一种网络入侵监测的方法和系统与流程

本发明涉及网络监测技术领域，具体为一种网络入侵监测的方法和系统。

背景技术：

随着信息化技术的日益发展，网络安全问题成为互联网关注的重点问题，在网络技术发展的同时人们的生活得到了形形色色的变化，比如网上购物以及线上教育等网络应用，在网络安全上常常由于系统的不稳定或者人为的攻击等使得网络出现信息被盗等情况，因此在网络安全上需要做到及时对网络入侵进行保护。在现代的网络安全中常存在以下问题，其中包括，1、误报以及漏报率较高，2、不能够准确的对入侵对象进行精准的定位并及时进行处理，缺乏整体做出处理的实施系统，3、在现有市场中采用的ids系统中大多采用特征检测技术，此种系统不能够适应交换技术在多次的入侵攻击下容易导致系统瘫痪等问题。

为此，提出一种网络入侵监测的方法和系统来解决现有技术中所存在的问题。

技术实现要素：

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种网络入侵监测的方法和系统。

为了解决上述技术问题，本发明提供了如下的技术方案：

本发明提供了一种网络入侵监测的方法和系统，具体步骤如下：

步骤一、通过嗅探器检测入侵来源，实时检查系统漏洞，核对开放端口信息；

步骤二、初步检测入侵对象，分析其入侵活动目标，识别已知入侵类型；

步骤三、判断入侵对象危害程度；

步骤四、及时对工作系统进行数据检测，评估系统关键数据以及源文件完整性，维护系统的正常运行；

步骤五、进行危害响应报警，并同时采取实施措施；

步骤六、进行自我完善并恢复整体系统正常运行，后台统计系统日志管理。

优选的，所述步骤一中的入侵来源的嗅探通过传输介质对包括网络入侵的嗅探和主机端入侵的嗅探，网络入侵检测主要用保护系统中的某一网段，其数据信息主要来源于网络上采集的数据包，基于主机的入侵检测主要用于检测主机的信息，主要包括整体系统的审计记录和系统日常日志以及审计信息等。

优选的，所述步骤二中的入侵对象的检测类型包括入侵蠕虫检测、木马检测、dos攻击性检测、扫描检测以及代码源更改入侵检测等多用入侵方式。

优选的，所述步骤三的入侵危害程度具体分为以下步骤：

步骤a：对入侵对象的入侵目标进行判断分析，是否对系统安全造成系统崩溃影响；

步骤b：若对系统本身运行不构成威胁则进行对入侵对象的携带木马类型进行检测；

步骤c：若木马植入不彻底则对其入侵对象是否针对系统部分源代码更改进行危害检测，评判危害等级；

步骤d：对入侵对象的是否针对防火墙以及交换器地址进行入侵进行判断。

优选的，所述步骤四对工作系统进行数据检测包括对主机开放端口信息进行检测扫描以及对系统内部源文件程序进行检测和对系统管理控制文件进行检测，对可能被植入的病毒进行检测并清除，并通过防范措施进行防范，所述其防范措施包括以下几种方式；

a：对于怀疑运行监听程序的机器，用正确的ip地址和错误的物理去除其频段；

b：对网上传输的信息进行加密，其可以有效的防止网络监听；

c：通过对网上发大量不存在的物理端口的地址资源包，通过比对监听其资源包后的性能后对系统加以判断；

d：通过分段技术对入侵源头进行防范；

e：通过高性能网络流量处理方式进行防范。

优选的，所述步骤五中进行危害响应报警以及采取实施措施，其中危害响应报警的方式有邮件报警、snmp报警、以及系统日志报警和物理报警，其中采取的实施措施包括：

a：切断端口信息连接；

b：通知管理员；

c：协作连接防火墙；

d：封堵源头ip地址；

e：与其他设备协作。

优选的，所述入侵来源的传输介质包括：微波无线电、ip地址通信、电话线传输、英特网和fddi。

优选的，所述防范措施中方式e包括通过软件优化处理方式、通过基于扩展技术的高速报文捕获引擎以及精确的匹配算法进行处理和通过特征分析和历史入侵行为结合方式。

优选的，所述步骤六进行自我完善的方式有：

a：对物理安全介质的认证信息进行完善；

b：对多级用户管理以及访问进行完善；

c：对自身的嗅探器的ip地址的隐藏安全性进行检测并完善；

d：对系统日志审计功能进行完善。

优选的，所述步骤二中检测入侵对象，其检测的对象目标有入侵时间、入侵次数、入侵事件、用户协议、以及网络流量和入侵产生流量。

与现有技术相比，本发明的有益效果是：

1、本发明提供了一种网络入侵监测的方法和系统，通过在实施的措施中通过采用软件优化的方式并且采用指定数据通道与数据进行更新，提高了数据采集以及转换的效率，增大了入侵过程中对数据进行更改的难度，提高了系统在工作过程中被入侵时候的安全性；

2、本发明控制系统通过特征类型分析以及加强历史入侵数据分析和异常入侵相结合的方式，使得整体在工作过程中大大提高了检测的准确度以及系统工作状态下的检测效率，加强了检测的力度，减少了误报漏报的问题；

3、本发明通过采用对数据库进行完善以及检测的方式使得系统对多次不同的入侵方式进行记录，并形成自定义攻击事件体系，使得整体系统能够在被入侵时及进行分析并遏制，并且通过历史自定义实施措施灵活的做出反应，并生出入侵日志，便于管理员及时了解入侵，加强对系统的完善。

附图说明

图1为本发明的整体检测原理简化示意图；

图2为本发明检测流程示意图；

图3为本发明的响应与实施措施示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种网络入侵监测的方法和系统，如图1-3所示其步骤。

通过嗅探器检测入侵来源，实时检查系统漏洞，核对开放端口信息，初步检测入侵对象，分析其入侵活动目标，识别已知入侵类型，判断入侵对象危害程度，及时对工作系统进行数据检测，评估系统关键数据以及源文件完整性，维护系统的正常运行，进行危害响应报警，并同时采取实施措施，进行自我完善并恢复整体系统正常运行，后台统计系统日志管理。

进一步，所述步骤一中的入侵来源的嗅探通过传输介质对包括网络入侵的嗅探和主机端入侵的嗅探，网络入侵检测主要用保护系统中的某一网段，其数据信息主要来源于网络上采集的数据包，基于主机的入侵检测主要用于检测主机的信息，主要包括整体系统的审计记录和系统日常日志以及审计信息等。

进一步，所述步骤三的入侵危害程度具体为，对入侵对象的入侵目标进行判断分析，是否对系统安全造成系统崩溃影响，若对系统本身运行不构成威胁则进行对入侵对象的携带木马类型进行检测，若木马植入不彻底则对其入侵对象是否针对系统部分源代码更改进行危害检测，评判危害等级，对入侵对象的是否针对防火墙以及交换器地址进行入侵进行判断。

进一步，所述步骤四对工作系统进行数据检测包括对主机开放端口信息进行检测扫描以及对系统内部源文件程序进行检测和对系统管理控制文件进行检测，对可能被植入的病毒进行检测并清除，并通过防范措施进行防范，所述其防范措施包括以下几种方式；

a：对于怀疑运行监听程序的机器，用正确的ip地址和错误的物理去除其频段。

b：对网上传输的信息进行加密，其可以有效的防止网络监听。

c：通过对网上发大量不存在的物理端口的地址资源包，通过比对监听其资源包后的性能后对系统加以判断。

d：通过分段技术对入侵源头进行防范。

e：通过高性能网络流量处理方式进行防范。

进一步，所述步骤五中进行危害响应报警以及采取实施措施，其中危害响应报警的方式有邮件报警、snmp报警、以及系统日志报警和物理报警等。其中采取的实施措施包括；切断端口信息连接，通知管理员，协作连接防火墙，封堵源头ip地址，与其他设备协作。

进一步，所述入侵来源的传输介质包括：微波无线电、ip地址通信、电话线传输、英特网、fddi。

进一步，所述防范措施中方式e包括通过软件优化处理方式、通过基于扩展技术的高速报文捕获引擎以及精确的匹配算法进行处理和通过特征分析和历史入侵行为结合方式。

进一步，所述步骤六进行自我完善的方式有：

a：对物理安全介质的认证信息进行完善。

b：对多级用户管理以及访问进行完善。

c：对自身的嗅探器的ip地址的隐藏安全性进行检测并完善。

d：对系统日志审计功能进行完善。

进一步，所述步骤二中检测入侵对象，其检测的对象目标有入侵时间、入侵次数、入侵事件、用户协议、以及网络流量和入侵产生流量等。

其中，入侵检测的目的在于对系统内部以及外部使用人员采取的不正当有害于系统行为进行检测，数据分析作用在于对入侵对象进行分析，检测攻击类型并分析其对系统的危害，分析过后针对其危害程度对其进行处理，在对入侵对象进行分析时其最简单的方式为对其入侵的次数进行计数并记录其登陆的时间以及失败次数进行比对，在发现危害攻击时能够根据用户的系统配置对不同的入侵采取相应的措施，比如及时切断端口信息连接，通过协作防火墙对入侵来源进行制止，同时对交换器连接端口进行中断，进行数据库记录，协作安全设备联动，及时通知管理员，以便于对入侵行为及时起到阻断的作用，保证系统整体以及对数据信息的安全进行保护。

工作原理：在系统正常工作的情况下，外界通过网络入侵以及主机端入侵的方式进入到系统中，由于系统本身未发现的端口信息保护的缺陷导致其容易被入侵，在入侵时通过嗅探器进行首次检测其来源信息，其嗅探器采用nip200型高速型3探头式检测器，其嗅探检测器分别为10m和100m以及1000m嗅探端口，并且电性连接在交流电中，比如其入侵对象的入侵时间、入侵次数、入侵事件、用户协议、以及网络流量和入侵产生流量灯相关信息，如果检测到其中的任一信息与历史信息相匹配则立马通过历史阻断的方式对入侵的端口进行封堵，然后通过协作防火墙建立端口信息的保护，并通过邮件或者报告日志的方式对此次入侵对象进行记录，以便于管理员能够及时了解其入侵信息。若入侵对象并不是历史入侵事件中的一种，则通过系统检测对其进行再次检测，通过其入侵的路径判断其入侵目的是否对系统源代码文件构成威胁，若构成威胁直接通过管理器对其入侵端口进行封堵并切断其入侵连接，并且及时在系统正常工作的情况下对其入侵进行记录，并立刻生成日志报告，及时通过邮件或者短信的方式或者物理报警的方式通知管理员，入侵严重的情况下管理员及时做出紧急措施，保护其系统源文件，避免源文件的损失。若对源代码以及重要信息不构成威胁则通过管理器主动切断其连接通道以及封堵其ip地址端，与防火墙协作确保主要信息的安全，或者与交换机协作切断其连接端以及根端。在系统安全正常运行的状态下阻断其入侵后及时对内部源文件进行检测，检测其是否有遗留入侵信息未被清理，对入侵的端口进行完善，加强内部的保密性措施，提高内部数据库的完整并对端口信息漏洞进行补缺。通过采用对数据库进行完善以及检测的方式使得系统对多次不同的入侵方式进行记录，并形成自定义攻击事件体系，使得整体系统能够在被入侵时及进行分析并遏制，并且通过历史自定义实施措施灵活的做出反应，并生出入侵日志，便于管理员及时了解入侵，加强对系统的完善。

上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。