵规则数据库 105将所述报文进行模式匹配。模式匹配模块 108将所述报文携带的有效载荷同预先读入的入侵规则数据库 105中的入侵规则进行比较，比较的过程可以通过 Aho Corasick等算法实现。

框图 S303, 模式匹配模块 108判断所述报文是否与某个入侵规则匹配。如果匹配则执行框图 S304, 否则，执行框图 S305。

框图 S304, 入侵提示模块 109报警。模式匹配模块 108读取所述入侵规则对应的报警信息，并传递给入侵提示模块 109。入侵提示模块 109 将所述报警信息写入日志文件中，并显示在用户界面内报框图 S305, 协议分析模块 110将没有产生报警的报文进行协议分析。协议分析模块 110将没有产生报警的报文自底向上依次分析报文中包含的各种协议，如 ARP ( Address Resolution Protocol, 地址解析协议）、 IP ( Internet Protocol, 因特网协议 )、 TCP ( Transfer Control Protocol, 传输控制协议）、 HTTP ( Hyper Text Transfer Protocol, 超文本传输协议）等，并根据各种协议的内容来生成具体的网络事件。例如对于 TCP协议，需要分析 SYN (同步）、 ACK (确认）等标志位，并以此来生成 TCP连接尝试、连接建立、连接断开的网络事件。

框图 S306,行为分析模块 101查询行为规则数据库 106, 对网络事件进行行为分析。行为分析模块 101 根据网络事件来分析网络行为，并与正常行为规则进行比较，从而判断网络行为是否存在异常。例如一定时间内针对某个主机的 TCP连接尝试的次数可以看作是主机的扫描率，一定时间内对某个端口的 TCP连接尝试的次数可以看作是端口的扫描率，如果它们超过行为规则数据库 106中预先设定的正常值，则认为发生了异常，并汇总异常网络行为的异常行为特征。

框图 S307, 内容跟踪模块 102对异常行为特征进行内容跟踪。内容跟踪模块 102对发生异常的主机或者端口进行跟踪，收集该主机或者该端口上的所有报文。

框图 S308, 规则提取模块 103提取初步异常入侵规则。规则提取模块 103根据内容跟踪模块 102的跟踪结果计算数据的出现频率和地址分布情况提取初步异常入侵规则。例如目前 IPv4版本中 IP地址为 32比特，将网络文中的 IP地址映射到某个预先建立的 32位的数组中，出现 1的部分设置为 1 , 如果有超过 20个比特的位成为 1 , 则认为存在地址发散，此时采用统计的方法来计算数据的出现频率。为了提高统计的效率，在计算每段数据时均生成对应的 hash值。并按照本规则的唯一 ID号从行为分析模块 101获取对应的异常行为特征，将所述初步异常入侵规则及对应的异常行为特征一起传递到数据传输模块 104。

框图 S309, 数据传输模块 104将所述初步异常入侵规则及对应的异常行为特征传递给入侵分析服务器 2, 同时将所述初步异常入侵规则发送给入侵规则数据库 105 , 更新所述入侵规则数据库 105。

框图 S310, 在数据传输模块 104收到规则发布模块 102发送的本质入侵规则前，模式匹配模块 108可以根据包含所述初步异常入侵规则的入侵规则数据库 105对后续的异常行为进行检测。

框图 S311 , 规则保存模块 103保存初步异常入侵规则及对应的异常行为特征。规则保存模块 103将数据传输模块 104传递的初步异常入侵规则及对应的异常行为特征保存在本地数据库中，同时将其传递给规则提炼模块 101。

框图 S312, 规则提炼模块 101提炼本质入侵规则。将所述初步

属于同类入侵。如果该异常行为特征的相似程度和对应初步异常入侵规则的相似程度超过预先设定的阈值，则提炼出多条入侵规则相同的部分作为该类入侵的筒化规则，即提炼出本质入侵规则，然后，规则发布模块 102将规则提炼模块 101提炼的本质入侵规则下发到各个入侵检测子系统 1 , 否则，入侵分析服务器 2结束处理流程。

框图 S313, 数据传输模块 104用入侵分析服务器 2发送的本质入侵规则替换入侵规则数据库 105中的初步异常入侵规则。数据传输模块 104接收入侵分析服务器 2发送的根据所述初步异常入侵规则和异常行为特征提炼的本质入侵规则，并用所述本质入侵规则替换入侵规则数据库 105中的初步异常入侵规则。本发明实施例的入侵检测子系统 1可以部署在主机、交换机以及路由器等网络设备上用于入侵检测，并且分别与入侵分析服务器 2连接。并且入侵分析服务器 2除了与各个入侵检测子系统 1相连之外，可以独立存在，也可以根据需要与其他的网络设备相连。假设部署在网络设备上的入侵检测子系统 1通过行为分析模块 101和规则提取模块 103生成了表 1中的 ID号为 1和 2的两条初步异常入侵规则和异常行为特征。入侵分析服务器 2通过计算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近，在这种情况下，入侵分析服务器

2继续计算内容的相似性，并提炼出它们的共有部分 ZZZZ, 从而生成了 ID号为 3的本质入侵规则。如表 1所示：

表 1

本发明实施例的入侵检测子系统 1与入侵分析服务器 2直接传输的是入侵规则和行为特征，从而大大减少了系统内部需要传输的数据量。在入侵分析服务器 2没有下发提炼后的本质入侵规则之前，各个入侵检测子系统 1可以根据初步异常入侵规则进行入侵检测，因此减少了入侵检测需要的响应时间。而经过规则提炼模块 202生成的本质入侵规则同初步入侵规则相比只提取了入侵的固有特征，因此能够检测变异后的入侵行为，例如本实施例中的标识为 3的本质入侵规则可以检测出报文内容为 aaZZZZ的入侵。同时，由于提炼后的本质入侵规则更加筒洁，这不仅可以提高模式匹配的效率，也可以减少系统运行时占用的内存。

如图 4所示，为本发明实施例四的入侵检测方法框图，具体包括：框图 S401 , 入侵检测子系统 1接收报文。例如入侵检测子系统可以通过嗅探的方式来接收流经网络汇聚设备的报文。框图 S402, 入侵检测子系统 1根据入侵规则数据库 105中的入侵规则对所述报文进行模式匹配，将所述报文携带的有效载荷同预先读入的入侵规则数据库 105中的入侵规则进行比较，比较的过程可以通过 Aho Corasick等算法实现。

框图 S403, 入侵检测子系统 1判断所述报文与所述入侵规则是否匹配。如果所述报文与所述入侵规则匹配，则执行框图 S404, 否则，执行框图 S405及其以后的步骤。

框图 S404, 入侵检测子系统 1对与所述入侵规则匹配的报文产生报警。

框图 S405, 入侵检测子系统 1对与所述入侵规则不匹配的报文进行协议分析，获取所述报文对应的网络事件。典型的网络事件包括连接尝试、连接建立、连接完成、 FTP ( File Transfer Protocol, 文件传输协议）请求、 FTP应答等。

框图 S406, 入侵检测子系统 1对所述网络事件进行行为分析，获取对应的行为特征。入侵检测子系统 1对所述网络事件进行行为分析，根据对所述网络事件的行为分析获取对应网络事件的网络活动行为特征。典型的行为特征包括主机扫描、端口的扫描率、报文碎片的接收率等。入侵检测子系统 1将行为规则数据库 106的正常行为规则与获取的行为特征进行匹配。

框图 S407, 入侵检测子系统 1判断网络事件的行为特征是否与所述正常行为规则匹配。如果匹配，则执行框图 S408, 否则，执行框图 S409。

框图 S408, 入侵检测子系统 1判定所述网络事件为正常网络事件。

框图 S409, 入侵检测子系统 1对异常行为特征进行内容跟踪。入侵检测子系统 1判定所述网络事件为异常网络事件，对所述异常行为特征进行内容跟踪，接收与所述异常行为特征相关的报文的网络流量。

框图 S410, 入侵检测子系统 1提取初步异常入侵规则。入侵检测子系统 1对所述网络流量进行分析，计算报文中部分数据的出现频率及地址分布情况，提取与所述异常行为特征对应的初步异常入侵规则。

框图 S411 , 入侵检测子系统 1向入侵分析服务器 2发送所述初步异常入侵规则及对应的异常行为特征，同时将所述初步异常入侵规则发送给入侵规则数据库 105 , 更新所述入侵规则数据库 105。

框图 S412, 根据所述更新的入侵规则数据库 105对后续的异常行为进行检测。在收到入侵分析服务器 2发送的对应的本质入侵规则前，入侵检测子系统 1可根据所述初步异常入侵规则对后续的异常行为进行检测。

框图 S413 , 入侵分析服务器 2保存来自入侵检测子系统 1的异常行为特征及对应的初步异常入侵规则。

框图 S414, 入侵分析服务器 2对初步异常入侵规则及对应的异常行为特征进行相似性分析和关联分析。入侵分析服务器 2将所述初步异常入侵规则及对应的异常行为特征进行相似性分析，获取相似行为特征，对所述相似行为特征对应的初步异常入侵规则进行关联分框图 S415 , 入侵分析服务器 2根据分析结果判断是否提炼本质入侵规则。如果分析表明初步异常入侵规则没有共同的特征，则执行框图 S416, 否则，执行框图 S417。

框图 S416, 入侵分析服务器 2结束处理。

框图 S417, 入侵分析服务器 2提炼对应的本质入侵规则。

框图 S418, 入侵分析服务器 2向所有入侵检测子系统 1发送所述本质入侵规则。

框图 S419, 所有入侵检测子系统 1更新入侵规则数据库 105。入侵检测子系统 1 根据收到的本质入侵规则中包含的信息在入侵规则数据库 105 中查找，找到对应的项（即之前保存的初步异常入侵规则），对其进行更新（即用所述本质入侵规则替换所述初步异常入侵规则）。本发明实施例中的入侵检测子系统 1 并不需要等待入侵分析服务器 2 下发的本质入侵规则即可利用自身的提取的初步异常入侵规则进行入侵检测，从而有效地降低了检测异常入侵所需的响应时间，提高了入侵发现率，增强了对变异入侵行为的适应能力。另外，本发明实施例在在整个入侵检测系统内部传输的是入侵规则和行为特征，这大大减少了需要传输的数据量，保证了入侵分析服务器 2不会因为过载而发生异常。并且本发明实施例还引入了行为分析方法，通过在多个入侵检测子系统 1之间共享行为特征，入侵分析服务器 2能够基于行为特征的相似程度从多条入侵规则中提炼出反映入侵特征的数据，并生成更加筒洁的本质入侵规则，这一方面可以有效地减少入侵规则数据库 105中入侵规则的数量，提高模式匹配的速度，另一方面也可以提高入侵检测子系统 1的发现率，增强系统对变异入侵行为的适应能力。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必需的。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。权利要求的内容记载的方案也是本发明实施例的保护范围。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明，可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质 (可以是 CD-ROM, U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求

1、一种入侵检测方法，其特征在于，包括：

获取（ 201 )报文的异常行为特征；

2、如权利要求 1所述入侵检测方法，其特征在于，在所述提取初步异常入侵规则之后，还包括：

用所述初步异常入侵规则更新入侵规则数据库。

3、如权利要求 2所述入侵检测方法，其特征在于，所述对后续接收的报文进行匹配查找，具体为根据所述更新后的入侵规则数据库对后续接收的报文进行匹配查找。

4、如权利要求 2所述入侵检测方法，其特征在于，在所述用初步异常入侵规则更新所述入侵规则数据库之后，还包括：

向入侵分析服务器发送所述初步异常入侵规则和异常行为特征；接收所述入侵分析服务器发送的根据所述初步异常入侵规则和异常行为特征提炼的本质入侵规则，并用所述本质入侵规则替换所述入侵规则数据库的初步异常入侵规则。

5、如权利要求 4所述入侵检测方法，其特征在于，所述对后续接收的报文进行匹配查找，具体为根据所述更新后的包括所述本质入侵规则的入侵规则数据库对后续接收的报文进行匹配查找的。

6、如权利要求 1所述入侵检测方法，其特征在于，所述获取报文的异常行为特征，包括：

根据第一入侵规则对所述报文进行匹配查找，当不匹配时，对所述报文进行协议分析，获取所述报文对应的网络事件；

根据行为规则库对所述网络事件进行匹配查找，当不匹配时，将所述网络事件转化为对应的异常行为特征。

7、如权利要求 1或 6所述入侵检测方法，其特征在于，所述根据异常行为特征提取初步异常入侵规则，包括：

根据所述异常行为特征对所述报文进行内容跟踪，收集与所述异常行为特征相关的报文的网络流量；

根据所述网络流量计算所述异常行为特征出现的频率和地址分布情况；

根据所述频率和地址分布情况提取与所述异常行为特征对应的初步异常入侵规则。

8、如权利要求 4所述入侵检测方法，其特征在于，在向入侵分析服务器发送所述初步异常入侵规则和异常行为特征之后，还包括：相似行为特征；规则进行关联分析，提炼所述本质入侵规则。

9、一种入侵检测系统，其特征在于，包括：至少一个入侵检测子系统 ( 1 )；

10、如权利要求 9所述入侵检测系统，其特征在于，还包括：入侵分析服务器；

所述入侵分析服务器，用于根据所述入侵检测子系统发送的初步异常入侵规则和异常行为特征提炼本质入侵规则，并向所述入侵检测子系统发送所述本质入侵规则，由所述入侵检测子系统用所述本质入侵规则替换所述初步异常入侵规则。

11、如权利要求 9所述入侵检测系统，其特征在于，还包括：初步入侵规则发送装置；

所述初步入侵规则发送装置，用于在所述入侵检测子系统提取初步异常入侵规则后，将所述初步异常入侵规则发送给其他入侵检测子系统，作为入侵匹配条件之一。

12、一种入侵检测子系统，其特征在于，包括：行为分析模块、内容跟踪模块和规则提取模块；

13、如权利要求 12所述入侵检测子系统，其特征在于，还包括：数据传输模块；

所述数据传输模块，用于将所述规则提取模块提取的初步异常入侵规则和所述行为分析模块获取的异常行为特征发送给入侵分析服务器，接收所述入侵分析服务器发送的本质入侵规则，并用所述本质入侵规则替换所述入侵规则数据库中的初步异常入侵规则。

14、如权利要求 13所述入侵检测子系统，其特征在于，还包括：行为规则数据库和入侵规则数据库；

所述行为规则数据库，用于保存正常行为规则；

所述入侵规则数据库，用于保存所述规则提取模块发送的初步异常入侵规则和所述数据传输模块发送的本质入侵规则。

15、如权利要求 12所述入侵检测子系统，其特征在于，还包括数据包收集模块、模式匹配模块、协议分析模块和入侵提示模块；所述数据包收集模块，用于接收流经网络的报文；

所述模式匹配模块，用于根据所述入侵规则数据库中的入侵规则对所述数据包收集模块收集的报文进行匹配，如果匹配，则触发所述入侵提示模块，否则，触发所述协议分析模块；

所述协议分析模块，用于将所述模式匹配模块输出的与所述入侵规则不匹配的报文进行协议分析，获取所述报文对应的网络事件；所述入侵提示模块，用于收集所述模式匹配模块输出的与所述入侵规则匹配的报文，并提示所述报文存在入侵行为。

16、一种入侵分析服务器，其特征在于，包括：规则保存模块、规则提炼模块和规则发布模块；

所述规则保存模块，用于保存入侵检测子系统发送的初步异常入侵规则和异常行为特征；

所述规则提炼模块，用于根据所述规则保存模块保存的初步异常入侵规则和异常行为特征提炼本质入侵规则；

17、一种计算机程序，其特征在于，包括：若干指令，用以执行权利要求 1至 6、 8中任意一项所述入侵检测方法。

18、一种机器可读存储介质，其特征在于，所述机器可读存储介质用于存储权利要求 17所述计算机程序。

19、一种计算机设备，其特征在于，包括用以执行权利要求 1至 6、 8中任意一项所述入侵检测方法的软件及与软件配合的硬件。