本发明专利技术公开了一种网络入侵检测方法、装置、电子设备和存储介质,应用于Suricata框架中,该方法包括:接收网络数据,并基于预设解析算法对网络数据中的GTP协议数据进行解析,得到解析数据;基于解析数据将网络数据缓存到key
【技术实现步骤摘要】
一种网络入侵检测方法、装置、电子设备和存储介质
[0001]本申请涉及计算机
,更具体地,涉及一种网络入侵检测方法、装置、电子设备和存储介质。
技术介绍
[0002]随着大数据和人工智能技术的飞速发展,网络用户规模不断扩大,引入了更多的网络流量和网络安全问题。入侵检测技术是网络技术不断发展的结果,通过对计算机网络的信息和行为进行监测和分析,判断异常信息的存在,可以有效地检测网络攻击。
[0003]与被动防御的杀毒软件不同,网络信息管理系统中的入侵检测是将入网信息和系统规则库里事先设定好的模板进行匹配比较,从而完成对不安全信息的检测,由于需要对所有入网信息进行排查,进而造成检测效率低,内存消耗大,甚至会对网络性能造成不良影响。
[0004]因此,如何提高网络入侵检测的检测效率并降低内存消耗,是目前有待解决的技术问题。
技术实现思路
[0005]本申请实施例提供一种网络入侵检测方法、装置、电子设备和存储介质,用以提高网络入侵检测的检测效率并降低内存消耗。
[0006]第一方面,提供一种网络入侵检测方法,应用于Suricata框架中,所述方法包括:接收网络数据,并基于预设解析算法对所述网络数据中的GTP协议数据进行解析,得到解析数据;基于所述解析数据将所述网络数据缓存到key
‑
value数据库,并按预设数据格式对所述网络数据进行格式化,得到格式化数据;将所述格式化数据写入预设循环缓冲区中的当前子缓冲区,得到当前缓冲数据;根据所述当前缓冲数据的处理类型对所述当前缓冲数据进行处理,得到待匹配数据,所述处理类型包括创建操作、或修改操作、或删除操作;将所述待匹配数据发送到FPGA中并与所述FPGA中的预设规则进行匹配,根据匹配结果确定所述网络数据的入侵检测结果。
[0007]第二方面,提供一种网络入侵检测装置,应用于Suricata框架中,所述装置包括:解析模块,用于接收网络数据,并基于预设解析算法对所述网络数据中的GTP协议数据进行解析,得到解析数据;格式化模块,用于基于所述解析数据将所述网络数据缓存到key
‑
value数据库,并按预设数据格式对所述网络数据进行格式化,得到格式化数据;写入模块,用于将所述格式化数据写入预设循环缓冲区中的当前子缓冲区,得到当前缓冲数据;处理模块,用于根据所述当前缓冲数据的处理类型对所述当前缓冲数据进行处理,得到待匹配数据,所述处理类型包括创建操作、或修改操作、或删除操作;匹配模块,用于将所述待匹配数据发送到FPGA中并与所述FPGA中的预设规则进行匹配,根据匹配结果确定所述网络数据的入侵检测结果。
[0008]第三方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的
可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行第一方面所述的网络入侵检测方法。
[0009]第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的网络入侵检测方法。
[0010]通过应用以上技术方案,接收网络数据,并基于预设解析算法对网络数据中的GTP协议数据进行解析,得到解析数据;基于解析数据将网络数据缓存到key
‑
value数据库,并按预设数据格式对网络数据进行格式化,得到格式化数据;将格式化数据写入预设循环缓冲区中的当前子缓冲区,得到当前缓冲数据;根据当前缓冲数据的处理类型对当前缓冲数据进行处理,得到待匹配数据,处理类型包括创建操作、或修改操作、或删除操作;将待匹配数据发送到FPGA中并与FPGA中的预设规则进行匹配,根据匹配结果确定网络数据的入侵检测结果,从而提高了网络入侵检测的检测效率,并降低了内存消耗。
附图说明
[0011]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0012]图1示出了本专利技术实施例提出的一种网络入侵检测方法的流程示意图;
[0013]图2示出了本专利技术实施例中预设循环缓冲区的原理示意图;
[0014]图3示出了本专利技术实施例提出的一种网络入侵检测装置的结构示意图;
[0015]图4示出了本专利技术实施例提出的一种电子设备的结构示意图。
具体实施方式
[0016]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0017]本申请实施例提供一种网络入侵检测方法,应用于Suricata框架中,如图1所示,该方法包括以下步骤:
[0018]步骤S101,接收网络数据,并基于预设解析算法对所述网络数据中的GTP协议数据进行解析,得到解析数据。
[0019]本实施例中,基于Suricata框架进行网络入侵检测,Suricata是基于开源签名的入侵检测引擎,旨在改善协议标识并引入基于脚本的检测。对于协议标识,Suricata允许网络管理员在协议文件中定义协议类型或特定端口,并且提供了大量可用于与协议字段匹配的关键字,不再使用模式匹配对关键字进行匹配,而是引入了基于脚本的检测和经过精心设计的数据结构来解析和记录流信息。
[0020]网络数据可以是从网络运营商获取的网络数据流,网络数据中包括GTP(GPRSTunnelingProtocol,GPRS隧道协议)协议数据。基于预设解析算法对GTP协议数据进行解析后得到解析数据,可选的,解析数据包括各个用户的入网信息、身份ID(包括但不限
于IMEI、MSISDN、IMSI等)、位置信息等。
[0021]步骤S102,基于所述解析数据将所述网络数据缓存到key
‑
value数据库,并按预设数据格式对所述网络数据进行格式化,得到格式化数据。
[0022]本实施例中,为了保证可靠的对网络数据进行入侵检测,需要先将网络数据进行缓存和格式化,具体的,基于解析数据确定key值,并将网络数据缓存到key
‑
value数据库,并基于预设数据格式对网络数据进行格式化后得到格式化数据。
[0023]可选的,该key
‑
value数据库可以为redis数据库,预设数据格式可以为包括二进制、JSON、XML中的任一种。
[0024]步骤S103,将所述格式化数据写入预设循环缓冲区中的当前子缓冲区,得到当前缓冲数据。
[0025]本实施例中,为了避免由于内存多次复制造成性能的降低,预先设置预设循环缓冲区接收格式化数据。预设循环缓冲区为由多个子缓冲区组成的环形队列,可直接将格式化数据的数据包依次写入各子缓冲区分别进行相应本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络入侵检测方法,其特征在于,应用于Suricata框架中,所述方法包括:接收网络数据,并基于预设解析算法对所述网络数据中的GTP协议数据进行解析,得到解析数据;基于所述解析数据将所述网络数据缓存到key
‑
value数据库,并按预设数据格式对所述网络数据进行格式化,得到格式化数据;将所述格式化数据写入预设循环缓冲区中的当前子缓冲区,得到当前缓冲数据;根据所述当前缓冲数据的处理类型对所述当前缓冲数据进行处理,得到待匹配数据,所述处理类型包括创建操作、或修改操作、或删除操作;将所述待匹配数据发送到FPGA中并与所述FPGA中的预设规则进行匹配,根据匹配结果确定所述网络数据的入侵检测结果。2.如权利要求1所述的方法,其特征在于,根据所述当前缓冲数据的操作类型对所述当前缓冲数据进行处理,得到待匹配数据,具体为:根据所述当前缓冲数据的哈希因子确定当前哈希值;根据所述当前哈希值查询预设哈希表,并根据所述操作类型和查询结果对所述当前缓冲数据进行处理,得到待匹配数据;其中,所述哈希因子包括GTP协议版本、内网IP地址和外网IP地址。3.如权利要求2所述的方法,其特征在于,根据所述当前哈希值查询预设哈希表,并根据所述操作类型和查询结果对所述当前缓冲数据进行处理,得到待匹配数据,具体为:若所述处理类型为所述创建操作或所述修改操作,且所述预设哈希表中不存在所述当前哈希值,将所述当前哈希值填入所述预设哈希表中,并将所述当前缓冲数据作为所述待匹配数据;若所述处理类型为所述修改操作且所述预设哈希表中存在所述当前哈希值,在所述FPGA中删除与所述当前哈希值对应的旧数据,并将所述当前缓冲数据作为所述待匹配数据。4.如权利要求3所述的方法,其特征在于,在根据所述当前哈希值查询预设哈希表之后,所述方法还包括:若所述处理类型为所述创建操作且所述预设哈希表中存在所述当前哈希值,更新所述旧数据的时间戳;若所述处理类型为所述删除操作且所述预设哈希表中存在所述当前哈希值,从所述预设哈希表中删除所述当前哈希值,并在所述FPGA中删除所述旧数据;若所述处理类型为所...
【专利技术属性】
技术研发人员:周昔元,关创创,张杰,
申请(专利权)人:成都卓讯智安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。