專利名稱:一種入侵檢測精確報警方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種入侵檢測精確報警方法和系統(tǒng)�,屬于一種作為網(wǎng)絡(luò)安全的重要產(chǎn)品之一的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDSNetwork Intrusion DetectionSystem)的關(guān)鍵技術(shù)的網(wǎng)絡(luò)安全領(lǐng)域��。
背景技術(shù):
NIDS安裝在被保護的網(wǎng)段中,其監(jiān)聽網(wǎng)卡工作在混雜模式下��,分析網(wǎng)段中所有的數(shù)據(jù)包���,進行網(wǎng)絡(luò)安全事件的實時檢測和響應(yīng)����。目前NIDS普遍采用誤用檢測技術(shù)���,其檢測方法為首先對標識特定的入侵行為模式進行編碼�����,建立誤用模式庫��,然后對實際檢測過程中得到的事件數(shù)據(jù)進行過濾����,檢查是否包含入侵行為的標識����。
目前網(wǎng)絡(luò)上大量的入侵行為具有盲目性��,并不能對目標主機的安全性造成影響。產(chǎn)生這種盲目性的原因是多方面的�,例如黑客正在通過掃描方式搜尋攻擊目標,或者Internet蠕蟲傳播時隨機掃描等��。誤用檢測的一個缺點在于只能判斷出一個數(shù)據(jù)包中是否包含可疑的入侵行為�,但缺乏入侵行為的目標主機的相關(guān)信息,無法判斷該入侵行為能否真正危害目標主機的安全��,從而產(chǎn)生大量無效報警��,導致目前NIDS較高的虛警率�����。
概括起來����,由于缺乏目標主機信息導致的誤報有以下幾種1.入侵行為針對某個IP地址的主機,但監(jiān)控范圍內(nèi)并不存在該主機��。例如對IP地址為1.2.3.4的主機進行入侵�����,但監(jiān)控網(wǎng)絡(luò)內(nèi)沒有分配該IP地址��。
2.入侵行為針對目標主機的某個端口,但該主機并沒有開放該端口��。例如對IP地址為1.2.3.4的主機的80端口發(fā)動攻擊�����,但該主機80端口并沒有開放服務(wù)�。
3.目標主機的操作系統(tǒng)與入侵行為所針對的操作系統(tǒng)不一致。例如針對IP地址為1.2.3.4的主機發(fā)動基于Windows系統(tǒng)的攻擊����,但該主機真實操作系統(tǒng)為Linux系統(tǒng)。
4.目標主機不存在入侵者利用的漏洞����。例如攻擊者對目標主機發(fā)動針對Apache 1.3版本漏洞的入侵,但該主機運行的Apache版本為1.4���,已經(jīng)修補了該漏洞�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種應(yīng)用于誤用檢測的入侵檢測精確報警方法和系統(tǒng)�����。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是一種應(yīng)用于誤用檢測的入侵檢測精確報警方法�����,該方法包括以下步驟在捕獲到可疑入侵事件的基礎(chǔ)上���,將入侵事件信息與目標主機信息進行關(guān)聯(lián)�,判斷該事件是否可能導致目標主機被入侵�,并根據(jù)判斷結(jié)果決定是否顯示該事件。
該方法包括提供一個主機信息設(shè)置模塊��,能夠?qū)ΡO(jiān)控范圍內(nèi)主機的IP地址��、操作系統(tǒng)�����、開放端口����、存在漏洞等信息進行設(shè)置。
在NIDS引擎捕獲到可疑入侵事件之后���,NIDS控制端的精確報警過濾模塊將入侵事件信息與目標主機信息進行關(guān)聯(lián)分析�,判斷該入侵事件是否可能導致目標主機被入侵。
如果關(guān)聯(lián)分析的結(jié)果表明該事件是一次無效的入侵�����,NIDS控制端將不顯示該事件�,否則將以指定的方式顯示該事件,以提醒管理員進行防范�。
通過將觀測到的入侵事件與目標主機信息進行關(guān)聯(lián)分析,可以避免對無效入侵行為產(chǎn)生虛假報警���,從而有效降低NIDS的虛警率�����。
一種入侵檢測精確報警系統(tǒng)�,包括有定義一臺主機的IP地址�����、開放端口�����、操作系統(tǒng)��、存在漏洞信息的主機信息定義單元;有監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包�����,發(fā)現(xiàn)網(wǎng)絡(luò)上的可疑入侵事件的誤用檢測單元���;
有用于將可疑入侵事件與目標主機信息進行關(guān)聯(lián),判斷該入侵事件是否能夠?qū)е履繕酥鳈C被入侵�����,并最終確定是否向管理員顯示該事件的精確報警過濾單元��。
本發(fā)明的有益效果1.可以通過人為設(shè)置和掃描結(jié)果導入兩種方式��,定義一臺主機的IP地址�����、開放端口����、操作系統(tǒng)、存在漏洞等消息�。例如我們可以手工輸入一臺主機的消息���,也可以利用掃描工具先對該主機進行掃描,然后將掃描結(jié)果導入到主機信息表中完成設(shè)定����。
2.可以通過一個事件的目的地址,判斷該事件是否可能導致目標主機被入侵���。例如引擎上報的攻擊事件為攻擊者對192.168.0.1主機進行了攻擊���,但監(jiān)控范圍內(nèi)并沒有哪臺主機的地址是192.168.0.1,精確報警模塊將不顯示該事件�。
3.可以通過一個事件的目的端口,判斷該事件是否可能導致目標主機被入侵��。例如引擎上報的攻擊事件為攻擊者對192.168.0.1主機進行了針對80端口的攻擊��,但192.168.0.1的80端口并沒有開放�����,精確報警模塊將不顯示該事件���。
4.可以通過一個事件所針對的操作系統(tǒng)�����,判斷該事件是否可能導致目標主機被入侵����。例如引擎上報的攻擊事件為攻擊者對192.168.0.1的主機進行了針對Windows系統(tǒng)漏洞的攻擊,但該主機的系統(tǒng)為Unix系統(tǒng)���,精確報警模塊將不顯示該事件。
5.可以通過一個事件所利用的漏洞���,判斷該事件是否可能導致目標主機被入侵�����。例如引擎上報的攻擊事件為攻擊者對192.168.0.1的主機進行了針對漏洞1的攻擊�����,但該主機上并不存在該漏洞��,精確報警模塊將不顯示該事件���。
圖1系統(tǒng)整體步驟圖�。
圖2精確報警模塊流程圖��。
下面結(jié)合附圖和實施例對發(fā)明進一步說明�。
入侵檢測精確報警方法說明該方法包括如下步驟(1)定義主機信息指定監(jiān)控范圍內(nèi)主機的IP地址、操作系統(tǒng)�、開放端口、存在漏洞信息�����;(2)NIDS引擎監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)����,并根據(jù)誤用模式庫中定義的入侵模式,捕獲當前網(wǎng)絡(luò)上的可疑入侵事件���;(3)精確報警過濾NIDS控制端將引擎上報的可疑入侵事件與目標主機信息進行關(guān)聯(lián)��,如果該事件有可能造成目標主機被入侵�,控制端將顯示該事件��,否則不顯示該事件���。
這個過程可參見附圖1����,有步驟如下;步驟1網(wǎng)絡(luò)數(shù)據(jù)旁路監(jiān)聽�����,進入步驟2��;步驟2捕獲可疑攻擊事件����,進入步驟3�;步驟3查找目標主機信息;步驟4事件與主機信息關(guān)聯(lián)分析����;步驟5判斷是否需要顯示;否則轉(zhuǎn)步驟2�;是則轉(zhuǎn)步驟6;步驟6顯示該入侵事件�;轉(zhuǎn)步驟2。
下面對每個重要步驟的操作進行詳細說明定義主機信息主機信息定義了一個主機的IP地址���、開放端口���、操作系統(tǒng)�、存在漏洞等信息���。
只有當引擎上報入侵事件的目標為已定義的主機時����,精確報警模塊才對該事件進行精確報警過濾��。如果管理員沒有配置某個IP地址的相關(guān)信息�����,則目標為該地址的事件都將被丟棄���,不進行顯示�。例如對于地址為192.168.0.1和192.168.0.2的兩臺主機��,如果管理員設(shè)置了192.168.0.1主機的信息���,而沒有設(shè)置192.168.0.2主機的信息���,則所有目標地址為192.168.0.1的事件都要經(jīng)過精確報警過濾�,所有目標地址為192.168.0.2的事件則直接丟棄�����。有兩種方法可以定義主機信息
(1)人為設(shè)置管理員通過手工方式設(shè)定某個主機的信息�����,主要設(shè)定內(nèi)容包括IP地址該主機的網(wǎng)絡(luò)地址�。
開放端口該主機對外監(jiān)聽的端口號,以及監(jiān)聽時采用的協(xié)議是TCP還是UDP�����。
操作系統(tǒng)該主機的操作系統(tǒng)類型����。
漏洞信息該主機上存在的漏洞的編號�。
(2)掃描結(jié)果導入利用掃描工具對某臺主機進行掃描,掃描結(jié)果保存在特定格式的xml文件中�����,可以通過主機信息設(shè)置模塊將該xml文件直接導入完成設(shè)置�。例如管理員可以利用掃描工具對IP地址為192.168.0.1-192.168.0.254之間的所有主機進行掃描�,然后將掃描結(jié)果導入�,完成對該地址范圍內(nèi)所有主機信息的設(shè)置。
精確報警過濾精確報警模塊接收引擎上報的可疑攻擊事件���,按以下步驟進行精確報警過濾(1)判斷該事件的目標地址是否包含在已定義的主機信息列表中�,如果包含進入第2步判斷�����,否則不顯示該事件����。
(2)精確報警模塊查看該入侵事件所攻擊的目的端口,然后在目標主機的開放端口中進行查找�����。如果目標主機開放了該端口進入第3步判斷����,否則不顯示該事件。
(3)精確報警模塊查看該入侵事件所攻擊的操作系統(tǒng)����,然后比較目標主機的操作系統(tǒng)是否受該事件的影響���。如果入侵事件能夠影響目標主機上運行的操作系統(tǒng)進入第4步判斷,否則不顯示該事件�����。
(4)精確報警模塊查看該入侵事件是否是針對某個特定的漏洞�����,如果攻擊事件與某個漏洞相關(guān)則進入第5步判斷���,否則顯示該事件��,提示管理員進行防范���。
(5)精確報警模塊查看目標主機上是否存在入侵事件所針對的漏洞,如果存在該漏洞則顯示該事件�,提示管理員進行防范����,否則不顯示該事件。
具體實施例方式
精確報警過濾舉例定義一臺主機IP地址為1.2.3.4,開放端口為80,135��,操作系統(tǒng)為windows XP��,存在漏洞代碼為1�。則1.如果NIDS引擎上報事件為攻擊者對1.2.3.5主機進行了攻擊,精確報警模塊發(fā)現(xiàn)該主機信息未被定義��,將不顯示該事件��。
2.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行了針對21端口的攻擊�,精確報警模塊發(fā)現(xiàn)該主機未開放21端口,將不顯示該事件����。
3.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行針對Unix系統(tǒng)的80端口的攻擊,精確報警模塊發(fā)現(xiàn)雖然是針對80端口的攻擊�����,但該攻擊對Unix系統(tǒng)才有效����,將不顯示該事件。
4.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行了針對80端口的攻擊���,利用的漏洞為2����。精確報警模塊發(fā)現(xiàn)該主機上不存在該漏洞,將不顯示該事件���。
5.如果NIDS引擎上報事件為攻擊者對1.2.3.4主機進行了針對80端口的攻擊�,利用的漏洞為1����。精確報警模塊發(fā)現(xiàn)該事件可能導致主機1.2.3.4被入侵,將顯示該事件���。
以上處理過程可以見圖2���,有步驟如下;步驟1查找目標主機信息����;步驟2是否查找到該主機的信息;是則轉(zhuǎn)步驟3����;否則轉(zhuǎn)步驟8;步驟3判斷目標端口是否開放����;是則轉(zhuǎn)步驟4;否則轉(zhuǎn)步驟8�����;步驟4判斷操作系統(tǒng)是否匹配���;是則轉(zhuǎn)步驟5��;否則轉(zhuǎn)步驟8�;步驟5判斷該攻擊是否依賴特定漏洞��;是則轉(zhuǎn)步驟6��;否則轉(zhuǎn)步驟7�����;步驟6判斷是否存在對應(yīng)漏洞�;是則轉(zhuǎn)步驟7;否則轉(zhuǎn)步驟8����;步驟7顯示該事件�。
步驟8不顯示該事件�����。
權(quán)利要求
1.一種入侵檢測精確報警方法��,其特征是是在捕獲到可疑入侵事件的基礎(chǔ)上��,將入侵事件信息與目標主機信息進行關(guān)聯(lián)����,判斷該事件是否可能導致目標主機被入侵,并根據(jù)判斷結(jié)果決定是否顯示該事件���。
2.根據(jù)權(quán)利要求1所述的一種入侵檢測精確報警方法��,其特征是該方法包括如下步驟(1)定義主機信息指定監(jiān)控范圍內(nèi)主機的IP地址��、操作系統(tǒng)����、開放端口�、存在漏洞信息���;(2)NIDS引擎監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù),并根據(jù)誤用模式庫中定義的入侵模式����,捕獲當前網(wǎng)絡(luò)上的可疑入侵事件��;(3)精確報警過濾NIDS控制端將引擎上報的可疑入侵事件與目標主機信息進行關(guān)聯(lián)����,如果該事件有可能造成目標主機被入侵,控制端將顯示該事件�,否則不顯示該事件。
3.根據(jù)權(quán)利要求1所述的一種入侵檢測精確報警方法�,其特征是主機信息可采用兩種定義方式,一種是由管理員指定某臺主機的IP地址���、開放端口�、操作系統(tǒng)���、存在漏洞信息����,或另一種是直接將掃描工具對某臺主機的掃描結(jié)果導入到主機信息列表中,完成對該主機信息的定義��。
4.根據(jù)權(quán)利要求1所述的一種入侵檢測精確報警方法�����,其特征在于將捕獲到的可疑入侵事件與主機信息進行關(guān)聯(lián)�,根據(jù)入侵事件的目的地址、目的端口���、所針對的操作系統(tǒng)���、所利用的漏洞信息,判斷該入侵事件是否可能導致目標主機被入侵�。
5.根據(jù)權(quán)利要求1所述的一種入侵檢測精確報警方法,其特征在于根據(jù)精確報警過濾的結(jié)果�����,判斷是否向管理員顯示一條捕獲到的可疑入侵行為�,從而減少上報的無效攻擊事件。
6.根據(jù)權(quán)利要求1或2所述的一種入侵檢測精確報警方法的系統(tǒng)��,其特征是包括有定義一臺主機的IP地址、開放端口�、操作系統(tǒng)、存在漏洞信息的主機信息定義單元�;有監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包,發(fā)現(xiàn)網(wǎng)絡(luò)上的可疑入侵事件的誤用檢測單元����;有用于將可疑入侵事件與目標主機信息進行關(guān)聯(lián),判斷該入侵事件是否能夠?qū)е履繕酥鳈C被入侵�,并最終確定是否向管理員顯示該事件的精確報警過濾單元���。
全文摘要
本發(fā)明涉及一種作為網(wǎng)絡(luò)安全的重要產(chǎn)品之一的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDSNetwork Intrusion Detection System)的關(guān)鍵技術(shù)——入侵檢測精確報警技術(shù)�,特征是在捕獲到可疑入侵事件的基礎(chǔ)上����,將攻擊事件信息與目標主機信息進行關(guān)聯(lián),判斷該攻擊事件的有效性��??梢酝ㄟ^人為輸入與掃描結(jié)果導入兩種方式,定義一臺受保護主機的信息��?��?梢愿鶕?jù)目標主機的開放端口�����、操作系統(tǒng)����、存在漏洞信息,判斷一個入侵事件是否可能導致目標主機被入侵���,對上報的入侵事件進行精確報警過濾����?��?梢愿鶕?jù)精確報警過濾的結(jié)果�,判斷是否顯示某個入侵事件����,消除無效事件的干擾,降低NIDS的虛警率�。
文檔編號H04L29/06GK101039179SQ20071006544
公開日2007年9月19日 申請日期2007年4月13日 優(yōu)先權(quán)日2007年4月13日
發(fā)明者周濤, 李劍彪, 湯國祥, 黃宇鴻 申請人:北京啟明星辰信息技術(shù)有限公司