【摘要】 一种网络安全技术领域的网络入侵事件关联检测方法,本发明中,入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,从第四数据库表中的攻击开始,对第四数据库表中每一告警项去存储有安装后门的第三数据库表中查找匹配之前的黑客攻击行为;如果查找匹配成功则继续向前查找,对第三数据库表中的警告项去存储有提升权限的第二数据库表中的进行查找匹配,类推直至匹配到第一数据库表结束,匹配成功的结果存入关联后的事件数据库表;由第四数据库表起始的所有告警项目匹配结束后,然后由第三数据库表开始,类推直至匹配到第一数据库表结束。本发明可降低了入侵检测系统的误报率,提高其报告安全事件的准确率。 【专利类型】发明授权 【申请人】上海交通大学 【申请人类型】学校 【申请人地址】200240 上海市闵行区东川路800号 【申请人地区】中国 【申请人城市】上海市 【申请人区县】闵行区 【申请号】CN200810037415.0 【申请日】2008-05-15 【申请年份】2008 【公开公告号】CN101272286B 【公开公告日】2010-12-15 【公开公告年份】2010 【授权公告号】CN101272286B 【授权公告日】2010-12-15 【授权公告年份】2010.0 【IPC分类号】H04L12/26; H04L12/24; H04L29/06; G06F17/30 【发明人】易平; 蒋兴浩; 吴越; 李建华; 柳宁 【主权项内容】一种网络入侵事件关联检测方法,其特征在于,包括如下步骤:步骤一、入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,第一数据库表存储扫描漏洞scan、第二数据库表存储提升权限elevation、第三数据库表存储安装后门backdoor、第四数据库表存储拒绝服务攻击ddos;步骤二:第1步、在数据库表ddos中取出一条未匹配过的记录,进入第2步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第6步;第2步、以一个时间窗在数据库表backdoor中来查找同一个源地址(IP)入侵告警事件以前出现的告警事件,该时间窗设置缺省为4小时;若找不到,则没有关联事件,退出,返回第1步;如果找到,则进入第3步;第3步、生成关联事件标识cid,将匹配的事件存入关联后的数据库表corbackdoor和数据库表corddos中,当有多个事件匹配成功时,这些事件都认为是同一关联事件中的步骤,赋予同一关联事件标识cid,存入数据库表corddos,将出来的安装后门事件用同一关联事件标识cid写入关联后的数据库表corbackdoor;完成后,进入第4步;第4步、继续在数据库表elevation中进行查找,以一个时间窗在数据库表elevation中来查找同一个源地址入侵告警事件以前出现的告警事件,如果找不到,则没有关联事件,退出,返回第1步;如果找到,则将前述步骤中所产生的关联事件标识cid连同该条记录写入数据库表corelevation中,当存在多个事件匹配时,这些事件都认为是同一关联事件,仍然是用同一关联事件标识cid,存入数据库表corelevation;第5步、继续在数据库表scan中进行查找,以一个时间窗在数据库表scan中来查找同一个源地址该入侵告警事件以前出现的告警事件,如果找不到,则没有关联事件,退出返回第1步,如果找到,将前述步骤中所产生的关联事件标识cid连同该条记录写入数据库表corscan中,当有多个事件匹配时,这些事件都认为是同一关联事件,仍用同一关联事件标识cid,存入数据库表corscan中,然后退出,本次关联结束,返回第1步;第6步、在数据库表backdoor中取出一条未匹配过的记录,进入第7步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第10步;第7步、以一个时间窗在数据库表evaluation中匹配查找同目的地址和同源地址该入侵告警事件以前记录的告警事件,该时间窗设置缺省为4小时,如果找不到,则没有关联事件,退出返回第6步,如果找到,则进入下一步;第8步、生成关联事件标识cid,将匹配的事件存入数据库表corbackdoor和数据库表corelevation中,当有多个事件匹配时,这些事件都认为是同一关联事件,赋予相同的关联事件标识cid,并且写入数据库表corbackdoor和数据库表corelevation中,进入下一步;第9步、继续在数据库表scan中进行查找,如果找不到,则没有关联事件,退出返回第6步,如果找到,则按同一关联事件标识cid,将匹配的事件写入数据库表corscan,当有多个事件匹配时,这些事件都认为是同一关联事件,赋予同样的关联事件标识cid,写入数据库表corscan,退出,本次关联结束,返回第6步;第10步、在数据库表evaluation中取出一条未匹配过的记录,进入第11步,如果全部记录都已经匹配过,则说明所有记录都处理过,整个过程结束;第11步、以一个时间窗来在数据库表scan中查找同目的地址和同源地址该入侵告警事件以前上报的告警事件,该时间窗设置缺省为4小时,如果找不到,则没有关联事件,退出返回第10步,如果找到,则进入下一步;第12步、生成关联事件标识cid,将匹配的事件写入数据库表corscan和数据库表corelevation,当有多个事件匹配时,这些事件都认为是同一关联事件,赋予同样的关联事件标识cid,存入数据库表corscan和数据库表corelevation,返回第10步。 : 【当前权利人】上海交通大学 【当前专利权人地址】上海市闵行区东川路800号 【统一社会信用代码】1210000042500615X0 【引证次数】5.0 【自引次数】1.0 【他引次数】4.0 【家族引证次数】5.0 【家族被引证次数】20
