專利名稱:網(wǎng)絡(luò)疑似威脅信息篩選器及篩選處理方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是與入侵檢測系統(tǒng)(IDS: Intrusion Detection System)配套、對網(wǎng)絡(luò)中所存在的疑似威脅信息進(jìn)行篩選的篩選器及篩選處理方法,本發(fā) 明篩選器及其篩選處理方法,可對擬進(jìn)入檢測系統(tǒng)的信息流首先進(jìn)行篩選,將正常信息流 篩選出、而僅將含有疑似威脅信息的數(shù)據(jù)包傳送給入侵檢測系統(tǒng)(IDS)進(jìn)一步處理。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全越來越受到人們的重視。入侵檢測系統(tǒng)(IDS)這種新 的網(wǎng)絡(luò)安全技術(shù),被認(rèn)為是防火墻之后的第二道安全門。IDS通過從計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵 點(diǎn)收集信息,并對這些信息進(jìn)行檢測(如協(xié)議解析、特征檢測、異常檢測等),從而發(fā) 現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否存在危害網(wǎng)絡(luò)或系統(tǒng)安全的行為、病毒等,以便進(jìn)行針對性處理、 確保網(wǎng)絡(luò)安全運(yùn)行。常規(guī)IDS工作流程為
1. 從網(wǎng)絡(luò)的不同關(guān)鍵點(diǎn)收集信息;
2. 將該信息與行為特征庫進(jìn)行比對,分析信息是否含有惡意攻擊行為;
3. 對檢測到的行為做出響應(yīng);
4. 記錄并報(bào)告檢測結(jié)果。
目前,隨著網(wǎng)絡(luò)容量的急速提升,千兆級入侵檢測系統(tǒng)(IDS)已經(jīng)成為其主流。在 眾多千兆級IDS系統(tǒng)的技術(shù)方案中,比較流行的是基于高性能CPU、網(wǎng)絡(luò)處理器(Network Processor, NP)以及與硬件加速器協(xié)同處理的架構(gòu)等。其中,高性能CPU主要完成整個(gè) 系統(tǒng)的控制,網(wǎng)絡(luò)處理器(NP)用于網(wǎng)絡(luò)協(xié)議處理、防火墻、QoS等,而硬件加速器一 般采用ASIC (專用集成電路)或者FPGA (現(xiàn)場可編程門陣列)器件。上述基于硬件設(shè) 備的IDS系統(tǒng),雖然能較好地執(zhí)行復(fù)雜度較高的程序(處理方法),但是這些高性能的千 兆級IDS裝置往往結(jié)構(gòu)復(fù)雜、價(jià)格昂貴,難以在廣大的中小用戶中得到推廣和普及。此外, 針對上述基于硬件的IDS系統(tǒng)存在的缺陷,目前,在個(gè)人電腦等平臺上也有采用純軟件來 實(shí)現(xiàn)入侵檢測的方法,如開源的SNORT IDS等;這些軟件IDS系統(tǒng)雖然具有運(yùn)行費(fèi)用 低、且有很強(qiáng)的入侵檢測能力,但由于此類IDS系統(tǒng)中軟件抓包器的速率一般為每秒數(shù)十 兆比特,因而,若將其應(yīng)用在千兆級網(wǎng)絡(luò)中則存在 一是運(yùn)行中會直接漏檢很多數(shù)據(jù)包, 二是軟件方式實(shí)現(xiàn)的模式匹配、使協(xié)議分析等處理速度極慢,最終導(dǎo)致整個(gè)系統(tǒng)性能低下 等致命的缺陷。
發(fā)明內(nèi)容
本發(fā)明的目的是針對背景技術(shù)存在的缺陷,研究設(shè)計(jì)一種可與入侵檢測系統(tǒng)(IDS) 配套使用的網(wǎng)絡(luò)疑似威脅信息篩選器及篩選處理方法,以達(dá)到有效降低入侵檢測系統(tǒng)的負(fù) 擔(dān)、提高其檢測效率及檢測系統(tǒng)的資源利用率,擴(kuò)大對網(wǎng)絡(luò)系統(tǒng)檢測的覆蓋面和檢測范圍, 降低運(yùn)行費(fèi)用,確保網(wǎng)絡(luò)安全運(yùn)行等目的。
本發(fā)明的解決方案是通過對FPGA (現(xiàn)場可編程門陣列)內(nèi)部邏輯資源的調(diào)配(置), 制得由各功能模塊架構(gòu)組成的篩選器并采用相應(yīng)的篩選方法(流程)、對網(wǎng)絡(luò)內(nèi)各交換設(shè) 備輸出的擬進(jìn)入檢測系統(tǒng)的信息流首先進(jìn)行篩選,將大量的正常信息數(shù)據(jù)包篩選出、僅將 含有疑似威脅信息的數(shù)據(jù)包傳送給入侵檢測系統(tǒng)(IDS)進(jìn)一步進(jìn)行針對性處理。篩選器 采用數(shù)據(jù)聚合功能模塊,包頭及凈荷分離功能模塊,輸出處理功能模塊,預(yù)處理功能模塊, 以及網(wǎng)絡(luò)層、傳輸層和應(yīng)用層三級疑似威脅數(shù)據(jù)包篩選功能模塊架構(gòu)裝置及所帶或自設(shè)軟 硬件接口組成;其篩選方法在網(wǎng)絡(luò)層、傳輸層及應(yīng)用層功能模塊通過對數(shù)據(jù)包的協(xié)議特征、 內(nèi)容逐一識別篩選,然后將篩選出的含有疑似威脅信息的數(shù)據(jù)包傳送給入侵檢測系統(tǒng),從 而實(shí)現(xiàn)其目的。因而,本發(fā)明篩選器包括帶軟硬件接口的現(xiàn)場可編程門陣列(FPGA)器 件,關(guān)鍵在于在現(xiàn)場可編程門陣列器件內(nèi)設(shè)有接收網(wǎng)絡(luò)交換設(shè)備輸出信息的數(shù)據(jù)聚合模 塊,包頭及凈荷分離模塊,網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊,傳輸層疑似威脅數(shù)據(jù)包篩選 模塊,輸出處理模塊,含IP重組單元(模塊)、TCP (傳輸控制協(xié)議)會話重組單元(模 塊)、應(yīng)用層協(xié)議規(guī)范化單元(模塊)的預(yù)處理模塊,以及含規(guī)則頭匹配單元、內(nèi)容匹配 單元、疑似威脅數(shù)據(jù)包輸出單元的應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊;上述各(功能)模塊 中數(shù)據(jù)聚合模塊與包頭及凈荷分離模塊,輸出處理模塊與預(yù)處理模塊、預(yù)處理模塊與應(yīng)
用層疑似威脅數(shù)據(jù)包篩選模塊之間通過對應(yīng)的輸出、輸入端依次連接,網(wǎng)絡(luò)層疑似威脅數(shù) 據(jù)包篩選模塊與傳輸層疑似威脅數(shù)據(jù)包篩選模塊則并聯(lián)于包頭及凈荷分離模塊與輸出處
理模塊之間;輸出處理模塊、預(yù)處理模塊通過TCP會話重組單元、應(yīng)用層疑似威脅數(shù)據(jù) 包篩選模塊通過疑似威脅數(shù)據(jù)包輸出單元分別與軟硬件接口連接。
上述網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊包括IP疑似威脅信息篩選單元、ICMP疑似威脅 信息篩選單元、輸出單元。所述傳輸層疑似威脅數(shù)據(jù)包篩選模塊包括TCP疑似威脅信息 篩選單元及輸出單元。
本發(fā)明網(wǎng)絡(luò)疑似威脅信息篩選處理方法包括
步驟l.聚合處理將網(wǎng)絡(luò)中各交換設(shè)備輸入數(shù)據(jù)聚合模塊(1)的數(shù)據(jù)(信息)進(jìn)行 聚合處理;
步驟2.分離處理將經(jīng)步驟1聚合處理后輸入包頭及凈荷分離模塊(2)的數(shù)據(jù)進(jìn)行 IP包頭、IP凈荷及傳輸協(xié)議包頭分離處理,并將IP包頭和IP凈荷與傳輸協(xié)議包頭分別輸入網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊(3)及傳輸層疑似威脅數(shù)據(jù)包篩選模塊(4)、以便在 網(wǎng)絡(luò)層與傳輸層并行完成非規(guī)則攻擊篩選;
步驟3.網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選將經(jīng)步驟2分離處理后進(jìn)入網(wǎng)絡(luò)層疑似威脅數(shù) 據(jù)包篩選模塊(3)的IP包頭及IP凈荷,按照網(wǎng)絡(luò)層協(xié)議的規(guī)定對含疑似威脅信息的數(shù) 據(jù)包進(jìn)行篩選,并將篩選結(jié)果連同IP包頭、IP凈荷輸入到輸出處理模塊(5);
步驟4.傳輸層疑似威脅數(shù)據(jù)包篩選而經(jīng)步驟2分離處理后進(jìn)入傳輸層疑似威脅數(shù)
據(jù)包篩選模塊(4)的傳輸協(xié)議包頭,則按傳輸層協(xié)議的規(guī)定對含非規(guī)則攻擊的疑似威脅
信息的包頭進(jìn)行篩選,并將篩選結(jié)果連同傳輸層協(xié)議包頭亦輸入到輸出處理模塊(5);
步驟5.輸出處理經(jīng)步驟3、步驟4篩選后輸入的篩選結(jié)果及其包頭、凈荷,若其
中只要有一結(jié)果的結(jié)論為含疑似威脅信息,則將該數(shù)據(jù)包作為含非規(guī)則疑似威脅信息的數(shù)
據(jù)包,經(jīng)軟硬件接口 (8)送入侵檢測系統(tǒng)(A);若所有結(jié)論均為正常(不含疑似威脅信 息),則將該數(shù)據(jù)包作為正常數(shù)據(jù)包輸入預(yù)處理模塊(6);
步驟6.數(shù)據(jù)包預(yù)處理將由步驟5輸入的正常數(shù)據(jù)包通過IP重組單元(6.1)重組 IP分片數(shù)據(jù)、通過TCP會話重組單元(6.2)經(jīng)軟硬件接口 (8)從入侵檢測系統(tǒng)索取TCP 連接信息表后進(jìn)行TCP會話重組,再經(jīng)應(yīng)用層數(shù)據(jù)規(guī)范化單元(6.3)對數(shù)據(jù)進(jìn)行規(guī)范化 處理,然后將處理后的IP包頭和傳輸協(xié)議包頭與應(yīng)用層數(shù)據(jù)分別輸入應(yīng)用層疑似威脅數(shù) 據(jù)包篩選模塊中的規(guī)則頭匹配單元以及內(nèi)容匹配單元;
步驟7.應(yīng)用層疑似威脅數(shù)據(jù)包篩選將由歩驟6輸入的IP包頭和傳輸協(xié)議包頭經(jīng) 規(guī)則頭匹配單元(7.1)進(jìn)行規(guī)則頭匹配處理,而輸入的應(yīng)用層數(shù)據(jù)經(jīng)內(nèi)容匹配單元(7.2) 對常字符串及正則表達(dá)式進(jìn)行匹配處理;然后將匹配處理后含疑似威脅信息的數(shù)據(jù)包由疑 似威脅數(shù)據(jù)包輸出單元(7.3)經(jīng)軟硬件接口 (8)送入侵檢測系統(tǒng);否則,作丟棄處理。
上述,在步驟3中所述按照網(wǎng)絡(luò)層協(xié)議的規(guī)定對含疑似威脅信息的數(shù)據(jù)包進(jìn)行篩選, 其網(wǎng)絡(luò)層協(xié)議包括ICMP (控制報(bào)文協(xié)議)及IP協(xié)議。而在步驟4中所述按傳輸層協(xié)議的 規(guī)定對含非規(guī)則攻擊的疑似威脅信息的包頭進(jìn)行篩選,其傳輸層協(xié)議包括TCP (傳輸控制 協(xié)議)。在步驟6中所述對應(yīng)用層數(shù)據(jù)進(jìn)行規(guī)范化處理,包括完成HTTP (超文本傳輸協(xié) 議)協(xié)議的URL (統(tǒng)一資源定位符)規(guī)范化表達(dá)及統(tǒng)一編碼方式,刪除Telnet (TerminaL NETwork)協(xié)議中的協(xié)商數(shù)據(jù)。
本發(fā)明由于采用FPGA (現(xiàn)場可編程門陣列)器件,通過對其內(nèi)部邏輯資源的配置, 制得由各功能模塊架構(gòu)等組成的篩選器,并采用本發(fā)明篩選方法,對各網(wǎng)絡(luò)交換設(shè)備輸出 的擬進(jìn)入檢測系統(tǒng)的信息首先進(jìn)行篩選,將大量不含疑似威脅信息的正常信息數(shù)據(jù)包篩選 出、僅將含有疑似威脅信息的數(shù)據(jù)包傳送給入侵檢測系統(tǒng)(IDS)進(jìn)一步進(jìn)行針對性處理, 從而大幅度減少了進(jìn)入檢測系統(tǒng)的待檢測信息的流量,有效降低了入侵檢測系統(tǒng)的負(fù)擔(dān);在篩選處理過程中TCP會話重組單元直接通過軟硬件接口從入侵檢測系統(tǒng)索取TCP連接 信息表,不但降低了硬件處理的難度、而且節(jié)約了硬件資源;此外,由于本發(fā)明方法是針 對數(shù)據(jù)包為單位進(jìn)行篩選,對以流量攻擊為特征的信息流,由于攻擊流中的各數(shù)據(jù)包均不 含疑似威脅信息,在篩選過程中均作為不含疑似威脅信息的數(shù)據(jù)包被篩選出、而不會進(jìn)入 入侵檢測系統(tǒng)。因而本發(fā)明具有篩選器設(shè)計(jì)緊湊、處理功能強(qiáng),與入侵檢測系統(tǒng)配套可大 幅度降低入侵檢測系統(tǒng)的負(fù)擔(dān),提高其檢測效率及檢測系統(tǒng)的資源利用率,擴(kuò)大對網(wǎng)絡(luò)系 統(tǒng)檢測的覆蓋面和檢測范圍,降低運(yùn)行費(fèi)用,確保網(wǎng)絡(luò)安全運(yùn)行等特點(diǎn)。
圖1為本發(fā)明篩選器功能模塊架構(gòu)裝置結(jié)構(gòu)示意圖(方框圖); 圖2為本發(fā)明篩選處理方法流程示意圖(方框圖);
圖3為本發(fā)明篩選器與網(wǎng)絡(luò)設(shè)備及入侵檢測系統(tǒng)(IDS)配套使用連接關(guān)系示意圖。
圖中l(wèi).數(shù)據(jù)聚合(功能)模塊,2. IP包頭及凈荷分離模塊,3.網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)
包篩選模塊,4.傳輸層疑似威脅數(shù)據(jù)包篩選模塊,5.輸出處理模塊,6.預(yù)處理模塊、6丄 IP重組單元(模塊)、6.2. TCP會話重組單元(模塊)、6.3.應(yīng)用層協(xié)議規(guī)范化單元(模塊), 7.應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊、7丄規(guī)則頭匹配單元、7.2.內(nèi)容匹配單元、7.3.疑似 威脅數(shù)據(jù)包輸出單元,8.軟硬件接口; A.入侵檢測系統(tǒng),B.篩選器,d Cn:網(wǎng)絡(luò)交換設(shè) 備。
具體實(shí)施例方式
本實(shí)施方式以與有10套網(wǎng)絡(luò)交換設(shè)備(Cno)及對應(yīng)的入侵檢測系統(tǒng)A配套使用為
例
本實(shí)施方式中的篩選器B采用ALTERA公司生產(chǎn)的STRATIX III EP3SL150F型FPGA (現(xiàn)場可編程門陣列)器件作為篩選器本體,其中所設(shè)數(shù)據(jù)聚合模塊1資源配置1500 個(gè)邏輯單元以及0.5兆比特RAM;包頭及凈荷分離模塊2資源配置600個(gè)邏輯單元;網(wǎng) 絡(luò)層疑似威脅數(shù)據(jù)包篩選3資源配置為1500個(gè)邏輯單元;傳輸層疑似威脅數(shù)據(jù)包篩選模 塊4資源配置為1500個(gè)邏輯單元;處理輸出模塊5資源配置為150個(gè)邏輯單元;預(yù)處理 模塊6中IP重組單元6.1資源配置為2000個(gè)邏輯單元以及5兆比特RAM, TCP會話重 組單元6.2資源配置為2000個(gè)邏輯單元以及2.5兆比特RAM,應(yīng)用層規(guī)范化單元6.3資 源配置2500個(gè)邏輯單元;應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊7中規(guī)則頭匹配單元7.1資 源配置為5000個(gè)邏輯單元,內(nèi)容匹配單元7.2資源配置為25000個(gè)邏輯單元,疑似威脅 數(shù)據(jù)包輸出單元7.3資源配置為150個(gè)邏輯單元;本實(shí)施方式將軟硬件接口 8設(shè)于FPGA 器件內(nèi)、資源配置為1500個(gè)邏輯單元。上述各(功能)模塊中數(shù)據(jù)聚合模塊1與包頭 及凈荷分離模塊2,輸出處理模塊5與預(yù)處理模塊6、預(yù)處理模塊6與應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊7之間的輸出、輸入端通過數(shù)據(jù)線依次連接,網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模 塊3與傳輸層疑似威脅數(shù)據(jù)包篩選模塊4則并聯(lián)于包頭及凈荷分離模塊2與輸出處理模塊 5之間;輸出處理模塊5、預(yù)處理模塊6通過TCP會話重組單元6.2、應(yīng)用層疑似威脅數(shù) 據(jù)包篩選模塊7通過疑似威脅數(shù)據(jù)包輸出單元7.3分別與軟硬件接口連接。 本實(shí)施方式篩選器的篩選方法(流程)
步驟l.聚合處理首先通過數(shù)據(jù)聚合模塊1將網(wǎng)絡(luò)中各個(gè)交換設(shè)備輸入的數(shù)據(jù)(信 息)進(jìn)行聚合處理,然后將聚合后的數(shù)據(jù)包發(fā)送到包頭及凈荷分離模塊2;
步驟2.分離處理包頭及凈荷分離模塊2接收到聚合處理后的數(shù)據(jù)包后,首先從接
收到的數(shù)據(jù)包中提取出協(xié)議類型字段并判斷以太幀中封裝的是否是IP數(shù)據(jù)包,如果不是,
則將該數(shù)據(jù)包丟棄;如果是IP數(shù)據(jù)包,則根據(jù)IP協(xié)議以及傳輸層協(xié)議的相關(guān)規(guī)定,從IP
數(shù)據(jù)包中分離出IP包頭、IP凈荷以及傳輸層包頭,并將IP包頭、IP凈荷與傳輸層包頭、
IP包頭分別發(fā)送到網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊3及傳輸層疑似威脅數(shù)據(jù)包篩選模塊 4,以并行進(jìn)行網(wǎng)絡(luò)層及傳輸層非規(guī)則攻擊疑似威脅數(shù)據(jù)包的篩選;
步驟3.網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊3在接收到來
自包頭凈荷分離模塊2分離出的IP包頭、凈荷后,首先根據(jù)IP協(xié)議的規(guī)定,提取出IP
頭部中的協(xié)議類型字段、包總長度字段、分片標(biāo)志字段以及選項(xiàng)字段,并將以上提取出的
兩部分?jǐn)?shù)據(jù)分別送入ICMP疑似威脅數(shù)信息篩選單元以及IP疑似威脅信息篩選單元中, 經(jīng)兩個(gè)單元并行運(yùn)行處理,其中ICMP疑似威脅信息篩選單元對疑似含ICMP洪范攻擊 信息、超長ICMP數(shù)據(jù)包攻擊信息、ICMP數(shù)據(jù)包碎片攻擊信息的數(shù)據(jù)包進(jìn)行篩選并給出 篩選結(jié)果,本實(shí)施方式該部分具體篩選流程為若ICMP報(bào)文為回送請求或回答、封裝 ICMP報(bào)文的IP總包長超過預(yù)先設(shè)定的閾值、封裝ICMP報(bào)文的IP分片標(biāo)志位有效三種 情況之一出現(xiàn),則該數(shù)據(jù)包為含疑似威脅信息的數(shù)據(jù)包;與此同時(shí),IP疑似威脅信息篩選 單元對選項(xiàng)字段疑似非正常的數(shù)據(jù)包進(jìn)行篩選并給出篩選結(jié)果,其具體篩選流程為若IP 包頭的選項(xiàng)字段不為空,則該數(shù)據(jù)包含疑似威脅信息;兩個(gè)單元篩選完成后,將篩選結(jié)果 進(jìn)行邏輯或并連同包頭與凈荷分離模塊輸入的IP包頭、凈荷一并送入輸出處理模塊;
步驟4.傳輸層疑似威脅數(shù)據(jù)包篩選傳輸層疑似威脅數(shù)據(jù)包篩選模塊4在接收到來 自包頭及凈荷分離模塊2送入的IP包頭及傳輸層包頭后,判斷傳輸層協(xié)議是否是TCP協(xié) 議,若是傳輸層協(xié)議,則首先根據(jù)TCP協(xié)議的規(guī)定,將TCP頭部中的控制字段提取出并 對含疑似SYN (同步序號)洪范攻擊信息、端口掃描攻擊信息、操作系統(tǒng)探查攻擊信息
的傳輸層包頭進(jìn)行篩選并給出篩選結(jié)果,其具體篩選方法為只要TCP控制字段的 SYN/FIN/RST (同步序號/終止連接/連接復(fù)位)位有效或未設(shè)TCP控制字段標(biāo)志,則該包 頭為含疑似威脅信息的包頭;篩選完成后,將篩選結(jié)果連同傳輸層包頭一并經(jīng)輸出單元送入輸出處理模塊5;
步驟5.輸出處理經(jīng)步驟3和步驟4篩選后同時(shí)送入輸出處理模塊6的篩選結(jié)果及 其包頭、凈荷進(jìn)行匹配處理,若其中只要有一結(jié)果的結(jié)論為含疑似威脅信息,則將該數(shù)據(jù) 包作為含非規(guī)則疑似威脅信息的數(shù)據(jù)包,經(jīng)軟硬件接口8送入侵檢測系統(tǒng)A;若所有結(jié)論 均為正常(不含疑似威脅信息),則將該數(shù)據(jù)包作為正常數(shù)據(jù)包輸入預(yù)處理模塊6;
步驟6.數(shù)據(jù)包預(yù)處理整個(gè)預(yù)處理流程由預(yù)處模塊6中的IP分片重組單元6.1、 TCP 會話重組單元6.2、應(yīng)用層規(guī)范化單元6.3完成;當(dāng)IP分片重組單元6.1將由步驟5輸入
的正常數(shù)據(jù)包,通過提取IP包頭的標(biāo)志字段,如果分片標(biāo)志字段無效,則直接將數(shù)據(jù)包
送入TCP會話重組單元6.2;若分片標(biāo)志字段有效時(shí),則繼續(xù)査看目前的分片重裝表里是 否已有重組該數(shù)據(jù)包IP凈荷的表項(xiàng);如果表項(xiàng)不存在則創(chuàng)建一個(gè)新的表項(xiàng)并存入IP包頭 和IP凈荷,否則根據(jù)IP包頭的偏移字段裝入到己有表項(xiàng)中存儲IP凈荷的指定位置;然后 査看該數(shù)據(jù)包的IP凈荷是否為最后一個(gè)分片,如果是、則重組完成,將IP凈荷和IP包頭 送入到TCP會話重組模塊;否則查看該表項(xiàng)的計(jì)時(shí)器,如果計(jì)時(shí)器超時(shí)則直接將該表項(xiàng)
中部分重組的IP凈荷和IP數(shù)據(jù)包發(fā)送到TCP會話重組單元6.2;
歩驟6.2. TCP會話重組TCP會話重組單元6.2接收到IP分片重組單元6.1的IP包 頭和重組后的IP凈荷后,判斷其傳輸層協(xié)議是否為TCP協(xié)議,如果不是TCP協(xié)議,則直 接送入到應(yīng)用層規(guī)范化單元6.3;否則,根據(jù)IP包頭和重組后的IP凈荷里的IP源目地址、 源目端口號查看目前的會話重組表里是否己有重組該TCP凈荷的表項(xiàng),本實(shí)施方式的會 話重組表是采用通過軟硬件接口從入侵檢測系統(tǒng)索取的TCP連接信息建立的,并實(shí)時(shí)更 新;如果表項(xiàng)不存在則將IP包頭、TCP包頭、TCP凈荷(其中,TCP包頭和TCP凈荷即 為重組后的IP凈荷)直接送入應(yīng)用層規(guī)范化模塊,否則將TCP凈荷存入到已有表項(xiàng)中存 儲TCP凈荷的指定位置;然后再查看重組后的TCP凈荷是否達(dá)到了規(guī)定的長度(或者已 完成重組),如果是、則將IP包頭、TCP包頭、重組后的TCP凈荷送入應(yīng)用層規(guī)范化單
元6.3;
步驟6.3.應(yīng)用層數(shù)據(jù)規(guī)范化處理應(yīng)用層規(guī)范化單元6.3接收到TCP會話重組后的 IP包頭、傳輸層包頭以及重組后的凈荷后,首先判斷應(yīng)用層協(xié)議是否包含HTTP協(xié)議以或 Telnet協(xié)議;若包含HTTP協(xié)議則將HTTP協(xié)議URL地址的編碼方式統(tǒng)一為ASCII編碼 方式;若包含Telnet協(xié)議,則將Telnet會話流中的冗余協(xié)商信息刪除;完成規(guī)范化處理后, 將IP包頭、傳輸層包頭以與應(yīng)用層數(shù)據(jù)分別送入應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊7;
步驟7.應(yīng)用層疑似威脅數(shù)據(jù)包篩選應(yīng)用層疑似威脅數(shù)據(jù)包篩選由規(guī)則頭匹配單元 7.1、內(nèi)容匹配單元7.2、疑似威脅數(shù)據(jù)包輸出單元7.3進(jìn)行,其具體流程為
步驟7丄規(guī)則頭匹配處理規(guī)則頭匹配單元7.1將IP包頭和傳輸層協(xié)議包頭中的源目IP地址、源目端口號、傳輸層和網(wǎng)絡(luò)層的協(xié)議類型與規(guī)則庫中規(guī)則的規(guī)則頭進(jìn)行匹配, 其中由于規(guī)則頭中的源目IP地址采用前綴表達(dá),因此直接采用三態(tài)內(nèi)容可尋址存儲器 的方式進(jìn)行與IP包頭中的源目IP地址的匹配,而規(guī)則頭中的端口號一般采用范圍的方式 表達(dá)(如60-80),因而采用二叉決策樹方法完成匹配處理;在規(guī)則頭匹配完成后,將匹 配結(jié)果連同包頭一并送入疑似威脅數(shù)據(jù)包輸出單元7.3;
步驟7.2.內(nèi)容匹配處理對送入內(nèi)容匹配單元7.2內(nèi)的應(yīng)用層數(shù)據(jù)進(jìn)行常字符串和 正則表達(dá)式的匹配,其中應(yīng)用層數(shù)據(jù)與規(guī)則庫中的常字符串的匹配采用非確定狀態(tài)機(jī)的 方式進(jìn)行;而正則表達(dá)式的匹配則分三步完成其一、共享所有正則表達(dá)式相同的前綴、 中綴、后綴;其二、基于第一步得到的前綴、中綴、后綴共享結(jié)構(gòu),通過非確定狀態(tài)機(jī)的 方式生成匹配電路;其三、對正則表達(dá)式中的常字符串和復(fù)雜運(yùn)算符再進(jìn)行優(yōu)化處理;匹 配完成后,將匹配結(jié)果連同應(yīng)用層數(shù)據(jù)一并輸入到疑似威脅數(shù)據(jù)包輸出單元7.3;若任一 匹配結(jié)果為含疑似威脅信息數(shù)據(jù)包,疑似威脅數(shù)據(jù)包輸出單元7.3則將該數(shù)據(jù)包經(jīng)軟硬件 接口8發(fā)送到入侵檢測系統(tǒng)A;否則,將該數(shù)據(jù)包直接丟棄。
本實(shí)施方式試運(yùn)行中網(wǎng)絡(luò)交換設(shè)備(Cno)為S2403TP-EA型交換機(jī)及SRW208型
交換機(jī),總共10臺;每個(gè)交換機(jī)的鏡像端口速率為1Gbps (吉比特每秒);入侵檢測系統(tǒng)
A為SNORT IDS (SNORT為開發(fā)源代碼的入侵檢測系統(tǒng));
本實(shí)施方式篩選器B與各網(wǎng)絡(luò)交換設(shè)備(d-u))及入侵檢測系統(tǒng)A連接用網(wǎng)卡芯片 采用Marvell公司生產(chǎn)的88E1111,該芯片支持1000兆的網(wǎng)絡(luò)連接,總共11個(gè);
運(yùn)行中,若每套網(wǎng)絡(luò)交換設(shè)備C輸入的擬進(jìn)入入侵檢測系統(tǒng)A的流量為lGbps,10套 設(shè)備的流量共計(jì)10Gbps,本實(shí)施方式篩選器將其中95~98%的不含疑似威脅信息的正常數(shù) 據(jù)包篩選出,而只有《5% (即《500Mbps)的含疑似威脅信息的數(shù)據(jù)包進(jìn)入入侵檢測系統(tǒng) A;從而大幅度降低了入侵檢測系統(tǒng)A的負(fù)荷。
10
權(quán)利要求
1.一種網(wǎng)絡(luò)疑似威脅信息篩選器,包括帶軟硬件接口的現(xiàn)場可編程門陣列器件,其特征在于所述在現(xiàn)場可編程門陣列器件內(nèi)設(shè)有接收網(wǎng)絡(luò)交換設(shè)備輸出信息的數(shù)據(jù)聚合模塊,包頭及凈荷分離模塊,網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊,傳輸層疑似威脅數(shù)據(jù)包篩選模塊,輸出處理模塊,含IP重組單元、TCP會話重組單元、應(yīng)用層協(xié)議規(guī)范化單元的預(yù)處理模塊,以及含規(guī)則頭匹配單元、內(nèi)容匹配單元、疑似威脅數(shù)據(jù)包輸出單元的應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊;上述各模塊中數(shù)據(jù)聚合模塊與包頭及凈荷分離模塊,輸出處理模塊與預(yù)處理模塊、預(yù)處理模塊與應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊之間通過對應(yīng)的輸出、輸入端依次連接,網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊與傳輸層疑似威脅數(shù)據(jù)包篩選模塊則并聯(lián)于包頭及凈荷分離模塊與輸出處理模塊之間;輸出處理模塊、預(yù)處理模塊通過TCP會話重組單元、應(yīng)用層疑似威脅數(shù)據(jù)包篩選模塊通過疑似威脅數(shù)據(jù)包輸出單元分別與軟硬件接口連接。
2. 按權(quán)利要求1所述網(wǎng)絡(luò)疑似威脅信息篩選器,其特征在于所述網(wǎng)絡(luò)層疑似威脅數(shù) 據(jù)包篩選模塊包括IP疑似威脅信息篩選單元、ICMP疑似威脅信息篩選單元、輸出單元。
3. 按權(quán)利要求1所述網(wǎng)絡(luò)疑似威脅信息篩選器,其特征在于所述傳輸層疑似威脅數(shù) 據(jù)包篩選模塊包括TCP疑似威脅信息篩選單元及輸出單元。
4. 按權(quán)利要求1所述網(wǎng)絡(luò)疑似威脅信息篩選器所采用的篩選處理方法包括-步驟l.聚合處理將網(wǎng)絡(luò)中各交換設(shè)備輸入數(shù)據(jù)聚合模塊(1)的數(shù)據(jù)(信息)進(jìn)行 聚合處理;步驟2.分離處理將經(jīng)步驟1聚合處理后輸入包頭及凈荷分離模塊(2)的數(shù)據(jù)進(jìn)行 IP包頭、IP凈荷及傳輸協(xié)議包頭分離處理,并將IP包頭和IP凈荷與傳輸協(xié)議包頭分別輸 入網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊(3)及傳輸層疑似威脅數(shù)據(jù)包篩選模塊(4)、以便在 網(wǎng)絡(luò)層與傳輸層并行完成非規(guī)則攻擊篩選;步驟3.網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選將經(jīng)步驟2分離處理后進(jìn)入網(wǎng)絡(luò)層疑似威脅數(shù)據(jù)包篩選模塊(3)的IP包頭及IP凈荷,按照網(wǎng)絡(luò)層協(xié)議的規(guī)定對含疑似威脅信息的數(shù)據(jù)包進(jìn)行篩選,并將篩選結(jié)果連同IP包頭、IP凈荷輸入到輸出處理模塊(5);步驟4.傳輸層疑似威脅數(shù)據(jù)包篩選而經(jīng)步驟2分離處理后進(jìn)入傳輸層疑似威脅數(shù) 據(jù)包篩選模塊(4)的傳輸協(xié)議包頭,則按傳輸層協(xié)議的規(guī)定對含非規(guī)則攻擊的疑似威脅 信息的包頭進(jìn)行篩選,并將篩選結(jié)果連同傳輸層協(xié)議包頭亦輸入到輸出處理模塊(5);步驟5.輸出處理經(jīng)步驟3、歩驟4篩選后輸入的篩選結(jié)果及其包頭、凈荷,若其中只要有一結(jié)果的結(jié)論為含疑似威脅信息,則將該數(shù)據(jù)包作為含非規(guī)則疑似威脅信息的數(shù)據(jù)包,經(jīng)軟硬件接口 (8)送入侵檢測系統(tǒng)(A);若所有結(jié)論均為正常,則將該數(shù)據(jù)包作 為正常數(shù)據(jù)包輸入預(yù)處理模塊(6);步驟6.數(shù)據(jù)包預(yù)處理將由步驟5輸入的正常數(shù)據(jù)包通過IP重組單元(6.1)重組IP分片數(shù)據(jù)、通過TCP會話重組單元(6.2)經(jīng)軟硬件接口 (8)從入侵檢測系統(tǒng)索取TCP 連接信息表后進(jìn)行TCP會話重組,再經(jīng)應(yīng)用層數(shù)據(jù)規(guī)范化單元(6.3)對數(shù)據(jù)進(jìn)行規(guī)范化 處理,然后將處理后的IP包頭和傳輸協(xié)議包頭與應(yīng)用層數(shù)據(jù)分別輸入應(yīng)用層疑似威脅數(shù) 據(jù)包篩選模塊中的規(guī)則頭匹配單元以及內(nèi)容匹配單元;步驟7.應(yīng)用層疑似威脅數(shù)據(jù)包篩選將由歩驟6輸入的IP包頭和傳輸協(xié)議包頭經(jīng)規(guī)則頭匹配單元(7.1)進(jìn)行規(guī)則頭匹配處理,而輸入的應(yīng)用層數(shù)據(jù)經(jīng)內(nèi)容匹配單元(7.2) 對常字符串及正則表達(dá)式進(jìn)行匹配處理;然后將匹配處理后含疑似威脅信息的數(shù)據(jù)包由疑 似威脅數(shù)據(jù)包輸出單元(7.3)經(jīng)軟硬件接口 (8)送入侵檢測系統(tǒng);否則,作丟棄處理。
5. 按權(quán)利要求4所述篩選處理方法,其特征在于步驟3中所述按照網(wǎng)絡(luò)層協(xié)議的規(guī) 定對含疑似威脅信息的數(shù)據(jù)包進(jìn)行篩選,其網(wǎng)絡(luò)層協(xié)議包括ICMP及IP協(xié)議。
6. 按權(quán)利要求4所述篩選處理方法,其特征在于步驟4中所述按傳輸層協(xié)議的規(guī)定 對含非規(guī)則攻擊的疑似威脅信息的包頭進(jìn)行篩選,其傳輸層協(xié)議包括TCP。
7. 按權(quán)利要求4所述篩選處理方法,其特征在于步驟6中所述對應(yīng)用層數(shù)據(jù)進(jìn)行規(guī) 范化處理,包括完成HTTP協(xié)議的URL規(guī)范化表達(dá)及統(tǒng)一編碼方式、刪除Telnet協(xié)議中 的協(xié)商數(shù)據(jù)。
全文摘要
該發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中對擬進(jìn)入檢測系統(tǒng)信息進(jìn)行篩選的篩選器及篩選方法。篩選器采用對FPGA邏輯資源調(diào)配制得的含數(shù)據(jù)聚合、包頭及凈荷分離、網(wǎng)絡(luò)層及傳輸層疑似威脅數(shù)據(jù)包篩選、輸出處理、預(yù)處理、應(yīng)用層疑似威脅數(shù)據(jù)包篩選及軟硬件接口在內(nèi)的功能模塊架構(gòu)裝置;而篩選方法包括聚合處理、分離處理、網(wǎng)絡(luò)層及傳輸層疑似威脅數(shù)據(jù)包篩選、輸出處理、數(shù)據(jù)包預(yù)處理及應(yīng)用層疑似威脅數(shù)據(jù)包篩選,最后僅將含有疑似威脅信息的數(shù)據(jù)包送入侵檢測系統(tǒng)。從而具有篩選器設(shè)計(jì)緊湊、處理功能強(qiáng),與入侵檢測系統(tǒng)配套可大幅度降低入侵檢測系統(tǒng)的負(fù)擔(dān),提高檢測效率及檢測系統(tǒng)的利用率,擴(kuò)大檢測的覆蓋面,降低運(yùn)行費(fèi)用,確保網(wǎng)絡(luò)安全運(yùn)行等特點(diǎn)。
文檔編號H04L9/36GK101599963SQ20091005955
公開日2009年12月9日 申請日期2009年6月10日 優(yōu)先權(quán)日2009年6月10日
發(fā)明者亮 周, 李廣軍, 楊一波, 潘經(jīng)緯, 趙文豪, 宇 鄭, 郭志勇, 錢宇平 申請人:電子科技大學(xué)