專利名稱::一種入侵檢測管理方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及計算機網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
�,特別是指一種對指定受護目標進行入侵檢測的入侵檢測管理方法。
背景技術(shù):
:隨著網(wǎng)絡(luò)的發(fā)展��,網(wǎng)絡(luò)攻擊的種類和數(shù)量也迅速膨脹����,導致在進行入侵檢測過程中,報警數(shù)目巨大繁多���。目前的入侵檢測方法�,是由入侵檢測系統(tǒng)在受護網(wǎng)絡(luò)內(nèi)設(shè)置的檢測點捕獲發(fā)向受保護網(wǎng)絡(luò)或主機的數(shù)據(jù)包�����,而后對該數(shù)據(jù)包以規(guī)則匹配的形式進行入侵檢測��。一般來說��,入侵檢測系統(tǒng)要將該數(shù)據(jù)包與入侵檢測系統(tǒng)的規(guī)則庫內(nèi)所有規(guī)則進行匹配,因此對于檢測點來說��,一個數(shù)據(jù)包的檢測過程��,實際上要進行多次匹配判斷�,甚至以千來計算,因此如果大量的攻擊事件出現(xiàn)�����,入侵檢測系統(tǒng)的負荷就很重�����。當出現(xiàn)網(wǎng)絡(luò)風暴時��,入侵檢測系統(tǒng)所需要檢測的數(shù)據(jù)比平時增長多倍��,入侵檢測系統(tǒng)就會超負荷運行�,勢必出現(xiàn)誤報�����、漏報問題�����,使入侵檢測的可用性變得很差,尤其對于網(wǎng)內(nèi)重要的主機來說�����,其受入侵檢測系統(tǒng)的保護程度此時就會變得很脆弱����。
發(fā)明內(nèi)容有鑒于此,本發(fā)明提供一種入侵檢測管理方法�,可根據(jù)需要使入侵檢測系統(tǒng)對受護網(wǎng)絡(luò)內(nèi)的重要主機進行重點保護,并同時降低入侵檢測系統(tǒng)的負荷�。本發(fā)明入侵檢測管理方法,入侵檢測系統(tǒng)捕獲發(fā)向受護網(wǎng)絡(luò)或主機的數(shù)據(jù)包���,按照入侵檢測規(guī)則對數(shù)據(jù)包進行入侵檢測�����,其特征在于����,該方法還包括在對數(shù)據(jù)包進行入侵檢測之前����,先根據(jù)主機標識對當前捕獲的數(shù)據(jù)包進行過濾���,保留所有發(fā)向要監(jiān)控的重要主機的數(shù)據(jù)包,然后再對所保留的數(shù)據(jù)包按照入侵檢測規(guī)則進行入侵檢測�����。其中�,該方法所述主機標識為主機的IP地址。其中�����,進一步包括建立監(jiān)控主機表�����,存儲所有要監(jiān)控的重要主機信息����,所述主機信息包括主機ID��,用來存放所監(jiān)視的主機ID��;主機類型,用來表示對主機的等級分類��,該類型至少包括重要主機�����。其中����,監(jiān)控主機表通過入侵檢測系統(tǒng)的管理模塊進行設(shè)置。其中����,所述對捕獲數(shù)據(jù)包過濾進一步包括首先讀取出捕獲的數(shù)據(jù)包的主機標識,然后查詢該主機標識對應主機的主機類型���,若主機類型為重要主機���,則保留該數(shù)據(jù)包;否則丟棄該數(shù)據(jù)包�。由上述方法可以看出,本發(fā)明可以根據(jù)檢測點所監(jiān)控主機的不同采用不同的策略檢測數(shù)據(jù)包�����,具體地說就是,在進行入侵檢測的規(guī)則匹配前�����,對發(fā)向網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包進行針對性選取檢測的策略��,過濾出并不期望進行入侵檢測的數(shù)據(jù)包���,從而大大降低了入侵檢測系統(tǒng)的負荷量��,保證了入侵檢測系統(tǒng)對發(fā)向重要主機的數(shù)據(jù)包進行檢測���。在數(shù)據(jù)風暴情況下,重點保證對重要主機的保護�,進而提高重要主機的受護程度���。圖1為本發(fā)明入侵檢測的流程示意圖�����。圖2為主機信息表�����、報警數(shù)據(jù)庫與本發(fā)明監(jiān)控主機表的關(guān)系示意圖���。具體實施例方式本發(fā)明的基本思想是使入侵檢測系統(tǒng)可以根據(jù)用戶或?qū)嶋H應用的需要�,僅對所期望的數(shù)據(jù)包進行入侵檢測���,實現(xiàn)對重點設(shè)備地充分保護����。參見圖1所示���,對本發(fā)明進一步詳細說明���。首先,入侵檢測系統(tǒng)的檢測點捕獲發(fā)向受護網(wǎng)絡(luò)或主機的數(shù)據(jù)包��,然后根據(jù)所要監(jiān)控主機的標識過濾數(shù)據(jù)包����,保留所要監(jiān)控主機的數(shù)據(jù)包,過濾掉其它的數(shù)據(jù)包���,再將保留的數(shù)據(jù)包進行入侵檢測���。為了便于對要保護的主機進行管理����,可以根據(jù)要監(jiān)控的主機設(shè)置一個監(jiān)控主機表�����。如圖2所示���,所述監(jiān)控主機表(monitorhosttable)包括主機ID(HostID)���,用來存放所監(jiān)視的主機ID,還包括主機類型(HostType)����,該主機類型用來表示對主機的等級分類,比如等級可分為重要主機和一般主機���。該監(jiān)控主機表的設(shè)置可以通過入侵檢測系統(tǒng)的管理模塊實現(xiàn)。如圖2所示�,入侵檢測系統(tǒng)還提供了已存在的主機信息表,包括主機IP、主機MAC�����、主機ID(HostID)等信息�,監(jiān)控主機表通過HostID作為關(guān)鍵字可與主機信息表建立聯(lián)系,建立起主機的真實IP與HostType的對應關(guān)系����。另外,如圖2所示�����,由于報警數(shù)據(jù)庫包含HostID���,同理����,監(jiān)控主機表還可以通過HostID作為關(guān)鍵字與報警數(shù)據(jù)庫建立聯(lián)系�����,便于報警的檢索�����。這里,以主機IP地址作為要監(jiān)控主機的標識為例進行具體說明���。當檢測點捕獲數(shù)據(jù)包時��,首先讀取出數(shù)據(jù)包的目的IP地址��,即接收該數(shù)據(jù)包的主機的IP地址����,然后根據(jù)上面所述的已建立的主機IP與HostType之間的對應關(guān)系��,查詢該IP地址主機的HostType����,如果HostType為重要主機,則說明該數(shù)據(jù)包是發(fā)向重要受護主機����,則監(jiān)控點選取保留該數(shù)據(jù)包,然后對該數(shù)據(jù)包進行入侵檢測�;否則,將該數(shù)據(jù)包丟棄或者直接上傳����,而不對此數(shù)據(jù)包進行入侵檢測。這種方式�,因為丟棄了發(fā)向非關(guān)注主機的數(shù)據(jù)包,因此減輕了入侵檢測系統(tǒng)的負荷��,而有針對性的選擇數(shù)據(jù)包進行入侵檢測���,保證了所關(guān)注主機始終在入侵檢測系統(tǒng)的保護之下�����。入侵檢測后�����,按照現(xiàn)有的方法將數(shù)據(jù)包傳送給受護主機或?qū)⒖梢蓴?shù)據(jù)包的丟棄���,同時將檢測結(jié)果記錄到報警數(shù)據(jù)庫,并通過管理模塊將檢測結(jié)果顯示給用戶��。以上所述僅為本發(fā)明的較佳實施例而已����,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改、等同替換�����、改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)��。權(quán)利要求1.一種入侵檢測管理方法���,入侵檢測系統(tǒng)捕獲發(fā)向受護網(wǎng)絡(luò)或主機的數(shù)據(jù)包�����,按照入侵檢測規(guī)則對數(shù)據(jù)包進行入侵檢測�,其特征在于����,該方法還包括在對數(shù)據(jù)包進行入侵檢測之前���,先根據(jù)主機標識對當前捕獲的數(shù)據(jù)包進行過濾,保留所有發(fā)向要監(jiān)控的重要主機的數(shù)據(jù)包��,然后再對所保留的數(shù)據(jù)包按照入侵檢測規(guī)則進行入侵檢測�����。2.根據(jù)權(quán)利要求1所述的方法�,其特征在于��,所述主機標識為主機的IP地址����。3.根據(jù)權(quán)利要求1所述的方法,其特征在于���,該方法進一步包括建立監(jiān)控主機表���,存儲所有要監(jiān)控的重要主機信息。4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于,入侵檢測系統(tǒng)包括管理模塊�����,所述監(jiān)控主機表通過該管理模塊進行設(shè)置����。5.根據(jù)權(quán)利要求3所述的方法,其特征在于�,所述監(jiān)控主機表中的主機信息包括主機ID,用來存放所監(jiān)視的主機ID�;主機類型,用來表示對主機的等級分類���。6.根據(jù)權(quán)利要求5所述的方法��,其特征在于��,所述主機類型至少包括重要主機����。7.根據(jù)權(quán)利要求6所述的方法����,其特征在于��,所述對捕獲數(shù)據(jù)包過濾進一步包括讀取出捕獲的數(shù)據(jù)包的主機標識�,然后查詢該主機標識對應主機的主機類型�����,若主機類型為重要主機�,則保留該數(shù)據(jù)包�;否則丟棄該數(shù)據(jù)包。全文摘要本發(fā)明提供了一種入侵檢測管理方法����,入侵檢測系統(tǒng)捕獲發(fā)向受護網(wǎng)絡(luò)或主機的數(shù)據(jù)包,按照入侵檢測規(guī)則對數(shù)據(jù)包進行入侵檢測���,其中��,本發(fā)明在對數(shù)據(jù)包進行入侵檢測之前���,先根據(jù)主機標識對當前捕獲的數(shù)據(jù)包進行過濾,保留所有發(fā)向要監(jiān)控的重要主機的數(shù)據(jù)包�����,然后再對所保留的數(shù)據(jù)包按照入侵檢測規(guī)則進行入侵檢測。應用本發(fā)明���,可根據(jù)需要使入侵檢測系統(tǒng)對受護網(wǎng)絡(luò)內(nèi)的重要主機進行重點保護����,并同時降低入侵檢測系統(tǒng)的負荷���。文檔編號G06F11/30GK1581095SQ0315329公開日2005年2月16日申請日期2003年8月14日優(yōu)先權(quán)日2003年8月14日發(fā)明者徐鵬,曲亞東,鄭理申請人:聯(lián)想(北京)有限公司