| 主权项 |
一种基于行为描述的可联动分布式网络入侵检测方法,其特征在于a) 检测单元运行过程:1.) 首先数据包采集器采集网络上的数据包,并将这些数据放到内存池中交给处理器,2.) 包头检测模块进行包头格式检查确定是否为有效数据包,消除无效数据包,并对异常数据包生成行为描述结构、包头异常信息和危险指数,3.) 描述生成模块扫描有效数据包生成行为描述结构并填充其基本信息,4.) 网络连接检查模块预处理数据包,将单个数据包信息关联到网络连接,5.) 网络连接检查模块基于信任规则对行为描述数据结构进行检查,如果合法则直接生成行为描述结构和危险指数,并将数据结构放在可取队列的后面交给分析器,处理下一个数据结构,6.) 网络连接检查模块基于误用规则对不符合信任规则的连接数据结构进行检查,如果非法则直接生成行为描述结构和危险指数,并将数据结构放在可取队列的后面交给分析器,处理下一个数据包,7.) 对于不符合误用规则的连接数据结构标记为可疑,并将它交给内容检查模块,由内容检查模块填充行为描述结构中的详细信息,并进行更详细的内容检查,主要是基于敏感字库对数据包负载部分进行关键字的扫描,8.) 分析器依次到可取队列中取得每个行为描述数据结构,读取危险指数,根据危险指数决定操作行为;如果危险指数为可疑,则需要采取进一步的分析操作;这里基于本地行为检测规则进行简单分析,如果分析行为差异不大则不改变危险指数仍为可疑,则不仅要保存行为描述数据结构,还要保存详细的报文信息供信息中心进一步分析,否则将危险指数重置为警告;9.) 如果危险指数显示为信任、正常、警告或危险,则分析器只保存行为描述数据到本地数据库,对于警告或危险的还需立即向控制器发出事件通知;10.) 控制器周期性地向总控平台提交最新的行为描述数据,在收到分析器发来的事件通知后,立即向总控平台转发该事件通知,如果危险指数为危险需立即向防火墙发出控制命令,采取措施防止危险行为继续,控制台还接受来自总控平台的命令,如本地数据库更新命令、防火墙控制命令或信息提交命令;b)总控平台运行过程:本地检测单元向总控提交的数据包括警告通知消息和本地行为描述数据,当总控平台接收到警告通知消息时,则立即向管理界面发出警告消息,或通过邮件方式通知管理员,并记录日志,当总控平台接收到行为描述数据时,在不同的阶段有不同的处理方式,总控平台的运行分为学习阶段和决策阶段,学习阶段是观察训练数据集构建行为分类器;决策阶段则是利用学习阶段构建的行为分类器来对从网上采集的新数据集进行分类即检测它们是正常还是异常;在学习阶段:b1.)总控平台存储检测单元提交的每一条微观行为描述数据,在一定的时间间隔后,从这些数据中提取连接的宏观行为信息,b2.)分析宏观行为描述结构中各域值生成对应的宏观特征向量,b3.)扫描生成的宏观特征向量,将它们作为分类器学习阶段的训练数据集,得到决策函数,在决策阶段:B4.)总控平台扫描检测单元提交的微观行为描述数据,使用学习阶段一样的算法生成对应的宏观行为特征向量,B5.)将连接的宏观行为特征向量作为决策函数的输入,B6.)读取决策函数的输出,判断结果,如果有异常则自动生成误用检测规则并要求检测单元立即更新;同时向管理界面发出警报通知,或者通过邮件通知管理员,并记录日志,等待管理员做进一步分析后作出判定;如果没有出现异常,则只是记录日志信息。 |
