专利名称:网络入侵监测的方法和系统的制作方法
技术领域:
本发明涉及网络信息安全领域,具体来说是涉及一种在一个网络的多个数字设备之间或多个网络之间进行信息传输时,通过对发送或接收的数据进行监视和检查进而分析其具体行为的网络入侵监测的方法和系统。
网络入侵监测领域生成特征事件的现有技术主要包括以下两种第一种是程序生成方法,其将所有数据模式全部体现在程序代码中,一个子程序对应一个特征事件,然后该子程序读取网络中的原始报文数据包直接进行匹配来判断是否发生相应的特征事件;第二种是粗匹配法,其将所有数据模式全部存储在数据缓冲区中,然后程序读取网络中的原始报文数据包直接和数据缓冲区中的特征数据进行匹配,来判断是否发生相应的特征事件。
而随着网络技术的发展和攻击技术的不断变化,NIDS系统对于新攻击手段的检测也应该快速提高,上述现有的网络入侵监测方法对于攻击行为的检测,即攻击的特征数据和特征事件的关联,都是采用硬编码的方式实现,对于新出现的攻击手段,只能靠能够识别该攻击的升级程序进行程序升级,显然存在许多不足,具体来讲包括1、新增加的程序会使系统不可靠;2、由于程序的升级更新,造成时间的浪费,响应慢;3、不能够在现场按照用户的特殊需求定制特征事件;4、特征事件的上报准确率差。
为实现上述目的,本发明所述的网络入侵监测的方法,其包含如下具体步骤a、捕获网络中的原始报文数据包;b、对该原始报文数据包进行协议解析,得到协议变量,即该原始报文数据包的各层协议数据;c、读取预先设定的特征数据,并对该特征数据和相应协议变量数据比较匹配;d、将该匹配结果输出。
其中,所述的步骤b中进行协议解析是指按照协议的层次划分从底到顶逐层,对包括应用层协议在内的所有协议按照循序渐进的方式进行解析。而所述的进行协议解析更进一步包括如果协议为IP协议,则对解析中的协议数据进行重组后,再进一步继续协议解析,以便获得网络数据的真实特征,否则的话,有可能丢掉故意对数据进行分片以隐藏攻击特征的恶意攻击行为;如果协议为TCP协议,则对TCP的报文流进行重组后,再进一步继续协议解析,以便获得TCP的连接状态和流重组以后的数据。
所述的步骤b中各层协议数据更具体是指MAC地址、IP地址、http_url、telnet_user等协议类型数据和其他特征数据。
所述的步骤c中读取预先设定的特征数据更具体是指从单独的数据库、文件或端口读取。所述的步骤c中对该特征数据和相应的协议变量数据比较匹配更具体是指对该特征数据和相应的协议变量数据进行数学逻辑运算。所述的步骤c中对该特征数据和相应的协议变量数据比较匹配更进一步包括对该特征数据和相应的协议变量数据进行多层嵌套比较匹配。
所述的步骤d更进一步包括如果该匹配结果是成功匹配,则输出上报,否则不进行输出上报。
本发明还提出了一种网络入侵监测的系统,其包含有数据捕获模块用于捕获网络中的原始报文数据包;协议解析模块用于对该原始报文数据包进行协议解析;协议数据缓冲区模块用于存储各层协议数据;特征数据模块,用于存储特征数据;事件匹配模块用于读取预先设定的特征数据,并对该特征数据和相应的协议数据比较匹配;事件上报模块用于将该匹配结果输出;首先所述的数据捕获模块捕获网络中的原始报文数据包后,送至所述的协议解析模块对其进行协议解析,得到该原始报文数据包的各层协议数据,存储至所述的协议数据缓冲区模块,其次所述的事件匹配模块通过该特征数据模块读取预先设定的特征数据,将其和所述协议数据缓冲区模块的各层协议数据进行比较匹配,最后由所述的事件上报模块将该匹配结果输出。
本发明在基于网络数据特点和通信协议规范研究的基础上,对各类网络数据特征进行综合的统计、分析,在特征事件的生成中,结合特征精确匹配和协议分析技术,对网络中的所有特征事件提供了一个有效的、可扩展的监测方法和系统。本发明能够涵盖所有的NIDS需要处理的模式和TCP/IP通信协议,实现了特征事件的特征数据和协议规范有机统一的分析方法,来简单显示描述所有的NIDS(网络入侵监测系统,Network Intrusion Detection System)特征事件,更具体来讲,本发明具有以下优点
1、可以有效地提高网络入侵监测分析的速度;2、能够大大节省匹配事件时间,降低误报率,提高准确率;3、当出现网络事件新特征和在关注特殊网络数据特征时,可以在不升级应用程序的前提下,迅速地把这些特征增加到含有NIDS事件库的特征数据模块中,达到报警的目的;4、通过灵活的用户可定义接口,实现了特征数据模块的更新与程序无关,确保了NIDS系统对安全事件的快速响应,以及用户可现场定制特征事件的能力。
下面结合附图和具体实施例来详细描述本发明。
表1
其中,上表中的协议变量是为了记录相应的数据域说明的特征数据,[string.12]=ISS是表明在ICMP(INTERNET CoNTROL MESSAGEPROTOCOL网际控制信息协议)数据区的偏移量为12字节处的字符串变量为“ISS”;如图2所示,本地网络上安装的网络入侵监测的系统包含有数据捕获模块用于捕获网络中的原始报文数据包;协议解析模块用于对该原始报文数据包进行协议解析;协议数据缓冲区模块用于存储各层协议数据二特征数据模块用于存储特征数据;事件匹配模块用于读取预先设定的特征数据,并对该特征数据和相应的协议数据比较匹配事件上报模块用于将该匹配结果输出。
在启动本地计算机的网络入侵监测的系统时,对该系统进行初始化,即从所述的特征数据模块中读取相关的协议数据、运算类型、运算变量名、运算变量值、特征事件返回值变量等特征数据,并存储至计算机的内存储器中;该特征数据对“Ping ISS”扫描特征事件而言,具体为协议变量(数据)是icmp_type和[string.12]、运算类型是字符串和整数操作类型、运算变量名是等于操作(=)和包含操作(^)、运算变量值是字符串ISS和整数值8、特征事件返回值变量的名称是“长度”,相应的协议变量是“icmp_length”。
本地计算机的网络入侵监测的系统开始监测网络入侵行为,如
图1所示,其具体包括如下步骤第一、捕获网络中的原始报文数据包。
数据捕获模块捕获到如上表1中所述的原始报文数据包。
第二、对该原始报文数据包进行协议解析,得到该原始报文数据包的各层协议数据。
协议解析模块对如上表1中所述的原始报文数据包进行协议解析,如图3所示是本发明所述的协议解析后的结构示意图。协议解析是按照网络协议的层次划分循序渐进的,其从底到顶逐层进行,并将解析后的协议数据赋值给协议变量,即存储到协议数据缓冲区模块,如将“8”赋值给“ICMP_type”,将“ISS”赋值给“[String.12]”等。
第三、读取预先设定的特征数据,并对该特征数据和相应的协议数据比较匹配。
所述的事件匹配模块首先读取初始化时设定的存储至计算机的内存储器中的特征数据,如协议类型数据即“ICMP_type”为“8”、计算机名即在ICMP数据区的偏移量为12字节处的字符串“[String.12]为“ISS”、前述两种比较运算的逻辑关系值为与函数“AND”;然后将该特征数据分别和相应的上述步骤二中的协议数据缓冲区模块中的协议变量的值进行比较,即得到“ICMP_type=8”的结果为真,“[String.12]=ISS”也为真,两种比较运算的逻辑关系取“AND”后,其结果仍然为真。
第四、将该匹配结果输出。
很显然,步骤三中的匹配结果为真,是成功匹配,则由所述的事件上报模块输出上报,如输出到计算机前台显示输出,或输出到文件中保存为磁盘文件。
权利要求
1.一种网络入侵监测的方法,其特征在于,该方法包含如下步骤a、捕获网络中的原始报文数据包;b、对该原始报文数据包进行协议解析,得到协议变量,即该原始报文数据包的各协议层数据;c、读取预先设定的特征数据,并对该特征数据和协议变量数据比较匹配;d、将该匹配结果输出。
2.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤b中进行协议解析是指按照协议的层次划分从底到顶逐层进行,对包括应用层协议在内的所有协议进行解析。
3.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤b中进行协议解析更进一步包括如果协议为IP协议,则对解析中的协议数据进行重组后,再进一步继续协议解析。
4.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤b中进行协议解析更进一步包括如果协议为TCP协议,则对TCP的报文流进行重组后,再进一步继续协议解析。
5.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤b中各层协议数据更具体是指MAC地址、IP地址、http_url、telnet_user等协议类型数据和其他特征数据。
6.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤c中读取预先设定的特征数据更具体是指从单独的数据库、文件或端口读取。
7.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤c中对该特征数据和相应的协议变量数据比较匹配更具体是指对该特征数据和相应的协议变量数据进行数学逻辑运算。
8.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤c中对该特征数据和相应的协议变量数据比较匹配更进一步包括对该特征数据和相应的协议变量数据进行多层嵌套比较匹配。
9.如权利要求1所述的一种网络入侵监测的方法,其特征在于,所述的步骤d更进一步包括如果该匹配结果是成功匹配,则输出上报,否则不进行输出上报。
10.一种网络入侵监测的系统,其特征在于,该系统包含有数据捕获模块用于捕获网络中的原始报文数据包;协议解析模块用于对该原始报文数据包进行协议解析;协议数据缓冲区模块用于存储各层协议数据;特征数据模块,用于存储特征数据;事件匹配模块用于读取预先设定的特征数据,并对该特征数据和相应的协议数据比较匹配;事件上报模块用于将该匹配结果输出;首先所述的数据捕获模块捕获网络中的原始报文数据包后,送至所述的协议解析模块对其进行协议解析,得到该原始报文数据包的各层协议数据,存储至所述的协议数据缓冲区模块,其次所述的事件匹配模块通过该特征数据模块读取预先设定的特征数据,将其和所述协议数据缓冲区模块的各层协议数据进行比较匹配,最后由所述的事件上报模块将该匹配结果输出。
全文摘要
本发明是一种网络入侵监测的方法,该方法包含如下步骤a、捕获网络中的原始报文数据包;b、对该原始报文数据包进行协议解析,得到协议变量,即该原始报文数据包的各层协议数据;c、读取预先设定的特征数据,并对该特征数据和当前协议变量相应的协议数据比较匹配;d、将该匹配结果输出。本发明可以用相同的方法处理所有的IDS特征事件,有效地提高网络入侵监测分析的速度;能够大大节省匹配事件时间,降低误报率,提高准确率;可以在不升级应用程序的前提下,迅速地把这些更新特征增加到含有NIDS事件库的特征数据模块中,达到报警的目的;通过灵活的用户可定义接口,实现了特征数据模块的更新与程序无关,确保了NIDS系统对安全事件的快速响应,以及用户可现场定制所有特征事件的能力。
文档编号H04L29/02GK1450757SQ0213114
公开日2003年10月22日 申请日期2002年10月11日 优先权日2002年10月11日
发明者王虹, 李秀峰, 蒋涛 申请人:北京启明星辰信息技术有限公司