亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法

文檔序號(hào):7862741閱讀:283來(lái)源:國(guó)知局
專(zhuān)利名稱(chēng):云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法。
背景技術(shù)
為了保證網(wǎng)絡(luò)安全,防止網(wǎng)絡(luò)入侵,目前的做法有兩種,一種是模式匹配檢測(cè),另一種是狀態(tài)檢測(cè)。模式匹配將每一個(gè)數(shù)據(jù)包從包頭開(kāi)始與攻擊特征進(jìn)行比較;若比較結(jié)果相同,則認(rèn)為檢測(cè)到一個(gè)可能的攻擊;若比較結(jié)果不同,則從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新進(jìn)行比較,直到檢測(cè)到或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢,一個(gè)攻擊特征匹配結(jié)束。對(duì)于特征庫(kù)中的每個(gè)攻擊特征,重復(fù)從包頭進(jìn)行比較,直至所有攻擊特征匹配完畢,對(duì)數(shù)據(jù)包的匹配就結(jié)束了。但是,模式匹配檢測(cè)有如下缺陷模式匹配將網(wǎng)絡(luò)數(shù)據(jù)包看作無(wú)序、隨意的字節(jié)流,不涉及網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu),而只是機(jī)械化地對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包逐一進(jìn)行匹配。這 種檢測(cè)方法有兩個(gè)最根本的缺陷一是所需計(jì)算量大,二是使用固定的特征模式探測(cè)攻擊,只能探測(cè)出明確、唯一的攻擊特征,即使有輕微變換的攻擊串都將被忽略。狀態(tài)檢測(cè)采用一種基于連接的狀態(tài)檢測(cè)機(jī)制,將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待,構(gòu)成連接狀態(tài)表,通過(guò)規(guī)則表與狀態(tài)表的共同配合,對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。但是,狀態(tài)檢測(cè)有如下缺陷狀態(tài)包檢測(cè)能提高網(wǎng)絡(luò)入侵的檢測(cè)精度,但是該技術(shù)所需存儲(chǔ)空間過(guò)大,且在檢測(cè)的過(guò)程中,會(huì)話(huà)表的管理比較困難,而且包檢測(cè)速度不夠迅速,應(yīng)用起來(lái)有一定困難。

發(fā)明內(nèi)容
為了解決現(xiàn)有技術(shù)中的問(wèn)題,本發(fā)明提供了一種云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法。本發(fā)明提供了一種云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于,包括如下步驟
A.接收數(shù)據(jù)包;
B.對(duì)數(shù)據(jù)包進(jìn)行分類(lèi),并為數(shù)據(jù)包生成一個(gè)規(guī)則號(hào);
C.通過(guò)數(shù)據(jù)包內(nèi)容的不精確匹配,從而確定規(guī)則號(hào)是否有效;
D.利用確定性有窮自動(dòng)機(jī)跟蹤會(huì)話(huà)連接的檢測(cè)過(guò)程,判斷是否發(fā)生入侵。作為本發(fā)明的進(jìn)一步改進(jìn),在所述步驟B中包括如下步驟
BI.按照數(shù)據(jù)包分類(lèi)算法的要求,取出數(shù)據(jù)包包頭域;
B2.根據(jù)數(shù)據(jù)包分類(lèi)算法的數(shù)據(jù)結(jié)構(gòu)進(jìn)行查找,找到滿(mǎn)足要求的規(guī)則,則為數(shù)據(jù)包生成一個(gè)規(guī)則號(hào)。作為本發(fā)明的進(jìn)一步改進(jìn),在所述步驟B2中,將分類(lèi)器中的規(guī)則集,按照具體的數(shù)據(jù)包分類(lèi)算法,建立起數(shù)據(jù)包分類(lèi)算法的數(shù)據(jù)結(jié)構(gòu)。作為本發(fā)明的進(jìn)一步改進(jìn),所述數(shù)據(jù)包分類(lèi)算法包括決策樹(shù)算法和RFC算法。作為本發(fā)明的進(jìn)一步改進(jìn),所述步驟C包括如下步驟
Cl.根據(jù)設(shè)定的偏移量,提取數(shù)據(jù)包中的一部分內(nèi)容,對(duì)數(shù)據(jù)包部分內(nèi)容進(jìn)行快速的哈希映射;
C2.查看映射值在狀態(tài)向量表中的對(duì)應(yīng)位是否為1,如果是1,表示規(guī)則號(hào)有效。作為本發(fā)明的進(jìn)一步改進(jìn),在所述步驟D中,將規(guī)則號(hào)傳遞給會(huì)話(huà)表中相應(yīng)的會(huì)話(huà)項(xiàng),并對(duì)會(huì)話(huà)項(xiàng)對(duì)應(yīng)的自動(dòng)機(jī)進(jìn)行狀態(tài)跳轉(zhuǎn);如果跳轉(zhuǎn)后的狀態(tài)是異常狀態(tài),則發(fā)出報(bào)警信息,否則檢測(cè)后續(xù)數(shù)據(jù)包。作為本發(fā)明的進(jìn)一步改進(jìn),在所述步驟D中,利用有效規(guī)則號(hào)對(duì)相應(yīng)自動(dòng)機(jī)的狀態(tài)進(jìn)行跳轉(zhuǎn),判斷是否發(fā)生入侵;確定性有窮自動(dòng)機(jī)能夠有效記錄檢測(cè)的當(dāng)前狀態(tài),以及清晰的顯示不同狀態(tài)之間關(guān)系和遷移條件。本發(fā)明的有益效果是本發(fā)明提高了數(shù)據(jù)包的檢測(cè)速度,而且大大提高了空間利用率,而且入侵檢測(cè)過(guò)程清晰易懂。


圖I是本發(fā)明的方法流程圖。圖2是本發(fā)明一實(shí)施例的方法流程圖。圖3是本發(fā)明另一實(shí)施例的方法流程圖。
具體實(shí)施例方式如圖I所示,本發(fā)明公開(kāi)了一種云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,包括步驟SI至步驟S4,在步驟SI中,接收數(shù)據(jù)包。在步驟S2中,對(duì)數(shù)據(jù)包進(jìn)行分類(lèi),并為數(shù)據(jù)包生成一個(gè)規(guī)則號(hào)。在步驟S3中,通過(guò)數(shù)據(jù)包內(nèi)容的不精確匹配,從而確定規(guī)則號(hào)是否有效。在步驟S4中,利用確定性有窮自動(dòng)機(jī)跟蹤會(huì)話(huà)連接的檢測(cè)過(guò)程,判斷是否發(fā)生入侵。如圖2所示,在所述步驟S2中包括步驟S21和步驟S22,在步驟S21中,按照數(shù)據(jù)包分類(lèi)算法的要求,取出數(shù)據(jù)包包頭域。在步驟S22中,根據(jù)數(shù)據(jù)包分類(lèi)算法的數(shù)據(jù)結(jié)構(gòu)進(jìn)行查找,找到滿(mǎn)足要求的規(guī)則,則為數(shù)據(jù)包生成一個(gè)規(guī)則號(hào)。在所述步驟S22中,將分類(lèi)器中的規(guī)則集,按照具體的數(shù)據(jù)包分類(lèi)算法,建立起數(shù)據(jù)包分類(lèi)算法的數(shù)據(jù)結(jié)構(gòu)。到目前為止,數(shù)據(jù)包分類(lèi)算法已經(jīng)發(fā)展得相當(dāng)成熟了,出現(xiàn)了很多各具特色的包分類(lèi)算法供我們進(jìn)行選擇。當(dāng)我們只需要利用包頭中的兩個(gè)域?qū)?shù)據(jù)包進(jìn)行分類(lèi)的時(shí)候,Grid-of-Tries決策樹(shù)算法會(huì)是一個(gè)不錯(cuò)的選擇,該算法的空間復(fù)雜度低,查找速度快,能快速的進(jìn)行前綴匹配,適用于大型分類(lèi)規(guī)則庫(kù);當(dāng)我們需要利用包頭中的多個(gè)域進(jìn)行分類(lèi)時(shí),RFC算法可能會(huì)滿(mǎn)足要求,該算法充分利用規(guī)則庫(kù)中的結(jié)構(gòu)特點(diǎn),不再受規(guī)則特征和規(guī)則數(shù)目的影響,查找時(shí)間復(fù)雜度較低,但是隨著規(guī)則數(shù)的增加,其存儲(chǔ)空間也會(huì)急劇膨脹,因此該算法不適用于大規(guī)模的數(shù)據(jù)庫(kù);總之,我們可以根據(jù)具體需要來(lái)選擇相應(yīng)的數(shù)據(jù)包分類(lèi)算法。如圖3所示,所述步驟S3中包括步驟S31和步驟S32,在步驟S31中,根據(jù)設(shè)定的偏移量,提取數(shù)據(jù)包中的一部分內(nèi)容,對(duì)數(shù)據(jù)包部分內(nèi)容進(jìn)行快速的哈希映射。在步驟S32中,查看映射值在狀態(tài)向量表中的對(duì)應(yīng)位是否為1,如果是1,表示規(guī)則號(hào)有效。為待檢測(cè)的數(shù)據(jù)包建立相應(yīng)的狀態(tài)向量表。對(duì)每一個(gè)目標(biāo)數(shù)據(jù)包,根據(jù)該數(shù)據(jù)包的包頭確定對(duì)應(yīng)規(guī)則的特征匹配數(shù),然后建立一個(gè)狀態(tài)向量表,剛開(kāi)始時(shí)向量的每個(gè)位全置零。在初始化階段,對(duì)目標(biāo)數(shù)據(jù)包包頭對(duì)應(yīng)的每一個(gè)狀態(tài)規(guī)則中的特征匹配項(xiàng),進(jìn)行到狀態(tài)向量表的快速哈希映射,并將向量表中對(duì)應(yīng)的位置I,完成初始化。在步驟S4中,將規(guī)則號(hào)傳遞給會(huì)話(huà)表中相應(yīng)的會(huì)話(huà)項(xiàng),并對(duì)會(huì)話(huà)項(xiàng)對(duì)應(yīng)的自動(dòng)機(jī)進(jìn)行狀態(tài)跳轉(zhuǎn);如果跳轉(zhuǎn)后的狀態(tài)是異常狀態(tài),則發(fā)出報(bào)警信息,否則檢測(cè)后續(xù)數(shù)據(jù)包。在步驟S4中,利用有效規(guī)則號(hào)對(duì)相應(yīng)自動(dòng)機(jī)的狀態(tài)進(jìn)行跳轉(zhuǎn),判斷是否發(fā)生入侵;確定性有窮自動(dòng)機(jī)能夠有效記錄檢測(cè)的當(dāng)前狀態(tài),以及清晰的顯示不同狀態(tài)之間關(guān)系和遷移條件,當(dāng)自動(dòng)機(jī)收到某個(gè)等待的信號(hào),就會(huì)進(jìn)行狀態(tài)的跳轉(zhuǎn),從當(dāng)前狀態(tài)進(jìn)入到下一個(gè)狀態(tài)。當(dāng)自動(dòng)機(jī)跳轉(zhuǎn)到某個(gè)確定的異常狀態(tài)時(shí),就會(huì)發(fā)出警報(bào)信息,提示系統(tǒng)可能正在遭受攻擊,然后系統(tǒng)就能對(duì)這個(gè)事件進(jìn)行相應(yīng)的處理,減少損失,保護(hù)系統(tǒng)安全。本發(fā)明的云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法不但具有狀態(tài)檢測(cè)技術(shù)的所有優(yōu)點(diǎn),還具有如下優(yōu)勢(shì)
I.本發(fā)明使用了基于會(huì)話(huà)的哈希表快速深度包檢測(cè)技術(shù),利用哈希函數(shù)的快速定位功 能,對(duì)規(guī)則集進(jìn)行預(yù)處理,建立狀態(tài)向量表,提高了數(shù)據(jù)包的檢測(cè)速度,而且能夠檢測(cè)未知的攻擊。2.本發(fā)明通過(guò)建立狀態(tài)向量表,可以顯著減少需要存儲(chǔ)的狀態(tài)規(guī)則數(shù),大大提高了空間利用率。3.本發(fā)明利用確定性有窮自動(dòng)機(jī)來(lái)跟蹤會(huì)話(huà)連接的檢測(cè)過(guò)程,通過(guò)自動(dòng)機(jī)在檢測(cè)過(guò)程中狀態(tài)的跳轉(zhuǎn)情況,來(lái)判斷發(fā)生入侵的可能性。通過(guò)使用確定性有窮自動(dòng)機(jī),使得入侵檢測(cè)過(guò)程清晰易懂。以上內(nèi)容是結(jié)合具體的優(yōu)選實(shí)施方式對(duì)本發(fā)明所作的進(jìn)一步詳細(xì)說(shuō)明,不能認(rèn)定本發(fā)明的具體實(shí)施只局限于這些說(shuō)明。對(duì)于本發(fā)明所屬技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干簡(jiǎn)單推演或替換,都應(yīng)當(dāng)視為屬于本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于,包括如下步驟 A.接收數(shù)據(jù)包; B.對(duì)數(shù)據(jù)包進(jìn)行分類(lèi),并為數(shù)據(jù)包生成一個(gè)規(guī)則號(hào); C.通過(guò)數(shù)據(jù)包內(nèi)容的不精確匹配,從而確定規(guī)則號(hào)是否有效; D.利用確定性有窮自動(dòng)機(jī)跟蹤會(huì)話(huà)連接的檢測(cè)過(guò)程,判斷是否發(fā)生入侵。
2.根據(jù)權(quán)利要求I所述的云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于,在所述步驟B中包括如下步驟 BI.按照數(shù)據(jù)包分類(lèi)算法的要求,取出數(shù)據(jù)包包頭域; B2.根據(jù)數(shù)據(jù)包分類(lèi)算法的數(shù)據(jù)結(jié)構(gòu)進(jìn)行查找,在規(guī)則集中找到滿(mǎn)足要求的規(guī)則,則為數(shù)據(jù)包生成一個(gè)規(guī)則號(hào)。
3.根據(jù)權(quán)利要求2所述的云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于在所述步驟B2中,將分類(lèi)器中的規(guī)則集,按照具體的數(shù)據(jù)包分類(lèi)算法,建立起數(shù)據(jù)包分類(lèi)算法的數(shù)據(jù)結(jié)構(gòu)。
4.根據(jù)權(quán)利要求3所述的云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于所述數(shù)據(jù)包分類(lèi)算法包括決策樹(shù)算法和RFC算法。
5.根據(jù)權(quán)利要求2至4任一項(xiàng)所述的云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于,所述步驟C包括如下步驟 Cl.根據(jù)設(shè)定的偏移量,提取數(shù)據(jù)包中的一部分內(nèi)容,對(duì)數(shù)據(jù)包部分內(nèi)容進(jìn)行快速的哈希映射; C2.查看映射值在狀態(tài)向量表中的對(duì)應(yīng)位是否為1,如果是1,表示規(guī)則號(hào)有效。
6.根據(jù)權(quán)利要求5所述的云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于在所述步驟D中,將規(guī)則號(hào)傳遞給會(huì)話(huà)表中相應(yīng)的會(huì)話(huà)項(xiàng),并對(duì)會(huì)話(huà)項(xiàng)對(duì)應(yīng)的自動(dòng)機(jī)進(jìn)行狀態(tài)跳轉(zhuǎn);如果跳轉(zhuǎn)后的狀態(tài)是異常狀態(tài),則發(fā)出報(bào)警信息,否則檢測(cè)后續(xù)數(shù)據(jù)包。
7.根據(jù)權(quán)利要求6所述的云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,其特征在于在所述步驟D中,利用有效規(guī)則號(hào)對(duì)相應(yīng)自動(dòng)機(jī)的狀態(tài)進(jìn)行跳轉(zhuǎn),判斷是否發(fā)生入侵;確定性有窮自動(dòng)機(jī)能夠有效記錄檢測(cè)的當(dāng)前狀態(tài),以及清晰的顯示不同狀態(tài)之間關(guān)系和遷移條件。
全文摘要
本發(fā)明提供了一種云數(shù)據(jù)包頭狀態(tài)檢測(cè)方法,包括如下步驟A.接收數(shù)據(jù)包;B.對(duì)數(shù)據(jù)包進(jìn)行分類(lèi),并為數(shù)據(jù)包生成一個(gè)規(guī)則號(hào);C.通過(guò)數(shù)據(jù)包內(nèi)容的不精確匹配,從而確定規(guī)則號(hào)是否有效;D.利用確定性有窮自動(dòng)機(jī)跟蹤會(huì)話(huà)連接的檢測(cè)過(guò)程,判斷是否發(fā)生入侵。本發(fā)明的有益效果是本發(fā)明提高了數(shù)據(jù)包的檢測(cè)速度,而且大大提高了空間利用率,而且入侵檢測(cè)過(guò)程清晰易懂。
文檔編號(hào)H04L12/26GK102904890SQ20121038630
公開(kāi)日2013年1月30日 申請(qǐng)日期2012年10月12日 優(yōu)先權(quán)日2012年10月12日
發(fā)明者潘正祥, 曾國(guó)坤, 金貽美 申請(qǐng)人:哈爾濱工業(yè)大學(xué)深圳研究生院
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1