一种入侵检测方法及系统转让专利
申请号 : CN201510080837.6
文献号 : CN105991587B
文献日 : 2019-10-15
发明人 : 周智 , 魏丽红 , 聂宇田 , 曹一生 , 郭晓军 , 李竞 , 白敏 , 曹二皇 , 李京红 , 隋鹏 , 石磊 , 辛术 , 申健
申请人 : 中国移动通信集团山西有限公司
摘要 :
本发明公开了一种入侵检测方法,该方法包括:接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。本发明还同时公开了一种入侵检测系统。
权利要求 :
1.一种入侵检测方法,其特征在于,所述方法包括:
接收到数据采集指令时,采集业务数据流;
根据所述业务数据流提取传输基本信息;
根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息;
在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;
对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
2.根据权利要求1所述的方法,其特征在于,所述根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测,包括:将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;
对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
5.一种入侵检测系统,其特征在于,所述系统包括:流量采集模块、基本信息提取模块、入侵检测模块、白名单确定模块;其中,所述流量采集模块,用于接收到数据采集指令时,采集业务数据流;
所述基本信息提取模块,用于根据所述业务数据流提取传输基本信息;
所述入侵检测模块,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息;
所述白名单确定模块,具体用于指示所述流量采集模块在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;并在所述流量采集模块采集每类数据流的至少一个会话连接实例的业务数据流之后,对每类数据流的至少一个连接实例的业务数据流数据进行统计分析及特征提取,得到每类数据流的业务特征信息;
根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
6.根据权利要求5所述的系统,其特征在于,所述入侵检测模块,具体用于将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
7.根据权利要求6所述的系统,其特征在于,所述入侵检测模块,具体用于在对所述业务数据流的入侵检测未通过时,指示所述流量采集模块在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;
并在所述流量采集模块采集至少一个会话连接实例的业务数据流后,对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
8.根据权利要求5至7任一项所述的系统,其特征在于,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
说明书 :
一种入侵检测方法及系统
技术领域
[0001] 本发明涉及网络安全技术领域,尤其涉及一种入侵检测方法及系统。
背景技术
[0002] 随着信息技术的不断发展,网络信息安全问题也日显突出,如何确保网络信息的安全已成为全社会关注的问题。目前,网络入侵检测技术作为一种积极主动地安全防护技术,已被广泛应用于网络信息安全领域;网络入侵检测技术提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,因此,网络入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
[0003] 现有网络入侵检测技术通常采用模式匹配、异常检测及协议分析对网络业务数据流进行入侵检测,然而,现有入侵检测技术通常是对所有被监控流量进行特征包检测,并不了解用户的业务环境,因此,经常会出现误报现象,从而降低了网络入侵检测的检测率。
发明内容
[0004] 有鉴于此,本发明实施例提供一种入侵检测方法及系统,能提高入侵检测的检测率。
[0005] 为达到上述目的,本发明的技术方案是这样实现的:
[0006] 本发明实施例提供了一种入侵检测方法,该方法包括:
[0007] 接收到数据采集指令时,采集业务数据流;
[0008] 根据所述业务数据流提取传输基本信息;
[0009] 根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
[0010] 上述方案中,该方法还包括:
[0011] 在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
[0012] 上述方案中,所述在预设时间段内根据预设的白名单自动确认参数确定检测白名单,包括:
[0013] 在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;
[0014] 对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
[0015] 根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
[0016] 确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
[0017] 上述方案中,所述根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测,包括:
[0018] 将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
[0019] 若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
[0020] 若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
[0021] 上述方案中,所述方法还包括:
[0022] 对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;
[0023] 对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
[0024] 根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
[0025] 确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
[0026] 确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
[0027] 上述方案中,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
[0028] 所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
[0029] 根据上述方法,本发明实施例还提供了一种入侵检测系统,该系统包括:流量采集模块、基本信息提取模块、入侵检测模块;其中,
[0030] 所述流量采集模块,用于接收到数据采集指令时,采集业务数据流;
[0031] 所述基础信息提取模块,用于根据所述业务数据流提取传输基本信息;
[0032] 所述入侵检测模块,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
[0033] 上述方案中,所述系统还包括:
[0034] 白名单确定模块,用于在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
[0035] 上述方案中,所述白名单确定模块,具体用于指示所述流量采集模块在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;并在所述流量采集模块采集每类数据流的至少一个会话连接实例的业务数据流之后,对每类数据流的至少一个连接实例的业务数据流数据进行统计分析及特征提取,得到每类数据流的业务特征信息;
[0036] 根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
[0037] 确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
[0038] 上述方案中,所述入侵检测模块,具体用于将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
[0039] 若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
[0040] 若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
[0041] 上述方案中,所述入侵检测模块,具体用于在对所述业务数据流的入侵检测未通过时,指示所述流量采集模块在预设的时间段内根据所述待测传输基本信息采集至少一个会话连接实例的业务数据流;
[0042] 并在所述流量采集模块采集至少一个会话连接实例的业务数据流后,对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
[0043] 根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
[0044] 确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
[0045] 确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
[0046] 上述方案中,所述传输基本信息为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;
[0047] 所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
[0048] 本发明实施例所提供的入侵检测方法及系统,接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息;如此,本发明实施例能针对互连行为的业务数据流进行统计分析与特征提取,从而得到正常互连行为的业务特征信息;并根据正常互连行为的业务特征信息对采集的业务数据流进行入侵检测,进而能够提高入侵检测的检测率。
附图说明
[0049] 图1为本发明实施例入侵检测系统的结构示意图;
[0050] 图2为本发明实施例入侵检测方法流程示意图;
[0051] 图3为本发明实施例入侵检测的具体场景示意图。
具体实施方式
[0052] 在本发明实施例中,接收到数据采集指令时,采集业务数据流;根据所述业务数据流提取传输基本信息;根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;其中,所述检测白名单包括正常互连行为的业务特征信息。
[0053] 下面结合附图对本发明的具体实施方式进行说明。
[0054] 图1为本发明实施例中提供的入侵检测系统的结构示意图,如图1所示,该系统包括:流量采集模块100、基本信息提取模块101、入侵检测模块102;其中,[0055] 所述流量采集模块100,用于接收到数据采集指令时,采集业务数据流;
[0056] 所述基本信息提取模块101,用于根据所述业务数据流提取传输基本信息;
[0057] 所述入侵检测模块102,用于根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测;
[0058] 其中,所述检测白名单包括正常互连行为的业务特征信息;
[0059] 其中,所述传输基本信息可以为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
[0060] 进一步地,所述系统还包括:
[0061] 白名单确定模块103,用于在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
[0062] 具体实施中,所述白名单确定模块103,用于指示所述流量采集模块100在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流,并在所述流量采集模块100采集每类数据流的至少一个会话连接实例的业务数据流之后,对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
[0063] 根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
[0064] 确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
[0065] 具体实施中,所述入侵检测模块102,具体用于将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;
[0066] 若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;
[0067] 若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
[0068] 具体实施中,所述入侵检测模块102,具体用于在对所述业务数据流的入侵检测未通过时,指示所述流量采集模块100在预设的时间段内根据待测的所述传输基本信息采集至少一个会话连接实例的业务数据流;
[0069] 并在所述流量采集模块100采集至少一个会话连接实例的业务数据流后,对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
[0070] 根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
[0071] 确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
[0072] 为了描述的方便,以上所述入侵检测系统的各部分以功能分为各种模块或单元分别描述。以上功能模块或单元的划分方式仅为本发明实施例给出的一种优选实现方式,功能模块或单元的划分方式不构成对本发明的限制。
[0073] 上述功能模块可以是软件功能模块,也可以是硬件设备。该入侵检测系统可以是分布式系统或集中式系统,若为分布式系统,则上述功能模块可分别由硬件设备实现,各硬件设备之间通过网络交互;若是集中式系统,则上述各功能模块可由软件实现,集成在一个硬件设备中。
[0074] 在实际应用中,若所述入侵检测系统为分布式系统,则流量采集模块100可由入侵检测系统中的探针实现,所述基础信息提取模块101、入侵检测模块102、白名单确定模块103可由入侵检测系统中的安全管理中心(Security Management Center,SMC)实现。
[0075] 在实际应用中,若所述入侵检测系统为集中式系统,则所述流量采集模块100、基础信息提取模块101、入侵检测模块102、白名单确定模块103可由位于SMC的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)实现。
[0076] 在实际应用中,所述入侵检测系统可以为用户提供后台智能分析基础上的互连行为的可视化图形界面,该可视化图形界面能够形象展示所观察到的互连行为,并以线段方式展现任意两个IP地址的互连关系,端点表示IP地址,线段粗细表示预设时间段内的连接次数,鼠标右键点击线段可以展示详细的业务特征信息,所述业务特征信息包括源地址、源端口、目标地址、目标端口、应用协议,以及目标端口的聚焦而源端口的高度离散的特征、业务账户名称、执行指令类型、响应类型、连接频率、流量大小等多维度的业务特征信息。
[0077] 基于以上系统架构,本发明实施例提出了一种入侵检测系统方法,如图2所示,该方法包括:
[0078] 步骤S201:接收到数据采集指令时,采集业务数据流。
[0079] 本步骤中,检测到网络中设备A向设备B发起网络连接时,接收到数据采集指令,采集设备A与设备B在互连过程中产生的业务数据流。
[0080] 本步骤中,具体如何采集业务数据流可以采用现有数据采集方式,此处不再赘述。
[0081] 步骤S202:根据所述业务数据流提取传输基本信息。
[0082] 本步骤中,所述传输基本信息可以为五元组信息,所述五元组信息包括源地址、源端口、目标地址、目标端口、应用协议。
[0083] 本步骤中,由于所述业务数据流的数据包头包括五元组信息,因此,可以从所述业务数据流的数据包头中提取出五元组信息。
[0084] 本步骤中,具体如何从所述业务数据流的数据包头中提取出五元组信息可以采用现有数据提取方式,此处不再赘述。
[0085] 步骤S203:根据所述传输基本信息及检测白名单,对所述业务数据流进行入侵检测。
[0086] 本步骤中,所述检测白名单包括正常互连行为的业务特征信息;所述业务特征信息包括五元组信息、以下信息的一项或多项:业务账户名称、执行指令类型、响应类型、预设时间段内的连接次数、流量大小。
[0087] 本步骤中,先将所述传输基本信息与所述检测白名单中的业务特征信息进行匹配;若所述传输基本信息与所述检测白名单中的业务特征信息未匹配成功,则对所述业务数据流的入侵检测未通过;若所述传输基本信息与所述检测白名单中的业务特征信息匹配成功,则对所述业务数据流的入侵检测通过。
[0088] 本步骤中,所述传输基本信息与所述检测白名单的业务特征信息中传输基本信息相同时,匹配成功;所述传输基本信息与所述检测白名单的业务特征信息中传输基本信息不相同时,未匹配成功。
[0089] 本步骤中,所述传输基本信息与所述检测白名单中的业务特征信息匹配成功时,确定所述业务数据流属于正常互连行为的业务数据流,此时不需要对已确认属于正常互连行为的业务数据流进行统计分析与特征提取,从而避免浪费系统资源。
[0090] 本步骤中,对所述业务数据流的入侵检测未通过时,在预设的时间段内根据所述传输基本信息采集至少一个会话连接实例的业务数据流;
[0091] 对所述至少一个会话连接实例的业务数据流进行统计分析及特征提取,得到业务特征信息;
[0092] 根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息;
[0093] 确定所述业务特征信息为正常互连行为的业务特征信息时,将所述业务特征信息加入所述检测白名单;
[0094] 确定所述业务特征信息为异常互连行为的业务特征信息时,发送报警信息。
[0095] 本步骤中,在预设的时间段内采集所述传输基本信息中指定的IP地址或端口等条件的至少一个会话连接实例的业务数据流。
[0096] 本步骤中,具体如何在预设的时间段内采集所述传输基本信息中指定的IP地址或端口等条件的至少一个会话连接实例的业务数据流可以采用现有数据采集方式,此处不再赘述。
[0097] 本步骤中,具体如何从所述至少一个会话连接实例的业务数据流中提取业务特征信息可以采用现有数据提取方式,此处不再赘述。
[0098] 本步骤中,所述白名单自动确认参数包括互连时间检测范围、互连IP地址范围、互连目标端口范围、预设时间段内的连接次数、业务账户名称、执行指令类型、响应类型、流量大小等参数,所述白名单自动确认参数可以依据数据流类型进行预设,具体实现方式如下:
[0099] 1)业务互连协作类:业务流中通信网、业务系统到合作伙伴系统、其它系统的固定IP地址和端口之间的数据流。
[0100] 该类数据流的白名单自动确认参数可以设置为:
[0101] 互连时间检测范围:该类流量自动默认全天时间进行实时检测,不区分工作日、休息日;
[0102] 互连IP地址范围:对互连行为中源地址和目标地址的范围进行配置;
[0103] 互连目标端口范围:对互连行为中目标端口的范围进行配置;
[0104] 以及对预设时间段内的连接次数、业务账户名称、执行指令类型、响应类型、流量大小等参数进行配置。
[0105] 2)用户访问类:业务流中用户到业务系统、通信网的访问数据流。
[0106] 由于该类数据流的目标地址和目标端口较为固定,而来访源地址的范围较为分散,因此,该类数据流的白名单自动确认参数可以设置为:
[0107] 互连时间检测范围:该类数据流自动默认全天时间进行实时检测,不区分工作日、休息日;
[0108] 互连目标地址范围:对互连行为中的目标地址的范围进行配置。
[0109] 互连目标端口范围:对互连行为中的目标端口的范围进行预设,默认值为端口号8080或80;
[0110] 以及对预设时间段内的连接次数、业务账户名称、执行指令类型、响应类型、流量大小等参数进行配置。
[0111] 3)内部支撑类:内部计费系统、网管系统以及管控平台等安全管理功能连接网元、进行定期数据采集、同步的管理数据流。
[0112] 由于该类数据流拥有固定的连接频率,且固定的两端IP地址及端口对应关系,因此,该类数据流的白名单自动确认参数可以设置为:
[0113] 互连时间检测范围:该类数据流自动默认全天时间进行实时检测,不区分工作日、休息日;
[0114] 互连连接频率:对预设时间段内的连接次数进行配置,例如:在预设时间段内设置连接次数为1次、2次或3次。
[0115] 互连IP地址范围:对互连行为中源地址及目标地址的范围进行配置。
[0116] 互连目标端口范围:对互连行为中目标端口的范围进行配置;
[0117] 以及对业务账户名称、执行指令类型、响应类型、流量大小等参数进行配置。
[0118] 4)日常运维类:维护人员通过网管系统以及管控平台等安全管理功能维护网元的数据流。
[0119] 该类数据流的白名单自动确认参数可以设置为:
[0120] 互连时间检测范围:该类数据流自动默认全天时间进行实时检测,但支持用户选择区分工作日、休息日,例如,选择仅工作日有效,在法定节假日的时间产生该类数据流,则将该类数据流视为异常互连行为的业务数据流;
[0121] 互连IP地址的对应关系:对互连行为中源地址、目标地址进行一一对应的配置,可以提供三个默认值供用户选择:
[0122] A.4A管控平台堡垒机地址-网元地址;
[0123] B.网管系统平台地址-网元地址;
[0124] C.业务系统前置机地址-网元地址;
[0125] 互连目标端口范围:对互连行为中目标端口的范围进行配置,默认值为端口号22或443。
[0126] 本步骤中,为避免高级持续性威胁(Advanced Persistent Threat,APT)攻击而导致的网络安全问题,预设的时间段范围为15分钟-24小时。
[0127] 本步骤中,根据预设的白名单自动确认参数确定所述业务特征信息是否为正常互连行为的业务特征信息,具体实现方式如下:
[0128] 若提取的所述业务特征信息中的各参数在对应的白名单自动确认参数范围之内,则确定所述业务特征信息为正常互连行为的业务特征信息;否则,确定所述业务特征信息为异常互连行为的业务特征信息。
[0129] 进一步地,所述方法还包括:
[0130] 步骤S200:在预设时间段内根据预设的白名单自动确认参数确定检测白名单。
[0131] 本步骤中,首先在预设时间段内采集每类数据流的至少一个会话连接实例的业务数据流;
[0132] 然后,对每类数据流的至少一个连接实例的业务数据流进行统计分析及特征提取,得到每类数据流的业务特征信息;
[0133] 根据预设的白名单自动确认参数确定每类数据流的业务特征信息是否为正常互连行为的业务特征信息;
[0134] 确定为正常互连行为的业务特征信息时,将正常互连行为的业务特征信息加入所述检测白名单;确定为异常互连行为的业务特征信息时,结束本次处理流程。
[0135] 本发明实施例中,结合业务系统运营需要,对业务系统与内部网络、外部网络的互连行为进行分析、呈现,并针对互连行为的业务数据流进行统计分析与特征提取,从而得到正常互连行为的业务特征信息;根据正常互连行为的业务特征信息对采集的业务数据流进行入侵检测,能够提高入侵检测的检测率。
[0136] 为了更清楚地对本发明实施例进行说明,下面以图3所示的场景为例,对入侵检测流程进行详细描述。
[0137] 如图3所示,该场景中设备A与设备B建立网络连接,设备A发送短信至设备B,从而产生短信业务数据流;由于短信业务流量属于业务互连协作类数据流,因此,预设白名单自动确认参数中的互连时间检测范围为全天时间,不区分工作日、休息日,互连行为中源地址的范围为192.168.0.1-192.168.0.8,目标地址的范围为10.1.0.1-10.1.0.8,目标端口的范围为80,流量范围为512KB-1024KB。
[0138] 入侵检测系统中的流量采集模块100接收到数据采集指令时,采集设备A与设备B之间的短信业务数据流;从所述业务数据流的数据包头中提取出五元组信息,该五元组信息包括:源地址192.168.0.1、目标地址10.1.0.1、源端口号20、目标端口号80;根据五元组信息中设备A的IP地址获取设备A的设备属性信息,该设备属性信息包括设备IP地址、设备名称、设备类型、所属业务系统、对应负责人等信息,将设备A的设备属性信息与综合业务管理平台(ISMP)中的IP地址进行对比,若匹配,则对设备A的合法性验证通过,否则,对设备A的合法性验证未通过,结束本次处理流程;
[0139] 对设备A的合法性验证通过后,将所述五元组信息与所述检测白名单中的业务特征信息进行匹配;
[0140] 若所述五元组信息与所述检测白名单中的业务特征信息未匹配成功,则对所述短信业务数据流的入侵检测未通过,在预设时间段内根据所述五元组信息中指定的源地址192.168.0.1、目标地址10.1.0.1、源端口号20、目标端口号80的短信业务数据流进行统计分析及特征提取;若得到指定条件的业务数据流的流量大小为806KB,由于流量大小806KB在预设的流量范围内,因此,确定所述短信业务数据流为正常互连行为的业务数据流,此时将正常互连行为的业务特征信息加入所述检测白名单,该业务特征信息包括正常互连行为的五元组信息以及流量大小;若得到指定条件的业务数据流的流量大小为400KB,由于流量大小400KB未在预设的流量范围内,因此,确定所述短信业务数据流为异常互连行为的业务数据流,发送报警信息并阻断拦截异常互连行为的业务数据流。
[0141] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0142] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0143] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0144] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0145] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。