嵌入式入侵侦测系统是应用于保护网站的安全,侦测未经授权或逾越权限的操作行为;其所揭示的技术属于以主机为基础的入侵侦测系统,即以主机的事件记录为主要监控项目的入侵侦测系统;本发明专利技术的目的是去除习知以主机为基础的入侵侦测系统容易被骇客发觉的缺点,主要方法是和一般操作相比几无差异的形式进行非持续性地监控,使得有经验的骇客亦难以发觉系统状态收集模组的存在,而增加骇客破解系统的难度。(*该技术在2020年保护过期,可自由使用*)
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术嵌入式入侵侦测系统是应用于保护网站的安全,侦测未经授权或逾越权限的操作行为。入侵侦测系统(Intrusion Detection System,IDS)监视系统的各项活动(activity),找出未经授权的使用、误用或滥用等攻击行为,并提供系统弱点被攻击者利用时的防御功能。附图说明图1是习知入侵侦测系统示意图。以网际网路80的应用为例,远端使用者经由网际网路80a使用伺服器电脑20a提供的资源或服务。为保护伺服器电脑20a的安全,较完整的保护应有三层保护。在伺服器电脑20a前端架设有防火墙(Firewall)81a作为第一道的保护,主要用途是过滤检查网路上的封包,以封包的来源和目的地作为主要的检测依据。而以网路为基础的(Network-based)入侵侦测系统82a作为第二道的保护,这道保护则是更进一步检查网路封包细部内容是否包含特定的攻击征兆。而第三道的保护称为以主机为基础的(host-based)入侵侦测系统83a,以侦测受保护主机上的各种事件来侦测发现入侵现象。以主机为基础的入侵侦测系统83a是在伺服器电脑20a的后端设有一监控电脑40a,将系统状态收集模组30a常驻于伺服器电脑20a内进行收集资料的工作,并将收集到的系统状态资料传送到监控电脑40a内,而由监控电脑40a的监控模组50a分析是否有入侵的现象。由于习知系统状态收集模组30a常驻于伺服器电脑20a内,有经验的攻击者可能因为系统状态收集模组30a持续的监视动作,因此可以利用此入侵侦测系统的弱点使之失效,比如篡改该模组相关的记录挡、截断监控资料的传送等。另外又由于系统状态收集模组30a将监控资料传送到监控电脑40a采用非HTTP(Hypertext TransportProtocol,超文件传输协定)的专属协定,因此有经验的攻击者更容易发觉入侵侦测系统的存在,因此提高了入侵侦测系统83a遭受攻击而失效的可能性。此类以主机为基础的入侵侦测系统83a普遍都存有这类的问题,比如目前著名的Securit Dnamics公司的Kane Security Analst(KSA)系统就有此缺点。本专利技术的主要目的是提供一种嵌入式入侵侦测系统,其可去除习知以主机为基础的入侵侦测系统容易被骇客发觉其存在的缺点,主要是使收集模组30在伺服器电脑20内并非持续性在监视,使得有经验的骇客亦难以发觉收集模组30的存在,而增加骇客想出破解的难度。虽然本专利技术的收集模组30为非连续执行,但不会带来侦测的缺口,其原因在于虽然嵌入式入侵侦测系统并不和一般以主机为基础的入侵侦测系统以持续执行的形式进行入侵侦测,但可以设定侦测动作的区间,因此仍和持续执行的侦测系统有类似的监控效果。另外是系统状态收集模组30与监控模组50之间沟通采用标准的HTTP,因此整个侦测过程得以“隐藏”在一般的HTTP连线中,如此使得本专利技术入侵侦测系统10不易被有经验的攻击者发觉。为达成上述的目的,本专利技术一种嵌入式入侵侦测系统,是用于保护网站安全上,该受保护的网站可由远端使用者经由网路利用其提供的资源或服务,其中连上网站的通讯协定定义为第一协定,该系统包括至少一伺服器电脑,用于提供远端使用者资源或服务的平台;至少一监控电脑,连结伺服器电脑,用于监控伺服器电脑运作的状况;该系统还包括系统状态收集模组,系储存于伺服器电脑或监控电脑中,包括a.搜集单元,用以在伺服器电脑上进行收集监控资料的工作;b.传送单元,将搜集单元所收集的监控资料遵循第一协定传给监控电脑;以及一监控模组,是存于监控电脑中,包括a.分析单元,用以接收并分析处理动态收集模组于伺服器电脑所收集的监控资料;以及b.控制单元,用以控制动态收集模组的执行。其中第一协定为HTTP协定。其中系统状态收集模组为储存于伺服器电脑内,而由监控模组的控制单元启动或关闭动态系统状态收集模组的执行。其中系统状态收集模组在未执行时为储存于监控电脑内,当欲执行系统状态收集摸组时,由监控模组的控制单元将系统状态收集模组复制一份传送至伺服器电脑,并启动系统状态收集模组,当不执行系统状态收集模组时,监控模组的控制单元将系统状态收集模组删除。其中系统状态收集模组在未执行时为储存于监控电脑内,当欲执行系统状态收集模组时,由监控模组的控制单元将系统状态收集模组传送至伺服器电脑,并启动系统状态收集模组,当不执行系统状态收集模组时,监控模组的控制单元将系统状态收集模组传回监控电脑。由于本专利技术确有增进功效,故依法申请专利技术专利。为进一步说明本专利技术的结构及其特征,以下结合附图对本专利技术作进一步的详细描述,其中图1是习知入侵侦测系统示意图。图2是本专利技术入侵侦测系统第一实施例。图3是本专利技术入侵侦测系统第二实施例。图4是本专利技术入侵侦测系统第三实施例。图5是本专利技术动态收集模组及监控模组的架构关系图。请参考图2关于本专利技术入侵侦测系统10用于网际网路80的第一实施例。本专利技术入侵侦测系统10属于以主机为基础的入侵侦测系统,可侦测事件记录驱动的(log event driven)入侵。入侵侦测系统10包括至少一伺服器电脑20,用于提供远端使用者资源或服务的平台;以及至少一监控电脑40(Monitor),连结伺服器电脑20,用于监控伺服器电脑20运作的状况。在监控电脑40中装设有监控模组50以及系统状态收集模组30。请一并参考图5有关本专利技术系统状态收集模组30及监控模组50的架构关系图及说明。系统状态收集模组30包括搜集单元31(Collector)及传送单元32。搜集单元31是用以在伺服器电脑20上进行收集监控资料35的工作,比如收集指定档案的信息摘要、或收集目前受保护主机的执行中程序(running process)状态、或收集目前受保护主机正在听(listen)的通讯埠号(port number)等等。而传送单元32,是将搜集单元31所收集的监控资料35传给监控模组50。监控模组50包括分析单元51及控制单元52。分析单元51用以接收并分析处理动态收集模组30于伺服器电脑20所收集的监控资料35;而控制单元52,用以控制系统状态收集模组30的执行。在第一实施例中,在未执行监视的状态时(图2左侧),动态收集模组30并没有被启动执行,此时动态收集模组30为储存于监控电脑40内。当欲执行动态收集模组30时(图2右侧),由监控模组50的控制单元52将系统状态收集模组30复制一份传送至伺服器电脑20,并启动系统状态收集模组30。因此搜集单元31即可收集监控资料35的工作,而传送单元32将搜集单元31所收集的监控资料35传给监控模组50的分析单元51。而当不执行系统状态收集模组30时,监控模组50的控制单元52将系统状态收集模组30删除,亦即回复到图2左侧的状态。需注意的是,系统状态收集模组30将监控资料35传送到监控电脑40的通讯协定,与采用远端使用者连上伺服器电脑20的通讯协定相同,以目前网际网路80的应用而言,该通讯协定即为HTTP。另外第一实施例亦可作些改变,请参考图3关于本专利技术的第二实施例。当欲执行系统状态收集模组30时,由监控模组50的控制单元52将系统状态收集模组30传送至伺服器电脑20,并启动之,当不执行系统状态收集模组30时,监控模组50的控制单元52将系统状态收集模组3本文档来自技高网...
【技术保护点】
一种嵌入式入侵侦测系统,是用于保护网站安全上,该受保护的网站可由远端使用者经由网路利用其提供的资源或服务,其中连上网站的通讯协定定义为第一协定,该系统包括: 至少一伺服器电脑,用于提供远端使用者资源或服务的平台; 至少一监控电脑,连结伺服器电脑,用于监控伺服器电脑运作的状况; 其特征在于,该系统还包括: 系统状态收集模组,系储存于伺服器电脑或监控电脑中,包括: a.搜集单元,用以在伺服器电脑上进行收集监控资料的工作; b.传送单元,将搜集单元所收集的监控资料遵循第一协定传给监控电脑;以及 一监控模组,是存于监控电脑中,包括: a.分析单元,用以接收并分析处理动态收集模组于伺服器电脑所收集的监控资料;以及 b.控制单元,用以控制动态收集模组的执行。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:罗济群,谢文川,蔡国手,李逸元,
申请(专利权)人:财团法人资讯工业策进会,
类型:发明
国别省市:71[中国|台湾]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。