一种网络入侵检测的方法、装置和系统的利记博彩app

一种网络入侵检测的方法、装置和系统的利记博彩app
【专利摘要】本发明公开了一种网络入侵检测的方法、装置和系统。所述方法包括：在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息；检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。本发明实施例，综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测，提高了网络入侵检测的全面性和准确性。同时，本发明实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程，在保证网络数据能及时传输到内部计算机的同时，还实现了网络入侵检测。
【专利说明】一种网络入侵检测的方法、装置和系统
【技术领域】
[0001]本发明涉及通信及计算机【技术领域】，尤其涉及一种网络入侵检测的方法、装置和系统。
【背景技术】
[0002]互联网(Internet)蓬勃发展到今天，计算机系统已经从独立的主机发展到复杂、互连的开放式系统，这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息，早已成为人们重要的沟通方式之一，随之而来的各种攻击事件与入侵手法更是层出不穷，引发了一系列安全问题。因此为了保护用户网络环境的安全，及时发觉网络入侵行为，网络入侵检测系统便应运而生。
[0003]传统的网络入侵检测系统包括防火墙、入侵检测系统和交换机，如图1所示。其中，网络数据是在通过防火墙之后、进入交换机之前接入到入侵检测系统进行检测。由于防火墙和入侵检测系统都要对进入内部计算机的的网络数据进行检测，因此造成网络数据不能及时传输到内部计算机，导致内部计算机用户对网络数据使用效率低。另外，因传统的入侵检测系统中待检测的数据来源不够全面，对入侵检测结果的准确性造成一定影响。

【发明内容】

[0004]本发明实施例提供一种网络入侵检测的方法、装置和系统，用于解决现有网络入侵检测技术使得网络数据不能及时传输到内部计算机，导致内部计算机用户对网络数据使用效率低的问题。
[0005]一种网络入侵检测的方法，包括以下步骤:
[0006]在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息；
[0007]检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
[0008]本发明实施例，实现综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测，提高了网络入侵检测的全面性和准确性，从而能够更好的保证内部网络环境的安全。同时，本发明实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程，在保证网络数据能及时传输到内部计算机、提高网络数据的使用效率的同时，还实现了网络入侵检测。
[0009]作为上述技术方案的优选，检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件，包括:
[0010]利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析，产生入侵事件分析结果；
[0011]将入侵事件分析结果发送至防火墙，由防火墙根据入侵事件分析结果进行安全防范操作。
[0012]本发明实施例实现将入侵检测的分析结果发送至防火墙，由防火墙根据该结果进行安全防范，保证了内部计算机用户网络环境的安全。
[0013]作为上述技术方案的优选，预设策略包括:
[0014]基于标识的入侵检测策略和基于异常的入侵检测策略。
[0015]本发明实施例还提出一种网络入侵检测的装置，其特征在于，包括:
[0016]获取模块，用于在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息；
[0017]检测模块，用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
[0018]作为上述技术方案的优选，所述检测模块包括:
[0019]分析单元，用于利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析，产生入侵事件分析结果；
[0020]发送单元，用于将入侵事件分析结果发送至防火墙，由防火墙根据入侵事件分析结果进行安全防范操作。
[0021]本发明实施例还提出一种网络入侵检测的系统，其特征在于，包括:
[0022]交换机，具有一个镜像端口，所述交换机与内部计算机连接；
[0023]入侵检测装置，与所述镜像端口连接，用于在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息；检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
[0024]本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
[0025]下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
【专利附图】

【附图说明】
[0026]附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中:
[0027]图1为现有网络入侵检测技术的示意图；
[0028]图2为本发明实施例中网络入侵检测的方法的主要方法流程图；
[0029]图3为本发明实施例中第一种网络入侵检测的方法的详细方法流程图；
[0030]图4为本发明实施例中网络入侵检测系统的示意图；
[0031]图5为本发明实施例中网络入侵检测的装置的主要结构图。
【具体实施方式】
[0032]以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0033]网络入侵检测的对象是数据，因此该数据的来源及数据的准确性会直接影响网络入侵检测的准确性。若只对交换机中的传输数据进行网络入侵检测，数据来源比较单一，对内部计算机工作的网络环境监测的不够全面，不利于及时发现入侵事件。另外，有些入侵事件并不能从网络数据中及时的检测到，而计算机的系统日志却能够记录下网络入侵的踪迹，从这些踪迹中可以很好的发现网络入侵事件。
[0034]本发明实施例提出的网络入侵检测的方法中，网络入侵检测和交换机传输数据同时进行，并对交换机向内部计算机传输的数据和内部计算机的系统日志信息进行检测。参见图2，本发明实施例中网络入侵检测的主要方法流程包括:
[0035]步骤201:在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息。
[0036]优选的，可以在交换机上单独设置一个镜像端口，通过该镜像端口来获取备份数据。
[0037]优选的，系统日志信息包括:系统安全日志、网络日志和审计数据等。
[0038]系统日志由系统管理并加以保护，一般情况下不能随意更改。该系统日志中严格记录着系统的行为，利用系统日志信息可以快速的对潜在的系统入侵作出记录和预测。例如当系统日志中记录系统收到连续、反复的端口连接请求时，根据这一迹象，可以判定可能遭受到入侵者正在使用端口扫描器对系统进行外部扫描。根据系统日志信息中的侵入踪迹，可以追踪到入侵来源，以便于预警进行安全防范操作。
[0039]步骤202:检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
[0040]本发明实施例，实现综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测，提高了网络入侵检测的全面性和准确性，从而能够更好的保证内部网络环境的安全。同时，本发明实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程，在保证网络数据能及时传输到内部计算机、提高网络数据的使用效率的同时，还实现了网络入侵检测。
[0041]本发明实施例中进行网络入侵检测后需要生成入侵检测分析结果，并将该入侵检测分析结果发送至防火墙，由防火墙根据该入侵检测分析结果进行进行安全防范操作，比如屏蔽掉入侵IP等。参见图3，本发明实施例中网络入侵检测的详细方法流程包括:
[0042]步骤301:在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息。
[0043]步骤302:利用预设策略对内部计算机的系统日志信息和备份数据进行入侵分析，产生入侵事件分析结果。
[0044]优选的，入侵事件分析结果包括:入侵时间、入侵过程、入侵来源等。
[0045]优选的，预设策略包括基于标识的入侵检测策略和基于异常的入侵检测策略。
[0046]其中，基于标识的入侵检测策略，需要预先定义违背安全策略的入侵事件的特征，并给予这些特征建立一个特征集合用于检测入侵事件。例如当检测当检测到网络数据包的包头信息与特征集合想匹配时，则确定为检测到入侵事件。
[0047]其中，基于异常的入侵检测策略，需要预先定义系统正常运行模式下的模型，该模型中包括中央处理器(Central Processing Unit，CPU)利用率、内存使用率和文件校验和等(这一模型可以人为定义，也可以通过对系统进行统计分析得出)。将系统运行时的状态值与该模型进行对比，当两者不匹配时，则确定为检测到入侵事件。
[0048]步骤303:将入侵事件分析结果发送至防火墙，由防火墙根据入侵事件分析结果进行安全防范操作。[0049]本发明实施例实现将入侵检测的分析结果发送至防火墙，由防火墙根据该结果进行安全防范，保证了内部计算机用户网络环境的安全。
[0050]本发明实施例中还提出一种网络入侵检测的系统，参见图4，该系统包括:
[0051]交换机，具有一个镜像端口，所述交换机与内部计算机连接；
[0052]入侵检测装置，与所述镜像端口连接，用于在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息；检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
[0053]本发明实施例中还提出一种网络入侵检测装置，参见图5，该装置包括:
[0054]获取模块501，用于在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息；
[0055]检测模块502，用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
[0056]优选的，检测模块可包括:
[0057]分析单元，用于利用预设策略对内部计算机的系统日志信息和备份数据进行入侵分析，产生入侵事件分析结果；
[0058]发送单元，用于将入侵事件分析结果发送至防火墙，由防火墙根据入侵事件分析结果进行安全防范操作。
[0059]本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
[0060]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0061]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0062]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0063]显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种网络入侵检测的方法，其特征在于，包括以下步骤: 在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息； 检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
2.根据权利要求1所述的方法，其特征在于，检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件，包括: 利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析，产生入侵事件分析结果； 将入侵事件分析结果发送至防火墙，由防火墙根据入侵事件分析结果进行安全防范操作。
3.根据权利要求2所述的方法，其特征在于，预设策略包括: 基于标识的入侵检测策略和基于异常的入侵检测策略。
4.一种网络入侵检测的装置，其特征在于，包括: 获取模块，用于在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息； 检测模块，用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
5.根据权利要求4所述的装置，其特征在于，所述检测模块包括: 分析单元，用于利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析，产生入侵事件分析结果； 发送单元，用于将入侵事件分析结果发送至防火墙，由防火墙根据入侵事件分析结果进行安全防范操作。
6.一种网络入侵检测的系统，其特征在于，包括: 交换机，具有一个镜像端口，所述交换机与内部计算机连接； 入侵检测装置，与所述镜像端口连接，用于在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息；检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
7.根据权利要求6所述的系统，其特征在于，所述入侵检测装置包括: 获取模块，用于在交换机向内部计算机传输数据时，从交换机获取所述数据的备份数据，从内部计算机中获取该内部计算机的系统日志信息； 检测模块，用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
8.根据权利要求7所述的系统，其特征在于，所述检测模块包括: 分析单元，用于利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析，产生入侵事件分析结果； 发送单元，用于将入侵事件分析结果发送至防火墙，由防火墙根据入侵事件分析结果进行安全防范操作。
【文档编号】H04L29/08GK103618689SQ201310415514
【公开日】2014年3月5日 申请日期:2013年9月12日 优先权日:2013年9月12日
【发明者】张新亮 申请人:天脉聚源(北京)传媒科技有限公司