本发明专利技术提供了一种入侵检测方法和装置,涉及信息管理领域;解决了误用检测型IDS无法检测未知类型的攻击行为和无法追溯漏报攻击行为的问题。该方法包括:加载特征库,所述特征库中包含多个入侵行为特征;获取待分析数据流;根据所述特征库分析所述待分析数据流,从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为。本发明专利技术提供的技术方案适用于IDS检测过程,实现了全面可靠的入侵检测。
【技术实现步骤摘要】
本专利技术涉及信息管理领域,尤其涉及ー种攻击检测方法和装置。
技术介绍
为了缓解日益严重的信息安全问题,越来越多的企业和机构部署了入侵检测装置(Intrusion Detection Systems, IDS),进行恶意攻击行为的检测和处置。IDS从实现原理上可分为两类异常检测型和误用检测型。异常检测型IDS会首先建立所监控网络的正常轮廓模型,如网络流量、TCP/IP连接等,然后根据所检测时刻的实测值与正常模型的偏差判断是否存在入侵行为。这种方法能够检测已知和未知的入侵行为,但具有较高的漏报率和误报率。误用检测型IDS会首先提取入侵行为的特征,如某个木马程序在连接远程控制端所发出的数据包会具有怎样的特征,然后根据所检测时刻实时获取 的数据包进行特征匹配,从而检测数据流中是否存在入侵行为。这种方法具有较高的准确率,但无法检测未知的入侵行为。目前商业化的IDS产品大都采用的是误用检测方式。当前的误用检测型IDS存在以下不足I、无法检测未知类型的攻击行为;2、无法追溯漏报的攻击行为。
技术实现思路
本专利技术提供了ー种入侵检测方法和装置,解决了误用检测型IDS无法检测未知类型的攻击行为和无法追溯漏报攻击行为的问题。ー种入侵检测方法,包括加载特征库,所述特征库中包含多个入侵行为特征;获取待分析数据流;根据所述特征库分析所述待分析数据流,从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为。优选的,所述获取待分析数据流具体为获取当前实时传输的数据流作为待分析数据流。优选的,上述入侵检测方法还包括存储历史数据流。优选的,所述获取待分析数据流具体为根据任务參数,确定需提取的历史数据流范围,所述任务參数至少包括下列參数的ー项或多项源地址、目的地址、源端ロ、目的端ロ、协议类型、开始时间、结束时间;提取符合所述历史数据流范围的历史数据流作为待分析数据流。优选的,上述入侵检测方法还包括更新所述特征库。优选的,所述根据所述特征库分析所述待分析数据流,从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为的步骤之后,还包括在检测到入侵行为时,产生报警事件,发出报警。本专利技术还提供了ー种入侵检测装置,包括加载模块,用于加载特征库,所述特征库中包含多个入侵行为特征;数据流提取模块,用于获取待分析数据流;入侵检测模块,用于根据所述特征库分析所述待分析数据流,从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为。优选的,上述入侵检测装置还包括流存储模块,用于存储历史数据流。优选的,所述数据流提取模块包括实时提取単元,用于获取当前实时传输的数据流作为待分析数据流;历史提取単元,用于根据任务參数,确定需提取的历史数据流范围,从所述流存储模块提取符合所述历史数据流范围的历史数据流作为待分析数据流。优选的,上述入侵检测装置还包括特征库管理模块,用于更新所述特征库。本专利技术提供了ー种入侵检测方法和装置,首先加载特征库,所述特征库中包含多个入侵行为特征,然后获取待分析数据流,最后根据所述特征库分析所述待分析数据流,从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为,根据特征库完成对数据流的检测,不限制数据流的时效性,即可对当前的数据流进行实时检测,也可以对历史数据流进行追溯,解决了误用检测型IDS无法检测未知类型的攻击行为和无法追溯漏报攻击行为的问题。附图说明图I为本专利技术的实施例一提供的ー种结合流存储的入侵检测系统的结构示意图;图2为本专利技术的实施例ニ提供的ー种入侵检测方法的流程图;图3为本专利技术的实施例三提供的ー种入侵检测方法的流程图;图4为本专利技术的实施例四提供的ー种入侵检测装置的结构示意图;图5为图4中数据流提取模块402的内部结构示意图。具体实施例方式当前的误用检测型IDS存在以下不足I、无法检测未知类型的攻击行为。由于误用检测型IDS总是基于已知攻击的特征进行检測,当ー种新的攻击方式出现,在还未被IDS厂商所掌握之前,IDS厂商将无法提取该类型攻击的特征并对其IDS产品的特征库进行升级,从而使得IDS产品不具备对这种新型攻击的检测能力,这样即使发现了主机被攻击,却无法检测到攻击来源和攻击类型。 2、无法追溯漏报的攻击行为。由于误用检测型IDS总是基于实时捕获的流量进行攻击检测,那么对于没有实时检测出的攻击行为将无法进行追溯。造成漏报的原因是多方面的,例如有可能是因为实时流量超出了 IDS的处理能力,也有可能是当时IDS所加载的特征库不完整,一旦无法实时检测出攻击,IDS将造成漏报,并无法对攻击进行追溯。综上,目前已有的误用检测型IDS,大都根据已知攻击的特征,如端ロ、数据包大小、特征字符串等信息,从网络实时数据流中匹配攻击行为。这在攻击特征还未明确,或者实时匹配存在遗漏时,将无法检测攻击。 为了解决上述问题,本专利技术的实施例提供了ー种入侵检测方法和装置。使用本专利技术的实施例提供的入侵检测方法和装置,在出现新的攻击行为时,可通过IDS特征升级后加载更新后的特征库,对历史流量进行重新检查,匹配其中的攻击行为,从而实现未知攻击类型的攻击检测和漏报攻击检测。下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意組合。首先,对本专利技术的实施例一进行说明。图I为本专利技术实施例提供的结合流存储的入侵检测系统的结构示意图,入侵检测系统101包括入侵检测单元101,任务调度単元102,流存储单元103,以及配置管理単元104。其中入侵检测单元101负责从数据流中匹配攻击行为,数据流可以来自实时数据流104,也可以来自从任务调度単元102中转发的历史流量数据文件;流存储单元104负责获取实时数据流105,并以文件方式进行保存;任务调度単元103负责根据配置管理単元105的请求,从流存储单元中查询指定的历史流量数据,并以文件的方式传送到入侵检测单元102 ;配置管理単元105负责各単元的參数配置管理,包括但不限于入侵检测单元102的特征库升级、运行模式配置,任务调度単元103的任务描述參数,流存储单元104的存储服务器IP地址配置、存储空间配置、文件目录配置。入侵检测单元101、任务调度単元102、流存储单元103、配置管理単元104可以部署在一台计算机或服务器上,也可以部署在不同主机上,以提升整体性能。下面,对本专利技术的实施例ニ进行说明。本专利技术实施例提供了ー种入侵检测方法,使用该方法对实时流量及历史流量中包含的攻击行为进行检测的流程如图2所示,包括步骤200 :接收任务指令,选择相应的工作模式;本步骤中,接收任务指令,在任务指令内指示启动入侵检测,根据任务指令的内容,启动实时模式或非实时模式。步骤201:加载特征库;本专利技术实施例中,建立ー个特征库,并在后续对该特征库进行维护和更新的操作。该特征库中包含了大量入侵行为特征,可随时向该特征库中更新入新的入侵行为特征。步骤202 :获取待分析数据流;本步骤具体分为两种情况I、获取当前实时传输的数据流作为待分析数据流,此时需要接收网络上传输的实时数据流;2、根据任务參数,确定需提取的历史数据流范围,提取符合所述历史数据流范围的历史数据流作为待分析数据流;该任务參数至少包括下列參数的ー项或多项源地址、目的地址、源端ロ、目的端ロ本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.ー种入侵检测方法,其特征在于,包括 加载特征库,所述特征库中包含多个入侵行为特征; 获取待分析数据流; 根据所述特征库分析所述待分析数据流,从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为。2.根据权利要求I所述的入侵检测方法,其特征在于,所述获取待分析数据流具体为 获取当前实时传输的数据流作为待分析数据流。3.根据权利要求I所述的入侵检测方法,其特征在于,该方法还包括 存储历史数据流。4.根据权利要求3所述的入侵检测方法,其特征在于,所述获取待分析数据流具体为 根据任务參数,确定需提取的历史数据流范围,所述任务參数至少包括下列參数的一项或多项 源地址、目的地址、源端ロ、目的端ロ、协议类型、开始时间、结束时间; 提取符合所述历史数据流范围的历史数据流作为待分析数据流。5.根据权利要求3所述的入侵检测方法,其特征在于,该方法还包括 更新所述特征库。6.根据权利要求I所述的入侵检测方法,其特征在于,所述根据所述特征库分析所述待分析...
【专利技术属性】
技术研发人员:周涛,潘宇东,许立广,
申请(专利权)人:北京启明星辰信息技术股份有限公司,北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。