[发明专利]一种获取入侵源主机信息的方法及装置

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种获取入侵源主机信息的方法及 装置。

背景技术

目前，入侵检测系统(IDS Intrusion-detection system)得到了广泛的应用， 特别是网络型入侵检测系统在边界安全中使用最为广泛，和防火墙系统一起成 为网络边界安全必不可少的网络安全产品。

现有入侵检测系统由控制中心部分和探针两部分组成。其中控制中心部分 负责对探针实例的管理，包括入侵模式库的管理和同步，入侵日志的接收和处 理(入库、报警、数据挖掘等)；探针部分部署于网络边界，负责对网络数据 包的采集、解码分析、模式库匹配和向控制中心上报入侵信息等。

现有入侵检测系统虽然能够对入侵事件进行检测报警，但其误报率较高， 无法确定入侵者身份信息。

发明内容

本发明提供了一种获取入侵源主机信息的方法及装置，用以解决现有入侵 检测系统无法确定入侵源主机身份信息的问题。

本发明的一种获取入侵源主机信息的方法，包括下列步骤：探针检测装置 检测到入侵信息后，扫描入侵源主机端口；探针检测装置通过所述端口嗅探入 侵源主机的网络服务；探针检测装置根据所述网络服务判断入侵源主机所用的 操作系统；探针检测装置将上述步骤中获取的端口、网络服务及操作系统的信 息一并上报。

本发明的一种探针检测装置，包括：扫描单元，用于在确定检测到入侵信 息后，扫描入侵源主机端口；嗅探单元，用于通过所述端口嗅探入侵源主机的 网络服务；判断单元，用于根据所述网络服务判断入侵源主机所用的操作系统； 上报单元，用于将扫描单元、嗅探单元和判断单元获取的信息一并上报。

本发明有益效果如下：

本发明通过扫描入侵源主机端口，嗅探入侵源主机的网络服务，以及判断 入侵源主机所用的操作系统，获取了入侵源主机的身份信息，并将该信息上报。 因此不但能捕捉到黑客的IP和其它入侵信息，还能给黑客拍一张“全身照”， 为有关部门进一步追踪黑客和取证提供了有力的依据。

附图说明

图1为本发明实施例1中的工作流程图；

图2为本发明实施例2中的工作流程图；

图3为本发明实施例3中的装置结构示意图；

图4为本发明实施例4中的装置结构示意图。

具体实施方式

发明人提供的主要思路是通过一种“反向拍照”的方案解决在入侵检测系 统中确定入侵源主机身份信息的问题。

实施例1：参见图1所示，本方法实施例的反向拍照方案的工作流程包括 下列步骤：

S1、探针检测装置检测到入侵信息后，采用网络嗅测器(NMAP the Network  Mapper)工具扫描入侵源主机端口。

S2、探针检测装置通过该端口嗅探入侵源主机的网络服务。

S3、探针检测装置根据该网络服务判断入侵源主机所用的操作系统。

S4、探针检测装置将S1、S2和S3中获取的信息一并上报。具体可上报给 控制中心，由控制中心对该信息进行记录和审计，为有关部门进一步追踪黑客 和取证提供了有力的依据。

实施例2：参见图2所示，本方法实施例的反向拍照方案的工作流程包括 下列步骤：

S11、探针检测装置对事件队列抓包。

S12、探针检测装置对所述被抓取的数据包进行解码分析。

S13、探针检测装置将所述解码分析后的数据与入侵模式库中的信息匹配， 若相匹配，则判定检测到入侵信息，并转入S14；否则，判定该数据包正常， 返回S11，重新抓包。

S14、探针检测装置检测到入侵信息后，采用网络嗅测器(NMAP the  Network Mapper)工具扫描入侵源主机端口。

S15、探针检测装置通过该端口嗅探入侵源主机的网络服务。

S16、探针检测装置根据该网络服务判断入侵源主机所用的操作系统。

S17、探针检测装置将S14、S15和S16中获取的信息一并上报，并返回 S11，重新抓包。具体可上报给控制中心，由控制中心对该信息进行记录和审 计，为有关部门进一步追踪黑客和取证提供了有力的依据。

实施例3：参见图3所示，本装置实施例包括如下单元：