嵌入式入侵偵測系統的製作方法

2023-05-29 01:46:51 1

專利名稱：嵌入式入侵偵測系統的製作方法
技術領域：
本發明嵌入式入侵偵測系統是應用於保護網站的安全，偵測未經授權或逾越權限的操作行為。入侵偵測系統(Intrusion Detection System，IDS)監視系統的各項活動(activity)，找出未經授權的使用、誤用或濫用等攻擊行為，並提供系統弱點被攻擊者利用時的防禦功能。


圖1是習知入侵偵測系統示意圖。以網際網路80的應用為例，遠端使用者經由網際網路80a使用伺服器電腦20a提供的資源或服務。為保護伺服器電腦20a的安全，較完整的保護應有三層保護。
在伺服器電腦20a前端架設有防火牆(Firewall)81a作為第一道的保護，主要用途是過濾檢查網路上的封包，以封包的來源和目的地作為主要的檢測依據。
而以網路為基礎的(Network-based)入侵偵測系統82a作為第二道的保護，這道保護則是更進一步檢查網路封包細部內容是否包含特定的攻擊徵兆。
而第三道的保護稱為以主機為基礎的(host-based)入侵偵測系統83a，以偵測受保護主機上的各種事件來偵測發現入侵現象。以主機為基礎的入侵偵測系統83a是在伺服器電腦20a的後端設有一監控電腦40a，將系統狀態收集模組30a常駐於伺服器電腦20a內進行收集資料的工作，並將收集到的系統狀態資料傳送到監控電腦40a內，而由監控電腦40a的監控模組50a分析是否有入侵的現象。
由於習知系統狀態收集模組30a常駐於伺服器電腦20a內，有經驗的攻擊者可能因為系統狀態收集模組30a持續的監視動作，因此可以利用此入侵偵測系統的弱點使之失效，比如篡改該模組相關的記錄擋、截斷監控資料的傳送等。另外又由於系統狀態收集模組30a將監控資料傳送到監控電腦40a採用非HTTP(Hypertext TransportProtocol，超文件傳輸協定)的專屬協定，因此有經驗的攻擊者更容易發覺入侵偵測系統的存在，因此提高了入侵偵測系統83a遭受攻擊而失效的可能性。此類以主機為基礎的入侵偵測系統83a普遍都存有這類的問題，比如目前著名的Securit Dnamics公司的Kane Security Analst(KSA)系統就有此缺點。
本發明的主要目的是提供一種嵌入式入侵偵測系統，其可去除習知以主機為基礎的入侵偵測系統容易被駭客發覺其存在的缺點，主要是使收集模組30在伺服器電腦20內並非持續性在監視，使得有經驗的駭客亦難以發覺收集模組30的存在，而增加駭客想出破解的難度。
雖然本發明的收集模組30為非連續執行，但不會帶來偵測的缺口，其原因在於雖然嵌入式入侵偵測系統並不和一般以主機為基礎的入侵偵測系統以持續執行的形式進行入侵偵測，但可以設定偵測動作的區間，因此仍和持續執行的偵測系統有類似的監控效果。
另外是系統狀態收集模組30與監控模組50之間溝通採用標準的HTTP，因此整個偵測過程得以「隱藏」在一般的HTTP連線中，如此使得本發明入侵偵測系統10不易被有經驗的攻擊者發覺。
為達成上述的目的，本發明一種嵌入式入侵偵測系統，是用於保護網站安全上，該受保護的網站可由遠端使用者經由網路利用其提供的資源或服務，其中連上網站的通訊協定定義為第一協定，該系統包括至少一伺服器電腦，用於提供遠端使用者資源或服務的平臺；至少一監控電腦，連結伺服器電腦，用於監控伺服器電腦運作的狀況；該系統還包括系統狀態收集模組，系儲存於伺服器電腦或監控電腦中，包括a.搜集單元，用以在伺服器電腦上進行收集監控資料的工作；b.傳送單元，將搜集單元所收集的監控資料遵循第一協定傳給監控電腦；以及一監控模組，是存於監控電腦中，包括a.分析單元，用以接收並分析處理動態收集模組於伺服器電腦所收集的監控資料；以及b.控制單元，用以控制動態收集模組的執行。
其中第一協定為HTTP協定。
其中系統狀態收集模組為儲存於伺服器電腦內，而由監控模組的控制單元啟動或關閉動態系統狀態收集模組的執行。
其中系統狀態收集模組在未執行時為儲存於監控電腦內，當欲執行系統狀態收集摸組時，由監控模組的控制單元將系統狀態收集模組複製一份傳送至伺服器電腦，並啟動系統狀態收集模組，當不執行系統狀態收集模組時，監控模組的控制單元將系統狀態收集模組刪除。
其中系統狀態收集模組在未執行時為儲存於監控電腦內，當欲執行系統狀態收集模組時，由監控模組的控制單元將系統狀態收集模組傳送至伺服器電腦，並啟動系統狀態收集模組，當不執行系統狀態收集模組時，監控模組的控制單元將系統狀態收集模組傳回監控電腦。
由於本發明確有增進功效，故依法申請發明專利。
為進一步說明本發明的結構及其特徵，以下結合附圖對本發明作進一步的詳細描述，其中圖1是習知入侵偵測系統示意圖。
圖2是本發明入侵偵測系統第一實施例。
圖3是本發明入侵偵測系統第二實施例。
圖4是本發明入侵偵測系統第三實施例。
圖5是本發明動態收集模組及監控模組的架構關係圖。
請參考圖2關於本發明入侵偵測系統10用於網際網路80的第一實施例。本發明入侵偵測系統10屬於以主機為基礎的入侵偵測系統，可偵測事件記錄驅動的(log event driven)入侵。
入侵偵測系統10包括至少一伺服器電腦20，用於提供遠端使用者資源或服務的平臺；以及至少一監控電腦40(Monitor)，連結伺服器電腦20，用於監控伺服器電腦20運作的狀況。
在監控電腦40中裝設有監控模組50以及系統狀態收集模組30。請一併參考圖5有關本發明系統狀態收集模組30及監控模組50的架構關係圖及說明。
系統狀態收集模組30包括搜集單元31(Collector)及傳送單元32。搜集單元31是用以在伺服器電腦20上進行收集監控資料35的工作，比如收集指定檔案的信息摘要、或收集目前受保護主機的執行中程序(running process)狀態、或收集目前受保護主機正在聽(listen)的通訊埠號(port number)等等。而傳送單元32，是將搜集單元31所收集的監控資料35傳給監控模組50。
監控模組50包括分析單元51及控制單元52。分析單元51用以接收並分析處理動態收集模組30於伺服器電腦20所收集的監控資料35；而控制單元52，用以控制系統狀態收集模組30的執行。
在第一實施例中，在未執行監視的狀態時(圖2左側)，動態收集模組30並沒有被啟動執行，此時動態收集模組30為儲存於監控電腦40內。
當欲執行動態收集模組30時(圖2右側)，由監控模組50的控制單元52將系統狀態收集模組30複製一份傳送至伺服器電腦20，並啟動系統狀態收集模組30。因此搜集單元31即可收集監控資料35的工作，而傳送單元32將搜集單元31所收集的監控資料35傳給監控模組50的分析單元51。而當不執行系統狀態收集模組30時，監控模組50的控制單元52將系統狀態收集模組30刪除，亦即回復到圖2左側的狀態。
需注意的是，系統狀態收集模組30將監控資料35傳送到監控電腦40的通訊協定，與採用遠端使用者連上伺服器電腦20的通訊協定相同，以目前網際網路80的應用而言，該通訊協定即為HTTP。
另外第一實施例亦可作些改變，請參考圖3關於本發明的第二實施例。當欲執行系統狀態收集模組30時，由監控模組50的控制單元52將系統狀態收集模組30傳送至伺服器電腦20，並啟動之，當不執行系統狀態收集模組30時，監控模組50的控制單元52將系統狀態收集模組30傳回監控電腦40。
請參考圖4關於本發明的第三實施例。其中系統狀態收集模組30為儲存於伺服器電腦20內，在未執行監視的狀態時(圖4左側)，系統狀態收集模組30並沒有被啟動執行，當欲執行系統狀態收集模組30時(圖4右側)，由監控模組50啟動系統狀態收集模組30。亦即由監控模組50的控制單元52啟動或關閉系統狀態收集模組30的執行。
由以上的實施例可知。收集模組30在伺服器電腦20內並非持續性在監視的狀況，又由於伺服器電腦20的伺服軟體、及提供的資源或服務的應用軟體有相當多的子程序(數目通常在五十個以上，須視實際連線數目而定)，是非連續執行的程序，因此當本發明的系統狀態收集模組30亦為非連續執行的程序時，即便很有經驗的駭客亦難以發覺系統狀態收集模組30的存在。另外由於一般的HTTP連線是用來提供網站瀏覽者一般的資料存取服務，因此系統狀態收集模組30與監控模組50亦採用HTTP連線時，整個偵測過程「隱藏」在一般的HTTP連線中，如此使得本發明入侵偵測系統10不易被有經驗的駭客發覺，更能確保入侵偵測系統的有效執行。
需注意的是，上述僅為實施例，而非限制於實施例。凡不脫離本發明基本架構者，皆應為本專利所主張的權利範圍，而應以專利申請範圍為準。
權利要求
1.一種嵌入式入侵偵測系統，是用於保護網站安全上，該受保護的網站可由遠端使用者經由網路利用其提供的資源或服務，其中連上網站的通訊協定定義為第一協定，該系統包括至少一伺服器電腦，用於提供遠端使用者資源或服務的平臺；至少一監控電腦，連結伺服器電腦，用於監控伺服器電腦運作的狀況；其特徵在於，該系統還包括系統狀態收集模組，系儲存於伺服器電腦或監控電腦中，包括a.搜集單元，用以在伺服器電腦上進行收集監控資料的工作；b.傳送單元，將搜集單元所收集的監控資料遵循第一協定傳給監控電腦；以及一監控模組，是存於監控電腦中，包括a.分析單元，用以接收並分析處理動態收集模組於伺服器電腦所收集的監控資料；以及b.控制單元，用以控制動態收集模組的執行。
2.根據權利要求1所述的嵌入式入侵偵測系統，其特徵在於，其中第一協定為HTTP協定。
3.根據權利要求1所述的嵌入式入侵偵測系統，其特徵在於，其中系統狀態收集模組為儲存於伺服器電腦內，而由監控模組的控制單元啟動或關閉動態系統狀態收集模組的執行。
4.根據權利要求1所述的嵌入式入侵偵測系統，其特徵在於，其中系統狀態收集模組在未執行時為儲存於監控電腦內，當欲執行系統狀態收集摸組時，由監控模組的控制單元將系統狀態收集模組複製一份傳送至伺服器電腦，並啟動系統狀態收集模組，當不執行系統狀態收集模組時，監控模組的控制單元將系統狀態收集模組刪除。
5.根據權利要求1所述的嵌入式入侵偵測系統，其特徵在於，其中系統狀態收集模組在未執行時為儲存於監控電腦內，當欲執行系統狀態收集模組時，由監控模組的控制單元將系統狀態收集模組傳送至伺服器電腦，並啟動系統狀態收集模組，當不執行系統狀態收集模組時，監控模組的控制單元將系統狀態收集模組傳回監控電腦。
全文摘要
嵌入式入侵偵測系統是應用於保護網站的安全,偵測未經授權或逾越權限的操作行為;其所揭示的技術屬於以主機為基礎的入侵偵測系統,即以主機的事件記錄為主要監控項目的入侵偵測系統;本發明的目的是去除習知以主機為基礎的入侵偵測系統容易被駭客發覺的缺點,主要方法是和一般操作相比幾無差異的形式進行非持續性地監控,使得有經驗的駭客亦難以發覺系統狀態收集模組的存在,而增加駭客破解系統的難度。
文檔編號G06F11/30GK1328292SQ0010911
公開日2001年12月26日 申請日期2000年6月8日 優先權日2000年6月8日
發明者羅濟群, 謝文川, 蔡國手, 李逸元 申請人:財團法人資訊工業策進會