網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法
【專利摘要】一種網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法,其包括以下步驟:A)捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包����;B)對(duì)所捕獲的數(shù)據(jù)包進(jìn)行全協(xié)議棧解析,得到協(xié)議變量特征��,即原始報(bào)文數(shù)據(jù)包的各協(xié)議層數(shù)據(jù)�����;C)首先根據(jù)預(yù)先設(shè)定的模式特征和協(xié)議變量特征選擇最合適的多模式匹配算法,然后加載模式匹配算法庫(kù)�;D)在檢測(cè)過(guò)程中根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)來(lái)動(dòng)態(tài)調(diào)整匹配算法。本發(fā)明通過(guò)對(duì)數(shù)據(jù)包進(jìn)行全協(xié)議棧解析�����,大大提高了解碼速度����,滿足實(shí)時(shí)解碼要求,并減少了對(duì)服務(wù)器內(nèi)存的需求���;此外����,本發(fā)明針對(duì)檢測(cè)的漏洞靈活選擇合適的模式匹配算法�����、在匹配速度和存儲(chǔ)空間上達(dá)到了最優(yōu)�����,通過(guò)上述高級(jí)隱遁技術(shù)實(shí)現(xiàn)了對(duì)高級(jí)逃逸入侵的有效防護(hù)����。
【專利說(shuō)明】網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其涉及一種網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法�����。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)入侵檢測(cè)作為目前最主要的主動(dòng)網(wǎng)絡(luò)安全措施之一�����,它通過(guò)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意網(wǎng)絡(luò)連接進(jìn)行識(shí)別和響應(yīng)�����,有效地補(bǔ)充和完善了諸如訪問(wèn)控制��、數(shù)據(jù)加密����、防火墻、病毒防范等安全措施�����,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性,已成為信息系統(tǒng)安全解決方案中不可或缺的環(huán)節(jié)���。
[0003]高級(jí)隱遁技術(shù)(AET, Advanced Evasion Technique)����、隱遁攻擊的疊加網(wǎng)絡(luò)力量(cyber - force)滲透到各國(guó)政治斗爭(zhēng)的計(jì)算機(jī)攻擊的案例略見(jiàn)不鮮���,最近發(fā)生的韓國(guó)銀行計(jì)算機(jī)網(wǎng)絡(luò)故障�、美國(guó)的紐約時(shí)報(bào)和華爾街日?qǐng)?bào)受到的攻擊足以說(shuō)明這種情況����。顯然黑客的攻擊手段和能力已經(jīng)發(fā)生了質(zhì)的變化,根據(jù)Garter的報(bào)告�����,從2011年來(lái)����,網(wǎng)絡(luò)防御的能力已經(jīng)遠(yuǎn)遠(yuǎn)滯后于攻擊的手段。而高級(jí)隱遁技術(shù)(AET)毫無(wú)疑問(wèn)對(duì)IDS/IPS廠商來(lái)說(shuō)是尤為頭疼的技術(shù)難題�,從NSS Lab公布的最新的IPS測(cè)試標(biāo)準(zhǔn)《NSS_Labs_ips group testmethodology v6.2))中單獨(dú)增加了 AET的測(cè)試(4.15章節(jié)部分)可以看出對(duì)AET的重視程度。
[0004]防火墻和IPS是網(wǎng)絡(luò)中核心的安全保障設(shè)備�,防火墻通常根據(jù)數(shù)據(jù)流端口、地址�����、協(xié)議等進(jìn)行數(shù)據(jù)的過(guò)濾���,而IPS則進(jìn)一步進(jìn)行數(shù)據(jù)包的深度檢測(cè)����。為了真正的理解和檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包���,IPS則需要深度理解數(shù)據(jù)流所采用的協(xié)議����。表面上如果徹底分析透數(shù)據(jù)流的協(xié)議格式就足夠了��,但事實(shí)證明并非如此��。早在1998年,來(lái)自Secure Network公司的TimNewsham和Thomas Ptacek發(fā)表了有關(guān)如何穿透IDS/IPS的技術(shù)文章《插入���、隱遁和拒絕服務(wù)攻擊:避開(kāi)網(wǎng)絡(luò)入侵檢測(cè)》���。近兩年���,國(guó)內(nèi)相關(guān)的研究,總參某研究所的徐金偉研究員曾就AET發(fā)表過(guò)多篇文章�����。常用的AET手段有:字符串混淆�、加密和隧道技術(shù)、碎片技術(shù)和協(xié)議的違規(guī)四種����。
[0005]針對(duì)高級(jí)隱遁攻擊應(yīng)當(dāng)考慮新的攔截模式,單純的特征庫(kù)匹配模式不再能夠完全達(dá)到攔截目的�,因此,本發(fā)明將提出一種全新的自動(dòng)調(diào)整匹配算法的入侵檢測(cè)方法�,該方法將大大提聞網(wǎng)絡(luò)的安全系數(shù)。
【發(fā)明內(nèi)容】
[0006]為了克服現(xiàn)有技術(shù)的缺陷����,本發(fā)明的目的在于提出一種能夠提高網(wǎng)絡(luò)安全系數(shù)的網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法。
[0007]為實(shí)現(xiàn)上述目的���,本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法��,其包含如下具體步驟:
[0008]A)捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包��;
[0009]B)對(duì)所捕獲的數(shù)據(jù)包進(jìn)行全協(xié)議棧解析�,得到協(xié)議變量,即原始報(bào)文數(shù)據(jù)包的各協(xié)議層數(shù)據(jù)���;
[0010]C)根據(jù)預(yù)先設(shè)定的模式特征和協(xié)議變量特征選擇最合適的多模式匹配算法,然后加載模式匹配算法庫(kù)�,并在檢測(cè)過(guò)程中根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)來(lái)動(dòng)態(tài)調(diào)整匹配算法。
[0011]進(jìn)一步地����,所述步驟B中進(jìn)行全協(xié)議棧解析是指按照協(xié)議的層次劃分從底到頂逐層進(jìn)行解析,對(duì)包括應(yīng)用層協(xié)議在內(nèi)的所有協(xié)議數(shù)據(jù)進(jìn)行重組后���,再進(jìn)一步繼續(xù)進(jìn)行解析�����。
[0012]進(jìn)一步地����,對(duì)協(xié)議數(shù)據(jù)進(jìn)行重組的具體步驟包括:
[0013]從捕獲的原始數(shù)據(jù)包中提取與TCP協(xié)議相關(guān)的描述特征��,分析其中的TCP報(bào)文�;
[0014]對(duì)分析后的TCP報(bào)文按照其規(guī)范進(jìn)行重新拼裝�,并保存到特定的內(nèi)存結(jié)構(gòu)中
[0015]所述步驟B中各協(xié)議層數(shù)據(jù)包括:MAC地址�、IP地址、http_url�����、telnet_user等協(xié)議類型數(shù)據(jù)和其他特征數(shù)據(jù)���。
[0016]進(jìn)一步地����,所述步驟C包括統(tǒng)計(jì)分析模塊�、匹配模塊和評(píng)估切換模塊;其中����,所述統(tǒng)計(jì)分析模塊用于對(duì)模式匹配輸入規(guī)則樹(shù)進(jìn)行統(tǒng)計(jì)分析,并根據(jù)分析結(jié)果選擇最優(yōu)的多模式匹配算法��;所述匹配模塊用于通過(guò)統(tǒng)一調(diào)用接口為外部調(diào)用模塊提供快速多模式匹配服務(wù)�����,并將模式匹配結(jié)果描述事件反饋給評(píng)估切換模塊���;所述評(píng)估切換模塊用于根據(jù)匹配模塊反饋的事件信息來(lái)獲知當(dāng)前網(wǎng)絡(luò)狀態(tài)�����,并據(jù)此做出調(diào)整當(dāng)前多模式匹配算法的決定�。
[0017]進(jìn)一步地,所述統(tǒng)計(jì)分析模塊�����,根據(jù)事件配置文件建立模式匹配規(guī)則樹(shù)����,規(guī)則樹(shù)中每一樹(shù)節(jié)點(diǎn)代表某一類型模式匹配子任務(wù)包括對(duì)協(xié)議變量或報(bào)文數(shù)據(jù)載荷進(jìn)行模式匹配����;統(tǒng)計(jì)分析規(guī)則樹(shù)中每一節(jié)點(diǎn)的協(xié)議變量特征和相關(guān)模式特征;考察算法庫(kù)中每一備選多模式匹配算法特征����,選擇一種最適合該規(guī)則樹(shù)節(jié)點(diǎn)的多模式匹配算法。
[0018]進(jìn)一步地��,所述匹配模塊�,利用當(dāng)前選擇的匹配算法為外部調(diào)用模塊提供快速多模式匹配服務(wù)�,即對(duì)外部模塊輸入的網(wǎng)絡(luò)報(bào)文或協(xié)議變量值執(zhí)行多關(guān)鍵詞搜索操作����,并返回最后模式匹配結(jié)果;同時(shí)有選擇地根據(jù)本次模式匹配的輸入和結(jié)果生成相應(yīng)的模式匹配反饋事件�,供評(píng)估切換模塊統(tǒng)計(jì)分析處理。
[0019]進(jìn)一步地��,所述評(píng)估切換模塊���,根據(jù)匹配模塊反饋的事件信息�,來(lái)獲知當(dāng)前網(wǎng)絡(luò)狀態(tài)�;在當(dāng)前網(wǎng)絡(luò)狀態(tài)下對(duì)當(dāng)前選擇的多模式匹配算法進(jìn)行評(píng)估,如果評(píng)估結(jié)果不滿意���,則考察算法庫(kù)中各基本模式匹配算法特征���,選出一種最適合當(dāng)前網(wǎng)絡(luò)狀態(tài)的多模式匹配算法,指導(dǎo)算法調(diào)度引擎完成對(duì)當(dāng)前多模式匹配算法的動(dòng)態(tài)切換����。
[0020]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果在于:
[0021]本發(fā)明通過(guò)對(duì)數(shù)據(jù)包進(jìn)行全協(xié)議棧解析,可以有效地提高網(wǎng)絡(luò)入侵監(jiān)測(cè)分析的速度���;能夠大大節(jié)省匹配事件時(shí)間���,降低誤報(bào)率,提高準(zhǔn)確率����;當(dāng)出現(xiàn)網(wǎng)絡(luò)事件新特征和在關(guān)注特殊網(wǎng)絡(luò)數(shù)據(jù)特征時(shí),可以在不升級(jí)應(yīng)用程序的前提下�,迅速地把這些特征增加到含有NIDS事件庫(kù)的特征數(shù)據(jù)模塊中,達(dá)到報(bào)警的目的�����;還可以通過(guò)靈活的用戶可定義接口��,實(shí)現(xiàn)了特征數(shù)據(jù)模塊的更新與程序無(wú)關(guān)��,確保了 NIDS系統(tǒng)對(duì)安全事件的快速響應(yīng)���,以及用戶可現(xiàn)場(chǎng)定制特征事件的能力。
[0022]此外���,本發(fā)明充分利用各種多模式匹配算法的優(yōu)勢(shì)�、根據(jù)當(dāng)前應(yīng)用場(chǎng)景靈活選擇合適的匹配算法,在匹配速度和存儲(chǔ)空間上達(dá)到最優(yōu)����。
【專利附圖】
【附圖說(shuō)明】
[0023]圖1是本發(fā)明中經(jīng)過(guò)全協(xié)議棧解析后的結(jié)構(gòu)示意圖;
[0024]圖2是一個(gè)基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原方法流程圖�����;
[0025]圖3是實(shí)施發(fā)明的典型應(yīng)用環(huán)境�;[0026]圖4是TCP重組后的輸出實(shí)例。
[0027]圖5為自適應(yīng)多模式匹配方法技術(shù)構(gòu)架�����;
[0028]圖6為靜態(tài)自適應(yīng)模塊中靜態(tài)特征統(tǒng)計(jì)流程圖�����;
[0029]圖7為靜態(tài)自適應(yīng)模塊中靜態(tài)算法選擇決策流程圖�;
[0030]圖8為動(dòng)態(tài)自適應(yīng)模塊中動(dòng)態(tài)特征統(tǒng)計(jì)流程圖;
[0031 ]圖9為動(dòng)態(tài)自適應(yīng)模塊中動(dòng)態(tài)算法選擇決策流程圖���。
【具體實(shí)施方式】
[0032]下面結(jié)合附圖對(duì)本發(fā)明的方法做進(jìn)一步詳細(xì)的說(shuō)明�����。
[0033]本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)方法�,包含如下具體步驟:
[0034]第一步,捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包�����;
[0035]第二步�����,對(duì)所捕獲的數(shù)據(jù)包進(jìn)行全協(xié)議棧解析����,得到協(xié)議變量,即原始報(bào)文數(shù)據(jù)包的各協(xié)議層數(shù)據(jù)���;
[0036]第三步,根據(jù)預(yù)先設(shè)定的模式特征和協(xié)議變量特征選擇最合適的多模式匹配算法�,然后加載模式匹配算法庫(kù),并在檢測(cè)過(guò)程中根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)來(lái)動(dòng)態(tài)調(diào)整匹配算法���。
[0037]第二步的具體實(shí)現(xiàn)方法如下:
[0038]全協(xié)議棧解析是指按照協(xié)議的層次劃分從底到頂逐層進(jìn)行解析����,對(duì)包括應(yīng)用層協(xié)議在內(nèi)的所有協(xié)議數(shù)據(jù)進(jìn)行重組后,再進(jìn)一步繼續(xù)進(jìn)行解析��。
[0039]其實(shí)施過(guò)程是發(fā)送一系列相關(guān)的原始報(bào)文數(shù)據(jù)包至本地網(wǎng)絡(luò)中����,并包含如下的原始數(shù)據(jù)。相應(yīng)說(shuō)明如下表I所示:
[0040]表I.原始報(bào)文.協(xié)議數(shù)據(jù)域說(shuō)明協(xié)議變M 備注
【權(quán)利要求】
1.一種網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法��,其特征在于��,包括以下步驟: A)捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包����; B)對(duì)所捕獲的數(shù)據(jù)包進(jìn)行全協(xié)議棧解析,得到協(xié)議變量��,即原始報(bào)文數(shù)據(jù)包的各協(xié)議層數(shù)據(jù)��; C)根據(jù)預(yù)先設(shè)定的模式特征和協(xié)議變量特征選擇最合適的多模式匹配算法��,然后加載模式匹配算法庫(kù)�,并在檢測(cè)過(guò)程中根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)來(lái)動(dòng)態(tài)調(diào)整匹配算法。
2.如權(quán)利要求1所述的方法����,其特征在于����,所述步驟B中進(jìn)行全協(xié)議棧解析是指按照協(xié)議的層次劃分從底到頂逐層進(jìn)行解析��,即對(duì)包括應(yīng)用層協(xié)議在內(nèi)的所有協(xié)議數(shù)據(jù)進(jìn)行重組后�,再進(jìn)一步繼續(xù)進(jìn)行解析。
3.如權(quán)利要求2所述的方法���,其特征在于���,對(duì)協(xié)議數(shù)據(jù)進(jìn)行重組的具體步驟包括: 從捕獲的原始數(shù)據(jù)包中提取與TCP協(xié)議相關(guān)的描述特征,分析其中的TCP報(bào)文���; 對(duì)分析后的TCP報(bào)文按照其規(guī)范進(jìn)行重新拼裝�,并保存到特定的內(nèi)存結(jié)構(gòu)中���。
4.如權(quán)利要求1所述的方法�,其特征在于��,所述步驟C包括統(tǒng)計(jì)分析模塊����、匹配模塊和評(píng)估切換模塊;其中��,所述統(tǒng)計(jì)分析模塊用于對(duì)模式匹配輸入規(guī)則樹(shù)進(jìn)行統(tǒng)計(jì)分析�,并根據(jù)分析結(jié)果選擇最優(yōu)的多模式匹配算法;所述匹配模塊用于通過(guò)統(tǒng)一調(diào)用接口為外部調(diào)用模塊提供快速多模式匹配服務(wù)��,并將模式匹配結(jié)果描述事件反饋給評(píng)估切換模塊�;所述評(píng)估切換模塊用于根據(jù)匹配模塊反饋的事件信息來(lái)獲知當(dāng)前網(wǎng)絡(luò)狀態(tài),并據(jù)此做出調(diào)整當(dāng)前多模式匹配算法的決定����。
5.如權(quán)利要求4所述的方法,其特征在于���,所述統(tǒng)計(jì)分析模塊�����,根據(jù)事件配置文件建立模式匹配規(guī)則樹(shù)��,規(guī)則樹(shù)中每一樹(shù)節(jié)點(diǎn)代表某一類型模式匹配子任務(wù)包括對(duì)協(xié)議變量或報(bào)文數(shù)據(jù)載荷進(jìn)行模式匹配����;統(tǒng)計(jì)分析規(guī)則樹(shù)中每一節(jié)點(diǎn)的協(xié)議變量特征和相關(guān)模式特征;考察算法庫(kù)中每一備選多模式匹配算法特征�����,選擇一種最適合該規(guī)則樹(shù)節(jié)點(diǎn)的多模式匹配算法�����。
6.如權(quán)利要求4所述的方法�,其特征在于,所述匹配模塊�,利用當(dāng)前選擇的匹配算法為外部調(diào)用模塊提供快速多模式匹配服務(wù),即對(duì)外部模塊輸入的網(wǎng)絡(luò)報(bào)文或協(xié)議變量值執(zhí)行多關(guān)鍵詞搜索操作����,并返回最后模式匹配結(jié)果;同時(shí)有選擇地根據(jù)本次模式匹配的輸入和結(jié)果生成相應(yīng)的模式匹配反饋事件�����,供評(píng)估切換模塊統(tǒng)計(jì)分析處理�����。
7.如權(quán)利要求4所述的方法,其特征在于�����,所述評(píng)估切換模塊���,根據(jù)匹配模塊反饋的事件信息,來(lái)獲知當(dāng)前網(wǎng)絡(luò)狀態(tài)����;在當(dāng)前網(wǎng)絡(luò)狀態(tài)下對(duì)當(dāng)前選擇的多模式匹配算法進(jìn)行評(píng)估,如果評(píng)估結(jié)果不滿意����,則考察算法庫(kù)中各基本模式匹配算法特征,選出一種最適合當(dāng)前網(wǎng)絡(luò)狀態(tài)的多模式匹配算法�����,指導(dǎo)算法調(diào)度引擎完成對(duì)當(dāng)前多模式匹配算法的動(dòng)態(tài)切換��。
【文檔編號(hào)】H04L12/26GK103475653SQ201310401160
【公開(kāi)日】2013年12月25日 申請(qǐng)日期:2013年9月5日 優(yōu)先權(quán)日:2013年9月5日
【發(fā)明者】劉慶 申請(qǐng)人:北京科能騰達(dá)信息技術(shù)股份有限公司