技術領域

本發明涉及網絡安全技術領域，尤其涉及一種網絡數據包的過濾方法。

背景技術

網絡入侵檢測作為目前最主要的主動網絡安全措施之一，它通過對計算機和網絡資源上的惡意網絡連接進行識別和響應，有效地補充和完善了諸如訪問控制、數據加密、防火墻、病毒防范等安全措施，提高了信息安全基礎結構的完整性，已成為信息系統安全解決方案中不可或缺的環節。

高級隱遁技術(AET，Advanced?Evasion?Technique)、隱遁攻擊的疊加網絡力量(cyber-force)滲透到各國政治斗爭的計算機攻擊的案例略見不鮮，最近發生的韓國銀行計算機網絡故障、美國的紐約時報和華爾街日報受到的攻擊足以說明這種情況。顯然黑客的攻擊手段和能力已經發生了質的變化，根據Garter的報告，從2011年來，網絡防御的能力已經遠遠滯后于攻擊的手段。而高級隱遁技術(AET)毫無疑問對IDS／IPS廠商來說是尤為頭疼的技術難題，從NSS?Lab公布的最新的IPS測試標準《NSS_Labs_ips?group?test?methodology?v6.2》中單獨增加了AET的測試(4.15章節部分)可以看出對AET的重視程度。

防火墻和IPS是網絡中核心的安全保障設備，防火墻通常根據數據流端口、地址、協議等進行數據的過濾，而IPS則進一步進行數據包的深度檢測。為了真正的理解和檢測網絡數據包，IPS則需要深度理解數據流所采用的協議。表面上如果徹底分析透數據流的協議格式就足夠了，但事實證明并非如此。早在1998年，來自Secure?Network公司的Tim?Newsham和Thomas?Ptacek發表了有關如何穿透IDS／IPS的技術文章《插入、隱遁和拒絕服務攻擊：避開網絡入侵檢測》。近兩年，國內相關的研究，總參某研究所的徐金偉研究員曾就AET發表過多篇文章。常用的AET手段有：字符串混淆、加密和隧道技術、碎片技術和協議的違規四種。

針對高級隱遁攻擊應當考慮新的攔截模式，單純的特征庫匹配模式不再能夠完全達到攔截目的，因此，本發明將提出一種全新的網絡數據包過濾方法，該方法將大大提高網絡的安全系數。

發明內容

為了克服現有技術的缺陷，本發明提出了一種網絡數據包的過濾方法，以獲得更快的匹配速度，并降低DFA表項所占用的存儲空間。

為實現上述目的，本發明所述的網絡數據包的過濾方法，其包含如下具體步驟：

A)捕獲網絡中的數據包；

B)對所捕獲的數據包進行全協議棧解析；

C)對匹配串集中的各匹配串進行壓縮，并且將壓縮后的匹配串集構建出一個用于模式匹配的DFA；

D)將數據包中的字符串經過壓縮處理后生成新的字符串，將新的字符串輸入至所述DFA中做模糊匹配；

E)將經過模糊匹配后未被過濾的數據分類，再根據分類的結果進行精確匹配。

進一步地，所述步驟B的具體方法包括：

B1)協議解析器進行初始化，并加載編譯后的正則規則表達集；

B2)讀取數據包，并對其進行分組處理；

B3)識別分組后所述數據包的協議類型，并判斷所述數據包是否需要解析，如不需要，則直接丟棄該數據包；否則，將協議類型相同的數據包進行歸類；

B4)根據正則表達式規則集查找到與數據協議類型對應的協議解碼規則，再對包含該數據的數據包進行掃描，根據所述協議解析規則從數據包中提取所述數據的解析信息。

進一步地，所述對數據包進行分組的具體步驟包括：

首先設置輸出端口分組規則和數據分組規則，輸出端口分組規則的配置是首先將各輸出端口按照對應的后端應用系統的業務處理類型進行分組，然后再根據組內各端口對應的后端系統的處理能力決定每個端口在該組中數據包處理流量的分配比例，數據分組規則的配置是根據IP地址信息或特殊字段將數據包劃分到各個分組當中；再進行數據分組處理，先通過協議解析，從網絡上接收到的原始數據包中提取出IP數據包，根據設置好的數據分組規則將與后續處理相關數據劃分到各個輸出端口分組中；然后將劃分到每個組中的數據包的地址和端口信息進行Hash運算，Hash值再與該分組所包含的端口總數取模，得到的結果就是該數據包在所屬的分組中對應的輸出端口序號。

進一步地，所述的輸出端口分組的配置遵循以下原則：

1)輸出端口的分組首先依據后端處理系統的業務需求，按照業務處理類型進行分組，當一個系統與多個系統分別在數據分組規則屬性中互相有重疊時，同一個輸出端口會出現在兩個以上的分組中；