【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种入侵检测方法及系统。
技术介绍
随着信息技术的不断发展,网络信息安全问题也日显突出,如何确保网络信息的安全已成为全社会关注的问题。目前,网络入侵检测技术作为一种积极主动地安全防护技术,已被广泛应用于网络信息安全领域;网络入侵检测技术提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,因此,网络入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。现有网络入侵检测技术通常采用模式匹配、异常检测及协议分析对网络业务数据流进行入侵检测,然而,现有入侵检测技术通常是对所有被监控流量进行特征包检测,并不了解用户的业务环境,因此,经常会出现误报现象,从而降低了网络入侵检测的检测率。
技术实现思路
有鉴于此,本专利技术实施例提供一种入侵检测方法及系统,能提高入侵检测的检测率。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种入侵检测方法,该方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。上述方案中,该方法还包括:在预设时间段内根据预设的白名单自动确认参数确定检测白名单。上述方案中,所述在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据 ...
【技术保护点】
一种入侵检测方法,其特征在于,所述方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
【技术特征摘要】
1.一种入侵检测方法,其特征在于,所述方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在预设时间段内根据预设的白名单自动确认参数确定检测白名单。3.根据权利要求2所述的方法,其特征在于,所述在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。4.根据权利要求1所述的方法,其特征在于,所述根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测,包括:将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。6.根据权利要求1至5任一项所述的方法,其特征在于,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。7.一种入侵检测系统,其特征在于,所述系统包括:流量采集模块、基本信息提取模块、入侵检测模块;其中,所述流量采集模块,用于接收到数据采集指令...
【专利技术属性】
技术研发人员:周智,魏丽红,聂宇田,曹一生,郭晓军,李竞,白敏,曹二皇,李京红,隋鹏,石磊,辛术,申健,
申请(专利权)人:中国移动通信集团山西有限公司,
类型:发明
国别省市:山西;14
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。