專(zhuān)利名稱(chēng):一種用于異常檢測(cè)的協(xié)議解析方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于異常檢測(cè)的協(xié)議解析方法及系統(tǒng),是一種可用于入侵檢
測(cè)防御(IDS/IPS)產(chǎn)品中的協(xié)議解析方法及系統(tǒng),屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù):
入侵檢測(cè)/防御系統(tǒng)(Intrusion Detection/Protection System, IDS/IPS)
作為網(wǎng)絡(luò)安全防護(hù)的重要手段,通常部署在關(guān)鍵網(wǎng)絡(luò)內(nèi)部/網(wǎng)絡(luò)邊界入口處,實(shí)
時(shí)捕獲網(wǎng)絡(luò)內(nèi)或進(jìn)出網(wǎng)絡(luò)的報(bào)文數(shù)據(jù)流并進(jìn)行智能綜合分析,發(fā)現(xiàn)可能的入侵
行為并進(jìn)行實(shí)時(shí)阻斷。目前的入侵檢測(cè)方法主要分為誤用檢測(cè)技術(shù)和異常檢測(cè)
技術(shù)。異常檢測(cè)可以檢測(cè)出已知的和未知的攻擊方法和技術(shù),問(wèn)題是正常行為
標(biāo)準(zhǔn)只能采用人工智能、機(jī)器學(xué)習(xí)算法等來(lái)生成,并且需要大量的數(shù)據(jù)和時(shí)間,
不適和入侵檢測(cè)系統(tǒng)的實(shí)時(shí)性要求。而目前大多數(shù)入侵檢測(cè)系統(tǒng)使用的誤用檢
測(cè)機(jī)制無(wú)法有效的檢測(cè)和防御未知攻擊,因此綜合需求和效率的考慮需要增加
協(xié)議異常檢測(cè)的處理機(jī)制。
目前的入侵檢測(cè)產(chǎn)品及技術(shù)已經(jīng)應(yīng)用異常檢測(cè)進(jìn)行實(shí)現(xiàn),但目前具有完善
靈活的協(xié)議異常檢測(cè)功能的產(chǎn)品是非常缺乏的, 一般是單獨(dú)的解析產(chǎn)品或者異
常檢測(cè)產(chǎn)品,缺乏很好的互動(dòng)方式,并且缺乏完善系統(tǒng)的整合過(guò)程,對(duì)于一般
的數(shù)據(jù)報(bào)文匹配效率不高,由于聯(lián)動(dòng)的方式問(wèn)題使得解析出的數(shù)據(jù)不能很準(zhǔn)確 的與異常檢測(cè)匹配規(guī)則很快的關(guān)聯(lián)起來(lái)。因此,有必要發(fā)展用于異常檢測(cè)的協(xié)
議解析的方法,提高檢測(cè)的效率。 發(fā)明內(nèi)容本發(fā)明提出一種用于異常檢測(cè)的協(xié)議解析的方法及系統(tǒng),所述的用于異常檢 測(cè)的協(xié)議解析技術(shù)可以滿(mǎn)足強(qiáng)大的協(xié)議解析能力;具有良好的可擴(kuò)展性,可 以不斷根據(jù)新增的攻擊模式來(lái)添加新的檢測(cè)規(guī)則;具有良好的規(guī)則整合能力, 從而提高異常檢測(cè)效率;具有良好的設(shè)計(jì)結(jié)構(gòu),保證異常檢測(cè)器和整合器具有 良好的數(shù)據(jù)解析交互能力。
本發(fā)明的目的是這樣實(shí)現(xiàn)的,
一種用于異常檢測(cè)的協(xié)議解析系統(tǒng),包括異常關(guān)鍵字段注冊(cè)器、異常關(guān)鍵字 段庫(kù)、整合器、協(xié)議解析器、異常檢測(cè)器,有
對(duì)異常檢測(cè)字段進(jìn)行提取的異常關(guān)鍵字段注冊(cè)器; 存儲(chǔ)異常關(guān)鍵字段以及規(guī)則號(hào)的異常關(guān)鍵字段庫(kù);
提取出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立異常列表,同時(shí)當(dāng)獲得數(shù)據(jù)報(bào)的異 常字段數(shù)值后,判斷檢測(cè)規(guī)則需要的數(shù)據(jù)是否完備的整合器;
負(fù)責(zé)數(shù)據(jù)包解析,發(fā)現(xiàn)已經(jīng)注冊(cè)的關(guān)鍵字段則將相關(guān)數(shù)據(jù)返回給整合器的協(xié) 議解析器;
負(fù)責(zé)對(duì)收到的數(shù)據(jù)進(jìn)行相關(guān)處理,實(shí)現(xiàn)數(shù)據(jù)報(bào)的異常檢測(cè)的異常檢測(cè)器; 所述的異常關(guān)鍵字段注冊(cè)器與異常關(guān)鍵字段庫(kù)相連;所述的異常關(guān)鍵字段庫(kù)
與協(xié)議解析器相連,所述的協(xié)議解析器與整合器相連;所述的整合器與異常檢
測(cè)器相連,進(jìn)行數(shù)據(jù)以及命令的交互。
一種用于異常檢測(cè)的協(xié)議解析的方法,包括以下步驟
異常關(guān)鍵字段的注冊(cè)步驟;
整合的步驟;
協(xié)議解析的步驟;
異常檢測(cè)的步驟。
本發(fā)明的產(chǎn)生的有益效果是解決了缺乏整合過(guò)程導(dǎo)致的規(guī)則匹配的性能問(wèn)題,同時(shí)產(chǎn)品中針對(duì)異常檢測(cè)設(shè)計(jì)了協(xié)議解析系統(tǒng),在異常檢測(cè)器和整合器間 數(shù)據(jù)和命令通信的過(guò)程中體現(xiàn)了良好的交互方式,兩者間設(shè)計(jì)了簡(jiǎn)單通用的交 互接口;同時(shí)具有協(xié)議異常檢測(cè)速度快和準(zhǔn)確率高等優(yōu)點(diǎn),可廣泛應(yīng)用于 IDS/IPS網(wǎng)絡(luò)安全產(chǎn)品中。
圖1是用于異常檢測(cè)的協(xié)議解析系統(tǒng)的系統(tǒng)架構(gòu)圖2是系統(tǒng)數(shù)據(jù)協(xié)商的流程圖3是系統(tǒng)控制命令交互的流程圖4是共享內(nèi)存的結(jié)構(gòu)。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明。 實(shí)施例一
本實(shí)施例為一種用于異常檢測(cè)的協(xié)議解析方法的基本模式,所使用的系統(tǒng)如 圖1所示。包括異常關(guān)鍵字段注冊(cè)器、異常關(guān)鍵字段庫(kù)、整合器、協(xié)議解析器、 異常檢測(cè)器,運(yùn)行包括以下步驟
① 異常關(guān)鍵字段的注冊(cè)步驟異常關(guān)鍵字段的注冊(cè)包括檢測(cè)規(guī)則的輸入、
關(guān)鍵字段以及規(guī)則號(hào)的提取。對(duì)于一種特定的攻擊模式,用協(xié)議字段以及攻擊 模式來(lái)進(jìn)行描述,以此來(lái)確定檢測(cè)規(guī)則。然后提取出協(xié)議異常關(guān)鍵字段以及規(guī) 則號(hào),并將其存儲(chǔ)到異常關(guān)鍵字段庫(kù)中。
② 整合的步驟整合的步驟包括整合的預(yù)處理和整合的具體處理。從異常 關(guān)鍵字段庫(kù)中,提取出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立異常列表,并以此作 為整合具體處理的依據(jù)。當(dāng)獲得數(shù)據(jù)報(bào)的異常字段數(shù)值后,整合器判斷檢測(cè)規(guī) 則需要的數(shù)據(jù)是否完備,進(jìn)而提供給異常檢測(cè)器。③ 協(xié)議解析的步驟協(xié)議的解析包括對(duì)異常關(guān)鍵字段注冊(cè)步驟中形成的檢 測(cè)關(guān)鍵字段庫(kù)中的字段進(jìn)行hash,便于數(shù)據(jù)以及命令的交互。同時(shí)協(xié)議解析器
解析數(shù)據(jù)包過(guò)程當(dāng)中如果發(fā)現(xiàn)已經(jīng)注冊(cè)的關(guān)鍵字段則將相關(guān)數(shù)據(jù)返回給整合 器,用于判斷該關(guān)鍵字段所在的規(guī)則是否可以進(jìn)行異常檢測(cè)。
④ 異常檢測(cè)的步驟在異常檢測(cè)模塊和協(xié)議解析模塊間數(shù)據(jù)和命令通信的 過(guò)程中,異常檢測(cè)過(guò)程收到數(shù)據(jù)以及命令的交互數(shù)據(jù)之后,協(xié)議異常檢測(cè)器對(duì) 收到的數(shù)據(jù)進(jìn)行異常檢測(cè)的處理。
實(shí)施例二
本實(shí)施例為實(shí)施例一中的異常關(guān)鍵字段注冊(cè)步驟的優(yōu)選方案
① 對(duì)于某些攻擊針對(duì)的協(xié)議字段,尋找攻擊的統(tǒng)一模式,將該受攻擊協(xié)議字 段和攻擊模式聯(lián)合作為規(guī)則的輸入,以此作為初始檢測(cè)規(guī)則的子步驟;
② 提取檢測(cè)規(guī)則中的協(xié)議關(guān)鍵字段和規(guī)則ID號(hào),并將其存儲(chǔ)到異常關(guān)鍵字段 庫(kù)中,以此作為異常關(guān)鍵字段入庫(kù)的子步驟。
本實(shí)施例的基本思路是首先根據(jù)存在的攻擊模式,用協(xié)議字段以及攻擊模 式來(lái)進(jìn)行描述,以此來(lái)確定檢測(cè)規(guī)則。然后提取出協(xié)議異常關(guān)鍵字段和規(guī)則號(hào)。
例如數(shù)據(jù)包中不同的協(xié)議可能都包含的length字段,若數(shù)據(jù)包的報(bào)頭的實(shí)際長(zhǎng)
度與之不符,則產(chǎn)生報(bào)警。這個(gè)原因主要是由于大多數(shù)操作系統(tǒng)和應(yīng)用軟件都
是在假定RFC被嚴(yán)格遵守的情況下編寫(xiě)的,沒(méi)有添加針對(duì)異常數(shù)據(jù)的錯(cuò)誤處理 程序,所以許多包含報(bào)頭值的漏洞利用都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義以實(shí)現(xiàn)某 種方式的攻擊。根據(jù)這種攻擊模式描述的檢測(cè)規(guī)則為〃ip. len, ip. reallength〃 + {=, ip. len=ip. reallength},規(guī)則會(huì)被分配一個(gè)規(guī)則號(hào)ID來(lái)唯一標(biāo)識(shí)。接下 來(lái)對(duì)其進(jìn)行語(yǔ)法分析,提取出異常關(guān)鍵字段ip. length和ip. reallength后,注冊(cè)到異常關(guān)鍵字段庫(kù)中。 實(shí)施例三
本實(shí)施例為實(shí)施例一中的整合步驟的優(yōu)選方案-
① 從異常關(guān)鍵字段庫(kù)中,分析整合出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立異常 列表,以此作為整合的預(yù)處理子步驟;
② 當(dāng)協(xié)議解析器返回異常關(guān)鍵字段的具體數(shù)值時(shí),調(diào)用整合預(yù)處理中的異常 列表,分析該條規(guī)則中所需要的異常關(guān)鍵字段是否完整,以此作為整合具體處 理的子步驟。
本實(shí)施例的基本思路是首先根據(jù)異常關(guān)鍵字段庫(kù)來(lái)建立異常列表,并且判 斷每條異常檢測(cè)規(guī)則中所需要的異常檢測(cè)字段是否完整,是否可以進(jìn)行異常檢
測(cè)判斷了 。 例如對(duì)于規(guī)則 1 : 〃ip. len , ip.reallength〃 + {=, ip. len=ip. reallength}和規(guī)則2: 〃ip. len 〃 + {〈, ip. len〈65535},進(jìn)行整 合后,則有異常列表規(guī)則1: ip. len, ip.reallength;規(guī)則2: ip. len。然 后當(dāng)協(xié)議解析器返回異常關(guān)鍵字段的具體數(shù)值時(shí),則調(diào)用異常列表,分析該條 規(guī)則中所需要的異常關(guān)鍵字段是否完整。例如當(dāng)協(xié)議分析器返回ip. len的數(shù)值 時(shí),則調(diào)用異常列表發(fā)現(xiàn)規(guī)則2可以進(jìn)行異常檢測(cè)了 。若繼續(xù)返回ip. real 1 ength 的數(shù)值時(shí),則調(diào)用異常列表可判定規(guī)則1可以進(jìn)行異常檢測(cè)了。 實(shí)施例四
本實(shí)施例為實(shí)施例一中的協(xié)議解析步驟的優(yōu)選方案
① 檢測(cè)關(guān)鍵字段庫(kù)向協(xié)議解析器進(jìn)行關(guān)鍵字注冊(cè);
② 協(xié)議解析器解析數(shù)據(jù)包過(guò)程當(dāng)中如果發(fā)現(xiàn)已經(jīng)注冊(cè)的關(guān)鍵字段則將相關(guān)數(shù) 據(jù)返回給協(xié)議異常檢測(cè)器。本實(shí)施例的基本思路是首先由檢測(cè)關(guān)鍵字段庫(kù)中的異常檢測(cè)關(guān)鍵字段向協(xié) 議解析器進(jìn)行注冊(cè),協(xié)議解析器對(duì)注冊(cè)的每一個(gè)關(guān)鍵字段都返回一個(gè)ID號(hào),用 于唯一標(biāo)識(shí)該關(guān)鍵字段,同時(shí)用于以后的數(shù)據(jù)交互。然后協(xié)議解析器開(kāi)始對(duì)捕 獲的數(shù)據(jù)報(bào)進(jìn)行解析,在解析的過(guò)程中如果出現(xiàn)已經(jīng)注冊(cè)的關(guān)鍵字段,則將數(shù) 據(jù)返回給整合器。關(guān)于整合器和異常檢測(cè)器的數(shù)據(jù)以及命令的交互過(guò)程設(shè)計(jì)如 下兩者間采用共享內(nèi)存的方式進(jìn)行通信,共使用兩塊共享內(nèi)存進(jìn)行通信,此 共享內(nèi)存是命名的, 一塊用于數(shù)據(jù)協(xié)商/交換,另一塊用于控制命令傳遞。每塊 共享內(nèi)存使用一個(gè)命名的信號(hào)量,通過(guò)檢測(cè)其狀態(tài)來(lái)進(jìn)行交互。其中共享內(nèi)存 的結(jié)構(gòu)如圖4所示共享內(nèi)存中都是3個(gè)連續(xù)的塊,第一塊為協(xié)議邊界/層次標(biāo) 識(shí),用于識(shí)別協(xié)議;第二塊為異常檢測(cè)規(guī)則號(hào);第三塊為協(xié)議字段集,提供一 系列連續(xù)排列的確定數(shù)據(jù)類(lèi)型的字段數(shù)值。用于異常檢測(cè)的協(xié)議解析系統(tǒng)數(shù)據(jù) 協(xié)商的流程圖如圖2所示在圖中,在步驟1-4組成了數(shù)據(jù)協(xié)商階段、此階段 進(jìn)行初始化工作,步驟5-6為正常工作循環(huán),進(jìn)行數(shù)據(jù)交換。系統(tǒng)控制命令交 互的流程圖如圖3所示控制命令包括以下種類(lèi)-
1. 設(shè)置/取消過(guò)濾條件;
2. 停止/重新啟動(dòng)整合器;
3. 運(yùn)行狀態(tài)査詢(xún)。 本實(shí)施例中采用的算法:對(duì)于任何協(xié)議和字段的注冊(cè),都要采用hash算法對(duì)
協(xié)議及其字段建立hash表,從而提高IDS/IPS協(xié)議匹配的效率。在進(jìn)行注冊(cè)時(shí), 由IDS/IPS與協(xié)議解析器協(xié)商好各個(gè)協(xié)議及其字段的hash值(即為ID),從而 當(dāng)收到新的數(shù)據(jù)包時(shí),直接把各字段的ID對(duì)應(yīng)的值提交給IDS/IPS來(lái)進(jìn)行下一 步的匹配處理,從而極大地提高了效率。實(shí)施例五
本實(shí)施例為實(shí)施例一 中的異常檢測(cè)步驟的優(yōu)選方案。
本實(shí)施例的基本思路是首先在通過(guò)共享內(nèi)存方式收到數(shù)據(jù)后,檢測(cè)到該關(guān) 鍵字段的規(guī)則號(hào),然后找到對(duì)應(yīng)該檢測(cè)規(guī)則的異常檢測(cè)處理函數(shù),從而對(duì)該規(guī) 則進(jìn)行異常檢測(cè)的判斷。 實(shí)施例六-
本實(shí)施例是實(shí)現(xiàn)實(shí)施例一、二、三、四、五所述的方法的虛擬裝置或者說(shuō)系 統(tǒng),系統(tǒng)如圖l所示,本實(shí)施例包括檢測(cè)規(guī)則的輸入、關(guān)鍵字段以及規(guī)則號(hào)的 提??;對(duì)于一種特定的攻擊模式,用協(xié)議字段以及攻擊模式來(lái)進(jìn)行描述,以此 來(lái)確定檢測(cè)規(guī)則;.然后提取出協(xié)議異常關(guān)鍵字段以及規(guī)則號(hào),并將其存儲(chǔ)到異 常關(guān)鍵字段庫(kù)中的異常關(guān)鍵字段注冊(cè)器;
存儲(chǔ)異常關(guān)鍵字段以及規(guī)則號(hào)的異常關(guān)鍵字段庫(kù);
從異常關(guān)鍵字段庫(kù)中,提取出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立異常列表, 并以此作為整合具體處理的依據(jù);當(dāng)獲得數(shù)據(jù)報(bào)的異常字段數(shù)值后,判斷檢測(cè) 規(guī)則需要的數(shù)據(jù)是否完備,進(jìn)而提供給異常檢測(cè)器的整合器;
對(duì)異常關(guān)鍵字段注冊(cè)步驟中形成的檢測(cè)關(guān)鍵字段庫(kù)中的字段進(jìn)行hash,便于
數(shù)據(jù)以及命令的交互;同時(shí)解析數(shù)據(jù)包過(guò)程當(dāng)中如果發(fā)現(xiàn)已經(jīng)注冊(cè)的關(guān)鍵字段 則將相關(guān)數(shù)據(jù)返回給整合器,用于判斷該關(guān)鍵字段所在的規(guī)則是否可以進(jìn)行異 常檢測(cè)的協(xié)議解析器;
在異常檢測(cè)模塊和協(xié)議解析模塊間數(shù)據(jù)和命令通信的過(guò)程中,異常檢測(cè)過(guò)程 收到數(shù)據(jù)以及命令的交互數(shù)據(jù)之后,對(duì)收到的數(shù)據(jù)進(jìn)行異常檢測(cè)的處理的異常 檢測(cè)器。
用于異常檢測(cè)的協(xié)議解析系統(tǒng)包括"實(shí)現(xiàn)需要進(jìn)行異常關(guān)鍵字段注冊(cè)的異常關(guān)鍵字段注冊(cè)器、存儲(chǔ)異常關(guān)鍵字段和規(guī)則號(hào)的異常關(guān)鍵字段庫(kù)、通過(guò)交互獲 得由異常關(guān)鍵字段注冊(cè)器提供的關(guān)鍵字段相關(guān)的檢測(cè)數(shù)據(jù)的協(xié)議解析器、分析 整合出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立映射列表的整合器,對(duì)所有獲得的數(shù)
據(jù)進(jìn)行相關(guān)的異常檢測(cè)并返回結(jié)果的異常檢測(cè)器;所述的異常關(guān)鍵字段注冊(cè)器 與異常關(guān)鍵字段庫(kù)相連;所述的異常關(guān)鍵字段庫(kù)與協(xié)議解析器相連,所述的協(xié) 議解析器與整合器相連;所述的整合器與異常檢測(cè)器相連,進(jìn)行數(shù)據(jù)以及命令 的交互。
權(quán)利要求
1. 一種用于異常檢測(cè)的協(xié)議解析方法,其特征在于包含以下步驟異常關(guān)鍵字段的注冊(cè)步驟;整合的步驟;協(xié)議解析的步驟;異常檢測(cè)的步驟。
2. 根據(jù)權(quán)利要求1所述的一種用于異常檢測(cè)的協(xié)議解析方法,其特征在于 所述的異常關(guān)鍵字段的注冊(cè)步驟中的子步驟-對(duì)于某些攻擊針對(duì)的協(xié)議字段,尋找攻擊的統(tǒng)一模式,將該受攻擊協(xié)議字 段和攻擊模式聯(lián)合作為規(guī)則的輸入,以此作為初始檢測(cè)規(guī)則的子步驟;提取檢測(cè)規(guī)則中的協(xié)議關(guān)鍵字段和規(guī)則ID號(hào),并將其存儲(chǔ)到異常關(guān)鍵字段 庫(kù)中,以此作為異常關(guān)鍵字段入庫(kù)的子步驟。
3. 根據(jù)權(quán)利要求1所述的一種用于異常檢測(cè)的協(xié)議解析方法,其特征在于 所述的整合步驟中的子步驟從異常關(guān)鍵字段庫(kù)中,分析整合出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立異常列 表,以此作為整合的預(yù)處理子步驟;當(dāng)協(xié)議解析器返回異常關(guān)鍵字段的具體數(shù)值時(shí),調(diào)用整合預(yù)處理中的異常列 表,分析該條規(guī)則中所需要的異常關(guān)鍵字段是否完整,以此作為整合具體處理 的子步驟。
4. 根據(jù)權(quán)利要求l所述的一種用于異常檢測(cè)的協(xié)議解析方法,其特征在于 所述的協(xié)議解析的步驟中的子步驟檢測(cè)關(guān)鍵字段庫(kù)向協(xié)議解析器進(jìn)行關(guān)鍵字注冊(cè)的子步驟;協(xié)議解析器解析數(shù)據(jù)包過(guò)程當(dāng)中如果發(fā)現(xiàn)己經(jīng)注冊(cè)的關(guān)鍵字段則將相關(guān)數(shù) 據(jù)返回給整合器的子步驟。
5.根據(jù)權(quán)利要求l所述的一種用于異常檢測(cè)的協(xié)議解析的方法,其特征在于所述的協(xié)議解析系統(tǒng)中的異常檢測(cè)步驟具有如下特征收到相關(guān)數(shù)據(jù)以及規(guī)則ID號(hào)之后,異常檢測(cè)器此時(shí)對(duì)收到的數(shù)據(jù)進(jìn)行相關(guān) 檢測(cè)并返回檢測(cè)結(jié)果。
6. —種用于異常檢測(cè)的協(xié)議解析系統(tǒng),其特征在于包括 對(duì)異常檢測(cè)字段進(jìn)行提取的異常關(guān)鍵字段注冊(cè)器; 存儲(chǔ)異常關(guān)鍵字段以及規(guī)則號(hào)的異常關(guān)鍵字段庫(kù);提取出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立異常列表,同時(shí)當(dāng)獲得數(shù)據(jù)報(bào)的異常字段數(shù)值后,判斷檢測(cè)規(guī)則需要的數(shù)據(jù)是否完備的整合器;負(fù)責(zé)數(shù)據(jù)包解析,發(fā)現(xiàn)已經(jīng)注冊(cè)的關(guān)鍵字段則將相關(guān)數(shù)據(jù)返回給整合器的協(xié) 議解析器;負(fù)責(zé)對(duì)收到的數(shù)據(jù)進(jìn)行相關(guān)處理,實(shí)現(xiàn)數(shù)據(jù)報(bào)的異常檢測(cè)的異常檢測(cè)器; 所述的異常關(guān)鍵字段注冊(cè)器與異常關(guān)鍵字段庫(kù)相連;所述的異常關(guān)鍵字段庫(kù)與協(xié)議解析器相連,所述的協(xié)議解析器與整合器相連;所述的整合器與異常檢測(cè)器相連,進(jìn)行數(shù)據(jù)以及命令的交互。
7. 根據(jù)權(quán)利要求6所述的一種用于異常檢測(cè)的協(xié)議解析系統(tǒng),其特征在于包 括檢測(cè)規(guī)則的輸入、關(guān)鍵字段以及規(guī)則號(hào)的提?。粚?duì)于一種特定的攻擊模式, 用協(xié)議字段以及攻擊模式來(lái)進(jìn)行描述,以此來(lái)確定檢測(cè)規(guī)則;然后提取出協(xié)議 異常關(guān)鍵字段以及規(guī)則號(hào),并將其存儲(chǔ)到異常關(guān)鍵字段庫(kù)中的異常關(guān)鍵字段注 冊(cè)器;存儲(chǔ)異常關(guān)鍵字段以及規(guī)則號(hào)的異常關(guān)鍵字段庫(kù), 從異常關(guān)鍵字段庫(kù)中,提取出每條規(guī)則所對(duì)應(yīng)的關(guān)鍵字段,建立異常列表,并以此作為整合具體處理的依據(jù);當(dāng)獲得數(shù)據(jù)報(bào)的異常字段數(shù)值后,判斷檢測(cè) 規(guī)則需要的數(shù)據(jù)是否完備,進(jìn)而提供給異常檢測(cè)器的整合器;對(duì)異常關(guān)鍵字段注冊(cè)步驟中形成的檢測(cè)關(guān)鍵字段庫(kù)中的字段進(jìn)行hash,便于 數(shù)據(jù)以及命令的交互;同時(shí)解析數(shù)據(jù)包過(guò)程當(dāng)中如果發(fā)現(xiàn)已經(jīng)注冊(cè)的關(guān)鍵字段 則將相關(guān)數(shù)據(jù)返回給整合器,用于判斷該關(guān)鍵字段所在的規(guī)則是否可以進(jìn)行異 常檢測(cè)的協(xié)議解析器;在異常檢測(cè)模塊和協(xié)議解析模塊間數(shù)據(jù)和命令通信的過(guò)程中,異常檢測(cè)過(guò)程 收到數(shù)據(jù)以及命令的交互數(shù)據(jù)之后,對(duì)收到的數(shù)據(jù)進(jìn)行異常檢測(cè)的處理的異常 檢測(cè)器。
全文摘要
本發(fā)明涉及一種用于異常檢測(cè)的協(xié)議解析方法及系統(tǒng),包括異常關(guān)鍵字段注冊(cè)器、異常關(guān)鍵字段庫(kù)、整合器、協(xié)議解析器、異常檢測(cè)器,運(yùn)行包括以下步驟異常關(guān)鍵字段的注冊(cè)步驟、整合步驟、協(xié)議解析步驟、異常檢測(cè)步驟。本發(fā)明采用了用于異常檢測(cè)的協(xié)議解析機(jī)制,并在異常檢測(cè)模塊和協(xié)議解析模塊間設(shè)計(jì)良好的通信方式,使系統(tǒng)具有異常檢測(cè)速度快和準(zhǔn)確率高等優(yōu)點(diǎn)。
文檔編號(hào)H04L12/26GK101442518SQ20071017790
公開(kāi)日2009年5月27日 申請(qǐng)日期2007年11月22日 優(yōu)先權(quán)日2007年11月22日
發(fā)明者孫海波, 磊 王, 駱擁政 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司