专利名称:用流量分析法检测网络入侵的制作方法
技术领域:
计算机网络技术。
背景技术:
目前,随着我国的计算机网络在国民经济的各个方面的越来越广泛的应用,网络安全问题越来越突出。已经有一些方法来加强网络的安全性,例如使用防火墙和一些网络安全扫描软件及基于串匹配的入侵检测等方法,可以监测和防止大部分网络入侵。然而这些措施,对于阻止网络系统内部的合法用户对网络的滥用及酷似合法登录系统的非法用户对网络的攻击(如使用一些软件,通过字典穷举法尝试Telnet或Ftp口令,以获得合法系统使用权),却无能为力。本方法就是为检测试图尝试Telnet或Ftp口令的入侵行为而设计的。
发明内容
经过对试图尝试Telnet或Ftp口令的入侵行为的研究,我们发现在实施攻击的过程中,被攻击的主机及实施攻击的客户机之间的数据传输与正常情况有所不同。
具体表现为(1)当入侵发生时,被攻击主机的相关端口出现一个较小的数据流量。
(2)每一次口令的尝试数据流被分配于被攻击主机的不同端口。
因此,通过对网上主机的端口的流量进行分析,就可以确定是否发生试图尝试Telnet或Ftp口令的入侵,并找到攻击者的IP地址。如果检测到某一用户尝试口令在先,即而正常登录系统,则可以证明这一用户已经成功地获得口令并入侵了主机系统。
附图中,图1所示为发生尝试Telnet或Ftp口令的入侵时,攻击机与被攻击主机之间的数据流量图。因为数据流分散于被攻击主机的不同端口,所以,对每一个被攻击主机的端口,其数据流是断续的。这里,为观察方便,将一段连续时间内攻击机与被攻击主机之间的不同端口的数据流量画于同一图中。很明显,数据流分散于被攻击主机的不同端口且数据流量较小。
图2、图3和图4所示为正常登录系统的用户与主机之间的数据流量图,主机固定端口具有连续的数据流。
具体实施例方式
在需要检测的网络中配置一台安装了流量检测的计算机,检测网络中每台计算机各个端口的数据流量。一旦发生试图尝试Telnet或Ftp口令的入侵行为,就通知管理员采取相应预防措施。而一旦发生主机系统已被成功入侵,就要进一步确定损失情况,并采取补救措施。
权利要求
1.一种用流量分析法检测网络入侵的方法。根据在攻击者试图尝试Telnet或Ftp口令而入侵主机系统时,被攻击的主机及实施攻击的客户机之间的数据传输与正常情况的不同,检测网络入侵。具体表现非正常登录系统时,数据流分散于被攻击主机的不同端口且数据流量较小。正常登录系统的用户与主机之间的数据流连续且有固定端口。
2.根据权利要求1所述,其特征是一种用流量分析法检测网络入侵的方法。
3.根据权利要求1所述,其特征是根据正常登录系统的用户与主机之间的数据流连续且有固定端口的特性,判断正常登录主机。
4.根据权利要求1所述,其特征是根据非正常登录系统时,数据流分散于被攻击主机的不同端口且数据流量较小的特性,检测异常登录主机。
全文摘要
一种用流量分析法检测网络入侵的方法。根据在攻击者试图尝试Telnet或Ftp口令而入侵主机系统时,被攻击的主机及实施攻击的客户机之间的数据传输与正常情况的不同,检测网络入侵。具体表现非正常登录系统时,数据流分散于被攻击主机的不同端口且数据流量较小。正常登录系统的用户与主机之间的数据流连续且有固定端口。
文档编号G06F11/00GK1512359SQ0215893
公开日2004年7月14日 申请日期2002年12月27日 优先权日2002年12月27日
发明者黄荣怀, 温孝东, 陆志坚, 马婧, 沈长宁, 王朗, 蔡灵灵 申请人:北京师范大学