技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及云數(shù)據(jù)包頭狀態(tài)檢測方法。

背景技術(shù)

為了保證網(wǎng)絡(luò)安全，防止網(wǎng)絡(luò)入侵，目前的做法有兩種，一種是模式匹配檢測，另一種是狀態(tài)檢測。

模式匹配將每一個數(shù)據(jù)包從包頭開始與攻擊特征進(jìn)行比較；若比較結(jié)果相同，則認(rèn)為檢測到一個可能的攻擊；若比較結(jié)果不同，則從網(wǎng)絡(luò)數(shù)據(jù)包中下一個位置重新進(jìn)行比較，直到檢測到或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束。對于特征庫中的每個攻擊特征，重復(fù)從包頭進(jìn)行比較，直至所有攻擊特征匹配完畢，對數(shù)據(jù)包的匹配就結(jié)束了。但是，模式匹配檢測有如下缺陷：模式匹配將網(wǎng)絡(luò)數(shù)據(jù)包看作無序、隨意的字節(jié)流，不涉及網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)，而只是機械化地對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包逐一進(jìn)行匹配。這種檢測方法有兩個最根本的缺陷：一是所需計算量大，二是使用固定的特征模式探測攻擊，只能探測出明確、唯一的攻擊特征，即使有輕微變換的攻擊串都將被忽略。

狀態(tài)檢測采用一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。但是，狀態(tài)檢測有如下缺陷：狀態(tài)包檢測能提高網(wǎng)絡(luò)入侵的檢測精度，但是該技術(shù)所需存儲空間過大，且在檢測的過程中，會話表的管理比較困難，而且包檢測速度不夠迅速，應(yīng)用起來有一定困難。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)中的問題，本發(fā)明提供了一種云數(shù)據(jù)包頭狀態(tài)檢測方法。

本發(fā)明提供了一種云數(shù)據(jù)包頭狀態(tài)檢測方法，其特征在于，包括如下步驟：

A.?????接收數(shù)據(jù)包；

B.??????對數(shù)據(jù)包進(jìn)行分類，并為數(shù)據(jù)包生成一個規(guī)則號；

C.??????通過數(shù)據(jù)包內(nèi)容的不精確匹配，從而確定規(guī)則號是否有效；

D.?利用確定性有窮自動機跟蹤會話連接的檢測過程，判斷是否發(fā)生入侵。

作為本發(fā)明的進(jìn)一步改進(jìn)，在所述步驟B中包括如下步驟：

??????B1.?按照數(shù)據(jù)包分類算法的要求，取出數(shù)據(jù)包包頭域；

??B2.?根據(jù)數(shù)據(jù)包分類算法的數(shù)據(jù)結(jié)構(gòu)進(jìn)行查找，找到滿足要求的規(guī)則，則為數(shù)據(jù)包生成一個規(guī)則號。

作為本發(fā)明的進(jìn)一步改進(jìn)，在所述步驟B2中，將分類器中的規(guī)則集，按照具體的數(shù)據(jù)包分類算法，建立起數(shù)據(jù)包分類算法的數(shù)據(jù)結(jié)構(gòu)。

作為本發(fā)明的進(jìn)一步改進(jìn)，所述數(shù)據(jù)包分類算法包括決策樹算法和RFC算法。

作為本發(fā)明的進(jìn)一步改進(jìn)，所述步驟C包括如下步驟：

??????C1.?根據(jù)設(shè)定的偏移量，提取數(shù)據(jù)包中的一部分內(nèi)容，對數(shù)據(jù)包部分內(nèi)容進(jìn)行快速的哈希映射；

?C2.?查看映射值在狀態(tài)向量表中的對應(yīng)位是否為1，如果是1，表示規(guī)則號有效。

作為本發(fā)明的進(jìn)一步改進(jìn)，在所述步驟D中，將規(guī)則號傳遞給會話表中相應(yīng)的會話項，并對會話項對應(yīng)的自動機進(jìn)行狀態(tài)跳轉(zhuǎn)；如果跳轉(zhuǎn)后的狀態(tài)是異常狀態(tài)，則發(fā)出報警信息，否則檢測后續(xù)數(shù)據(jù)包。

作為本發(fā)明的進(jìn)一步改進(jìn)，在所述步驟D中，利用有效規(guī)則號對相應(yīng)自動機的狀態(tài)進(jìn)行跳轉(zhuǎn)，判斷是否發(fā)生入侵；確定性有窮自動機能夠有效記錄檢測的當(dāng)前狀態(tài)，以及清晰的顯示不同狀態(tài)之間關(guān)系和遷移條件。

本發(fā)明的有益效果是：本發(fā)明提高了數(shù)據(jù)包的檢測速度，而且大大提高了空間利用率，而且入侵檢測過程清晰易懂。

附圖說明

圖1是本發(fā)明的方法流程圖。

圖2是本發(fā)明一實施例的方法流程圖。

圖3是本發(fā)明另一實施例的方法流程圖。

具體實施方式

如圖1所示，本發(fā)明公開了一種云數(shù)據(jù)包頭狀態(tài)檢測方法，包括步驟S1至步驟S4，在步驟S1中，接收數(shù)據(jù)包。在步驟S2中，對數(shù)據(jù)包進(jìn)行分類，并為數(shù)據(jù)包生成一個規(guī)則號。在步驟S3中，通過數(shù)據(jù)包內(nèi)容的不精確匹配，從而確定規(guī)則號是否有效。在步驟S4中，利用確定性有窮自動機跟蹤會話連接的檢測過程，判斷是否發(fā)生入侵。

如圖2所示，在所述步驟S2中包括步驟S21和步驟S22，在步驟S21中，按照數(shù)據(jù)包分類算法的要求，取出數(shù)據(jù)包包頭域。在步驟S22中，根據(jù)數(shù)據(jù)包分類算法的數(shù)據(jù)結(jié)構(gòu)進(jìn)行查找，找到滿足要求的規(guī)則，則為數(shù)據(jù)包生成一個規(guī)則號。