CN1317855C - 一种入侵检测***及其入侵检测方法 - Google Patents
一种入侵检测***及其入侵检测方法 Download PDFInfo
- Publication number
- CN1317855C CN1317855C CNB031571433A CN03157143A CN1317855C CN 1317855 C CN1317855 C CN 1317855C CN B031571433 A CNB031571433 A CN B031571433A CN 03157143 A CN03157143 A CN 03157143A CN 1317855 C CN1317855 C CN 1317855C
- Authority
- CN
- China
- Prior art keywords
- packet
- data
- module
- detection
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种入侵检测***及其入侵检测方法,该入侵检测***包括数据包分析模块、异常数据处理模块、数据包重组模块以及包括数据分析模块和行为审计模块的应用数据检测模块。该入侵检测方法包括以下步骤:A)将捕获的要检测的数据包进行基于数据包的检测,判断当前要检测的数据包是否异常,若异常,则执行步骤B,否则执行步骤C;B)对步骤A检测为异常的数据包进行分析并生成检测结果;C)将步骤A检测为正常的数据包所封装的应用数据进行重组还原,并对重组还原后的应用数据进行入侵检测和合理性检测,生成数据检测结果和行为检测结果。应用本发明,可提高入侵检测的效率和数据检测的准确性,减轻入侵检测的资源消耗,提高入侵检测的准确性和可靠性。
Description
技术领域
本发明涉及网络安全技术,特别是指一种入侵检测***及其入侵检测方法。
背景技术
入侵检测是一种为计算机网络提供实时保护的网络安全技术,主要是对当前输入受护网络或受护主机中的数据进行检测,确定当前检测数据为合法数据还是非法数据。通常,网络入侵检测***从计算机网络***中的若干关键点收集网络通信的信息,如用户活动的状态和行为等,通过已建立的入侵检测规则库来分析网络中是否有违反安全策略的行为,若发现违反安全策略的行为则进行报警,从而提供对计算机网络***的实时保护。
网络入侵检测的基本检测方法是基于数据包的模式匹配技术。入侵检测***捕获数据包后,将数据包内容参照入侵检测***的入侵检测规则库进行字符串的匹配,匹配到符合的内容即报警。这种基于数据包的模式匹配技术实现起来较为简单,类似于防病毒软件的原理。但由于是基于数据包的检测,对编码之类的欺骗手段的攻击方式无法检测出来,另外,缺乏识别大量类型攻击的灵活性,只有不断的升级入侵检测***的规则库才能检测新出现的入侵攻击手法。
目前,入侵检测***可以实现基于应用数据的检测技术。这种检测方法开不是针对单个单数据包进行检测,入侵检测***捕获数据包后、采用协议解析技术,将相关的多个数据包中所封装的应用数据加以还原重组,例如常见的IP碎片重组,将因为传输而拆开成若干数据包的应用数据进行还原,然后针对重组后的数据进行解释分析。对真实的应用数据除了进行字符串匹配式的分析外,还可以针对语义、语法进行分析,因此检测方式较为灵活,可以用来检测新出现的入侵攻击手法。但是,由于无法结合当前网络环境进行检测,例如无法结合内部受护网络的拓扑、受护主机的***类型和服务类型等信息进行检测,因此检测中难免存在着大量误报。并且,由于对所有数据包都要进行还原和解释的工作,对于大流量的网络环境,大大增加了CPU的资源消耗,降低了***的性能。
发明内容
有鉴于此,本发明的主要目的是提供一种入侵检测***,以提高入侵检测的效率和数据检测的准确性。
本发明的另一个目的在于提供一种入侵检测方法,以减轻入侵检测的资源消耗,提高入侵检测的准确性和可靠性。
本发明所述入侵检测***包括:
数据包分析模块,用于检测捕获的数据包,并根据检测结果将当前所检测的数据包发送给异常数据处理模块或数据包重组模块;异常数据处理模块,用于接收数据包分析模块检测为异常的数据包,并生成检测结果;数据包重组模块,用于接收数据包分析模块检测为正常的数据包,并将数据包中封装的应用数据还原后发送给应用数据检测模块;应用数据检测模块,用于检测数据包重组模块还原后的应用数据,并生成检测结果;
其中,应用数据检测模块包括数据分析模块和行为审计模块,数据分析模块,用于检测还原后的应用数据所存在的入侵行为,并生成数据检测结果;行为审计模块,用于检测还原后的应用数据中存在的不合理的网络行为,并生成行为检测结果。
其中,该入侵检测***进一步包括:网络环境监控模块,用于收集入侵检测***所在网络的信息,并转换为入侵检测条件发送给数据包分析模块。
其中,该入侵检测***进一步包括:关联分析模块,用于接收数据分析模块生成的数据检测结果、行为审计模块生成的行为检测结果和异常数据处理模块生成的检测结果,并进行关联分析生成关联分析结果。
其中,该***进一步包括:行为监控模块,用来对数据包重组模块还原的应用数据进行监控。
实现本分明所述的入侵检测方法,包括以下步骤:
A,将捕获的要检测的数据包进行基于数据包的检测,判断当前要检测的数据包是否异常,若异常,则执行步骤B,否则执行步骤C;
B,对步骤A检测为异常的数据包进行分析并生成检测结果;
C,将步骤A检测为正常的数据包所封装的应用数据进行重组还原,并对重组还原后的应用数据进行入侵检测和合理性检测,生成数据检测结果和行为检测结果。
其中,步骤A中所述对捕获数据包进行基于数据包的检测进一步包括:对所捕获的数据包的包头、数据包内容进行分析检测。
其中,步骤A中所述对捕获数据包进行基于数据包的检测进一步包括:根据当前网络环境的变化生成入侵检测条件,并根据所生成的入侵检测条件对数据包进行检测。
其中,该方法进一步包括:将对还原后的应用数据进行检测所生成的数据检测结果、行为检测结果和步骤B中对异常数据处理所生成的检测结果进行关联分析,并生成关联分析结果。
由上述方法可以看出,本发明提供的入侵检测***及其入侵检测方法,综合运用多种检测手段,并在检测的各个过程使用合适的检测方式。数据包分析模块首先基于数据包进行检测分流,并且网络环境监控模块根据网络***的变更,指导数据包分析模块进行数据包的筛选,减少了后续检测的数据包数量,后续的检测仅对筛选的数据包进行还原重组,从而提高了检测效率,且减轻了资源消耗。基于协议解码的技术将应用数据重组还原,再进行检测和行为审计,可以用来检测新出现的攻击手段和欺骗攻击,以及不合理的网络访问,关联分析模块综合异常数据处理模块和行为审计模块的结果对数据分析模块发送过来的信息进行分析,提高了入侵检测的准确性,降低了漏报率。
附图说明
图1为本发明入侵检测***示意图。
图2为本发明入侵检测流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下通过具体实施例,对本发明进一步详细说明。
图1为入侵检测***的示意图。如图所示,入侵检测***主要包括以下模块:网络环境监控模块、数据包分析模块、异常数据处理模块、数据包重组模块、行为监控模块、应用数据检测模块和关联分析模块。
其中,网络环境监控模块实时扫描入侵检测***所护网络的变化情况,收集网络信息,包括网络拓扑结构、网络内设备的添加和删除、网络内主机操作***类型、应用程序的改变等。网络环境监控模块将收集到的网络信息,转化成适当的规则条件,作为入侵检测的判断条件提供给数据包分析模块。
数据包分析模块接收入侵检测***捕获的数据包,对数据包做粗颗粒的筛选。数据包分析模块并不检测数据包所封装的具体应用数据,只解析数据包包头、数据包结构,以及数据包内容,通过数据包异常统计和数据包类型分析来判断该包是否为正常的数据包;同时,数据包分析模块接收网络环境监控模块发送过来的入侵检测条件对数据包进行判断。数据包分析模块将检测出的异常数据包发送给异常数据处理模块,由异常数据处理模块进行处理,不再进行检测;将筛选出的正常数据包发送给数据包重组模块,以对数据包所封装的应用数据进行检测。
异常数据处理模块接收数据包分析模块发送过来的异常数据包,进行记录、统计并生成检测结果,异常数据处理模块将生成的检测结果作为关联分析的条件发给关联分析模块。
数据包重组模块接收数据包分析模块发送过来的检测为正常的数据包,数据包重组模块采用协议解析技术,将多个相关数据包的封装的应用数据内容加以重组还原。还原出完整的应用数据发送给应用数据检测模块。
另外,数据还原后,可以发送给行为监控模块,由行为监控模块对应用数据所体现的网络行为进行监控,以提供给管理员进行监控和分析。
应用数据检测模块进一步包括数据分析模块和行为审计模块。其中,数据分析模块对数据包重组模块还原后的应用数据进行检测,检测方法包括针对应用数据内容进行字符串、语义、语法等进行分析。若数据分析模块分析应用数据的结果为正常数据,则结束对该数据的检测,若分析结果为异常数据,则生成数据检测结果发送给关联分析模块。
行为审计模块接收数据包重组模块还原后的数据,根据管理员预先设定的行为规则,分析是否存在不合理的网络行为。行为审计模块主要检测非入侵但不合理的操作,包括不合理的网络访问,如登录到不期望的位置以及非授权的企图访问重要文件等等。行为审计模块对数据检测后生成行为检测结果发送给关联模块作为关联分析的条件。
关联分析模块接收数据分析模块、异常数据处理模块和行为审计模块生成的结果,将数据分析模块生成的结果参考异常数据流处理模块和行为审计模块各自生成的结果,即综合当前所检测到的入侵攻击和不合理行为,进一步分析出该入侵的具体行为,提高入侵检测的准确性。并且,关联分析模块以适当的形式将检测结果输出,提示管理员。
本发明采用旁路监听的方法复制捕获要检测的原始数据包,对捕获的数据包由入侵检测***进行检测。图2是本发明入侵检测流程图,参见图2,对本发明的入侵检测方法进一步说明。
步骤201,捕获的原始数据包由数据包分析模块进行基于数据包的分析,检测数据包包头、数据包结构来判断该包是否为正常,若异常,则将该数据包发给异常数据处理模块,执行步骤202,否则将该数据包发给数据包重组模块,执行步骤203。
其中,数据包分析模块所使用的检测方法与现有技术所使用的方法相同,如使用基于统计分析的方法进行数据包合法性的检测,根据统计出的发送该数据包的主机访问该网络的时间、访问次数等属性判断当前数据包的合法性,或者使用模式匹配的方法对数据包包头、结构进行检测,另外,还接收网络环境监控模块传递过来的入侵检测条件,对数据包进行检测。例如,网络监控模块发送过来的检测条件为某主机处于关闭状态,数据包分析模块以此作为检测条件,若检测的数据包的包头携带着与该主机地址相同的源地址,则认为当前捕获的数据包为异常,发给异常数据处理模块。
步骤202,异常数据处理模块接收数据包分析模块发送过来的异常数据包,进行记录、统计,并根据数据包分析模块检测出该数据包为异常数据包所使用的检测方法和检测规则生成检测结果,将生成的检测结果作为关联分析的条件发给关联分析模块,执行步骤206。
步骤203,数据包重组模块接收数据包分析模块发送过来的检测为正常的数据,采用协议解析技术,将相关的多个数据包的所封装的应用数据加以重组还原,同时发送给应用数据检测模块的数据分析模块和行为审计模块,执行步骤204和步骤205,其中步骤204和205为并列关系,不存在顺序上的先后。
步骤204,数据分析模块对数据包重组模块还原后的应用数据进行检测,检测方法包括针对应用数据内容进行字符串、语义、语法等进行匹配分析,若分析的结果为正常数据,则结束对该数据的检测,否则生成数据检测结果发送给关联分析模块,执行步骤206。
例如,数据包重组还原后的应用数据携带有因特网通用信息位置(URL),数据分析模块通过分析该URL携带的反斜杠、单独的句点和一串句点,检测出存在非法格式,则生成数据检测结果:入侵行为是采用URL路径欺骗方法访问该URL位置,并发给关联分析模块,执行步骤206。
步骤205,行为审计模块接收数据包重组模块还原后的数据,根据管理员预先设定的行为规则,分析是否存在不合理的网络行为,若存在,则生成行为检测结果发送给关联模块,执行步骤206。其中,本步骤主要目的是用来检测非入侵但为不合理的行为,若只检测入侵行为,则本步骤可以省略。
步骤206,关联分析模块将数据分析模块生成的数据检测结果、异常数据处理模块生成的检测结果和行为审计模块生成的行为检测结果进行关联分析,生成关联分析结果。
举个例子,关联分析模块接收到以下结果:
来自步骤204数据分析模块的数据检测结果:入侵行为是采用URL路径欺骗方法访问该URL位置;相应的关联分析条件为:记录的该行为方式为:路径欺骗,记录的目标地址为:要访问的URL地址;
来自步骤202异常数据处理模块生成的检测结果:没有检测到该入侵;
来自步骤205行为审计模块的行为检测结果:对服务器的不期望的URL位置进行登录,以非授权的企图访问URL处的文件;相应的关联分析条件为:记录的该行为方式为:异常登录、异常访问文件,记录的目标地址为:要访问的URL地址。
关联分析模块通过综合以上结论分析出确定的入侵行为,如本例则可以根据关联分析条件生成检测结果为:采用URL路径欺骗的方法来访问服务器上不期望的URL位置,然后,关联分析模块以适当的形式将关联分析结果输出,提示管理员。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1、一种入侵检测***,其特征在于,该入侵检测***包括:
数据包分析模块,用于检测捕获的数据包,并根据检测结果将当前所检测的数据包发送给异常数据处理模块或数据包重组模块;
异常数据处理模块,用于接收数据包分析模块检测为异常的数据包,并生成检测结果;
数据包重组模块,用于接收数据包分析模块检测为正常的数据包,并将数据包中封装的应用数据还原后发送给应用数据检测模块;
应用数据检测模块,用于检测数据包重组模块还原后的应用数据,并生成检测结果;
其中,应用数据检测模块包括数据分析模块和行为审计模块,
数据分析模块,用于检测还原后的应用数据所存在的入侵行为,并生成数据检测结果;
行为审计模块,用于检测还原后的应用数据中存在的不合理的网络行为,并生成行为检测结果。
2、根据权利要求1所述的入侵检测***,其特征在于,该***进一步包括:网络环境监控模块,用于收集入侵检测***所在网络的信息,并转换为入侵检测条件发送给数据包分析模块。
3、根据权利要求1所述的入侵检测***,其特征在于,该***进一步包括:关联分析模块,用于接收数据分析模块生成的数据检测结果、行为审计模块生成的行为检测结果和异常数据处理模块生成的检测结果,并进行关联分析生成关联分析结果。
4、根据权利要求1所述的入侵检测***,其特征在于,该***进一步包括:行为监控模块,用来对数据包重组模块还原的应用数据进行监控。
5、一种入侵检测方法,其特征在于,该方法包括以下步骤:
A,将捕获的要检测的数据包进行基于数据包的检测,判断当前要检测的数据包是否异常,若异常,则执行步骤B,否则执行步骤C;
B,对步骤A检测为异常的数据包进行分析并生成检测结果;
C,将步骤A检测为正常的数据包所封装的应用数据进行重组还原,并对重组还原后的应用数据进行入侵检测和合理性检测,生成数据检测结果和行为检测结果。
6、根据权利要求5所述的入侵检测方法,其特征在于,步骤A中所述对捕获数据包进行基于数据包的检测进一步包括:对所捕获的数据包的包头、数据包内容进行分析检测。
7、根据权利要求5或6所述的入侵检测方法,其特征在于,步骤A中所述对捕获数据包进行基于数据包的检测进一步包括:根据当前网络环境的变化生成入侵检测条件,并根据所生成的入侵检测条件对数据包进行检测。
8、根据权利要求5所述的入侵检测方法,其特征在于,该方法进一步包括:将对还原后的应用数据进行检测所生成的数据检测结果、行为检测结果和步骤B中对异常数据处理所生成的检测结果进行关联分析,并生成关联分析结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031571433A CN1317855C (zh) | 2003-09-16 | 2003-09-16 | 一种入侵检测***及其入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031571433A CN1317855C (zh) | 2003-09-16 | 2003-09-16 | 一种入侵检测***及其入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1599334A CN1599334A (zh) | 2005-03-23 |
| CN1317855C true CN1317855C (zh) | 2007-05-23 |
Family
ID=34660217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031571433A Expired - Lifetime CN1317855C (zh) | 2003-09-16 | 2003-09-16 | 一种入侵检测***及其入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1317855C (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7461036B2 (en) * | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
| CN101282244B (zh) * | 2008-05-09 | 2010-12-01 | 浙江大学 | 基于spm的入侵检测方法 |
| CN102196440A (zh) * | 2010-03-01 | 2011-09-21 | 李青山 | 网络审计和入侵检测方法及*** |
| CN102457415B (zh) | 2011-12-27 | 2015-08-19 | 华为数字技术(成都)有限公司 | Ips检测处理方法、网络安全设备和*** |
| CN103368979B (zh) * | 2013-08-08 | 2015-02-04 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
| CN107979567A (zh) * | 2016-10-25 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于协议分析的异常检测***及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003092603A (ja) * | 2001-09-17 | 2003-03-28 | Toshiba Corp | ネットワーク侵入検知システム、装置及びプログラム |
| US20030115486A1 (en) * | 2001-12-14 | 2003-06-19 | Choi Byeong Cheol | Intrusion detection method using adaptive rule estimation in network-based instrusion detection system |
| JP2003204358A (ja) * | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
-
2003
- 2003-09-16 CN CNB031571433A patent/CN1317855C/zh not_active Expired - Lifetime
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003092603A (ja) * | 2001-09-17 | 2003-03-28 | Toshiba Corp | ネットワーク侵入検知システム、装置及びプログラム |
| US20030115486A1 (en) * | 2001-12-14 | 2003-06-19 | Choi Byeong Cheol | Intrusion detection method using adaptive rule estimation in network-based instrusion detection system |
| JP2003204358A (ja) * | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
Non-Patent Citations (4)
| Title |
|---|
| 入侵检测***中的协议分析子***的设计和实现 李佳静,徐辉,潘爱民,计算机工程与应用,第12期 2003 * |
| 利用协议分析提高入侵检测效率 ***,曾启铭,计算机工程与应用,第6期 2003 * |
| 基于网络的入侵检测***的感应器组件 曹元大,岳治宇,张海勇,北京理工大学学报,第22卷第5期 2002 * |
| 基于网络的入侵检测***的感应器组件 曹元大,岳治宇,张海勇,北京理工大学学报,第22卷第5期 2002;利用协议分析提高入侵检测效率 ***,曾启铭,计算机工程与应用,第6期 2003;入侵检测***中的协议分析子***的设计和实现 李佳静,徐辉,潘爱民,计算机工程与应用,第12期 2003 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1599334A (zh) | 2005-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1697404A (zh) | 一种交互式的网络蠕虫检测***和方法 | |
| CN101656634B (zh) | 基于IPv6网络环境的入侵检测方法 | |
| US20190215328A1 (en) | System and methods for adaptive model generation for detecting intrusion in computer systems | |
| CN1203641C (zh) | 网络入侵监测的方法和*** | |
| CN1160899C (zh) | 分布式网络动态安全保护*** | |
| CN101789931B (zh) | 一种基于数据挖掘的网络入侵检测***及方法 | |
| CN101018121B (zh) | 日志的聚合处理方法及聚合处理装置 | |
| CN1269030A (zh) | 自动化网络监视和安全违规干预的方法和装置 | |
| Otey et al. | Towards nic-based intrusion detection | |
| CN1841397A (zh) | 聚合计算机***的知识库以主动保护计算机免受恶意软件侵害 | |
| CN1794661A (zh) | 一种基于IPv6的网络性能分析报告***及实现方法 | |
| CN1578227A (zh) | 一种动态ip数据包过滤方法 | |
| CN1647483A (zh) | 检测和反击企业网络中的恶意代码 | |
| CN1655518A (zh) | 网络安全***和方法 | |
| CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和*** | |
| CN1415099A (zh) | 在线阻挡有害信息的***和方法及其计算机可读介质 | |
| CN1175621C (zh) | 一种检测并监控恶意用户主机攻击的方法 | |
| CN1741526A (zh) | 网络异常流量的检测方法及*** | |
| CN1725709A (zh) | 网络设备与入侵检测***联动的方法 | |
| CN1492336A (zh) | 基于数据仓库的信息安全审计方法 | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN1564530A (zh) | 网络安全防护的分布式入侵检测与内网监控***及方法 | |
| CN1529248A (zh) | 网络入侵行为关联事件的检测方法及*** | |
| CN1317855C (zh) | 一种入侵检测***及其入侵检测方法 | |
| CN1257632C (zh) | 一种坚固网关***及其检测攻击方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070523 |
|
| CX01 | Expiry of patent term |