技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)入侵檢測(cè)方法。?

背景技術(shù)

網(wǎng)絡(luò)入侵檢測(cè)作為目前最主要的主動(dòng)網(wǎng)絡(luò)安全措施之一，它通過(guò)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意網(wǎng)絡(luò)連接進(jìn)行識(shí)別和響應(yīng)，有效地補(bǔ)充和完善了諸如訪問(wèn)控制、數(shù)據(jù)加密、防火墻、病毒防范等安全措施，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，已成為信息系統(tǒng)安全解決方案中不可或缺的環(huán)節(jié)。?

高級(jí)隱遁技術(shù)(AET，Advanced?Evasion?Technique)、隱遁攻擊的疊加網(wǎng)絡(luò)力量(cyber-force)滲透到各國(guó)政治斗爭(zhēng)的計(jì)算機(jī)攻擊的案例略見(jiàn)不鮮，最近發(fā)生的韓國(guó)銀行計(jì)算機(jī)網(wǎng)絡(luò)故障、美國(guó)的紐約時(shí)報(bào)和華爾街日?qǐng)?bào)受到的攻擊足以說(shuō)明這種情況。顯然黑客的攻擊手段和能力已經(jīng)發(fā)生了質(zhì)的變化，根據(jù)Garter的報(bào)告，從2011年來(lái)，網(wǎng)絡(luò)防御的能力已經(jīng)遠(yuǎn)遠(yuǎn)滯后于攻擊的手段。而高級(jí)隱遁技術(shù)(AET)毫無(wú)疑問(wèn)對(duì)IDS／IPS廠商來(lái)說(shuō)是尤為頭疼的技術(shù)難題，從NSS?Lab公布的最新的IPS測(cè)試標(biāo)準(zhǔn)《NSS_Labs_ips?group?test?methodology?v6.2》中單獨(dú)增加了AET的測(cè)試(4.15章節(jié)部分)可以看出對(duì)AET的重視程度。?

防火墻和IPS是網(wǎng)絡(luò)中核心的安全保障設(shè)備，防火墻通常根據(jù)數(shù)據(jù)流端口、地址、協(xié)議等進(jìn)行數(shù)據(jù)的過(guò)濾，而IPS則進(jìn)一步進(jìn)行數(shù)據(jù)包的深度檢測(cè)。為了真正的理解和檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包，IPS則需要深度理解數(shù)據(jù)流所采用的協(xié)議。表面上如果徹底分析透數(shù)據(jù)流的協(xié)議格式就足夠了，但事實(shí)證明并非如此。早在1998年，來(lái)自Secure?Network公司的Tim?Newsham和Thomas?Ptacek發(fā)表了有關(guān)如何穿透IDS／IPS的技術(shù)文章《插入、隱遁和拒絕服務(wù)攻擊：避開(kāi)網(wǎng)絡(luò)入侵檢測(cè)》。近兩年，國(guó)內(nèi)相關(guān)的研究，總參某研究所的徐金偉研究員曾就AET發(fā)表過(guò)多篇文章。常用的AET手段有：字符串混淆、加密和隧道技術(shù)、碎片技術(shù)和協(xié)議的違規(guī)四種。?

針對(duì)高級(jí)隱遁攻擊應(yīng)當(dāng)考慮新的攔截模式，單純的特征庫(kù)匹配模式不再能夠完全達(dá)到攔截目的，因此，本發(fā)明將提出一種全新的網(wǎng)絡(luò)入侵檢測(cè)方法，該方法將大大提高網(wǎng)絡(luò)的安全系數(shù)。?

發(fā)明內(nèi)容

為了克服現(xiàn)有技術(shù)的缺陷，本發(fā)明的目的在于提出一種能夠提高網(wǎng)絡(luò)安全系數(shù)的網(wǎng)絡(luò)入侵檢測(cè)方法。?

為實(shí)現(xiàn)上述目的，本發(fā)明所述的網(wǎng)絡(luò)入侵檢測(cè)方法，其包含如下具體步驟：?

1)捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包；?

2)對(duì)所捕獲的數(shù)據(jù)包進(jìn)行全協(xié)議棧解析；?

3)通過(guò)確定性有限狀態(tài)機(jī)將正則表達(dá)式規(guī)則集編譯成DFA狀態(tài)轉(zhuǎn)換表，對(duì)DFA狀態(tài)轉(zhuǎn)換表進(jìn)行壓縮；?

4)將步驟2解析后的數(shù)據(jù)寫(xiě)入壓縮后的DFA狀態(tài)轉(zhuǎn)換表做匹配；?

5)輸出匹配結(jié)果。?

進(jìn)一步地，所述步驟2的具體方法包括：?

1)協(xié)議解析器進(jìn)行初始化，并加載編譯后的正則規(guī)則表達(dá)集；?

2)讀取數(shù)據(jù)包，并對(duì)其進(jìn)行分組處理；?

3)識(shí)別分組后所述數(shù)據(jù)包的協(xié)議類(lèi)型，并判斷所述數(shù)據(jù)包是否需要解析，如不需要，則直接丟棄該數(shù)據(jù)包；否則，將協(xié)議類(lèi)型相同的數(shù)據(jù)包分發(fā)到一起進(jìn)行管理；?

4)根據(jù)正則表達(dá)式規(guī)則集查找到與數(shù)據(jù)協(xié)議類(lèi)型對(duì)應(yīng)的協(xié)議解碼規(guī)則，再對(duì)包含該數(shù)據(jù)的數(shù)據(jù)包進(jìn)行掃描，根據(jù)所述協(xié)議解析規(guī)則從數(shù)據(jù)包中提取所述數(shù)據(jù)的解析信息。?

進(jìn)一步地，所述的輸出端口分組的配置遵循以下原則：?

1)輸出端口的分組首先依據(jù)后端處理系統(tǒng)的業(yè)務(wù)需求，按照業(yè)務(wù)處理類(lèi)型進(jìn)行分組，當(dāng)一個(gè)系統(tǒng)與多個(gè)系統(tǒng)分別在數(shù)據(jù)分組規(guī)則屬性中互相有重疊時(shí)，同一個(gè)輸出端口會(huì)出現(xiàn)在兩個(gè)以上的分組中；?

2)在每個(gè)分組內(nèi)部，為了保證數(shù)據(jù)處理任務(wù)實(shí)現(xiàn)均衡分配，同一個(gè)輸出端口可多次出現(xiàn)在同一個(gè)組中，即在分組內(nèi)按照每個(gè)端口對(duì)應(yīng)的后端系統(tǒng)的數(shù)據(jù)處理能力決定每個(gè)端口在該組中數(shù)據(jù)包流量的分配比例；?

3)組內(nèi)各輸出端口的分配在保證負(fù)載均衡的同時(shí)，保證同一條TCP連接雙向的所有數(shù)據(jù)包必須轉(zhuǎn)發(fā)到同一個(gè)輸出端口上，便于后端對(duì)所接收到的數(shù)據(jù)的匯總和還原。?

進(jìn)一步地，所述的數(shù)據(jù)分組規(guī)則的設(shè)置包括兩種方式：?

一種是將數(shù)據(jù)包的IP地址和端口信息作為直接監(jiān)控對(duì)象，基于這些IP地址信息將規(guī)則設(shè)置在基于地址信息的數(shù)據(jù)分組規(guī)則表中，該規(guī)則表的格式如下：?

另一種是基于特殊字段信息的規(guī)則設(shè)置方式，該規(guī)則表的格式如下：?