入侵檢測方法和系統的製作方法

2023-10-11 02:14:34 3

專利名稱：入侵檢測方法和系統的製作方法
技術領域：
本發明通常涉及例如IP網絡的通信系統領域，更具體地，涉及用於在這種通信系 統中檢測入侵的系統和方法。
背景技術：
網絡在信息系統中的快速增長已經引起對諸如NIDS(網絡入侵檢測系統)、 HIDS (主機入侵檢測系統)的IDS (入侵檢測系統)和NIPS (網絡入侵防禦系統)的日益關 注，其中NIPS結合了防火牆和NIDS。計算機網絡必須被保護以免受DoS (拒絕服務)攻擊、未授權的信息披露或操縱以 及數據的修改或破壞。同時，必須提供關鍵信息系統的可用性、機密性和完整性。據報導，在2004年已經有10，000種新病毒或已有病毒的變種，每小時有至少一次 新攻擊(Kay,"Low volume viruses :new tools for criminals，，, Network Secur. 6, 2005, 第16-18頁)。2001年，紅色蠕蟲代碼在不到14小時內傳播到超過359，000臺網際網路主機 (Moore 等，"Code Red :acase study on the spread and victims of internet worm，，， Proceeding of thesecond ACM Internet measurement workshop,2002)。在 2003 年， SQLSlammer蠕蟲在不到30分鐘內傳播超過75，000臺主機，其中90%的主機在10分鐘內被 感染(Moore 等，"The spread of the sapphire/slammer wormtechnical report，，，CAIDA 技術報告，2003年)。2002年，美國聯邦調查局調查報告說外部黑客成功攻擊的平均成本 是56，000美元，而成功內部人員攻擊的平均成本被報導為270萬美元(Power "2002CSI/ FBI computercrime and security survey」，計算機安全問題和趨勢，第八卷第一篇，2002 年春)。IDS通常指定一些具有檢測、識別和響應目標系統上未授權或異常的活動的軟體。傳統地，IDS在設計上被集中化，集中式IDS通常安裝在網絡的阻塞點，例如網絡 服務提供商網關，並利用在物理上集成在單個處理單元內的集中式應用以獨立模式運行。 也存在分布式IDS，其包括部署在大型網絡的不同區域上的多個傳感器，所有這些傳感器最 終向聚集信息並進行處理的中央伺服器報告。IDS的目的是區分入侵者和正常用戶。IDS的目標是提供一種用於實時或批量檢 測安全違背的機制。違背通過外部人員企圖闖入系統或者內部人員企圖濫用其特權而啟動。IDS所執行的主要功能是監控並分析用戶和系統活動，評估關鍵系統或數據文 件的完整性，識別反映已知攻擊的活動模式，自動響應所檢測的活動，以及報告檢測處理的結果。入侵檢測可根據檢測方法劃分為三種類型濫用檢測、異常檢測和數據挖掘。混合 入侵方法也是已知的，其同時結合了兩種方法。已知如KDD-99，用於比較檢測方法的標籤數 據集已由國際知識發現與數據發掘工具競賽提供。濫用檢測致力於搜索已知攻擊的蹤跡或模式。濫用檢測系統試圖將計算機活動與所存儲的已知的利用或攻擊的籤名進行匹配。它使用攻擊的先驗知識以查找攻擊蹤跡。換 句話說，濫用檢測是指使用已知的系統入侵或弱點的模式(例如，具有緩衝器溢出漏洞的 系統實用程序)以匹配和識別入侵。 攻擊動作的順序、危害系統安全的條件以及入侵後遺留的證據(例如，損害或系 統日誌)可用多個通用模式匹配模型表示。這些模式匹配模型將已知的籤名編碼為模式， 接著這些模式與審計數據進行匹配。模式匹配常常是指模糊邏輯和人工智慧技術，如神經 網絡。例如，NIDES (下一代入侵檢測專家系統)使用規則以描述攻擊動作，STAT (狀態轉 移分析工具)使用狀態轉移圖以模擬系統的一般狀態和訪問控制違背，IDIOT (現代入侵檢 測)使用彩色網格以將入侵籤名表示為目標系統上的事件序列。濫用檢測系統的主要優點在於一旦已知的入侵的模式被存儲，這些入侵的未來 實例可被有效地檢測。然而，新發明的攻擊將可能不被檢測到，導致不可接受的漏報率。儘管濫用檢測被 假定為比異常檢測更準確，但這種技術的主要缺陷是創建包含入侵和非入侵活動的最有可 能的變異的籤名。異常檢測使用正常用戶或系統行為的模型(用戶和系統簡檔)，並將偏離該模型 的重大偏差標記為潛在惡意。例如，在用戶登錄會話期間的CPU使用率和系統命令的頻率 是包含在用戶簡檔中的統計參數。偏離簡檔的偏差可以被計算為要素統計的偏差的加權 禾口。異常檢測系統的主要優點在於其能夠檢測未知的入侵，因為這種系統不需要特定 入侵的先驗知識。然而，定義並維護正常簡檔是不平凡並易出錯的任務，導致有時出現不可接受的
故障警報等級。許多近來的IDS方法已經利用數據挖掘技術，例如CMDS (計算機濫用檢測系統)、 IDES (入侵檢測專家系統)、MIDAS (多入侵檢測和報警系統)。基於數據挖掘的IDS從傳感器收集數據，諸如例如從Cyber-Patrol公司可獲得的 傳感器。傳感器監控系統的某些方面，諸如網絡活動性、由用戶進程使用的系統呼叫、文件 系統訪問。傳感器從正被監控的原始數據流中提取預測特徵以產生可用於檢測的格式化數 據。對於基於網絡的攻擊系統，JAM使用頻繁情節挖掘，其在網絡中生成特定節點的正 常使用模式。這些模式被用於建立確定網絡節點的異常的基本分類器。為了確保正確的分 類，應當為分類器的學習階段收集足夠量的正常和異常數據。一組基本分類器可用於建立 元分類器，因為每個基本分類器監控網絡的不同節點，該網絡的入侵可由元分類器結合其 基本分類器的結果而檢測。IDS根據其分析的審計資源位置的類型來分類。大多數IDS被分類為用於識別並轉移攻擊的基於網絡的入侵檢測或者基於主機 的入侵檢測方法。當IDS在網絡流中查找這些模式時，其被分類為基於網絡的入侵檢測。基於網絡的IDS分析在網絡上捕獲的網絡分組。作為例子，SNORT是開源網絡入侵檢測系統，其能夠執行實時流量分析和分組登錄IP網絡。SNORT不能自動生成入侵模 式。專家必須首先分析並分類攻擊分組，並對相應的用於濫用檢測的模式和規則進行手編 程序。模式的數量不斷在增長，在當前SNORT版本中已經超過2100種。當IDS在日誌文件中查找攻擊籤名時，其被分類為基於主機的入侵檢測。基於主機的IDS系統被本地安裝在主機機器上。基於主機的IDS分析主機邊界審計資源，諸如操 作系統審計痕跡、系統日誌和應用日誌。換句話說，基於主機的IDS系統評估活動，並訪問 放置有基於主機的IDS的關鍵伺服器。當前IDS已經致力於使用歷史模式來識別攻擊。但是在使用新的模式或者不採用 模式識別攻擊方面存在困難。使用基於規則的方法，諸如USTAT(用於UNIX的狀態轉移分 析工具)、NADIR(網絡異常檢測和入侵報告)和W&S(智慧與感知)，攻擊序列中輕微的變 化能夠影響活動規則比較，以致入侵不能被入侵檢測機制檢測到。兩種類型的錯誤導致引起不可避免的IDS成本。這些錯誤包括IDS中誤報錯誤 (false positive error)禾口漏 艮錯誤(false negative error)。由於IDS傳感器將正常分組或者活動曲解為攻擊，因此發生誤報錯誤。由於攻擊 者被誤分類為正常用戶，因此發生漏報錯誤。估計IDS報告的多達99%的警報與安全問題無關(Julish，「Using rootcause analysis to handle intrusion detection alarm」，多特蒙德大學博士論文，2003年，第一 頁)。原因包括以下方面。首先，在許多情況下，入侵與正常活動僅有輕微的不同。由於苛 刻的實時要求，IDS不能夠分析所有活動的上下文到所要求的程度。第二，書寫IDS的籤名 是非常困難的任務。在某些情況下，很難在極度特定的籤名(其不能夠捕獲所有攻擊或其 變異)和極度普通的信號(其將合法動作識別為入侵)之間確定恰當的平衡。第三，在某 些環境中正常的動作在其它環境中可能是惡意的。第四，假定每天分析包含二十個入侵分 組的一百萬個分組，1. 0的理想檢測率和非常低的10-5級誤報率導致10個誤報，即，貝葉斯 正確檢測率僅有66%。這些誤報入侵警報是關鍵問題，其抑制實際入侵事件的評估和解決。這個數量的 誤報對任何在入侵警報之後的關聯進程有重大的負面影響，無論該進程是基於自動還是人 工的。實際上，本領域有關入侵檢測的研究狀況已經證明巨量的誤報警報極大地降低了試 圖連結幾個警報以檢測多步複雜攻擊的自動關聯引擎的性能(Ning等，「Learning attack strategiesfrom intrusion alert」，關於計算機與通信安全的ACM會議，2003年)。如果人類專家執行該關聯，則大量的誤報警報會使其分心，因為他試圖檢測危險 的攻擊。這使得發現真實的入侵更加困難。為了給出真實的例子，多達10G字節的安全日誌每天由大約15個傳感器生成。在 關聯之後，每天大約100個警報被傳送到安全管理系統，在由人類專家分析後，每天僅有十 個情形被認為是「看起來危險」。已經提出各種方案以解決降低入侵警報誤報的問題。這些方案中的大多數與報警關聯有關。關聯技術可以被分類為若干類型。首先， 關聯裝置集合與同一個危險事件(即，同一個攻擊)有關的幾個入侵警報。第二裝置集合 幾個與幾個危險事件有關的入侵警報以便確定複雜攻擊是否在網絡內正在進行。儘管報警關聯的鼓動者已首先期望可降低誤報警報的數量，但現在，已知誤報警報抑制共同的關聯引擎的性能(Ning 等，「Learning attackstrategies from intrusion alert",有關計算機與通信安全的ACM會議，2003年)。另外，該關聯已經成為計算機的耗 時任務，其通過誤報泛濫將關聯繫統暴露給DoS攻擊。另一種降低誤報警報的方法包括使用體系結構(例如網絡拓撲、已知的現有弱點)的上下文信息以確定攻擊是否有某些機會成功，並指出真實入侵的可能性。這種技術 與警報驗證的概念有關。在文獻中，存在兩種類型的警報驗證主動的和被動的。主動警報驗證使用在警報已經出現後收集的信息以確定該攻擊是否成功，而被動 驗證使用體系結構安全的先驗信息以確定該攻擊是否有機會成功。現有的被動驗證系統使用體系結構安全的靜態知識，並且不衡量它。這可導致警報被誤分類為誤報，並進而產生漏報(警報不是針對真實攻擊生成，並且被分類為誤報)。在另一個方面，現有的主動警報驗證系統是基於可證明攻擊成功的信息(即，與通常由IDS/IPS使用的攻擊籤名相比的入侵的籤名)的後驗(在入侵警報已經發布後)收 集。在這種情況下，主要問題是驗證可在攻擊者已經掩蓋了其入侵的蹤跡後發生。

發明內容
鑑於傳統的系統和方法的上述和其它問題，本發明的一個目的是提供一種用於在入侵檢測系統中過濾誤報警報的有效方法。在本發明的第一個方面，提供一種入侵檢測方法，用於檢測網絡的目標系統的未 授權使用或異常活動，該方法包括以下步驟對與目標系統有關的每個漏洞和/或利用一個或多個漏洞的每個攻擊創建所定 義的前提(defined precondition)；創建與所述所定義的前提對應並考慮目標邊界的保障基準 (assurancereference)；捕獲與目標系統有關的數據，例如，網絡數據、類似日誌的數據，有利地，該捕獲步 驟實時地進行；將所捕獲的數據與攻擊籤名進行比較，以在所捕獲的數據與至少一個攻擊籤名匹 配時，生成至少一個安全警報；根據目標邊界的監控捕獲保障數據，用於定義與所述所定義的前提對應的保障基 準；將根據目標邊界的保障監控發布的數據(例如，體系結構單元的配置文件)與保 障基準進行比較，以在所述根據保障監控發布的數據與至少一個保障基準匹配時生成保障 fn息；獲取所生成的安全警報的前提；檢查與所述前提對應的保障信息是否已被獲取；當所生成的安全警報及其所獲取的前提與至少一個對應的保障信息匹配時，生成 驗證後的安全警報；當所述安全警報的所獲取的前提與至少一個對應的保障信息之間沒有發現匹配 時，過濾所述安全警報；當對該警報沒有獲取前提和/或與所述前提對應的保障基準沒有被定義時，發出未經驗證的安全警報。前提的定義可以使用諸如Lambda的攻擊語言描述進行。使用Lambda語言的 攻擊描述的例子可以例如在Cuppens等所著的「Alert Correlation ina Cooperative Intrusion Detection Framework，， (Proceedings of the 2002IEEE Symposium on security and privacy)中找至Ij0「每個漏洞的前提」指出允許利用一個漏洞的目標系統的未授權或異常使用的方 段。換句話說，如果對於攻擊，系統缺點(例如，代碼錯誤)可被利用，則這種缺點就是漏洞。「每個攻擊的前提」指出具有籤名並利用幾個漏洞的攻擊的前提。換句話說，如果 各種系統形式缺陷(例如，代碼錯誤)可被具有籤名的攻擊使用，則這些形式缺陷都是漏 洞。有利地，在檢測漏洞警報(例如，CERT警報)後，進行強化(enrichment)過程，所 述強化過程包括對所述新漏洞的每一個或利用一個或多個漏洞的攻擊定義將被監控的保 障基準；對所述新漏洞的每一個或利用一個或多個漏洞的攻擊定義安全事件；以及對所述 安全事件定義前提。「利用一個或多個漏洞的攻擊」包括至少一個新漏洞和已被處理的漏洞的組合。有利地，使用自動算法以相關引擎可理解的語言轉換漏洞警報。在本發明的另一個方面，提供一種入侵檢測系統，用於檢測網絡的目標系統的未 授權使用或異常活動，該系統包括用於對與目標系統有關的每個漏洞和/或利用一個或多個漏洞的每個攻擊創建 所定義的前提的裝置；用於創建與所述所定義的前提對應並考慮所述目標邊界的保障基準的裝置；用於捕獲與目標系統有關的數據的嗅探器；用於將所捕獲的數據與攻擊籤名進行比較，以在所捕獲的數據與至少一個攻擊籤 名匹配時，生成至少一個安全警報的裝置；用於根據目標邊界的監控捕獲保障數據的裝置；用於將根據目標邊界的保障監控發布的數據與保障基準進行比較，以在所述根據 保障監控發布的數據與至少一個保障基準匹配時生成保障信息的裝置；用於獲取所生成的安全警報的前提的裝置；用於檢查與所述前提對應的保障信息是否已被獲取的裝置；其中，當所生成的安全警報及其所獲取的前提與至少一個對應的保障信息匹配 時，所述系統生成驗證後的安全警報；當所述安全警報的所獲取的前提與至少一個對應的保障信息之間沒有發現匹配 時，所述系統過濾所述安全警報；當對該警報沒有獲取前提和/或與所述前提對應的保障基準沒有被定義時，所述 系統發出未經驗證的安全警報。在本發明的另一個方面中，提供一種包括計算機可用媒體的電腦程式產品，所 述媒體存儲有用於使計算機檢測網絡的目標系統的未授權使用或異常活動的控制邏輯，所 述控制邏輯包括_用於對與所述目標系統有關的每個漏洞和/或利用一個或多個漏洞的每個攻擊創建所定義的前提的第一計算機可讀程序代碼；-用於創建與所述所定義的前提對應並考慮目標邊界的保障基準的第二計算機可 讀程序代碼；-用於捕獲與所述目標系統有關的數據的第三計算機可讀程序代碼；-用於將所捕獲的數據與攻擊籤名比較，以在所捕獲的數據與至少一個攻擊籤名匹配時，生成至少一個安全警報的第四計算機可讀程序代碼；-用於根據所述目標邊界的監控捕獲保障數據的第五計算機可讀程序代碼；-用於將根據所述目標邊界的保障監控發出的保障數據與保障基準比較，以在根 據保障監控發出的所述數據與至少一個保障基準匹配時生成保障信息的第六計算機可讀 程序代碼；_用於獲取所生成的安全警報的前提的第七計算機可讀程序代碼；_用於檢查與所述前提對應的保障信息是否已被獲取的第八計算機可讀程序代 碼；其中，所述電腦程式產品-當所生成的安全警報及其所獲取的前提與至少一個對應的保障信息匹配時，生 成驗證後的安全警報；-當所述安全警報的所獲取的前提與至少一個對應的保障信息之間沒有發現匹配 時，過濾所述安全警報；-當對該警報沒有獲取前提和/或與所述前提對應的保障基準沒有被定義時，發 出未經驗證的安全警報。通過結合附圖考慮優選實施例的詳細說明，本發明的上述和其它目的和優點將變 得明顯。


圖1是根據本發明的入侵檢測系統的示意圖。
具體實施例方式信息流(漏洞的保障方面)從漏洞資料庫1開始，漏洞資料庫1可由CERT(計算 機應急響應小組)建立或由專家根據其知識和CERT所發布的信息建立。轉換/強化模塊2能夠定義度量(metrics)的保障基準3，度量是負責觀察目標邊 界的監控探測器，以便檢查安全策略是否已被應用，並還驗證安全機制根據所述策略被激 活並運行。考慮用於安全保障的可測量數據4的範圍和CERT漏洞資料庫1，模塊2定義將被 度量為了安全保障目的而監控的保障基準3。安全保障，也稱為SCC (安全順應性和一致性) 是實體滿足組織的AR(保障基準)的信心的基礎。漏洞一被公開，該過程就能夠生成先驗保障基準。從CERT資料庫1開始，另一個信息流(漏洞的安全方面)被轉發到強化模塊5，用 於安全關聯目的。模塊5使用IDS/IPS/探測器籤名資料庫6作為輸入以定義與每個CERT漏洞有關的前提和後置條件7。兩個基於CERT的轉換/強化過程2、5都能通過使用自動算法來進行，CERT警報 被轉換成關聯引擎可理解的語言，或通過人工轉換CERT警報。前提的定義可以使用諸如Lambda的攻擊語言描述進行。使用Lambda語言的攻 擊描述的例子可以在例如Cuppens等人所著的「AlertCorrelation in a Cooperative Intrusion Detection Framework，，(Proceedings of the 2002 IEEE Symposium on security and privacy, http://41x. free, fr/articles/cm02. pdf)中找至丨J。該轉換/強化過程可以在IETF(網際網路工程任務組)被標準化，例如在入侵檢測 工作組。模塊8查找處理安全事件前提7的保障基準3。如果某些安全事件前提7沒有被 保障基準資料庫3覆蓋，則模塊9將其定義到資料庫10中。這有利於獲得將用於誤報降低 的一組完整的保障基準。某些安全裝置11，如IDS或防火牆，監督目標邊界12。同時，安全保障度量13也 監督同一目標邊界12。安全軟體或裝置11基於已知的攻擊籤名生成安全警報14，而保障度量13基於保 障基準資料庫3生成保障信息15。安全警報14和保障信息15被發送到驗證模塊16。安全警報14 一生成，驗證模塊16就獲取特定安全警報14的前提，並檢查對應的 保障信息是否也已被獲取。如果安全警報及其前提與一個或多個保障信息匹配，則該警報被認為是可信的， 並生成驗證後的安全警報17。如果現有的監控精確邊界的保障度量沒有提供保障信息，而安全警報對於該邊界 被發出，則該警報被認為是不可信的，並被過濾18。最後，如果安全警報在安全警報資料庫中是未知的和/或對該警報不存在保障度 量，那麼發出未經驗證的安全警報19。可以通知將稍後安裝的SOC(安全操作中心，例如，阿 爾卡特_朗訊的危險管理中心)將監控並給出安全保障反饋的度量。由IDS和/或防火牆發出的安全警報在中間模塊(驗證模塊16)被過濾，降低誤 報的數量。通過用新型的安全保障信息強化現有的警報驗證，所提出的發明將降低誤報率。Mi目標系統被配置為處理SSH(安全外殼)連接。登錄被預設設置為使用基於證書 的SSH認證，該信息被存儲在安全保障策略中。對應的安全保障度量定期檢查SSH認證是否仍在正確地工作。暴力攻擊由IDS檢測。該攻擊只有在前提被驗證時才成功。前提是SSH連接必須 被設置為密碼認證。當該警報到達驗證模塊時，該模塊檢查「SSH認證配置已變化」保障信息(從證書 認證到密碼認證)是否已被發出。如果已發出，則該安全警報被認為是關於保障上下文相 關，並發出驗證後的安全警報。相反，如果沒有獲取對應的保障信息，則安全警報被認為是 不相關的，並被過濾。已知誤報警報降低關聯過程的性能、準確性和相關性。已知誤報警報抑制入侵告警關聯引擎的整體性能，但是對於人工執行安全事件的分析的安全專家，誤報警報也是重 要的問題。本發明通過使用安全保障(即，配置一致性測量)以過濾(即，驗證)(由商用現 貨COTS IDS/IPS生成的)入侵警報，能夠降低誤報入侵警報的出現。這將使安全專家和入侵關聯引擎集中在真實警報上，從而改善能力以更快並準確 地理解攻擊的真正危險。另外，保障基準通過提取並強化CERT類警報的信息，相對可檢測的IDS/IPS事件 的前提進行更新。該階段可在IETF入侵檢測工作組被標準化。本發明在被動驗證方法上的價值在於體系結構的漏洞被連續地測量(主動和先 驗方法)。與後驗方法相比，本發明通過在驗證過程已收集了入侵成功的線索之前覆蓋攻擊 者的蹤跡，極大地降低了攻擊者欺騙驗證系統的可能性。換句話說，本發明產生了較少的漏 報。另外，在本發明的方案中，驗證在攻擊已發生之前執行。與入侵的線索在攻擊已發 生後收集的後驗驗證相比，真實警報更快地出現。事實上，收集過程是耗時的。
權利要求
一種入侵檢測方法，用於檢測網絡的目標系統的未授權使用或異常活動，包括以下步驟-對與所述目標系統有關的每個漏洞和/或利用一個或多個漏洞的每個攻擊創建所定義的前提；-創建與所述所定義的前提對應並考慮目標邊界的保障基準；-捕獲與所述目標系統有關的數據；-將所捕獲的數據與攻擊籤名進行比較，以在所捕獲的數據與至少一個攻擊籤名匹配時，生成至少一個安全警報；-根據所述目標邊界的監控捕獲保障數據；-將根據所述目標邊界的保障監控發布的保障數據與保障基準進行比較，以在根據保障監控發布的所述數據與至少一個保障基準匹配時生成保障信息；-獲取所生成的安全警報的前提；-檢查與所述前提對應的保障信息是否已被獲取；-當所生成的安全警報及其所獲取的前提與至少一個對應的保障信息匹配時，生成驗證後的安全警報；-當所述安全警報的所獲取的前提與至少一個對應的保障信息之間沒有發現匹配時，過濾所述安全警報；-當對該警報沒有獲取前提和/或與所述前提對應的保障基準沒有被定義時，發出未經驗證的安全警報。
2.根據權利要求1的入侵檢測方法，其中，在檢測漏洞警報之後，進行強化過程，所述 強化過程包括對所述新漏洞的每一個或利用一個或多個漏洞的攻擊(即，至少一個新漏 洞和已被處理的漏洞的結合)定義將被監控的保障基準；對所述新漏洞的每一個或利用一 個或多個漏洞的攻擊定義安全事件；以及對所述安全事件定義前提。
3.根據權利要求2的入侵檢測方法，包括以關聯引擎可理解的語言轉換所述漏洞警報。
4.一種入侵檢測系統，用於檢測網絡的目標系統的未授權使用或異常活動，包括_用於對與所述目標系統有關的每個漏洞和/或利用一個或多個漏洞的每個攻擊創建 所定義的前提的裝置；-用於創建與所述所定義的前提對應並考慮目標邊界的基準的裝置； -用於捕獲與所述目標系統有關的數據的嗅探器；_用於將所捕獲數據與攻擊籤名進行比較，以在所捕獲的數據與至少一個攻擊籤名匹 配時，生成至少一個安全警報的裝置；-用於根據所述目標邊界的監控捕獲保障數據的裝置；_用於將根據所述目標邊界的保障監控發布的保障數據與保障基準進行比較，以在根 據保障監控發布的所述數據與至少一個保障基準匹配時生成保障信息的裝置； _用於獲取所生成的安全警報的前提的裝置； -用於檢查與所述前提對應的保障信息是否已被獲取的裝置； 其中，當所生成的安全警報及其所獲取的前提與至少一個對應的保障信息匹配時，所 述系統生成驗證後的安全警報；當所述安全警報的所獲取的前提與至少一個對應的保障信息之間沒有發現匹配時，所 述系統過濾所述安全警報；當對該警報沒有獲取前提和/或與所述前提對應的保障基準沒有被定義時，所述系統 發出未經驗證的安全警報。
5. 一種包括計算機可用媒體的電腦程式產品，所述媒體存儲有用於使計算機檢測網 絡的目標系統的未授權使用或異常活動的控制邏輯，所述控制邏輯包括_用於對與所述目標系統有關的每個漏洞和/或利用一個或多個漏洞的每個攻擊創建 所定義的前提的第一計算機可讀程序代碼；_用於創建與所述所定義的前提對應並考慮目標邊界的保障基準的第二計算機可讀程 序代碼；-用於捕獲與所述目標系統有關的數據的第三計算機可讀程序代碼； _用於將所捕獲的數據與攻擊籤名進行比較，以在所捕獲的數據與至少一個攻擊籤名 匹配時，生成至少一個安全警報的第四計算機可讀程序代碼；-用於根據所述目標邊界的監控捕獲保障數據的第五計算機可讀程序代碼； _用於將根據所述目標邊界的保障監控發布的保障數據與保障基準進行比較，以在根 據保障監控發布的所述數據與至少一個保障基準匹配時生成保障信息的第六計算機可讀 程序代碼；-用於獲取所生成的安全警報的前提的第七計算機可讀程序代碼； -用於檢查與所述前提對應的保障信息是否已被獲取的第八計算機可讀程序代碼； 其中，所述電腦程式產品-當所生成的安全警報及其所獲取的前提與至少一個對應的保障信息匹配時，生成驗 證後的安全警報；_當所述安全警報的所獲取的前提與至少一個對應的保障信息之間沒有發現匹配時， 過濾所述安全警報；-當對該警報沒有獲取前提和/或與所述前提對應的保障基準沒有被定義時，發出未 經驗證的安全警報。
全文摘要
用於檢測網絡的目標系統的未授權使用或異常活動的入侵檢測方法，包括對與目標系統有關的每個漏洞和/或利用一個或多個漏洞的每個攻擊創建所定義的前提；創建與所定義的前提對應並考慮目標邊界的保障基準；捕獲與目標系統有關的數據；將所捕獲的數據與攻擊信號進行比較，以在所捕獲的數據與至少一個攻擊信號匹配時，生成至少一個安全警報；根據目標邊界的監控捕獲保障數據；將根據目標邊界的保障監控發布的保障數據與保障基準進行比較，以在根據保障監控發布的數據與至少一個保障基準匹配時生成保障信息；獲取所生成的安全警報的前提；檢查與前提對應的保障信息是否已被獲取；當所生成的安全警報及其所獲取的前提與至少一個對應的保障信息匹配時，生成驗證後的安全警報；當安全警報的所獲取的前提與至少一個對應的保障信息不匹配時，過濾安全警報；當沒有獲取該警報的前提和/或沒有定義與前提對應的保障基準時，發出未經驗證的安全警報。
文檔編號H04L29/06GK101803337SQ200880107741
公開日2010年8月11日 申請日期2008年9月19日 優先權日2007年9月19日
發明者A·西納雅, A·馬丁, L·可勒維, S·迪比 申請人:阿爾卡特朗訊公司