专利名称:网络入侵事件风险评估方法及系统的利记博彩app
技术领域:
本发明涉及计算机网络安全领域,是一种网络入侵监测系统(NIDSNetwork Intrusion Detection System)和脆弱性扫描系统(Scanner)协同工作的方法和系统,以降低IDS报警事件的数据量和提高IDS报警事件的精确程度。
背景技术:
NIDS安装在被保护的网段中,其监听网卡工作在混杂模式下,依据网络行为特征同特征库(知识库)进行模式匹配分析网段中所有的数据包,进行网络安全事件的实时检测和响应。在事件上报的数据量和检测的准确性方面,这种单一的匹配检测方法存在着一定程度的缺陷。简单地举个例子就可以说明这一点,设想下面的一个环境某企业内网中运行这一台WEB服务器Server_WEB,运行的操作系统是Linux,出于安全考虑,这台服务器仅开放端口80提供WEB服务,而关闭了FTP端口20、21和TELNET端口23等其它端口。这台WEB服务器位于企业内网部署的IDS的监控范围之内,即如果IDS不存在漏报,那么IDS就可以有效地检测到一切对于Server_WEB进行的入侵攻击。假设处于企业外网的一名黑客对该服务器进行了基于FTP服务的用户口令穷举猜解,那么事实上由于该服务器没有提供FTP服务并且关闭了21端口,所以此次入侵并不能真正形成威胁,但由于传统的IDS并没有关于该服务器系统配置的记录,也会报出这条事件来。因此有必要结合其他手段和技术来提高IDS报警事件的精确程度。
而脆弱性扫描系统则可以比较准确的扫描出内部网络中的各主机的操作系统、开放的端口和存在的漏洞等信息。这样IDS的入侵事件通过与脆弱性扫描系统周期性的扫描结果进行关联分析,将无效事件进行过滤,将有效事件的风险程度进行计算,就能大大提高IDS报警结果的可用性。
发明内容
本发明的目的就是设计一种与IDS协同工作的方法和系统,以提高IDS报警事件的准确度,使IDS用户从巨大的事件数据量中解脱出来,而将更多的精力放在解决真正是有效的网络攻击事件上。为实现上述目的,本发明实现了一种网络入侵事件进行有效性分析和风险评估计算方法和系统,通过它可以结合IDS和Scanner的安全功能,使它们能够协同工作,从而降低IDS报警事件的数据量和提高IDS报警事件的精确程度。
该系统包括1、引擎模块单元按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算的,主要是将IDS上报的入侵事件与Scanner最新的扫描结果进行匹配分析;其中使用的分析方法包含(1)对入侵检测系统报出事件的端口和所宿主机的端口扫描结果进行匹配,包括TCP和UDP端口;(2)对入侵检测系统报出事件的所属操作系统和所宿主机的操作系统扫描结果进行匹配;(3)对入侵检测系统报出事件所对应的漏洞和所宿主机的漏洞扫描结果进行匹配;(4)根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行的风险评估计算;(5)输出分析计算后的匹配结果和风险指数;2、引擎的控制和设置模块单元主要是对引擎工作状态进行控制及查询,设置需要监控的IP范围及引擎的工作匹配模式。
其主要功能包括(1)控制及查询引擎的工作状态,如是否启动、停止等;(2)设置需要进行入侵风险评估的主机的IP范围,也就是需要进行脆弱性扫描的主机IP范围;(3)设置引擎的工作匹配模式,包括是否设置端口匹配、主机操作系统匹配以及漏洞匹配等。
3、脆弱性扫描设置模块单元设置对监控主机周期性脆弱扫描的相关参数,包括是否周期性扫描、每次扫描的日期时间、每次扫描工作的最大线程数,设置完毕后,扫描任务就立即生效。
4、网络资产管理模块单元设置和管理网络主机的资产信息,资产信息可以从脆弱性扫描的结果中导入,并可以进行修改和删除。
5、入侵事件风险评估结果显示和报表模块单元将引擎对入侵事件与扫描结果进行匹配和风险评估计算的结果在用户界面上显示出来,以便于用户查看和分析;同时在报表模块中还可以对结果进行统计、分析、归档等。
本专利中所申请的网络入侵事件风险评估方法及系统,具有以下优点1、将两个主要的网络安全产品IDS和Scanner进行了无缝结合,突出的体现了各自的优点和互补性,弥补了各自的缺陷,提高了它们的使用价值;2、对入侵事件的风险程度进行了全面准确的分析,使用户能够将主要精力集中在高风险程度的入侵事件上;3、可以有效地降低入侵检测系统的误报率,提高其报告事件的准确率。
图1.系统实现框架图。
图2.系统实现流程图。
具体实施例方式
对行为关联事件描述语言的软件实现结构,见说明书附图2。本系统工作于IDS和SCANNER之上,它主要是利用IDS和SCANNER所报的结果进行分析,剔除误报的事件,并对有效事件进行风险评估。
引擎启动后会定时根据指定IP范围取得所有IP的最新脆弱性扫描结果,其数据结构如下typedef struct{//指定IP范围扫描任务的IDDWORD dwTID;//扫描任务dwTID扫描完成时间,用以标定是否是最新的结果time_t tCurrentTime;//扫描任务dwTID的扫描结果map<DWORD,Single IPScanLog>map_ScanLog;//标定该扫描结果是否正在使用LONG nSLCounter;}MapScanLog;其中map_ScanLog根据事件漏洞对应表对扫描结果与相关的事件ID进行关联和排序,以提高引擎对上报事件查询、检索和分析的速度。
每当IDS上报一条攻击事件时,引擎首先分析该事件是与事件的源IP相关还是目的IP相关,也就是该攻击特征是针对源IP还是目的IP的;然后检查该相关的IP是否在指定的IP范围内如果不在指定的IP范围内就放弃这条事件;如果在指定的IP范围内,则分别与扫描结果中的端口信息、操作系统信息、事件ID进行匹配,并取得匹配结果。然后根据匹配结果MV(取值范围0~3)、该事件的风险级别EL(四个级别1~4)、对应漏洞的危险级别VL(三个级别2~4)来得到该事件的风险评估结果RV。事件的风险评估计算公式为RV=(MV*EL*VL)/(3*4*4)*100%。RV值越高表示该入侵事件的攻击可能性越大,反之就越小。
权利要求
1.一种网络入侵事件风险评估方法,其特征在于根据所宿主机的脆弱性扫描结果对入侵检测系统报出事件进行关联分析和风险评估计算或根据脆弱性扫描系统的周期性扫描结果对IDS上报事件的准确性和威胁性进行关联分析和风险评估计算。
2.根据权利要求1所述的网络入侵事件风险评估方法,其特征在于关联分析包含(1)对入侵检测系统所报事件的端口和所宿主机开放的端口扫描结果进行匹配,包括TCP和UDP端口;(2)对入侵检测系统报出事件的所属操作系统和所宿主机的操作系统扫描结果进行匹配;(3)对入侵检测系统报出事件所对应的漏洞和所宿主机的漏洞扫描结果进行匹配;(4)根据以上的匹配结果以及漏洞的危险级别、事件的威胁程度进行的风险评估计算;(5)输出分析计算后的匹配结果和风险。
3.一种网络入侵事件风险评估系统,该系统包括一计算机主机,一网络服务器,多个终端服务器,数据存储装置,网卡,以及数据输入装置和输出装置,其特征在于该系统还包括(1)分析引擎模块单元按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算,将IDS上报的入侵事件与Scanner最新的扫描结果进行匹配分析;(2)引擎的控制和设置模块单元是对引擎工作状态的启动、停止进行控制及查询,设置需要监控的IP范围及匹配方式;(3)脆弱性扫描设置模块单元设置对监控主机周期性脆弱扫描的相关参数,包括是否周期性扫描、每次扫描的日期时间、每次扫描工作的最大线程数,设置完毕后,扫描任务就立即生效;(4)网络资产管理模块单元设置对监控主机周期性脆弱扫描的相关参数,管理网络主机的资产信息;(5)事件风险评估结果显示和报表模块单元将引擎对入侵事件与扫描结果进行匹配和风险评估计算的结果在用户界面上显示出来,便于用户查看和分析;同时在报表模块中还可以对结果进行统计、分析、归档。
全文摘要
本发明涉及一种网络入侵事件的有效性分析过滤、风险评估的方法及系统,它包括1.按照设定的条件对入侵事件进行有效性分析过滤和风险评估计算的引擎模块单元;2.对引擎模块的控制和管理单元;3.入侵事件风险评估结果显示和报表模块单元。入侵风险评估主要是在入侵检测系统(IDS)中引入了周期性的漏洞扫描结果,这样,在综合比较入侵特征和漏洞扫描得到的结果后就可以对网络中所存在的漏洞与攻击所产生的威胁进行一个更加全面和更加准确的描述与评价,从而极大的降低了IDS的误报率和提高了准确率,弥补了IDS本身固有的缺陷。
文档编号H04L12/24GK1741472SQ20051008635
公开日2006年3月1日 申请日期2005年9月5日 优先权日2005年9月5日
发明者李剑彪, 骆拥政, 韩冰, 姚志武 申请人:北京启明星辰信息技术有限公司