根据本发明专利技术的一个实施例,提出了一种用于降低网络入侵检测系统的误报率的方法,包括:接收表明可能发生了网络入侵的警报;识别警报的特征,至少包括攻击类型和目标地址;询问与目标地址相关联的目标主机以获得操作系统指纹;从目标主机接收包括操作系统类型的操作系统指纹;将攻击类型与操作系统类型进行比较;并且基于所述比较,表明目标主机是否可能受到攻击。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术一般地涉及入侵检测,更具体地说,涉及用于降低网络入侵检测系统的误报率的方法和系统。
技术介绍
网络入侵检测系统(“NIDS”)一般被设计用来实时监视网络活动以发现可疑的或已知的恶意活动,并将这些发现报告给适当的人员。通过密切监视所有的活动,NIDS能够比较迅速地发出计算机入侵警报,并且给管理员时间以防卫或遏制入侵,或者让NIDS自动对攻击作出反应并阻止攻击。在安全工业中,NIDS可以是被动型的流量观察器,也可以是实时作出反应以阻止攻击的主动型的网络部件。因为NIDS是被动型的网络流量观察器,所以它们经常缺乏关于攻击主机和防护主机的某些知识,这使得它不能确定攻击是否成功。与正在偷听两个陌生人之间对话的偷听者非常相似,NIDS常常缺乏关于攻击的上下文的知识,因此会对可能是非敌意的或无关的网络活动“发出警报”。一些系统试图通过对它们所监视的网络建立静态映象来解决这个问题。这种知识的建立通常要通过扫描网络上的所有系统,并且将结果保存在数据库中以用于以后的检索。这种系统对于大多数的网络来说是不够用的,因为网络设备的拓扑、类型和位置是不断变化的,而且这种系统需要管理员维护静态的数据库。此外,持续扫描和保持网络数据库的更新的压力很大,可能经常会导致网络服务变慢或停止工作。
技术实现思路
根据本专利技术的一个实施例,提出了一种用于降低网络入侵检测系统的误报率的方法,包括接收表明可能发生了网络入侵的警报;识别警报的特征,至少包括攻击类型和目标地址;询问与目标地址相关联的目标主机以获得操作系统指纹;从目标主机接收包括操作系统类型的操作系统指纹;将攻击类型与操作系统类型进行比较;并且基于所述比较,表明目标主机是否可能受到攻击。本专利技术的一些实施例提供许多技术优点。其它的实施例可能实现一些或全部这些优点,也可能一个也实现不了。例如,根据一个实施例,网络入侵检测系统(“NIDS”)的误报率被极大地降低或消除,而这降低了对监视NIDS以对每个警报作出反应的人员的需求。即使不需要关于整个有防护网络的知识,也可获得较低的误报率。因为不再需要网络的知识,因此可以动态地向网络增加主机。根据另一个实施例,对网络的严重的攻击被升级,而且损失很大的入侵被补救。本领域的技术人员可以很容易地通过下面的附图具体实施方式和权利要求书来发现其它的优点。附图说明现在将参考下面的与附图相结合的说明,以获得对本专利技术及其优点的更加全面的理解,在附图中,相似的标号代表相似的部分,并且图1的示意图根据本专利技术的一个实施例,示出了使用被动分析工具来降低网络入侵检测系统的误报率的系统;图2的方框图根据本专利技术的一个实施例,示出了图1中的被动分析工具的各种功能部件;图3的流程图根据本专利技术的一个实施例,示出了用于降低网络入侵检测系统的误报率的方法;并且图4的流程图根据本专利技术的一个实施例,示出了可以与图3的方法结合起来使用的方法。具体实施例方式参考所附图1到图4可以最好地理解本专利技术的实施例,相似的标号被用于各图中相似的和相应的部分。图1的示意图根据本专利技术的一个实施例,示出了使用被动分析工具110来降低网络入侵检测系统(“NIDS”)108的误报率的系统100。在所示实施例中,NIDS 108耦合到链路106,链路106可通信地耦合了无防护网络102和有防护网络104。系统100还包括使用被动分析工具110的网络管理员112,如下面所详细描述的那样。无防护网络102可以是有防护网络104外部的任何合适的网络。无防护网络102的一个例子是因特网。有防护网络104可以是任何合适的网络,例如局域网、广域网、虚拟专用网络或任何其它的希望其安全性不受无防护网络102影响的网络。链路106将无防护网络102耦合到有防护网络104,并且其可以是任何合适的通信链路或信道。在一个实施例中,链路106能够在无防护网络102和有防护网络104之间以“包”传输数据;但是,通信链路106也可以以其它合适的形式来传输数据。在一个实施例中,NIDS 108是任何合适的基于网络的入侵检测系统,其能够分析在通信链路106上传输的数据包,以检测对有防护网络104的任何潜在攻击。NIDS 108可以是硬件、固件和/或软件的任何合适的组合。一般地,NIDS 108包括一个或更多个传感器,它们能够监视具有任何合适的数据链路协议的任何合适类型的网络。在具体的实施例中,与NIDS 108相关联的传感器能够检查使用任何合适协议(例如TCP(“传输控制协议”)、UDP(“用户数据报协议”)和ICMP(“网间控制报文协议”))的IP(“因特网协议”)网络上的数据包。在检测到对有防护网络104的可能的攻击后,NIDS 108能够产生表明可能发生了对有防护网络104的攻击的警报,并可以立刻阻止该攻击。然后,该警报被传输到被动分析工具110以进行如下所述的分析。根据本专利技术的一个实施例的教导,被动分析工具110接收来自NIDS108的警报,使用与该警报关联的信息,确定是真的发生了攻击还是收到了错误的警报。被动分析工具110显著地降低了网络环境中的网络入侵检测系统(如NIDS 108)的误报率,并且减少了对监视这些系统以对每个警报作出反应的人员(例如网络管理员112)的需求。被动分析工具110的细节将在下面结合图2到4而被更详细地说明。虽然被动分析工具110在图1中被示为与NIDS 108相分离,但是它也可以与NIDS 108集成在一起,这样就不需要分立的硬件了。在任何情况下,NIDS 108和被动分析工具110都协同工作,以根据检测到的攻击的严重性和精确性来分析、降低或升级警报。本专利技术的一个技术优点是可以消除目标为错误的操作系统、供应商、应用或网络硬件的警报。网络管理员112可以是使用被动分析工具110来监视对有防护网络104的潜在攻击,并在适当情况下对其进行反应的任何合适的人员。网络管理员112一般具有驻留在他的或她的计算机上的被动分析工具110,以接收来自被动分析工具的被过滤了的警报,如标号114所指。图2的方框图根据本专利技术的一个实施例,示出了被动分析工具110的各种功能部件。本专利技术考虑到了部件的数量比图2所示更多、更少,或与图2所示部件不同的情况。在图示的实施例中,被动分析工具110包括警报输入层202、警报解释层204、目标缓存查找206、操作系统(“OS”)取指纹(fingerprinting)机制208、端口取指纹机制210和警报输出层212。在结合图3到4对被动分析工具110的功能进行更详细的描述之前,现在描述这些部件中每个部件的一般功能。警报输入层202一般负责接受来自NIDS 108的警报,并将其传递到其它系统部件进行分析。在一个实施例中,警报输入层202接受来自NIDS 108的警报,并确定该警报格式是否有效。如果该警报格式无效,那么该警报被忽略。如果该警报格式有效,那么该警报被发送到警报解释层204。警报输入层202被优选地设计为不依赖于NIDS供应商,这样它就可以不作修改地同时接受来自多个NIDS源的警报。一般地,警报解释层204从警报输入层202接收警报并对该警报执行分析。在一个实施例中,警报解释层204确定该警报是否来自于被支持的NIDS供应商。如果该警报不是来自于被支持的NIDS供应商,那么一个本文档来自技高网...
【技术保护点】
一种用于降低网络入侵检测系统的误报率的方法,包括:接收表明可能发生了网络入侵的警报;识别所述警报的特征,至少包括攻击类型和目标地址;询问与所述目标地址相关联的目标主机以获得操作系统指纹;从所述目标主机接收包括操作系统类型的所述操作系统指纹;将所述攻击类型与所述操作系统类型进行比较;以及基于所述比较,表明所述目标主机是否可能受到所述攻击。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:克雷格H罗兰,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。