[发明专利]对网络攻击进行检测的方法和装置

说明书

技术领域

本发明涉及计算机应用技术领域，尤其涉及一种对网络攻击进行检测的 方法和装置。

背景技术

随着网络技术的发展，越来越多的企业业务通过互联网来实现，与此同 时，网络安全也成为一个无法回避的问题摆在人们的面前。传统上，企业往 往将防火墙作为网络安全的第一道防线，但由于网络攻击技术手段的日益复 杂，单纯地依靠防火墙，已经无法防范复杂多变的网络攻击行为。入侵检测 系统作为防火墙的补充，已成为检测网络攻击行为更加有效的技术手段。

入侵检测系统通过对网络或系统中的若干关键点收集信息，并对收集到 的信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻 击的迹象。入侵检测系统一般包括3个功能：信息收集、信息分析和结果处 理。信息收集的内容包括系统、数据、网络和用户活动的状态和行为。信息 分析主要指通过模式匹配、统计分析等方法从收集的信息中发现各种可疑或 者攻击行为。结果处理指发现各种攻击行为之后的后续处理过程，通常指报 警或者网络隔离等。

现有技术中的一种基于主机统计指标的入侵检测系统的实现原理示意图 如图1所示，该入侵检测系统的具体处理过程主要包括：将入侵检测设备通过 侧挂的方式部署在网络上，并在入侵检测设备中设置需要进行检测的主机的 监控列表。然后，入侵检测设备根据从网络中获取的报文的IP地址的不同， 分别对监控列表中的各个主机按照主机统计指标进行统计，统计各个主机的 系统日志、文件或者目录的异常变化、程序的可疑行为等，如果某主机的统 计值超过预先设定或者根据训练预测出的阈值，就对该主机进行报警。

在实现本发明过程中，发明人发现上述基于主机统计指标的入侵检测系 统中至少存在如下问题：由于统计数据量大，这种入侵检测系统只能监控预 先设定的部分主机。缺少检测网络异常的网络统计指标，对不引起主机异常 的某些攻击行为不能有效的检测。例如，在针对目标网络的地址扫描攻击 中，攻击者会给目标网络内的每台主机发送一次SYN(Synchronization，同 步)报文，以获取目标网络的主机活动情况，但这不会引起任何一个主机的 异常。

现有技术中的一种基于网络统计指标来检测网络异常的入侵检测系统的 实现原理示意图如图2所示，该入侵检测系统的具体处理过程主要包括：将入 侵检测设备部署在网络设备上，该入侵检测设备从网络设备获取报文，然 后，根据获取的报文对其监视的整个子网按照网络统计指标进行统计，如果 统计值超过预先设定或者通过训练预测出的阈值，就对该子网进行报警。

在实现本发明过程中，发明人发现上述基于网络统计指标来检测网络异 常的入侵检测系统中至少存在如下问题：

与主机统计指标相比，网络统计指标粒度比较粗，对于不引起网络异常 的某些攻击行为不能检测。例如针对某主机的端口扫描，攻击者会在较短的 时间内访问目标主机的大量端口，但如果网络内主机较多，这种异常会被淹 没在正常的网络流量中。同理，针对某个主机的低速率攻击也会因为异常流 量被淹没而无法检测到。

发明内容

本发明的实施例提供了一种对网络攻击进行检测的方法和装置，以克服 现有技术中的基于主机统计指标的检测方法不能检测出不引起主机异常的攻 击行为、基于网络统计指标的检测方法不能检测出不引起网络异常的攻击行 为的问题。

一种对网络攻击进行检测的方法，包括：

从网络设备中获取报文，对所述报文进行解析；

根据解析结果，对所述报文对应的主机监控列表中的主机按照预先设定 的主机统计指标进行主机异常检测，并且对所述主机监控列表中所有主机组 成的子网按照预先设定的网络统计指标进行网络异常检测。

一种检测装置，包括：

报文解析模块，用于从网络设备中获取报文，对所述报文进行解析；

检测处理模块，用于根据所述解析结果，对所述报文对应的主机监控列 表中的主机按照预先设定的主机统计指标进行主机异常检测，并且对所述主 机监控列表中所有主机组成的子网按照预先设定的网络统计指标进行网络异 常检测。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过将 基于主机统计指标的检测方法和基于网络统计指标的检测方法有机结合，并 根据异常的具体情况对实时保存的报文数据进行分析，可以保证在系统资源 有限的情况下，对各种攻击行为进行有效的检测。

附图说明