網(wǎng)絡(luò)入侵檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)���,尤其涉及一種網(wǎng)絡(luò)入侵檢測方法及裝置。
【背景技術(shù)】
[0002]入侵檢測系統(tǒng)(intrus1n detect1n system,簡稱“ IDS”)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視�����,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于���,IDS是一種積極主動的安全防護(hù)技術(shù)��。
[0003]然而目前的IDS系統(tǒng)也具有一些缺點(diǎn)��,例如�,由于模式識別技術(shù)的不完善�����,IDS的高誤報率也是它的一大問題���。因此在很多情形下需要依賴于人工分析相關(guān)的入侵?jǐn)?shù)據(jù)從而應(yīng)對無法自動處理的網(wǎng)絡(luò)入侵�,或者改善IDS系統(tǒng)的檢測規(guī)則�。
【發(fā)明內(nèi)容】
[0004]有鑒于此,有必要提供網(wǎng)絡(luò)入侵檢測方法及裝置�����,其可提升分析網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的便利性�����。
[0005]一種網(wǎng)絡(luò)入侵檢測方法,用于一個待檢測的網(wǎng)絡(luò)系統(tǒng)中��,所述方法包括:從所述待檢測網(wǎng)絡(luò)系統(tǒng)中處抓取網(wǎng)絡(luò)數(shù)據(jù)包����;根據(jù)預(yù)定的檢測規(guī)則分析是否觸發(fā)網(wǎng)絡(luò)入侵事件;若檢測到網(wǎng)絡(luò)入侵事件則解析出所述網(wǎng)絡(luò)入侵事件的來源IP地址�;以及在預(yù)設(shè)的時間段內(nèi)持續(xù)記錄所有與所述來源IP地址相關(guān)的數(shù)據(jù)包。
[0006]一種網(wǎng)絡(luò)入侵檢測裝置����,用于一個待檢測的網(wǎng)絡(luò)系統(tǒng)中,所述裝置包括:事件產(chǎn)生模塊��,用于從所述待檢測網(wǎng)絡(luò)系統(tǒng)中處抓取網(wǎng)絡(luò)數(shù)據(jù)包�,根據(jù)預(yù)設(shè)的檢測規(guī)則抓取的數(shù)據(jù)包是否屬于網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)包;事件分析模塊�����,用于根據(jù)所述事件產(chǎn)生模塊輸出的數(shù)據(jù)包分析是否觸發(fā)網(wǎng)絡(luò)入侵事件�����;響應(yīng)模塊��,用于若檢測到網(wǎng)絡(luò)入侵事件則解析出所述網(wǎng)絡(luò)入侵事件的來源IP地址以及在預(yù)設(shè)的時間段內(nèi)持續(xù)記錄所有與所述來源IP地址相關(guān)的數(shù)據(jù)包���。
[0007]根據(jù)上述的方法及裝置��,通過記錄所有與所述來源IP地址相關(guān)的數(shù)據(jù)包����,可以清晰的還原網(wǎng)絡(luò)入侵的整個過程���,從而提供對于特定網(wǎng)絡(luò)入侵事件所有相關(guān)數(shù)據(jù)的回溯分析能力��,提升了安全維護(hù)人員在分析網(wǎng)絡(luò)入侵事件時的便利性��。
[0008]為讓本發(fā)明的上述和其他目的��、特征和優(yōu)點(diǎn)能更明顯易懂�����,下文特舉較佳實施例�,并配合所附圖式��,作詳細(xì)說明如下�����。
【附圖說明】
[0009]圖1為一種網(wǎng)絡(luò)系統(tǒng)的架構(gòu)示意圖。
[0010]圖2為第一實施例的網(wǎng)絡(luò)入侵檢測裝置的模塊圖�����。
[0011]圖3為圖2的網(wǎng)絡(luò)入侵檢測裝置的入侵檢測模塊的框圖�。
[0012]圖4為第二實施例的網(wǎng)絡(luò)入侵檢測裝置的模塊圖。
[0013]圖5-圖8分別為第二實施例的網(wǎng)絡(luò)入侵檢測裝置應(yīng)用于圖1所示的網(wǎng)絡(luò)系統(tǒng)中不同的數(shù)據(jù)交互示意圖�����。
[0014]圖9為第三實施例的網(wǎng)絡(luò)入侵檢測方法的流程圖�。
[0015]圖10為第四實施例的網(wǎng)絡(luò)入侵檢測方法的流程圖。
[0016]圖11為第五實施例的網(wǎng)絡(luò)入侵檢測方法的流程圖����。
[0017]圖12為第六實施例的網(wǎng)絡(luò)入侵檢測方法的流程圖。
【具體實施方式】
[0018]為更進(jìn)一步闡述本發(fā)明為實現(xiàn)預(yù)定發(fā)明目的所采取的技術(shù)手段及功效�,以下結(jié)合附圖及較佳實施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�。應(yīng)當(dāng)理解,此處所描述的具體實施例僅用以解釋本發(fā)明��,并不用于限定本發(fā)明��。
[0019]本發(fā)明實施例提供一種網(wǎng)絡(luò)入侵檢測方法���,其可用于網(wǎng)絡(luò)系統(tǒng)中����。參閱圖1�,其為一個典型的網(wǎng)絡(luò)系統(tǒng)的架構(gòu)示意圖。網(wǎng)絡(luò)系統(tǒng)100包括路由器10��、防火墻11���、交換機(jī)12�����、終端計算機(jī)13�、以及服務(wù)器14��。
[0020]其中����,路由器10直接與外部網(wǎng)絡(luò)(如互聯(lián)網(wǎng))相連����,防火墻11設(shè)置于路由器10與交換機(jī)12之間���,交換機(jī)12直接負(fù)責(zé)提供終端計算機(jī)13與服務(wù)器14的網(wǎng)絡(luò)接入����。
[0021]入侵檢測系統(tǒng)15與防火墻11相連����,其可監(jiān)視所以流經(jīng)防火墻11的數(shù)據(jù),無論是從交換機(jī)12上行至路由器10的數(shù)據(jù)���,還是從路由器10下行至交換機(jī)12的數(shù)據(jù)���。按照圖1所示架構(gòu),入侵檢測系統(tǒng)15屬于旁路部署式架構(gòu)�,也就是說入侵檢測系統(tǒng)15本身并不改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu),只是讀取并監(jiān)視網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)�。然而,入侵檢測系統(tǒng)15也可以采用串行的方式部署在網(wǎng)絡(luò)系統(tǒng)100中�。例如,入侵檢測系統(tǒng)15可以連接于路由器10與防火墻11之間�,或者連接于防火墻11與交換機(jī)12之間��。
[0022]具體地����,入侵檢測系統(tǒng)15可以包括一臺或者多臺計算機(jī)����。在一個實例中�����,入侵檢測系統(tǒng)15包括一臺計算機(jī)���。參閱圖2��,入侵檢測系統(tǒng)15包括存儲器102����、處理器104��、存儲控制器106��、外設(shè)接口 108�����、以及網(wǎng)絡(luò)模塊110?��?梢岳斫?,圖2所示的結(jié)構(gòu)僅為示意���,其并不對入侵檢測系統(tǒng)15的結(jié)構(gòu)造成限定�。例如��,入侵檢測系統(tǒng)15還可包括比圖2中所示更多或者更少的組件���,或者具有與圖2所示不同的配置��。
[0023]存儲器102可用于存儲軟件程序以及模塊���,如本發(fā)明實施例中的即使通訊會話的方法及裝置對應(yīng)的程序指令/模塊,處理器104通過運(yùn)行存儲在存儲器102內(nèi)的軟件程序以及模塊��,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理�����,即實現(xiàn)上述的網(wǎng)絡(luò)入侵檢測方法。
[0024]存儲器102可包括高速隨機(jī)存儲器�,還可包括非易失性存儲器,如一個或者多個磁性存儲裝置�����、閃存���、或者其他非易失性固態(tài)存儲器。在一些實例中���,存儲器102可進(jìn)一步包括相對于處理器106遠(yuǎn)程設(shè)置的存儲器��,這些遠(yuǎn)程存儲器可以通過網(wǎng)絡(luò)連接至電子終端100��。上述網(wǎng)絡(luò)的實例包括但不限于互聯(lián)網(wǎng)��、企業(yè)內(nèi)部網(wǎng)�、局域網(wǎng)�、移動通信網(wǎng)及其組合。處理器106以及其他可能的組件對存儲器102的訪問可在存儲控制器104的控制下進(jìn)行�����。
[0025]外設(shè)接口 108將各種輸入/輸入裝置耦合至處理器106。處理器106運(yùn)行存儲器102內(nèi)的各種軟件��、指令電子終端100執(zhí)行各種功能以及進(jìn)行數(shù)據(jù)處理�。在一些實施例中,外設(shè)接口 108���、處理器106以及存儲控制器104可以在單個芯片中實現(xiàn)�。在其他一些實例中����,他們可以分別由獨(dú)立的芯片實現(xiàn)。
[0026]網(wǎng)絡(luò)模塊110用于接收以及發(fā)送網(wǎng)絡(luò)信號����。上述網(wǎng)絡(luò)信號可包括無線信號或者有線信號。在一個實例中�����,上述網(wǎng)絡(luò)信號為有線網(wǎng)絡(luò)信號���。此時�����,網(wǎng)絡(luò)模塊110可包括處理器�、隨機(jī)存儲器、轉(zhuǎn)換器���、晶體振蕩器等元件�。在一個實施例中���,上述的網(wǎng)絡(luò)信號為無線信號(例如射頻信號)�����。此時網(wǎng)絡(luò)模塊110實質(zhì)是射頻模塊,接收以及發(fā)送電磁波����,實現(xiàn)電磁波與電信號的相互轉(zhuǎn)換,從而與通訊網(wǎng)絡(luò)或者其他設(shè)備進(jìn)行通訊�。射頻模塊可包括各種現(xiàn)有的用于執(zhí)行這些功能的電路元件,例如�����,天線、射頻收發(fā)器���、數(shù)字信號處理器�����、加密/解密芯片�、用戶身份模塊(S頂)卡�����、存儲器等等���。射頻模塊可與各種網(wǎng)絡(luò)如互聯(lián)網(wǎng)�����、企業(yè)內(nèi)部網(wǎng)��、無線網(wǎng)絡(luò)進(jìn)行通訊或者通過無線網(wǎng)絡(luò)與其他設(shè)備進(jìn)行通訊���。上述的無線網(wǎng)絡(luò)可包括蜂窩式電話網(wǎng)、無線局域網(wǎng)或者城域網(wǎng)�。上述的無線網(wǎng)絡(luò)可以使用各種通信標(biāo)準(zhǔn)�、協(xié)議及技術(shù)���,包括但并不限于全球移動通信系統(tǒng)(Global System for Mobile Communicat1n, GSM)���、增強(qiáng)型移動通信技術(shù)(Enhanced Data GSM Environment, EDGE),寬帶碼分多址技術(shù)(widebandcode divis1n multiple access, ff-CDMA)�,碼分多址技術(shù)(Code divis1n access, CDMA)、時分多址技術(shù)(time divis1n multiple access, TDMA)��,無線保真技術(shù)(Wireless, Fidelity,WiFi)(如美國電氣和電子工程師協(xié)會標(biāo)準(zhǔn)IEEE802.11a, IEEE802.lib, IEEE802.llg和/ 或 IEEE802.1 In)���、網(wǎng)絡(luò)電話(Voice over internet protocal, VoIP)�����、全球微波互聯(lián)接入(Worldwide Interop