一種入侵檢測數(shù)據(jù)處理方法、裝置，及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息技術(shù)領(lǐng)域，特別涉及一種入侵檢測數(shù)據(jù)處理方法、裝置，及系統(tǒng)。
【背景技術(shù)】
[0002] 入侵檢測系統(tǒng)（intrusion detection system, IDS)是一種對網(wǎng)絡傳輸進行即時 監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。根據(jù)數(shù)據(jù)來 源不同，可分為基于主機的入侵檢測系統(tǒng)（Host IDS，HIDS)和基于網(wǎng)絡的入侵檢測系統(tǒng) (Network IDS，NIDS)。
[0003] 隨著入侵檢測系統(tǒng)的發(fā)展，網(wǎng)絡入侵方式也日趨多樣化。依賴單一數(shù)據(jù)維度的入 侵檢測系統(tǒng)越來越滿足不了入侵發(fā)現(xiàn)的需要。因此需要將不同入侵檢測系統(tǒng)協(xié)同工作，將 各系統(tǒng)收集的不同維度數(shù)據(jù)，進行關(guān)聯(lián)分析、交互印證，從而發(fā)現(xiàn)入侵行為。
[0004] 不同的入侵檢測系統(tǒng)收集的數(shù)據(jù)源不同；而同一個入侵檢測系統(tǒng)也往往需要收集 不同類型的數(shù)據(jù)。以下為主流的入侵檢測系統(tǒng)（基于主機的入侵檢測系統(tǒng)、和基于網(wǎng)絡的 入侵檢測系統(tǒng)）收集的數(shù)據(jù)如下：
[0005] 基于主機的入侵檢測系統(tǒng)：
[0006] 操作命令是：主機上面執(zhí)行的命令記錄。字段類型包括：主機標識符（Identity, ID)，命令，命令參數(shù)，用戶名，父進程，進程ID (Process ID, pid)，父進程ID (Parent Process ID, ppid)等。
[0007] 進程信息是：主機上面正在運行的進程列表。單條進程信息的數(shù)據(jù)字段類型包括： 進程名，參數(shù)，文件消息摘要算法第五版（Message Digest Algorithm,MD5)，網(wǎng)絡連接情況， 開始執(zhí)行時間，父進程列表等。
[0008] 系統(tǒng)日志：記錄系統(tǒng)中發(fā)生的關(guān)鍵事件、狀態(tài)、信息等，比如登錄信息、su命令、郵 件等。單條數(shù)據(jù)字段類型包括：主機ID，規(guī)則ID，重要級別，來源，用戶，信息內(nèi)容等。
[0009] 主機體檢信息：主要有操作系統(tǒng)信息，應用程序版本，系統(tǒng)及應用程序配置信息 等。不同數(shù)據(jù)的字段類型也不同。比如：操作系統(tǒng)信息有：主機Id，系統(tǒng)類型，內(nèi)核版本，創(chuàng) 建（build)時間，發(fā)現(xiàn)版本，C運行庫（glibc)版本等。
[0010] 基于網(wǎng)絡的入侵檢測系統(tǒng)：
[0011] Httplog 是網(wǎng)絡超文本傳輸協(xié)議（Hypertext transfer protocol，http)請求記 錄。單條數(shù)據(jù)包含字段類型有：來源網(wǎng)絡之間互連的協(xié)議（Internet Protocol, IP)地址、 端口，目的IP地址、端口，內(nèi)容、時間戳等。
[0012] 網(wǎng)絡信息包括監(jiān)聽端口信息，網(wǎng)絡連接信息等。監(jiān)聽端口信息包括：主機ID地址， 監(jiān)聽IP地址、端口，相關(guān)進程等。
[0013] 綜上所述，目前入侵檢測需要分析的數(shù)據(jù)種類繁多。目前基于以上待檢測是數(shù)據(jù) 結(jié)構(gòu)，將分析邏輯，及數(shù)據(jù)的字段編碼到程序中，實現(xiàn)不同維度數(shù)據(jù)關(guān)聯(lián)分析。由于數(shù)據(jù)結(jié) 構(gòu)種類繁多，編寫的分析邏輯以及數(shù)據(jù)字段均需要編碼到程序中，不同入侵檢測系統(tǒng)間協(xié) 同難度較大、不同數(shù)據(jù)間交互印證難以實現(xiàn)；另外，檢測方法應用的對人力和時間耗費較 多。

【發(fā)明內(nèi)容】

[0014] 本發(fā)明實施例提供了一種入侵檢測數(shù)據(jù)處理方法、裝置，及系統(tǒng)，用于降低不同入 侵檢測系統(tǒng)間的協(xié)同難度，降低不同數(shù)據(jù)間交互印證的難度，并且方便入侵檢測的自動化 實現(xiàn)，減少人工和時間消耗，提高入侵檢測效率。
[0015] 一種入侵檢測數(shù)據(jù)處理方法，包括：
[0016] 接收待檢測的數(shù)據(jù)，并從所述待檢測的數(shù)據(jù)中提取所述待檢測的數(shù)據(jù)的數(shù)據(jù)源標 識、數(shù)據(jù)標識，以及數(shù)據(jù)產(chǎn)生時間；
[0017] 創(chuàng)建基特征數(shù)據(jù)對象，所述基特征數(shù)據(jù)對象包含：數(shù)據(jù)源標識字段、數(shù)據(jù)標識字 段、數(shù)據(jù)產(chǎn)生時間字段以及擴展字段；
[0018] 將提取到的數(shù)據(jù)源標識賦值給所述數(shù)據(jù)源標識字段，將提取到的數(shù)據(jù)標識賦值給 所述數(shù)據(jù)標識字段、將提取到的數(shù)據(jù)產(chǎn)生時間賦值給所述數(shù)據(jù)產(chǎn)生時間字段，將所述待檢 測的數(shù)據(jù)中包含的其他數(shù)據(jù)信息存入所述擴展字段。
[0019] 一種入侵檢測數(shù)據(jù)處理裝置，包括：
[0020] 數(shù)據(jù)接收單元，用于接收待檢測的數(shù)據(jù)；
[0021] 信息提取單元，用于從所述數(shù)據(jù)接收單元接收到的待檢測的數(shù)據(jù)中提取所述待檢 測的數(shù)據(jù)的數(shù)據(jù)源標識、數(shù)據(jù)標識，以及數(shù)據(jù)產(chǎn)生時間；
[0022] 基類創(chuàng)建單元，用于創(chuàng)建基特征數(shù)據(jù)對象，所述基特征數(shù)據(jù)對象包含：數(shù)據(jù)源標識 字段、數(shù)據(jù)標識字段、數(shù)據(jù)產(chǎn)生時間字段以及擴展字段；
[0023] 信息賦值單元，用于將所述信息提取單元提取到的數(shù)據(jù)源標識賦值給所述數(shù)據(jù) 源標識字段，將提取到的數(shù)據(jù)標識賦值給所述數(shù)據(jù)標識字段、將提取到的數(shù)據(jù)產(chǎn)生時間賦 值給所述數(shù)據(jù)產(chǎn)生時間字段，將所述待檢測的數(shù)據(jù)中包含的其他數(shù)據(jù)信息存入所述擴展字 段。
[0024] -種入侵檢測數(shù)據(jù)處理系統(tǒng)，包括：以可通信方式連接的數(shù)據(jù)采集設備、數(shù)據(jù)標準 化設備、數(shù)據(jù)處理設備、以及數(shù)據(jù)分析引擎；其中，所述數(shù)據(jù)采集設備和/或所述數(shù)據(jù)標準 化設備為本發(fā)明實施例提供的任意一項的入侵檢測數(shù)據(jù)處理裝置；
[0025] 若所述數(shù)據(jù)處理設備和/或所述數(shù)據(jù)分析引擎進行入侵檢測，則將入侵檢測的結(jié) 果以及本端設備的標識存入基特征數(shù)據(jù)對象的擴展字段。
[0026] 從以上技術(shù)方案可以看出，本發(fā)明實施例具有以下優(yōu)點：從待檢測的數(shù)據(jù)中提取 所述待檢測的數(shù)據(jù)的數(shù)據(jù)源標識、數(shù)據(jù)標識，以及數(shù)據(jù)產(chǎn)生時間；并創(chuàng)建基特征數(shù)據(jù)對象使 用對應的字段來存放這些參數(shù)，在基特征數(shù)據(jù)對象的擴展字段中存儲其他的數(shù)據(jù)信息；這 樣，可以使待檢測的數(shù)據(jù)具有相同的數(shù)據(jù)結(jié)構(gòu)，以及規(guī)范的字段；使待檢測是數(shù)據(jù)標準化， 降低了不同入侵檢測系統(tǒng)間的協(xié)同難度，降低了不同數(shù)據(jù)間交互印證的難度，并且方便入 侵檢測的自動化實現(xiàn)，減少人工和時間消耗，提高入侵檢測效率。
【附圖說明】
[0027] 為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使 用的附圖作簡要介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本 領(lǐng)域的普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其 他的附圖。
[0028] 圖1為本發(fā)明實施例入侵檢測數(shù)據(jù)處理方法流程示意圖；
[0029] 圖2為本發(fā)明實施例入侵檢測數(shù)據(jù)處理裝置系統(tǒng)結(jié)構(gòu)示意圖；
[0030] 圖3為本發(fā)明實施例入侵檢測數(shù)據(jù)處理裝置結(jié)構(gòu)示意圖；
[0031] 圖4為本發(fā)明實施例入侵檢測數(shù)據(jù)處理裝置結(jié)構(gòu)示意圖；
[0032] 圖5為本發(fā)明實施例入侵檢測數(shù)據(jù)處理裝置結(jié)構(gòu)示意圖；
[0033] 圖6為本發(fā)明實施例入侵檢測數(shù)據(jù)處理裝置結(jié)構(gòu)示意圖；
[0034] 圖7為本發(fā)明實施例入服務器結(jié)構(gòu)示意圖。
【具體實施方式】
[0035] 為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明作進 一步地詳細描述，顯然，所描述的實施例僅僅是本發(fā)明一部份實施例，而不是全部的實施 例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的 所有其它實施例，都屬于本發(fā)明保護的范圍。
[0036] 本發(fā)明實施例提供了一種入侵檢測數(shù)據(jù)處理方法，如圖1所示，包括：
[0037] 101 :接收待檢測的數(shù)據(jù)，并從上述待檢測的數(shù)據(jù)中提取上述待檢測的數(shù)據(jù)的數(shù)據(jù) 源標識、數(shù)據(jù)標識，以及數(shù)據(jù)產(chǎn)生時間；
[0038] 在本發(fā)明實施例中，待檢測的數(shù)據(jù)并不一定是以前沒有被檢測過的數(shù)據(jù)，而是對 于接收數(shù)據(jù)的設備而言，可能需要進行入侵檢測的數(shù)據(jù)。待檢測的數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)可能是 符合本發(fā)明實施例基特征數(shù)據(jù)對象的數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)，也可以是任意的數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)， 本發(fā)明實施例對此不予限定。對于已經(jīng)具有本發(fā)明實施例基特征數(shù)據(jù)對象的數(shù)據(jù)結(jié)構(gòu)的數(shù) 據(jù)，可以不必執(zhí)行創(chuàng)建基特征數(shù)據(jù)對象及后續(xù)操作。
[0039] 上述數(shù)據(jù)源標識，表示的是待處理數(shù)據(jù)的來源設備的標識；數(shù)據(jù)標識表示數(shù)據(jù)的 類型/數(shù)據(jù)對應的規(guī)則，例如：規(guī)則111、查看系統(tǒng)關(guān)鍵文件；數(shù)據(jù)產(chǎn)生時間，則記錄了待檢 測數(shù)據(jù)產(chǎn)生的時間，這個時間的設置為待檢測的數(shù)據(jù)與系統(tǒng)時間進行結(jié)合提供了便利。
[0040] 102 :創(chuàng)建基特征數(shù)據(jù)對象，上述基特征數(shù)據(jù)對象包含：數(shù)據(jù)源標識字段、數(shù)據(jù)標 識字段、數(shù)據(jù)產(chǎn)生時間字段以及擴展字段；
[0041] 在本發(fā)明實施例中及特征數(shù)據(jù)對象，是本發(fā)明實施例對入侵檢測數(shù)據(jù)進行標準化 所采用的數(shù)據(jù)結(jié)構(gòu)需要的字段定義；在本發(fā)明實施例中，還可以對字段的數(shù)據(jù)類型進行規(guī) 范，具體如下：可選地，上述數(shù)據(jù)源標識字段、數(shù)據(jù)標識字段，以及數(shù)據(jù)產(chǎn)生時間字段均為整 型數(shù)據(jù)字段?？梢岳斫獾氖怯糜诒硎疽陨蠑?shù)據(jù)源標識、數(shù)據(jù)標識，以及數(shù)據(jù)產(chǎn)生時間的字段 數(shù)據(jù)類型還可以使用其他數(shù)據(jù)類型，采用整形數(shù)據(jù)類型作為一個優(yōu)選方案不應理解為對本 發(fā)明實施例的唯一限定。
[0042] 103 :將提取到的數(shù)據(jù)源標識賦值給上述數(shù)據(jù)源標識字段，將提取到的數(shù)據(jù)標識賦 值給上述數(shù)據(jù)標識字段、將提取到的數(shù)據(jù)產(chǎn)生時間賦值給上述數(shù)據(jù)產(chǎn)生時間字段，將上述 待檢測的數(shù)據(jù)中包含的其他數(shù)據(jù)信息存入上述擴展字段。
[0043] 本發(fā)明實施例，從待檢測的數(shù)據(jù)中