技術領域

本發明涉及網絡安全的數據處理方法，特別是涉及一種入侵檢測的數據獲 取方法。

背景技術

入侵檢測(Intrusion?Detection)是對入侵行為的發覺。它通過對計算機網 絡或者計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或 者系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統(IDS) 是進行入侵檢測的軟件和硬件的組合。一般來說，入侵檢測系統可分為主機型 和網絡型。主機入侵檢測系統往往以系統日志、應用程序日志等作為數據源。 網絡入侵檢測系統(NIDS)的數據源則是網絡上的數據包。

請參考圖1和圖2，圖1是現有技術的入侵檢測系統100獲取數據的系統 功能框圖，而圖2是現有技術的入侵檢測系統獲取數據的數據流框圖。如圖1 和圖2所示，現有技術的入侵檢測系統100是在防火墻200的外部獲取數據， 因而存在如下缺陷：

(1)被防火墻過濾掉的流量仍將會出現在入侵檢測的處理中：圖2左側 的數據包獲取位置的操作位于防火墻操作之前，因此，它會獲取被防火墻丟掉 的數據包，這些數據包對于入侵檢測系統沒有意義，反而會造成入侵檢測系統 的誤報。

(2)針對開啟了網絡地址轉換(NAT)功能的流量將無法正常的實現入 侵檢測處理：開啟了NAT操作的防火墻，在進行數據包轉發時需要相應的改 變源Ip、源端口或者目的ip、目的端口。入侵檢測系統需要獲得這些被NAT 操作處理后的地址和端口才能確定正確的攻擊主機和被攻擊主機。這些操作在 圖2的“路由前目標網絡地址轉換(PRE_ROUTING?DNAT)”模塊和“路由 后源網絡地址轉換(POST_ROUTING?SNAT)”模塊中完成，而現有技術獲 取的數據包的ip和端口信息是NAT操作前的信息，從而導致入侵檢測系統定 位到錯誤的攻擊主機或被攻擊主機。

(3)無法把加密后的因特網協議安全(Internet?Protocol?Security，IPsec) 數據包還原成明文進行檢測：IPsec加密數據包會在協議棧(protocol?stack)內 部被解析，現有技術的數據包獲取位置位于協議外部，因此獲取到的是未解密 的數據包，入侵檢測系統無法對密文數據包進行處理。

發明內容

為了解決上述現有技術中所存在的問題或缺陷，本發明的目的之一在于提 供一種入侵檢測的數據獲取方法，用于在包括一防火墻和一入侵檢測系統的架 構中獲取入侵檢測的數據，其特征在于，包括以下步驟：

在該防火墻的一轉發鏈過濾模塊中注冊一數據獲取點；

在進行轉發鏈過濾之后，于所述數據獲取點獲取用于入侵檢測的數據。

所述的入侵檢測的數據獲取方法，其中，獲取數據的方式包括socket通信 方式和字符設備的工作方式。

所述的入侵檢測的數據獲取方法，其中，所述socket通信方式進一步包括：

注冊協議類型；

注冊socket；

在轉發鏈將socket注冊為回調函數，借以在進行轉發鏈過濾之后獲取數 據。

所述的入侵檢測的數據獲取方法，其中，所述字符設備的工作方式進一步 包括：

注冊字符設備；

在轉發鏈將字符設備注冊為回調函數，借以在進行轉發鏈過濾之后獲取數 據。

所述的入侵檢測的數據獲取方法，其中，是采用zero_copy的方式來減少 用戶態和內核態之間的數據復制數量，并且提供mmap函數。

與現有技術相比，本發明所提供的入侵檢測的數據獲取方法能夠獲得防火 墻過濾后的數據，減少誤報；并且能夠獲得NAT操作后的數據，從而正確定 位攻擊者和被攻擊者；還能夠獲得解密后的IPsec數據包，從而正常處理IPsec 數據流。

以下結合附圖和具體實施例對本發明進行詳細描述，但不作為對本發明的 限定。

附圖說明

圖1是現有技術的入侵檢測系統獲取數據的系統功能框圖；

圖2是現有技術的入侵檢測系統獲取數據的數據流框圖；

圖3是本發明的入侵檢測系統獲取數據的系統功能框圖；

圖4是本發明的入侵檢測系統獲取數據的數據流框圖；

圖5是本發明的通過socket通信方式獲取數據的步驟流程圖；