公开(公告)号：CN101902441B

公开(公告)日：2013-05-15

申请号：CN200910085069.8

申请日：2009-05-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张在峰 ,  邓炜 ,  张峰 ,  赵东宾 ,  王雷章 ,  黄长权

IPC: H04L29/06 ,  H04L12/24

Abstract: 一种可实现序列攻击事件检测的入侵检测方法，包括：根据需检测的每一序列攻击事件，将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则，将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则，将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序；对某数据报文进行入侵检测时，如该数据报文匹配到一个或多个基础规则，则优先使用匹配到的基础规则的关联规则，按关联顺序与该数据报文的后续数据报文逐一匹配，如果某个基础规则的一组关联规则均匹配成功，则检测到对应的序列攻击事件，按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测，提高检测效率。

公开(公告)号：CN101902441A

公开(公告)日：2010-12-01

申请号：CN200910085069.8

申请日：2009-05-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张在峰 ,  邓炜 ,  张峰 ,  赵东宾 ,  王雷章 ,  黄长权

IPC: H04L29/06 ,  H04L12/24

Abstract: 一种可实现序列攻击事件检测的入侵检测方法，包括：根据需检测的每一序列攻击事件，将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则，将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则，将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序；对某数据报文进行入侵检测时，如该数据报文匹配到一个或多个基础规则，则优先使用匹配到的基础规则的关联规则，按关联顺序与该数据报文的后续数据报文逐一匹配，如果某个基础规则的一组关联规则均匹配成功，则检测到对应的序列攻击事件，按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测，提高检测效率。