[发明专利]主机入侵检测方法及系统

权利要求书

1.一种主机入侵检测方法，其特征在于：是在截获主机行为的基础之上，寻找主机行为与入侵行为间的关联性，并根据规则定义，产生报警和其它指定行为；

该方法包括如下步骤：

步骤1、定义规则；

步骤2、在控制中心应用规则，规则被自动下发到所有主机引擎上并被应用；

步骤3、根据入侵行为的增加、改变、失效更新规则库。

2.根据权利要求1所述的一种主机入侵检测方法，其特征在于：定义规则包括如下步骤：

(1)定义事件规则：可以针对主机系统的注册表、文件系统、日志系统、网络驱动和关键应用程序的异常状况进行定义；

(2)定义事件响应规则：针对事件规则中定义的异常提供只报警、只日志、阻断、报警+日志、日志+阻断、报警+阻断、报警+日志+阻断的处理。

3.根据权利要求1、2所述的一种主机入侵检测方法，其特征在于：定义规则包括事件变量和行为标识两大部分；

事件变量需要包含事件名称、事件ID，事件分类ID，可支持逻辑操作符描述和事件文字描述5个要素；

行为标识为对于事件对象有意义的行为，依赖事件变量的分类不同而不同。

4.根据权利要求1所述的一种主机入侵检测方法，其特征在于：按照“时间”和“重复程度”合并归纳报警信息。

5.根据权利要求1所述的一种主机入侵检测方法，其特征在于：监视自身进程和监测结果被篡改的事件。

6.根据权利要求1所述的检测方法的一种主机入侵检测系统，该系统包括一台或多台部署控制端的Windows主机，一台或多台部署引擎的Windows主机，网络连接设备等，其特征在于：控制端形成层次性部署，部署主控制端的主机只有一台；所有引擎接受控制端的控制并向其反馈报警信息，规则匹配在引擎端发生。

7.根据权利要求3所述的检测方法的一种主机入侵检测系统，该系统包括一台或多台部署控制端的Windows主机，一台或多台部署引擎的Windows主机，网络连接设备等，其特征在于：控制端形成层次性部署，部署主控制端的主机只有一台；所有引擎接受控制端的控制并向其反馈报警信息，规则匹配在引擎端发生。

8.根据权利要求6所述的一种主机入侵检测系统，其特征在于：监视的行为对象包括：

1)注册表键、值；

2)文件和目录；

3)危险系统管理行为；

4)值得注意的sql server数据库操作；

5)值得注意的IIS行为；

6)不合常规的网络访问。