网络入侵检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术,尤其涉及一种网络入侵检测方法及装置。
【背景技术】
[0002]入侵检测系统(intrus1n detect1n system,简称“ IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
[0003]然而目前的IDS系统也具有一些缺点,例如,由于模式识别技术的不完善,IDS的高误报率也是它的一大问题。因此在很多情形下需要依赖于人工分析相关的入侵数据从而应对无法自动处理的网络入侵,或者改善IDS系统的检测规则。
【发明内容】
[0004]有鉴于此,有必要提供网络入侵检测方法及装置,其可提升分析网络入侵数据的便利性。
[0005]一种网络入侵检测方法,用于一个待检测的网络系统中,所述方法包括:从所述待检测网络系统中处抓取网络数据包;根据预定的检测规则分析是否触发网络入侵事件;若检测到网络入侵事件则解析出所述网络入侵事件的来源IP地址;以及在预设的时间段内持续记录所有与所述来源IP地址相关的数据包。
[0006]一种网络入侵检测装置,用于一个待检测的网络系统中,所述装置包括:事件产生模块,用于从所述待检测网络系统中处抓取网络数据包,根据预设的检测规则抓取的数据包是否属于网络入侵数据包;事件分析模块,用于根据所述事件产生模块输出的数据包分析是否触发网络入侵事件;响应模块,用于若检测到网络入侵事件则解析出所述网络入侵事件的来源IP地址以及在预设的时间段内持续记录所有与所述来源IP地址相关的数据包。
[0007]根据上述的方法及装置,通过记录所有与所述来源IP地址相关的数据包,可以清晰的还原网络入侵的整个过程,从而提供对于特定网络入侵事件所有相关数据的回溯分析能力,提升了安全维护人员在分析网络入侵事件时的便利性。
[0008]为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
【附图说明】
[0009]图1为一种网络系统的架构示意图。
[0010]图2为第一实施例的网络入侵检测装置的模块图。
[0011]图3为图2的网络入侵检测装置的入侵检测模块的框图。
[0012]图4为第二实施例的网络入侵检测装置的模块图。
[0013]图5-图8分别为第二实施例的网络入侵检测装置应用于图1所示的网络系统中不同的数据交互示意图。
[0014]图9为第三实施例的网络入侵检测方法的流程图。
[0015]图10为第四实施例的网络入侵检测方法的流程图。
[0016]图11为第五实施例的网络入侵检测方法的流程图。
[0017]图12为第六实施例的网络入侵检测方法的流程图。
【具体实施方式】
[0018]为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0019]本发明实施例提供一种网络入侵检测方法,其可用于网络系统中。参阅图1,其为一个典型的网络系统的架构示意图。网络系统100包括路由器10、防火墙11、交换机12、终端计算机13、以及服务器14。
[0020]其中,路由器10直接与外部网络(如互联网)相连,防火墙11设置于路由器10与交换机12之间,交换机12直接负责提供终端计算机13与服务器14的网络接入。
[0021]入侵检测系统15与防火墙11相连,其可监视所以流经防火墙11的数据,无论是从交换机12上行至路由器10的数据,还是从路由器10下行至交换机12的数据。按照图1所示架构,入侵检测系统15属于旁路部署式架构,也就是说入侵检测系统15本身并不改变现有的网络架构,只是读取并监视网络上传输的数据。然而,入侵检测系统15也可以采用串行的方式部署在网络系统100中。例如,入侵检测系统15可以连接于路由器10与防火墙11之间,或者连接于防火墙11与交换机12之间。
[0022]具体地,入侵检测系统15可以包括一台或者多台计算机。在一个实例中,入侵检测系统15包括一台计算机。参阅图2,入侵检测系统15包括存储器102、处理器104、存储控制器106、外设接口 108、以及网络模块110。可以理解,图2所示的结构仅为示意,其并不对入侵检测系统15的结构造成限定。例如,入侵检测系统15还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
[0023]存储器102可用于存储软件程序以及模块,如本发明实施例中的即使通讯会话的方法及装置对应的程序指令/模块,处理器104通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络入侵检测方法。
[0024]存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器102可进一步包括相对于处理器106远程设置的存储器,这些远程存储器可以通过网络连接至电子终端100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。
[0025]外设接口 108将各种输入/输入装置耦合至处理器106。处理器106运行存储器102内的各种软件、指令电子终端100执行各种功能以及进行数据处理。在一些实施例中,外设接口 108、处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
[0026]网络模块110用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。在一个实例中,上述网络信号为有线网络信号。此时,网络模块110可包括处理器、随机存储器、转换器、晶体振荡器等元件。在一个实施例中,上述的网络信号为无线信号(例如射频信号)。此时网络模块110实质是射频模块,接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。射频模块可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(S頂)卡、存储器等等。射频模块可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。上述的无线网络可以使用各种通信标准、协议及技术,包括但并不限于全球移动通信系统(Global System for Mobile Communicat1n, GSM)、增强型移动通信技术(Enhanced Data GSM Environment, EDGE),宽带码分多址技术(widebandcode divis1n multiple access, ff-CDMA),码分多址技术(Code divis1n access, CDMA)、时分多址技术(time divis1n multiple access, TDMA),无线保真技术(Wireless, Fidelity,WiFi)(如美国电气和电子工程师协会标准IEEE802.11a, IEEE802.lib, IEEE802.llg和/ 或 IEEE802.1 In)、网络电话(Voice over internet protocal, VoIP)、全球微波互联接入(Worldwide Interop