一種入侵檢測精確報警方法和系統的製作方法
2023-05-05 19:14:11
專利名稱:一種入侵檢測精確報警方法和系統的製作方法
技術領域:
本發明涉及一種入侵檢測精確報警方法和系統,屬於一種作為網絡安全的重要產品之一的網絡入侵檢測系統(NIDSNetwork Intrusion DetectionSystem)的關鍵技術的網絡安全領域。
背景技術:
NIDS安裝在被保護的網段中,其監聽網卡工作在混雜模式下,分析網段中所有的數據包,進行網絡安全事件的實時檢測和響應。目前NIDS普遍採用誤用檢測技術,其檢測方法為首先對標識特定的入侵行為模式進行編碼,建立誤用模式庫,然後對實際檢測過程中得到的事件數據進行過濾,檢查是否包含入侵行為的標識。
目前網絡上大量的入侵行為具有盲目性,並不能對目標主機的安全性造成影響。產生這種盲目性的原因是多方面的,例如黑客正在通過掃描方式搜尋攻擊目標,或者Internet蠕蟲傳播時隨機掃描等。誤用檢測的一個缺點在於只能判斷出一個數據包中是否包含可疑的入侵行為,但缺乏入侵行為的目標主機的相關信息,無法判斷該入侵行為能否真正危害目標主機的安全,從而產生大量無效報警,導致目前NIDS較高的虛警率。
概括起來,由於缺乏目標主機信息導致的誤報有以下幾種1.入侵行為針對某個IP位址的主機,但監控範圍內並不存在該主機。例如對IP位址為1.2.3.4的主機進行入侵,但監控網絡內沒有分配該IP位址。
2.入侵行為針對目標主機的某個埠,但該主機並沒有開放該埠。例如對IP位址為1.2.3.4的主機的80埠發動攻擊,但該主機80埠並沒有開放服務。
3.目標主機的作業系統與入侵行為所針對的作業系統不一致。例如針對IP位址為1.2.3.4的主機發動基於Windows系統的攻擊,但該主機真實作業系統為Linux系統。
4.目標主機不存在入侵者利用的漏洞。例如攻擊者對目標主機發動針對Apache 1.3版本漏洞的入侵,但該主機運行的Apache版本為1.4,已經修補了該漏洞。
發明內容
本發明的目的是提供一種應用於誤用檢測的入侵檢測精確報警方法和系統。
本發明解決其技術問題所採用的技術方案是一種應用於誤用檢測的入侵檢測精確報警方法,該方法包括以下步驟在捕獲到可疑入侵事件的基礎上,將入侵事件信息與目標主機信息進行關聯,判斷該事件是否可能導致目標主機被入侵,並根據判斷結果決定是否顯示該事件。
該方法包括提供一個主機信息設置模塊,能夠對監控範圍內主機的IP位址、作業系統、開放埠、存在漏洞等信息進行設置。
在NIDS引擎捕獲到可疑入侵事件之後,NIDS控制端的精確報警過濾模塊將入侵事件信息與目標主機信息進行關聯分析,判斷該入侵事件是否可能導致目標主機被入侵。
如果關聯分析的結果表明該事件是一次無效的入侵,NIDS控制端將不顯示該事件,否則將以指定的方式顯示該事件,以提醒管理員進行防範。
通過將觀測到的入侵事件與目標主機信息進行關聯分析,可以避免對無效入侵行為產生虛假報警,從而有效降低NIDS的虛警率。
一種入侵檢測精確報警系統,包括有定義一臺主機的IP位址、開放埠、作業系統、存在漏洞信息的主機信息定義單元;有監聽網絡上的數據包,發現網絡上的可疑入侵事件的誤用檢測單元;
有用於將可疑入侵事件與目標主機信息進行關聯,判斷該入侵事件是否能夠導致目標主機被入侵,並最終確定是否向管理員顯示該事件的精確報警過濾單元。
本發明的有益效果1.可以通過人為設置和掃描結果導入兩種方式,定義一臺主機的IP位址、開放埠、作業系統、存在漏洞等消息。例如我們可以手工輸入一臺主機的消息,也可以利用掃描工具先對該主機進行掃描,然後將掃描結果導入到主機信息表中完成設定。
2.可以通過一個事件的目的地址,判斷該事件是否可能導致目標主機被入侵。例如引擎上報的攻擊事件為攻擊者對192.168.0.1主機進行了攻擊,但監控範圍內並沒有哪臺主機的地址是192.168.0.1,精確報警模塊將不顯示該事件。
3.可以通過一個事件的目的埠,判斷該事件是否可能導致目標主機被入侵。例如引擎上報的攻擊事件為攻擊者對192.168.0.1主機進行了針對80埠的攻擊,但192.168.0.1的80埠並沒有開放,精確報警模塊將不顯示該事件。
4.可以通過一個事件所針對的作業系統,判斷該事件是否可能導致目標主機被入侵。例如引擎上報的攻擊事件為攻擊者對192.168.0.1的主機進行了針對Windows系統漏洞的攻擊,但該主機的系統為Unix系統,精確報警模塊將不顯示該事件。
5.可以通過一個事件所利用的漏洞,判斷該事件是否可能導致目標主機被入侵。例如引擎上報的攻擊事件為攻擊者對192.168.0.1的主機進行了針對漏洞1的攻擊,但該主機上並不存在該漏洞,精確報警模塊將不顯示該事件。
圖1系統整體步驟圖。
圖2精確報警模塊流程圖。
下面結合附圖和實施例對發明進一步說明。
入侵檢測精確報警方法說明該方法包括如下步驟(1)定義主機信息指定監控範圍內主機的IP位址、作業系統、開放埠、存在漏洞信息;(2)NIDS引擎監聽網絡上的數據,並根據誤用模式庫中定義的入侵模式,捕獲當前網絡上的可疑入侵事件;(3)精確報警過濾NIDS控制端將引擎上報的可疑入侵事件與目標主機信息進行關聯,如果該事件有可能造成目標主機被入侵,控制端將顯示該事件,否則不顯示該事件。
這個過程可參見附圖1,有步驟如下;步驟1網絡數據旁路監聽,進入步驟2;步驟2捕獲可疑攻擊事件,進入步驟3;步驟3查找目標主機信息;步驟4事件與主機信息關聯分析;步驟5判斷是否需要顯示;否則轉步驟2;是則轉步驟6;步驟6顯示該入侵事件;轉步驟2。
下面對每個重要步驟的操作進行詳細說明定義主機信息主機信息定義了一個主機的IP位址、開放埠、作業系統、存在漏洞等信息。
只有當引擎上報入侵事件的目標為已定義的主機時,精確報警模塊才對該事件進行精確報警過濾。如果管理員沒有配置某個IP位址的相關信息,則目標為該地址的事件都將被丟棄,不進行顯示。例如對於地址為192.168.0.1和192.168.0.2的兩臺主機,如果管理員設置了192.168.0.1主機的信息,而沒有設置192.168.0.2主機的信息,則所有目標地址為192.168.0.1的事件都要經過精確報警過濾,所有目標地址為192.168.0.2的事件則直接丟棄。有兩種方法可以定義主機信息
(1)人為設置管理員通過手工方式設定某個主機的信息,主要設定內容包括IP位址該主機的網絡地址。
開放埠該主機對外監聽的埠號,以及監聽時採用的協議是TCP還是UDP。
作業系統該主機的作業系統類型。
漏洞信息該主機上存在的漏洞的編號。
(2)掃描結果導入利用掃描工具對某臺主機進行掃描,掃描結果保存在特定格式的xml文件中,可以通過主機信息設置模塊將該xml文件直接導入完成設置。例如管理員可以利用掃描工具對IP位址為192.168.0.1-192.168.0.254之間的所有主機進行掃描,然後將掃描結果導入,完成對該地址範圍內所有主機信息的設置。
精確報警過濾精確報警模塊接收引擎上報的可疑攻擊事件,按以下步驟進行精確報警過濾(1)判斷該事件的目標地址是否包含在已定義的主機信息列表中,如果包含進入第2步判斷,否則不顯示該事件。
(2)精確報警模塊查看該入侵事件所攻擊的目的埠,然後在目標主機的開放埠中進行查找。如果目標主機開放了該埠進入第3步判斷,否則不顯示該事件。
(3)精確報警模塊查看該入侵事件所攻擊的作業系統,然後比較目標主機的作業系統是否受該事件的影響。如果入侵事件能夠影響目標主機上運行的作業系統進入第4步判斷,否則不顯示該事件。
(4)精確報警模塊查看該入侵事件是否是針對某個特定的漏洞,如果攻擊事件與某個漏洞相關則進入第5步判斷,否則顯示該事件,提示管理員進行防範。
(5)精確報警模塊查看目標主機上是否存在入侵事件所針對的漏洞,如果存在該漏洞則顯示該事件,提示管理員進行防範,否則不顯示該事件。
具體實施例方式
精確報警過濾舉例定義一臺主機IP位址為1.2.3.4,開放埠為80,135,作業系統為windows XP,存在漏洞代碼為1。則1.如果NIDS引擎上報事件為攻擊者對1.2.3.5主機進行了攻擊,精確報警模塊發現該主機信息未被定義,將不顯示該事件。
2.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行了針對21埠的攻擊,精確報警模塊發現該主機未開放21埠,將不顯示該事件。
3.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行針對Unix系統的80埠的攻擊,精確報警模塊發現雖然是針對80埠的攻擊,但該攻擊對Unix系統才有效,將不顯示該事件。
4.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行了針對80埠的攻擊,利用的漏洞為2。精確報警模塊發現該主機上不存在該漏洞,將不顯示該事件。
5.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行了針對80埠的攻擊,利用的漏洞為1。精確報警模塊發現該事件可能導致主機1.2.3.4被入侵,將顯示該事件。
以上處理過程可以見圖2,有步驟如下;步驟1查找目標主機信息;步驟2是否查找到該主機的信息;是則轉步驟3;否則轉步驟8;步驟3判斷目標埠是否開放;是則轉步驟4;否則轉步驟8;步驟4判斷作業系統是否匹配;是則轉步驟5;否則轉步驟8;步驟5判斷該攻擊是否依賴特定漏洞;是則轉步驟6;否則轉步驟7;步驟6判斷是否存在對應漏洞;是則轉步驟7;否則轉步驟8;步驟7顯示該事件。
步驟8不顯示該事件。
權利要求
1.一種入侵檢測精確報警方法,其特徵是是在捕獲到可疑入侵事件的基礎上,將入侵事件信息與目標主機信息進行關聯,判斷該事件是否可能導致目標主機被入侵,並根據判斷結果決定是否顯示該事件。
2.根據權利要求1所述的一種入侵檢測精確報警方法,其特徵是該方法包括如下步驟(1)定義主機信息指定監控範圍內主機的IP位址、作業系統、開放埠、存在漏洞信息;(2)NIDS引擎監聽網絡上的數據,並根據誤用模式庫中定義的入侵模式,捕獲當前網絡上的可疑入侵事件;(3)精確報警過濾NIDS控制端將引擎上報的可疑入侵事件與目標主機信息進行關聯,如果該事件有可能造成目標主機被入侵,控制端將顯示該事件,否則不顯示該事件。
3.根據權利要求1所述的一種入侵檢測精確報警方法,其特徵是主機信息可採用兩種定義方式,一種是由管理員指定某臺主機的IP位址、開放埠、作業系統、存在漏洞信息,或另一種是直接將掃描工具對某臺主機的掃描結果導入到主機信息列表中,完成對該主機信息的定義。
4.根據權利要求1所述的一種入侵檢測精確報警方法,其特徵在於將捕獲到的可疑入侵事件與主機信息進行關聯,根據入侵事件的目的地址、目的埠、所針對的作業系統、所利用的漏洞信息,判斷該入侵事件是否可能導致目標主機被入侵。
5.根據權利要求1所述的一種入侵檢測精確報警方法,其特徵在於根據精確報警過濾的結果,判斷是否向管理員顯示一條捕獲到的可疑入侵行為,從而減少上報的無效攻擊事件。
6.根據權利要求1或2所述的一種入侵檢測精確報警方法的系統,其特徵是包括有定義一臺主機的IP位址、開放埠、作業系統、存在漏洞信息的主機信息定義單元;有監聽網絡上的數據包,發現網絡上的可疑入侵事件的誤用檢測單元;有用於將可疑入侵事件與目標主機信息進行關聯,判斷該入侵事件是否能夠導致目標主機被入侵,並最終確定是否向管理員顯示該事件的精確報警過濾單元。
全文摘要
本發明涉及一種作為網絡安全的重要產品之一的網絡入侵檢測系統(NIDSNetwork Intrusion Detection System)的關鍵技術——入侵檢測精確報警技術,特徵是在捕獲到可疑入侵事件的基礎上,將攻擊事件信息與目標主機信息進行關聯,判斷該攻擊事件的有效性。可以通過人為輸入與掃描結果導入兩種方式,定義一臺受保護主機的信息。可以根據目標主機的開放埠、作業系統、存在漏洞信息,判斷一個入侵事件是否可能導致目標主機被入侵,對上報的入侵事件進行精確報警過濾。可以根據精確報警過濾的結果,判斷是否顯示某個入侵事件,消除無效事件的幹擾,降低NIDS的虛警率。
文檔編號H04L29/06GK101039179SQ20071006544
公開日2007年9月19日 申請日期2007年4月13日 優先權日2007年4月13日
發明者周濤, 李劍彪, 湯國祥, 黃宇鴻 申請人:北京啟明星辰信息技術有限公司