[发明专利]基于熵运算的网络入侵检测方法和装置

说明书

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种基于熵运算的网络入侵检测方法。

背景技术

随着网络的开放性、共享性及互联程度的扩大，特别是因特网的出现，网络的重要性以及对社会的影响也越来越大。互联网Internet是一种开放的面向所有用户的技术，资源共享和信息安全是一对矛盾。互联网在提供信息共享并给我们带来极大便利的同时，其自身的安全问题也日益突显。根据计算机紧急情况响应组(Computer Emergency Response Teen，简称CERT)的统计数字显示，随着互联网的发展，安全事件数量不断上升。尤其是近两三年，出现了成倍增长的急剧上升趋势。根据粗略的统计，目前攻击手段大约有两三千种之多，常见的攻击手段有：后门程序、木马、缓冲区溢出攻击、扫描、密码破解攻击、拒绝服务攻击、分布式拒绝服务攻击、FINGER、FTP服务攻击、TELNET服务攻击、RPC服务攻击、DNS服务攻击、ICMP协议攻击、WEB服务攻击等等。以上这些只是部分常见攻击类型，每种攻击类型又包括了很多种不同的攻击方法，例如拒绝服务攻击就包括Syn-Flood、UDP-Flood、Ping-Flood、Land-based-Attack、Smurf Attack、Ping Of Death等多种攻击方法。由于Internet的开放互联性、网络协议自身的缺陷以及操作系统漏洞、系统应用程序漏洞等多方面因素导致了网络环境下的计算机系统存在很多的安全问题。网络安全问题主要源于黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞、网络内部的攻击等几个方面。为了尽量保障计算机和网络系统特别是关键部门的信息安全，市场上涌现出了各种安全技术和产品，包括防火墙、安全路由器、身份认证系统、VPN设备等，这些技术和产品对系统有一定的保护作用，但都属于静态安全技术范畴，不能主动跟踪入侵者，也不能积极有效地防止来自网络内部的非法行为。为了确保网络的安全，网络系统中拥有的网络安全性分析系统应该能对系统进行漏洞扫描，同时还要能对网络安全进行实时监控、攻击与反攻击，因而，入侵检测应运而生，入侵检测的诞生是网络安全需求发展的必然，它的出现给计算机安全领域注入了新的活力。

入侵检测是一种通过收集和分析计算机系统或网络中关键点的信息，以检查计算机或网络中是否存在违反安全策略的行为和被攻击的迹象，并对此做出反应，从而保护网络和主机安全的系统。通过入侵检测能识别外部对计算机或者网络资源的恶意企图和行为，以及内部合法用户超越使用权限的非法行为入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。

常规入侵检测方法首先收集系统和网络中的信息，然后对收集到的数据进行分析，并采取相应处置措施，其总体上包括以下三个步骤，如图1所示：

1)信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为，而且需要在计算机网络的若干关键网络节点(如不同网段和不同主机)收集信息。这除了要尽可能扩大收集范围以外，还要对来自不同源的信息进行综合分析，比较之后得出问题的关键所在。收集信息的可靠性和正确性对入侵检测系统非常重要。入侵检测利用的信息来自系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行等方面。

2)信息分析

信息分析是对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，通过一定的技术手段进行分析，如常用的模式匹配、统计分析和完整性分析等。其中，前两种方法常用于实时的入侵检测，而完整性检测常用于事后分析。入侵检测是一个典型的数据处理过程，它通过对大量的收集到的数据进行分析，来判断被监控的系统或网络是否被入侵。系统的检测机制，起始就是一个系统主体行为的分类系统，它需要把对系统具有恶意的行为从大量的系统行为中辨别出来，而解决问题的关键就是如何从已知数据中获得系统的正常行为模式和有关入侵行为模式(如何定义、描述系统的行为)。

3)结果处理

结果处理指控制台根据报警产生预定义的响应，采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的报警。