技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于協議分析的網絡數據處理方法及系統。

背景技術

網絡入侵檢測作為目前最主要的主動網絡安全措施之一，它通過對計算機和網絡資源上的惡意網絡連接進行識別和響應，有效地補充和完善了諸如訪問控制、數據加密、防火墻、病毒防范等安全措施，提高了信息安全基礎結構的完整性，已成為信息系統安全解決方案中不可或缺的環節。網絡入侵檢測技術按其工作原理分為誤用檢測技術和異常檢測技術兩類。其中誤用檢測技術基于數據報文特征匹配為基礎，這種檢測技術準確率高，但其問題是不能發現新的入侵模式而出現漏報情況。異常檢測技術則以網絡連接特征、系統調用特征、網絡流量特征以及系統時延特征等數據為基礎，建立正常網絡行為的描述模型，當用戶活動與正常行為有重大偏離時即被認為是入侵，該檢測技術可以發現新型網絡入侵，但是存在誤報率高，需要大量訓練樣本的問題。

由于信息系統的運行狀態是不斷演化，那么反映其運行狀態的特征數據的分布規律自然也會隨之改變。為了獲得理想的檢測性能，就要求異常檢測系統必須定期動態更新訓練樣本，并在此基礎上動態更新異常檢測規則。然而傳統的通過網絡專家人工方式收集訓練樣本的方法效率低下，并導致異常檢測系統的應用和部署成本高昂的問題。

協議分析技術則能夠有效解決上述問題，協議分析技術有效利用網絡協議的層次結構和相關協議知識，以快速判斷攻擊特征是否存在，大幅縮減匹配的計算量，節省系統資源，能夠在大規模高速網絡中實現優秀的檢測能力，獲得更高效和更精確的檢測結果。采用協議分析技術可以進行數據包中應用內容的檢測，能夠將傳輸過程中拆分的數據包中的應用內容進行重組，然后針對重組后的應用內容進行分析檢測。近年來，隨著高速網絡技術如ATM、千兆以太網、G比特光纖網等不斷涌現，網絡中數據和信息量以指數方式增長，使得上述單純的協議分析技術出現了越來越多的問題，包括：單純的對所有數據包都要進行還原和解釋，不能及時處理網絡中產生的海量數據方面，導致大量丟包、持續占用系統資源和效率低下等問題，而且協議分析技術只能針對單個數據包進行快速、實時的攻擊檢測，而對于意圖攻擊和大規模分布式協同攻擊無能為力，另外，單純的協議分析技術不具有審計功能，這也限制了協議分析技術的應用。

發明內容

為了克服現有技術的上述缺陷，本發明的目的之一在于提供一種能夠提高數據檢測精確性和可靠性的基于協議分析的網絡數據處理方法。

本發明是通過如下技術方案實現的：

一種基于協議分析的網絡數據處理方法，包括以下步驟：

1)捕獲網絡中的數據包；

2)將所捕獲的數據包的指紋與目的指紋相比較，若二者匹配，則丟棄相應數據包，并向管理服務器發送丟棄數據包信息日志；

3)判斷通過指紋比對后的數據包是否為完整數據包，如果是則直接進行步驟4)；否則，對不完整數據包進行還原，丟棄無法還原的數據包，并向管理服務器發送丟棄不完整數據包信息日志；

4)對完整數據包進行數據挖掘，生成新的關聯規則，所有數據包完成數據挖掘后向管理服務器發送挖掘信息日志；

5)根據從規則庫解析出來的協議，利用協議的特征對數據包進行協議分析，如果當前數據包和規則庫中協議的某種特征匹配，則發出警告信號，當所有數據包完成協議分析后，向管理服務器發送協議分析信息日志；

6)管理服務器根據丟棄數據包信息日志、丟棄碎片數據包信息日志、序列挖掘信息日志和協議分析信息日志，對步驟5)發出的警告信號進行實時響應；同時，判斷是否將步驟4)中新生成的關聯規則保存到規則庫中。

本發明的另一目的在于提出一種基于協議分析的網絡數據處理系統，該系統包括：

傳感單元，用于捕獲網絡中的數據包；

指紋比對單元，用于將所捕獲的數據包的指紋與目的指紋相比較，若二者匹配，則丟棄相應數據包，并向管理服務器發送丟棄數據包信息日志；

分析單元，用于判斷通過指紋比對后的數據是否為完整數據包，如果是直接將完整數據包發至挖掘單元；否則調用數據還原單元對不完整數據包進行重組還原；

數據還原單元，用于對不完整的數據包進行重組還原成完整數據包并發至挖掘單元；丟棄不能重組還原的不完整數據，并向管理服務器發送丟棄不完整數據包信息日志；

挖掘單元，用于對完整數據包進行數據挖掘，生成新的關聯規則，所有數據包完成數據挖掘后向管理服務器發送挖掘信息日志；