本发明专利技术公开了一种网络入侵检测的方法、装置和系统。所述方法包括:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。本发明专利技术实施例,综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测,提高了网络入侵检测的全面性和准确性。同时,本发明专利技术实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程,在保证网络数据能及时传输到内部计算机的同时,还实现了网络入侵检测。
【技术实现步骤摘要】
一种网络入侵检测的方法、装置和系统
本专利技术涉及通信及计算机
,尤其涉及一种网络入侵检测的方法、装置和系统。
技术介绍
互联网(Internet)蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。因此为了保护用户网络环境的安全,及时发觉网络入侵行为,网络入侵检测系统便应运而生。传统的网络入侵检测系统包括防火墙、入侵检测系统和交换机,如图1所示。其中,网络数据是在通过防火墙之后、进入交换机之前接入到入侵检测系统进行检测。由于防火墙和入侵检测系统都要对进入内部计算机的的网络数据进行检测,因此造成网络数据不能及时传输到内部计算机,导致内部计算机用户对网络数据使用效率低。另外,因传统的入侵检测系统中待检测的数据来源不够全面,对入侵检测结果的准确性造成一定影响。
技术实现思路
本专利技术实施例提供一种网络入侵检测的方法、装置和系统,用于解决现有网络入侵检测技术使得网络数据不能及时传输到内部计算机,导致内部计算机用户对网络数据使用效率低的问题。一种网络入侵检测的方法,包括以下步骤:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。本专利技术实施例,实现综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测,提高了网络入侵检测的全面性和准确性,从而能够更好的保证内部网络环境的安全。同时,本专利技术实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程,在保证网络数据能及时传输到内部计算机、提高网络数据的使用效率的同时,还实现了网络入侵检测。作为上述技术方案的优选,检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件,包括:利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果;将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。本专利技术实施例实现将入侵检测的分析结果发送至防火墙,由防火墙根据该结果进行安全防范,保证了内部计算机用户网络环境的安全。作为上述技术方案的优选,预设策略包括:基于标识的入侵检测策略和基于异常的入侵检测策略。本专利技术实施例还提出一种网络入侵检测的装置,其特征在于,包括:获取模块,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测模块,用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。作为上述技术方案的优选,所述检测模块包括:分析单元,用于利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果;发送单元,用于将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。本专利技术实施例还提出一种网络入侵检测的系统,其特征在于,包括:交换机,具有一个镜像端口,所述交换机与内部计算机连接;入侵检测装置,与所述镜像端口连接,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。【附图说明】附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中:图1为现有网络入侵检测技术的示意图;图2为本专利技术实施例中网络入侵检测的方法的主要方法流程图;图3为本专利技术实施例中第一种网络入侵检测的方法的详细方法流程图;图4为本专利技术实施例中网络入侵检测系统的示意图;图5为本专利技术实施例中网络入侵检测的装置的主要结构图。【具体实施方式】以下结合附图对本专利技术的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本专利技术,并不用于限定本专利技术。网络入侵检测的对象是数据,因此该数据的来源及数据的准确性会直接影响网络入侵检测的准确性。若只对交换机中的传输数据进行网络入侵检测,数据来源比较单一,对内部计算机工作的网络环境监测的不够全面,不利于及时发现入侵事件。另外,有些入侵事件并不能从网络数据中及时的检测到,而计算机的系统日志却能够记录下网络入侵的踪迹,从这些踪迹中可以很好的发现网络入侵事件。本专利技术实施例提出的网络入侵检测的方法中,网络入侵检测和交换机传输数据同时进行,并对交换机向内部计算机传输的数据和内部计算机的系统日志信息进行检测。参见图2,本专利技术实施例中网络入侵检测的主要方法流程包括:步骤201:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息。优选的,可以在交换机上单独设置一个镜像端口,通过该镜像端口来获取备份数据。优选的,系统日志信息包括:系统安全日志、网络日志和审计数据等。系统日志由系统管理并加以保护,一般情况下不能随意更改。该系统日志中严格记录着系统的行为,利用系统日志信息可以快速的对潜在的系统入侵作出记录和预测。例如当系统日志中记录系统收到连续、反复的端口连接请求时,根据这一迹象,可以判定可能遭受到入侵者正在使用端口扫描器对系统进行外部扫描。根据系统日志信息中的侵入踪迹,可以追踪到入侵来源,以便于预警进行安全防范操作。步骤202:检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。本专利技术实施例,实现综合利用内部计算机的系统日志信息和网络数据进行网络入侵检测,提高了网络入侵检测的全面性和准确性,从而能够更好的保证内部网络环境的安全。同时,本专利技术实施例中网络入侵检测的方法改变了传统方式中先检测后传输数据的过程,在保证网络数据能及时传输到内部计算机、提高网络数据的使用效率的同时,还实现了网络入侵检测。本专利技术实施例中进行网络入侵检测后需要生成入侵检测分析结果,并将该入侵检测分析结果发送至防火墙,由防火墙根据该入侵检测分析结果进行进行安全防范操作,比如屏蔽掉入侵IP等。参见图3,本专利技术实施例中网络入侵检测的详细方法流程包括:步骤301:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息。步骤302:利用预设策略对内部计算机的系统日志信息和备份数据进行入侵分析,产生入侵事件分析结果。优选的,入侵事件分析结果包括:入侵时间、入侵过程、入侵来源等。优选的,预设策略包括基于标识的入侵检测策略和基于异常的入侵检测策略。其中,基于标识的入侵检测策略,需要预先定义违背安全策略的入侵事件的特征,并给予这些特征建立一个特征集合用于检测入侵事件。例如当检测当检测到网络数据包的包头信息与特征集合想匹配时,本文档来自技高网...
【技术保护点】
一种网络入侵检测的方法,其特征在于,包括以下步骤:在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息;检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。
【技术特征摘要】
1.一种网络入侵检测的方法,其特征在于,包括以下步骤: 在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息; 检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。2.根据权利要求1所述的方法,其特征在于,检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件,包括: 利用预设策略对所述内部计算机的系统日志信息和所述备份数据进行入侵分析,产生入侵事件分析结果; 将入侵事件分析结果发送至防火墙,由防火墙根据入侵事件分析结果进行安全防范操作。3.根据权利要求2所述的方法,其特征在于,预设策略包括: 基于标识的入侵检测策略和基于异常的入侵检测策略。4.一种网络入侵检测的装置,其特征在于,包括: 获取模块,用于在交换机向内部计算机传输数据时,从交换机获取所述数据的备份数据,从内部计算机中获取该内部计算机的系统日志信息; 检测模块,用于检测所述内部计算机的系统日志信息和所述备份数据是否存在入侵事件。5.根据权利要求4所述的装置,其特征在于,所述检测模块包括: 分析单元,用于利用预设策略对所述内部计算机的系统日志信...
【专利技术属性】
技术研发人员:张新亮,
申请(专利权)人:天脉聚源北京传媒科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。