一种入侵检测数据处理方法、装置,及系统制造方法及图纸

技术编号:12618151 阅读:68 留言:0更新日期:2015-12-30 15:18
本发明专利技术实施例公开了一种入侵检测数据处理方法、装置,及系统,其中方法的实现包括:接收待检测的数据,并从所述待检测的数据中提取所述待检测的数据的数据源标识、数据标识,以及数据产生时间;创建基特征数据对象,所述基特征数据对象包含:数据源标识字段、数据标识字段、数据产生时间字段以及扩展字段;将提取到的数据源标识赋值给所述数据源标识字段,将提取到的数据标识赋值给所述数据标识字段、将提取到的数据产生时间赋值给所述数据产生时间字段,将所述待检测的数据中包含的其他数据信息存入所述扩展字段。可以降低不同入侵检测系统间协同难度,不同数据间交互印证难度,方便入侵检测自动化实现,减少人工和时间消耗,提高入侵检测效率。

【技术实现步骤摘要】

本专利技术涉及信息
,特别涉及一种入侵检测数据处理方法、装置,及系统
技术介绍
入侵检测系统(intrusion detection system, IDS)是一种对网络传输进行即时 监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。根据数据来 源不同,可分为基于主机的入侵检测系统(Host IDS,HIDS)和基于网络的入侵检测系统 (Network IDS,NIDS)。 随着入侵检测系统的发展,网络入侵方式也日趋多样化。依赖单一数据维度的入 侵检测系统越来越满足不了入侵发现的需要。因此需要将不同入侵检测系统协同工作,将 各系统收集的不同维度数据,进行关联分析、交互印证,从而发现入侵行为。 不同的入侵检测系统收集的数据源不同;而同一个入侵检测系统也往往需要收集 不同类型的数据。以下为主流的入侵检测系统(基于主机的入侵检测系统、和基于网络的 入侵检测系统)收集的数据如下: 基于主机的入侵检测系统: 操作命令是:主机上面执行的命令记录。字段类型包括:主机标识符(Identity, ID),命令,命令参数,用户名,父进程,进程ID (Process ID, pid),父进程ID (Parent Process ID, ppid)等。 进程信息是:主机上面正在运行的进程列表。单条进程信息的数据字段类型包括: 进程名,参数,文件消息摘要算法第五版(Message Digest Algorithm,MD5),网络连接情况, 开始执行时间,父进程列表等。 系统日志:记录系统中发生的关键事件、状态、信息等,比如登录信息、su命令、邮 件等。单条数据字段类型包括:主机ID,规则ID,重要级别,来源,用户,信息内容等。 主机体检信息:主要有操作系统信息,应用程序版本,系统及应用程序配置信息 等。不同数据的字段类型也不同。比如:操作系统信息有:主机Id,系统类型,内核版本,创 建(build)时间,发现版本,C运行库(glibc)版本等。 基于网络的入侵检测系统: Httplog 是网络超文本传输协议(Hypertext transfer protocol,http)请求记 录。单条数据包含字段类型有:来源网络之间互连的协议(Internet Protocol, IP)地址、 端口,目的IP地址、端口,内容、时间戳等。 网络信息包括监听端口信息,网络连接信息等。监听端口信息包括:主机ID地址, 监听IP地址、端口,相关进程等。 综上所述,目前入侵检测需要分析的数据种类繁多。目前基于以上待检测是数据 结构,将分析逻辑,及数据的字段编码到程序中,实现不同维度数据关联分析。由于数据结 构种类繁多,编写的分析逻辑以及数据字段均需要编码到程序中,不同入侵检测系统间协 同难度较大、不同数据间交互印证难以实现;另外,检测方法应用的对人力和时间耗费较 多。
技术实现思路
本专利技术实施例提供了一种入侵检测数据处理方法、装置,及系统,用于降低不同入 侵检测系统间的协同难度,降低不同数据间交互印证的难度,并且方便入侵检测的自动化 实现,减少人工和时间消耗,提高入侵检测效率。 一种入侵检测数据处理方法,包括: 接收待检测的数据,并从所述待检测的数据中提取所述待检测的数据的数据源标 识、数据标识,以及数据产生时间; 创建基特征数据对象,所述基特征数据对象包含:数据源标识字段、数据标识字 段、数据产生时间字段以及扩展字段; 将提取到的数据源标识赋值给所述数据源标识字段,将提取到的数据标识赋值给 所述数据标识字段、将提取到的数据产生时间赋值给所述数据产生时间字段,将所述待检 测的数据中包含的其他数据信息存入所述扩展字段。 一种入侵检测数据处理装置,包括: 数据接收单元,用于接收待检测的数据; 信息提取单元,用于从所述数据接收单元接收到的待检测的数据中提取所述待检 测的数据的数据源标识、数据标识,以及数据产生时间; 基类创建单元,用于创建基特征数据对象,所述基特征数据对象包含:数据源标识 字段、数据标识字段、数据产生时间字段以及扩展字段; 信息赋值单元,用于将所述信息提取单元提取到的数据源标识赋值给所述数据 源标识字段,将提取到的数据标识赋值给所述数据标识字段、将提取到的数据产生时间赋 值给所述数据产生时间字段,将所述待检测的数据中包含的其他数据信息存入所述扩展字 段。 -种入侵检测数据处理系统,包括:以可通信方式连接的数据采集设备、数据标准 化设备、数据处理设备、以及数据分析引擎;其中,所述数据采集设备和/或所述数据标准 化设备为本专利技术实施例提供的任意一项的入侵检测数据处理装置; 若所述数据处理设备和/或所述数据分析引擎进行入侵检测,则将入侵检测的结 果以及本端设备的标识存入基特征数据对象的扩展字段。 从以上技术方案可以看出,本专利技术实施例具有以下优点:从待检测的数据中提取 所述待检测的数据的数据源标识、数据标识,以及数据产生时间;并创建基特征数据对象使 用对应的字段来存放这些参数,在基特征数据对象的扩展字段中存储其他的数据信息;这 样,可以使待检测的数据具有相同的数据结构,以及规范的字段;使待检测是数据标准化, 降低了不同入侵检测系统间的协同难度,降低了不同数据间交互印证的难度,并且方便入 侵检测的自动化实现,减少人工和时间消耗,提高入侵检测效率。【附图说明】 为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本 领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其 他的附图。 图1为本专利技术实施例入侵检测数据处理方法流程示意图; 图2为本专利技术实施例入侵检测数据处理装置系统结构示意图; 图3为本专利技术实施例入侵检测数据处理装置结构示意图; 图4为本专利技术实施例入侵检测数据处理装置结构示意图; 图5为本专利技术实施例入侵检测数据处理装置结构示意图; 图6为本专利技术实施例入侵检测数据处理装置结构示意图; 图7为本专利技术实施例入服务器结构示意图。【具体实施方式】 为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进 一步地详细描述,显然,所描述的实施例仅仅是本专利技术一部份实施例,而不是全部的实施 例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的 所有其它实施例,都属于本专利技术保护的范围。 本专利技术实施例提供了一种入侵检测数据处理方法,如图1所示,包括: 101 :接收待检测的数据,并从上述待检测的数据中提取上述待检测的数据的数据 源标识、数据标识,以及数据产生时间; 在本专利技术实施例中,待检测的数据并不一定是以前没有被检测过的数据,而是对 于接收数据的设备而言,可能需要进行入侵检测的数据。待检测的数据的数据结构可能是 符合本专利技术实施例基特征数据对象的数据结构的数据,也可以是任意的数据结构的数据, 本专利技术实施例对此不予限定。对于已经具有本专利技术实施例基特征数据对象的数据结构的数 据,可以不必执行创建基特征数据对象及后续操作。 上述数据源标识,表示的是待处理数据的来源设备的标识;数据标识表示数据的 类型/数据对应的规则,例如:规则111、查看系统关键文件;数据产生时本文档来自技高网
...

【技术保护点】
一种入侵检测数据处理方法,其特征在于,包括:接收待检测的数据,并从所述待检测的数据中提取所述待检测的数据的数据源标识、数据标识,以及数据产生时间;创建基特征数据对象,所述基特征数据对象包含:数据源标识字段、数据标识字段、数据产生时间字段以及扩展字段;将提取到的数据源标识赋值给所述数据源标识字段,将提取到的数据标识赋值给所述数据标识字段、将提取到的数据产生时间赋值给所述数据产生时间字段,将所述待检测的数据中包含的其他数据信息存入所述扩展字段。

【技术特征摘要】

【专利技术属性】
技术研发人员:孙亚东
申请(专利权)人:腾讯科技深圳有限公司
类型:发明
国别省市:广东;44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1