专利名称:用于降低网络入侵检测系统的虚假警报率的方法和系统的制作方法
技术领域:
本发明一般地涉及入侵检测,更具体而言,本发明涉及用于利用离线被动分析来降低网络入侵检测系统的虚假警报率的方法和系统。
背景技术:
网络入侵检测系统(“NIDS”)通常被设计用于实时监控网络活动,以发现可疑的或已知恶意的活动并且将这些发现报告给适当的人。通过监视所有行为,NIDS可以相对快速地警告计算机入侵,并使管理员有时间防卫或抑制入侵,或使NIDS能够自动地对攻击作出反应并使攻击停止。在安全性工业中,NIDS可以是流量的被动观测者,或者是反应来实时阻挡攻击的主动网络组件。
NIDS中的虚假警报可以通过使用被称为被动操作系统(OS)分析的技术来降低。典型的实现方式实时地观察网络流量,以通过查看原始网络分组并将它们与已知列表匹配来辨别主机的操作系统类型。该方法要求NIDS直接访问网络流量以便工作,并具有足够处理能力来处理额外的工作量。
发明内容
根据本发明一个实施例,用于降低网络入侵检测系统的虚假警报率的计算机化方法包括从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组,以及从所述数据分组中识别警报的特性。所述特性至少包括攻击类型和所述目标主机的操作系统指纹。所述方法还包括从所述操作系统指纹中识别操作系统类型;将所述攻击类型与所述操作系统类型相比较;以及基于所述比较指示所述目标主机是否易受所述攻击影响。
本发明的某些实施例提供了多个技术优点。其他实施例可以实现这些优点中的某些或全部,或不实现任何优点。例如,根据一个实施例,网络入侵检测系统(“NIDS”)的虚假警报率被大大降低或消除,从而降低了使人员监控NIDS以对各种警报作出响应的需求。这可以利用无需访问网络流来确定目标主机的操作系统类型的系统来辅助实现。该系统可以位于企业中的任何地方,并且可以与不同类型的NIDS,甚至不支持被动OS指纹识别的遗留NIDS,一起使用。这样的系统可以使NIDS解脱开来,从而使NIDS可以更有效地以更快速度运行。另外,根据一个实施例的离线被动分析系统辅助对位于强大而不可穿透的防火墙后面的目标主机进行分析。
从附图、描述和权利要求中,本领域技术人员可以容易地获知其他优点。
为了更全面地理解本发明及其优点,现在结合附图参考以下描述,在附图中的相似标号代表相似部件,并且在附图中图1是示出根据本发明一个实施例的用于通过利用离线被动分析来降低网络入侵检测系统的虚假警报率的系统的示意图;图2是示出根据本发明一个实施例的被动分析工具的各种功能组件的框图;图3是示出根据本发明一个实施例的用于降低网络入侵检测系统的虚假警报率的方法的流程图;以及图4是示出根据本发明一个实施例,可与图3的方法结合使用的方法的流程图。
具体实施例方式
通过参考图1到图4,可以最好地理解本发明的实施例,其中各个附图中相似的标号被用于指示相似和相应的部分。
图1是示出根据本发明一个实施例的用于通过利用离线被动分析工具110来降低网络入侵检测系统(“NIDS”)108的虚假警报率的系统100的示意图。在所示实施例中,系统100包括耦合到链路106的NIDS108,其中链路106通信地将不受保护的网络102与受保护网络104相耦合;将NIDS 108与被动分析工具110相耦合的网络120;耦合到被动分析工具110的动态主机配置协议(“DHCP”)服务器122;以及利用被动分析工具110的网络管理员112,以下将详细描述。
不受保护的网络102可以是受保护网络104外部的任意合适的网络。不受保护的网络102的示例是因特网。受保护网络104可以是任意合适的网络,例如局域网、广域网、虚拟专用网或希望没有遭受不受保护的网络102的危害的任意其他合适的网络。链路106将不受保护的网络102耦合到受保护网络104,并且可以是任何合适的通信链路或信道。在一个实施例中,通信链路106可用于在不受保护的网络102和受保护网络104之间以“分组”形式传送数据;但是,通信链路106可以用于以其他合适的形式传送数据。
NIDS 108可以是任何合适的基于网络的入侵检测系统,该系统可用于分析通过通信链路106传送的数据分组,以便检测对受保护网络104的任意可能的攻击。NIDS 108可以是任何合适的硬件、固件和/或软件的组合。一般而言,网络入侵检测系统包括一个或多个传感器,这些传感器能够监控具有任意合适数据链路协议的任意合适类型的网络。另外,某些网络入侵检测系统是网络流量的被动观测者,并且不具有其自己的网络地址。
在本发明的特定实施例中,与NIDS 108相关联的传感器可用于利用任意合适的协议来检查IP(“因特网协议”)网络上的数据分组,其中所述协议例如是TCP(“传输控制协议”)、UDP(“用户数据报协议”)和ICMP(“因特网控制的消息协议”)。在检测到对受保护网络104的可能攻击之后,NIDS 108可用于生成指示可能发生对受保护网络104的攻击的警报。然后,警报触发分组和一个或多个与警报相关联的其他数据分组经由网络120被一道发送到被动分析工具110以用于分析,下面将更详细描述。
根据本发明一个实施例的教导,被动分析工具110是后端应用,该应用经由网络120接收来自NIDS 108的一个或多个数据分组,并使用与数据分组相关联的信息来判断攻击是真实的,还是仅仅是虚假警报。这些数据分组可以是信息流中任意合适的部分,其中包括诸如目标主机的操作系统(“OS”)指纹和攻击类型之类的警报特性,从而使被动分析工具110无需访问链路106上的网络流就能够分析可能的攻击。
以这种方式,被动分析工具110大大降低了网络环境中的网络入侵检测系统(例如NIDS 108)的虚假警报率,并且降低了使人员(例如网络管理员112)监控这些系统以对各种警报作出响应的需求。另外,被动分析工具110可以位于企业中的任何地方,并且可以与不同类型的NIDS,甚至不支持被动OS指纹识别的遗留NIDS,一起使用。在某些实施例中,被动分析工具110还可以辅助分析位于强大而不可穿透的防火墙后面的目标主机。
被动分析工具110的细节将在下面结合图2到图4来更详细地描述。如图1所示,被动分析工具经由网络120耦合到NIDS 108,该网络120可以是任意合适的网络或网络的组合,例如局域网、广域网、全球网、虚拟专用网或任意其他合适的网络。
网络管理员112可以是利用被动分析工具110在适当地监控对受保护网络104的可能攻击,并对此作出响应的任意合适的人员。在一个实施例中,网络管理员112具有位于他或她的计算机上的被动分析工具110,以便接收来自被动分析工具的经过滤的警报,如标号114所指出的。
图2是示出根据本发明一个实施例的被动分析工具110的各种功能组件的框图。本发明考虑了比图2所示组件更多、更少或不同的组件。在所示实施例中,被动分析工具110包括警报输入层202、警报解释层204、目标缓存查找206、被动离线指纹识别机制208和警报输出层210。现在先描述这些组件中的每一个的一般功能,然后再结合图3和图4对被动分析工具110的功能进行更详细的描述。
警报输入层202一般负责接收来自NIDS 108的数据分组,并判断警报格式是否是有效的。如果警报格式无效,则不考虑该警报。如果警报格式有效,则将该警报发送到警报解释层204。警报输入层202优选地被设计成与NIDS供应商无关,以使其能够在无需修改的情况下并发接受来自多个NIDS源的警报。在一个实施例中,警报输入层202也可以接受来自不支持被动OS指纹识别的遗留NIDS的警报。
一般而言,警报解释层204接收来自警报输入层202的数据分组并对警报执行分析。在一个实施例中,警报解释层204判断警报是否来自所支持的NIDS供应商。如果警报并非来自所支持的NIDS供应商,则生成警告并且不考虑该警报。如果该警报是来自所支持的NIDS供应商,警报解释层204则负责识别攻击类型、正被攻击的相关操作系统类型(例如Microsoft Windows、Sun Solaris、Linux、UNIX等等)、源地址、目标网络地址、警报严重性、警报描述和与警报相关联的任何其他合适的参数。某些这种信息被被动分析工具110用于测试该警报是真实的还是虚假的,下面将结合图3和图4来更详细描述。
目标缓存查找206指示由被动分析工具110执行查找,以便判断是否已针对警报指示的特定攻击检查了目标主机。该查找可以在任意合适的存储位置中执行,例如在本地状态表或数据库中执行。
被动离线指纹识别机制208通过从接收到的数据分组中识别目标主机的包括操作系统类型的操作系统指纹,并将操作系统类型与攻击类型相比较,来执行对目标主机的被动分析。这种OS指纹识别的优点在于它不需要访问网络流。被动离线指纹识别机制208可以将该信息存储在合适的存储位置中,以用于随后的检索和使用。
警报输出层210负责从被动分析工具110获取经分析的数据,并且逐步升级或逐步降级该警报。换言之,警报输出层210用于报告有效警报,即表明特定目标主机易受攻击的警报。有效警报可以以任何合适的方式被报告,例如经由图形用户界面、日志文件、存储在数据库中、或任意其他合适的输出。在一个实施例中,有效警报经由任意合适的方法被自动报告给网络管理员112。
下面将参考图3和图4来描述根据本发明一个实施例的被动分析工具110的功能的细节。
图3是示出根据本发明一个实施例的用于降低网络入侵检测系统的虚假警报率的示例方法的流程图。该示例方法开始于步骤300,在步骤300中,被动分析工具110从NIDS 108接收与警报相关联的一个或多个数据分组。如上所述,这些数据分组可以是信息流的任意合适的部分,并且可以经由网络120或其他合适的通信装置被传输到被动分析工具110。从数据分组中,被动分析工具110识别攻击类型(如步骤302所指示),以及目标主机的操作系统指纹(如步骤304所指示)。目标主机的操作系统类型可以由被动分析工具110从OS指纹中识别出,如步骤306所指示的。
在步骤308中,被动分析工具110将攻击类型与目标主机的操作系统类型相比较。在判断步骤310中,判断目标主机的操作系统类型是否与攻击类型匹配。如果存在匹配,则通过步骤12报告经确认的警报。在一个实施例中,经确认的警报以任意合适的方式被报告给网络管理员112。如果不存在匹配,则指示虚假警报,如步骤314所指示的。例如,如果攻击类型是针对Windows系统而操作系统指纹示出Windows主机,则确认警报。但是,如果攻击类型是针对Windows系统而操作系统指纹示出UNIX主机,则指示虚假警报。这使图3概括的示例方法结束。
虽然图3概括的方法是参考将操作系统类型与攻击类型相比较的被动分析工具110来描述的,但是可以将操作系统的其他合适的特性与攻击的相关特性相比较,以便判断警报是真实的,还是虚假的。这依赖于从NIDS 108经由数据分组传递的信息的类型。
因此,被动分析工具110是一种智能过滤技术,该技术在无需访问受保护网络104的同时筛选出可能的虚假警报。警报输入被从部署的NIDS(例如NIDS 108)接收到,并被分析以判断攻击是真实的,还是虚假警报。
图4是示出根据本发明一个实施例的可与图3概括的示例方法结合使用的示例方法的流程图。图4中的示例方法开始于步骤400,在步骤400中,被动分析工具110对DHCP服务器122(图1)进行监控。本发明考虑了由被动分析工具110监控任意合适的动态配置协议服务器。在步骤402处,被动分析工具110检测到租约行为。在判断步骤404处,判断是检测到租约发布,还是检测到租约期满。
如果被动分析工具110检测到租约期满,则访问系统缓存,如步骤406是指示。在判断步骤408处,判断在系统缓存中是否找到与租约期满相关联的目标地址。如果在系统缓存中找到目标地址,则在步骤410处从系统缓存清除该条目。然后被动分析工具110继续监控DHCP服务器。如果在系统缓存中未找到目标地址,则不考虑该租约期满,如步骤412所示。被动分析工具110继续监控DHCP服务器。
返回参考判断步骤404,如果检测到租约发布,则访问系统缓存,如步骤414所示。在判断步骤416处,判断在系统缓存中是否找到与该租约发布相关联的目标地址。如果找到目标地址,则在步骤418中清除该条目。如果在系统缓存中未找到目标地址,被动分析工具110则继续监控DHCP服务器。
图4概括的方法解决受保护网络104中主机的动态添加、减少或修改,使得不需要受保护网络104的现有知识。这大大节省了时间和金钱,并且比需要网络的现有知识的现有系统更精确。被动分析工具110可以更精确地跟踪受保护网络104中的目标主机的变化。
虽然结合若干实施例描述了本发明,但是可以建议本领域技术人员执行各种改变、变化、替换、变形和修改,并且本发明希望覆盖这样的改变、变化、替换、变形和修改,只要它们落入所附权利要求书的范围即可。
权利要求
1.一种用于降低网络入侵检测系统的虚假警报率的计算机化方法,包括从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组;从所述数据分组中识别所述警报的特性,该特性至少包括攻击类型和所述目标主机的操作系统指纹;从所述操作系统指纹中识别操作系统类型;将所述攻击类型与所述操作系统类型相比较;以及基于所述比较指示所述目标主机是否易受所述攻击影响。
2.如权利要求1所述的计算机化方法,还包括将所述目标主机的操作系统指纹在存储位置中存储一段时间。
3.如权利要求1所述的计算机化方法,还包括监控动态配置协议服务器;检测到已发生针对新目标主机的租约发布;访问存储位置;判断所述新目标主机的操作系统指纹是否已存在于所述存储位置中;以及如果所述新目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述新目标主机的操作系统指纹。
4.如权利要求1所述的计算机化方法,还包括监控动态配置协议服务器;检测到已发生针对现有目标主机的租约期满;访问存储位置;判断所述现有目标主机的操作系统指纹是否已存在于所述存储位置中;以及如果所述现有目标主机的操作系统指纹不存在,则不考虑所述租约期满;并且如果所述现有目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述现有目标主机的操作系统指纹。
5.如权利要求1所述的计算机化方法,还包括在接收到所述数据分组之后,判断所述警报的格式是否有效;以及如果所述格式无效,则不考虑所述警报;否则如果所述格式有效,则继续所述计算机化方法的所述识别特性的步骤。
6.如权利要求1所述的计算机化方法,还包括如果所述目标主机易受所述攻击的影响,则自动警告网络管理员。
7.一种用于降低网络入侵检测系统的虚假警报率的系统,包括网络入侵检测系统,该系统可用于发送与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组;包含在计算机可读介质中的软件程序,该软件程序在被处理器执行时可用于接收所述一个或多个数据分组;从所述数据分组中识别所述警报的特性,该特性至少包括攻击类型和所述目标主机的操作系统指纹;从所述操作系统指纹中识别操作系统类型;将所述攻击类型与所述操作系统类型相比较;以及基于所述比较指示所述目标主机是否易受所述攻击的影响。
8.如权利要求7所述的系统,还包括可用于将所述目标主机的操作系统指纹存储一段时间的存储位置。
9.如权利要求7所述的系统,其中所述软件程序还可用于监控动态配置协议服务器;检测到已发生针对新目标主机的租约发布;访问存储位置;判断所述新目标主机的操作系统指纹是否已存在于所述存储位置中;以及如果所述新目标主机的操作系统指纹确实存在,则所述软件程序还可用于从所述存储位置中清除存在的所述新目标主机的操作系统指纹。
10.如权利要求7所述的系统,其中所述软件程序还可用于监控动态配置协议服务器;检测到已发生针对现有目标主机的租约期满;访问存储位置;判断所述现有目标主机的操作系统指纹是否已存在于所述存储位置中;以及如果所述现有目标主机的操作系统指纹不存在,则不考虑所述租约期满;并且如果所述现有目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述现有目标主机的操作系统指纹。
11.如权利要求7所述的系统,其中所述软件程序还可用于如果所述目标主机易受所述攻击的影响,则自动警告网络管理员。
12.如权利要求7所述的系统,其中所述软件程序不具有受保护网络体系结构的知识。
13.如权利要求7所述的系统,其中所述软件程序不访问所述受保护网络。
14.如权利要求7所述的系统,其中所述NIDS与供应商无关。
15.如权利要求7所述的系统,其中所述NIDS不支持被动操作系统指纹识别。
16.一种用于降低网络入侵检测系统的虚假警报率的系统,包括用于从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组的装置;用于从所述数据分组中识别所述警报的特性的装置,该特性至少包括攻击类型和所述目标主机的操作系统指纹;用于从所述操作系统指纹中识别操作系统类型的装置;用于将所述攻击类型与所述操作系统类型相比较的装置;以及用于基于所述比较指示所述目标主机是否易受所述攻击影响的装置。
17.如权利要求16所述的系统,还包括用于将所述目标主机的操作系统指纹存储一段时间的装置。
18.如权利要求16所述的系统,还包括用于监控动态配置协议服务器的装置;用于检测已发生针对新目标主机的租约发布的装置;用于访问存储位置的装置;用于判断所述新目标主机的操作系统指纹是否已存在于所述存储位置中的装置;以及用于如果所述新目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述新目标主机的操作系统指纹的装置。
19.如权利要求16所述的系统,还包括用于监控动态配置协议服务器的装置;用于检测已发生针对现有目标主机的租约期满的装置;用于访问存储位置的装置;用于判断针对所述现有目标主机的操作系统指纹是否已存在于所述存储位置中的装置;以及用于如果所述现有目标主机的操作系统指纹不存在,则不考虑所述租约期满的装置;以及用于如果所述现有目标主机的操作系统指纹存在,则从所述存储位置中清除存在的所述现有目标主机的操作系统指纹的装置。
20.如权利要求16所述的系统,还包括用于在接收到所述数据分组之后,判断所述警报的格式是否有效的装置;以及用于如果所述格式无效,则不考虑所述警报的装置。
21.如权利要求16所述的系统,还包括用于如果所述目标主机易受所述攻击的影响,则自动警告网络管理员的装置。
全文摘要
根据本发明一个实施例,用于降低网络入侵检测系统的虚假警报率的计算机化方法包括从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组,以及从所述数据分组中识别警报的特性。所述特性至少包括攻击类型和目标主机的操作系统指纹。该方法还包括从操作系统指纹中识别操作系统类型;将攻击类型与操作系统类型相比较;以及基于比较指示目标主机是否易受所述攻击影响。
文档编号H04L29/06GK1864182SQ200480029316
公开日2006年11月15日 申请日期2004年10月6日 优先权日2003年10月15日
发明者克雷格·H·罗兰 申请人:思科技术公司