专利名称:一种入侵检测系统及其入侵检测方法
技术领域:
本发明涉及网络安全技术,特别是指一种入侵检测系统及其入侵检测方法。
背景技术:
入侵检测是一种为计算机网络提供实时保护的网络安全技术,主要是对当前输入受护网络或受护主机中的数据进行检测,确定当前检测数据为合法数据还是非法数据。通常,网络入侵检测系统从计算机网络系统中的若干关键点收集网络通信的信息,如用户活动的状态和行为等,通过已建立的入侵检测规则库来分析网络中是否有违反安全策略的行为,若发现违反安全策略的行为则进行报警,从而提供对计算机网络系统的实时保护。
网络入侵检测的基本检测方法是基于数据包的模式匹配技术。入侵检测系统捕获数据包后,将数据包内容参照入侵检测系统的入侵检测规则库进行字符串的匹配,匹配到符合的内容即报警。这种基于数据包的模式匹配技术实现起来较为简单,类似于防病毒软件的原理。但由于是基于数据包的检测,对编码之类的欺骗手段的攻击方式无法检测出来,另外,缺乏识别大量类型攻击的灵活性,只有不断的升级入侵检测系统的规则库才能检测新出现的入侵攻击手法。
目前,入侵检测系统可以实现基于应用数据的检测技术。这种检测方法并不是针对单个单数据包进行检测,入侵检测系统捕获数据包后,采用协议解析技术,将相关的多个数据包中所封装的应用数据加以还原重组,例如常见的IP碎片重组,将因为传输而拆开成若干数据包的应用数据进行还原,然后针对重组后的数据进行解释分析。对真实的应用数据除了进行字符串匹配式的分析外,还可以针对语义、语法进行分析,因此检测方式较为灵活,可以用来检测新出现的入侵攻击手法。但是,由于无法结合当前网络环境进行检测,例如无法结合内部受护网络的拓扑、受护主机的系统类型和服务类型等信息进行检测,因此检测中难免存在着大量误报。并且,由于对所有数据包都要进行还原和解释的工作,对于大流量的网络环境,大大增加了CPU的资源消耗,降低了系统的性能。
发明内容
有鉴于此,本发明的主要目的是提供一种入侵检测系统,以提高入侵检测的效率和数据检测的准确性。
本发明的另一个目的在于提供一种入侵检测方法,以减轻入侵检测的资源消耗,提高入侵检测的准确性和可靠性。
本发明所述入侵检测系统包括数据包分析模块,用于检测捕获的数据包,并根据检测结果将当前所检测的数据包发送给异常数据处理模块或数据包重组模块;异常数据处理模块,用于接收数据包分析模块检测为异常的数据包,并生成检测结果;数据包重组模块,用于接收数据包分析模块检测为正常的数据包,并将数据包中封装的应用数据还原后发送给应用数据检测模决;应用数据检测模块,用于检测数据包重组模块还原后的应用数据,并生成检测结果。
其中,该入侵检测系统进一步包括网络环境监控模块,用于收集入侵检测系统所在网络的信息,并转换为入侵检测条件发送给数据包分析模块。
其中,该系统所述应用数据检测模块进一步包括数据分析模块,用于检测还原后的应用数据所存在的入侵行为,并生成数据检测结果;行为审计模块,用于检测应用数据中存在的不合理的网络行为,并生成行为检测结果。
其中,该入侵检测系统进一步包括关联分析模块,用于接收数据分析模块生成的数据检测结果、行为审计模块生成的行为检测结果和异常数据处理模块生成的检测结果,并进行关联分析生成关联分析结果。
其中,该系统进一步包括行为监控模块,用来对数据包重组模块还原的应用数据进行监控。
实现本分明所述的入侵检测方法,包括以下步骤A,将捕获的要检测的数据包进行基于数据包的检测,判断当前要检测的数据包是否异常,若异常,则执行步骤B,否则执行步骤C;B,对步骤A检测为异常的数据包进行分析并生成检测结果;C,将步骤A检测为正常的数据包所封装的应用数据进行重组还原,并对重组还原后的应用数据进行检测,生成检测结果。
其中,步骤A中所述对捕获数据包进行基于数据包的检测进一步包括对所捕获的数据包的包头、数据包内容进行分析检测。
其中,步骤A中所述对捕获数据包进行基于数据包的分析进一步包括根据当前网络环境的变化生成入侵检测条件,并根据所生成的入侵检测条件对数据包进行检测。
其中,步骤C中所述对重组还原后的应用数据进行检测进一步包括对重组还原后的应用数据进行入侵检测,并生成数据检测结果;对重组还原后的应用数据进行合理性检测,并生成行为检测结果。
其中,该方法进一步包括将对还原后的应用数据进行检测所生成的数据检测结果、行为检测结果和步骤B中对异常数据处理所生成的检测结果进行关联分析,并生成关联分析结果。
由上述方法可以看出,本发明提供的入侵检测系统及其入侵检测方法,综合运用多种检测手段,并在检测的各个过程使用合适的检测方式。数据包分析模块首先基于数据包进行检测分流,并且网络环境监控模块根据网络系统的变更,指导数据包分析模块进行数据包的筛选,减少了后续检测的数据包数量,后续的检测仅对筛选的数据包进行还原重组,从而提高了检测效率,且减轻了资源消耗。基于协议解码的技术将应用数据重组还原,再进行检测和行为审计,可以用来检测新出现的攻击手段和欺骗攻击,以及不合理的网络访问,关联分析模块综合异常数据处理模块和行为审计模块的结果对数据分析模块发送过来的信息进行分析,提高了入侵检测的准确性,降低了漏报率。
图1为本发明入侵检测系统示意图。
图2为本发明入侵检测流程图。
具体实施例方式
为使本发明的目的、技术方案及优点更加清楚明白,以下通过具体实施例,对本发明进一步详细说明。
图1为入侵检测系统的示意图。如图所示,入侵检测系统主要包括以下模块网络环境监控模块、数据包分析模块、异常数据处理模块、数据包重组模块、行为监控模块、应用数据检测模块和关联分析模块。
其中,网络环境监控模块实时扫描入侵检测系统所护网络的变化情况,收集网络信息,包括网络拓扑结构、网络内设备的添加和删除、网络内主机操作系统类型、应用程序的改变等。网络环境监控模块将收集到的网络信息,转化成适当的规则条件,作为入侵检测的判断条件提供给数据包分析模块。
数据包分析模块接收入侵检测系统捕获的数据包,对数据包做粗颗粒的筛选。数据包分析模块并不检测数据包所封装的具体应用数据,只解析数据包包头、数据包结构,以及数据包内容,通过数据包异常统计和数据包类型分析来判断该包是否为正常的数据包;同时,数据包分析模块接收网络环境监控模块发送过来的入侵检测条件对数据包进行判断。数据包分析模块将检测出的异常数据包发送给异常数据处理模块,由异常数据处理模块进行处理,不再进行检测;将筛选出的正常数据包发送给数据包重组模块,以对数据包所封装的应用数据进行检测。
异常数据处理模块接收数据包分析模块发送过来的异常数据包,进行记录、统计并生成检测结果,异常数据处理模块将生成的检测结果作为关联分析的条件发给关联分析模块。
数据包重组模块接收数据包分析模块发送过来的检测为正常的数据包,数据包重组模块采用协议解析技术,将多个相关数据包的封装的应用数据内容加以重组还原。还原出完整的应用数据发送给应用数据检测模块。
另外,数据还原后,可以发送给行为监控模块,由行为监控模块对应用数据所体现的网络行为进行监控,以提供给管理员进行监控和分析。
应用数据检测模块进一步包括数据分析模块和行为审计模块。其中,数据分析模块对数据包重组模块还原后的应用数据进行检测,检测方法包括针对应用数据内容进行字符串、语义、语法等进行分析。若数据分析模块分析应用数据的结果为正常数据,则结束对该数据的检测,若分析结果为异常数据,则生成数据检测结果发送给关联分析模块。
行为审计模块接收数据包重组模块还原后的数据,根据管理员预先设定的行为规则,分析是否存在不合理的网络行为。行为审计模块主要检测非入侵但不合理的操作,包括不合理的网络访问,如登录到不期望的位置以及非授权的企图访问重要文件等等。行为审计模块对数据检测后生成行为检测结果发送给关联模块作为关联分析的条件。
关联分析模块接收数据分析模块、异常数据处理模块和行为审计模块生成的结果,将数据分析模块生成的结果参考异常数据流处理模块和行为审计模块各自生成的结果,即综合当前所检测到的入侵攻击和不合理行为,进一步分析出该入侵的具体行为,提高入侵检测的准确性。并且,关联分析模块以适当的形式将检测结果输出,提示管理员。
本发明采用旁路监听的方法复制捕获要检测的原始数据包,对捕获的数据包由入侵检测系统进行检测。图2是本发明入侵检测流程图,参见图2,对本发明的入侵检测方法进一步说明。
步骤201,捕获的原始数据包由数据包分析模块进行基于数据包的分析,检测数据包包头、数据包结构来判断该包是否为正常,若异常,则将该数据包发给异常数据处理模块,执行步骤202,否则将该数据包发给数据包重组模块,执行步骤203。
其中,数据包分析模块所使用的检测方法与现有技术所使用的方法相同,如使用基于统计分析的方法进行数据包合法性的检测,根据统计出的发送该数据包的主机访问该网络的时间、访问次数等属性判断当前数据包的合法性,或者使用模式匹配的方法对数据包包头、结构进行检测,另外,还接收网络环境监控模块传递过来的入侵检测条件,对数据包进行检测。例如,网络监控模块发送过来的检测条件为某主机处于关闭状态,数据包分析模块以此作为检测条件,若检测的数据包的包头携带着与该主机地址相同的源地址,则认为当前捕获的数据包为异常,发给异常数据处理模块。
步骤202,异常数据处理模块接收数据包分析模块发送过来的异常数据包,进行记录、统计,并根据数据包分析模块检测出该数据包为异常数据包所使用的检测方法和检测规则生成检测结果,将生成的检测结果作为关联分析的条件发给关联分析模块,执行步骤206。
步骤203,数据包重组模块接收数据包分析模块发送过来的检测为正常的数据,采用协议解析技术,将相关的多个数据包的所封装的应用数据加以重组还原,同时发送给应用数据检测模块的数据分析模块和行为审计模块,执行步骤204和步骤205,其中步骤204和205为并列关系,不存在顺序上的先后。
步骤204,数据分析模块对数据包重组模块还原后的应用数据进行检测,检测方法包括针对应用数据内容进行字符串、语义、语法等进行匹配分析,若分析的结果为正常数据,则结束对该数据的检测,否则生成数据检测结果发送给关联分析模块,执行步骤206。
例如,数据包重组还原后的应用数据携带有因特网通用信息位置(URL),数据分析模块通过分析该URL携带的反斜杠、单独的句点和一串句点,检测出存在非法格式,则生成数据检测结果入侵行为是采用URL路径欺骗方法访问该URL位置,并发给关联分析模块,执行步骤206。
步骤205,行为审计模块接收数据包重组模块还原后的数据,根据管理员预先设定的行为规则,分析是否存在不合理的网络行为,若存在,则生成行为检测结果发送给关联模块,执行步骤206。其中,本步骤主要目的是用来检测非入侵但为不合理的行为,若只检测入侵行为,则本步骤可以省略。
步骤206,关联分析模块将数据分析模块生成的数据检测结果、异常数据处理模块生成的检测结果和行为审计模块生成的行为检测结果进行关联分析,生成关联分析结果。
举个例子,关联分析模块接收到以下结果来自步骤204数据分析模块的数据检测结果入侵行为是采用URL路径欺骗方法访问该URL位置;相应的关联分析条件为记录的该行为方式为路径欺骗,记录的目标地址为要访问的URL地址;来自步骤202异常数据处理模块生成的检测结果没有检测到该入侵;来自步骤205行为审计模块的行为检测结果对服务器的不期望的URL位置进行登录,以非授权的企图访问URL处的文件;相应的关联分析条件为记录的该行为方式为异常登录、异常访问文件,记录的目标地址为要访问的URL地址。
关联分析模块通过综合以上结论分析出确定的入侵行为,如本例则可以根据关联分析条件生成检测结果为采用URL路径欺骗的方法来访问服务器上不期望的URL位置,然后,关联分析模块以适当的形式将关联分析结果输出,提示管理员。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种入侵检测系统,其特征在于,该入侵检测系统包括数据包分析模块,用于检测捕获的数据包,并根据检测结果将当前所检测的数据包发送给异常数据处理模块或数据包重组模块;异常数据处理模块,用于接收数据包分析模块检测为异常的数据包,并生成检测结果;数据包重组模块,用于接收数据包分析模块检测为正常的数据包,并将数据包中封装的应用数据还原后发送给应用数据检测模块;应用数据检测模块,用于检测数据包重组模块还原后的应用数据,并生成检测结果。
2.根据权利要求1所述的入侵检测系统,其特征在于,该系统进一步包括网络环境监控模块,用于收集入侵检测系统所在网络的信息,并转换为入侵检测条件发送给数据包分析模块。
3.根据权利要求1所述的入侵检测系统,其特征在于,该系统所述应用数据检测模块进一步包括数据分析模块,用于检测还原后的应用数据所存在的入侵行为,并生成数据检测结果;行为审计模块,用于检测应用数据中存在的不合理的网络行为,并生成行为检测结果。
4.根据权利要求3所述的入侵检测系统,其特征在于,该系统进一步包括关联分析模块,用于接收数据分析模块生成的数据检测结果、行为审计模块生成的行为检测结果和异常数据处理模块生成的检测结果,并进行关联分析生成关联分析结果。
5.根据权利要求1所述的入侵检测系统,其特征在于,该系统进一步包括行为监控模块,用来对数据包重组模块还原的应用数据进行监控。
6.一种入侵检测方法,其特征在于,该方法包括以下步骤A,将捕获的要检测的数据包进行基于数据包的检测,判断当前要检测的数据包是否异常,若异常,则执行步骤B,否则执行步骤C;B,对步骤A检测为异常的数据包进行分析并生成检测结果;C,将步骤A检测为正常的数据包所封装的应用数据进行重组还原,并对重组还原后的应用数据进行检测,生成检测结果。
7.根据权利要求6所述的方法,其特征在于,步骤A中所述对捕获数据包进行基于数据包的检测进一步包括对所捕获的数据包的包头、数据包内容进行分析检测。
8.根据权利要求6或7所述的方法,其特征在于,步骤A中所述对捕获数据包进行基于数据包的分析进一步包括根据当前网络环境的变化生成入侵检测条件,并根据所生成的入侵检测条件对数据包进行检测。
9.根据权利要求6所述的入侵检测方法,其特征在于,步骤C中所述对重组还原后的应用数据进行检测进一步包括对重组还原后的应用数据进行入侵检测,并生成数据检测结果;对重组还原后的应用数据进行合理性检测,并生成行为检测结果。
10.根据权利要求9所述的入侵检测方法,其特征在于,该方法进一步包括将对还原后的应用数据进行检测所生成的数据检测结果、行为检测结果和步骤B中对异常数据处理所生成的检测结果进行关联分析,并生成关联分析结果。
全文摘要
本发明提供了一种入侵检测系统及其入侵检测方法,该入侵检测系统包括数据包分析模块、异常数据处理模块、数据包重组模块和应用数据检测模块。该入侵检测方法包括以下步骤A)将捕获的要检测的数据包进行基于数据包的检测,判断当前要检测的数据包是否异常,若异常,则执行步骤B,否则执行步骤C;B)对步骤A检测为异常的数据包进行分析并生成检测结果;C)将步骤A检测为正常的数据包所封装的应用数据进行重组还原,并对重组还原后的应用数据进行检测,生成检测结果。应用本发明,可提高入侵检测的效率和数据检测的准确性,减轻入侵检测的资源消耗,提高入侵检测的准确性和可靠性。
文档编号H04L12/26GK1599334SQ0315714
公开日2005年3月23日 申请日期2003年9月16日 优先权日2003年9月16日
发明者宋劲松, 李俊, 郑理 申请人:联想(北京)有限公司