本發(fā)明涉及一種網絡入侵檢測方法����,尤其是一種基于安全云的網絡入侵協同檢測方法。
背景技術:
網絡入侵檢測系統(tǒng)(Network-based Intrusion Detection System�,簡稱NIDS)是對防火墻有益的補充,被認為是防火墻之后的第二道安全閘門��,NIDS通過對網絡流量進行旁路檢測����,在不影響網絡性能的情況下提供對內部攻擊、外部攻擊和誤操作的實時監(jiān)控�,從而提高了網絡的安全性。
現有NIDS一般由檢測單元和管理單元組成���,我們分別稱之為檢測節(jié)點和管理節(jié)點����,NIDS的工作模式可以概括為:單點檢測和多級管理。
單點檢測:檢測節(jié)點一般為單一的軟硬件系統(tǒng)��,旁路部署在用戶網絡的關鍵出口上�����,通過分光或鏡像的方式采集流量����,然后對流量進行協議分析和模式匹配,在發(fā)現安全威脅后���,會產生安全事件并本地報警��。
管理節(jié)點一般為軟件系統(tǒng)或軟硬件系統(tǒng)����,在邏輯上有兩種管理模式:單級管理和多級管理��。
單級管理模式:一個管理節(jié)點直接管理一個或多個檢測節(jié)點,而且檢測節(jié)點和管理節(jié)idan可以同時運行在同一臺設備上�。
多級管理模式:管理節(jié)點支持任意層次的級聯部署,實現多級管理�����。上級管理節(jié)點可以逐級將最新的升級包�、特征規(guī)則庫文件等統(tǒng)一發(fā)送到所有下級節(jié)點,檢測節(jié)點可以逐級向上級管理節(jié)點����、下級管理節(jié)點向上級管理節(jié)點上傳報警日志信息���。
NIDS現有管理模式的局限性有:
1��、難以實現特征規(guī)則庫和組件庫的實時升級�;現有NIDS的特征規(guī)則庫的升級流程通常為非實時��、周期性的��,即廠商每周發(fā)布一周特征規(guī)則庫升級包(遇到重大安全威脅時����,可能會縮短特征規(guī)則庫發(fā)布的周期)。廠商將升級包放到一個發(fā)布網站上����,各NIDS自動或手動從發(fā)布網站上下載����,然后經用戶確認升級成功并勾選相關規(guī)則后��,才能下發(fā)給檢測節(jié)點并加載生效�。由于某些釣魚網站的生命周期只有幾個小時,按照目前的升級方式����,基本上無法保證特征規(guī)則庫在釣魚網站的生命周期內生效。
2�����、誤報和漏報較多��,因為NIDS主要是基于誤用檢測技術�����,需事先收集非正常網絡流量或攻擊的行為特征���,建立相關的入侵特征規(guī)則庫�����,當監(jiān) 測的流量與特征庫中的特征相匹配時�,系統(tǒng)就認為這種行為是入侵。但由于特征規(guī)則定義的往往不夠準確和全面�����,且缺少對疑似事件的分析和判斷機制���,導致誤報和漏報較多��。
3、管理節(jié)點存在性能瓶頸和單點故障�����,無法實現大規(guī)模部署��。對于集中管理模式下的NIDS��,往往會遇到這樣的問題:由于企業(yè)規(guī)模在不斷擴大��,對NIDS產品的部署從單點發(fā)展到跨區(qū)域全球部署,要求產品體系結構能夠支持數以百�、千計的IDS檢測節(jié)點和管理節(jié)點;其次�,要能夠處理所有檢測節(jié)點產生的告警事件;此外���,還要解決特征規(guī)則庫的建立����,配置以及升級問題����。而一般管理節(jié)點都是部署在單一硬件上的,受限于硬件資源的不足����,基本不具備大數據的存儲和深度分析能力,更無法展示全局的安全態(tài)勢��,甚至在通訊轉發(fā)方面也存在性能瓶頸���,很難滿足用戶大規(guī)模部署的需求����,同時,還存在單點故障�,一旦上級管理節(jié)點出現軟硬件故障,就會影響整個系統(tǒng)的正常運行��。
4���、跨地域接入存在接入速度慢和不穩(wěn)定的問題��。如果管理節(jié)點和檢測節(jié)點處于不同的地域或不同的運營商網絡內���,則檢測節(jié)點在接入管理節(jié)點時,就會因跨網����、跨區(qū)域而帶來通訊上的延遲和不穩(wěn)定。
技術實現要素:
本發(fā)明要解決的技術問題是提供一種基于安全云的網絡入侵協同檢測方法�����,充分利用安全云的各種資源動態(tài)對抗網絡安全威脅�����,突破了單點檢測和單一產品的技術局限性��,在多種技術能力方面實現了質的提升�����,可以有效地檢測新型攻擊����。
本發(fā)明的目的是采用以下技術方案來實現的。
本發(fā)明公開一種基于安全云的網絡入侵協同檢測方法����,其包括如下步驟:S1:由NIDS向安全云發(fā)起授權申請;S2:對授權后的NIDS動態(tài)注冊��,動態(tài)注冊后的NIDS從安全云上獲取唯一標識ID�����;S3:NIDS針對入侵檢測的對抗性要求�����,從安全云實時獲取特征規(guī)則庫�;以及S4:NIDS應用網絡安全檢測技術進行全面檢測;其包括:NIDS檢測生成的所有網絡安全威脅事件依據需要上傳至安全云��,在安全云側進行事件的存儲、分析���、過濾和判定��,然后安全云將判定為安全威脅的事件定點回傳給NIDS�。
本發(fā)明的目的還可以采用以下技術措施來實現的���。
上述的基于安全云的網絡入侵協同檢測方法��,步驟S1中所述NIDS為不同地域的NIDS的最頂級節(jié)點�,該最頂級節(jié)點為管理節(jié)點或檢測節(jié)點�����。
上述的基于安全云的網絡入侵協同檢測方法����,步驟S3中的所述特征規(guī)則庫包括組件庫、特征庫�、漏洞庫�、病毒庫、惡意網站庫����、釣魚網站庫�����、僵尸網絡CC庫中的一種或其組合�。
上述的基于安全云的網絡入侵協同檢測方法����,步驟S4中,所述NIDS留存原始報文����、樣本文件、原始流記錄元數據��。
上述的基于安全云的網絡入侵協同檢測方法���,所述安全云通過遠程查詢所需的所述元數據進行回溯分析和多元異構數據的關聯分析���。
上述的基于安全云的網絡入侵協同檢測方法,所述遠程查詢?yōu)閺陌踩葡掳l(fā)一個查詢任務給NIDS�����,NIDS接收到查詢任務后,本地執(zhí)行查詢���,將查詢結果寫入到文件中�����,并將查詢結果回傳至安全云�����。
上述的基于安全云的網絡入侵協同檢測方法����,步驟S4中所述NIDS根據其對應的特征庫規(guī)則自身判定網絡安全威脅事件�����,該網絡安全威脅事件具有所述NIDS的標識ID�。
借由上述技術方案,本發(fā)明至少具有下列優(yōu)點及有益效果:
(1)檢測能力:NIDS針對入侵檢測的對抗性要求����,可以從安全云實時獲取最新的組件庫和特征庫、漏洞庫、病毒庫���、惡意網站庫、釣魚網站庫����、僵尸網絡CC庫等特征規(guī)則庫,可以充分應用各種網絡安全檢測技術進行全面檢測����,并留存原始報文、樣本文件�����、原始流記錄等多種元數據用于安全云的數據深度分析����。
(2)分析能力:NIDS除自身具備微觀關聯分析能力外,還可以將可疑威脅事件上報安全云進行全局關聯分析和判定�����;同時通過不斷地向安全云提威脅數據���,經過安全云的大數據分析與知識加工后����,也可以充實安全云的知識庫,實現安全云自身能力的增長。
(3)回溯能力:NIDS將威脅數據上報給安全云進行長周期的存儲和歷史查詢�,彌補了自身存儲和回溯分析能力的不足。
將不同地域的NIDS的最頂級節(jié)點(管理節(jié)點或檢測節(jié)點)通過授權和注冊主動接入安全云�����,然后實時接收安全云下發(fā)的特征規(guī)則庫��,所產生的威脅數據如安全事件����、可疑文件樣本全部上傳給安全云,由安全云進行大數據的收集�����、存儲�、分析和判定,并將判定后的威脅事件如惡意代碼感染事件�����、網站后門事件等回傳給NIDS,這樣就形成了一個可支撐大規(guī)模部署的�、封閉的在線協同檢測體系。
上述說明僅是本發(fā)明技術方案的概述����,為了能夠更清楚了解本發(fā)明的技術手段�,而可依照說明書的內容予以實施,并且為了讓本發(fā)明的上述和其他目的���、特征和優(yōu)點能夠更明顯易懂�����,以下特舉較佳實施例���,詳細說明如下。
附圖說明
無
具體實施方式
為更進一步闡述本發(fā)明為達成預定發(fā)明目的所采取的技術手段及功效,以下結合較佳實施例�,對依據本發(fā)明提出的一種基于安全云的網絡入侵協同檢測方法的具體實施方式、特征及其功效�����,詳細說明如后��。
本發(fā)明的基于安全云的網絡入侵協同檢測方法,包括如下步驟:
S1:由NIDS向安全云發(fā)起授權申請��,安全云的授權子系統(tǒng)完成授權管理�。
NIDS為不同地域的NIDS的最頂級節(jié)點,該最頂級節(jié)點為管理節(jié)點或檢測節(jié)點���。
授權的作用是:
a)只有經過授權的設備才能主動接入安全云進行動態(tài)注冊�����,減少網絡帶寬的占用�。
b)授權全過程是加密的��。
c)授權是商業(yè)化的需要��,通過授權可以確定安全云的服務內容和服務期限����,并可以進行費用的量化。
S2:對授權后的NIDS動態(tài)注冊�,動態(tài)注冊后的NIDS從安全云上獲取唯一標識ID。
所有接入安全云的NIDS均需要動態(tài)注冊�,只有在動態(tài)注冊后,NIDS才能從安全云上獲取唯一標識ID�。才能升級事件庫和匯入事件���、接收事件的判定結果。未經過授權的NIDS不能進行動態(tài)注冊����。安全云也會定時判斷所有動態(tài)注冊后的NIDS是否授權過期。
S3:NIDS針對入侵檢測的對抗性要求���,從安全云實時獲取特征規(guī)則庫����。
安全云實時下發(fā)最新的各種特征規(guī)則庫���,包括組件庫、特征庫�、漏洞庫、病毒庫����、惡意網站庫、釣魚網站庫和僵尸網絡CC庫中的一種或其組合�����。通過安全云與NIDS的加密通道實時傳輸,并在引擎端后臺直接加載生效��,實現特征規(guī)則庫的后臺實時升級�。
S4:NIDS應用網絡安全檢測技術進行全面檢測。其包括:
NIDS根據其對應的特征規(guī)則庫自身初步判定網絡安全威脅事件����,該網絡安全威脅事件具有NIDS的標識ID。也就是說����,不同NIDS標識ID代表不同的監(jiān)測節(jié)點,每個監(jiān)測節(jié)點都有針對該監(jiān)測節(jié)點特定的監(jiān)測規(guī)則即特征規(guī)則庫��。監(jiān)測節(jié)點上報的網絡安全威脅事件都帶有該監(jiān)測節(jié)點的唯一標識ID����。安全云判定安全事件后根據該標識ID將相關事件的結果回傳至該標識ID對應的監(jiān)測節(jié)點進行展示。
NIDS檢測生成的所有灰名單(疑似)安全事件即網絡安全威脅事件據需要上傳至安全云�����,在安全云側進行事件的存儲�����、分析、過濾和判定��,然后安全云將判定為安全威脅的事件定點回傳給NIDS��,形成NIDS與安全云的 可疑事件在線協同���。
NIDS可以留存原始報文����、樣本文件�、原始流記錄等多種元數據用于安全云的數據深度分析。
NIDS不僅可以生成網絡安全威脅事件����,還可以提取并留存NetFlow記錄��、URL記錄�����、域名記錄的元數據�。安全云在進行多元異構數據的關聯分析時,如果需要關聯元數據�����,則通過遠程查詢,從安全云下發(fā)一個查詢任務給NIDS����,NIDS接收到查詢任務后,本地執(zhí)行查詢����,并將查詢結果寫入到文件中,并將查詢結果回傳至安全云�,安全云再對查詢結果進行關聯分析,形成分布式的元數據遠程查詢����。
由于元數據的數據量很大,很難通過互聯網實時上傳安全云�����,本發(fā)明采用的遠程查詢的方法解決這一問題���,即在NIDS的檢測節(jié)點留存至少半年的NetFlow記錄�����、域名記錄和URL記錄等元數據�,安全云在進行多元異構數據的關聯分析時,如果需要關聯元數據�,則通過遠程查詢的方法查詢結果進行關聯分析。這樣�����,每個NIDS就成為了分布式的文件存儲節(jié)點���,而安全云就成為了統(tǒng)一的查詢中心�����。
在安全云側建有大數據采集����、存儲���、挖掘、分析平臺�。在安全云側充分應用大數據的存儲與分析挖掘技術,將各個NIDS和其它網安業(yè)務系統(tǒng)以及其它渠道上報的分散的����、局部的����、孤立的�����、多來源多維度的威脅監(jiān)測信息���、目標感知信息��、風險感知信息進行留存����,通過高速處理系統(tǒng)對情報進行綜合分析���,在全球互聯網內實現攻擊源的追蹤溯源�,對攻擊過程����、攻擊者信息、攻擊手段進行全景再現。此外通過大數據的分析����,提取安全威脅的本質特征,最終形成知識充實到特征規(guī)則庫中��。完成全局情報的綜合分析與知識加工����。
以上所述,僅是本發(fā)明的較佳實施例而已����,并非對本發(fā)明作任何形式上的限制,雖然本發(fā)明已以較佳實施例揭露如上����,然而并非用以限定本發(fā)明,任何熟悉本專業(yè)的技術人員����,在不脫離本發(fā)明技術方案范圍內,當可利用上述揭示的方法及技術內容作出些許的更動或修飾為等同變化的等效實施例�,但凡是未脫離本發(fā)明技術方案的內容,依據本發(fā)明的技術實質對以上實施例所作的任何簡單修改��、等同變化與修飾��,均仍屬于本發(fā)明技術方案的范圍內����。