一種網絡入侵檢測的方法、裝置和系統的製作方法
2023-06-30 06:27:16
一種網絡入侵檢測的方法、裝置和系統的製作方法
【專利摘要】本發明公開了一種網絡入侵檢測的方法、裝置和系統。所述方法包括:在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息;檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。本發明實施例,綜合利用內部計算機的系統日誌信息和網絡數據進行網絡入侵檢測,提高了網絡入侵檢測的全面性和準確性。同時,本發明實施例中網絡入侵檢測的方法改變了傳統方式中先檢測後傳輸數據的過程,在保證網絡數據能及時傳輸到內部計算機的同時,還實現了網絡入侵檢測。
【專利說明】一種網絡入侵檢測的方法、裝置和系統
【技術領域】
[0001]本發明涉及通信及計算機【技術領域】,尤其涉及一種網絡入侵檢測的方法、裝置和系統。
【背景技術】
[0002]網際網路(Internet)蓬勃發展到今天,計算機系統已經從獨立的主機發展到複雜、互連的開放式系統,這給人們在信息利用和資源共享上帶來了很大的便利。由Internet來傳遞和處理各種生活信息,早已成為人們重要的溝通方式之一,隨之而來的各種攻擊事件與入侵手法更是層出不窮,引發了一系列安全問題。因此為了保護用戶網絡環境的安全,及時發覺網絡入侵行為,網絡入侵檢測系統便應運而生。
[0003]傳統的網絡入侵檢測系統包括防火牆、入侵檢測系統和交換機,如圖1所示。其中,網絡數據是在通過防火牆之後、進入交換機之前接入到入侵檢測系統進行檢測。由於防火牆和入侵檢測系統都要對進入內部計算機的的網絡數據進行檢測,因此造成網絡數據不能及時傳輸到內部計算機,導致內部計算機用戶對網絡數據使用效率低。另外,因傳統的入侵檢測系統中待檢測的數據來源不夠全面,對入侵檢測結果的準確性造成一定影響。
【發明內容】
[0004]本發明實施例提供一種網絡入侵檢測的方法、裝置和系統,用於解決現有網絡入侵檢測技術使得網絡數據不能及時傳輸到內部計算機,導致內部計算機用戶對網絡數據使用效率低的問題。
[0005]一種網絡入侵檢測的方法,包括以下步驟:
[0006]在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息;
[0007]檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
[0008]本發明實施例,實現綜合利用內部計算機的系統日誌信息和網絡數據進行網絡入侵檢測,提高了網絡入侵檢測的全面性和準確性,從而能夠更好的保證內部網絡環境的安全。同時,本發明實施例中網絡入侵檢測的方法改變了傳統方式中先檢測後傳輸數據的過程,在保證網絡數據能及時傳輸到內部計算機、提高網絡數據的使用效率的同時,還實現了網絡入侵檢測。
[0009]作為上述技術方案的優選,檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件,包括:
[0010]利用預設策略對所述內部計算機的系統日誌信息和所述備份數據進行入侵分析,產生入侵事件分析結果;
[0011]將入侵事件分析結果發送至防火牆,由防火牆根據入侵事件分析結果進行安全防範操作。
[0012]本發明實施例實現將入侵檢測的分析結果發送至防火牆,由防火牆根據該結果進行安全防範,保證了內部計算機用戶網絡環境的安全。
[0013]作為上述技術方案的優選,預設策略包括:
[0014]基於標識的入侵檢測策略和基於異常的入侵檢測策略。
[0015]本發明實施例還提出一種網絡入侵檢測的裝置,其特徵在於,包括:
[0016]獲取模塊,用於在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息;
[0017]檢測模塊,用於檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
[0018]作為上述技術方案的優選,所述檢測模塊包括:
[0019]分析單元,用於利用預設策略對所述內部計算機的系統日誌信息和所述備份數據進行入侵分析,產生入侵事件分析結果;
[0020]發送單元,用於將入侵事件分析結果發送至防火牆,由防火牆根據入侵事件分析結果進行安全防範操作。
[0021]本發明實施例還提出一種網絡入侵檢測的系統,其特徵在於,包括:
[0022]交換機,具有一個鏡像埠,所述交換機與內部計算機連接;
[0023]入侵檢測裝置,與所述鏡像埠連接,用於在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息;檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
[0024]本發明的其它特徵和優點將在隨後的說明書中闡述,並且,部分地從說明書中變得顯而易見,或者通過實施本發明而了解。本發明的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。
[0025]下面通過附圖和實施例,對本發明的技術方案做進一步的詳細描述。
【專利附圖】
【附圖說明】
[0026]附圖用來提供對本發明的進一步理解,並且構成說明書的一部分,與本發明的實施例一起用於解釋本發明,並不構成對本發明的限制。在附圖中:
[0027]圖1為現有網絡入侵檢測技術的示意圖;
[0028]圖2為本發明實施例中網絡入侵檢測的方法的主要方法流程圖;
[0029]圖3為本發明實施例中第一種網絡入侵檢測的方法的詳細方法流程圖;
[0030]圖4為本發明實施例中網絡入侵檢測系統的示意圖;
[0031]圖5為本發明實施例中網絡入侵檢測的裝置的主要結構圖。
【具體實施方式】
[0032]以下結合附圖對本發明的優選實施例進行說明,應當理解,此處所描述的優選實施例僅用於說明和解釋本發明,並不用於限定本發明。
[0033]網絡入侵檢測的對象是數據,因此該數據的來源及數據的準確性會直接影響網絡入侵檢測的準確性。若只對交換機中的傳輸數據進行網絡入侵檢測,數據來源比較單一,對內部計算機工作的網絡環境監測的不夠全面,不利於及時發現入侵事件。另外,有些入侵事件並不能從網絡數據中及時的檢測到,而計算機的系統日誌卻能夠記錄下網絡入侵的蹤跡,從這些蹤跡中可以很好的發現網絡入侵事件。
[0034]本發明實施例提出的網絡入侵檢測的方法中,網絡入侵檢測和交換機傳輸數據同時進行,並對交換機向內部計算機傳輸的數據和內部計算機的系統日誌信息進行檢測。參見圖2,本發明實施例中網絡入侵檢測的主要方法流程包括:
[0035]步驟201:在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息。
[0036]優選的,可以在交換機上單獨設置一個鏡像埠,通過該鏡像埠來獲取備份數據。
[0037]優選的,系統日誌信息包括:系統安全日誌、網絡日誌和審計數據等。
[0038]系統日誌由系統管理並加以保護,一般情況下不能隨意更改。該系統日誌中嚴格記錄著系統的行為,利用系統日誌信息可以快速的對潛在的系統入侵作出記錄和預測。例如當系統日誌中記錄系統收到連續、反覆的埠連接請求時,根據這一跡象,可以判定可能遭受到入侵者正在使用埠掃描器對系統進行外部掃描。根據系統日誌信息中的侵入蹤跡,可以追蹤到入侵來源,以便於預警進行安全防範操作。
[0039]步驟202:檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
[0040]本發明實施例,實現綜合利用內部計算機的系統日誌信息和網絡數據進行網絡入侵檢測,提高了網絡入侵檢測的全面性和準確性,從而能夠更好的保證內部網絡環境的安全。同時,本發明實施例中網絡入侵檢測的方法改變了傳統方式中先檢測後傳輸數據的過程,在保證網絡數據能及時傳輸到內部計算機、提高網絡數據的使用效率的同時,還實現了網絡入侵檢測。
[0041]本發明實施例中進行網絡入侵檢測後需要生成入侵檢測分析結果,並將該入侵檢測分析結果發送至防火牆,由防火牆根據該入侵檢測分析結果進行進行安全防範操作,比如屏蔽掉入侵IP等。參見圖3,本發明實施例中網絡入侵檢測的詳細方法流程包括:
[0042]步驟301:在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息。
[0043]步驟302:利用預設策略對內部計算機的系統日誌信息和備份數據進行入侵分析,產生入侵事件分析結果。
[0044]優選的,入侵事件分析結果包括:入侵時間、入侵過程、入侵來源等。
[0045]優選的,預設策略包括基於標識的入侵檢測策略和基於異常的入侵檢測策略。
[0046]其中,基於標識的入侵檢測策略,需要預先定義違背安全策略的入侵事件的特徵,並給予這些特徵建立一個特徵集合用於檢測入侵事件。例如當檢測當檢測到網絡數據包的包頭信息與特徵集合想匹配時,則確定為檢測到入侵事件。
[0047]其中,基於異常的入侵檢測策略,需要預先定義系統正常運行模式下的模型,該模型中包括中央處理器(Central Processing Unit,CPU)利用率、內存使用率和文件校驗和等(這一模型可以人為定義,也可以通過對系統進行統計分析得出)。將系統運行時的狀態值與該模型進行對比,當兩者不匹配時,則確定為檢測到入侵事件。
[0048]步驟303:將入侵事件分析結果發送至防火牆,由防火牆根據入侵事件分析結果進行安全防範操作。[0049]本發明實施例實現將入侵檢測的分析結果發送至防火牆,由防火牆根據該結果進行安全防範,保證了內部計算機用戶網絡環境的安全。
[0050]本發明實施例中還提出一種網絡入侵檢測的系統,參見圖4,該系統包括:
[0051]交換機,具有一個鏡像埠,所述交換機與內部計算機連接;
[0052]入侵檢測裝置,與所述鏡像埠連接,用於在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息;檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
[0053]本發明實施例中還提出一種網絡入侵檢測裝置,參見圖5,該裝置包括:
[0054]獲取模塊501,用於在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息;
[0055]檢測模塊502,用於檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
[0056]優選的,檢測模塊可包括:
[0057]分析單元,用於利用預設策略對內部計算機的系統日誌信息和備份數據進行入侵分析,產生入侵事件分析結果;
[0058]發送單元,用於將入侵事件分析結果發送至防火牆,由防火牆根據入侵事件分析結果進行安全防範操作。
[0059]本領域內的技術人員應明白,本發明的實施例可提供為方法、系統、或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限於磁碟存儲器和光學存儲器等)上實施的電腦程式產品的形式。
[0060]本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器,使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0061]這些電腦程式指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0062]這些電腦程式指令也可裝載到計算機或其他可編程數據處理設備上,使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理,從而在計算機或其他可編程設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0063]顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣,倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內,則本發明也意圖包含這些改動和變型在內。
【權利要求】
1.一種網絡入侵檢測的方法,其特徵在於,包括以下步驟: 在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息; 檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
2.根據權利要求1所述的方法,其特徵在於,檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件,包括: 利用預設策略對所述內部計算機的系統日誌信息和所述備份數據進行入侵分析,產生入侵事件分析結果; 將入侵事件分析結果發送至防火牆,由防火牆根據入侵事件分析結果進行安全防範操作。
3.根據權利要求2所述的方法,其特徵在於,預設策略包括: 基於標識的入侵檢測策略和基於異常的入侵檢測策略。
4.一種網絡入侵檢測的裝置,其特徵在於,包括: 獲取模塊,用於在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息; 檢測模塊,用於檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
5.根據權利要求4所述的裝置,其特徵在於,所述檢測模塊包括: 分析單元,用於利用預設策略對所述內部計算機的系統日誌信息和所述備份數據進行入侵分析,產生入侵事件分析結果; 發送單元,用於將入侵事件分析結果發送至防火牆,由防火牆根據入侵事件分析結果進行安全防範操作。
6.一種網絡入侵檢測的系統,其特徵在於,包括: 交換機,具有一個鏡像埠,所述交換機與內部計算機連接; 入侵檢測裝置,與所述鏡像埠連接,用於在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息;檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
7.根據權利要求6所述的系統,其特徵在於,所述入侵檢測裝置包括: 獲取模塊,用於在交換機向內部計算機傳輸數據時,從交換機獲取所述數據的備份數據,從內部計算機中獲取該內部計算機的系統日誌信息; 檢測模塊,用於檢測所述內部計算機的系統日誌信息和所述備份數據是否存在入侵事件。
8.根據權利要求7所述的系統,其特徵在於,所述檢測模塊包括: 分析單元,用於利用預設策略對所述內部計算機的系統日誌信息和所述備份數據進行入侵分析,產生入侵事件分析結果; 發送單元,用於將入侵事件分析結果發送至防火牆,由防火牆根據入侵事件分析結果進行安全防範操作。
【文檔編號】H04L29/08GK103618689SQ201310415514
【公開日】2014年3月5日 申請日期:2013年9月12日 優先權日:2013年9月12日
【發明者】張新亮 申請人:天脈聚源(北京)傳媒科技有限公司