專利名稱:一種獲取入侵源主機(jī)信息的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,特別是涉及一種獲取入侵源主機(jī)信息的方法及裝置。
背景技術(shù):
目前�,入侵檢測系統(tǒng)(IDS Intrusion-detection system)得到了廣泛的應(yīng)用,特 別是網(wǎng)絡(luò)型入侵檢測系統(tǒng)在邊界安全中使用最為廣泛�����,和防火墻系統(tǒng)一起成為網(wǎng)絡(luò)邊界安 全必不可少的網(wǎng)絡(luò)安全產(chǎn)品。現(xiàn)有入侵檢測系統(tǒng)由控制中心部分和探針兩部分組成���。其中控制中心部分負(fù)責(zé)對(duì) 探針實(shí)例的管理�����,包括入侵模式庫的管理和同步�,入侵日志的接收和處理(入庫��、報(bào)警��、數(shù) 據(jù)挖掘等)����;探針部分部署于網(wǎng)絡(luò)邊界�,負(fù)責(zé)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的采集、解碼分析��、模式庫匹配 和向控制中心上報(bào)入侵信息等?����,F(xiàn)有入侵檢測系統(tǒng)雖然能夠?qū)θ肭质录M(jìn)行檢測報(bào)警����,但其誤報(bào)率較高���,無法確 定入侵者身份信息。
發(fā)明內(nèi)容
本發(fā)明提供了一種獲取入侵源主機(jī)信息的方法及裝置�����,用以解決現(xiàn)有入侵檢測系 統(tǒng)無法確定入侵源主機(jī)身份信息的問題�。本發(fā)明的一種獲取入侵源主機(jī)信息的方法,包括下列步驟探針檢測裝置檢測到 入侵信息后�,掃描入侵源主機(jī)端口 ;探針檢測裝置通過所述端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服 務(wù)��;探針檢測裝置根據(jù)所述網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)���;探針檢測裝置將獲 取的信息一并上報(bào)�。本發(fā)明的一種探針檢測裝置���,包括掃描單元��,用于在確定檢測到入侵信息后�����,掃 描入侵源主機(jī)端口 �;嗅探單元,用于通過所述端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù)��;判斷單元���, 用于根據(jù)所述網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)���;上報(bào)單元,用于將掃描單元�、嗅探 單元和判斷單元獲取的信息一并上報(bào)。本發(fā)明有益效果如下本發(fā)明通過掃描入侵源主機(jī)端口���,嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù),以及判斷入侵源 主機(jī)所用的操作系統(tǒng)�,獲取了入侵源主機(jī)的身份信息,并將該信息上報(bào)���。因此不但能捕捉到 黑客的IP和其它入侵信息�,還能給黑客拍一張“全身照”����,為有關(guān)部門進(jìn)一步追蹤黑客和取 證提供了有力的依據(jù)�����。
圖1為本發(fā)明實(shí)施例1中的工作流程圖�����;圖2為本發(fā)明實(shí)施例2中的工作流程圖���;圖3為本發(fā)明實(shí)施例3中的裝置結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例4中的裝置結(jié)構(gòu)示意圖��。
具體實(shí)施例方式發(fā)明人提供的主要思路是通過一種“反向拍照”的方案解決在入侵檢測系統(tǒng)中確定入侵源主機(jī)身份信息的問題���。實(shí)施例1 參見圖1所示�,本方法實(shí)施例的反向拍照方案的工作流程包括下列步 驟Si�����、探針檢測裝置檢測到入侵信息后�,采用網(wǎng)絡(luò)嗅測器(NMAP the NetworkMapper)工具掃描入侵源主機(jī)端口。S2�����、探針檢測裝置通過該端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù)。S3��、探針檢測裝置根據(jù)該網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)����。S4、探針檢測裝置將S1����、S2和S3中獲取的信息一并上報(bào)。具體可上報(bào)給控制中心�, 由控制中心對(duì)該信息進(jìn)行記錄和審計(jì),為有關(guān)部門進(jìn)一步追蹤黑客和取證提供了有力的依 據(jù)��。實(shí)施例2 參見圖2所示�,本方法實(shí)施例的反向拍照方案的工作流程包括下列步 驟 Sl 1、探針檢測裝置對(duì)事件隊(duì)列抓包���。S12、探針檢測裝置對(duì)所述被抓取的數(shù)據(jù)包進(jìn)行解碼分析�。S13、探針檢測裝置將所述解碼分析后的數(shù)據(jù)與入侵模式庫中的信息匹配���,若相匹 配�,則判定檢測到入侵信息,并轉(zhuǎn)入S14 �;否則,判定該數(shù)據(jù)包正常���,返回S11����,重新抓包�。S14、探針檢測裝置檢測到入侵信息后��,采用網(wǎng)絡(luò)嗅測器(NMAP theNetwork Mapper)工具掃描入侵源主機(jī)端口�����。S15��、探針檢測裝置通過該端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù)�����。S16���、探針檢測裝置根據(jù)該網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)����。S17、探針檢測裝置將S14�����、S15和S16中獲取的信息一并上報(bào)���,并返回S11�,重新抓 包����。具體可上報(bào)給控制中心,由控制中心對(duì)該信息進(jìn)行記錄和審計(jì)�����,為有關(guān)部門進(jìn)一步追蹤 黑客和取證提供了有力的依據(jù)����。實(shí)施例3 參見圖3所示�,本裝置實(shí)施例包括如下單元掃描單元,用于在確定檢測到入侵信息后����,掃描入侵源主機(jī)端口��。具體可采用網(wǎng)絡(luò) 嗅測器工具掃描入侵源主機(jī)端口����。嗅探單元����,用于通過該端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù)。判斷單元��,用于根據(jù)該網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)��。上報(bào)單元�,用于將掃描單元、嗅探單元和判斷單元獲取的信息一并上報(bào)��。具體可上 報(bào)給控制中心��,由控制中心對(duì)該信息進(jìn)行記錄和審計(jì)�,為有關(guān)部門進(jìn)一步追蹤黑客和取證 提供了有力的依據(jù)。實(shí)施例4 參見圖4所示��,本裝置實(shí)施例包括如下單元抓包單元,用于對(duì)事件隊(duì)列抓包���。解碼分析單元�����,用于對(duì)被抓取的數(shù)據(jù)包進(jìn)行解碼分析����。入侵模式庫單元��,用于存儲(chǔ)入侵模式信息�。匹配單元,用于將解碼分析后的數(shù)據(jù)與入侵模式庫中的信息匹配��,若相匹配�,則判定檢測到入侵信息,并觸發(fā)掃描單元��;否則�����,判定該數(shù)據(jù)包正常���。掃描單元��,用于在確定檢測到入侵信息后���,掃描入侵源主機(jī)端口。具體可采用網(wǎng)絡(luò) 嗅測器工具掃描入侵源主機(jī)端口�。嗅探單元,用于通過該端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù)���。
判斷單元�,用于根據(jù)該網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)�����。上報(bào)單元�,用于將掃描單元、嗅探單元和判斷單元獲取的信息一并上報(bào)��。具體可上 報(bào)給控制中心����,由控制中心對(duì)該信息進(jìn)行記錄和審計(jì),為有關(guān)部門進(jìn)一步追蹤黑客和取證 提供了有力的依據(jù)�����。綜上,應(yīng)用本獨(dú)特的方案不但能捕捉到黑客的IP和其它入侵信息�����,還能給黑客拍 一張“全身照”��,為有關(guān)部門進(jìn)一步追蹤黑客和取證提供了有力的依據(jù)�。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精 神和范圍�����。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)����,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)���。
權(quán)利要求
一種獲取入侵源主機(jī)信息的方法��,其特征在于����,包括下列步驟探針檢測裝置檢測到入侵信息后,掃描入侵源主機(jī)端口����;探針檢測裝置通過所述端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù)�����;探針檢測裝置根據(jù)所述網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)�;探針檢測裝置將獲取的信息一并上報(bào)。
2.如權(quán)利要求1所述獲取入侵源主機(jī)信息的方法��,其特征在于����,采用網(wǎng)絡(luò)嗅測器工具 掃描入侵源主機(jī)端口。
3.如權(quán)利要求1所述獲取入侵源主機(jī)信息的方法�����,其特征在于����,所述檢測到入侵信息 的過程包括下列步驟探針檢測裝置對(duì)事件隊(duì)列抓包��; 探針檢測裝置對(duì)所述被抓取的數(shù)據(jù)包進(jìn)行解碼分析�;探針檢測裝置將所述解碼分析后的數(shù)據(jù)與入侵模式庫中的信息匹配���,若相匹配�����,則判 定檢測到入侵信息���;否則,判定該數(shù)據(jù)包正常�。
4.如權(quán)利要求1所述獲取入侵源主機(jī)信息的方法,其特征在于����,將獲取的所述信息一 并上報(bào)到控制中心;控制中心對(duì)該信息進(jìn)行記錄和審計(jì)����。
5.一種探針檢測裝置,其特征在于�����,包括掃描單元,用于在確定檢測到入侵信息后��,掃描入侵源主機(jī)端口 ��; 嗅探單元���,用于通過所述端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù)����; 判斷單元�����,用于根據(jù)所述網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)��; 上報(bào)單元�,用于將掃描單元��、嗅探單元和判斷單元獲取的信息一并上報(bào)�。
6.如權(quán)利要求5所述的探針檢測裝置,其特征在于���,還包括 抓包單元���,用于對(duì)事件隊(duì)列抓包�����;解碼分析單元��,用于對(duì)所述被抓取的數(shù)據(jù)包進(jìn)行解碼分析�����; 入侵模式庫單元����,用于存儲(chǔ)入侵模式信息��;匹配單元�,用于將所述解碼分析后的數(shù)據(jù)與入侵模式庫中的信息匹配,若相匹配�,則判 定檢測到入侵信息,并觸發(fā)掃描單元����;否則,判定該數(shù)據(jù)包正常�。
7.如權(quán)利要求5所述的探針檢測裝置�����,其特征在于�,掃描單元采用網(wǎng)絡(luò)嗅測器工具掃 描入侵源主機(jī)端口�����。
8.如權(quán)利要求5所述的探針檢測裝置�,其特征在于,上報(bào)單元將獲取的所述信息一并 上報(bào)到控制中心��;控制中心對(duì)該信息進(jìn)行記錄和審計(jì)���。
全文摘要
本發(fā)明公開了一種獲取入侵源主機(jī)信息的方法及裝置,涉及網(wǎng)絡(luò)安全領(lǐng)域���,用以解決現(xiàn)有入侵檢測系統(tǒng)無法確定入侵源主機(jī)身份信息的問題�。方法包括探針檢測裝置檢測到入侵信息后�����,掃描入侵源主機(jī)端口��;探針檢測裝置通過該端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù);探針檢測裝置根據(jù)該網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng)��;探針檢測裝置將獲取的信息一并上報(bào)�。裝置包括掃描單元,用于在確定檢測到入侵信息后�,掃描入侵源主機(jī)端口;嗅探單元�,用于通過該端口嗅探入侵源主機(jī)的網(wǎng)絡(luò)服務(wù);判斷單元�,用于根據(jù)該網(wǎng)絡(luò)服務(wù)判斷入侵源主機(jī)所用的操作系統(tǒng);上報(bào)單元���,用于將掃描單元�����、嗅探單元和判斷單元獲取的信息一并上報(bào)�。
文檔編號(hào)H04L29/06GK101826994SQ20101010531
公開日2010年9月8日 申請日期2010年2月4日 優(yōu)先權(quán)日2010年2月4日
發(fā)明者柯宗慶, 柯宗貴 申請人:藍(lán)盾信息安全技術(shù)股份有限公司