本发明专利技术提出了一种网络入侵检测方法,其包括以下步骤:A)捕获网络中的数据包;B)对所捕获的数据包进行全协议栈解析,得到协议变量,即原始报文数据包的各协议层数据;C)通过确定性有限状态机将正则表达式规则集编译成DFA状态转换表,对DFA状态转换表进行压缩;D)将步骤2解析后的数据写入压缩后的DFA状态转换表做匹配;E)输出匹配结果。本发明专利技术通过对数据包进行全协议栈解析,大大提高了解码速度,满足实时解码要求,并减少了对服务器内存的需求;本发明专利技术还通过DFA状态转移表实现高速报文匹配,能够对存在的威胁进行准确检测和防御,准确识别并清除高级逃逸技术。
【技术实现步骤摘要】
—种网络入侵检测方法
本专利技术涉及网络安全
,尤其涉及。
技术介绍
网络入侵检测作为目前最主要的主动网络安全措施之一,它通过对计算机和网络资源上的恶意网络连接进行识别和响应,有效地补充和完善了诸如访问控制、数据加密、防火墙、病毒防范等安全措施,提高了信息安全基础结构的完整性,已成为信息系统安全解决方案中不可或缺的环节。高级隐遁技术(AET, Advanced Evasion Technique)、隐遁攻击的叠加网络力量(cyber - force)渗透到各国政治斗争的计算机攻击的案例略见不鲜,最近发生的韩国银行计算机网络故障、美国的纽约时报和华尔街日报受到的攻击足以说明这种情况。显然黑客的攻击手段和能力已经发生了质的变化,根据Garter的报告,从2011年来,网络防御的能力已经远远滞后于攻击的手段。而高级隐遁技术(AET)毫无疑问对IDS/IPS厂商来说是尤为头疼的技术难题,从NSS Lab公布的最新的IPS测试标准《NSS_Labs_ips group testmethodology v6.2))中单独增加了 AET的测试(4.15章节部分)可以看出对AET的重视程度。防火墙和IPS是网络中核心的安全保障设备,防火墙通常根据数据流端口、地址、协议等进行数据的过滤, 而IPS则进一步进行数据包的深度检测。为了真正的理解和检测网络数据包,IPS则需要深度理解数据流所采用的协议。表面上如果彻底分析透数据流的协议格式就足够了,但事实证明并非如此。早在1998年,来自Secure Network公司的TimNewsham和Thomas Ptacek发表了有关如何穿透IDS/IPS的技术文章《插入、隐遁和拒绝服务攻击:避开网络入侵检测》。近两年,国内相关的研究,总参某研究所的徐金伟研究员曾就AET发表过多篇文章。常用的AET手段有:字符串混淆、加密和隧道技术、碎片技术和协议的违规四种。针对高级隐遁攻击应当考虑新的拦截模式,单纯的特征库匹配模式不再能够完全达到拦截目的,因此,本专利技术将提出一种全新的网络入侵检测方法,该方法将大大提高网络的安全系数。
技术实现思路
为了克服现有技术的缺陷,本专利技术的目的在于提出一种能够提高网络安全系数的网络入侵检测方法。为实现上述目的,本专利技术所述的网络入侵检测方法,其包含如下具体步骤:A)捕获网络中的数据包;B)对所捕获的数据包进行全协议栈解析,得到协议变量,即原始报文数据包的各协议层数据;C)通过确定性有限状态机将正则表达式规则集编译成DFA状态转换表,对DFA状态转换表进行压缩;D)将步骤B解析后的数据写入压缩后的DFA状态转换表做匹配;E)输出匹配结果。进一步地,所述步骤B中进行全协议栈解析是指按照协议的层次划分从底到顶逐层进行解析,即对包括应用层协议在内的所有协议数据进行重组后,再进一步继续进行解析。进一步地,对所述协议数据进行重组的具体步骤包括:从捕获的原始数据包中提取与IP协议相关的描述特征,分析其中的数据报文;对分析后的数据报文按照其规范进行重新拼装,并保存到特定的内存结构中。进一步地,所述步骤C中,对DFA状态转换表进行压缩的具体步骤包括:对DFA状态转换表的每一行,将转换状态相同的输入字符分为同一组;对DFA状态转换表的每一行,将分在同一组的相邻或邻近的输入字符及其转换状态用三元组信息来表示,该三元组信息为起始字符,位图和转换状态;对DFA状态转换表的每一行,当分在同一组的输入字符不能被单个所述三元组信息编码时,由多个所述三元组来编码;对DFA状态转换表的每一行,如果其包含的所述三元组的个数不超过预设的阀值,则该状态行用上述三元组编码的方式存放在高速存储器中;否则,该状态行不压缩,用一维线性数组的方式存储在片外DRAM中;对状态值重新映射,使得存放三元组的高速存储器中存放的状态值都小于片外DRAM存放的状态值;将片外DRAM存放的状态值中的极小值作为分界值。进一步地,所述起始字符为分组内最小的输入字符;所述位图以二进制表示,计算该组各个输入字符相对于起始字符的偏移值,将位图上与这些偏移值相对应的比特位置为1,其余比特位置为O。进一步地,所述步骤D的具体方法包括:4a)以DFA状态转换表的起始状态和报文首字符作为起始输入;4b)如果该状态是终结状态则结束匹配;如果状态值小于所述分界值,则执行步骤4c查找存放三元组的高速存储器;否则,执行步骤4d查找片外DRAM ;4c)根据一维线性数组索引的方式,从存放三元组的高速存储器中读出该状态行的所有三元组编码,将每一个三元组编码中位图比特偏移值置I的字符与该输入字符进行匹配;如果匹配到,则取该字符所在三元组的转移状态和报文的下个字符作为输入,执行步骤4b ;如果没有匹配到任何三元组,则匹配失败并结束;4d)根据二维线性数组索引的方式,从片外DRAM中读取对应的转移状态;如果有转移状态,则取该转移状态和报文的下个字符作为输入,执行步骤4b ;如果没有转移状态,则匹配失败并结束。与现有技术相比,本专利技术的有益效果在于: 本专利技术通过对数据包进行全协议栈解析,可以有效地提高网络入侵监测分析的速度;能够大大节省匹配事件时间,降低误报率,提高准确率;当出现网络事件新特征和在关注特殊网络数据特征时,可以在不升级应用程序的前提下,迅速地把这些特征增加到含有NIDS事件库的特征数据模块中,达到报警的目的;还可以通过灵活的用户可定义接口,实现了特征数据模块的更新与程序无关,确保了 NIDS系统对安全事件的快速响应,以及用户可现场定制特征事件的能力。此外,本专利技术基于DFA状态转移表的稀疏和相近输入字符转移状态相同这两个特征,采用起始字符、位图、转移状态的三元组编码方式,能够有效的压缩DFA状态转移表,从而将压缩部分放入高速存储器中,有效减少了片外DRAM存储空间的需求。并且DFA状态转移表存放在高速存储器中也有利于硬件实现高速报文匹配。【附图说明】图1是本专利技术中经过全协议栈解析后的结构示意图;图2是一个基于并行处理的IP协议及其数据还原方法流程图;图3是实施专利技术的典型应用环境;图4是IP重组后的输出实例。图5是本专利技术对DFA状态转换表进行压缩以及与数据进行匹配部分的硬件结构示意图。【具体实施方式】下面结合附图对本专利技术的方法做进一步详细的说明。本专利技术所述的 网络入侵检测的方法,其包含如下具体步骤:第一步,捕获网络中的数据包;第二步,对所捕获的数据包进行全协议栈解析,得到协议变量,即原始报文数据包的各协议层数据;第三步,通过确定性有限状态机将正则表达式规则集编译成DFA状态转换表,对DFA状态转换表进行压缩;第四步,将第二步解析后的数据写入压缩后的DFA状态转换表做匹配;第五步,输出匹配结果。第二步的具体实现过程如下:全协议栈解析是指按照协议的层次划分从底到顶逐层进行解析,对包括应用层协议在内的所有协议数据进行重组后,再进一步继续进行解析。其实施过程是发送一系列相关的原始报文数据包至本地网络中,并包含如下的原始数据。相应说明如下表1所示:表1本文档来自技高网...
【技术保护点】
一种网络入侵检测方法,其特征在于,包括以下步骤: A)捕获网络中的数据包; B)对所捕获的数据包进行全协议栈解析,得到协议变量,即原始报文数据包的各协议层数据; C)通过确定性有限状态机将正则表达式规则集编译成DFA状态转换表,对DFA状态转换表进行压缩; D)将步骤B解析后的数据写入压缩后的DFA状态转换表做匹配; E)输出匹配结果。
【技术特征摘要】
1.一种网络入侵检测方法,其特征在于,包括以下步骤: A)捕获网络中的数据包; B)对所捕获的数据包进行全协议栈解析,得到协议变量,即原始报文数据包的各协议层数据; C)通过确定性有限状态机将正则表达式规则集编译成DFA状态转换表,对DFA状态转换表进行压缩; D)将步骤B解析后的数据写入压缩后的DFA状态转换表做匹配; E)输出匹配结果。2.如权利要求1所述的方法,其特征在于,所述步骤B中,进行全协议栈解析是指按照协议的层次划分从底到顶逐层进行解析,即对包括应用层协议在内的所有协议数据进行重组后,再进一步继续进行解析。3.如权利要求2所述的方法,其特征在于,所述步骤B中,对协议数据进行重组的具体步骤包括: 从捕获的原始数据包中提取与IP协议相关的描述特征,分析其中的数据报文; 对分析后的数据报文按照其规范进行重新拼装,并保存到特定的内存结构中。4.如权利要求1所述的方法,其特征在于,所述步骤C中,对DFA状态转换表进行压缩的具体步骤包括: 对DFA状态转换表的每一行,将转换状态相同的输入字符分为同一组; 对DFA状态转换表的每一行,将分在同一组的相邻或邻近的输入字符及其转换状态用三元组信息来表示,该三元组信息为起始字符,位图和转换状态; 对DFA状态转换表的每一行,当分在同一组的输入字符不能被单个所述三元组信息编码时,由多个所述三元组来编码; 对DFA状态转换表的每一行,如果其包含的所述三元组...
【专利技术属性】
技术研发人员:田玥,
申请(专利权)人:田玥,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。