一种入侵检测方法及系统技术方案

技术编号:13796955 阅读:146 留言:0更新日期:2016-10-06 17:06
本发明专利技术公开了一种入侵检测方法,该方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。本发明专利技术还同时公开了一种入侵检测系统。

【技术实现步骤摘要】

本专利技术涉及网络安全
,尤其涉及一种入侵检测方法及系统
技术介绍
随着信息技术的不断发展,网络信息安全问题也日显突出,如何确保网络信息的安全已成为全社会关注的问题。目前,网络入侵检测技术作为一种积极主动地安全防护技术,已被广泛应用于网络信息安全领域;网络入侵检测技术提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,因此,网络入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。现有网络入侵检测技术通常采用模式匹配、异常检测及协议分析对网络业务数据流进行入侵检测,然而,现有入侵检测技术通常是对所有被监控流量进行特征包检测,并不了解用户的业务环境,因此,经常会出现误报现象,从而降低了网络入侵检测的检测率。
技术实现思路
有鉴于此,本专利技术实施例提供一种入侵检测方法及系统,能提高入侵检测的检测率。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种入侵检测方法,该方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。上述方案中,该方法还包括:在预设时间段内根据预设的白名单自动确认参数确定检测白名单。上述方案中,所述在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。上述方案中,所述根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测,包括:将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。上述方案中,所述方法还包括:对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特
征信息加入所述检测白名单;确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。上述方案中,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。根据上述方法,本专利技术实施例还提供了一种入侵检测系统,该系统包括:流量采集模块、基本信息提取模块、入侵检测模块;其中,所述流量采集模块,用于接收到数据采集指令时,采集业务数据流;所述基础信息提取模块,用于根据所述业务数据流提取传输基本信息;所述入侵检测模块,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。上述方案中,所述系统还包括:白名单确定模块,用于在预设时间段内根据预设的白名单自动确认参数确定检测白名单。上述方案中,所述白名单确定模块,具体用于指示所述流量采集模块在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;并在所述流量采集模块采集每类数据流的至少一个会话连接实例的业务数据流之后,对每类数据流的至少一个连接实例的业务数据流数据进行统计分析及特征提取,得到每类数据流的业务特征信息;根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。上述方案中,所述入侵检测模块,具体用于将所述传输基本信息与所述检
测白名单中的业务特征信息进行匹配;若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。上述方案中,所述入侵检测模块,具体用于在对所述业务数据流的入侵检测未通过时,指示所述流量采集模块在预设的时间段内根据所述待测传输基本信息采集至少一个会话连接实例的业务数据流;并在所述流量采集模块采集至少一个会话连接实例的业务数据流后,对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。上述方案中,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。本专利技术实施例所提供的入侵检测方法及系统,接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息;如此,本专利技术实施例能针对互连行为的业务数据流进行统计分析与特征提取,从而得到正常互连行为的业务特征信息;并根据正常互连行为的业务特征信息对采集的业务数据流进行入侵检测,进而能够提高入侵检测的检测率。附图说明图1为本专利技术实施例入侵检测系统的结构示意图;图2为本专利技术实施例入侵检测方法流程示意图;图3为本专利技术实施例入侵检测的具体场景示意图。具体实施方式在本专利技术实施例中,接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。下面结合附图对本专利技术的具体实施方式进行说明。图1为本专利技术实施例中提供的入侵检测系统的结构示意图,如图1所示,该系统包括:流量采集模块100、基本信息提取模块101、入侵检测模块102;其中,所述流量采集模块100,用于接收到数据采集指令时,采集业务数据流;所述基本信息提取模块101,用于根据所述业务数据流提取传输基本信息;所述入侵检测模块102,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息;其中,本文档来自技高网
...

【技术保护点】
一种入侵检测方法,其特征在于,所述方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。

【技术特征摘要】
1.一种入侵检测方法,其特征在于,所述方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在预设时间段内根据预设的白名单自动确认参数确定检测白名单。3.根据权利要求2所述的方法,其特征在于,所述在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。4.根据权利要求1所述的方法,其特征在于,所述根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测,包括:将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。6.根据权利要求1至5任一项所述的方法,其特征在于,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。7.一种入侵检测系统,其特征在于,所述系统包括:流量采集模块、基本信息提取模块、入侵检测模块;其中,所述流量采集模块,用于接收到数据采集指令...

【专利技术属性】
技术研发人员:周智魏丽红聂宇田曹一生郭晓军李竞白敏曹二皇李京红隋鹏石磊辛术申健
申请(专利权)人:中国移动通信集团山西有限公司
类型:发明
国别省市:山西;14

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1