[发明专利]用于云计算环境的入侵检测系统、方法及设备有效
| 申请号: | 201310068974.9 | 申请日: | 2013-03-05 |
| 公开(公告)号: | CN104038466B | 公开(公告)日: | 2018-09-21 |
| 发明(设计)人: | 王明博;鲁志军;何朔;华锦芝 | 申请(专利权)人: | 中国银联股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 中国专利代理(香港)有限公司 72001 | 代理人: | 方世栋;朱海煜 |
| 地址: | 200135 上海*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提出了用于云计算环境的入侵检测系统、方法及设备。其中,所述方法包括:至少一个主机中的入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器;入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。本发明所公开的用于云计算环境的入侵检测系统、方法及设备具有高的适配性、灵活性和扩展性并能够进行关联分析。 | ||
| 搜索关键词: | 用于 计算 环境 入侵 检测 系统 方法 设备 | ||
【主权项】:
1.一种用于云计算环境的基于主机的入侵检测系统,所述用于云计算环境的基于主机的入侵检测系统包括:至少一个主机,所述至少一个主机中的每个包括入侵检测客户端,所述入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器;入侵检测服务器,所述入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程,其中,所述入侵检测服务器包括关联分析模块,所述关联分析模块接收所述至少一个主机发送来的主机事件并执行关联分析操作,以及根据分析结果生成相关的告警指令,并将所述告警指令传送到告警模块;所述关联分析模块以如下方式执行所述关联分析操作:(1)实时地收集所述至少一个主机传送来的主机事件;(2)对所收集的主机事件的事件标识符、分类标识符、源地址和目标地址参数进行频率计数;(3)将所收集的主机事件的所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相比较,如果所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相匹配,则生成对应的新的威胁事件,并构造包含所述新的威胁事件的告警指令且将所述告警指令传送到告警模块以执行告警操作;(4)重置命中关联分析规则的主机事件的频率数据,以开始重新计数,而在预定的时间阈值之后将未命中关联分析规则的主机事件的频率数据重置,以开始重新计数。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国银联股份有限公司,未经中国银联股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310068974.9/,转载请声明来源钻瓜专利网。
