专利名称:网络入侵检测系统的利记博彩app
技术领域:
本发明涉及一种入侵检测系统,特别涉及一种可以针对不同资源消耗进行相应调
整的入侵检测系统。
背景技术:
以往,网络安全的解决方案多由防毒软件与防火墙达到基本的网络安全防护。由防毒软件避免计算机系统感染计算机病毒,再由防火墙保障私人数据不被窃取。虽然靠着防火墙与防毒病毒可控管大部分意图入侵计算机系统者的恶意入侵,但部分黑客仍可突破防火墙入侵计算机系统。网络入侵检测系统(Intrusion Detection System, IDS)技术遂发展成为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术,由入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。入侵检测系统主要是通过监视与分析计算机系统的网络活动,由分析接收的所有网络封包,发现系统中未授权或异常的网络封包活动,并于遭受入侵活动时,实时对异常的存取行为发出警报,并将统计分析的结果记录于报表。 一般而言,网络入侵检测系统可以是计算机/服务器,其架设于因特网的重要节点,例如内部网络的边界路由器后端、或重要的(欲保护的)服务器/计算机主机前端,以在检测到恶意攻击或可疑的联机活动时,实时发出警示信号,进而阻断或滤除恶意联机所产生的攻击,避免内部网络遭受攻击而造成数据被窃取或损坏。网络入侵检测主要检测手法为特征比对检测(Signature Based Detection)、异常行为检测(BehavioralA謹alyDetection)、以及异常通讯协议检测(Protocol Anomaly Detection)。网络入侵检测系统的服务器检查网络联机状态与流经网络入侵检测系统服务器的所有传输封包的内容,当发现网络攻击事件、或符合网络入侵检测系统管理者所定义的异常事件时,即发出警示通知网络入侵检测系统管理者进行防御,或进一步将异常事件记录在程序或日志文件内。 以目前网络入侵检测技术上看来,分为基于网络或基于主机的入侵检测系统两大类。基于网络的网络入侵检测系统系将网络入侵检测系统的主机放置于网络区段中较重要的端点,由对流经网络入侵检测的主机的每一个数据封包,或可疑的封包类型进行特征分析;基于主机的网络入侵检测系统主要是对主机或系统的网络联机日志(Login File)进行分析判断。然而不管是哪类的网络入侵检测系统,进行入侵检测时皆需消耗相当的系统资源。网络入侵检测系统需分析每一个封包的类型甚至需针对封包内容进行解析。
但对于入侵检测系统的主机而言,并非所有时段都是处于高负载。而且入侵检测系统的主机的处理能力有限。当主机处于高负载状态时,主机在处理所有检查规则时,势必耗费比低负载时更多的时间。
发明内容
鉴于以上的问题,本发明的主要目的在于提供一种网络入侵检测系统,网络入侵检测系统用以进行网络封包的检测与监控,网络入侵检测系统是根据当前的负载量决定检测规则的加载与运行。 为达到上述目的,本发明所揭露的网络入侵检测系统包括有网络连接单元、储存单元与处理单元。网络连接单元接收来自客户端的多个网络封包;储存单元用以储存网络封包、警报分析程序、多笔检测规则与多笔运行策略,警报分析程序用以检测网络封包的内容是否符合检测规则,对每一检测规则指派相应的资源消耗级别,并根据资源消耗级别的不同将检测规则归类至相应的运行策略中;处理单元电性连接于网络连接单元与储存单元,处理单元根据下述步骤决定是否运行检测规则分别获取处理单元的设备负载量与网络连接单元的存取负载量;根据设备负载量与存取负载量,决定处理单元的负载级别;根据当前的负载级别,用以决定运行相应的运行策略与是否对每网络封包执行警报分析程序。 本发明提供了一种入侵检测系统,其是根据不同威胁程度或执行频率对检测规则进行分级,将其划分至不同的运行策略中。并且根据不同的负载消耗时段进行相应的运行策略。使得在网络存取量大的时候,可以对实时性较低的检查规则不提供实时的反映,在入侵检测系统的资源消耗较低的时候才执行一检查规则,反之亦然。如此一来,入侵检测系统可以在高资源消耗的时段中,提供较高的处理效能。 以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1为本发明较佳实施例的入侵检测系统的网络拓璞示意图
图2为本发明的运作流程示意图3为各负载级别的运作示意图。
其中,附图标记
110入侵检测系统120局域网络121 - 126 计算机主机130因特网
具体实施例方式
下面结合附图对本发明的结构原理和工作原理作具体的描述 图1为本发明较佳实施例的入侵检测系统的网络拓璞示意图。请参照图l,在本实施例中,所有网络封包皆会流经边界节点,因此将入侵检测系统110架设于例如局域网络120的边界节点(或边界路由器)将带有恶意入侵/攻击行为内容的网络封包(以下称为恶意封包)加以滤除,以保护局域网络120内部的计算机主机(121 126)免于来自因特网130的恶意封包侵袭。 在本发明的入侵检测系统的主机中至少包括有网络连接单元、储存单元与处理单元。网络连接单元用以连接至外部网络/内部网络的客户端,并用以接收客户端所发送的网络封包。储存单元用以储存所接收的网络封包、警报分析程序(Alert correlation)、多笔检测规则与多笔运行策略。 检测规则中包括病毒特征代码、系统漏洞特征、多条入侵行为规则及对应入侵行为规则的预设通讯协议、来源地址、以及连接端口号。例如,对阻断式服务攻击
(distributed denial-of-service,简称DDoS)的检测规则如下表1所示
检测规则检测内容
检测规则一目的地port :445, 协定TCP,
封包数2, 封包大小96
检测规则二目的地port :445, 协定TCP, 封包数1, 封包大小48
检测规则三协定TCP, 封包数2, 封包大小96 表1. DDoS规则示意表 当网络封包被找出符合检测规则时,则再将由警报分析程序对网络封包进行检
验。接着,再对每一检测规则指派相应的资源消耗级别,并根据资源消耗级别的不同将检测
规则归类至相应的运行策略中。处理单元电性连接于网络连接单元与储存单元,处理单元
根据下述步骤用以检测所接收的网络封包。 请参考图2所示,其为本发明的运作流程示意图。 资源监视程序获取处理单元的设备负载量与网络连接单元的存取负载量(步骤S210)。 根据设备负载量与存取负载量,决定处理单元的负载级别(步骤S220)。 根据当前的负载级别,判断运行相应的运行策略与是否对每一网络封包执行警报
分析程序(步骤S230)。 当负载级别为闲置级别时,则处理单元运行低等运行策略并对每一网络封包进行警报分析程序(步骤S241)。 由警报分析程序统计检测规则的被执行次数,用以决定是否改变检测规则的优先权(步骤S242)。 当负载级别为中等级别时,则处理单元运行中等运行策略,并对符合中等运行策略的网络封包进行警报分析程序(步骤S250)。 当负载级别为忙碌级别时,则处理单元运行高等运行策略(步骤S260)。 再每经过预定的监控时间后,处理单元重新获取设备负载量与存取负载量,再重
5新决定当前的负载级别(步骤S270)。 本发明与现有技术的差异在于,对于检测规则的执行顺序与方式。检测规则包括 多条入侵行为规则及对应该些入侵行为规则的预设通讯协议、来源地址、以及连接端口号。 在步骤S210与S220是根据处理单元与网络连接单元的负载程度对检测规则做出相应的分 级。为能更清楚说明如何将检测规则划分至运行策略与如何决定相应的负载级别,在此以 下述例子作为说明,但其中的设定参数并非仅限于此。 首先获取处理单元的设备负载量(Rc)与网络连接单元的存取负载量(Rn)。设备 负载量(Rc)指的是处理单元的使用率,存取负载量(Rn)是网络连接单元单位时间中的网 络封包存取比率。而入侵检测系统的资源消耗(Rr)是为
Rr = Rc*rightl+Rn*right2 rightl与right2分别为对设备负载量与存取负载量的加权值,加权值则根据处 理单元与网络连接单元的处理能力所决定。举例来说,在一个额定的网络状态下,处理单元 的设备负载量、网络封包的存取负载量与内存使用量等各设备的处理量统计出适当的一组 加权值,或者由使用者自行设定该加权值。接着,根据资源消耗的程度设定不同的负载级 别。特别需要说明的是,负载级别除了可以设定在一固定时段,亦可以根据资源消耗程度作 为区分。 若是以固定时段为例,则可以将负载级别划分成闲置时段、中等时段与忙碌时 段。当入侵检测系统的资源消耗小于预定门坎值时,则将其设定为闲置时段。在此假设 入侵检测系统的处理能力的33%为第一门坎值(Lm),且入侵检测系统的处理能力的66X 为第二门坎值(Lh)。当资源消耗小于第一门坎值(Lm)时,则为入侵检测系统处于闲置时 段,反之则是处与中等时段。若是资源消耗大于第二门坎值(Lh)时,则入侵检测系统是处 于忙碌时段。其中,对第一门坎值(Lm)与第二门坎值(Lh)需要特别说明的是,第一门坎 值(Lm)是大于入侵检测系统的各设备的负载总量(Rca)与总存取负载量(Rcc)之和(意 即(Rca+RCC)*rightl <Lm)。而第二门坎值对第一门坎值之差值(Lh-Lm)是大于入侵检 测系统的各设备的负载总量(Rca)与总存取负载量(Rcc)之和(意即(Rca+RCC)*rightl < (Lh-Lm))。 入侵检测系统根据当前的负载级别用以决定是否执行相应的检测规则。承接上述 例子,负载级别是为闲置时段、中等时段与忙碌时段。入侵检测系统在闲置时段时,入侵检 测系统会根据警报分析程序的执行频率调整检测规则的优先权。举例来说,若是有恶意的 客户端持续的发送具有攻击性的网络封包时,入侵检测系统会根据当前的负载级别做出相 应的检测规则调整。当负载级别为闲置时段/中等时段时,入侵检测系统会将所有(或是 高优先权)的检测规则启动。并且统计警报分析程序被恶意客户端所触发的频率,当触发 的频率大于警戒门坎时,则将恶意客户端所触发的相关检测规则的优先权提高,反之亦然。
若是入侵检测系统处于忙碌时段时,则处理单元仅运行高等运行策略。换句话说 就是仅执行高优先权的检查规则,并且暂时不执行警报分析程序对网络封包的处理,直至 处理单元的负载级别降至中等时段/闲置时段才恢复执行警报分析程序。请参考图3所示, 其为各负载级别的运作示意图。 图3由左至右分别为闲置时段、中等时段与忙碌时段。在不同的负载级别中,入侵 检测系统均加载相同的服务,但是对于检测规则与警报校验程序则有所差异。在闲置时段
6中,入侵检测系统会挂载所有的检测规则与警报校验程序。在中等时段中,入侵检测系统会 挂载部分的检测规则与警报校验程序。而忙碌时段,入侵检测系统仅会执行高优先权的检 测规则,并且暂不执行警报校验程序。 此夕卜,为能实时的监测不同时间的状态。所以在每经过一监控时间后,入侵检测系 统会判断当前设备负载量与存取负载量,再重新决定负载级别。资源监视程序在不同负载 级别时亦可以设定其监控频率。假设入侵检测系统在闲置时段中,将资源监视程序设定为 一小时扫瞄6次;在中等时段中,将资源监视程序设定为一小时扫瞄5次;在忙碌时段中,
将资源监视程序设定为一小时扫瞄3次。因为在闲置时段中,处理单元可以有较多的能力 来应用其它程序的资源消耗,反之,在忙碌的时候则减少对处理单元的负载。当资源监视程 序在时间内检测到处理单元的资源消耗超过上述门坎时,则改变处理单元的负载级别。
本发明提供了一种入侵检测系统,其是根据不同威胁程度或执行频率对检测规则 进行分级,将其划分至不同的运行策略中。并且根据不同的负载消耗时段进行相应的运行 策略。使得在网络存取量大的时候,可以对实时性较低的检查规则不提供实时的反映,在入 侵检测系统的资源消耗较低的时候才执行一检查规则,反之亦然。如此一来,入侵检测系统 可以在高资源消耗的时段中,提供较高的处理效能。 当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟 悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变 形都应属于本发明所附的权利要求的保护范围。
权利要求
一种网络入侵检测系统,该网络入侵检测系统用以进行网络封包的检测与监控,其特征在于,该网络入侵检测系统包括一网络连接单元,用以接收客户端的多个网络封包或发送该些网络封包至客户端;一储存单元,其用以储存所接收的该些网络封包、一警报分析程序、一资源监视程序、多笔检测规则与多笔运行策略,根据该些检测规则用以对该些网络封包进行检测,并将符合该些检测规则的该些网络封包交由该警报校验程序进行分析,对每一该检测规则指派相应的一资源消耗级别与一优先权,并根据该资源消耗级别的不同将该检测规则归类至相应的该运行策略中;以及一处理单元,其电性连接于该网络连接单元与该储存单元,该处理单元根据下述步骤决定是否运行该些检测规则由该资源监视程序获取该处理单元的一设备负载量与该网络连接单元的一存取负载量;根据该设备负载量与该存取负载量,决定该处理单元的一负载级别;以及根据当前的该负载级别,运行相应的该运行策略用以检测该些网络封包,并且决定对每一该网络封包执行该警报分析程序。
2. 根据权利要求1所述的网络入侵检测系统,其特征在于,该运行策略包括有一低等 运行策略、一中等运行策略与一高等运行策略,且该负载级别包括有一闲置级别、一中等级 别与一忙碌级别。
3. 根据权利要求2所述的网络入侵检测系统,其特征在于,在执行该警报分析程序中 还包括下列步骤当该负载级别为该闲置级别时,则该处理单元运行该低等运行策略并对每一该网络封 包进行该警报分析程序;当该负载级别为该中等级别时,则该处理单元运行该中等运行策略,并对符合该中等 运行策略的该些网络封包进行该警报分析程序;以及当该负载级别为该忙碌级别时,则该处理单元运行该高等运行策略。
4. 根据权利要求3所述的网络入侵检测系统,其特征在于,当该负载级别为该闲置级 别时还包括以下步骤由该警报分析程序统计该些检测规则的被执行次数,决定是否改变该检测规则的该优 先权。
5. 根据权利要求1所述的网络入侵检测系统,其特征在于,在运行该检测规则中还包 括下列步骤每经过一监控时间后,重新获取该设备负载量与该存取负载量,用以决定当前该监控 时间的该负载级别。
6. 根据权利要求1所述的网络入侵检测系统,其特征在于,该检测规则包括多条入侵 行为规则及对应该些入侵行为规则的预设通讯协议、来源地址、以及连接端口号。
7. 根据权利要求1所述的网络入侵检测系统,其特征在于,该处理单元还包括根据该 些网络封包中的通讯协议、来源地址、以及连接端口号,自动新增对应的该检测规则。
全文摘要
一种网络入侵检测系统,网络入侵检测系统用以进行网络封包的检测与监控,网络入侵检测系统是根据当前的负载量决定检测规则的加载与运行,其包括网络连接单元、储存单元与处理单元。处理单元根据所接收的网络封包用以运行警报分析程序、多笔检测规则与多笔运行策略;警报分析程序用以检测网络封包的内容是否符合检测规则,对检测规则指派资源消耗级别,根据资源消耗级别将检测规则归类至相应的运行策略中;根据设备负载量与存取负载量,决定处理单元的负载级别;根据负载级别,决定处理单元所运行的运行策略与警报分析程序。
文档编号H04L12/26GK101789885SQ200910008508
公开日2010年7月28日 申请日期2009年1月23日 优先权日2009年1月23日
发明者孙萌, 陈玄同 申请人:英业达股份有限公司