[发明专利]一种事件的检测方法及装置

说明书

技术领域

本发明涉及针对数据包在事件层面的检测技术领域，尤其是涉及一种针对事件的检测方法和装置，特别适用于网络入侵检测领域。

背景技术

入侵技术的发展给检测造成了很大的困难，传统的基于字符串匹配的网络入侵检测系统，如Snort(参见文献1：Snort：Lightweight IntrusionDetection for Networks，M Roesch-LISA，1999)，只能根据截取到的单个网络数据包中是否具有一定的字符特征，或是靠某些特定的端口是否打开来判断攻击，而不能把攻击作为一个过程来真实地加以考查，因而导致漏报率和误报率均比较高。

根据攻击可以被检测出来的方法，Sandeep Kumar把攻击分为“存在”、“顺序”和“偏序”等类型(参见文献2：S.Kumar and E.H.Spafford.APattern Matching Model for Misuse Intrusion Detection.In Proc.ofthe 17th National Computer Security Conference，1994)，“存在”型是指一旦发现某一事实，即可认定为攻击发生；“顺序”型是指一系列的事件只有按照固定的顺序发生，才能确认为攻击，这种类型的攻击检测要求能够保存变量，用于以后的判断；“偏序”型要比“顺序”来得宽一些，它并不要求一系列的事件按照固定的顺序发生才能确认为攻击，典型的例子是，事件C发生之前，事件A和事件B发生了，至于事件A和事件B谁先谁后，是无所谓的，即满足偏序关系。

这对于入侵检测、防御系统的设计者提出了方法论上的要求，即所使用的检测模型，必须能够充分、简洁地表达出各种具有“存在”，“顺序”，“偏序”特征的攻击，并在此基础上，高效地识别出攻击。

为了实现这个目标，人们一开始试图利用变量来保存状态，并根据这个思路设计了一些过程性语言进行状态检测，比如NFR的N-Code语言(参见文献3：W.Lee，C.Park and S.Stolfo，Automated Intrusion Detectionusing NFR：Methods and Experiences，USENIX Intrusion DetectionWorkshop，1999)、SecureNet Pro的SNP-L语言，V.Paxson开发的开源软件Bro语言(参见文献4：V.Paxson，Bro：A System for DetectingNetwork Intruders in Real-Time，USENIX Security Symposium，1998)，在这些系统中，攻击规则使用过程性的语句来书写，并使用变量来保存状态，这就导致规则开发者在开发攻击检测规则时，必须深入了解语言本身的执行机制。这对于一个小的系统并不是什么问题，但是如果开发的是一个大型的入侵检测系统，需要十几个、几十个甚至上百人来开发协议级检测模块以及攻击规则时，要求每个人对检测语言本身内部的执行机制都有深入的理解是非常困难的，这一障碍使得这些系统的可扩展性和可维护性很差。