System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种基于端口的入侵检测规则分组及查询方法技术_技高网
当前位置: 首页 > 专利查询>天翼云科技有限公司专利>正文

一种基于端口的入侵检测规则分组及查询方法技术

技术编号:40954525 阅读:2 留言:0更新日期:2024-04-18 20:30
本发明专利技术提供一种基于端口的入侵检测规则分组及查询方法,包括规则分组,所述规则分组包括如下步骤:步骤S1、新建用于保存规则分组和端口特征的链表;步骤S2、读取一条入侵检测规则,取出其端口特征。本发明专利技术基于规则中的端口信息对规则进行分组,与传统规则分组方法相结合,可以在传统规则分组方法的基础上进一步细分规则,进一步减少每个分组中规则的数量,进而提高检测引擎的检测效率,规则中的端口信息越分散,每个分组中规则的数量越少,所构建生成的检测引擎的检测效率越高,提供分组查询的方法,每次报文检测时,先用端口查询分组,命中唯一一个规则分组,提高检测效率。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络技术与安全,尤其涉及为一种基于端口的入侵检测规则分组及查询方法


技术介绍

1、传统的入侵检测系统依靠大量的规则来实现对威胁的发现和阻断,由大量的规则所构建的检测引擎,是入侵检测系统的核心。规则数量越大,所构建生成的检测引擎的检测效率就越低,为了提高检测的效率,入侵检测系统会对规则进行分组,将大量规则按照一定的原则分成若干个分组,每个分组包含较少的规则,然后再基于这些分组构建检测引擎,这样所构建生成的检测引擎的检测效率就会提高。常用的方法是按照传输层协议、方向、应用层协议字段等参数对规则进行分组,但是即便如此,随着规则数量的增加,每个分组所包含的规则数量也越来越大,检测效率也越来越低。


技术实现思路

1、针对现有技术存在的不足,本专利技术目的是提供一种基于端口的入侵检测规则分组及查询方法,在使用传统规则分组方法之前,先使用本分组方法对规则进行分组,然后再针对每个分组使用传统规则分组方法,最终进一步减少每个分组中规则的数量,同时也提出基于端口的规则分组的查询方法,使得在报文检测时命中唯一一个规则分组,分组方法与查询方法相结合,进一步提高检测引擎的检测效率。

2、为了实现上述目的,本专利技术是通过如下的技术方案来实现:一种基于端口的入侵检测规则分组及查询方法,包括规则分组,所述规则分组包括如下步骤:

3、步骤s1、新建用于保存规则分组和端口特征的链表;

4、步骤s2、读取一条入侵检测规则,取出其端口特征;

5、步骤s3、如果链表为空,当前入侵检测规则和端口特征直接加入链表,返回步骤s2,否则继续;

6、步骤s4、与链表当前节点的端口特征比较,比较两个端口的重合关系;

7、步骤s5、端口完全相等,把当前入侵检测规则加入链表当前节点的规则组中,返回步骤s2,否则继续;

8、步骤s6、如果当前规则的端口与当前节点的端口特征完全不重合,且端口范围大于当前节点的端口范围;

9、步骤s7、当前节点的下一个节点为空,把当前规则和端口特征追加到当前节点之后,返回步骤s2;当前节点的下一个节点不为空,则更新当前节点为下一个节点,返回步骤s4;

10、步骤s8、当前规则和端口特征插入到当前节点之前,返回步骤s2;

11、步骤s9、当前规则的端口与当前节点的端口特征部分重合,且当前节点的端口范围小于当前规则的端口范围;

12、步骤s10、把端口范围切割成abc三段,a段规则组不变,端口特征更新到当前节点,b段规则组为当前节点规则组加当前规则,c段规则组为当前规则,b段和c段依次返回执行步骤s4;

13、步骤s11、把端口范围切割成abc三段,a段规则组更新为当前规则,端口特征更新到当前节点,b段规则组为当前节点规则组加当前规则,c段规则组为当前节点规则组,b段和c段依次返回执行步骤s4;

14、步骤s12、把端口范围切割成ab两段,a段规则组更新为当前节点规则组加当前规则,端口特征更新到当前节点,b段规则组为当前规则,b段返回执行步骤s4;

15、步骤s13、把端口范围切割成ab两段,a段规则组更新为当前规则,端口特征更新到当前节点,b段规则组为当前节点规则组加当前规则,b段返回执行步骤s4;

16、步骤s14、把端口范围切割成abc三段,a段规则组更新为当前规则,端口特征更新到当前节点,b段规则组为当前节点规则组加当前规则,c段规则组为当前规则,b段和c段依次返回执行步骤s4;

17、步骤s15、把端口范围切割成ab两段,a段规则组更新为当前节点规则组加当前规则,端口特征更新到当前节点,b段规则组为当前节点规则组,b段返回执行步骤s4;

18、步骤s16、把端口范围切割成ab两段,a段端口特征更新到当前节点,b段规则组为当前节点规则组加当前规则,b段返回执行步骤s4;

19、步骤s17、把端口范围切割成abc三段,a段端口特征更新到当前节点,b段规则组为当前节点规则加当前规则,c段规则组为当前节点规则组,b段和c段依次返回执行步骤s4;

20、步骤s18、基于端口的规则分组完毕。

21、进一步地,所述规则分组包括:在根据端口对规则进行分组时,依次遍历所有规则,根据每条规则之间端口的重合关系,对端口范围进行切割,得到n组完全不重合的端口分组,每个端口分组中包含若干条入侵检测规则。

22、进一步地,所述入侵检测规则按照端口被分成许多规模更小的规则组,在每个小的规则组内再按照原有的拆分原则,根据协议、方向、应用层协议字段做进一步的拆分,构建相应的检测引擎。

23、进一步地,所述规则之间端口分为:完全不重合、完全相等、完全包含和部分重合。

24、进一步地,如图2所示,所述步骤s6中a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s7;当前规则的端口与当前节点的端口特征完全不重合,且端口范围小于当前节点的端口范围,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s8;否则执行步骤s9。

25、进一步地,如图4所示,所述步骤s9中a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s10;

26、当前规则的端口与当前节点的端口特征部分重合,且当前节点的端口范围大于当前规则的端口范围,如图5所示,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s11;

27、当前规则的端口完全包含当前节点的端口特征,且当前节点的端口下限等于当前规则的端口下限,如图6所示,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s12;

28、当前规则的端口完全包含当前节点的端口特征,且当前节点的端口上限等于当前规则的端口上限,如图7所示,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s13;

29、当前规则的端口完全包含当前节点的端口特征,且当前节点的端口上限小于当前规则的端口上限、当前节点的端口下限大于当前规则的下限,如图8所示,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s14;

30、当前节点的端口完全包含当前规则的端口,且当前节点的端口下限等于当前规则的端口下限,如图9所示,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s15;

31、当前节点的端口完全包含当前规则的端口,且当前节点的端口上限等于当前规则的端口上限,如图10所示,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s16;

32、当前节点的端口完全包含当前规则的端口,且当前节点的端口上限大于当前规则的上限、当前节点的端口下限小于当前规则的端口下限,如图11所示,a1-a2为当前节点的端口范围,b1-b2为当前规则本文档来自技高网...

【技术保护点】

1.一种基于端口的入侵检测规则分组方法,其特征在于:包括规则分组,所述规则分组包括如下步骤:

2.根据权利要求1所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述规则分组包括:在根据端口对规则进行分组时,依次遍历所有规则,根据每条规则之间端口的重合关系,对端口范围进行切割,得到N组完全不重合的端口分组,每个端口分组中包含若干条入侵检测规则。

3.根据权利要求2所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述入侵检测规则按照端口被分成许多规模更小的规则组,在每个小的规则组内再按照原有的拆分原则,根据协议、方向、应用层协议字段做进一步的拆分,构建相应的检测引擎。

4.根据权利要求3所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述规则之间端口分为:完全不重合、完全相等、完全包含和部分重合。

5.根据权利要求4所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述步骤S6中a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤S7;当前规则的端口与当前节点的端口特征完全不重合,且端口范围小于当前节点的端口范围,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤S8;否则执行步骤S9。

6.根据权利要求5所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述步骤S9中a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤S10;

7.根据权利要求6所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述步骤S10中,A段规则组不变,端口特征更新到当前节点,B段规则组为当前节点规则组加当前规则,C段规则组为当前规则,B段和C段依次返回执行步骤S4;

8.根据权利要求7所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述步骤S12中,A段规则组更新为当前节点规则组加当前规则,端口特征更新到当前节点,B段规则组为当前规则,B段返回执行步骤S4;

9.根据权利要求8所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述步骤S15中,A段规则组更新为当前节点规则组加当前规则,端口特征更新到当前节点,B段规则组为当前节点规则组,B段返回执行步骤S4;

10.一种基于端口的入侵检测规则分组查询方法,其特征在于:使用权利要求1-9任一项所述的基于端口的入侵检测规则分组方法,所述分组查询包括:在收到报文时,根据报文的目的端口在已经分好的若干个规则组中查询,查到唯一的一个规则组,基于该规则组进行下一步报文检测。

...

【技术特征摘要】

1.一种基于端口的入侵检测规则分组方法,其特征在于:包括规则分组,所述规则分组包括如下步骤:

2.根据权利要求1所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述规则分组包括:在根据端口对规则进行分组时,依次遍历所有规则,根据每条规则之间端口的重合关系,对端口范围进行切割,得到n组完全不重合的端口分组,每个端口分组中包含若干条入侵检测规则。

3.根据权利要求2所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述入侵检测规则按照端口被分成许多规模更小的规则组,在每个小的规则组内再按照原有的拆分原则,根据协议、方向、应用层协议字段做进一步的拆分,构建相应的检测引擎。

4.根据权利要求3所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述规则之间端口分为:完全不重合、完全相等、完全包含和部分重合。

5.根据权利要求4所述的一种基于端口的入侵检测规则分组方法,其特征在于:所述步骤s6中a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s7;当前规则的端口与当前节点的端口特征完全不重合,且端口范围小于当前节点的端口范围,a1-a2为当前节点的端口范围,b1-b2为当前规则的端口范围,执行步骤s8;否则执行步骤s9。

【专利技术属性】
技术研发人员:吴静勇
申请(专利权)人:天翼云科技有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有