技術領域

本發明涉及網絡安全技術領域，特別涉及一種基于漏洞特征規則的高速網絡入侵檢測與防護方法及裝置。

背景技術

當今，因特網已經進入了高速寬帶網絡時代，并且速度和流量仍在不斷提高。與此同時，因特網上應用的多樣性和復雜性也不斷提高。網絡設備和各種應用不可避免地存在各種漏洞，而速度的提高和應用的日益復雜化使得防御來自網絡的入侵變得越來越困難。其中，網絡漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。這些漏洞會被黑客利用導致巨大損失。具體的說，網絡漏洞會影響到很大范圍的軟硬件設備，包括作系統本身及其支撐軟件，網絡客戶和服務器軟件，網絡路由器和安全防火墻等。在不同種類的軟、硬件設備，同種設備的不同版本之間，由不同設備構成的不同系統之間，以及同種系統在不同的設置條件下，都會存在各自不同的安全漏洞問題。

為避免出現上述網絡入侵問題，構建網絡入侵檢測與防護系統(Network?Intrusion?Detection/Prevention?System，NIDS/NIPS)成為現今預防及檢測網絡入侵的重要手段之一。準確性和速度是衡量NIDS/NIPS的兩大指標。其中，準確性具有首要意義，特別是對NIPS而言。因為NIPS當檢測到一個連接為可疑連接時，必須實時將其切斷。為了確保被切斷的連接一定是可疑連接，檢測系統必須具有很高的準確性，這就要求每一條規則應該非常準確。

目前，主流的網絡入侵檢測與防護系統大多采用正則表達式匹配技術，例如開源的NIDS系統(Snort、Bro等)，以及商用的NIDS/NIPS(Cisco或Juniper公司等的產品)。多條正則表達式規則能夠合并在一起同時進行匹配，這一特點使得增減規則非常方便，速度也能夠達到較高的水平。但是，正則表達式匹配不能夠很準確地描述入侵行為的特征。在理論上，研究者已經證明，圖靈機是描述對漏洞入侵行為的準確技術。正則表達式的描述能力遠遠低于圖靈機。在實踐中，已經出現了多態(polymorphic)和變形(metamorphic)等逃避正則表達式檢測的技術，并且在研究中也構造出能夠逃避Snort檢測的入侵流量。

為了提高入侵檢測與防護系統的準確性，現有研究中提出了一種基于漏洞特征規則(vulnerability?signature)的檢測與防護技術。每一條漏洞特征規則由一組作用在協議語義信息上的符號化的謂詞斷言(symbolic?predicates)構成。如果這一組中的每一個斷言的運算結果都是“真”，則該條規則的匹配結果為“真”；否則為“假”。現有研究中，已經提出了在網絡入侵與檢測系統中使用基于漏洞特征規則的檢測與防護技術，并且從理論上證明了圖靈機是描述對漏洞入侵行為的準確技術。基于漏洞特征規則的檢測與防護技術采用的是上下文相關語言分析技術，是目前最接近圖靈機描述能力的入侵檢測與防護技術。研究人員采用字符串匹配技術來定位協議數據中的語義信息，然后再采用漏洞特征規則來匹配結果。

下面是一個漏洞特征規則的例子：

上述規則描述了2003年爆發的“沖擊波”蠕蟲(Blaster?Worm)所利用的Windows遠程過程調用組件中的漏洞。Windows遠程過程調用組件使用的是WINRPC協議，它是一個有狀態協議(stateful?protocol)。一個完整的遠程過程調用包括了下面的步驟：客戶端向服務器發出一個BIND數據單元(protocol?data?unit，PDU)，請求綁定一個特定的API；BIND數據單元中包含了所請求的API的UUID(一個128位二進制串)和版本號；在本例中，“沖擊波”蠕蟲所利用的API的UUID是UUID_IRemoteActivation，版本號是“0.0”；服務器接受該請求后返回一個BIND-ACK數據單元以示確認；然后客戶端發出一個CALL數據單元，其中包含了調用API的操作碼opnum和調用數據stub；在本例中，如果opnum等于0x00，stub的長度大于或等于40字節，并且stub的RAbody域以字符串“/x5c/x00/x5c/x00”開頭，則漏洞被觸發，“沖擊波”蠕蟲能夠成功地入侵服務器。

通過上述例子可以看出，漏洞特征規則能夠精確地描述漏洞被觸發的條件。無論黑客或者蠕蟲如何變化，最終都必須滿足上述條件才能成功地實施入侵。因此，漏洞特征規則既不會過于寬松而漏掉真正的入侵(偽假性，false?negative)，也不會過于嚴格而阻擋合法的訪問(偽真性，false?positive)。