CN101789885A - 网络入侵检测*** - Google Patents
网络入侵检测*** Download PDFInfo
- Publication number
- CN101789885A CN101789885A CN200910008508A CN200910008508A CN101789885A CN 101789885 A CN101789885 A CN 101789885A CN 200910008508 A CN200910008508 A CN 200910008508A CN 200910008508 A CN200910008508 A CN 200910008508A CN 101789885 A CN101789885 A CN 101789885A
- Authority
- CN
- China
- Prior art keywords
- network
- detection system
- processing unit
- rule
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络入侵检测***,网络入侵检测***用以进行网络封包的检测与监控,网络入侵检测***是根据当前的负载量决定检测规则的加载与运行,其包括:网络连接单元、储存单元与处理单元。处理单元根据所接收的网络封包用以运行警报分析程序、多笔检测规则与多笔运行策略;警报分析程序用以检测网络封包的内容是否符合检测规则,对检测规则指派资源消耗级别,根据资源消耗级别将检测规则归类至相应的运行策略中;根据设备负载量与存取负载量,决定处理单元的负载级别;根据负载级别,决定处理单元所运行的运行策略与警报分析程序。
Description
技术领域
本发明涉及一种入侵检测***,特别涉及一种可以针对不同资源消耗进行相应调整的入侵检测***。
背景技术
以往,网络安全的解决方案多由防毒软件与防火墙达到基本的网络安全防护。由防毒软件避免计算机***感染计算机病毒,再由防火墙保障私人数据不被窃取。虽然靠着防火墙与防毒病毒可控管大部分意图入侵计算机***者的恶意入侵,但部分黑客仍可突破防火墙入侵计算机***。网络入侵检测***(Intrusion Detection System,IDS)技术遂发展成为保护计算机***免于被窃取数据或恶意破坏计算机的重要技术,由入侵检测***搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。入侵检测***主要是通过监视与分析计算机***的网络活动,由分析接收的所有网络封包,发现***中未授权或异常的网络封包活动,并于遭受入侵活动时,实时对异常的存取行为发出警报,并将统计分析的结果记录于报表。一般而言,网络入侵检测***可以是计算机/服务器,其架设于因特网的重要节点,例如内部网络的边界路由器后端、或重要的(欲保护的)服务器/计算机主机前端,以在检测到恶意攻击或可疑的联机活动时,实时发出警示信号,进而阻断或滤除恶意联机所产生的攻击,避免内部网络遭受攻击而造成数据被窃取或损坏。网络入侵检测主要检测手法为特征比对检测(Signature Based Detection)、异常行为检测(Behavioral AnomalyDetection)、以及异常通讯协议检测(Protocol Anomaly Detection)。网络入侵检测***的服务器检查网络联机状态与流经网络入侵检测***服务器的所有传输封包的内容,当发现网络攻击事件、或符合网络入侵检测***管理者所定义的异常事件时,即发出警示通知网络入侵检测***管理者进行防御,或进一步将异常事件记录在程序或日志文件内。
以目前网络入侵检测技术上看来,分为基于网络或基于主机的入侵检测***两大类。基于网络的网络入侵检测***系将网络入侵检测***的主机放置于网络区段中较重要的端点,由对流经网络入侵检测的主机的每一个数据封包,或可疑的封包类型进行特征分析;基于主机的网络入侵检测***主要是对主机或***的网络联机日志(Login File)进行分析判断。然而不管是哪类的网络入侵检测***,进行入侵检测时皆需消耗相当的***资源。网络入侵检测***需分析每一个封包的类型甚至需针对封包内容进行解析。
但对于入侵检测***的主机而言,并非所有时段都是处于高负载。而且入侵检测***的主机的处理能力有限。当主机处于高负载状态时,主机在处理所有检查规则时,势必耗费比低负载时更多的时间。
发明内容
鉴于以上的问题,本发明的主要目的在于提供一种网络入侵检测***,网络入侵检测***用以进行网络封包的检测与监控,网络入侵检测***是根据当前的负载量决定检测规则的加载与运行。
为达到上述目的,本发明所揭露的网络入侵检测***包括有:网络连接单元、储存单元与处理单元。网络连接单元接收来自客户端的多个网络封包;储存单元用以储存网络封包、警报分析程序、多笔检测规则与多笔运行策略,警报分析程序用以检测网络封包的内容是否符合检测规则,对每一检测规则指派相应的资源消耗级别,并根据资源消耗级别的不同将检测规则归类至相应的运行策略中;处理单元电性连接于网络连接单元与储存单元,处理单元根据下述步骤决定是否运行检测规则:分别获取处理单元的设备负载量与网络连接单元的存取负载量;根据设备负载量与存取负载量,决定处理单元的负载级别;根据当前的负载级别,用以决定运行相应的运行策略与是否对每网络封包执行警报分析程序。
本发明提供了一种入侵检测***,其是根据不同威胁程度或执行频率对检测规则进行分级,将其划分至不同的运行策略中。并且根据不同的负载消耗时段进行相应的运行策略。使得在网络存取量大的时候,可以对实时性较低的检查规则不提供实时的反映,在入侵检测***的资源消耗较低的时候才执行一检查规则,反之亦然。如此一来,入侵检测***可以在高资源消耗的时段中,提供较高的处理效能。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为本发明较佳实施例的入侵检测***的网络拓璞示意图;
图2为本发明的运作流程示意图;
图3为各负载级别的运作示意图。
其中,附图标记
110 入侵检测***
120 局域网络
121~126 计算机主机
130 因特网
具体实施方式
下面结合附图对本发明的结构原理和工作原理作具体的描述:
图1为本发明较佳实施例的入侵检测***的网络拓璞示意图。请参照图1,在本实施例中,所有网络封包皆会流经边界节点,因此将入侵检测***110架设于例如局域网络120的边界节点(或边界路由器)将带有恶意入侵/攻击行为内容的网络封包(以下称为恶意封包)加以滤除,以保护局域网络120内部的计算机主机(121~126)免于来自因特网130的恶意封包侵袭。
在本发明的入侵检测***的主机中至少包括有网络连接单元、储存单元与处理单元。网络连接单元用以连接至外部网络/内部网络的客户端,并用以接收客户端所发送的网络封包。储存单元用以储存所接收的网络封包、警报分析程序(Alert correlation)、多笔检测规则与多笔运行策略。
检测规则中包括病毒特征代码、***漏洞特征、多条入侵行为规则及对应入侵行为规则的预设通讯协议、来源地址、以及连接端口号。例如,对阻断式服务攻击(distributed denial-of-service,简称DDoS)的检测规则如下表1所示:
| 检测规则 | 检测内容 |
| 检测规则一: | 目的地port:445,协定:TCP, |
| 封包数:2,封包大小:96 | |
| 检测规则二: | 目的地port:445,协定:TCP,封包数:1,封包大小:48 |
| 检测规则三: | 协定:TCP,封包数:2,封包大小:96 |
表1.DDoS规则示意表
当网络封包被找出符合检测规则时,则再将由警报分析程序对网络封包进行检验。接着,再对每一检测规则指派相应的资源消耗级别,并根据资源消耗级别的不同将检测规则归类至相应的运行策略中。处理单元电性连接于网络连接单元与储存单元,处理单元根据下述步骤用以检测所接收的网络封包。
请参考图2所示,其为本发明的运作流程示意图。
资源监视程序获取处理单元的设备负载量与网络连接单元的存取负载量(步骤S210)。
根据设备负载量与存取负载量,决定处理单元的负载级别(步骤S220)。
根据当前的负载级别,判断运行相应的运行策略与是否对每一网络封包执行警报分析程序(步骤S230)。
当负载级别为闲置级别时,则处理单元运行低等运行策略并对每一网络封包进行警报分析程序(步骤S241)。
由警报分析程序统计检测规则的被执行次数,用以决定是否改变检测规则的优先权(步骤S242)。
当负载级别为中等级别时,则处理单元运行中等运行策略,并对符合中等运行策略的网络封包进行警报分析程序(步骤S250)。
当负载级别为忙碌级别时,则处理单元运行高等运行策略(步骤S260)。
再每经过预定的监控时间后,处理单元重新获取设备负载量与存取负载量,再重新决定当前的负载级别(步骤S270)。
本发明与现有技术的差异在于,对于检测规则的执行顺序与方式。检测规则包括多条入侵行为规则及对应该些入侵行为规则的预设通讯协议、来源地址、以及连接端口号。在步骤S210与S220是根据处理单元与网络连接单元的负载程度对检测规则做出相应的分级。为能更清楚说明如何将检测规则划分至运行策略与如何决定相应的负载级别,在此以下述例子作为说明,但其中的设定参数并非仅限于此。
首先获取处理单元的设备负载量(Rc)与网络连接单元的存取负载量(Rn)。设备负载量(Rc)指的是处理单元的使用率,存取负载量(Rn)是网络连接单元单位时间中的网络封包存取比率。而入侵检测***的资源消耗(Rr)是为:
Rr=Rc*right1+Rn*right2
right1与right2分别为对设备负载量与存取负载量的加权值,加权值则根据处理单元与网络连接单元的处理能力所决定。举例来说,在一个额定的网络状态下,处理单元的设备负载量、网络封包的存取负载量与内存使用量等各设备的处理量统计出适当的一组加权值,或者由使用者自行设定该加权值。接着,根据资源消耗的程度设定不同的负载级别。特别需要说明的是,负载级别除了可以设定在一固定时段,亦可以根据资源消耗程度作为区分。
若是以固定时段为例,则可以将负载级别划分成闲置时段、中等时段与忙碌时段。当入侵检测***的资源消耗小于预定门坎值时,则将其设定为闲置时段。在此假设入侵检测***的处理能力的33%为第一门坎值(Lm),且入侵检测***的处理能力的66%为第二门坎值(Lh)。当资源消耗小于第一门坎值(Lm)时,则为入侵检测***处于闲置时段,反之则是处与中等时段。若是资源消耗大于第二门坎值(Lh)时,则入侵检测***是处于忙碌时段。其中,对第一门坎值(Lm)与第二门坎值(Lh)需要特别说明的是,第一门坎值(Lm)是大于入侵检测***的各设备的负载总量(Rca)与总存取负载量(Rcc)之和(意即(Rca+Rcc)*right1<Lm)。而第二门坎值对第一门坎值之差值(Lh-Lm)是大于入侵检测***的各设备的负载总量(Rca)与总存取负载量(Rcc)之和(意即(Rca+Rcc)*right1<(Lh-Lm))。
入侵检测***根据当前的负载级别用以决定是否执行相应的检测规则。承接上述例子,负载级别是为闲置时段、中等时段与忙碌时段。入侵检测***在闲置时段时,入侵检测***会根据警报分析程序的执行频率调整检测规则的优先权。举例来说,若是有恶意的客户端持续的发送具有攻击性的网络封包时,入侵检测***会根据当前的负载级别做出相应的检测规则调整。当负载级别为闲置时段/中等时段时,入侵检测***会将所有(或是高优先权)的检测规则启动。并且统计警报分析程序被恶意客户端所触发的频率,当触发的频率大于警戒门坎时,则将恶意客户端所触发的相关检测规则的优先权提高,反之亦然。
若是入侵检测***处于忙碌时段时,则处理单元仅运行高等运行策略。换句话说就是仅执行高优先权的检查规则,并且暂时不执行警报分析程序对网络封包的处理,直至处理单元的负载级别降至中等时段/闲置时段才恢复执行警报分析程序。请参考图3所示,其为各负载级别的运作示意图。
图3由左至右分别为闲置时段、中等时段与忙碌时段。在不同的负载级别中,入侵检测***均加载相同的服务,但是对于检测规则与警报校验程序则有所差异。在闲置时段中,入侵检测***会挂载所有的检测规则与警报校验程序。在中等时段中,入侵检测***会挂载部分的检测规则与警报校验程序。而忙碌时段,入侵检测***仅会执行高优先权的检测规则,并且暂不执行警报校验程序。
此外,为能实时的监测不同时间的状态。所以在每经过一监控时间后,入侵检测***会判断当前设备负载量与存取负载量,再重新决定负载级别。资源监视程序在不同负载级别时亦可以设定其监控频率。假设入侵检测***在闲置时段中,将资源监视程序设定为一小时扫瞄6次;在中等时段中,将资源监视程序设定为一小时扫瞄5次;在忙碌时段中,将资源监视程序设定为一小时扫瞄3次。因为在闲置时段中,处理单元可以有较多的能力来应用其它程序的资源消耗,反之,在忙碌的时候则减少对处理单元的负载。当资源监视程序在时间内检测到处理单元的资源消耗超过上述门坎时,则改变处理单元的负载级别。
本发明提供了一种入侵检测***,其是根据不同威胁程度或执行频率对检测规则进行分级,将其划分至不同的运行策略中。并且根据不同的负载消耗时段进行相应的运行策略。使得在网络存取量大的时候,可以对实时性较低的检查规则不提供实时的反映,在入侵检测***的资源消耗较低的时候才执行一检查规则,反之亦然。如此一来,入侵检测***可以在高资源消耗的时段中,提供较高的处理效能。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (7)
1.一种网络入侵检测***,该网络入侵检测***用以进行网络封包的检测与监控,其特征在于,该网络入侵检测***包括:
一网络连接单元,用以接收客户端的多个网络封包或发送该些网络封包至客户端;
一储存单元,其用以储存所接收的该些网络封包、一警报分析程序、一资源监视程序、多笔检测规则与多笔运行策略,根据该些检测规则用以对该些网络封包进行检测,并将符合该些检测规则的该些网络封包交由该警报校验程序进行分析,对每一该检测规则指派相应的一资源消耗级别与一优先权,并根据该资源消耗级别的不同将该检测规则归类至相应的该运行策略中;以及
一处理单元,其电性连接于该网络连接单元与该储存单元,该处理单元根据下述步骤决定是否运行该些检测规则:
由该资源监视程序获取该处理单元的一设备负载量与该网络连接单元的一存取负载量;
根据该设备负载量与该存取负载量,决定该处理单元的一负载级别;以及
根据当前的该负载级别,运行相应的该运行策略用以检测该些网络封包,并且决定对每一该网络封包执行该警报分析程序。
2.根据权利要求1所述的网络入侵检测***,其特征在于,该运行策略包括有一低等运行策略、一中等运行策略与一高等运行策略,且该负载级别包括有一闲置级别、一中等级别与一忙碌级别。
3.根据权利要求2所述的网络入侵检测***,其特征在于,在执行该警报分析程序中还包括下列步骤:
当该负载级别为该闲置级别时,则该处理单元运行该低等运行策略并对每一该网络封包进行该警报分析程序;
当该负载级别为该中等级别时,则该处理单元运行该中等运行策略,并对符合该中等运行策略的该些网络封包进行该警报分析程序;以及
当该负载级别为该忙碌级别时,则该处理单元运行该高等运行策略。
4.根据权利要求3所述的网络入侵检测***,其特征在于,当该负载级别为该闲置级别时还包括以下步骤:
由该警报分析程序统计该些检测规则的被执行次数,决定是否改变该检测规则的该优先权。
5.根据权利要求1所述的网络入侵检测***,其特征在于,在运行该检测规则中还包括下列步骤:
每经过一监控时间后,重新获取该设备负载量与该存取负载量,用以决定当前该监控时间的该负载级别。
6.根据权利要求1所述的网络入侵检测***,其特征在于,该检测规则包括多条入侵行为规则及对应该些入侵行为规则的预设通讯协议、来源地址、以及连接端口号。
7.根据权利要求1所述的网络入侵检测***,其特征在于,该处理单元还包括根据该些网络封包中的通讯协议、来源地址、以及连接端口号,自动新增对应的该检测规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910008508A CN101789885B (zh) | 2009-01-23 | 2009-01-23 | 网络入侵检测*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910008508A CN101789885B (zh) | 2009-01-23 | 2009-01-23 | 网络入侵检测*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101789885A true CN101789885A (zh) | 2010-07-28 |
| CN101789885B CN101789885B (zh) | 2012-09-05 |
Family
ID=42532950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910008508A Expired - Fee Related CN101789885B (zh) | 2009-01-23 | 2009-01-23 | 网络入侵检测*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101789885B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457525A (zh) * | 2011-12-19 | 2012-05-16 | 河海大学 | 一种基于负荷的异常入侵检测方法及*** |
| CN105871820A (zh) * | 2016-03-23 | 2016-08-17 | 广东科学技术职业学院 | 一种动态频率的数据包捕获方法 |
| CN112104628A (zh) * | 2020-09-04 | 2020-12-18 | 福州林科斯拉信息技术有限公司 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039225A (zh) * | 2007-04-04 | 2007-09-19 | 北京佳讯飞鸿电气有限责任公司 | 一种分布式协同入侵检测***数据安全传输的实现方法 |
| CN101051966B (zh) * | 2007-05-22 | 2010-06-09 | 网御神州科技(北京)有限公司 | 一种网络入侵行为检测***及检测方法 |
-
2009
- 2009-01-23 CN CN200910008508A patent/CN101789885B/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457525A (zh) * | 2011-12-19 | 2012-05-16 | 河海大学 | 一种基于负荷的异常入侵检测方法及*** |
| CN105871820A (zh) * | 2016-03-23 | 2016-08-17 | 广东科学技术职业学院 | 一种动态频率的数据包捕获方法 |
| CN105871820B (zh) * | 2016-03-23 | 2018-11-20 | 广东科学技术职业学院 | 一种动态频率的数据包捕获方法 |
| CN112104628A (zh) * | 2020-09-04 | 2020-12-18 | 福州林科斯拉信息技术有限公司 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
| CN112104628B (zh) * | 2020-09-04 | 2022-07-26 | 南京林科斯拉信息技术有限公司 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101789885B (zh) | 2012-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| US20100251370A1 (en) | Network intrusion detection system | |
| Mallikarjunan et al. | A survey of distributed denial of service attack | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| Gupta et al. | An ISP level solution to combat DDoS attacks using combined statistical based approach | |
| RU129279U1 (ru) | Устройство обнаружения и защиты от аномальной активности на сети передачи данных | |
| AU2004289001B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| CN111193719A (zh) | 一种网络入侵防护*** | |
| US20160182542A1 (en) | Denial of service and other resource exhaustion defense and mitigation using transition tracking | |
| JP6442051B2 (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
| Al-Nashif et al. | Multi-level intrusion detection system (ML-IDS) | |
| GB2519941A (en) | Method and apparatus for detecting irregularities on a device | |
| CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN116319061A (zh) | 一种智能控制网络*** | |
| WO2022154896A1 (en) | Ordering security incidents using alert diversity | |
| CN100502356C (zh) | 一种基于多级聚集的异常流量控制方法与*** | |
| CN101789885B (zh) | 网络入侵检测*** | |
| KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
| KR100607110B1 (ko) | 종합 보안 상황 관리 시스템 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与*** | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| Lussi et al. | A lightweight fog-based internal intrusion detection system for smart environments | |
| Luo et al. | DDOS Defense Strategy in Software Definition Networks | |
| Ďurčeková et al. | Detection of attacks causing network service denial | |
| CN116208347A (zh) | 一种网络异常的检测方法、***及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120905 Termination date: 20220123 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |