【技术实现步骤摘要】
一种基于Linux主机的入侵检测方法及装置
本专利技术涉及入侵检测
,尤其涉及一种基于Linux主机的入侵检测方法及装置。
技术介绍
随着网络技术的发展,黑客攻击方法越来越全面,单纯依赖防火墙等访问控制设备并不能完全抵御网攻击,防火墙技术暴露出明显的不足和弱点,它无法发现安全后门,也不能发现网络内部攻击。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测,如记录证据、跟踪入侵等。入侵检测是对入侵行为的发觉,它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中有违反安全策略的行为和被攻击的迹象。根据信息来源可分为基于主机入侵检测和基于网络的入侵检测。基于主机的入侵检测,一般只能检测该主机上发生的入侵,其输入数据主要来源于系统的审计日志、网络连接、进程信息等。目前基于主机的入侵检测对于发生入侵后的检测比较准确但及时性不够,对于入侵中的检测敏感度不高。
技术实现思路
本专利技术针对现有技术的不足,提出了一种基于Linux主机的入侵检测方法及装置,该方法及装置的应用解决...
【技术保护点】
1.一种基于Linux主机的入侵检测装置,其特征在于:所述入侵检测装置包括入侵检测管理中心、网络HOOK监视器、进程HOOK监视器、文件HOOK监视器、特征匹配模块、网络攻击行为特征库、进程恶意行为特征库、文件恶意行为特征库;/n所述入侵检测管理中心主要负责网络攻击行为特征库、进程恶意行为特征库、文件恶意行为特征库的管理和维护,接收特征匹配模块发现的入侵行为;/n所述网络HOOK监视器是监测网络连接到Linux主机的网络活动,并将监视数据传送至特征匹配模块;/n所述进程HOOK监视器主要是监测系统进程的创建,并将监视数据传送至特征匹配模块;/n所述文件HOOK监视器主要是监...
【技术特征摘要】
1.一种基于Linux主机的入侵检测装置,其特征在于:所述入侵检测装置包括入侵检测管理中心、网络HOOK监视器、进程HOOK监视器、文件HOOK监视器、特征匹配模块、网络攻击行为特征库、进程恶意行为特征库、文件恶意行为特征库;
所述入侵检测管理中心主要负责网络攻击行为特征库、进程恶意行为特征库、文件恶意行为特征库的管理和维护,接收特征匹配模块发现的入侵行为;
所述网络HOOK监视器是监测网络连接到Linux主机的网络活动,并将监视数据传送至特征匹配模块;
所述进程HOOK监视器主要是监测系统进程的创建,并将监视数据传送至特征匹配模块;
所述文件HOOK监视器主要是监测系统日志文件、应用日志文件、登录日志等特定文件和目录读写操作,并将监视数据传送至特征匹配模块;
所述特征匹配模块主要是处理来自网络HOOK监视器、进程HOOK监视器、文件HOOK监视器的数据,通过匹配相应的行为特征库,发现入侵行为,上报给入侵检测管理中心;
所述网络攻击行为特征库用于存储基于主机的网络攻击行为特征,由入侵检测管理中心管理维护;所述进程恶意行为特征库用于存储进程恶意行为,由入侵检测管理中心管理维护;所述文件恶意行为特征库用于存储基于系统和应用的恶意行为特征,由入侵检测管理中心管理维护。
2.如权利要求1所述的一种基于Linux主机的入侵检测装置,其特征在于:所述网络HOOK监视器在NF_IP_LOCAL_IN和NF_INET_LOCAL_IN注册HOOK点。
3.如权利要求1所述的一种基于Linux主机的入侵检测装置,其特征在...
【专利技术属性】
技术研发人员:王彦杰,胡建勋,肖树根,
申请(专利权)人:中科信息安全共性技术国家工程研究中心有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。