[发明专利]主机入侵检测方法及系统

说明书

技术领域

本发明涉及一种作为网络安全的重要产品之一的主机入侵检测系统(HIDS：Host Intrusion Detection System)及方法的核心关键技术——规则定义、响应处理和自我防护，属于网络技术领域。

背景技术

HIDS安装在被保护的主机之上，分析宿主主机的行为，并对安全事件进行实时监控和响应。目前HIDS普遍缺乏灵活的规则库和发现入侵行为后的主动处理，规则覆盖面小、入侵特征提取不全面的情况比较常见。

发明内容

本发明的目的是提供主机入侵检测方法及系统，设计一套较全面的监视主机行为的统一规则定义方法，对网络入侵造成的主机行为异常进行定义，当发现这些现象时，进行适当的处理获有效的报警信息，按照规则由计算机进行自动响应。

本发明解决技术问题所采用的技术方案是：

一种主机入侵检测系统，该系统包括一台或多台部署控制端的Windows主机，一台或多台部署引擎的Windows主机，网络连接设备等。其特征在于：控制端形成层次性部署，部署主控制端的主机只有一台。所有引擎接受控制端的控制并向其反馈报警信息，规则匹配在引擎端发生。

一种主机入侵检测方法，其特征在于：是在截获主机行为的基础之上，寻找主机行为与入侵行为间的关联性，并根据规则定义，产生报警和其它指定行为；该方法包括如下步骤：

步骤1、定义规则；

步骤2、在控制中心应用规则，规则被自动下发到所有主机引擎上并被应用；

步骤3、根据入侵行为的增加、改变、失效更新规则库。

一种主机入侵检测方法；规则定义、部署和工作模式。规则定义把入侵和主机上的异常行为关联起来，并定义响应的方式。部署的方式支持多层次级联，可以适应较复杂的网络环境。工作模式定义了管理者如何与入侵检测系统交互和系统工作的特点。

本发明的有益效果具体如下：

1.事件变量具有广泛的覆盖面，可以较全面的把握入侵行为在系统中留下的痕迹。

2.行为标识与事件变量紧密关联，可以清晰的展示系统内主体的行为。

3.规则库更新灵活，可以在运行时平稳完成，对宿主主机的主要业务影响较小。

4.提供比较灵活的响应方式，能够对恶意行为提供一定的自我防御能力。

5.具有事件合并归纳功能，避免冗余报警影响结果有效性。

6.具有自我保护能力。

附图说明

图1系统整体步骤图。

具体实施方式

实施例1；主机入侵检测方法，安全专业人员把入侵行为进行定义形成事件规则库，由HIDS系统监视宿主主机并根据事件库发现异常行为并进行处理。该方法包括如下步骤：

(1)定义事件规则：可以针对主机系统的注册表、文件系统、日志系统、网络驱动和关键应用程序的异常状况进行定义。

(2)定义事件响应规则：针对事件规则中定义的异常提供只报警、只日志、阻断、报警+日志、日志+阻断、报警+阻断、报警+日志+阻断的处理。

(3)主机引擎根据定义的事件及响应规则捕获主机异常行为并自动处理，对于冗余信息进行自动归纳。

主机事件具体包括以下方面：

1.对注册表键、值的特定操作，包括创建、修改、删除、重命名。

2.对文件系统进行创建、修改、删除。

3.产生危险系统日志的行为、如管理员密码被修改、新建管理员帐户等。

4.产生系统日志的sql server数据库行为，比如新建数据库管理员。

5.产生系统日志的IIS行为，比如使用未经认证的ActiveX控件。

6.有明确特征的网络行为，比如在从未配置域名解析的主机上发现大量DNS(即域名解析)行为。

规则定义包括事件变量和行为标识两大部分。

事件变量需要包含事件名称、事件ID(即事件唯一标识)，事件分类ID(即事件分类唯一标识)，可支持逻辑操作符描述和事件文字描述5个要素。

行为标识为对于事件对象有意义的行为，依赖事件变量的分类不同而不同。

对于系统检测到的异常，往往会有一个源头出现多次报警的情况，本系统定义“一次事件”和“二次事件”的概念来进行控制，在定义规则时，提供根据“发生时间”和“重复次数”为条件进行归纳的方法。当条件被触发时，“一次事件”可以生成“二次事件”，任何情况下具有相似性可以被归并的“一次事件”不会发生重复出现。