[发明专利]通过网络链路数据动态更新入侵检测规则的方法

说明书

技术领域

本发明为一种更新入侵检测规则的方法，特别是涉及一种通过网络链路数据动态更新入侵检测规则的方法。

背景技术

入侵检测系统(Intrusion Detection System，IDS)为保护计算机系统免于被窃取数据或恶意破坏计算机的重要技术，通过入侵检测系统搭配防火墙可有效防止来自于外部网络或内部网络的恶意入侵动作。Snort为IDS技术领域中相当著名的开放原始码(Open Source)软件，其是以检测签章(SignatureBased)及检测通讯协议(Protocol)为基础，利用内建的入侵检测规则(Intrusion Detection Rules)过滤网络的入侵行为。随着入侵行为的不断变换，此入侵检测规则也可变化与更新，或针对局域网络中的计算机主机需求取向设计合适的入侵检测规则。Snort系统的入侵检测规则采用一种轻量级的规则描述语言(Script Language)，多数的入侵检测规则以单行表示，或以“/”分隔多行间的规则描述。每一则入侵检测规则分为标头(Header)、通讯协议、网络地址(IP)、连接端口号(Prot Number)、以及进阶规则文件(Rules File)。举例来说，规则：alert TCP any any→192.168.1.0/24111，表示当任何主机企图以TCP通讯协议存取与网址192.168.1.0相同的网络区段，即192.168.1.0的Class C网络区段，且连接端口号为111的联机。则Snort系统主机接收此网络封包时，随即产生警示信号。Snort管理者除了可通过输入指令新增/移除入侵检测规则外，也可通过直接下载规则文件并拷贝至指定目录后，重新启动Snort系统，以加载使用新的入侵检测规则。

然而，不管是逐步键入规则指令，或加载规则文件的更新入侵检测规则的方法，两者都面临无法动态更新的问题，都需要先卸载/中断原Snort系统的防御工作，再载用新的入侵检测规则。对于随时随地皆有可能遭受网络入侵的区段来说，中断卸载Snort系统时间越长，表示其内部计算机主机遭受恶意入侵的机率越大，越可能产生网络安全的防护漏洞。另外，对于网管人员来说，若网络内部具有多台安装Snort系统主机(或对于多台装设入侵检测规则数据库/储存器的网络卡)，则必须逐一对这些系统主机(或网络卡)进行更新入侵检测规则的操作，因而拉长更新的作业时间。甚至，若Snort系统刻录于网络卡内嵌芯片，则必须拆卸芯片进行刻录操作程序，才得以将更新的入侵检测规则写入芯片。此等更新入侵规则的方式，更显其费时费力程度。

发明内容

鉴于上述对多个Snort系统主机(或网络卡)进行更新入侵检测规则时，相当费时费力等问题。本发明所要解决的技术问题在于提供一种通过链路数据封包(Raw-data Packet)更新入侵检测规则的方法，通过网络封包传递的特性，通过链路数据封包将欲新增的入侵检测规则夹带于封包之中，借以同步传递并更新所欲更新的入侵检测规则给网络中所有Snort系统主机。

为了实现上述目的，本发明提供了一种通过链路数据封包更新入侵检测规则的方法，用以动态更新局域网络的至少一Snort系统主机所采用的一规则储存器，其特点在于，该方法包括：一更新发起端传送包含至少一入侵检测规则的该链路数据封包至该Snort系统主机；该Snort系统主机取出该链路数据封包中的该入侵检测规则，并解析该入侵检测规则所属操作类别；该Snort系统主机验证该链路数据封包所载的该入侵检测规则为合法的入侵检测规则；以及依据通过验证的该入侵检测规则所属类别及一规则树更新该规则储存器。

上述通过链路数据封包更新入侵检测规则的方法，其特点在于，该链路数据封包所包含的入侵检测规则项目数量是依据该局域网络中的网络规模、网络流量以及预设更新所需时间来设定。

上述通过链路数据封包更新入侵检测规则的方法，其特点在于，该链路数据封包包括一标头文件、一规则版本、一验证码、一许可码以及该入侵检测规则。

上述通过链路数据封包更新入侵检测规则的方法，其特点在于，该标头文件包括一更新旗标用以标示该链路数据封包为用以更新该入侵检测规则的封包。

上述通过链路数据封包更新入侵检测规则的方法，其特点在于，该更新发起端更通过一广播地址，使该Snort系统主机同步接收该链路数据封包。