[发明专利]网络入侵检测方法及装置

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种网络入侵检测方法及装置。

背景技术

入侵检测系统(intrusiondetectionsystem，简称“IDS”)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

然而目前的IDS系统也具有一些缺点，例如，由于模式识别技术的不完善，IDS的高误报率也是它的一大问题。因此在很多情形下需要依赖于人工分析相关的入侵数据从而应对无法自动处理的网络入侵，或者改善IDS系统的检测规则。

发明内容

有鉴于此，有必要提供网络入侵检测方法及装置，其可提升分析网络入侵数据的便利性。

一种网络入侵检测方法，用于一个待检测的网络系统中，所述方法包括：从所述待检测网络系统中处抓取网络数据包；根据预定的检测规则分析是否触发网络入侵事件；若检测到网络入侵事件则解析出所述网络入侵事件的来源IP地址；以及在预设的时间段内持续记录所有与所述来源IP地址相关的数据包。

一种网络入侵检测装置，用于一个待检测的网络系统中，所述装置包括：事件产生模块，用于从所述待检测网络系统中处抓取网络数据包，根据预设的检测规则抓取的数据包是否属于网络入侵数据包；事件分析模块，用于根据所述事件产生模块输出的数据包分析是否触发网络入侵事件；响应模块，用于若检测到网络入侵事件则解析出所述网络入侵事件的来源IP地址以及在预设的时间段内持续记录所有与所述来源IP地址相关的数据包。

根据上述的方法及装置，通过记录所有与所述来源IP地址相关的数据包，可以清晰的还原网络入侵的整个过程，从而提供对于特定网络入侵事件所有相关数据的回溯分析能力，提升了安全维护人员在分析网络入侵事件时的便利性。

为让本发明的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，作详细说明如下。

附图说明

图1为一种网络系统的架构示意图。

图2为第一实施例的网络入侵检测装置的模块图。

图3为图2的网络入侵检测装置的入侵检测模块的框图。

图4为第二实施例的网络入侵检测装置的模块图。

图5-图8分别为第二实施例的网络入侵检测装置应用于图1所示的网络系统中不同的数据交互示意图。

图9为第三实施例的网络入侵检测方法的流程图。

图10为第四实施例的网络入侵检测方法的流程图。

图11为第五实施例的网络入侵检测方法的流程图。

图12为第六实施例的网络入侵检测方法的流程图。

具体实施方式

为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明实施例提供一种网络入侵检测方法，其可用于网络系统中。参阅图1，其为一个典型的网络系统的架构示意图。网络系统100包括路由器10、防火墙11、交换机12、终端计算机13、以及服务器14。

其中，路由器10直接与外部网络(如互联网)相连，防火墙11设置于路由器10与交换机12之间，交换机12直接负责提供终端计算机13与服务器14的网络接入。

入侵检测系统15与防火墙11相连，其可监视所以流经防火墙11的数据，无论是从交换机12上行至路由器10的数据，还是从路由器10下行至交换机12的数据。按照图1所示架构，入侵检测系统15属于旁路部署式架构，也就是说入侵检测系统15本身并不改变现有的网络架构，只是读取并监视网络上传输的数据。然而，入侵检测系统15也可以采用串行的方式部署在网络系统100中。例如，入侵检测系统15可以连接于路由器10与防火墙11之间，或者连接于防火墙11与交换机12之间。

具体地，入侵检测系统15可以包括一台或者多台计算机。在一个实例中，入侵检测系统15包括一台计算机。参阅图2，入侵检测系统15包括存储器102、处理器104、存储控制器106、外设接口108、以及网络模块110。可以理解，图2所示的结构仅为示意，其并不对入侵检测系统15的结构造成限定。例如，入侵检测系统15还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。