專利名稱:網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種測試入侵檢測系統(tǒng)(IDS)的方法,尤其涉及一種用于 測試網(wǎng)絡(luò)入侵檢測系統(tǒng)的網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法��。
背景技術(shù):
目前�����,在業(yè)界測試入侵檢測系統(tǒng)(Intrusion Detection System,簡稱IDS) 的測試工具有很多種�����,在網(wǎng)絡(luò)附連儲存(NASA)項(xiàng)目中�����,測試人員針對 SNORT的測試使用了很多種工具和技術(shù)����,SNORT是一種目前選用的小型的 網(wǎng)絡(luò)入侵檢測系統(tǒng),能夠?qū)崟r分析網(wǎng)絡(luò)通信和IP包登錄�����。SNORT能夠出色 的完成協(xié)議分析,內(nèi)容搜索/匹配以及檢測到多種攻擊和掃描����,如緩沖溢出、 端口掃描�����、通用網(wǎng)關(guān)接口(CGI)攻擊����、服務(wù)器信息塊(SMB)探察等�����。SNORT 使用一種靈活的規(guī)則語言來描述它應(yīng)該收集或過濾的信息�,像一臺檢測引擎 一樣去利用建模插件體系結(jié)構(gòu)。所述工具和技術(shù)例如Traffic IQ���、 IDS Informer���、 Nmap(Network Mapper,網(wǎng)絡(luò)映射器)、Stick���、 Snot����、 Sneeze、 Hping 等等����。Traffic IQ是一款攻擊模擬軟件,它包含了豐富的攻擊腳本庫��,涵蓋了 蠕蟲�、后門木馬與間諜件、DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻 擊)�,以及針對Web(網(wǎng)頁)、FTP(文件傳輸協(xié)議)�、郵件、數(shù)據(jù)庫等多種服務(wù) 器和RPC(遠(yuǎn)程進(jìn)程調(diào)用)遠(yuǎn)程漏洞的攻擊腳本��,它還提供接口供用戶自定義 新的攻擊文件�,具有良好的可擴(kuò)展性。此外���,Traffic IQ提供幾乎所有常見協(xié) 議�,以幫助考察被測設(shè)備的協(xié)議支持能力����。IDS Informer是一種高級包重發(fā) 工具�����,包含一個獨(dú)有的安全的包分發(fā)機(jī)制而無需任何協(xié)議和服務(wù)�����。IDS Informer可以允許用戶在兩塊網(wǎng)卡之間傳輸預(yù)先定義的攻擊數(shù)據(jù),在硬件級 別模擬計算機(jī)系統(tǒng)的操作��,模擬任何一個源IP地址的目的地IP地址����。而這 些模擬攻擊操作可以在任何一個投入運(yùn)作的網(wǎng)絡(luò)上進(jìn)行,無需擔(dān)心隨之而來 的額外的風(fēng)險���。這些操作都是在IDS Informer的控制之中�����,可以隨時重復(fù)����, 或者根據(jù)預(yù)先定義操作發(fā)生。Nmap(NetworkMapper,網(wǎng)絡(luò)映射器)為一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具���。Nmap的設(shè)計目標(biāo)是快速地掃描大 型網(wǎng)絡(luò)����,當(dāng)然用它掃描單個主機(jī)也沒有問題����。Nmap以新穎的方式使用原始 IP報文來發(fā)現(xiàn)網(wǎng)絡(luò)上有哪些主機(jī),這些主機(jī)提供什么樣的服務(wù)(應(yīng)用程序名 和版本)�����,這些服務(wù)運(yùn)行在什么操作系統(tǒng)(包含版本信息)����,它們使用什么類型 的報文過濾器/防火墻,以及其它功能����。雖然Nmap通常用于安全審核,但許 多系統(tǒng)管理員和網(wǎng)絡(luò)管理員也用它來做一些日常的工作�,比如査看整個網(wǎng)絡(luò) 的信息,管理服務(wù)升級計劃�����,以及監(jiān)視主機(jī)和服務(wù)的運(yùn)行。Stick是一款針對 IDS的拒絕服務(wù)工具�,以SNORT的規(guī)則作為輸入。Snot是一款針對IDS的 拒絕服務(wù)工具�,以SNORT的規(guī)則作為輸入,Snot為一個任意包生成器�,使 用SNORT規(guī)則文件作為它的包信息源,可實(shí)時生成任意的未包含于規(guī)則中 的信息�����,以牽制SNORT規(guī)則'Snot檢測'的生成��。Hping是一款基于命令行的 TCP/IP工具���,它在UNIX上得到很好地應(yīng)用, 一直被用作安全工具���,可以用 來測試網(wǎng)絡(luò)及主機(jī)的安全����。但在使用這些工具和技術(shù)進(jìn)行測試的時候�,測試 人員發(fā)現(xiàn)其中存在以下一些問題
(1) 有很多測試工具�,發(fā)送了很多攻擊數(shù)據(jù)包����,但是SNORT檢測到的 警報事件常常小于攻擊工具發(fā)送的數(shù)據(jù)包。這種現(xiàn)象有些是可以通過SNORT 的檢測原理來解釋的����,但是有更多情況是無法解釋清楚的,SNORT是一個 非常龐大的系統(tǒng)����,對于數(shù)據(jù)包的過濾有很多層,攻擊數(shù)據(jù)包的類型也是多種 多樣的����,所以測試人員無法知道這些攻擊數(shù)據(jù)包到底是被正常過濾了,還是 在哪些環(huán)節(jié)被丟掉了��。
(2) 從攻擊到防御再到攻擊目的地���,整個進(jìn)程對于測試人員來說是暗 箱作業(yè)的���,是不可見的,尤其在不能保證環(huán)境、攻擊工具���、檢測工具完全可 靠性的情況下��,測試人員很難對測試結(jié)果做出一個準(zhǔn)確的令人信服的判斷�。
(3) 此外�����,在移植SNORT的時候����,會發(fā)現(xiàn)SNORT系統(tǒng)龐大,工作模 塊眾多�����。移植的時候技術(shù)人員經(jīng)常會問�����,哪些模塊可以卸載掉���?哪些檢測效 率低下?哪些模塊在防御中起到主要作用?雖然以上問題技術(shù)人員可以通 過分析其源代碼略知一二�,但是如果能有一種檢測工具或方法可以測試出每 一項(xiàng)具體數(shù)據(jù)就更佳了
發(fā)明內(nèi)容
為了解決上述公知技術(shù)中的問題與缺陷,本發(fā)明的目的在于提供一種網(wǎng)
絡(luò)攻擊檢測內(nèi)部追蹤方法��,用以在對網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)進(jìn)行測試時��, 通過配置和聯(lián)合攻擊方(Attack End Point,簡稱AEP)�、防御方(Detect End Point,簡稱DEP)及目標(biāo)方(Target End Point,簡稱TEP)三個部分,并通 過在每一個部分設(shè)置相應(yīng)的內(nèi)部檢查點(diǎn)(Checkpoint)來追蹤攻擊��、防御����、 受攻擊的不同階段中測試用攻擊數(shù)據(jù)包的整個生命周期。
本發(fā)明所提供的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法����,包含以下步驟 首先,在測試網(wǎng)絡(luò)中建立具有一攻擊端點(diǎn)��、 一檢測端點(diǎn)及一目標(biāo)端點(diǎn)的 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����;在攻擊端點(diǎn)安裝各種類型的攻擊工具及攻擊端點(diǎn)例行程序���, 在檢測端點(diǎn)安裝預(yù)先定制的SNORT入侵檢測系統(tǒng)及檢測端點(diǎn)例行程序�,在 目標(biāo)端點(diǎn)安裝統(tǒng)計例行程序;攻擊端點(diǎn)對攻擊數(shù)據(jù)包的攻擊類型進(jìn)行分類����, 根據(jù)分類信息設(shè)置捕獲數(shù)據(jù)包信息的檢查點(diǎn);檢測端點(diǎn)分別在不同階段設(shè)置 對應(yīng)的檢査點(diǎn)��,并將所有的設(shè)定選項(xiàng)保存為一個腳本文件�,并將腳本文件發(fā) 送至其它各端點(diǎn);攻擊端點(diǎn)通過所分發(fā)的腳本文件向檢測端點(diǎn)或目標(biāo)端點(diǎn)發(fā) 出測試用攻擊數(shù)據(jù)包���,并將其檢査點(diǎn)信息輸出至一個臨時文件中儲存�����;檢測 端點(diǎn)通過旁路偵聽模式檢測從攻擊端點(diǎn)發(fā)出的攻擊數(shù)據(jù)包�����,并將其檢査點(diǎn)信 息以日志模式輸出到一個臨時文件中儲存����;目標(biāo)端點(diǎn)檢測接收到的攻擊數(shù)據(jù) 包����,并記錄日志,然后輸出至一個臨時文件中儲存��;以及檢測端點(diǎn)在攻擊作 業(yè)完成后從其它各端點(diǎn)收集臨時文件�����,并通過對全部臨時文件中的每一個攻 擊數(shù)據(jù)包的流程信息進(jìn)行匹配�,然后經(jīng)過分析生成一個最終的測試報告。
綜上所述�,本發(fā)明所提供的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法,其目的在 于通過配置和聯(lián)合攻擊方�����、防御方�����、目標(biāo)方三個部分�����,并通過在每一個部分 設(shè)置相應(yīng)的內(nèi)部檢査點(diǎn)來追蹤攻擊���、防御���、受攻擊的不同階段中測試用攻擊 數(shù)據(jù)包的整個生命周期�,也就是說�����,在對網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行測試時����,一 個測試用攻擊數(shù)據(jù)包從攻擊到被過濾、被檢測以及到目標(biāo)主機(jī)的整個進(jìn)程 中��,測試人員都可以清楚地了解數(shù)據(jù)包在每一個重要階段的狀態(tài)和信息����,進(jìn) 而方便、快速����、準(zhǔn)確地生成測試報告。這樣也就可以解決上述公知技術(shù)中的 問題����,并且可以有效地幫助開發(fā)人員直觀地理解整個攻防體系和IDS各模塊 的運(yùn)行機(jī)制���。
圖1為本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法所運(yùn)行的系統(tǒng)的整
體架構(gòu)示意圖2為圖1所示的系統(tǒng)在執(zhí)行分發(fā)作業(yè)時的示意圖3為圖1所示的系統(tǒng)在執(zhí)行攻擊作業(yè)并進(jìn)行記錄時的示意圖4為圖1所示的系統(tǒng)在執(zhí)行收集作業(yè)并生成報告時的示意圖�����;以
及
圖5為本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法的整體步驟流程圖���。 其中�����,附圖標(biāo)記說明如下 10 攻擊端點(diǎn) 20 檢測端點(diǎn) 30 目標(biāo)端點(diǎn)
具體實(shí)施例方式
以下���,將結(jié)合附圖對本發(fā)明的優(yōu)選實(shí)施方式作詳細(xì)說明。 請參考圖1至圖4���,圖1表示了本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追 蹤方法所運(yùn)行的系統(tǒng)的整體架構(gòu)示意圖��。圖2為圖1所示的系統(tǒng)在執(zhí)行 分發(fā)作業(yè)時的示意圖����。圖3為圖1所示的系統(tǒng)在執(zhí)行攻擊作業(yè)并進(jìn)行記 錄時的示意圖���。圖4為圖1所示的系統(tǒng)在執(zhí)行收集作業(yè)并生成報告時的 示意圖�。如圖1所示,本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法所運(yùn)行 的系統(tǒng)包含
攻擊端點(diǎn)(Attack End Point,簡稱AEP) 10��,即為攻擊方�,為網(wǎng)絡(luò) 上的計算機(jī)主機(jī),其安裝有各種類型的攻擊工具及攻擊端點(diǎn)例行程序���, 攻擊端點(diǎn)10可向攻擊的目標(biāo)方���,即目標(biāo)端點(diǎn)(Target End Point,簡稱TEP) 30,發(fā)出測試用攻擊數(shù)據(jù)包�����,并對攻擊數(shù)據(jù)包的攻擊類型進(jìn)行分類����,根 據(jù)分類信息設(shè)置捕獲這些信息的檢査點(diǎn)(Check Point),檢査點(diǎn)的設(shè)置 可以通過直接修改攻擊工具的源代碼���,也可以通過分析攻擊工具的實(shí)時 日志進(jìn)行��,最后輸出到一個臨時文件(Draft)中儲存����;
檢測端點(diǎn)(Detect End Point,簡稱DEP) 20,即為防御方����,安裝有 定制的SNORT入侵檢測系統(tǒng)(IDS)及檢測端點(diǎn)例行程序�,檢測端點(diǎn)20
7為SNORT增加了一種新的日志模式,同時分別在不同階段設(shè)置對應(yīng)的檢 査點(diǎn)���,借以通過旁路偵聽模式檢測攻擊數(shù)據(jù)包從攻擊端點(diǎn)IO發(fā)送至目標(biāo) 端點(diǎn)30的整個傳輸測試進(jìn)程中的狀態(tài)及信息����,并以上述日志模式輸出到 臨時文件(Draft)中儲存���;以及
目標(biāo)端點(diǎn)(Target End Point,簡稱TEP) 30���,即為目標(biāo)方,安裝有 統(tǒng)計例行程序���,目標(biāo)端點(diǎn)30使用Libpcap (—種構(gòu)造網(wǎng)絡(luò)探嗅工具的進(jìn) 程特性分析軟件)檢測接收到的指定源IP的攻擊數(shù)據(jù)包�,并記錄日志�����, 然后輸出到臨時文件(Draft)中儲存。
如圖2所示�����,本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法所運(yùn)行的系 統(tǒng)在執(zhí)行分發(fā)作業(yè)時�����,由檢測端點(diǎn)20將所有的設(shè)定選項(xiàng)保存為一個腳本 文件�����,并將其發(fā)送至其它端點(diǎn)��。
如圖3所示����,本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法所運(yùn)行的系 統(tǒng)在執(zhí)行攻擊作業(yè)并進(jìn)行記錄時,由攻擊端點(diǎn)IO通過所分發(fā)的上述腳本 文件向檢測端點(diǎn)20或目標(biāo)端點(diǎn)30進(jìn)行攻擊作業(yè)���,然后�,攻擊端點(diǎn)IO、 檢測端點(diǎn)20及目標(biāo)端點(diǎn)30將檢查點(diǎn)(Check Point)信息與攻擊作業(yè)一 樣寫入至臨時文件(Draft)中儲存��。
如圖4所示����,本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法所運(yùn)行的系 統(tǒng)在執(zhí)行收集作業(yè)并生成報告時,由檢測端點(diǎn)20在攻擊作業(yè)完成后從其 它端點(diǎn)收集臨時文件(Draft)�����,并通過對全部臨時文件中的每一個攻擊 數(shù)據(jù)包的流程信息進(jìn)行匹配�,并經(jīng)過分析生成一個最終的測試報告����。
現(xiàn)在請參考圖5,此圖為本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法 的整體步驟流程圖�,如圖所示,本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方 法�����,包含以下步驟
首先��,在測試網(wǎng)絡(luò)中建立具有一攻擊端點(diǎn)�、 一檢測端點(diǎn)及一目標(biāo)端 點(diǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),見步驟100;
在攻擊端點(diǎn)安裝各種類型的攻擊工具及攻擊端點(diǎn)例行程序,在檢測 端點(diǎn)安裝預(yù)先定制的SNORT入侵檢測系統(tǒng)及檢測端點(diǎn)例行程序����,在目標(biāo) 端點(diǎn)安裝統(tǒng)計例行程序,見步驟200;
攻擊端點(diǎn)對攻擊數(shù)據(jù)包的攻擊類型進(jìn)行分類�����,根據(jù)分類信息設(shè)置捕 獲數(shù)據(jù)包信息的檢査點(diǎn)��,見步驟300��,其中攻擊端點(diǎn)的檢査點(diǎn)的設(shè)置是通過直接修改攻擊工具的源代碼��,或者通過分析攻擊工具的實(shí)時日志進(jìn)行;
檢測端點(diǎn)分別在不同階段設(shè)置對應(yīng)的檢查點(diǎn)����,并將所有的設(shè)定選項(xiàng) 保存為一個腳本文件,并將此腳本文件發(fā)送至其它各端點(diǎn)��,見步驟400;
攻擊端點(diǎn)通過所分發(fā)的腳本文件向檢測端點(diǎn)或目標(biāo)端點(diǎn)發(fā)出測試用 攻擊數(shù)據(jù)包���,并將其檢查點(diǎn)信息輸出至一個臨時文件中儲存,見步驟500;
檢測端點(diǎn)通過旁路偵聽模式檢測從攻擊端點(diǎn)發(fā)出的攻擊數(shù)據(jù)包���,并
將其檢查點(diǎn)信息以日志模式輸出到一個臨時文件中儲存�,見步驟600;
目標(biāo)端點(diǎn)檢測接收到的攻擊數(shù)據(jù)包,并記錄日志�����,然后輸出至一個
臨時文件中儲存��,見步驟700;以及
檢測端點(diǎn)在攻擊作業(yè)完成后從其它各端點(diǎn)收集臨時文件����,并通過對 上述全部臨時文件中的每一個攻擊數(shù)據(jù)包的流程信息進(jìn)行匹配,然后經(jīng)
過分析生成一個最終的測試報告���,見步驟800���。
此外��,上述本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法中�����,在攻擊端 點(diǎn)發(fā)出測試用攻擊數(shù)據(jù)包之前還包含校驗(yàn)各端點(diǎn)的系統(tǒng)時間以求解出不 同端點(diǎn)的系統(tǒng)時間差值�,并由任一端點(diǎn)進(jìn)行保存的步驟。
此外,上述本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法中�����,在執(zhí)行攻 擊作業(yè)的進(jìn)程中各端點(diǎn)均會記錄攻擊數(shù)據(jù)包到達(dá)此端點(diǎn)的時間���,并將所 捕獲的數(shù)據(jù)包經(jīng)過協(xié)議�、目標(biāo)端口及協(xié)議類型的解析后與所記錄的發(fā)出 的數(shù)據(jù)包進(jìn)行匹配���,以確定所捕獲的數(shù)據(jù)包與所發(fā)出的數(shù)據(jù)包的一致性���。
此外,上述本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法中���,檢測端點(diǎn) 在檢測攻擊數(shù)據(jù)包的進(jìn)程中還包含如下步驟
檢査點(diǎn)計算所有被捕獲的攻擊數(shù)據(jù)包的數(shù)量���,并記錄攻擊數(shù)據(jù)包的
時間戳;
經(jīng)過解碼之后�����,檢査點(diǎn)通過特定的IP或在所述攻擊數(shù)據(jù)包中的其它 標(biāo)記過濾攻擊數(shù)據(jù)包����,而后將有問題的數(shù)據(jù)包標(biāo)記為可疑數(shù)據(jù)包����,并記
錄協(xié)議信息及當(dāng)前時間戳��;
檢查點(diǎn)找出可疑數(shù)據(jù)包后����,如果可疑數(shù)據(jù)包與前處理程序的規(guī)則匹 配�,則記錄前處理程序的信息����,然后�����,記錄可疑數(shù)據(jù)包的當(dāng)前時間戳;
檢查點(diǎn)找出可疑數(shù)據(jù)包后�����,記錄與規(guī)則樹節(jié)點(diǎn)(Rule Tree Node��,簡 稱RTN) /規(guī)則選項(xiàng)節(jié)點(diǎn)(Optional Tree Node,簡稱OTN)中的規(guī)則進(jìn)行匹配的整個進(jìn)程����,而后記錄可疑數(shù)據(jù)包的當(dāng)前時間戳;以及
在數(shù)據(jù)包處理的結(jié)尾處�,檢査點(diǎn)記錄選定的事件,而后記錄當(dāng)前時 間戳�����。
另外��,上述本發(fā)明的一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法中���,目標(biāo)端點(diǎn) 使用Libpcap (—種公知的構(gòu)造網(wǎng)絡(luò)探嗅工具的進(jìn)程特性分析軟件)檢測 接收到的攻擊數(shù)據(jù)
權(quán)利要求
1�����、一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法�����,用以對網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行測試���,該方法包含以下步驟首先,在一測試網(wǎng)絡(luò)中建立具有一攻擊端點(diǎn)��、一檢測端點(diǎn)及一目標(biāo)端點(diǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);在該攻擊端點(diǎn)安裝各種類型的攻擊工具及攻擊端點(diǎn)例行程序��,在該檢測端點(diǎn)安裝預(yù)先定制的SNORT入侵檢測系統(tǒng)及檢測端點(diǎn)例行程序����,在該目標(biāo)端點(diǎn)安裝統(tǒng)計例行程序;該攻擊端點(diǎn)對攻擊數(shù)據(jù)包的攻擊類型進(jìn)行分類����,根據(jù)該分類信息設(shè)置捕獲所述數(shù)據(jù)包信息的檢查點(diǎn);該檢測端點(diǎn)分別在不同階段設(shè)置對應(yīng)的檢查點(diǎn)�,并將所有的設(shè)定選項(xiàng)保存為一腳本文件,并將該腳本文件發(fā)送至其它各端點(diǎn)�;該攻擊端點(diǎn)通過所分發(fā)的該腳本文件向該檢測端點(diǎn)或該目標(biāo)端點(diǎn)發(fā)出測試用攻擊數(shù)據(jù)包,并將其檢查點(diǎn)信息輸出至一臨時文件中儲存��;該檢測端點(diǎn)通過旁路偵聽模式檢測從該攻擊端點(diǎn)發(fā)出的攻擊數(shù)據(jù)包����,并將其檢查點(diǎn)信息以日志模式輸出到一臨時文件中儲存;該目標(biāo)端點(diǎn)檢測接收到的攻擊數(shù)據(jù)包���,并記錄日志后輸出至一臨時文件中儲存����;以及該檢測端點(diǎn)在攻擊作業(yè)完成后從其它各端點(diǎn)收集所述臨時文件�,并通過對所述全部臨時文件中儲存的每一個攻擊數(shù)據(jù)包的流程信息進(jìn)行匹配,然后經(jīng)過分析生成一最終的測試報告��。
2���、 如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法���,其中該攻擊端點(diǎn) 的檢査點(diǎn)的設(shè)置通過直接修改攻擊工具的源代碼,或者通過分析攻擊工具的 實(shí)時日志進(jìn)行���。
3�、 如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法�����,其中在該攻擊端 點(diǎn)發(fā)出測試用攻擊數(shù)據(jù)包之前還包含校驗(yàn)所述各端點(diǎn)的系統(tǒng)時間以求解出 不同端點(diǎn)的系統(tǒng)時間差值�����,并由任一端點(diǎn)進(jìn)行保存的步驟��。
4�����、 如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法,其中在執(zhí)行攻擊 作業(yè)的進(jìn)程中所述各端點(diǎn)均會記錄該攻擊數(shù)據(jù)包到達(dá)該端點(diǎn)的時間���,并將所捕獲的數(shù)據(jù)包經(jīng)解析后與所記錄的發(fā)出的數(shù)據(jù)包進(jìn)行匹配��,以確定該捕獲的 數(shù)據(jù)包與該發(fā)出的數(shù)據(jù)包的一致性�����。
5����、 如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法��,其中該檢測端點(diǎn)在檢測所述攻擊數(shù)據(jù)包的進(jìn)程中還包含如下步驟該檢查點(diǎn)計算所有被捕獲的攻擊數(shù)據(jù)包的數(shù)量����,并記錄所述攻擊數(shù)據(jù)包 的時間戳;經(jīng)過解碼之后���,該檢查點(diǎn)通過特定的IP或在所述攻擊數(shù)據(jù)包中的其它標(biāo) 記過濾所述攻擊數(shù)據(jù)包�����,而后將有問題的數(shù)據(jù)包標(biāo)記為可疑數(shù)據(jù)包����,并記錄協(xié)議信息及當(dāng)前時間戳�;該檢査點(diǎn)找出可疑數(shù)據(jù)包后,如果該可疑數(shù)據(jù)包與前處理程序的規(guī)則匹 配�����,則記錄該前處理程序的信息��,然后���,記錄所述可疑數(shù)據(jù)包的當(dāng)前時間戳��;該檢査點(diǎn)找出可疑數(shù)據(jù)包后��,記錄與規(guī)則樹節(jié)點(diǎn)/規(guī)則選項(xiàng)節(jié)點(diǎn)中的規(guī) 則進(jìn)行匹配的整個進(jìn)程�,而后記錄所述可疑數(shù)據(jù)包的當(dāng)前時間戳��;以及在數(shù)據(jù)包處理的結(jié)尾處����,該檢查點(diǎn)記錄選定的事件�,而后記錄當(dāng)前時間戳�����。
6���、 如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法����,其中該目標(biāo)端點(diǎn) 使用一種公知的構(gòu)造網(wǎng)絡(luò)探嗅工具的進(jìn)程特性分析軟件Libpcap檢測接收到 的該攻擊數(shù)據(jù)包�����。
7�����、 如權(quán)利要求6所述的網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法�����,其中該攻擊數(shù)據(jù) 包為指定源IP的攻擊數(shù)據(jù)包��。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法,用以在對網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行測試時�,通過配置和聯(lián)合攻擊方、防御方��、目標(biāo)方三個部分�����,并通過在每一個部分設(shè)置相應(yīng)的內(nèi)部檢查點(diǎn)來追蹤攻擊��、防御����、受攻擊的不同階段中測試用攻擊數(shù)據(jù)包的整個生命周期�,也就是說,在對網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行測試時�����,一個測試用攻擊數(shù)據(jù)包從攻擊到被過濾���、被檢測以及到目標(biāo)主機(jī)的整個進(jìn)程中���,測試人員都可以清楚地了解數(shù)據(jù)包在每一個重要階段的狀態(tài)和信息����,進(jìn)而方便���、快速�、準(zhǔn)確地生成測試報告��。
文檔編號H04L29/06GK101453454SQ200710194909
公開日2009年6月10日 申請日期2007年12月6日 優(yōu)先權(quán)日2007年12月6日
發(fā)明者劉文涵, 萌 孫, 陳玄同 申請人:英業(yè)達(dá)股份有限公司