[发明专利]一种入侵检测方法、系统和装置

说明书

技术领域

本发明涉及计算机网络技术领域，特别涉及一种入侵检测方法、 系统和装置。

背景技术

随着计算机及网络系统中存储的重要信息越来越多，系统的安全 问题日益突出，需要找到更好的措施来保护系统免受入侵者的攻击。 IDS(Intmsion Detection System，入侵检测系统)是继“防火墙”和 “数据加密”等传统安全保护措施之后又一项非常重要的安全保障技 术。

IDS可分为误用检测系统和异常检测系统。误用检测系统预先为 已知系统和应用软件的漏洞建立入侵特征模式库，检测时将接收到的 信息与入侵特征进行模式匹配来判断是否发生了入侵。异常检测系统 预先为系统建立一个正常活动的特征文件，通过统计那些不同于特征 文件的所有系统状态的数量来识别入侵企图。

在实现本发明的过程中，发明人发现现有技术中存在以下缺点：

现有技术中，入侵行为表现出不确定性、复杂性及多样性等特点， 而入侵检测系统只有获取到系统发送对应的新入侵规则后才能检测 出新出现的入侵行为。因此，在没有获取到对应的新入侵规则的情况 下，新的入侵行为无法被发现，进而导致客户端对异常入侵的检测响 应时间长，入侵发现率低，对变异入侵行为的适应能力差。

发明内容

本发明实施例提供一种入侵检测方法、系统和装置，以缩短对异 常入侵的检测响应时间，提高入侵发现率，增强应对变异入侵行为的 适应能力。

为达到上述目的，本发明实施例一方面提供一种入侵检测方法， 包括：

获取(201)报文的异常行为特征；所述获取报文的异常行为特 征，包括：

根据入侵规则对所述报文进行匹配查找，当不匹配时，对所述报 文进行协议分析，获取所述报文对应的网络事件；

根据行为规则库对所述网络事件进行匹配查找，当不匹配时，将 所述网络事件转化为对应的异常行为特征；

根据所述异常行为特征提取(202)初步异常入侵规则，用所述 初步异常入侵规则更新入侵规则数据库，向入侵分析服务器发送所述 初步异常入侵规则和异常行为特征；

接收所述入侵分析服务器发送的根据所述初步异常入侵规则和 异常行为特征提炼的本质入侵规则，并用所述本质入侵规则替换所述 入侵规则数据库的初步异常入侵规则；

所述提炼的本质入侵规则具体为：在所述入侵分析服务器通过计 算发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的 情况下，所述入侵分析服务器继续计算所述两个入侵的内容的相似 性，并提炼出所述两个入侵的内容的共有部分，生成本质入侵规则；

根据所述本质入侵规则对后续接收的报文进行匹配查找(203)， 如果匹配，则视为(205)存在入侵行为。

另一方面，本发明实施例还提供一种入侵检测系统，包括：至少 一个入侵检测子系统(1)及入侵分析服务器(2)；

所述入侵检测子系统，用于获取异常行为特征，提取初步异常入 侵规则，并根据所述初步异常入侵规则对后续接收的报文进行匹配查 找，如果匹配，则视为存在入侵行为；所述获取报文的异常行为特征， 包括：

根据入侵规则对所述报文进行匹配查找，当不匹配时，对所述报 文进行协议分析，获取所述报文对应的网络事件；

根据行为规则库对所述网络事件进行匹配查找，当不匹配时，将 所述网络事件转化为对应的异常行为特征；

所述入侵分析服务器，用于根据所述入侵检测子系统发送的初步 异常入侵规则和异常行为特征提炼本质入侵规则，并向所述入侵检测 子系统发送所述本质入侵规则，由所述入侵检测子系统用所述本质入 侵规则替换所述初步异常入侵规则；

所述提炼本质入侵规则具体为：在所述入侵分析服务器通过计算 发现两个入侵都发生在同一个端口并且主机的扫描率比较接近的情 况下，所述入侵分析服务器继续计算所述两个入侵的内容的相似性， 并提炼出所述两个入侵的内容的共有部分，生成本质入侵规则。

再一方面，本发明实施例还提供一种入侵检测子系统，包括：行 为分析模块、内容跟踪模块、规则提取模块和数据传输模块；

所述行为分析模块，用于将协议分析模块获取的网络事件与行为 规则数据库中的正常行为规则进行匹配，当不匹配时，则将所述网络 事件转化为对应的异常行为特征，触发所述内容跟踪模块；