本发明专利技术公开一种基于安全云的网络入侵协同检测方法,其包括如下步骤:S1由NIDS向安全云发起授权申请;S2对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;S3,NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;以及S4,NIDS应用网络安全检测技术进行全面检测;其包括:NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。
【技术实现步骤摘要】
本专利技术涉及一种网络入侵检测方法,尤其是一种基于安全云的网络入侵协同检测方法。
技术介绍
网络入侵检测系统(Network-based Intrusion Detection System,简称NIDS)是对防火墙有益的补充,被认为是防火墙之后的第二道安全闸门,NIDS通过对网络流量进行旁路检测,在不影响网络性能的情况下提供对内部攻击、外部攻击和误操作的实时监控,从而提高了网络的安全性。现有NIDS一般由检测单元和管理单元组成,我们分别称之为检测节点和管理节点,NIDS的工作模式可以概括为:单点检测和多级管理。单点检测:检测节点一般为单一的软硬件系统,旁路部署在用户网络的关键出口上,通过分光或镜像的方式采集流量,然后对流量进行协议分析和模式匹配,在发现安全威胁后,会产生安全事件并本地报警。管理节点一般为软件系统或软硬件系统,在逻辑上有两种管理模式:单级管理和多级管理。单级管理模式:一个管理节点直接管理一个或多个检测节点,而且检测节点和管理节idan可以同时运行在同一台设备上。多级管理模式:管理节点支持任意层次的级联部署,实现多级管理。上级管理节点可以逐级将最新的升级包、特征规则库文件等统一发送到所有下级节点,检测节点可以逐级向上级管理节点、下级管理节点向上级管理节点上传报警日志信息。NIDS现有管理模式的局限性有:1、难以实现特征规则库和组件库的实时升级;现有NIDS的特征规则库的升级流程通常为非实时、周期性的,即厂商每周发布一周特征规则库升级包(遇到重大安全威胁时,可能会缩短特征规则库发布的周期)。厂商将升级包放到一个发布网站上,各NIDS自动或手动从发布网站上下载,然后经用户确认升级成功并勾选相关规则后,才能下发给检测节点并加载生效。由于某些钓鱼网站的生命周期只有几个小时,按照目前的升级方式,基本上无法保证特征规则库在钓鱼网站的生命周期内生效。2、误报和漏报较多,因为NIDS主要是基于误用检测技术,需事先收集非正常网络流量或攻击的行为特征,建立相关的入侵特征规则库,当监 测的流量与特征库中的特征相匹配时,系统就认为这种行为是入侵。但由于特征规则定义的往往不够准确和全面,且缺少对疑似事件的分析和判断机制,导致误报和漏报较多。3、管理节点存在性能瓶颈和单点故障,无法实现大规模部署。对于集中管理模式下的NIDS,往往会遇到这样的问题:由于企业规模在不断扩大,对NIDS产品的部署从单点发展到跨区域全球部署,要求产品体系结构能够支持数以百、千计的IDS检测节点和管理节点;其次,要能够处理所有检测节点产生的告警事件;此外,还要解决特征规则库的建立,配置以及升级问题。而一般管理节点都是部署在单一硬件上的,受限于硬件资源的不足,基本不具备大数据的存储和深度分析能力,更无法展示全局的安全态势,甚至在通讯转发方面也存在性能瓶颈,很难满足用户大规模部署的需求,同时,还存在单点故障,一旦上级管理节点出现软硬件故障,就会影响整个系统的正常运行。4、跨地域接入存在接入速度慢和不稳定的问题。如果管理节点和检测节点处于不同的地域或不同的运营商网络内,则检测节点在接入管理节点时,就会因跨网、跨区域而带来通讯上的延迟和不稳定。
技术实现思路
本专利技术要解决的技术问题是提供一种基于安全云的网络入侵协同检测方法,充分利用安全云的各种资源动态对抗网络安全威胁,突破了单点检测和单一产品的技术局限性,在多种技术能力方面实现了质的提升,可以有效地检测新型攻击。本专利技术的目的是采用以下技术方案来实现的。本专利技术公开一种基于安全云的网络入侵协同检测方法,其包括如下步骤:S1:由NIDS向安全云发起授权申请;S2:对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;S3:NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;以及S4:NIDS应用网络安全检测技术进行全面检测;其包括:NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。本专利技术的目的还可以采用以下技术措施来实现的。上述的基于安全云的网络入侵协同检测方法,步骤S1中所述NIDS为不同地域的NIDS的最顶级节点,该最顶级节点为管理节点或检测节点。上述的基于安全云的网络入侵协同检测方法,步骤S3中的所述特征规则库包括组件库、特征库、漏洞库、病毒库、恶意网站库、钓鱼网站库、僵尸网络CC库中的一种或其组合。上述的基于安全云的网络入侵协同检测方法,步骤S4中,所述NIDS留存原始报文、样本文件、原始流记录元数据。上述的基于安全云的网络入侵协同检测方法,所述安全云通过远程查询所需的所述元数据进行回溯分析和多元异构数据的关联分析。上述的基于安全云的网络入侵协同检测方法,所述远程查询为从安全云下发一个查询任务给NIDS,NIDS接收到查询任务后,本地执行查询,将查询结果写入到文件中,并将查询结果回传至安全云。上述的基于安全云的网络入侵协同检测方法,步骤S4中所述NIDS根据其对应的特征库规则自身判定网络安全威胁事件,该网络安全威胁事件具有所述NIDS的标识ID。借由上述技术方案,本专利技术至少具有下列优点及有益效果:(1)检测能力:NIDS针对入侵检测的对抗性要求,可以从安全云实时获取最新的组件库和特征库、漏洞库、病毒库、恶意网站库、钓鱼网站库、僵尸网络CC库等特征规则库,可以充分应用各种网络安全检测技术进行全面检测,并留存原始报文、样本文件、原始流记录等多种元数据用于安全云的数据深度分析。(2)分析能力:NIDS除自身具备微观关联分析能力外,还可以将可疑威胁事件上报安全云进行全局关联分析和判定;同时通过不断地向安全云提威胁数据,经过安全云的大数据分析与知识加工后,也可以充实安全云的知识库,实现安全云自身能力的增长。(3)回溯能力:NIDS将威胁数据上报给安全云进行长周期的存储和历史查询,弥补了自身存储和回溯分析能力的不足。将不同地域的NIDS的最顶级节点(管理节点或检测节点)通过授权和注册主动接入安全云,然后实时接收安全云下发的特征规则库,所产生的威胁数据如安全事件、可疑文件样本全部上传给安全云,由安全云进行大数据的收集、存储、分析和判定,并将判定后的威胁事件如恶意代码感染事件、网站后门事件等回传给NIDS,这样就形成了一个可支撑大规模部署的、封闭的在线协同检测体系。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,详细说明如下。附图说明无具体实施方式为更进一步阐述本专利技术为达成预定专利技术目的所采取的技术手段及功效,以下结合较佳实施例,对依据本专利技术提出的一种基于安全云的网络入侵协同检测方法的具体实施方式、特征及其功效,详细说明如后。本专利技术的基于安全云的网络入侵协同检测方法,包括如下步骤:S1:由NIDS向安全云发起授权申请,安全云的授权子系统完成授权管理。NIDS为不同地域的NIDS的最顶级节点,该最顶级节点为管理节点或检测节点。授权的作用是:a)只有经过授权的设备才能主动接入安全云进行动态注册,减少网络带宽的占用。b)授权全过程是加密的。c)授本文档来自技高网...
【技术保护点】
一种基于安全云的网络入侵协同检测方法,其特征在于,其包括如下步骤:S1:由NIDS向安全云发起授权申请;S2:对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;S3:NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;以及S4:NIDS应用网络安全检测技术进行全面检测;其包括:NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。
【技术特征摘要】
1.一种基于安全云的网络入侵协同检测方法,其特征在于,其包括如下步骤:S1:由NIDS向安全云发起授权申请;S2:对授权后的NIDS动态注册,动态注册后的NIDS从安全云上获取唯一标识ID;S3:NIDS针对入侵检测的对抗性要求,从安全云实时获取特征规则库;以及S4:NIDS应用网络安全检测技术进行全面检测;其包括:NIDS检测生成的所有网络安全威胁事件依据需要上传至安全云,在安全云侧进行事件的存储、分析、过滤和判定,然后安全云将判定为安全威胁的事件定点回传给NIDS。2.根据权利要求1所述的基于安全云的网络入侵协同检测方法,其特征在于,步骤S1中所述NIDS为不同地域的NIDS的最顶级节点,该最顶级节点为管理节点或检测节点。3.根据权利要求1所述的基于安全云的网络入侵协同检测方法,其特征在于,步骤S3中的所述特征规则库包括组件库、特征库、...
【专利技术属性】
技术研发人员:张腾,李佳,李志辉,张帅,高胜,张洪,刘丙双,严寒冰,丁丽,何世平,赵慧,姚力,朱芸茜,郭晶,朱天,胡俊,王小群,陈阳,何能强,李挺,李世淙,王适文,刘婧,饶毓,贾子骁,肖崇蕙,吕志泉,韩志辉,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。