基于深度协议分析的威胁检测方法技术

本发明专利技术提供了一种发现网络上潜在的或者正在发生的网络威胁事件的方法，尤其是基于深度协议分析的威胁检测方法。其特点是，包括如下步骤：由数据包捕获模块从以太网络中采集数据包，或者通过交换机端口镜像获取所有流经网络出口的数据包，将获取的原始数据包传递给协议识别模块，协议识别模块对原始数据包先进行IP重组，当发现具有TCP会话标识时则启动TCP会话重组，重组完成的网络层数据和应用层数据传递给深度协议分析模块。同时相比于类似的已有方法，本发明专利技术能够针对绝大部分常用的网络协议进行分析，并且能够深入协议内部，对协议的载荷进行直接的分析，适应能力和检测效果都较好。

Threat Detection Method Based on Deep Protocol Analysis

【技术实现步骤摘要】
基于深度协议分析的威胁检测方法
本专利技术提供了一种发现网络上潜在的或者正在发生的网络威胁事件的方法，尤其是基于深度协议分析的威胁检测方法。
技术介绍
目前，通过网络数据采集，基于大数据分析来发现网络中的入侵行为，主要依据网络设备的日志或者网络中部署的网络安全设备的告警。如专利技术专利201410526907.1，一种安全态势分析统计方法中所描述的，通过对日志的预处理获得归一化的作业数据，采用数据挖掘等分析算法获得日志数据的特征，再和特征库进行比对来发现潜在的安全事件。依赖于网络设备的日志或者安全设备的告警具有一定的局限性，即当这类网络入侵的特征不在网络日志或者安全设备告警的范围内时，无法及时发现。目前也有采用网络全流量分析的方法，如专利技术专利201310365136.8，一种主动威胁发现系统所描述的采用在交换机分光的方法，对网络流量进行备份和离线分析。其局限性在于仅能分析网络的流量特征，无法深入协议内部提取威胁特征。针对具体网络协议的特点来提取网络威胁特征方法已经被提出，如专利技术专利201710579846.9，一种网络安全事件分类与预测方法及系统提出针对HTTP协议，融合分词及向量分析法来发现异常行为。其局限性在于仅能针对特定的网络协议，此处为HTTP协议。
技术实现思路
本专利技术的目的是提供一种基于深度协议分析的威胁检测方法，能够针对绝大部分常用的网络协议进行分析，并且能够深入协议内部，对协议的载荷进行直接的分析，适应能力和检测效果都较好。一种基于深度协议分析的威胁检测方法，其特别之处在于，包括如下步骤：由数据包捕获模块从以太网络中采集数据包，或者通过交换机端口镜像获取所有流经网络出口的数据包，将获取的原始数据包传递给协议识别模块，协议识别模块对原始数据包先进行IP重组，当发现具有TCP会话标识时则启动TCP会话重组，重组完成的网络层数据和应用层数据传递给深度协议分析模块，深度协议分析模块依据协议识别结果，从规则库中提取预先基于协议归类的规则模板，对协议数据进行指纹识别和统计特征匹配，当深度协议分析模块发现威胁事件，则生成告警信息发送给控制台模块，控制台模块将告警信息通知管理员。其中IP重组具体如下：1)根据抓取的报文中包含的标识符、不分片标志DF和更多分片标志MF来判断该数据报是否为分片，即DF＝0允许分片，MF＝1还有更多分片；2)检查并删除超时IP数据报的二级分片树，记录不完整的IP数据报，查找满足该数据报源地址和目的地址的树节点，并返回所对应分组树的分片跟踪结构变量；3)检查分片是否已经全部到达，利用二叉树遍历二级分片树的每一个节点，检查更多分片标志MF，如果MF为0，表明分片数据已经全部到达；4)将所有已经到达的分片进行重组，利用二叉树遍历算法，将当前节点的数据填充到重组缓存中，如果重组后的数据长度超过65536，表明重组出错，产生告警信息，并停止重组，并丢弃该数据包；如果数据长度没有超过65536，则持续填充直至数据包填满。其中TCP重组具体如下：1)接收到三次握手的SYN、SYN+ACK和ACK报文段，根据该报文的源/目的IP地址、端口号来标记一个数据流连接，分配一个会话数据结构，设置初始序列号，最小时钟和滑动窗口大小；2)根据接收到的数据报文段源IP地址和目的IP地址、端口号找到对应的TCP连接，并把该报文所载的数据存放在报文序列号对应的数据流缓存区中；3)当数据流缓存区中的数据达到连续完整的会话数据包序列512KB及以上时，将数据递交上一层分析程序；4)如果接收到关闭阶段的FIN报文段和ACK报文段，则向上一层的分析程序递交报告，并且将TCP数据结构收回。其中深度协议分析具体如下：1)将威胁识别的特征库按照底层协议分析和应用层协议分析划分规则集，将特征库划分为多个子集，每一个子集对应上述的一种协议；2)将IP重组后的网络层数据和TCP重组后的应用层数据按照底层协议和应用层协议相应的规则分别交由对应的分析代理进行规则匹配；3)分析代理以统计学分析、指纹匹配和异常检测技术的规则集来决定如何分析数据包，检测引擎将数据包中的数据与已知的攻击指纹进行深度匹配，判断是否存在恶意攻击，同时利用统计特征进行模式匹配来识别威胁。进一步的，其中底层协议分析包括IP、TCP、UDP、ICMP和IGMP，应用层协议分析包括FTP、SMTP、HTTP、TELNET和DNS。为了克服现有技术中依赖于设备日志和安全防护设备告警来发现网络威胁的局限性，本专利技术提供一种基于深度协议分析的网络威胁检测技术，它能够弥补原先单一依赖日志分析的检测技术的漏检缺陷。同时相比于类似的已有方法，本专利技术能够针对绝大部分常用的网络协议进行分析，并且能够深入协议内部，对协议的载荷进行直接的分析，适应能力和检测效果都较好。本专利技术的有益效果还包括，作为传统的以日志分析为核心的威胁检测手段的有效补充，将日志分析和深度协议分析相结合，能够有效提高网络威胁的识别率。附图说明附图1是本专利技术方法具体实现的系统功能模块框图；附图2是一种典型的深度协议分析子模块的功能模块框图。具体实施方式本专利技术方法针对深度协议分析的技术方案，除了基本的数据包捕获，按照处理流程包括智能协议识别和深度协议分析两个部分。传统的网络安全设备如防火墙是通过协议端口映射表来识别网络报文的协议类型。但是新型网络攻击大多可以在任意的网络端口上展开，从而逃避网络安全设备的检测。智能协议识别，通过动态分析网络协议报文所具有协议特征，识别其所属协议，然后提交给后续的协议分析引擎作进一步处理。协议识别可以在完全不需要人工参与的情况下，准确高效地检测出通过智能隧道或者动态端口所实施的恶意程序入侵，并可以发现邦定在任意端口的木马、后门等，对于运行智能隧道技术的软件也能够准确识别和分析。实施例1：一种基于深度协议分析的威胁检测方法，包括如下步骤：由数据包捕获模块从以太网络中采集数据包，或者通过交换机端口镜像获取所有流经网络出口的数据包，将获取的原始数据包传递给协议识别模块，协议识别模块对原始数据包先进行IP重组，当发现具有TCP会话标识时则启动TCP会话重组，重组完成的网络层数据和应用层数据传递给深度协议分析模块，深度协议分析模块依据协议识别结果，从规则库中提取预先基于协议归类的规则模板，对协议数据进行指纹识别和统计特征匹配，当深度协议分析模块发现威胁事件，则生成告警信息发送给控制台模块，控制台模块将告警信息通知管理员。其中IP重组具体如下：1)根据抓取的报文中包含的标识符、DF(不分片标志)和MF(更多分片标志)来判断该数据报是否为分片，即DF＝0，允许分片，MF＝1，还有更多分片；2)检查并删除超时IP数据报的二级分片树，记录不完整的IP数据报，查找满足该数据报源地址和目的地址的树节点，并返回所对应分组树的分片跟踪结构变量；3)检查分片是否已经全部到达，利用二叉树遍历二级分片树的每一个节点，检查更多分片标志，如果MF为0，表明分片数据已经全部到达；4)将所有已经到达的分片进行重组，利用二叉树遍历算法，将当前节点的数据填充到重组缓存中，如果重组后的数据长度超过65536，表明重组出错，产生告警信息，并停止重组，并丢弃该数据包；如果数据长度没有超过65536，则持续填充直至数据包填满。其中TCP重组本文档来自技高网...

【技术保护点】
1.一种基于深度协议分析的威胁检测方法，其特征在于，包括如下步骤：由数据包捕获模块从以太网络中采集数据包，或者通过交换机端口镜像获取所有流经网络出口的数据包，将获取的原始数据包传递给协议识别模块，协议识别模块对原始数据包先进行IP重组，当发现具有TCP会话标识时则启动TCP会话重组，重组完成的网络层数据和应用层数据传递给深度协议分析模块，深度协议分析模块依据协议识别结果，从规则库中提取预先基于协议归类的规则模板，对协议数据进行指纹识别和统计特征匹配，当深度协议分析模块发现威胁事件，则生成告警信息发送给控制台模块，控制台模块将告警信息通知管理员。

【技术特征摘要】
1.一种基于深度协议分析的威胁检测方法，其特征在于，包括如下步骤：由数据包捕获模块从以太网络中采集数据包，或者通过交换机端口镜像获取所有流经网络出口的数据包，将获取的原始数据包传递给协议识别模块，协议识别模块对原始数据包先进行IP重组，当发现具有TCP会话标识时则启动TCP会话重组，重组完成的网络层数据和应用层数据传递给深度协议分析模块，深度协议分析模块依据协议识别结果，从规则库中提取预先基于协议归类的规则模板，对协议数据进行指纹识别和统计特征匹配，当深度协议分析模块发现威胁事件，则生成告警信息发送给控制台模块，控制台模块将告警信息通知管理员。2.如权利要求1所述的基于深度协议分析的威胁检测方法，其特征在于：其中IP重组具体如下：1)根据抓取的报文中包含的标识符、不分片标志DF和更多分片标志MF来判断该数据报是否为分片，即DF＝0允许分片，MF＝1还有更多分片；2)检查并删除超时IP数据报的二级分片树，记录不完整的IP数据报，查找满足该数据报源地址和目的地址的树节点，并返回所对应分组树的分片跟踪结构变量；3)检查分片是否已经全部到达，利用二叉树遍历二级分片树的每一个节点，检查更多分片标志MF，如果MF为0，表明分片数据已经全部到达；4)将所有已经到达的分片进行重组，利用二叉树遍历算法，将当前节点的数据填充到重组缓存中，如果重组后的数据长度超过65536，表明重组出错，产生告警信息，并停止重组，并丢弃该数据包；如果数据长度没有超过65536，则持续填充直至数据包填满。3.如权利要求1所述的基于...

【专利技术属性】
技术研发人员：贾博，华荣锦，孙寅，于烨，李斌，刘思尧，张波，郭景维，康乐，杨飞，
申请(专利权)人：国家电网公司，国网宁夏电力有限公司信息通信公司，国网宁夏电力有限公司，
类型：发明
国别省市：北京,11