专利名称:一种入侵检测精确报警方法和系统的制作方法
技术领域:
本发明涉及一种入侵检测精确报警方法和系统,属于一种作为网络安全的重要产品之一的网络入侵检测系统(NIDSNetwork Intrusion DetectionSystem)的关键技术的网络安全领域。
背景技术:
NIDS安装在被保护的网段中,其监听网卡工作在混杂模式下,分析网段中所有的数据包,进行网络安全事件的实时检测和响应。目前NIDS普遍采用误用检测技术,其检测方法为首先对标识特定的入侵行为模式进行编码,建立误用模式库,然后对实际检测过程中得到的事件数据进行过滤,检查是否包含入侵行为的标识。
目前网络上大量的入侵行为具有盲目性,并不能对目标主机的安全性造成影响。产生这种盲目性的原因是多方面的,例如黑客正在通过扫描方式搜寻攻击目标,或者Internet蠕虫传播时随机扫描等。误用检测的一个缺点在于只能判断出一个数据包中是否包含可疑的入侵行为,但缺乏入侵行为的目标主机的相关信息,无法判断该入侵行为能否真正危害目标主机的安全,从而产生大量无效报警,导致目前NIDS较高的虚警率。
概括起来,由于缺乏目标主机信息导致的误报有以下几种1.入侵行为针对某个IP地址的主机,但监控范围内并不存在该主机。例如对IP地址为1.2.3.4的主机进行入侵,但监控网络内没有分配该IP地址。
2.入侵行为针对目标主机的某个端口,但该主机并没有开放该端口。例如对IP地址为1.2.3.4的主机的80端口发动攻击,但该主机80端口并没有开放服务。
3.目标主机的操作系统与入侵行为所针对的操作系统不一致。例如针对IP地址为1.2.3.4的主机发动基于Windows系统的攻击,但该主机真实操作系统为Linux系统。
4.目标主机不存在入侵者利用的漏洞。例如攻击者对目标主机发动针对Apache 1.3版本漏洞的入侵,但该主机运行的Apache版本为1.4,已经修补了该漏洞。
发明内容
本发明的目的是提供一种应用于误用检测的入侵检测精确报警方法和系统。
本发明解决其技术问题所采用的技术方案是一种应用于误用检测的入侵检测精确报警方法,该方法包括以下步骤在捕获到可疑入侵事件的基础上,将入侵事件信息与目标主机信息进行关联,判断该事件是否可能导致目标主机被入侵,并根据判断结果决定是否显示该事件。
该方法包括提供一个主机信息设置模块,能够对监控范围内主机的IP地址、操作系统、开放端口、存在漏洞等信息进行设置。
在NIDS引擎捕获到可疑入侵事件之后,NIDS控制端的精确报警过滤模块将入侵事件信息与目标主机信息进行关联分析,判断该入侵事件是否可能导致目标主机被入侵。
如果关联分析的结果表明该事件是一次无效的入侵,NIDS控制端将不显示该事件,否则将以指定的方式显示该事件,以提醒管理员进行防范。
通过将观测到的入侵事件与目标主机信息进行关联分析,可以避免对无效入侵行为产生虚假报警,从而有效降低NIDS的虚警率。
一种入侵检测精确报警系统,包括有定义一台主机的IP地址、开放端口、操作系统、存在漏洞信息的主机信息定义单元;有监听网络上的数据包,发现网络上的可疑入侵事件的误用检测单元;
有用于将可疑入侵事件与目标主机信息进行关联,判断该入侵事件是否能够导致目标主机被入侵,并最终确定是否向管理员显示该事件的精确报警过滤单元。
本发明的有益效果1.可以通过人为设置和扫描结果导入两种方式,定义一台主机的IP地址、开放端口、操作系统、存在漏洞等消息。例如我们可以手工输入一台主机的消息,也可以利用扫描工具先对该主机进行扫描,然后将扫描结果导入到主机信息表中完成设定。
2.可以通过一个事件的目的地址,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为攻击者对192.168.0.1主机进行了攻击,但监控范围内并没有哪台主机的地址是192.168.0.1,精确报警模块将不显示该事件。
3.可以通过一个事件的目的端口,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为攻击者对192.168.0.1主机进行了针对80端口的攻击,但192.168.0.1的80端口并没有开放,精确报警模块将不显示该事件。
4.可以通过一个事件所针对的操作系统,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为攻击者对192.168.0.1的主机进行了针对Windows系统漏洞的攻击,但该主机的系统为Unix系统,精确报警模块将不显示该事件。
5.可以通过一个事件所利用的漏洞,判断该事件是否可能导致目标主机被入侵。例如引擎上报的攻击事件为攻击者对192.168.0.1的主机进行了针对漏洞1的攻击,但该主机上并不存在该漏洞,精确报警模块将不显示该事件。
图1系统整体步骤图。
图2精确报警模块流程图。
下面结合附图和实施例对发明进一步说明。
入侵检测精确报警方法说明该方法包括如下步骤(1)定义主机信息指定监控范围内主机的IP地址、操作系统、开放端口、存在漏洞信息;(2)NIDS引擎监听网络上的数据,并根据误用模式库中定义的入侵模式,捕获当前网络上的可疑入侵事件;(3)精确报警过滤NIDS控制端将引擎上报的可疑入侵事件与目标主机信息进行关联,如果该事件有可能造成目标主机被入侵,控制端将显示该事件,否则不显示该事件。
这个过程可参见附图1,有步骤如下;步骤1网络数据旁路监听,进入步骤2;步骤2捕获可疑攻击事件,进入步骤3;步骤3查找目标主机信息;步骤4事件与主机信息关联分析;步骤5判断是否需要显示;否则转步骤2;是则转步骤6;步骤6显示该入侵事件;转步骤2。
下面对每个重要步骤的操作进行详细说明定义主机信息主机信息定义了一个主机的IP地址、开放端口、操作系统、存在漏洞等信息。
只有当引擎上报入侵事件的目标为已定义的主机时,精确报警模块才对该事件进行精确报警过滤。如果管理员没有配置某个IP地址的相关信息,则目标为该地址的事件都将被丢弃,不进行显示。例如对于地址为192.168.0.1和192.168.0.2的两台主机,如果管理员设置了192.168.0.1主机的信息,而没有设置192.168.0.2主机的信息,则所有目标地址为192.168.0.1的事件都要经过精确报警过滤,所有目标地址为192.168.0.2的事件则直接丢弃。有两种方法可以定义主机信息
(1)人为设置管理员通过手工方式设定某个主机的信息,主要设定内容包括IP地址该主机的网络地址。
开放端口该主机对外监听的端口号,以及监听时采用的协议是TCP还是UDP。
操作系统该主机的操作系统类型。
漏洞信息该主机上存在的漏洞的编号。
(2)扫描结果导入利用扫描工具对某台主机进行扫描,扫描结果保存在特定格式的xml文件中,可以通过主机信息设置模块将该xml文件直接导入完成设置。例如管理员可以利用扫描工具对IP地址为192.168.0.1-192.168.0.254之间的所有主机进行扫描,然后将扫描结果导入,完成对该地址范围内所有主机信息的设置。
精确报警过滤精确报警模块接收引擎上报的可疑攻击事件,按以下步骤进行精确报警过滤(1)判断该事件的目标地址是否包含在已定义的主机信息列表中,如果包含进入第2步判断,否则不显示该事件。
(2)精确报警模块查看该入侵事件所攻击的目的端口,然后在目标主机的开放端口中进行查找。如果目标主机开放了该端口进入第3步判断,否则不显示该事件。
(3)精确报警模块查看该入侵事件所攻击的操作系统,然后比较目标主机的操作系统是否受该事件的影响。如果入侵事件能够影响目标主机上运行的操作系统进入第4步判断,否则不显示该事件。
(4)精确报警模块查看该入侵事件是否是针对某个特定的漏洞,如果攻击事件与某个漏洞相关则进入第5步判断,否则显示该事件,提示管理员进行防范。
(5)精确报警模块查看目标主机上是否存在入侵事件所针对的漏洞,如果存在该漏洞则显示该事件,提示管理员进行防范,否则不显示该事件。
具体实施例方式
精确报警过滤举例定义一台主机IP地址为1.2.3.4,开放端口为80,135,操作系统为windows XP,存在漏洞代码为1。则1.如果NIDS引擎上报事件为攻击者对1.2.3.5主机进行了攻击,精确报警模块发现该主机信息未被定义,将不显示该事件。
2.如果NIDS引擎上报事件为攻击者对1.2.3.4主机进行了针对21端口的攻击,精确报警模块发现该主机未开放21端口,将不显示该事件。
3.如果NIDS引擎上报事件为攻击者对1.2.3.4主机进行针对Unix系统的80端口的攻击,精确报警模块发现虽然是针对80端口的攻击,但该攻击对Unix系统才有效,将不显示该事件。
4.如果NIDS引擎上报事件为攻击者对1.2.3.4主机进行了针对80端口的攻击,利用的漏洞为2。精确报警模块发现该主机上不存在该漏洞,将不显示该事件。
5.如果NIDS引擎上报事件为攻击者对1.2.3.4主机进行了针对80端口的攻击,利用的漏洞为1。精确报警模块发现该事件可能导致主机1.2.3.4被入侵,将显示该事件。
以上处理过程可以见图2,有步骤如下;步骤1查找目标主机信息;步骤2是否查找到该主机的信息;是则转步骤3;否则转步骤8;步骤3判断目标端口是否开放;是则转步骤4;否则转步骤8;步骤4判断操作系统是否匹配;是则转步骤5;否则转步骤8;步骤5判断该攻击是否依赖特定漏洞;是则转步骤6;否则转步骤7;步骤6判断是否存在对应漏洞;是则转步骤7;否则转步骤8;步骤7显示该事件。
步骤8不显示该事件。
权利要求
1.一种入侵检测精确报警方法,其特征是是在捕获到可疑入侵事件的基础上,将入侵事件信息与目标主机信息进行关联,判断该事件是否可能导致目标主机被入侵,并根据判断结果决定是否显示该事件。
2.根据权利要求1所述的一种入侵检测精确报警方法,其特征是该方法包括如下步骤(1)定义主机信息指定监控范围内主机的IP地址、操作系统、开放端口、存在漏洞信息;(2)NIDS引擎监听网络上的数据,并根据误用模式库中定义的入侵模式,捕获当前网络上的可疑入侵事件;(3)精确报警过滤NIDS控制端将引擎上报的可疑入侵事件与目标主机信息进行关联,如果该事件有可能造成目标主机被入侵,控制端将显示该事件,否则不显示该事件。
3.根据权利要求1所述的一种入侵检测精确报警方法,其特征是主机信息可采用两种定义方式,一种是由管理员指定某台主机的IP地址、开放端口、操作系统、存在漏洞信息,或另一种是直接将扫描工具对某台主机的扫描结果导入到主机信息列表中,完成对该主机信息的定义。
4.根据权利要求1所述的一种入侵检测精确报警方法,其特征在于将捕获到的可疑入侵事件与主机信息进行关联,根据入侵事件的目的地址、目的端口、所针对的操作系统、所利用的漏洞信息,判断该入侵事件是否可能导致目标主机被入侵。
5.根据权利要求1所述的一种入侵检测精确报警方法,其特征在于根据精确报警过滤的结果,判断是否向管理员显示一条捕获到的可疑入侵行为,从而减少上报的无效攻击事件。
6.根据权利要求1或2所述的一种入侵检测精确报警方法的系统,其特征是包括有定义一台主机的IP地址、开放端口、操作系统、存在漏洞信息的主机信息定义单元;有监听网络上的数据包,发现网络上的可疑入侵事件的误用检测单元;有用于将可疑入侵事件与目标主机信息进行关联,判断该入侵事件是否能够导致目标主机被入侵,并最终确定是否向管理员显示该事件的精确报警过滤单元。
全文摘要
本发明涉及一种作为网络安全的重要产品之一的网络入侵检测系统(NIDSNetwork Intrusion Detection System)的关键技术——入侵检测精确报警技术,特征是在捕获到可疑入侵事件的基础上,将攻击事件信息与目标主机信息进行关联,判断该攻击事件的有效性。可以通过人为输入与扫描结果导入两种方式,定义一台受保护主机的信息。可以根据目标主机的开放端口、操作系统、存在漏洞信息,判断一个入侵事件是否可能导致目标主机被入侵,对上报的入侵事件进行精确报警过滤。可以根据精确报警过滤的结果,判断是否显示某个入侵事件,消除无效事件的干扰,降低NIDS的虚警率。
文档编号H04L29/06GK101039179SQ20071006544
公开日2007年9月19日 申请日期2007年4月13日 优先权日2007年4月13日
发明者周涛, 李剑彪, 汤国祥, 黄宇鸿 申请人:北京启明星辰信息技术有限公司