[發(fā)明專利]分布式事件檢測方法及裝置有效
| 申請?zhí)枺?/td> | 201110415364.2 | 申請日: | 2011-12-12 |
| 公開(公告)號: | CN102427416A | 公開(公告)日: | 2012-04-25 |
| 發(fā)明(設計)人: | 王勇 | 申請(專利權(quán))人: | 東軟集團股份有限公司 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L29/06 |
| 代理公司: | 北京鴻元知識產(chǎn)權(quán)代理有限公司 11327 | 代理人: | 林錦輝;許向彤 |
| 地址: | 110179 遼*** | 國省代碼: | 遼寧;21 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 分布式 事件 檢測 方法 裝置 | ||
技術(shù)領域
本發(fā)明涉及網(wǎng)絡安全事件檢測領域,更加具體地,涉及一種網(wǎng)絡攻擊事件的分布式檢測方法及裝置。
背景技術(shù)
在人們進行網(wǎng)絡行為時,非法入侵者通常會通過網(wǎng)絡攻擊來入侵網(wǎng)絡用戶的私人空間,從而獲取網(wǎng)絡用戶的私人信息,由此導致網(wǎng)絡用戶的隱私泄露。因此,在用戶進行網(wǎng)絡沖浪時,需要進行網(wǎng)絡攻擊行為檢測,從而在檢測到網(wǎng)絡攻擊時提醒用戶防止個人隱私信息泄露。
在Martin?Roesch于1999發(fā)表的“Snort:Lightweight?Intrusion?Detection?for?Networks”中,提出了一種基于字符串匹配的網(wǎng)絡入侵檢測系統(tǒng)。在該網(wǎng)絡入侵檢測系統(tǒng)中,只能根據(jù)截取到的單個網(wǎng)絡數(shù)據(jù)包中是否具有一定的字符特征,或者是依靠某些特定的端口是否打開來判斷攻擊。然而,在該網(wǎng)絡入侵檢測系統(tǒng)中,不能將攻擊作為一個真實過程來考慮,從而導致漏報率和誤報率比較高。
為了將攻擊作為一個過程來加以識別,學術(shù)界提出了一些基于事件的檢測方法及系統(tǒng),在這些系統(tǒng)中,攻擊行為被分為“存在”、“順序”和“偏序”類型(參見S.Kumar和E.H.Spafford?1994年在Proc.Of?the?17th?National?Computer?Security?Conference上發(fā)表的“Pattern?Matching?Model?for?Misuse?Intrusion?Detection”),攻擊規(guī)則使用過程性語言或描述性語言書寫,并且使用變量來保持狀態(tài),從而可以高效地識別出網(wǎng)絡攻擊行為。
然而,在使用過程性語言書寫(參見W.Lee,C.Park和S.Stolfo于1999年的USENIX?Intrusion?Detection?Workshop上發(fā)表的“Automated?Intrusion?Detection?using?NFR:Methods?and?Experiences”以及V.Paxson在1998年的USENIX?Security?Symposium上發(fā)表的“Bro:A?System?for?Detection?Network?Intruders?in?Real-time”)的情況下,由于攻擊規(guī)則使用過程性語言描述,從而導致規(guī)則開發(fā)者在開發(fā)攻擊檢測規(guī)則時,必須深入了解語言本身的執(zhí)行機制,這使得在需要幾十個甚至上百人協(xié)作開發(fā)協(xié)議級檢測模塊以及攻擊規(guī)則時變得非常困難,甚至不可行。
而在使用描述性語言書寫(參見R?Sekar,Y?Guang,S?Verma,T?Shanbhag在1999年的ACM?Conference?On?Computer?and?Communications?Security上發(fā)表的“High-Performance?Network?Intrusion?Detection?System”)的情況下,由于描述語言是基于正則文法的,從而表現(xiàn)能力有限。此外,由于正則文法的檢測機制是有限自動機,對于協(xié)議分析所要求的分層處理能力支持非常弱,從而不適用于協(xié)議分析層面的事件檢測。
在授權(quán)公告號為CN101060396B、發(fā)明名稱為“一種事件的檢測方法及裝置”的專利中,提出了一種具備協(xié)議分層描述能力的事件檢測方法。在該方法中,使用帶謂詞的上下文無關(guān)文法預置針對事件的檢測規(guī)則,對所述預置的檢測規(guī)則進行解析,以生成下推自動機的分析表,該分析表支持并行分析;然后利用所生成的分析表,對所接收的檢測事件進行分析,從而得到檢測結(jié)果。其中,在生成下推自動機的分析表時,首先解析所述協(xié)議規(guī)則和攻擊規(guī)則得到語法樹;接著采用帶謂詞的LR(0)生成算法生成所述帶謂詞的上下文無關(guān)文法的項目集簇;然后將該項目集簇轉(zhuǎn)換為相應的下推自動機分析表,所述分析表包括動作表ACTIION和跳轉(zhuǎn)表GOTO。該申請的全部內(nèi)容通過引用并入本申請中。在該方法中,利用事件的概念來代替具體的協(xié)議命令,從事件角度來對攻擊進行檢測,從而使得入侵檢測系統(tǒng)的開發(fā)可以分為三個獨立部分(事件分析引擎開發(fā)、協(xié)議分析開發(fā)和攻擊分析)分別進行,每個部分可以獨立進行擴充而不會影響其他部分,從而提高了系統(tǒng)的可擴展性。此外,利用該方法,可以對復雜應用的協(xié)議層次關(guān)系進行描述,從而增強了對于網(wǎng)絡攻擊的描述能力,并且提高了攻擊的檢測效率。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于東軟集團股份有限公司,未經(jīng)東軟集團股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201110415364.2/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
