[发明专利]入侵检测方法和系统

权利要求书

1.一种入侵检测方法，用于检测网络的目标系统的未授权使用或异 常活动，包括以下步骤：

-对与所述目标系统有关的每个漏洞和／或利用一个或多个漏洞的每 个攻击创建所定义的前提；

-创建与所述所定义的前提对应并考虑目标边界的保障基准；

-捕获与所述目标系统有关的数据；

-将所捕获的数据与攻击签名进行比较，以在所捕获的数据与至少一 个攻击签名匹配时，生成至少一个安全警报；

-根据所述目标边界的监控捕获保障数据；

-将所述保障数据与保障基准进行比较，以在所述保障数据与至少一 个保障基准匹配时生成保障信息；

-获取所生成的至少一个安全警报的前提；

-检查与所获取的前提对应的保障信息是否已被获取；

-当所生成的至少一个安全警报和所述所生成的至少一个安全警报的 所获取的前提都与至少一个对应的保障信息匹配时，生成验证后的安全警 报；

-当在所述所生成的至少一个安全警报的所获取的前提与至少一个对 应的保障信息之间没有发现匹配时，过滤所述所生成的至少一个安全警报；

-当对于所述所生成的至少一个安全警报没有获取前提和／或与所述 所生成的至少一个安全警报的所获取的前提对应的保障基准没有被创建 时，发出未经验证的安全警报。

2.根据权利要求1的入侵检测方法，其中，在检测到所述安全警报之 后，进行强化过程，所述强化过程包括：对每一个新漏洞或利用一个或多 个漏洞的攻击定义将被监控的保障基准；对所述新漏洞的每一个或利用一 个或多个漏洞的攻击定义安全事件；以及对所述安全事件定义前提。

3.根据权利要求2的入侵检测方法，包括：以关联引擎可理解的语言 转换所述安全警报。

4.一种入侵检测系统，用于检测网络的目标系统的未授权使用或异常 活动，包括：

-用于对与所述目标系统有关的每个漏洞和／或利用一个或多个漏洞 的每个攻击创建所定义的前提的装置；

-用于创建与所述所定义的前提对应并考虑目标边界的保障基准的装 置；

-用于捕获与所述目标系统有关的数据的嗅探器；

-用于将所捕获数据与攻击签名进行比较，以在所捕获的数据与至少 一个攻击签名匹配时，生成至少一个安全警报的装置；

-用于根据所述目标边界的监控捕获保障数据的装置；

-用于将所述保障数据与保障基准进行比较，以在所述保障数据与至 少一个保障基准匹配时生成保障信息的装置；

-用于获取所生成的至少一个安全警报的前提的装置；

-用于检查与所获取的前提对应的保障信息是否已被获取的装置；

其中，当所生成的至少一个安全警报和所述所生成的至少一个安全警 报的所获取的前提都与至少一个对应的保障信息匹配时，所述系统生成验 证后的安全警报；

当在所述所生成的至少一个安全警报的所获取的前提与至少一个对应 的保障信息之间没有发现匹配时，所述系统过滤所述所生成的至少一个安 全警报；

当对于所述所生成的至少一个安全警报没有获取前提和／或与所述所 生成的至少一个安全警报的所获取的前提对应的保障基准没有被创建时，

所述系统发出未经验证的安全警报。