专利名称:一种减少网络入侵检测系统漏报的方法
技术领域:
本发明涉及网络信息安全技术领域,特别涉及一种有效减少网络入侵检测系统漏报的实现方法。
背景技术:
随着网络技术的发展,越来越多的计算机连接到了网络上,这为黑客通过网络对计算机进行攻击和非法获取资源和数据提供了方便,因此需要网络入侵检测系统来检测、防范对数据的未授权访问或对系统的攻击。
目前的入侵检测系统是为了抵御基于TCP协议的攻击,通过按预先定义好的入侵模式来判别搜集到的数据特征是否在入侵模式规则集中出现,其软、硬件构成如图1-4所示,其工作原理简述如下。
网络入侵检测系统由探测引擎和控制中心两部分组成。探测引擎负责接入被监视网络中,检测网络攻击行为,它由网络数据包捕获模块、网络协议分析模块、入侵事件检测模块、规则库和响应模块组成。
网络数据包捕获模块负责访问数据链路层,监听同一冲突域内的数据包,并将捕获的网络数据包提交给用户空间。用户空间收到数据包后,用网络协议分析模块解析数据包包头信息。规则库描述了常见的网络攻击行为即存储了入侵模式规则集,入侵事件检测模块用于将捕获的数据包与入侵规则库存储的入侵模式规则集进行特征匹配,如有攻击事件发生时,对符合某条规则各个字段的数据包递交给响应模块,以发出警报。
控制中心负责接收探测引擎传送的网络报警信息,并处理这些信息,同时还要负责控制探头的运行状态,提供对报警信息的记录和检索、统计、分析和响应的功能。
但上述使用入侵模式规则集的网络入侵检测系统的技术还不够完善,表现在存在大量误报和漏报现象。误报是指在安全事件并没有发生时,网络入侵检测系统报告发现了攻击。漏报是指在安全事件发生时,网络入侵检测系统却没有发出报警。
由于每天都有新的攻击方法产生和新漏洞发布,而如果入侵模式规则集不能及时更新,将造成网络入侵检测系统的漏报。
为了更新入侵模式规则集,通常采用以下两种方式方式一的步骤如下1、手工停止网络入侵检测系统的进程,再手工重启网络入侵检测系统进程。
2、网络入侵检测系统进程调用其停止程序,但并不终止进程,当停止完成后,调用POSIX exec(),用新的网络入侵检测系统进程映像覆盖原来的网络入侵检测系统进程映象。
方式二的步骤如下步骤1发SIGHUP信号给网络入侵检测系统进程,作为重新加载入侵模式规则集请求;步骤2网络入侵检测系统进程执行shutdown例程;步骤3当shutdown例程完成,网络入侵检测系统进程调用execv()用新的进程映象替换原来的;步骤4网络入侵检测系统进程初始化新的进程映象;步骤5网络入侵检测系统进程装载新的入侵模式规则集;步骤6开始包处理。
上述两种方式的缺点在于1、由于两方法在更新入侵模式规则集期间,均须停止网络入侵检测系统的进程,故它们都会丢失原有的入侵检测状态,使得在更新入侵模式规则集期间发生的入侵没有产生报警,从而在安全事件发生时,网络入侵检测系统产生漏报,2、网络入侵检测系统进程调用其停止程序步骤繁琐。
发明内容
本发明的目的在于提供一种新的更新入侵模式规则集的办法,以保证有效减少网络入侵检测系统的漏报。
本发明是这样实现的一种减少网络入侵检测系统漏报的方法,包括入侵模式规则集01、新的入侵模式规则集14、正常入侵检测16,实现减少网络入侵检测系统漏报方法的步骤如下步骤1保持原有的TCP连接状态,管理员发出SIGUSR2中断信号15给网络入侵检测系统,作为更新所述入侵模式规则集01的请求;步骤2网络入侵检测系统响应该中断请求17,网络入侵检测系统从读取网络数据包的循环Pcap_loop中退出来,使网络入侵检测系统进入到暂停状态13;步骤3在网络入侵检测系统的所述暂停状态13加载所述新的入侵模式规则集14;步骤4网络入侵检测系统应用加载的所述新入侵模式规则集14,并返回至所述正常状态11,继续对网络数据包进行所述正常入侵检测16。
所述管理员发出SIGUSR2中断信号15给网络入侵检测系统使其到达暂停状态的流程如下I.所述管理员发出SIGUSR2中断信号15给网络入侵检测系统,网络入侵检测系统从所述正常状态11进入到所述中断状态12;II.调用Pcap_breakloop(),并置全局变量update_flag为1,表示管理员请求更新规则集,凭借该循环中断和更新标志位,网络入侵检测系统进入到所述暂停状态13,III.开始更新规则集过程,更新完毕后将全局变量update_flag置为0,重新回到Pcap_loop()处理数据包的循环中。
所述正常状态11为网络入侵检测系统正在运行,所述中断状态12为网络入侵检测系统响应更新规则请求,所述暂停状态13为此时原来的所述入侵模式规则集01没有被使用,可以加载所述新的入侵模式规则集14。
由于采用以上技术方案,本发明的显著特点在于1.更新规则集方法步骤简单,运行效率高。
2.由于保留了TCP的连接状态,故可减少网络入侵检测系统的漏报。
图1网络入侵检测系统组成示意图。
图2网络数据包捕获流程示意图。
图3协议分析流程示意图。
图4模式匹配原理示意图。
图5本发明操作流程示意图。
图中01-原有入侵模式规则集,11-正常状态,12-中断状态,13-暂停状态,14-新的入侵模式规则集,15-SIGUSR2中断信号,16-正常抓包、分析包,17-响应中断请求。
具体实施例方式
本发明采用了模式匹配分析方法的入侵检测系统,其基本原理是通过比对的方法,按照预先定义好的入侵模式规则集来判别搜集到的数据特征是否在该预先定义好的入侵模式规则集中出现。
由于每天都有新的攻击方法产生和新漏洞发布,而如果入侵模式规则集不能及时更新,那么这种基于模式匹配分析方法的入侵检测系统就会存在大量误报和漏报现象。
网络入侵检测系统为了抵御基于TCP协议的攻击,必须保存TCP连接状态。这样,当网络中产生基于TCP协议的攻击时,网络入侵检测系统将会弃掉没有产生TCP三次握手的TCP流量,使得网络入侵检测系统直接丢弃数据包,而不必检查包中的内容,故提高了入侵检测的效率。
由上可知,对于网络入侵检测系统,保存TCP连接状态是很重要的,通过自动地丢弃掉非法的TCP连接的数据包,网络入侵检测系统就可以避免产生大量的虚假报警的问题。
对于使用入侵模式规则集的网络入侵检测系统,当网络入侵检测系统重新启动时来更新入侵模式规则集时,会丢失TCP连接状态。因此,当真正的攻击通过实际的TCP连接进行攻击时,如果该TCP连接是在网络入侵检测系统重启之前建立的,则由于网络入侵检测系统重启后会丢失原来保留的TCP连接状态,因此对进行网络攻击的数据包进行丢弃,故没能对该攻击进行报警,从而造成了网络入侵检测的漏报。
如附图5所示,本发明的基本出发点是首先找到网络入侵检测系统的一个暂停状态,在这种状态时,该系统处于循环等待搜集到的数据包的过程中,没有应用到当前的规则集。因此,可以装载新的规则集到内存,然后用新的规则集替代当前的规则集,来实现更新规则集,而不更新TCP连接状态,以达到减少网络入侵检测系统漏报的目的。
本发明的实施步骤如下步骤1保持原有的TCP连接状态,管理员发出SIGUSR2中断信号15给网络入侵检测系统,作为更新入侵模式规则集01的请求;步骤2网络入侵检测系统响应中断请求17,网络入侵检测系统从处理网络数据包的循环Pcap_loop中退出来,使网络入侵检测系统进入到暂停状态13;步骤3在网络入侵检测系统的暂停状态13加载新的入侵模式规则集14;步骤4网络入侵检测系统应用加载的新入侵模式规则集14,并返回至正常状态11,继续对网络数据包进行处理16。
上述管理员发出SIGUSR2中断信号15给网络入侵检测系统使其到达暂停状态的流程如下管理员发出SIGUSR2中断信号15给网络入侵检测系统,网络入侵检测系统从正常状态11进入到中断状态12,调用Pcap_breakloop()退出Pcap_loop()的处理数据包循环,并置全局变量update_flag为1,如果该变量为1,则表示管理员请求更新规则集,凭借该循环中断和更新标志位,网络入侵检测系统进入到暂停状态13,开始更新过程,更新完毕后将置全局变量update_flag为0,重新回到处理数据包Pcap_loop()循环中,并应用新的入侵模式规则集。
具体实施过程为将网络入侵检测系统的工作过程分为三种状态,正常状态11,表示网络入侵检测系统正在运行,中断状态12,响应更新规则请求,暂停状态13,此时原来的入侵模式规则集没有被使用,因此可以更新新的入侵模式规则集。
如上所述,网络入侵检测系统必须在暂停状态13实施更新入侵模式规则集,才能保证原有的规则集没有被使用。网络入侵检测系统在初始化完成后,即开始循环读取来自于网卡上的数据包16,同时处理它们。
其具体做法是增加SIGUSR2中断信号15,作为请求更新入侵模式规则集的信号。当网络入侵检测系统在循环等待数据包到来时,由于此时没有处理任何数据包,即为暂停状态,故可以安全的升级规则集。
当请求规则集升级时,须令网络入侵检测系统从读取网络数据包的循环Pcap_loop中退出来,使网络入侵检测系统进入到暂停状态13,即可实施规则集更新,即加载新的规则集14。
网络入侵检测系统到达暂停状态的流程如下管理员发出SIGUSR2中断信号15给网络入侵检测系统进程,网络入侵检测系统进程从正常状态11进入到中断状态12,调用Pcap_breakloop(),并置全局变量update_flag为1,表示管理员请求更新规则集,凭借该循环中断和更新标志位,网络入侵检测系统进入到暂停状态13,开始更新规则集过程。
本发明在确认的暂停状态13中加载了新的入侵模式规则集14,以替代当前规则集01,保留了TCP的连接状态,可以减少网络入侵检测系统的漏报,不但不需人工操作或添加硬件设备,而且步骤简单,运行效率高,较好地解决了网络信息的安全问题。
权利要求
1.一种减少网络入侵检测系统漏报的方法,包括入侵模式规则集(01)、新的入侵模式规则集(14)、正常入侵检测(16),其特征在于实现减少网络入侵检测系统漏报方法的步骤如下步骤1保持原有的TCP连接状态,管理员发出SIGUSR2中断信号(15)给网络入侵检测系统,作为更新所述入侵模式规则集(01)的请求;步骤2网络入侵检测系统响应该中断请求(17),网络入侵检测系统从读取网络数据包的循环Pcap_loop中退出来,使网络入侵检测系统进入到暂停状态(13);步骤3在网络入侵检测系统的所述暂停状态(13)加载所述新的入侵模式规则集(14);步骤4网络入侵检测系统应用加载的所述新入侵模式规则集(14),并返回至所述正常状态(11),继续对网络数据包进行所述正常入侵检测(16)。
2.根据权利要求1所述的一种减少网络入侵检测系统漏报的方法,其特征在于所述管理员发出SIGUSR2中断信号(15)给网络入侵检测系统使其到达暂停状态的流程如下I.所述管理员发出SIGUSR2中断信号(15)给网络入侵检测系统,网络入侵检测系统从所述正常状态(11)进入到所述中断状态(12);II.调用Pcap_breakloop(),并置全局变量update_flag为1,表示管理员请求更新规则集,凭借该循环中断和更新标志位,网络入侵检测系统进入到所述暂停状态(13);III.开始更新规则集过程,更新完毕后将全局变量update_flag置为0,重新回到Pcap_loop()处理数据包的循环中。
3.根据权利要求1、2所述的一种减少网络入侵检测系统漏报的方法,其特征在于所述正常状态(11)为网络入侵检测系统正在运行,所述中断状态(12)为网络入侵检测系统响应更新规则请求,所述暂停状态(13)为此时原来的所述入侵模式规则集(01)没有被使用,可以加载所述新的入侵模式规则集(14)。
全文摘要
本发明涉及一种减少网络入侵检测系统漏报的方法。其基本原理是通过比对的方法,按照预先定义好的网络入侵模式规则集来判别搜集到的数据特征是否在该预先定义好的入侵模式规则集中出现。由于每天都有新的攻击方法产生和新漏洞发布,如果入侵模式规则集不能及时更新,将造成网络入侵检测系统的漏报。本发明通过软件程序在网络入侵检测系统中找到一个暂停状态,此时入侵模式规则集并没有使用,然后装载新的规则集到内存,最后用新规则集替代当前规则集,来实现更新规则集,而不须更新TCP连接状态,以达到减少网络入侵检测系统漏报目的。
文档编号H04L12/56GK101026500SQ20071006319
公开日2007年8月29日 申请日期2007年1月31日 优先权日2007年1月31日
发明者姜圳 申请人:北京佳讯飞鸿电气有限责任公司