专利名称:一种获取入侵源主机信息的方法及装置的制作方法
技术领域:
本发明涉及网络安全领域,特别是涉及一种获取入侵源主机信息的方法及装置。
背景技术:
目前,入侵检测系统(IDS Intrusion-detection system)得到了广泛的应用,特 别是网络型入侵检测系统在边界安全中使用最为广泛,和防火墙系统一起成为网络边界安 全必不可少的网络安全产品。现有入侵检测系统由控制中心部分和探针两部分组成。其中控制中心部分负责对 探针实例的管理,包括入侵模式库的管理和同步,入侵日志的接收和处理(入库、报警、数 据挖掘等);探针部分部署于网络边界,负责对网络数据包的采集、解码分析、模式库匹配 和向控制中心上报入侵信息等。现有入侵检测系统虽然能够对入侵事件进行检测报警,但其误报率较高,无法确 定入侵者身份信息。
发明内容
本发明提供了一种获取入侵源主机信息的方法及装置,用以解决现有入侵检测系 统无法确定入侵源主机身份信息的问题。本发明的一种获取入侵源主机信息的方法,包括下列步骤探针检测装置检测到 入侵信息后,扫描入侵源主机端口 ;探针检测装置通过所述端口嗅探入侵源主机的网络服 务;探针检测装置根据所述网络服务判断入侵源主机所用的操作系统;探针检测装置将获 取的信息一并上报。本发明的一种探针检测装置,包括扫描单元,用于在确定检测到入侵信息后,扫 描入侵源主机端口 ;嗅探单元,用于通过所述端口嗅探入侵源主机的网络服务;判断单元, 用于根据所述网络服务判断入侵源主机所用的操作系统;上报单元,用于将扫描单元、嗅探 单元和判断单元获取的信息一并上报。本发明有益效果如下本发明通过扫描入侵源主机端口,嗅探入侵源主机的网络服务,以及判断入侵源 主机所用的操作系统,获取了入侵源主机的身份信息,并将该信息上报。因此不但能捕捉到 黑客的IP和其它入侵信息,还能给黑客拍一张“全身照”,为有关部门进一步追踪黑客和取 证提供了有力的依据。
图1为本发明实施例1中的工作流程图;图2为本发明实施例2中的工作流程图;图3为本发明实施例3中的装置结构示意图;图4为本发明实施例4中的装置结构示意图。
具体实施例方式发明人提供的主要思路是通过一种“反向拍照”的方案解决在入侵检测系统中确定入侵源主机身份信息的问题。实施例1 参见图1所示,本方法实施例的反向拍照方案的工作流程包括下列步 骤Si、探针检测装置检测到入侵信息后,采用网络嗅测器(NMAP the NetworkMapper)工具扫描入侵源主机端口。S2、探针检测装置通过该端口嗅探入侵源主机的网络服务。S3、探针检测装置根据该网络服务判断入侵源主机所用的操作系统。S4、探针检测装置将S1、S2和S3中获取的信息一并上报。具体可上报给控制中心, 由控制中心对该信息进行记录和审计,为有关部门进一步追踪黑客和取证提供了有力的依 据。实施例2 参见图2所示,本方法实施例的反向拍照方案的工作流程包括下列步 骤 Sl 1、探针检测装置对事件队列抓包。S12、探针检测装置对所述被抓取的数据包进行解码分析。S13、探针检测装置将所述解码分析后的数据与入侵模式库中的信息匹配,若相匹 配,则判定检测到入侵信息,并转入S14 ;否则,判定该数据包正常,返回S11,重新抓包。S14、探针检测装置检测到入侵信息后,采用网络嗅测器(NMAP theNetwork Mapper)工具扫描入侵源主机端口。S15、探针检测装置通过该端口嗅探入侵源主机的网络服务。S16、探针检测装置根据该网络服务判断入侵源主机所用的操作系统。S17、探针检测装置将S14、S15和S16中获取的信息一并上报,并返回S11,重新抓 包。具体可上报给控制中心,由控制中心对该信息进行记录和审计,为有关部门进一步追踪 黑客和取证提供了有力的依据。实施例3 参见图3所示,本装置实施例包括如下单元扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口。具体可采用网络 嗅测器工具扫描入侵源主机端口。嗅探单元,用于通过该端口嗅探入侵源主机的网络服务。判断单元,用于根据该网络服务判断入侵源主机所用的操作系统。上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。具体可上 报给控制中心,由控制中心对该信息进行记录和审计,为有关部门进一步追踪黑客和取证 提供了有力的依据。实施例4 参见图4所示,本装置实施例包括如下单元抓包单元,用于对事件队列抓包。解码分析单元,用于对被抓取的数据包进行解码分析。入侵模式库单元,用于存储入侵模式信息。匹配单元,用于将解码分析后的数据与入侵模式库中的信息匹配,若相匹配,则判定检测到入侵信息,并触发扫描单元;否则,判定该数据包正常。扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口。具体可采用网络 嗅测器工具扫描入侵源主机端口。嗅探单元,用于通过该端口嗅探入侵源主机的网络服务。
判断单元,用于根据该网络服务判断入侵源主机所用的操作系统。上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。具体可上 报给控制中心,由控制中心对该信息进行记录和审计,为有关部门进一步追踪黑客和取证 提供了有力的依据。综上,应用本独特的方案不但能捕捉到黑客的IP和其它入侵信息,还能给黑客拍 一张“全身照”,为有关部门进一步追踪黑客和取证提供了有力的依据。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种获取入侵源主机信息的方法,其特征在于,包括下列步骤探针检测装置检测到入侵信息后,扫描入侵源主机端口;探针检测装置通过所述端口嗅探入侵源主机的网络服务;探针检测装置根据所述网络服务判断入侵源主机所用的操作系统;探针检测装置将获取的信息一并上报。
2.如权利要求1所述获取入侵源主机信息的方法,其特征在于,采用网络嗅测器工具 扫描入侵源主机端口。
3.如权利要求1所述获取入侵源主机信息的方法,其特征在于,所述检测到入侵信息 的过程包括下列步骤探针检测装置对事件队列抓包; 探针检测装置对所述被抓取的数据包进行解码分析;探针检测装置将所述解码分析后的数据与入侵模式库中的信息匹配,若相匹配,则判 定检测到入侵信息;否则,判定该数据包正常。
4.如权利要求1所述获取入侵源主机信息的方法,其特征在于,将获取的所述信息一 并上报到控制中心;控制中心对该信息进行记录和审计。
5.一种探针检测装置,其特征在于,包括扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口 ; 嗅探单元,用于通过所述端口嗅探入侵源主机的网络服务; 判断单元,用于根据所述网络服务判断入侵源主机所用的操作系统; 上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。
6.如权利要求5所述的探针检测装置,其特征在于,还包括 抓包单元,用于对事件队列抓包;解码分析单元,用于对所述被抓取的数据包进行解码分析; 入侵模式库单元,用于存储入侵模式信息;匹配单元,用于将所述解码分析后的数据与入侵模式库中的信息匹配,若相匹配,则判 定检测到入侵信息,并触发扫描单元;否则,判定该数据包正常。
7.如权利要求5所述的探针检测装置,其特征在于,扫描单元采用网络嗅测器工具扫 描入侵源主机端口。
8.如权利要求5所述的探针检测装置,其特征在于,上报单元将获取的所述信息一并 上报到控制中心;控制中心对该信息进行记录和审计。
全文摘要
本发明公开了一种获取入侵源主机信息的方法及装置,涉及网络安全领域,用以解决现有入侵检测系统无法确定入侵源主机身份信息的问题。方法包括探针检测装置检测到入侵信息后,扫描入侵源主机端口;探针检测装置通过该端口嗅探入侵源主机的网络服务;探针检测装置根据该网络服务判断入侵源主机所用的操作系统;探针检测装置将获取的信息一并上报。装置包括扫描单元,用于在确定检测到入侵信息后,扫描入侵源主机端口;嗅探单元,用于通过该端口嗅探入侵源主机的网络服务;判断单元,用于根据该网络服务判断入侵源主机所用的操作系统;上报单元,用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。
文档编号H04L29/06GK101826994SQ20101010531
公开日2010年9月8日 申请日期2010年2月4日 优先权日2010年2月4日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司