技術領域

本發明涉及可用于多種網絡安全產品中的一種通用協議解析方法及系統，它依據網絡數據流中報文特征提供強大的協議解析功能，屬于網絡技術領域。

背景技術

協議解析技術是入侵檢測及審計系統的核心組成模塊，通常的入侵檢測及審計的準確性和效率依賴于協議解析的準確性和效率。目前多數IDS/IPS產品都基于端口映射表來判斷網絡報文所屬協議類型從而進行進一步的協議解析，比如，如發現捕獲的網絡報文中源/目的端口為21，則認為它是FTP(File?TransferProtocol)協議報文，進一步使用FTP協議格式對數據報文進行解析。通常這種端口映射表在IDS/IPS產品出廠時已確定，事實上由于網絡上各種協議種類繁多，各種新的協議層出不窮。例如P2P(Peer?to?peer?protocol)協議，它并不采用固定的協議端口，而是在協議運行過程中動態協商端口。總之，為了躲避IDS/IPS產品的入侵檢測很多協議都采用了特殊的處理方式：

1)不使用固定通信端口進行通信；

2)使用知名的協議端口，比如80或者443之類的；

3)同時支持多端口嘗試的；

4)采用隧道技術進行私有協議通信(比如HTTP隧道技術)。

在以上4種情況下，IDS/IPS產品無法根據端口表來正確識別報文所屬協議類型，IDS/IPS產品將產生大量的誤報或漏報。因此，有必要發展不完全依賴于協議端口的通用協議解析系統，以減少IDS/IPS產品的漏報。此外目前常用的協議解析工具的設計與實現并沒有充分考慮到如何用于入侵檢測產品當中以達到在高效準確的進行數據報文解析的同時完成入侵檢測功能。同時一個好的協議分析器必須有很好的可擴展性和結構，本發明采用協議插件技術提供了很好的擴展性，在添加新的協議解析插件時無需對系統進行大的改動。本發明設計的通用協議解析方法應該滿足以下要求：

1)能啟發式的根據報文特征對協議進行解析，而不單純依賴于端口映射表；

2)盡可能根據協議報文特征快速對協議進行解析；

3)方法通用性強，檢測能力強大，盡可能多的解析網絡協議；

4)良好的可擴展性和設計結構，事實上由于網絡上各種協議種類繁多，各種新的協議層出不窮。一個好的協議分析器必需有很好的可擴展性和結構。這樣才能適應網絡發展的需要不斷加入新的協議解析器；

5)與入侵檢測引擎具有良好的交互方式，兩者之間定義了通用簡單的交互接口。

發明內容

本發明提出一種通用協議解析方法及系統，所述的通用協議解析技術可以滿足：強大的協議解析能力，具有基于端口和啟發式的智能解析方法；具有良好的可擴展性，具有基于插件技術的協議分析器；具有良好的設計結構，采用了協議樹加特征字的設計，使通用協議解析系統在協議解析上有了很強的擴展性，增加一個協議解析器只需要將解析函數掛到協議樹的相應節點上即可；與IDS/IPS良好的協調工作的能力，通用協議解析系統擁有良好的設計接口，使其能保持同IDS/IPS進行良好的數據交互過程。

本發明的目的是這樣實現的，一種通用協議解析方法，包括以下的步驟：

通用協議解析系統的協議及字段的注冊步驟；

通用協議解析系統的捕報步驟；

通用協議解析系統的協議解析步驟；

數據交互的建立步驟；

數據處理的步驟。

一種通用協議解析系統，包括有：

對數據報進行內容和形式異常檢測，判斷攻擊行為是否發生的入侵檢測引擎；

對用戶的命令和顯示進行處理的通用協議解析控制臺；

負責串聯其他裝置的通用協議解析控制模塊；

負責獲取網絡報文的捕報器；

對數據報文件的格式進行轉換的存儲器；

負責對協議進行詳細數據報解析的協議解析器。

所述的入侵檢測引擎與通用協議解析系統連接；所述的通用協議解析控制臺與通用協議解析控制模塊連接；所述的通用協議解析控制模塊與捕報器、存儲器和協議解析器連接；所述的捕報器與工作在網卡驅動層的winpcap/libpcap(網絡數據報捕獲開發報)連接。