技術(shù)領(lǐng)域

本發(fā)明涉及一種作為網(wǎng)絡(luò)安全的重要產(chǎn)品之一的主機(jī)入侵檢測系統(tǒng)(HIDS：Host?Intrusion?Detection?System)及方法的核心關(guān)鍵技術(shù)——規(guī)則定義、響應(yīng)處理和自我防護(hù)，屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。

背景技術(shù)

HIDS安裝在被保護(hù)的主機(jī)之上，分析宿主主機(jī)的行為，并對安全事件進(jìn)行實(shí)時監(jiān)控和響應(yīng)。目前HIDS普遍缺乏靈活的規(guī)則庫和發(fā)現(xiàn)入侵行為后的主動處理，規(guī)則覆蓋面小、入侵特征提取不全面的情況比較常見。

發(fā)明內(nèi)容

本發(fā)明的目的是提供主機(jī)入侵檢測方法及系統(tǒng)，設(shè)計一套較全面的監(jiān)視主機(jī)行為的統(tǒng)一規(guī)則定義方法，對網(wǎng)絡(luò)入侵造成的主機(jī)行為異常進(jìn)行定義，當(dāng)發(fā)現(xiàn)這些現(xiàn)象時，進(jìn)行適當(dāng)?shù)奶幚慝@有效的報警信息，按照規(guī)則由計算機(jī)進(jìn)行自動響應(yīng)。

本發(fā)明解決技術(shù)問題所采用的技術(shù)方案是：

一種主機(jī)入侵檢測系統(tǒng)，該系統(tǒng)包括一臺或多臺部署控制端的Windows主機(jī)，一臺或多臺部署引擎的Windows主機(jī)，網(wǎng)絡(luò)連接設(shè)備等。其特征在于：控制端形成層次性部署，部署主控制端的主機(jī)只有一臺。所有引擎接受控制端的控制并向其反饋報警信息，規(guī)則匹配在引擎端發(fā)生。

一種主機(jī)入侵檢測方法，其特征在于：是在截獲主機(jī)行為的基礎(chǔ)之上，尋找主機(jī)行為與入侵行為間的關(guān)聯(lián)性，并根據(jù)規(guī)則定義，產(chǎn)生報警和其它指定行為；該方法包括如下步驟：

步驟1、定義規(guī)則；

步驟2、在控制中心應(yīng)用規(guī)則，規(guī)則被自動下發(fā)到所有主機(jī)引擎上并被應(yīng)用；

步驟3、根據(jù)入侵行為的增加、改變、失效更新規(guī)則庫。

一種主機(jī)入侵檢測方法；規(guī)則定義、部署和工作模式。規(guī)則定義把入侵和主機(jī)上的異常行為關(guān)聯(lián)起來，并定義響應(yīng)的方式。部署的方式支持多層次級聯(lián)，可以適應(yīng)較復(fù)雜的網(wǎng)絡(luò)環(huán)境。工作模式定義了管理者如何與入侵檢測系統(tǒng)交互和系統(tǒng)工作的特點(diǎn)。

本發(fā)明的有益效果具體如下：

1.事件變量具有廣泛的覆蓋面，可以較全面的把握入侵行為在系統(tǒng)中留下的痕跡。

2.行為標(biāo)識與事件變量緊密關(guān)聯(lián)，可以清晰的展示系統(tǒng)內(nèi)主體的行為。

3.規(guī)則庫更新靈活，可以在運(yùn)行時平穩(wěn)完成，對宿主主機(jī)的主要業(yè)務(wù)影響較小。

4.提供比較靈活的響應(yīng)方式，能夠?qū)阂庑袨樘峁┮欢ǖ淖晕曳烙芰Α?/p>

5.具有事件合并歸納功能，避免冗余報警影響結(jié)果有效性。

6.具有自我保護(hù)能力。

附圖說明

圖1系統(tǒng)整體步驟圖。

具體實(shí)施方式

實(shí)施例1；主機(jī)入侵檢測方法，安全專業(yè)人員把入侵行為進(jìn)行定義形成事件規(guī)則庫，由HIDS系統(tǒng)監(jiān)視宿主主機(jī)并根據(jù)事件庫發(fā)現(xiàn)異常行為并進(jìn)行處理。該方法包括如下步驟：

(1)定義事件規(guī)則：可以針對主機(jī)系統(tǒng)的注冊表、文件系統(tǒng)、日志系統(tǒng)、網(wǎng)絡(luò)驅(qū)動和關(guān)鍵應(yīng)用程序的異常狀況進(jìn)行定義。

(2)定義事件響應(yīng)規(guī)則：針對事件規(guī)則中定義的異常提供只報警、只日志、阻斷、報警+日志、日志+阻斷、報警+阻斷、報警+日志+阻斷的處理。

(3)主機(jī)引擎根據(jù)定義的事件及響應(yīng)規(guī)則捕獲主機(jī)異常行為并自動處理，對于冗余信息進(jìn)行自動歸納。

主機(jī)事件具體包括以下方面：

1.對注冊表鍵、值的特定操作，包括創(chuàng)建、修改、刪除、重命名。

2.對文件系統(tǒng)進(jìn)行創(chuàng)建、修改、刪除。

3.產(chǎn)生危險系統(tǒng)日志的行為、如管理員密碼被修改、新建管理員帳戶等。

4.產(chǎn)生系統(tǒng)日志的sql?server數(shù)據(jù)庫行為，比如新建數(shù)據(jù)庫管理員。

5.產(chǎn)生系統(tǒng)日志的IIS行為，比如使用未經(jīng)認(rèn)證的ActiveX控件。

6.有明確特征的網(wǎng)絡(luò)行為，比如在從未配置域名解析的主機(jī)上發(fā)現(xiàn)大量DNS(即域名解析)行為。

規(guī)則定義包括事件變量和行為標(biāo)識兩大部分。

事件變量需要包含事件名稱、事件ID(即事件唯一標(biāo)識)，事件分類ID(即事件分類唯一標(biāo)識)，可支持邏輯操作符描述和事件文字描述5個要素。

行為標(biāo)識為對于事件對象有意義的行為，依賴事件變量的分類不同而不同。

對于系統(tǒng)檢測到的異常，往往會有一個源頭出現(xiàn)多次報警的情況，本系統(tǒng)定義“一次事件”和“二次事件”的概念來進(jìn)行控制，在定義規(guī)則時，提供根據(jù)“發(fā)生時間”和“重復(fù)次數(shù)”為條件進(jìn)行歸納的方法。當(dāng)條件被觸發(fā)時，“一次事件”可以生成“二次事件”，任何情況下具有相似性可以被歸并的“一次事件”不會發(fā)生重復(fù)出現(xiàn)。