亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種通用協(xié)議解析方法及系統(tǒng)的制作方法

文檔序號:7664911閱讀:221來源:國知局
專利名稱:一種通用協(xié)議解析方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及可用于多種網(wǎng)絡(luò)安全產(chǎn)品中的一種通用協(xié)議解析方法及系統(tǒng), 它依據(jù)網(wǎng)絡(luò)數(shù)據(jù)流中報文特征提供強大的協(xié)議解析功能,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù)
協(xié)議解析技術(shù)是入侵檢測及審計系統(tǒng)的核心組成模塊,通常的入侵檢測及審
計的準確性和效率依賴于協(xié)議解析的準確性和效率。目前多數(shù)IDS/IPS產(chǎn)品都 基于端口映射表來判斷網(wǎng)絡(luò)報文所屬協(xié)議類型從而進行進一步的協(xié)議解析,比 如,如發(fā)現(xiàn)捕獲的網(wǎng)絡(luò)報文中源/目的端口為21,則認為它是FTP(File Transfer Protocol)協(xié)議報文,進一步使用FTP協(xié)議格式對數(shù)據(jù)報文進行解析。通常這 種端口映射表在IDS/IPS產(chǎn)品出廠時已確定,事實上由于網(wǎng)絡(luò)上各種協(xié)議種類 繁多,各種新的協(xié)議層出不窮。例如P2P (Peer to peer protocol)協(xié)議,它 并不采用固定的協(xié)議端口,而是在協(xié)議運行過程中動態(tài)協(xié)商端口??傊瑸榱?躲避IDS/IPS產(chǎn)品的入侵檢測很多協(xié)議都采用了特殊的處理方式
1) 不使用固定通信端口進行通信;
2) 使用知名的協(xié)議端口,比如80或者443之類的;
3) 同時支持多端口嘗試的;
4) 采用隧道技術(shù)進行私有協(xié)議通信(比如HTTP隧道技術(shù))。
在以上4種情況下,IDS/IPS產(chǎn)品無法根據(jù)端口表來正確識別報文所屬協(xié)議 類型,IDS/IPS產(chǎn)品將產(chǎn)生大量的誤報或漏報。因此,有必要發(fā)展不完全依賴于 協(xié)議端口的通用協(xié)議解析系統(tǒng),以減少IDS/IPS產(chǎn)品的漏報。此外目前常用的 協(xié)議解析工具的設(shè)計與實現(xiàn)并沒有充分考慮到如何用于入侵檢測產(chǎn)品當中以達到在高效準確的進行數(shù)據(jù)報文解析的同時完成入侵檢測功能。同時一個好的協(xié) 議分析器必須有很好的可擴展性和結(jié)構(gòu),本發(fā)明采用協(xié)議插件技術(shù)提供了很好 的擴展性,在添加新的協(xié)議解析插件時無需對系統(tǒng)進行大的改動。本發(fā)明設(shè)計 的通用協(xié)議解析方法應(yīng)該滿足以下要求
1) 能啟發(fā)式的根據(jù)報文特征對協(xié)議進行解析,而不單純依賴于端口映射表;
2) 盡可能根據(jù)協(xié)議報文特征快速對協(xié)議進行解析;
3) 方法通用性強,檢測能力強大,盡可能多的解析網(wǎng)絡(luò)協(xié)議;
4) 良好的可擴展性和設(shè)計結(jié)構(gòu),事實上由于網(wǎng)絡(luò)上各種協(xié)議種類繁多,各 種新的協(xié)議層出不窮。 一個好的協(xié)議分析器必需有很好的可擴展性和結(jié) 構(gòu)。這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器;
5) 與入侵檢測引擎具有良好的交互方式,兩者之間定義了通用簡單的交互 接口。

發(fā)明內(nèi)容
本發(fā)明提出一種通用協(xié)議解析方法及系統(tǒng),所述的通用協(xié)議解析技術(shù)可以 滿足強大的協(xié)議解析能力,具有基于端口和啟發(fā)式的智能解析方法;具 有良好的可擴展性,具有基于插件技術(shù)的協(xié)議分析器;具有良好的設(shè)計結(jié) 構(gòu),采用了協(xié)議樹加特征字的設(shè)計,使通用協(xié)議解析系統(tǒng)在協(xié)議解析上有 了很強的擴展性,增加一個協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹的相 應(yīng)節(jié)點上即可;與IDS/IPS良好的協(xié)調(diào)工作的能力,通用協(xié)議解析系統(tǒng)擁有 良好的設(shè)計接口,使其能保持同IDS/IPS進行良好的數(shù)據(jù)交互過程。
本發(fā)明的目的是這樣實現(xiàn)的, 一種通用協(xié)議解析方法,包括以下的步驟:
通用協(xié)議解析系統(tǒng)的協(xié)議及字段的注冊步驟;
通用協(xié)議解析系統(tǒng)的捕報歩驟;
通用協(xié)議解析系統(tǒng)的協(xié)議解析步驟;數(shù)據(jù)處理的步驟。
一種通用協(xié)議解析系統(tǒng),包括有
對數(shù)據(jù)報進行內(nèi)容和形式異常檢測,判斷攻擊行為是否發(fā)生的入侵檢測引
擎;
對用戶的命令和顯示進行處理的通用協(xié)議解析控制臺; 負責(zé)串聯(lián)其他裝置的通用協(xié)議解析控制模塊; 負責(zé)獲取網(wǎng)絡(luò)報文的捕報器; 對數(shù)據(jù)報文件的格式進行轉(zhuǎn)換的存儲器; 負責(zé)對協(xié)議進行詳細數(shù)據(jù)報解析的協(xié)議解析器。
所述的入侵檢測引擎與通用協(xié)議解析系統(tǒng)連接;所述的通用協(xié)議解析控制臺 與通用協(xié)議解析控制模塊連接;所述的通用協(xié)議解析控制模塊與捕報器、存儲 器和協(xié)議解析器連接;所述的捕報器與工作在網(wǎng)卡驅(qū)動層的winpc即/libpcap (網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)連接。
本發(fā)明的產(chǎn)生的有益效果是解決了傳統(tǒng)的IDS/IPS產(chǎn)品中針對協(xié)議解析僅 僅依賴端口的問題,增加了智能啟發(fā)式協(xié)議解析功能;擁有良好設(shè)計結(jié)構(gòu)的協(xié) 議解析系統(tǒng)具有強大的解析能力;采用插件技術(shù)實現(xiàn)協(xié)議解析器,解析方便, 結(jié)構(gòu)簡單,擴展方便;增強了IDS/IPS的入侵檢測的能力,在對未知協(xié)議和新增
加協(xié)議進行入侵檢測時,無需對系統(tǒng)進行大的改動,只需添加相應(yīng)協(xié)議的解析 插件,只需在入侵檢測引擎的的規(guī)則庫中進行規(guī)則的添加,并且擁有協(xié)議解析速 度快和準確率高等優(yōu)點;同時在與IDS/IPS數(shù)據(jù)和命令的過程中體現(xiàn)了良好的交 互方式,兩者間設(shè)計了簡單通用的交互接口,可廣泛用于IDS/IPS、審計等網(wǎng)絡(luò) 安全產(chǎn)品中。


8圖1是通用協(xié)議解析系統(tǒng)的系統(tǒng)架構(gòu)圖; 圖2是系統(tǒng)數(shù)據(jù)協(xié)商的流程圖; 圖3是系統(tǒng)控制命令交互的流程圖; 圖4是共享內(nèi)存的結(jié)構(gòu); 圖5是通用協(xié)議解析系統(tǒng)工作模式圖; 圖6是協(xié)議注冊流程圖; 圖7是系統(tǒng)派發(fā)/處理流程圖; 圖8是數(shù)據(jù)報過濾器示例圖; 圖9是一棵簡單的協(xié)議樹示例圖; 下面結(jié)合附圖和實施例對本發(fā)明作進一步說明。
具體實施方式
實施例一
本實施例為一種通用協(xié)議解析方法基本模式,所使用的系統(tǒng)如圖l所示。包 括入侵檢測引擎、通用協(xié)議解析控制臺、通用協(xié)議解析控制模塊、捕報器、存 儲器、協(xié)議解析器。包含以下步驟
① 通用協(xié)議解析系統(tǒng)的協(xié)議及字段的注冊步驟;
通用協(xié)議解析系統(tǒng)支持的各個協(xié)議解析插件首先要向系統(tǒng)進行注冊,只有通 過注冊,通用協(xié)議解析系統(tǒng)才清楚子樹/字段的名稱、數(shù)據(jù)類型、表示方式(10 進制/16進制/字符串等),所有這些信息都來自子協(xié)議內(nèi)部聲明的靜態(tài)數(shù)據(jù)。除 此之外協(xié)議解析器還可以選擇提供一個結(jié)構(gòu),讓核心進一步解釋字段值對應(yīng)的 具體含義,此結(jié)構(gòu)也是內(nèi)部聲明的靜態(tài)數(shù)據(jù)。
② 通用協(xié)議解析系統(tǒng)的捕報步驟;
通用協(xié)議解析系統(tǒng)中的捕報器負責(zé)數(shù)據(jù)報的捕獲;需要一個底層的抓包平 臺,在Linux中是采用Libpc鄰(linux下的網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)函數(shù)庫抓包,在windows系統(tǒng)中采用Wi叩cap (windows下的網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)函 數(shù)庫抓包。Libpcap/Wi叩cap (網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)是工作網(wǎng)卡驅(qū)動層的模 塊,用來抓取報文,將網(wǎng)卡上的報文復(fù)制一份送給通用協(xié)議解析系統(tǒng)中的捕報 器,捕報器屏蔽了跟網(wǎng)絡(luò)設(shè)備相關(guān)的細節(jié),比如以太網(wǎng)、無線網(wǎng)卡、令牌環(huán)網(wǎng)
(D通用協(xié)議解析系統(tǒng)的協(xié)議解析步驟;
通用協(xié)議解析系統(tǒng)中的協(xié)議解析器是負責(zé)報文解析的,包括協(xié)議樹模塊、協(xié) 議解析模塊和插件管理器。當捕報器捕獲到數(shù)據(jù)報之后,根據(jù)協(xié)議樹和特征字 的方式搜索具體協(xié)議的解析器,在確定解析器之后,則可以對協(xié)議進行詳細的 解析。
④ 數(shù)據(jù)交互的建立步驟;
通用協(xié)議解析系統(tǒng)為一獨立進程,與入侵檢測引擎同時運行在一臺機器上, 輸入的協(xié)議數(shù)據(jù)包由引擎放在共享內(nèi)存中供通用協(xié)議解析系統(tǒng)使用,解析結(jié)果 也通過共享內(nèi)存的方式提供給引擎。共使用兩塊共享內(nèi)存進行通信,此共享內(nèi) 存是命名的, 一塊用于數(shù)據(jù)協(xié)商/交換,另一塊用于控制命令傳遞。每塊共享內(nèi) 存使用一個命名的信號量,通過檢測其狀態(tài)來進行交互。
⑤ 數(shù)據(jù)處理的步驟;
通用協(xié)議解析系統(tǒng)的數(shù)據(jù)包解析結(jié)果為序列化的協(xié)議樹,它包含有協(xié)議基本 信息、協(xié)議字段和層次關(guān)系。任何一個協(xié)議在通用協(xié)議解析系統(tǒng)提供的解析結(jié) 果內(nèi)存中都是3個連續(xù)的塊,第一塊為協(xié)議邊界/層次標識,用于重建協(xié)議樹, 第二塊為協(xié)議屬性,提供與協(xié)議具體消息無關(guān)的全局描述信息,第三塊為協(xié)議 字段集,提供一系列連續(xù)排列的確定數(shù)據(jù)類型的字段,字段可以有子字段,由 父字段描述父子關(guān)系。相鄰層次間的協(xié)議在內(nèi)存中連續(xù)排列。序列化的協(xié)議樹 使用的字段類型、格式都是預(yù)定義好的,IDS/IPS入侵檢測引擎可以統(tǒng)一的方式來處理不同協(xié)議的解析結(jié)果。 實施例二
本實施例為實施例一中的通用協(xié)議解析系統(tǒng)的協(xié)議及字段的注冊步驟的優(yōu)選 方案。
本實施例的基本思路是其過程如圖6所示通用協(xié)議解析系統(tǒng)支持的各個 協(xié)議解析器首先要向系統(tǒng)進行注冊,注冊的內(nèi)容包括系統(tǒng)識別協(xié)議的方式(端 口或特征字節(jié)回調(diào)函數(shù)),協(xié)議字段的信息(類型、名稱、縮寫等等),協(xié)議解 析的入口點。完成注冊后,通用協(xié)議解析系統(tǒng)就知道了子樹/字段的名稱、數(shù)據(jù) 類型、表示方式(10進制/16進制/字符串等),所有這些信息都來自子協(xié)議內(nèi) 部聲明的靜態(tài)數(shù)據(jù)。除此之外協(xié)議解析器還可以選擇提供一個結(jié)構(gòu),讓核心進 一步解釋字段值對應(yīng)的具體含義,此結(jié)構(gòu)也是內(nèi)部聲明的靜態(tài)數(shù)據(jù)。注冊是在 通用協(xié)議解析系統(tǒng)初始化的時候完成的,所有支持的協(xié)議都必須進行注冊。如 圖6所示,在進行協(xié)議注冊時還要告知通用協(xié)議解析系統(tǒng)采用哪種方式來解析 協(xié)議,是采用基于端口的協(xié)議解析,還是采用智能啟發(fā)式協(xié)議解析。完成注冊 后,通用協(xié)議解析系統(tǒng)在得到原始數(shù)據(jù)包后進行派發(fā)。
本實施例中采用的算法:對于任何協(xié)議和字段的注冊,都要采用hash算法對 協(xié)議及其字段建立hash表,從而提高IDS/IPS協(xié)議匹配的效率。在進行注冊時, 由IDS/IPS與通用協(xié)議解析系統(tǒng)協(xié)商好各個協(xié)議及其字段的hash值(即為ID), 從而當收到新的數(shù)據(jù)包時,直接把各字段的ID對應(yīng)的值提交給IDS/IPS來進行 下一步的匹配處理,從而極大地提高了效率。 實施例三
本實施例為實施例一中的通用協(xié)議解析系統(tǒng)中的捕報步驟的優(yōu)選方案。本實 施例的基本思路是首先判斷應(yīng)用環(huán)境,若為Linux下,則調(diào)用Libpcap(linux 下的網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)進行抓報,若為Windows下,則調(diào)用Wi叩cap(windows下的網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)進行抓報,是一個平臺獨立的網(wǎng)絡(luò)數(shù)據(jù)
報捕獲器。通用協(xié)議解析系統(tǒng)中的捕報器采用通用的數(shù)據(jù)報過濾器機制,這部 分是基于內(nèi)核的過濾模塊,它使捕報器具有捕獲特定數(shù)據(jù)報的功能,可以過濾
掉網(wǎng)絡(luò)上不需要的數(shù)據(jù)報,而只捕獲感興趣的數(shù)據(jù)報。數(shù)據(jù)報過濾器如圖8所 示,由兩部分組成, 一是網(wǎng)絡(luò)轉(zhuǎn)發(fā)部分,二是數(shù)據(jù)過濾部分,網(wǎng)絡(luò)轉(zhuǎn)發(fā)部分從 鏈路層中捕獲數(shù)據(jù)報,并把它們轉(zhuǎn)發(fā)給數(shù)據(jù)報過濾部分;數(shù)據(jù)報過濾部分從接 收到的數(shù)據(jù)報中接受過濾規(guī)則決定的數(shù)據(jù)報,其他的數(shù)據(jù)報就拋棄。 實施例四
本實施例為實施例一中的通用協(xié)議解析系統(tǒng)中的協(xié)議解析步驟的優(yōu)選方案
① 以層次化的數(shù)據(jù)包協(xié)議分析方法取得捕包函數(shù)捕回的數(shù)據(jù)包后進行協(xié)議 分析和協(xié)議還原工作作為協(xié)議樹建立子步驟。
② 將最低層的無結(jié)構(gòu)數(shù)據(jù)流作為根接點,具有相同父節(jié)點的協(xié)議成為兄弟節(jié) 點,系統(tǒng)采用協(xié)議的特征字來識別協(xié)議,以此作為協(xié)議解析子步驟。
③ 基于插件技術(shù)的協(xié)議分析器是在程序的設(shè)計開發(fā)過程中,把整個應(yīng)用程序 分成宿主程序和插件兩個部分,宿主程序與插件能夠相互通信,以此作為增加 協(xié)議插件的子步驟。
本實施例的基本思路是通用協(xié)議解析系統(tǒng)中的協(xié)議解析器包括協(xié)議樹模
塊、協(xié)議解析模塊和插件管理器。由于0SI的7層協(xié)議模型,協(xié)議數(shù)據(jù)是從上
到下封裝后發(fā)送的。對于協(xié)議分析需要從下至上進行。首先對網(wǎng)絡(luò)層的協(xié)議識 別后進行組包還原然后脫去網(wǎng)絡(luò)層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析,這
樣一直進行下去直到應(yīng)用層,如圖9所示一個簡單的協(xié)議樹。由于網(wǎng)絡(luò)協(xié)議種
類很多,為了使協(xié)議和協(xié)議間層次關(guān)系明顯。從而對數(shù)據(jù)流里的各個層次的協(xié)
議能夠逐層處理。通用協(xié)議解析系統(tǒng)采用了協(xié)議樹的方式。圖9就是一個簡單 的協(xié)議樹。如果協(xié)議A的所有數(shù)據(jù)都是封裝在協(xié)議B里的,那么這個協(xié)議A就是協(xié)議B是另外一個協(xié)議的兒子節(jié)點。系統(tǒng)采用協(xié)議的特征字來識別協(xié)議。每
個協(xié)議會注冊自己的特征字。比如tcp協(xié)議的port字段注冊后,Tcp.port=21 就可以認為是ftp協(xié)議,特征字可以是協(xié)議規(guī)范定義的任何一個字段。比如ip 協(xié)議就可以定義proto字段為一個特征字。在通用協(xié)議解析系統(tǒng)中注冊一個協(xié) 議解析器首先要指出它的父協(xié)議是什么。另外還要指出自己區(qū)別于父節(jié)點下的 兄弟接點協(xié)議的特征。比如ftp協(xié)議。在通用協(xié)議解析系統(tǒng)中他的父接點是tcp 協(xié)議,它的特征就是tcp協(xié)議的port字段為21。這樣當一個端口為21的tcp 數(shù)據(jù)流來到時。首先由tcp協(xié)議注冊的解析模塊處理,處理完之后通過查找協(xié) 議樹找到自己協(xié)議下面的子協(xié)議,判斷應(yīng)該由那個子協(xié)議來執(zhí)行,找到正確的 子協(xié)議后,就轉(zhuǎn)交給ftp注冊的解析模塊處理。這樣由根節(jié)點開始一層層解析 下去。由于采用了協(xié)議樹加特征字的設(shè)計,這個系統(tǒng)在協(xié)議解析上有了很強的 擴展性,增加一個協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹的相應(yīng)節(jié)點上即可, 并且可以通過增減插件或修改插件來調(diào)整應(yīng)用程序的功能。運用插件技術(shù)可以 開發(fā)出伸縮性良好、便于維護的應(yīng)用程序。
協(xié)議插件所使用的算法:對于某些協(xié)議中的特征字,例如報文是YMSG打頭的, 這里采用了 hash算法對協(xié)議體的特征字建立了 hash表,以便提高只能啟發(fā)式 協(xié)議解析的效率。當收到新的數(shù)據(jù)包時,如果需要進行智能啟發(fā)式的解析,則 將特征字hash后和hash表中的各項進行匹配,若匹配成功,則說明匹配成功, 否則,則匹配失敗。 實施例五
本實施例為實施例一中的數(shù)據(jù)交互的建立步驟的優(yōu)選方案 ①IDS/IPS入侵檢測引擎必須使用規(guī)范化全稱來向通用協(xié)議解析系統(tǒng)提出協(xié) 議字段請求,否則系統(tǒng)將無法識別,因此要求規(guī)則的編寫者必須了解由系統(tǒng)提 供的協(xié)議字段命名規(guī)范,描述該協(xié)議字段名字和值類型,以此作為系統(tǒng)提供的協(xié)議字段命名規(guī)范的建立子步驟。
② 通用協(xié)議解析系統(tǒng)與入侵檢測引擎協(xié)商解析的協(xié)議字段名稱以及類型,將 其全程映射為雙方認可的數(shù)字id,便于數(shù)據(jù)以及命令的交互,以此作為協(xié)議以
及字段的hash子步驟。
③ 數(shù)據(jù)交互不斷把解析結(jié)果向入侵檢測引擎報告;命令交互循環(huán)等待著入侵 檢測引擎發(fā)來的指令并把執(zhí)行的結(jié)果告之入侵檢測引擎,以此作為數(shù)據(jù)以及命 令交互子步驟。
本實施例的基本思路是通用協(xié)議解析系統(tǒng)工作模式圖如圖5所示通用協(xié) 議解析系統(tǒng)為一獨立進程,與入侵檢測引擎同時運行在一臺機器上,輸入的協(xié) 議數(shù)據(jù)包由弓I擎放在共享內(nèi)存中供通用協(xié)議解析系統(tǒng)使用,解析結(jié)果也通過共 享內(nèi)存的方式提供給引擎。共使用兩塊共享內(nèi)存進行通信,此共享內(nèi)存是命名 的, 一塊用于數(shù)據(jù)協(xié)商/交換,另一塊用于控制命令傳遞。每塊共享內(nèi)存使用一
個命名的信號量,通過檢測其狀態(tài)來進行交互。其中共享內(nèi)存的結(jié)構(gòu)如圖4所 示共享內(nèi)存中都是3個連續(xù)的塊,第一塊為協(xié)議邊界/層次標識,用于重建協(xié)
議樹,第二塊為協(xié)議屬性,提供與協(xié)議具體消息無關(guān)的全局描述信息,第三塊 為協(xié)議字段集,提供一系列連續(xù)排列的確定數(shù)據(jù)類型的字段,字段可以有子字 段,由父字段描述父子關(guān)系。通用協(xié)議解析系統(tǒng)提供的協(xié)議字段命名規(guī)范要求
描述該協(xié)議字段的名字和值類型,例如ip協(xié)議的源地址字段可能被此文檔規(guī) 定為"source ip address: ip. srcip, little endian integer",這里"source ipaddress"是字段的意義,"ip. srcip"是此字段的規(guī)范化全稱,"little endian integer"為此字段的標準類型。IDS/IPS入侵檢測引擎必須使用規(guī)范化全稱來 向通用協(xié)議解析系統(tǒng)提出協(xié)議字段請求,否則通用協(xié)議解析系統(tǒng)將無法識別, 例如如果IDS/IPS入侵檢測引擎向通用協(xié)議解析系統(tǒng)要求一個名叫"sourceip" 的字段,通用協(xié)議解析系統(tǒng)會返回一個錯誤。為印證IDS/IPS入侵檢測引擎正確的理解了字段的含義,IDS/IPS入侵檢測引擎在提出協(xié)議字段請求時必須包含 該字段的類型,通用協(xié)議解析系統(tǒng)將請求中類型和字段本身的類型進行比對,
相同則接受請求,否則返回錯誤。通用協(xié)議解析系統(tǒng)數(shù)據(jù)協(xié)商的流程圖如圖2
所示在上圖中,在步驟1 4組成了數(shù)據(jù)協(xié)商階段、此階段進行初始化工作,
步驟5 6為正常工作循環(huán),進行數(shù)據(jù)交換。系統(tǒng)控制命令交互的流程圖如圖3
所示通用協(xié)議解析系統(tǒng)由IDS/IPS入侵檢測引擎啟動,并接受其控制,控制 命令包括以下種類
1. 設(shè)置/取消過濾條件;
2. 停止/重新啟動通用協(xié)議解析系統(tǒng);
3. 運行狀態(tài)査詢。
實施例六
本實施例為實施例一中的數(shù)據(jù)處理的步驟的優(yōu)選方案。
本實施例的基本思路是系統(tǒng)派發(fā)/處理流程圖如圖7所示,IDS/IPS入侵檢
測引擎首先啟動通用協(xié)議解析系統(tǒng),然后創(chuàng)建樹的根節(jié)點,各個子模塊的主要 任務(wù)就是往這個樹上添枝加葉,主要就是各種協(xié)議解析插件中定義好的協(xié)議及 其字段,在構(gòu)造好協(xié)議樹加特征字的通用協(xié)議解析系統(tǒng)的結(jié)構(gòu)后,就可以進行 數(shù)據(jù)報的解析了。舉例為假設(shè)在以太網(wǎng)環(huán)境中,樹的根節(jié)點為IP,則子節(jié)點包
含TCP節(jié)點和UDP節(jié)點,同時TCP節(jié)點下包括HTTP節(jié)點和FTP節(jié)點等等,總之 就是一種協(xié)議A內(nèi)部包含另一種協(xié)議B,則把這種協(xié)議B為協(xié)議A的分支,由此 構(gòu)成協(xié)議樹。若有數(shù)據(jù)報到來,則將根據(jù)端口或者特征字來對協(xié)議進行解析, 數(shù)據(jù)包解析結(jié)果為序列化的協(xié)議樹,它包含有協(xié)議基本信息、協(xié)議字段和層次 關(guān)系。最后將解析結(jié)果寫入共享內(nèi)存?zhèn)魉徒oIDS/IPS入侵檢測引擎,用于入侵 檢測的判斷。任何一個協(xié)議在通用協(xié)議解析系統(tǒng)提供的解析結(jié)果內(nèi)存中都是3 個連續(xù)的塊,第一塊為協(xié)議邊界/層次標識,用于重建協(xié)議樹,第二塊為協(xié)議屬性,提供與協(xié)議具體消息無關(guān)的全局描述信息,第三塊為協(xié)議字段集,提供一 系列連續(xù)排列的確定數(shù)據(jù)類型的字段,字段可以有子字段,由父字段描述父子 關(guān)系。相鄰層次間的協(xié)議在內(nèi)存中連續(xù)排列。序列化的協(xié)議樹使用的字段類型、
格式都是預(yù)定義好的,IDS/IPS入侵檢測引擎可以統(tǒng)一的方式來處理不同協(xié)議的
解析結(jié)果。
實施例七
本實施例是實現(xiàn)實施例一、二、三、四、五、六所述的方法的虛擬裝置或者 說系統(tǒng),系統(tǒng)如圖l所示,本實施例包括對數(shù)據(jù)報進行內(nèi)容和形式異常檢測, 判斷攻擊行為是否發(fā)生的入侵檢測引擎;對用戶的命令和顯示進行處理的通用 協(xié)議解析控制臺;通用協(xié)議控制模塊是系統(tǒng)的核心控制模塊,其它幾個模塊都 是通過通用協(xié)議解析平臺控制模塊模塊串聯(lián)起來的;捕報器是負責(zé)抓包的模塊,
winpcap/libpcap (網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)是工作網(wǎng)卡驅(qū)動層的模塊,用來
抓取報文,將網(wǎng)卡上的報文復(fù)制一份送給捕報器;對數(shù)據(jù)報文件的格式進行轉(zhuǎn)
換,可以將抓到的報文保存成各種不同的格式,當然也可以讀取這些格式文件
的存儲器;協(xié)議解析器負責(zé)數(shù)據(jù)報解析,首先對網(wǎng)絡(luò)層的協(xié)議識別后進行組包
還原然后脫去網(wǎng)絡(luò)層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析,這樣一直進行下 去直到應(yīng)用層。
本通用協(xié)議解析系統(tǒng),其特征在于包括入侵檢測引擎、通用協(xié)議解析控制 臺、通用協(xié)議解析控制模塊、捕報器、存儲器、協(xié)議解析器;所述的入侵檢測 引擎與通用協(xié)議解析系統(tǒng)連接;所述的通用協(xié)議解析控制臺與通用協(xié)議解析控 制模塊連接;所述的通用協(xié)議解析控制模塊與捕報器、存儲器和協(xié)議解析器連
接;所述的捕報器與工作在網(wǎng)卡驅(qū)動層的winpcap/libpcap (網(wǎng)絡(luò)數(shù)據(jù)報捕獲 開發(fā)報)連接。
權(quán)利要求
1、一種通用協(xié)議解析方法,其特征在于包含以下步驟通用協(xié)議解析系統(tǒng)的協(xié)議及字段的注冊步驟;通用協(xié)議解析系統(tǒng)的捕報步驟;通用協(xié)議解析系統(tǒng)的協(xié)議解析步驟;數(shù)據(jù)交互的建立步驟;數(shù)據(jù)處理的步驟。
2、 根據(jù)權(quán)利要求l所述的一種通用協(xié)議解析方法,其特征在于所述的 通用協(xié)議解析系統(tǒng)的協(xié)議及字段的注冊步驟,具有如下特征通用協(xié)議解析系統(tǒng)支持的各個協(xié)議解析器首先要向系統(tǒng)進行注冊,注 冊是在通用協(xié)議解析系統(tǒng)初始化的時候完成的,所有支持的協(xié)議都必須進 行注冊,然后通用協(xié)議解析系統(tǒng)在得到原始數(shù)據(jù)包后進行派發(fā)。
3、 根據(jù)權(quán)利要求l所述的一種通用協(xié)議解析方法,其特征在于所述的 通用協(xié)議解析系統(tǒng)的捕報步驟,具有如下特征通用協(xié)議解析系統(tǒng)的捕報步驟包括捕報器,負責(zé)抓取數(shù)據(jù)包的模塊; Wi叩cap/Libpcap (網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)是工作在網(wǎng)卡驅(qū)動層的模塊, 用來抓取報文,將網(wǎng)卡上的報文復(fù)制一份送給捕報模塊,并屏蔽了跟網(wǎng)絡(luò) 設(shè)備相關(guān)的細節(jié),使用Wi叩c即/Libpc即(網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)實現(xiàn)了底層的跨平臺支持。
4、 根據(jù)權(quán)利要求l所述的一種通用協(xié)議解析方法,其特征在于所述的 通用協(xié)議解析系統(tǒng)的協(xié)議解析步驟中的子步驟以層次化的數(shù)據(jù)包協(xié)議分析方法取得捕包函數(shù)捕回的數(shù)據(jù)包后進行 協(xié)議分析和協(xié)議還原工作作為協(xié)議樹建立子步驟;將最低層的無結(jié)構(gòu)數(shù)據(jù)流作為根接點,具有相同父節(jié)點的協(xié)議成為兄弟節(jié)點,系統(tǒng)采用協(xié)議的特征字來識別協(xié)議,以此作為協(xié)議解析子步驟;基于插件技術(shù)的協(xié)議分析器是在程序的設(shè)計開發(fā)過程中,把整個應(yīng)用 程序分成宿主程序和插件兩個部分,宿主程序與插件能夠相互通信,以此 作為增加協(xié)議插件的子步驟;以構(gòu)建協(xié)議樹作為協(xié)議解析的基本構(gòu)架,協(xié)議的特征字作為識別協(xié)議 的主要方式,同時把協(xié)議插件作為協(xié)議解析的基本單位,從而實現(xiàn)協(xié)議解 析步驟。
5、 根據(jù)權(quán)利要求1所述的一種通用協(xié)議解析方法,其特征在于所述 的通用協(xié)議解析系統(tǒng)中的與IDS/IPS入侵檢測引擎數(shù)據(jù)協(xié)商的建立步驟中的子步驟IDS/IPS入侵檢測引擎使用規(guī)范化全稱向通用協(xié)議解析系統(tǒng)提出協(xié) 議字段請求,以此作為系統(tǒng)提供的協(xié)議字段命名規(guī)范的建立子步驟;通用協(xié)議解析系統(tǒng)與入侵檢測引擎協(xié)商解析的協(xié)議字段名稱以及類 型,將其全程映射為雙方認可的數(shù)字id,便于數(shù)據(jù)以及命令的交互,以 此作為協(xié)議以及字段的hash子步驟;數(shù)據(jù)交互將解析結(jié)果向入侵檢測引擎報告;命令交互循環(huán)等待入侵檢 測引擎發(fā)來的指令并把執(zhí)行的結(jié)果告之入侵檢測引擎,以此作為數(shù)據(jù)以及 命令交互子步驟;以命名規(guī)范為系統(tǒng)與引擎交互的依據(jù),采用hash的方法來提高交互 的效率,以數(shù)據(jù)交互和命令交互的方式來進行通信,以此來完成與 IDS/IPS入侵檢測引擎數(shù)據(jù)協(xié)商的建立步驟。
6、 根據(jù)權(quán)利要求l所述的一種通用協(xié)議解析系統(tǒng)的方法,其特征在于 所述的通用協(xié)議解析系統(tǒng)中的數(shù)據(jù)處理的步驟,具有如下特征通用協(xié)議解析系統(tǒng)數(shù)據(jù)解析結(jié)果為序列化的協(xié)議樹,它包含有協(xié)議基本信息、協(xié)議字段和層次關(guān)系。任何協(xié)議在通用協(xié)議解析系統(tǒng)提供的解析 結(jié)果內(nèi)存中都是3個連續(xù)的塊;IDS/IPS入侵檢測引擎以統(tǒng)一的方式處理 不同協(xié)議的解析結(jié)果。
7、 一種通用協(xié)議解析系統(tǒng),其特征在于包括對數(shù)據(jù)報進行內(nèi)容和形式異常檢測,判斷攻擊行為是否發(fā)生的入侵檢測引擎;對用戶的命令和顯示進行處理的通用協(xié)議解析控制臺 ,負責(zé)串聯(lián)其他裝置的通用協(xié)議解析控制模塊;負責(zé)獲取網(wǎng)絡(luò)報文的捕報器;對數(shù)據(jù)報文件的格式進行轉(zhuǎn)換的存儲器;負責(zé)對協(xié)議進行詳細數(shù)據(jù)報解析的協(xié)議解析器; 所述的入侵檢測引擎與通用協(xié)議解析系統(tǒng)連接;所述的通用協(xié)議解析 控制臺與通用協(xié)議解析控制模塊連接;所述的通用協(xié)議解析控制模塊與捕 報器、存儲器和協(xié)議解析器連接;所述的捕報器與工作在網(wǎng)卡驅(qū)動層的winpcap/libpcap (網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā)報)連接。
8、 根據(jù)權(quán)利要求7所述的一種通用協(xié)議解析系統(tǒng),其特征在于協(xié)議解析器包括協(xié)議樹模塊、協(xié)議解析模塊和插件管理器。
9、 根據(jù)權(quán)利要求7所述的一種通用協(xié)議解析系統(tǒng),其特征在于;通用協(xié)議控制模塊是系統(tǒng)的核心控制模塊,其它幾個模塊都是通過通用協(xié)議解析平臺控制模塊模塊串聯(lián)起來的;捕報器是負責(zé)抓包的模塊,wi叩c即/libpcap (網(wǎng)絡(luò)數(shù)據(jù)報捕獲開發(fā) 報)是工作網(wǎng)卡驅(qū)動層的模塊,用來抓取報文,將網(wǎng)卡上的報文復(fù)制一份 送給捕報器;對數(shù)據(jù)報文件的格式進行轉(zhuǎn)換,可以將抓到的報文保存成各種不同的 格式,當然也可以讀取這些格式文件的存儲器;協(xié)議解析器負責(zé)數(shù)據(jù)報解析,首先對網(wǎng)絡(luò)層的協(xié)議識別后進行組包還 原然后脫去網(wǎng)絡(luò)層協(xié)議頭,將里面的數(shù)據(jù)交給傳輸層分析,這樣一直進行 下去直到應(yīng)用層。
全文摘要
一種通用協(xié)議解析方法及系統(tǒng)。包括引擎、通用協(xié)議解析控制臺、通用協(xié)議解析控制模塊、捕報器、存儲器、協(xié)議解析器,運行包含以下步驟協(xié)議及字段的注冊步驟;捕報步驟;協(xié)議解析步驟;數(shù)據(jù)交互步驟;數(shù)據(jù)處理的步驟。解決了傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品中針對協(xié)議解析僅僅依賴端口的問題,增加了智能啟發(fā)式協(xié)議解析功能,同時擁有良好設(shè)計結(jié)構(gòu),具有強大的解析能力,采用插件技術(shù)實現(xiàn)協(xié)議解析器,擁有協(xié)議解析速度快、準確率高和擴展性好等優(yōu)點。
文檔編號H04L29/06GK101426000SQ200710176509
公開日2009年5月6日 申請日期2007年10月30日 優(yōu)先權(quán)日2007年10月30日
發(fā)明者孫海波, 博 李, 焦玉峰, 磊 王, 駱擁政 申請人:北京啟明星辰信息技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1