專利名稱:一種入侵檢測方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)攻擊檢測領(lǐng)域,具體涉及一種入侵檢測方法及裝置���。
背景技術(shù):
入侵檢測裝置是一種旁路部署或串行部署的網(wǎng)絡(luò)安全設(shè)備�����,它通常部署 在關(guān)鍵網(wǎng)絡(luò)內(nèi)部/網(wǎng)絡(luò)邊界入口處�����,全面監(jiān)聽進(jìn)出網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)包����,通過對 監(jiān)聽到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行掃描檢測,以發(fā)現(xiàn)各種可能的入侵行為��,并能根據(jù) 攻擊事件來調(diào)整安全策略或防護(hù)手段�。同時,入侵檢測裝置產(chǎn)生的攻擊事件 序列可以為定期的安全評估和分析提^據(jù)���。
可以將當(dāng)前入侵檢測裝置采用的入侵檢測技術(shù)分為兩類 一類為誤用檢 測技術(shù)�����;另一類為異常檢測技術(shù)��。誤用檢測技術(shù)是由安全專家根據(jù)收集的攻 擊實(shí)例來抽取能夠表征該類攻擊事件的攻擊特征串�����,然后在實(shí)時入侵檢測時 將網(wǎng)絡(luò)數(shù)據(jù)流與先前提取的攻擊特征串進(jìn)行特征匹配�,匹配成功則表示檢測 到了該類型網(wǎng)絡(luò)攻擊事件����。異常檢測技術(shù)則首先為被監(jiān)控對象構(gòu)建正常行為 輪廓��,然后在實(shí)時檢測時�,判斷被檢測對象當(dāng)前行為輪廓與正常行為輪廓的 偏離程度��,當(dāng)偏離程度超過一定閾值時�����,表示發(fā)生了網(wǎng)絡(luò)攻擊事件�。由于異 常事件并不一定是網(wǎng)絡(luò)攻擊事件,并且�����,基于異常檢測技術(shù)的入侵檢測方法 存在正常行為輪廓構(gòu)建困難和報警模糊問題���,因此,現(xiàn)實(shí)情況中的入侵檢測 裝置多數(shù)采用誤用檢測技術(shù)實(shí)現(xiàn)�。
傳統(tǒng)入侵檢測裝置主要包括三個單元攻擊特征庫單元、數(shù)據(jù)收集單元 和攻擊特征串匹配單元����。其中,攻擊特征庫單元存儲了從已知攻擊實(shí)例中提 取的攻擊特征串��,供攻擊特征匹配單元使用;數(shù)據(jù)收集單元從^j!i控網(wǎng)絡(luò)中 實(shí)時捕獲網(wǎng)絡(luò)數(shù)據(jù)包��,經(jīng)過流重組和協(xié)議解析后��,將數(shù)據(jù)發(fā)送給攻擊特征匹 配單元��;攻擊特征匹配單元基于攻擊特征庫對數(shù)據(jù)收集單元輸出的數(shù)據(jù)進(jìn)行 掃描檢測���,當(dāng)發(fā)現(xiàn)數(shù)據(jù)流中包含已知的攻擊特征串時�,表示檢測到了該類型
網(wǎng)絡(luò)攻擊事件��。
以開源Snort入侵檢測產(chǎn)品為例�,典型入侵檢測裝置都釆用單一格式描述 各類型網(wǎng)絡(luò)攻擊事件攻擊特征,并在實(shí)時入侵檢測時采用傳統(tǒng)模式匹配技術(shù) 來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流與攻擊特征串的匹配操作���。這種基于單一攻擊特征串表述 格式和單一模式匹配算法的入侵檢測模式正在受到當(dāng)前變化多樣的網(wǎng)絡(luò)攻擊 事件的嚴(yán)峻挑戰(zhàn)�,主要表現(xiàn)在1)隨著各種網(wǎng)絡(luò)應(yīng)用的出現(xiàn)����,特別是基于 Web的網(wǎng)絡(luò)應(yīng)用系統(tǒng)的涌現(xiàn),各種網(wǎng)絡(luò)攻擊事件的差異性變得越來越大��,再 試圖采用單一格式來描述所有類型網(wǎng)絡(luò)攻擊事件的攻擊特征正變得越來越困 難;2)有些網(wǎng)絡(luò)攻擊事件不存在明顯的攻擊特征串����,或者無法采用枚舉方式 來列出所有攻擊特征串,因此釆取誤用檢測的攻擊特征知識庫無法提取攻擊 特征串�����,比如SQL注入攻擊和跨站腳本攻擊事件就不可能使用攻擊特征串枚 舉方式來定義攻擊特征�����,而必須采用其他專用的檢測知識庫��;3)傳統(tǒng)才莫式匹 配技術(shù)在實(shí)現(xiàn)復(fù)雜的攻擊特征串匹配時顯得越來越吃力�����。
為了支持對SQL注入攻擊事件等復(fù)雜網(wǎng)絡(luò)攻擊事件的入侵檢測�����,就需要 克服傳統(tǒng)入侵檢測裝置中采用單一攻擊特征描述格式和單一攻擊特征匹配拍: 術(shù)的不足�����。雖然一些傳統(tǒng)入侵檢測裝置通過打補(bǔ)丁方式來支持對某些復(fù)雜網(wǎng) 絡(luò)攻擊事件的檢測��,但是��,它破壞了傳統(tǒng)入侵檢測裝置的體系結(jié)構(gòu)�,由此導(dǎo) 致的問題有兩個1)隨著更多檢測補(bǔ)丁的加入,整個入侵檢測裝置的單元化 程度越來越差����,這將大大增加入侵檢測裝置的維護(hù)升級費(fèi)用;2)檢測補(bǔ)丁與 傳統(tǒng)入侵檢測裝置中的數(shù)據(jù)收集單元耦合性太強(qiáng)��,嚴(yán)重影響了入侵檢測裝置 的執(zhí)行效率��。
目前也看到一些入侵檢測裝置采用類似于高級語言的攻擊特征描述語言 來定義網(wǎng)絡(luò)攻擊事件的攻擊特征�,這使得使用單一格式描述所有攻擊特征成 為可能,比如開源Bro入侵檢測工具和商用NFR入侵檢測工具就是采取這種 方式�,但是,這些入侵檢測工具不得不采用虛擬機(jī)技術(shù)來執(zhí)行網(wǎng)絡(luò)數(shù)據(jù)流數(shù) 據(jù)與攻擊特征串的匹配�����,導(dǎo)致入侵檢測效率很低�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種入侵檢測方法及裝置,支持對各種
復(fù)雜網(wǎng)絡(luò)攻擊事件的精確檢測�����,并要考慮整個入侵檢測裝置的執(zhí)行效率���。
為了解決上述技術(shù)問題�����,本發(fā)明提供了一種入侵檢測方法�,對要檢測的 每種類型的網(wǎng)絡(luò)攻擊事件�����,在入侵檢測裝置中分配一個或多個檢測單元��,并
配置該類型網(wǎng)絡(luò)攻擊事件的待檢測對象的類型以;M"該類型待檢測對象進(jìn)行 入侵檢測所用的檢測算子和檢測知識庫����,入侵檢測時,所述入侵檢測裝置執(zhí)
4亍以下處理
實(shí)時獲取網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行預(yù)處理�����,得到所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的需要
進(jìn)行入侵檢測的待檢測對象�;
根據(jù)得到的待檢測對象的類型,由相應(yīng)的檢測單元根據(jù)為該類型待檢測 對象配置的檢測算子和檢測知識庫進(jìn)行入侵檢測��,產(chǎn)生網(wǎng)絡(luò)攻擊報警事件�����。
進(jìn)一步地��,上述入侵檢測方法還可具有以下特點(diǎn)
在入侵檢測之前�����,還根據(jù)配置的待檢測對象類型生成一待檢測對象加工 過程樹�,該待檢測對象加工過程樹的葉子節(jié)點(diǎn)為配置的待檢測對象,其他節(jié) 點(diǎn)是為得到其下層葉子節(jié)點(diǎn)對應(yīng)的待檢測對象而對網(wǎng)絡(luò)數(shù)據(jù)包處理的過程中 需得到的中間對象��;
在入侵檢測時�����,所述入侵檢測裝置只對所述待檢測對象加工過程樹中存 在的中間對象進(jìn)行逐層處理�,最終得到需要進(jìn)行檢測的待檢測對象。
進(jìn)一步地��,上述/^f曼檢測方法還可具有以下特點(diǎn)
在所述入侵檢測裝置中,利用多核硬件平臺來實(shí)現(xiàn)至少部分檢測單元入 <曼檢測的并4亍執(zhí)4亍�。
進(jìn)一步地,上述入侵檢測方法還可具有以下特點(diǎn)
所述入侵檢測裝置產(chǎn)生網(wǎng)絡(luò)攻擊報警事件之后���,還對網(wǎng)絡(luò)攻擊報警事件 進(jìn)行綜合分析���,產(chǎn)生更高級別的網(wǎng)絡(luò)入侵攻擊事件。
進(jìn)一步地�����,上述入4曼檢測方法還可具有以下特點(diǎn)
所述入侵檢測裝置對獲取的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理時���,還收集 控網(wǎng) 絡(luò)的環(huán)境信息數(shù)據(jù)����,包括操作系統(tǒng)指紋和/或應(yīng)用系統(tǒng)指紋��;
所述入侵檢測裝置產(chǎn)生網(wǎng)絡(luò)攻擊報警事件之后�����,使用所述環(huán)境信息數(shù)據(jù) 對產(chǎn)生的網(wǎng)絡(luò)攻擊報警事件進(jìn)行綜合分析��,驗(yàn)證攻擊事件的有效性。
本發(fā)提供的網(wǎng)絡(luò)攻擊事件的入侵檢測裝置包括依次連接的數(shù)據(jù)預(yù)處理單 元���、數(shù)據(jù)分發(fā)單元和檢測網(wǎng)格,以及與所述數(shù)據(jù)預(yù)處理單元�����、數(shù)據(jù)分發(fā)單元 和檢測網(wǎng)格連接的配置管理單元�,所述檢測網(wǎng)格包括一個或多個檢測單元,
其中
所述配置管理單元包括一定制子單元�,用于為每種類型的網(wǎng)絡(luò)攻擊事件 分配一個或多個檢測單元,為每一檢測單元配置要檢測的某類型網(wǎng)絡(luò)攻擊事 件的待檢測對象的類型以及入侵檢測所用的檢測算子和檢測知識庫��;
所述數(shù)據(jù)預(yù)處理單元用于根據(jù)配置的待檢測對象類型對實(shí)時獲取的網(wǎng)絡(luò) 數(shù)據(jù)包進(jìn)行預(yù)處理���,得到其中包含的需要進(jìn)行入侵檢測的待檢測對象并傳送 到所述數(shù)據(jù)分發(fā)單元��;
所述數(shù)據(jù)分發(fā)單元用于根據(jù)為所述檢測單元配置的待檢測對象的類型���, 將接收到的待檢測對象分發(fā)到對應(yīng)的檢測單元;
所述檢測網(wǎng)格中的各檢測單元用于采用配置的檢測算子和檢測知識庫���, 對分發(fā)到和險測單元的待檢測對象進(jìn)行掃描檢測���,產(chǎn)生網(wǎng)絡(luò)攻擊報警事件��。
進(jìn)一步地�,上述入侵檢測裝置還可具有以下特點(diǎn)
所述配置管理單元還包括一加工過程樹生成子單元���,用于根據(jù)配置的待 檢測對象類型生成一待檢測對象加工過程樹��,該待檢測對象加工過程樹的葉 子節(jié)點(diǎn)為配置的待檢測對象�����,其他節(jié)點(diǎn)是為得到其下層葉子節(jié)點(diǎn)對應(yīng)的待檢 測對象而對網(wǎng)絡(luò)數(shù)據(jù)包處理的過程中需得到的中間對象��;
所述數(shù)據(jù)預(yù)處理單元對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理時���,只對所述待檢測對象加 工過程樹中存在的中間對象進(jìn)行逐層處理,得到需進(jìn)行檢測的待檢測對象����。
進(jìn)一步地,上述入侵檢測裝置還可具有以下特點(diǎn)
所述檢測網(wǎng)格基于多核硬件平臺來實(shí)現(xiàn)���,至少部分檢測單元在進(jìn)行入侵 檢測時可并行執(zhí)行�。
進(jìn)一步地,上述入侵檢測裝置還可具有以下特點(diǎn)���,還包括一綜合分析驗(yàn)
證單元�,其中
所述各檢測單元還用于將產(chǎn)生的網(wǎng)絡(luò)攻擊報警事件上才艮所述綜合分析驗(yàn) 證單元�;
所述綜合分析驗(yàn)證單元,用于對各檢測單元上報的網(wǎng)絡(luò)攻擊事件序列進(jìn) 行綜合分析,并產(chǎn)生更高級別的網(wǎng)絡(luò)入侵攻擊事件�。
進(jìn)一步地���,上述入4曼檢測裝置還可具有以下特點(diǎn)
所述數(shù)據(jù)預(yù)處理單元對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理時����,還從網(wǎng)絡(luò)數(shù)據(jù)包中收 集凈^控網(wǎng)絡(luò)的環(huán)境信息數(shù)據(jù)��,包括操作系統(tǒng)指紋和/或應(yīng)用系統(tǒng)指紋��,并將 這些環(huán)境信息數(shù)據(jù)發(fā)送給所述綜合分析驗(yàn)證單元����;
所述綜合分析驗(yàn)證單元對所述網(wǎng)絡(luò)攻擊報警事件序列進(jìn)行綜合分析時, 使用所述環(huán)境信息數(shù)據(jù)對產(chǎn)生的網(wǎng)絡(luò)攻擊報警事件進(jìn)行綜合分析���,驗(yàn)證攻擊 事件的有效性�����。
進(jìn)一步地��,上述入侵檢測裝置還可具有以下特點(diǎn)
所述定制子單元還用于對檢測網(wǎng)格中的檢測單元進(jìn)行重新配置�����,包括更 新檢測單元的檢測算子和檢測知識庫�,為新的類型的網(wǎng)絡(luò)攻擊事件分配檢測 單元并配置待檢測對象類型、檢測算子和檢測知識庫��,以及釋放已分配的檢 測單元并刪除相應(yīng)的配置信息����。
進(jìn)一步地,上述入侵檢測裝置還可具有以下特點(diǎn)
所述定制子單元根據(jù)各類型網(wǎng)絡(luò)攻擊事件的發(fā)生頻度��,為每種類型的網(wǎng) 絡(luò)攻擊事件分配一個或多個檢測單元��,并為這些檢測單元配置該類型網(wǎng)絡(luò)攻 擊事件的待檢測對象類型��;
所述數(shù)據(jù)分發(fā)單元在某待檢測對象的類型對應(yīng)于一組具有相同配置的檢 測單元時�,將該待檢測對象分發(fā)到該多個檢測單元中空閑的一個檢測單元。
可以看出,本發(fā)明充分考慮了當(dāng)前各種網(wǎng)絡(luò)攻擊事件的攻擊特征差異性 和新型攻擊層出不窮且越來越復(fù)雜的特點(diǎn)���,采用了基于分層分治策略的入侵 檢測思想�,允許釆用不同描述格式對各種類型網(wǎng)絡(luò)攻擊事件檢測知識庫進(jìn)行 描述以及采用專用的檢測算子來實(shí)現(xiàn)該類型網(wǎng)絡(luò)攻擊事件的入侵檢測���。與傳
統(tǒng)入侵檢測相比����,本發(fā)明由于允許對各種網(wǎng)絡(luò)攻擊事件都采用專用檢測算法�, 因此可以實(shí)現(xiàn)更為精確的入侵檢測�。并且,本發(fā)明所述入侵檢測裝置中多個 檢測單元之間的執(zhí)行獨(dú)立性特點(diǎn)使得其可以充分利用多核硬件平臺來提高入
侵檢測效率�;最后,本發(fā)明所述入^f曼檢測裝置還可通過重新配置單個檢測單 元的檢測算子或者檢測知識庫來增強(qiáng)對某種網(wǎng)絡(luò)攻擊事件的檢測能力��,也可 以通過增加新的檢測單元來支持對新的網(wǎng)絡(luò)攻擊事件的檢測����,具有非常好的 可擴(kuò)展性,大大降低入侵檢測裝置的維護(hù)升級費(fèi)用����。
附困說明
圖1A為本發(fā)明實(shí)施例入侵檢測裝置的功能單元圖1B為本發(fā)明實(shí)施例入侵檢測方法的流程圖2為圖1A中配置管理單元定制檢測網(wǎng)格的處理流程圖3為一個專為Web安全檢測定制的檢測網(wǎng)格的示例的示意圖4為圖1A中數(shù)據(jù)預(yù)處理單元的處理流程圖5為裁減前的待檢測對象加工過程樹的一個示例的示意圖6為根據(jù)檢測網(wǎng)格定制結(jié)果對圖5中待檢測對象加工過程樹裁減后得 到的待檢測對象加工過程樹的示意圖7為圖1A中數(shù)據(jù)分發(fā)單元的處理流程圖8為圖1A中檢測單元的處理流程圖9為圖1A中入侵檢測裝置的綜合分析發(fā)汪單元的處理流程圖。
具體實(shí)施例方式
本發(fā)明的入侵檢測方法及裝置,不再采用傳統(tǒng)入侵檢測技術(shù)用單一攻擊 特征描述格式和單一攻擊特征匹配算法的入侵檢測思想�����,釆用了分層分治策 略入侵檢測思想�,允許對不同類型網(wǎng)絡(luò)攻擊事件采用不同的檢測知識庫描述 格式和選擇不同的攻擊檢測算子,以提高入侵檢測裝置的檢測精確率和執(zhí)行 效率����。
下面先對本發(fā)明中用到的幾個名詞作一下說明。
待檢測對象���,可以為一個應(yīng)用協(xié)議消息或者為一個文件流對象���,這里的
應(yīng)用層協(xié)議消息如可以為一個HTTP請求消息,文件流對象如可以為一個 HTML文檔對象�����。
檢測算子���,是用于實(shí)現(xiàn)對某種類型網(wǎng)絡(luò)攻擊事件檢測而設(shè)計的軟件程序����, 它以某種類型的待檢測對象為輸入,依據(jù)預(yù)先定義的檢測知識庫對待檢測對 象進(jìn)行掃描檢測��,從而發(fā)現(xiàn)隱藏在待檢測對象中的該類型網(wǎng)絡(luò)攻擊企圖�。檢 測算子可以用動態(tài)庫插件形式實(shí)現(xiàn),并提供統(tǒng)一的檢測調(diào)用接口���,該檢測調(diào) 用接口的輸入?yún)?shù)為待檢測對象和檢測知識庫�,輸出為本次檢測結(jié)果����。
檢測知識庫,是為實(shí)現(xiàn)某種類型的網(wǎng)絡(luò)攻擊事件檢測而由安全專家預(yù)先 創(chuàng)建的����、并由該類型網(wǎng)絡(luò)攻擊事件檢測算子專門使用的檢測知識集合����。根據(jù) 檢測原理的不同,所述檢測知識庫可以為用于實(shí)現(xiàn)誤用檢測的攻擊特征知識 庫����,也可以為用于異常檢測的正常行為輪廓知識庫。
為各檢測單元所配置的所有檢測算子及檢測知識庫將指導(dǎo)相應(yīng)檢測單元 對某種類型的網(wǎng)絡(luò)攻擊事件的入侵檢測過程��。
下面結(jié)合附圖,對本發(fā)明的具體實(shí)施例進(jìn)行詳細(xì)說明���。
如圖1A所示�,本實(shí)施例入侵檢測裝置包括依次連接的數(shù)據(jù)預(yù)處理單元����、 數(shù)據(jù)分發(fā)單元、檢測網(wǎng)格和綜合分析驗(yàn)證單元����,以及可與以上單元分別交互 的配置管理單元,所述檢測網(wǎng)格包括一個或多個檢測單元����。其中
配置管理單元包括
定制子單元,用于對檢測網(wǎng)格中的檢測單元進(jìn)行定制�����,定制時根據(jù)需要 檢測的各種類型的網(wǎng)絡(luò)攻擊事件的類型�,對每種類型的網(wǎng)絡(luò)攻擊事件分配一 個或多個檢測單元,為每一檢測單元配置要檢測的某類型網(wǎng)絡(luò)攻擊事件的待 檢測對象的類型以及入侵檢測所用的檢測算子和檢測知識庫����。至于是分配多 少個檢測單元��,可以根據(jù)各類型網(wǎng)絡(luò)攻擊事件的發(fā)生頻度來確定����。該定制子 單元還用于對檢測網(wǎng)格中的各檢測單元進(jìn)行重新配置��,包括更新檢測單元的
檢測算子和檢測知識庫���,為新的類型的網(wǎng)絡(luò)攻擊事件分配檢測單元并配置待 檢測對象類型�、檢測算子和檢測知識庫�,以及釋放已分配的檢測單元并刪除 相應(yīng)的配置信息等等。
加工過程樹生成子單元����,用于根據(jù)定制各個檢測單元格時所配置的所有 待檢測對象生成一分層樹狀結(jié)構(gòu)的待檢測對象加工過程樹,該待檢測對象加 工過程樹的葉子節(jié)點(diǎn)即為檢測單元要檢測的待檢測對象�����,其他節(jié)點(diǎn)是為得到 其下層葉子節(jié)點(diǎn)對應(yīng)的待檢測對象而對網(wǎng)絡(luò)數(shù)據(jù)包處理的過程中需得到的中 間對象��。所謂葉子節(jié)點(diǎn)即沒有子節(jié)點(diǎn)的節(jié)點(diǎn)�。
數(shù)據(jù)預(yù)處理單元用于實(shí)時獲取網(wǎng)絡(luò)數(shù)據(jù)包�,依據(jù)待檢測對象加工過程樹 對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理���,得到其中包含的待檢測對象并傳送給數(shù)據(jù)分發(fā)單 元。對網(wǎng)絡(luò)數(shù)據(jù)包的預(yù)處理可以包括報文碎片處理����、流重組和深層協(xié)議解析 等。數(shù)據(jù)預(yù)處理單元還可以從緩存的網(wǎng)絡(luò)數(shù)據(jù)包中收集被監(jiān)控網(wǎng)絡(luò)的各種環(huán) 境信息數(shù)據(jù)���,包括操作系統(tǒng)指紋和/或應(yīng)用系統(tǒng)指紋信息����。
數(shù)據(jù)分發(fā)單元用于接收待檢測對象�,根據(jù)定制檢測網(wǎng)格時為檢測單元配 置的待檢測對象的類型,將收到的待檢測對象分發(fā)到對應(yīng)的檢測單元����。當(dāng)某 待檢測對象的類型對應(yīng)于一組具有相同配置的檢測單元時,數(shù)據(jù)分發(fā)單元將 該待檢測對象分發(fā)到其中 一個空閑的檢測單元��。
各檢測單元用于對分發(fā)到;^險測單元的待檢測對象�,采用預(yù)先配置的檢 測算子和檢測知識庫對其進(jìn)行檢測處理,產(chǎn)生網(wǎng)絡(luò)攻擊報警事件并發(fā)送給綜 合分析驗(yàn)證單元�;
綜合分析驗(yàn)證單元用于對檢測單元發(fā)送來的網(wǎng)絡(luò)攻擊事件序列進(jìn)行綜合 分析,產(chǎn)生更高級別的網(wǎng)絡(luò)入侵攻擊事件�����。在進(jìn)行綜合分析時,還利用各種 環(huán)境信息數(shù)據(jù)可以實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊事件的關(guān)聯(lián)分析和有效性驗(yàn)證����。
應(yīng)il明的是,以上單元劃分不是唯一的����,例如待檢測對象加工過程樹生 成子單元也可以包含在數(shù)據(jù)預(yù)處理單元中。但完成相同的功能的不同單元組 合明顯等同于上述裝置�����,仍應(yīng)屬于本發(fā)明的保護(hù)范圍���。
基于以上的入侵檢測裝置�����,本實(shí)施例入侵檢測方法的流程如圖1B所示��,
包括以下步驟
步驟110��,針對要檢測的每種類型的網(wǎng)絡(luò)攻擊事件����,在入侵檢測裝置中 分配一個或多個檢測單元��,并配置該類型網(wǎng)絡(luò)攻擊事件的待檢測對象的類型 以;Sjft該類型待檢測對象進(jìn)行入侵檢測所用的檢測算子和檢測知識庫��;
上述配置可以纟艮方便地進(jìn)行修改��、增加和刪除等操作����,如可以更新為檢 測單元配置的檢測單元和/或檢測知識庫的版本。需要對新的類型的網(wǎng)絡(luò)攻擊 事件進(jìn)行入侵檢測時���,可以為其新分配一個或多個檢測單元并配置相應(yīng)的待 檢測對象類型���、檢測算子和檢測知識庫。不需要對已配置的某類型網(wǎng)絡(luò)攻擊 事件進(jìn)行入侵檢測時��,可以刪除為該類型網(wǎng)絡(luò)攻擊事件分配的檢測單元及相 應(yīng)的配置信息�����。
本實(shí)施例在進(jìn)行入侵檢測前先生成一待檢測對象加工過程樹�����。具體地, 可以先配置一作為模板的待檢測對象加工過程樹��,包括了各種類型網(wǎng)絡(luò)攻擊 事件的待檢測對象及相應(yīng)的中間對象��,這些對象按相互間的關(guān)系組織成樹狀 結(jié)構(gòu)�����。要生成實(shí)際使用的待檢測對象加工過程樹時���,只需根據(jù)實(shí)際定制的待 檢測對象對作為模塊的待檢測對象加工過程樹進(jìn)行裁減��,裁減時���,只保留實(shí) 際定制的待檢測對象及其上層節(jié)點(diǎn),將其他所有節(jié)點(diǎn)均予以刪除���。
根據(jù)各類型網(wǎng)絡(luò)攻擊事件的發(fā)生頻度����,可以為每種類型的網(wǎng)絡(luò)攻擊事件 分配一個或多個檢測單元。
在進(jìn)行入侵檢測時��,入侵檢測裝置執(zhí)行以下處理
步驟120,實(shí)時獲取網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行預(yù)處理��,得到所述網(wǎng)絡(luò)數(shù)據(jù)包中 包含的需要進(jìn)行入侵檢測的待檢測對象�����;
本實(shí)施例是依據(jù)生成的待檢測對象加工過程樹對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處 理����,可以包括報文碎片處理���、流重組和深層協(xié)議解析等�����,可參照目前的處理 方式����。由于在該過程中只對待檢測對象加工過程樹中存在的中間對象進(jìn)行處 理�����,最終得到需進(jìn)行檢測的待檢測對象,因此大大提高了處理的效率�。
步驟130,根據(jù)得到的待檢測對象的類型���,由相應(yīng)的檢測單元根據(jù)為該 類型待檢測對象配置的檢測算子和檢測知識庫進(jìn)行入侵檢測����,產(chǎn)生網(wǎng)絡(luò)攻擊
報警事件�;
上文已經(jīng)提到,當(dāng)某一待檢測對象類型對應(yīng)一組具有相同配置的檢測單 元時�����,可以將該待檢測對象分發(fā)到其中的一個空閑的檢測單元并行處理����。這 樣在某種類型的網(wǎng)絡(luò)攻擊事件特別頻繁時,可以有效地利用資源���。而一個檢 測單元只對應(yīng)于某種類型網(wǎng)絡(luò)攻擊事件����,其輸入為該類型網(wǎng)絡(luò)攻擊事件的待 檢測對象����。
步驟140����,對網(wǎng)絡(luò)攻擊報警事件進(jìn)行綜合分析�,產(chǎn)生更高級別的網(wǎng)絡(luò)入 侵攻擊事件。
可以從緩存的網(wǎng)絡(luò)數(shù)據(jù)包中收集被監(jiān)控網(wǎng)絡(luò)的各種環(huán)境信息數(shù)據(jù)�,包括 操作系統(tǒng)指紋和/或應(yīng)用系統(tǒng)指紋信息���,在進(jìn)行綜合分析時���,利用各種環(huán)境信 息數(shù)據(jù)可以實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊事件的關(guān)聯(lián)分析和有效性驗(yàn)證。
圖2為配置管理單元定制檢測網(wǎng)格的流程圖�����。首先�,確定所iiX侵檢測 裝置需要檢測的所有網(wǎng)絡(luò)攻擊事件類型(步驟210);然后,判斷是否存在 沒有分配檢測單元的網(wǎng)絡(luò)攻擊事件類型(步驟220);如果存在��,從未分配 檢測單元的攻擊事件類型集合中取出某網(wǎng)絡(luò)攻擊事件類型(步驟230);為 該類型網(wǎng)絡(luò)攻擊事件分配一個檢測單元����,并配置該;險測單元所需要的待檢測 對象類型以及實(shí)施于該類型待檢測對象上的檢測算子和檢測知識庫,返回步 驟220 (步驟240);如果不存在沒有分配檢測單元的網(wǎng)絡(luò)攻擊事件類型,則 由所有具有正確配置的檢測單元構(gòu)成所述入侵檢測裝置的檢測網(wǎng)格(步驟 250)��。
圖3為一個專門檢測Web類攻擊的檢測網(wǎng)格示例���。這里假設(shè)需要檢測四 種類型的Web攻擊事件SQL (Structure Query Language)注入攻擊事件���、腳本 注入攻擊事件、網(wǎng)頁木馬攻擊事件和CGI(Common Gateway Interface)掃描事 件����。因此,這里為該檢測網(wǎng)格配置了四個檢測單元�����,其中����,檢測單元1配置 為SQL注入攻擊檢測單元,該檢測單元的待檢測對象為HTTP (HyperText Transfer Protocol)請求消息����,檢測算子為預(yù)先設(shè)計實(shí)現(xiàn)的專用SQL注入攻擊檢 測算法,檢測知識庫為預(yù)先構(gòu)建的SQL注入攻擊特征庫���;檢測單元2配置為 腳本注入攻擊檢測單元���,該檢測單元的待檢測對象為HTTP請求消息���,檢測
算子為預(yù)先設(shè)計實(shí)現(xiàn)的專用腳本注入攻擊檢測算法,檢測知識庫為預(yù)先構(gòu)建
的腳本注入攻擊特征庫��;檢測單元3配置為網(wǎng)頁木馬檢測單元����,該檢測單元 的待檢測對象為HTML頁面���,檢測算子為預(yù)先設(shè)計實(shí)現(xiàn)的專用網(wǎng)頁木馬檢測 算法����,檢測知識庫為預(yù)先構(gòu)建的網(wǎng)頁木馬病毒特征庫����;檢測單元4配置為CGI 掃描檢測單元,該檢測單元的待檢測對象為HTTP響應(yīng)消息頭�����,檢測算子為 專用的CGI掃描檢測算法,檢測知識庫為CGI掃描攻擊特征庫����。
所述配置管理單元還允許按照用戶安全需求對檢測網(wǎng)格進(jìn)行重新配置, 包括替換單個檢測單元的檢測算子和通過分配新的檢測單元來增加對新型網(wǎng) 絡(luò)攻擊事件的檢測支持�����。比如���,如圖3所示���,如果要升級檢測單元3中的網(wǎng) 頁木馬檢測算法,那么只需要為檢測單元3配置新的網(wǎng)頁木馬檢測算子以及 新的網(wǎng)頁木馬病毒特征庫�����?����;蛘?�,如果要為圖3中的檢測網(wǎng)格增加對XML (extensible Markup Language)注入攻擊的檢測����,則只需增加檢測單元5,為該 檢測單元格配置待檢測對象為HTTP請求���,配置的檢測算子為專用XML注入 檢測算法,配置的檢測知識庫則為專用的XML注入檢測知識庫�。
圖4為數(shù)據(jù)預(yù)處理單元的處理流程圖。首先����,數(shù)據(jù)預(yù)處理單元緩存一段 時間內(nèi)截獲的所有網(wǎng)絡(luò)數(shù)據(jù)包(步驟410);之后,對緩存的網(wǎng)絡(luò)數(shù)據(jù)包按 流標(biāo)識進(jìn)行數(shù)據(jù)包分組和流重組����,得到原始網(wǎng)絡(luò)數(shù)據(jù)流(步驟420);然后, 按照原始網(wǎng)絡(luò)數(shù)據(jù)流所指示的應(yīng)用協(xié)議類型對原始數(shù)據(jù)流進(jìn)行深層協(xié)議解 析�,得到各類型應(yīng)用層協(xié)議消息(步驟430);判斷是否存在需對其攜帶數(shù) 據(jù)體進(jìn)行分析的應(yīng)用層協(xié)議消息(步驟440),如果存在�����,將該應(yīng)用層協(xié)議 消息分解為應(yīng)用協(xié)議消息部分和攜帶數(shù)據(jù)體部分�,返回步驟440(步驟450); 如果不存在�,將得到的各種類型的待檢測對象發(fā)送給檢測單元(步驟460)。 這里���,對于某些具有數(shù)據(jù)傳輸能力的應(yīng)用協(xié)議消息���,需要進(jìn)一步將其分解為 應(yīng)用協(xié)議消息部分和攜帶數(shù)據(jù)體部分�,比如HTTP響應(yīng)消息���,可以將其分解 為HTTP響應(yīng)消息頭部分和HTTP響應(yīng)數(shù)據(jù)體部分�����,其中�����,HTTP響應(yīng)消息頭 為HTTP協(xié)議用來響應(yīng)HTTP請求的協(xié)議狀態(tài)數(shù)據(jù)�;而HTTP響應(yīng)數(shù)據(jù)體為 Web服務(wù)器發(fā)送給Web客戶端的將最終由Web客戶端呈現(xiàn)給用戶的數(shù)據(jù)��。
圖5為數(shù)據(jù)預(yù)處理單元對緩存的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理并產(chǎn)生各種類型 待檢測對象的實(shí)施例���。在該實(shí)例中��,以以太網(wǎng)(ETHER)類型網(wǎng)絡(luò)數(shù)據(jù)包為 例���,數(shù)據(jù)預(yù)處理單元從網(wǎng)絡(luò)數(shù)據(jù)包的以太網(wǎng)報頭中獲知該網(wǎng)絡(luò)數(shù)據(jù)包是 IP(Intemet Protocol)才艮文����、ARP(Address Resolution Protocol)凈艮文還是 RARP(Reverse Address Resolution Protocol)報文;對于ARP報文和RARP報文���, 它本身就是一個完整的待檢測對象��,無需進(jìn)一步的預(yù)處理����,可直接發(fā)送給入 侵檢測單元^侵檢測���;對于IP報文�,首先進(jìn)行報文碎片處理����,然后,從IP 報文的IP報頭中獲知第四層協(xié)議類型����,包括ICMP (Internet Control Message Protocol)�、 IGMP (Internet Group Message Protocol), TCP(Transport control protocol)和UDP(User datagram Protocol)四種。對于ICMP��、 IGMP類型才艮文, 它本身就是一個完整的待檢測對象�����,無需進(jìn)一步預(yù)處理����,可直接發(fā)送給入侵 檢測單元做入侵檢測;而對于TCP和UDP類型報文�����,可以從IP報頭和 TCP/UDP報頭中提取以源IP地址��、目IP地址��、源端口和目端口四元組為標(biāo) 識的連接標(biāo)識符�����,然后基于連接標(biāo)識符對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分組和流重組���,得 到原始數(shù)據(jù)流對象�����;最后�����,對得到的原始數(shù)據(jù)流對象按應(yīng)用層協(xié)議類型進(jìn)行 協(xié)議解析�����,得到各種類型應(yīng)用協(xié)i義消息���,比如POP3 (Post Office Protocol Version 3) ���、 FTP (File Transfer Protocol) 、 HTTP (HyperText Transfer Protocol)����、 DNS (Domain Name Service)等等。所有應(yīng)用協(xié)議消息一般都可以分為請求和 響應(yīng)類型兩大類����,比如,HTTP協(xié)議消息可以分為HTTP請求消息(HTTPReq) 和HTTP響應(yīng)消息(HTTPResp), HTTP請求消息是指從Web客戶端發(fā)往Web 服務(wù)器的HTTP協(xié)議消息���,而HTTP響應(yīng)消息是指Web服務(wù)器響應(yīng)Web客戶 端請求回送的HTTP協(xié)議消息�。
此外�,對于某些具有數(shù)據(jù)傳輸能力的應(yīng)用協(xié)議消息,可以進(jìn)一步將其分 解為應(yīng)用協(xié)議消息部分和攜帶數(shù)據(jù)體部分���,比如HTTP響應(yīng)消息(HTTPResp) 可以進(jìn)一步分解為HTTP響應(yīng)消息頭部分(HTTPRespHeader)和HTTP響應(yīng)數(shù) 據(jù)體部分(HTTPRespBody)�。同時���,對于應(yīng)用協(xié)議攜帶數(shù)據(jù)體部分����,可以根據(jù) 攜帶數(shù)據(jù)類型將其進(jìn)一步分解為各種類型的應(yīng)用協(xié)議攜帶數(shù)據(jù)體對象����,比如, HTTP響應(yīng)數(shù)據(jù)體可以進(jìn)一步分為圖像文件�、HTML文件等。對于其它類型 應(yīng)用協(xié)議的深層協(xié)議預(yù)處理與HTTP協(xié)議類似�����,由于篇幅問題�����,這里不再一 一列舉。
在實(shí)施本發(fā)明過程中��,數(shù)據(jù)預(yù)處理單元并不需要產(chǎn)生所有可能的待檢測
象�����,這可以大大提高數(shù)據(jù)預(yù)處理單元的執(zhí)行效率����。比如,圖3所示的檢測網(wǎng) 格只需要三種類型的待檢測對象�����,它們是HTTPReq��、 HTTPRespHeader和 HTML文件���,因此�,相關(guān)的數(shù)據(jù)預(yù)處理單元只需按照圖6所示的待檢測對象 加工過程樹來產(chǎn)生檢測網(wǎng)格所需要的所有待檢測對象�。圖6是在圖5基礎(chǔ)上 裁減得到的。
此外���,數(shù)據(jù)預(yù)處理單元還可以從緩存的網(wǎng)絡(luò)數(shù)據(jù)包中收集,^控網(wǎng)絡(luò)的 各種環(huán)境信息數(shù)據(jù)���,包括操作系統(tǒng)指紋和應(yīng)用系統(tǒng)指紋信息�,并將這些環(huán)境 信息發(fā)送給綜合分析驗(yàn)證單元進(jìn)行綜合分析�。其中�,操作系統(tǒng)指紋獲取可以 通過檢測被監(jiān)控主機(jī)發(fā)出的TCP報文來實(shí)現(xiàn),比如可以直接采用開源p0f軟 件包實(shí)現(xiàn)操作系統(tǒng)指紋獲?����?;應(yīng)用系統(tǒng)指紋信息的獲取主要通過監(jiān)控被監(jiān)控 軟件服務(wù)返回給客戶端的版本信息來實(shí)現(xiàn)。
圖7為數(shù)據(jù)分發(fā)單元的處理流程圖�����。首先��,從數(shù)據(jù)預(yù)處理單元接收待檢 測對象(步驟710);然后�����,根據(jù)待檢測對象類型檢索檢測網(wǎng)格定制數(shù)據(jù)庫����, 得到以該類型待檢測對象為輸入的一組檢測單元(步驟720);最后���,將該 類型待檢測對象分配給該組檢測單元中的檢測單元(步驟730)。當(dāng)某類型 待檢測對象對應(yīng)一組具有相同配置的檢測單元時����,可以輪詢等方式選擇出其 中空閑的檢測單元進(jìn)行分發(fā)。
圖8為檢測單元對分配給該單元的待檢測對象進(jìn)行檢測處理的處理流程 圖����。首先,從數(shù)據(jù)分發(fā)單元接收所需類型的待檢測對象(步驟810);然后�����, 以所接收到的待檢測對象為數(shù)據(jù)輸入���,按預(yù)先配置的檢測知識庫�����,執(zhí)行為該 檢測單元配置的專用檢測算子�,產(chǎn)生某種類型的網(wǎng)絡(luò)入侵檢測事件(步驟 820);最后�,將檢測單元所產(chǎn)生的網(wǎng)絡(luò)攻擊報警事件發(fā)送給綜合分析驗(yàn)證單 元(步驟830)���。
本實(shí)施例入侵檢測裝置中的各檢測單元的執(zhí)行操作是相互獨(dú)立的,因此����, 在具體實(shí)施本發(fā)明過程中,可以利用多核硬件平臺來實(shí)現(xiàn)檢測網(wǎng)格中各檢測
單元的并行執(zhí)行�����,從而大大提高入侵檢測單元執(zhí)行效率���。
圖9為綜合分析驗(yàn)證單元的處理流程圖。首先�����,接收從各檢測單元發(fā)送 來的網(wǎng)絡(luò)攻擊才艮警事件序列(步驟910);然后�,對網(wǎng)絡(luò)攻擊才艮警事件序列 進(jìn)行綜合分析,從而產(chǎn)生更高級別的網(wǎng)絡(luò)攻擊報警事件(步驟920);最后�,
將這些網(wǎng)絡(luò)攻擊報警事件發(fā)送給報警控制臺或者第三方安全控制設(shè)備進(jìn)行威
脅抵制(步驟930)。
所述綜合分析驗(yàn)證單元可以采用統(tǒng)計分析�����、關(guān)聯(lián)分析、序列模式挖掘�����、 聚類分析����、日志相似性融合、基于攻擊前提的入侵過程發(fā)現(xiàn)���,以及結(jié)合資產(chǎn) 與漏洞的風(fēng)險評估等方法��,可采用的分析模型包括序列模式挖掘模型�、攻擊 場景重現(xiàn)模型��,對網(wǎng)絡(luò)攻擊報警事件序列進(jìn)行綜合分析時可完成以下處理1) 從中尋找經(jīng)常發(fā)生的攻擊模式�,對海量日志進(jìn)行精簡,提高管理員對海量曰 志信息的處理能力�;2)及時發(fā)現(xiàn)隱藏在海量日志中的大規(guī)模網(wǎng)絡(luò)安全事件, 評估網(wǎng)絡(luò)安全態(tài)勢���;3)從海量日志中挖掘有價值的攻擊序列信息��,產(chǎn)生攻擊 者入侵行為的高層視圖�����,指導(dǎo)管理員進(jìn)行有效防范�。
所述綜合分析驗(yàn)證單元可以從數(shù)據(jù)預(yù)處理單元接收環(huán)境信息數(shù)據(jù)實(shí)現(xiàn)對 網(wǎng)絡(luò)攻擊事件的關(guān)聯(lián)分析和有效性a^it。比如���,某檢測單元檢測到一個專門 針對Windows遠(yuǎn)程過程調(diào)用服務(wù)漏洞的遠(yuǎn)程緩沖區(qū)溢出攻擊企圖�����,而通過環(huán) 境信息數(shù)據(jù)發(fā)現(xiàn)該目標(biāo)主機(jī)的操作系統(tǒng)為Linux系統(tǒng)��,那么綜合分析驗(yàn)證單 元可以將該網(wǎng)絡(luò)攻擊事件標(biāo)注為無效攻擊事件,這將可以大大減少安全管理 員的事件處理工作量��。
所述綜合分析驗(yàn)證單元也可以接收來自第三方的漏洞數(shù)據(jù)信息以實(shí)現(xiàn)對 網(wǎng)絡(luò)攻擊事件的有效性驗(yàn)證�。比如,某檢測單元檢測到一個專門針對Windows 遠(yuǎn)程過程調(diào)用服務(wù)某特定類型漏洞的遠(yuǎn)程緩沖區(qū)溢出攻擊企圖�����,而通過笫三 方漏洞數(shù)據(jù)信息發(fā)現(xiàn)該目標(biāo)主機(jī)的遠(yuǎn)程過程調(diào)用服務(wù)并不存在該類型漏洞�, 那么綜合分析驗(yàn)證單元可以將該網(wǎng)絡(luò)攻擊事件標(biāo)注為無效攻擊事件,這將可 以大大減少安全管理員的事件處理工作量��。
雖然通過實(shí)施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道�,本發(fā)明有許 多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和 變化而不脫離本發(fā)明的精神��。
權(quán)利要求
1����、一種入侵檢測方法,對要檢測的每種類型的網(wǎng)絡(luò)攻擊事件���,在入侵檢測裝置中分配一個或多個檢測單元����,并配置該類型網(wǎng)絡(luò)攻擊事件的待檢測對象的類型以及對該類型待檢測對象進(jìn)行入侵檢測所用的檢測算子和檢測知識庫���,入侵檢測時���,所述入侵檢測裝置執(zhí)行以下處理實(shí)時獲取網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行預(yù)處理,得到所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的需要進(jìn)行入侵檢測的待檢測對象���;根據(jù)得到的待檢測對象的類型�,由相應(yīng)的檢測單元根據(jù)為該類型待檢測對象配置的檢測算子和檢測知識庫進(jìn)行入侵檢測,產(chǎn)生網(wǎng)絡(luò)攻擊報警事件����。
2、 如權(quán)利要求1所述的入侵檢測方法���,真特征在于在入侵檢測之前��,還根據(jù)配置的待檢測對象類型生成一待檢測對象加工 過程樹���,該待檢測對象加工過程樹的葉子節(jié)點(diǎn)為配置的待檢測對象,其他節(jié) 點(diǎn)是為得到其下層葉子節(jié)點(diǎn)對應(yīng)的待檢測對象而對網(wǎng)絡(luò)數(shù)據(jù)包處理的過程中 需得到的中間對象����;在入侵檢測時,所述入侵檢測裝置只對所述待檢測對象加工過程樹中存 在的中間對象進(jìn)行逐層處理����,最終得到需要進(jìn)行檢測的待檢測對象�����。
3��、 如權(quán)利要求1或2所述的入侵檢測方法,其特征在于在所述入侵檢測裝置中��,利用多核硬件平臺來實(shí)現(xiàn)至少部分檢測單元入 侵檢測的并行執(zhí)行���。
4�、 如權(quán)利要求1或2所述的入侵檢測方法�����,其特征在于所述入侵檢測裝置產(chǎn)生網(wǎng)絡(luò)攻擊報警事件之后���,還對網(wǎng)絡(luò)攻擊報警事件 進(jìn)行綜合分析����,產(chǎn)生更高級別的網(wǎng)絡(luò)入侵攻擊事件�。
5、 如權(quán)利要求4所述的入侵檢測方法����,其特征在于所述入侵檢測裝置對獲取的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理時,還收集被監(jiān)控網(wǎng) 絡(luò)的環(huán)境信息數(shù)據(jù)����,包括操作系統(tǒng)指紋和/或應(yīng)用系統(tǒng)指紋���;所述入侵檢測裝置產(chǎn)生網(wǎng)絡(luò)攻擊報警事件之后,使用所述環(huán)境信息數(shù)據(jù) 對產(chǎn)生的網(wǎng)絡(luò)攻擊報警事件進(jìn)行綜合分析��,驗(yàn)證攻擊事件的有效性��。
6�����、 一種網(wǎng)絡(luò)攻擊事件的入侵檢測裝置�����,其特征在于��,包括依次連接的數(shù) 據(jù)預(yù)處理單元�、數(shù)據(jù)分發(fā)單元和檢測網(wǎng)格,以及與所述數(shù)據(jù)預(yù)處理單元�、數(shù) 據(jù)分發(fā)單元和檢測網(wǎng)格連接的配置管理單元,所述檢測網(wǎng)格包括一個或多個 檢測單元�����,其中所述配置管理單元包括一定制子單元��,用于為每種類型的網(wǎng)絡(luò)攻擊事件 分配一個或多個檢測單元����,為每一檢測單元配置要檢測的某類型網(wǎng)絡(luò)攻擊事 件的待檢測對象的類型以及入侵檢測所用的檢測算子和檢測知識庫;所述數(shù)據(jù)預(yù)處理單元用于根據(jù)配置的待檢測對象類型對實(shí)時獲取的網(wǎng)絡(luò) 數(shù)據(jù)包進(jìn)行預(yù)處理�����,得到其中包含的需要進(jìn)行入侵檢測的待檢測對象并傳送 到所述數(shù)據(jù)分發(fā)單元�����;所述數(shù)據(jù)分發(fā)單元用于根據(jù)為所述檢測單元配置的待檢測對象的類型����, 將接收到的待檢測對象分發(fā)到對應(yīng)的檢測單元;所述檢測網(wǎng)格中的各檢測單元用于釆用配置的檢測算子和檢測知識庫�, 對分發(fā)到本檢測單元的待檢測對象進(jìn)行掃描檢測,產(chǎn)生網(wǎng)絡(luò)攻擊報警事件�����。
7�、 如權(quán)利要求6所述的入侵檢測裝置,其特征在于所述配置管理單元還包括一加工過程樹生成子單元�����,用于根據(jù)配置的待 檢測對象類型生成一待檢測對象加工過程樹,該待檢測對象加工過程樹的葉 子節(jié)點(diǎn)為配置的待檢測對象���,其他節(jié)點(diǎn)是為得到其下層葉子節(jié)點(diǎn)對應(yīng)的待檢 測對象而對網(wǎng)絡(luò)數(shù)據(jù)包處理的過程中需得到的中間對象�;所述數(shù)據(jù)預(yù)處理單元對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理時����,只對所述待檢測對象加 工過程樹中存在的中間對象進(jìn)行逐層處理,得到需進(jìn)行檢測的待檢測對象���。
8�����、 如權(quán)利要求6或7所述的入侵檢測裝置��,其特征在于所述檢測網(wǎng)格基于多核硬件平臺來實(shí)現(xiàn)�,至少部分檢測單元在進(jìn)行入侵 檢測時可并行執(zhí)行����。
9、 如權(quán)利要求6或7所述的入侵檢測裝置���,其特征在于���,還包括一綜合 分析驗(yàn)證單元,其中所述各檢測單元還用于將產(chǎn)生的網(wǎng)絡(luò)攻擊報警事件上報所述綜合分析驗(yàn) 證單元���;所述綜合分析驗(yàn)證單元��,用于對各檢測單元上報的網(wǎng)絡(luò)攻擊事件序列進(jìn) 行綜合分析�����,并產(chǎn)生更高級別的網(wǎng)絡(luò)入侵攻擊事件���。
10、 如權(quán)利要求9所述的入侵檢測裝置���,其特征在于所述數(shù)據(jù)預(yù)處理單元對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理時�����,還從網(wǎng)絡(luò)數(shù)據(jù)包中收 集被監(jiān)控網(wǎng)絡(luò)的環(huán)境信息數(shù)據(jù)��,包括操作系統(tǒng)指紋和/或應(yīng)用系統(tǒng)指紋�,并將 這些環(huán)境信息數(shù)據(jù)發(fā)送給所述綜合分析驗(yàn)證單元;所述綜合分析驗(yàn)證單元對所述網(wǎng)絡(luò)攻擊報警事件序列進(jìn)行綜合分析時�����, 使用所述環(huán)境信息數(shù)據(jù)對產(chǎn)生的網(wǎng)絡(luò)攻擊報警事件進(jìn)行綜合分析�����,驗(yàn)證攻擊 事件的有效性�。
11、 如權(quán)利要求6或7所述的入侵檢測裝置��,其特征在于所述定制子單元還用于對檢測網(wǎng)格中的檢測單元進(jìn)行重新配置����,包括更 新檢測單元的檢測算子和檢測知識庫,為新的類型的網(wǎng)絡(luò)攻擊事件分配檢測 單元并配置待檢測對象類型�����、檢測算子和檢測知識庫���,以及釋放已分配的檢 測單元并刪除相應(yīng)的配置信息�����。
12��、 如權(quán)利要求6或7所述的入侵檢測裝置�����,其特征在于所述定制子單元根據(jù)各類型網(wǎng)絡(luò)攻擊事件的發(fā)生頻度����,為每種類型的網(wǎng) 絡(luò)攻擊事件分配一個或多個檢測單元�����,并為這些檢測單元配置該類型網(wǎng)絡(luò)攻 擊事件的4爭檢測對象類型��;所述數(shù)據(jù)分發(fā)單元在某待檢測對象的類型對應(yīng)于一組具有相同配置的檢 測單元時���,將該待檢測對象分發(fā)到該多個檢測單元中空閑的一個檢測單元�。
全文摘要
一種入侵檢測方法及裝置�,該方法對要檢測的每種類型的網(wǎng)絡(luò)攻擊事件,分配一個或多個檢測單元�����,并配置該類型網(wǎng)絡(luò)攻擊事件的待檢測對象的類型以及檢測算子和檢測知識庫,入侵檢測時�����,實(shí)時獲取網(wǎng)絡(luò)數(shù)據(jù)包���,獲取網(wǎng)絡(luò)數(shù)據(jù)包中包含的待檢測對象��;然后由相應(yīng)的檢測單元根據(jù)配置的檢測算子和檢測知識庫進(jìn)行入侵檢測�,產(chǎn)生網(wǎng)絡(luò)攻擊報警事件���。該入侵檢測裝置包括依次連接的數(shù)據(jù)預(yù)處理單元��、數(shù)據(jù)分發(fā)單元���、包括一個或多個檢測單元的檢測網(wǎng)格以及上述單元連接的配置管理單元。本發(fā)明支持對各種復(fù)雜網(wǎng)絡(luò)攻擊事件的精確檢測�,并要考慮整個入侵檢測裝置的執(zhí)行效率。
文檔編號H04L29/06GK101350745SQ20081011794
公開日2009年1月21日 申請日期2008年8月15日 優(yōu)先權(quán)日2008年8月15日
發(fā)明者葉潤國, 濤 周, 周力丹, 博 李 申請人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司