本發(fā)明涉及一種基于Suricata框架的DEC進(jìn)程（SDEC），包括捕包框架、TCP會(huì)話管理、應(yīng)用層協(xié)議識(shí)別和還原庫。本發(fā)明用于協(xié)議還原，對進(jìn)入SDEC進(jìn)程的流量報(bào)文進(jìn)行識(shí)別，識(shí)別出具體的協(xié)議，并進(jìn)行解析還原，生產(chǎn)ticket和rawfile，適用于網(wǎng)絡(luò)流量監(jiān)控、敏感信息檢測、惡意程序監(jiān)測等場合。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于Suricata框架的DEC進(jìn)程。

背景技術(shù)

Suricata是一套成熟的網(wǎng)絡(luò)監(jiān)測框架體系，本身具有高度可配特性，支持多種模式抓包，多種工作模式可以組合處理來提高處理性能。支持底層協(xié)議棧解析，高度流管控模塊，以及數(shù)據(jù)流重組，協(xié)議識(shí)別引擎，同時(shí)兼容Snort規(guī)則，可以加載木馬規(guī)則，檢測一定的特征木馬行為。就可擴(kuò)展性而言：

（1）對協(xié)議識(shí)別模塊進(jìn)行改造，通過配置文件可配置，對于后期維護(hù)性比較好。

（2）對木馬檢測而言，可以通過添加木馬規(guī)則來進(jìn)行匹配告警。

協(xié)議還原模塊有如下應(yīng)用場合：

（1）分析網(wǎng)絡(luò)中的垃圾郵件

為上層的垃圾郵件過濾模塊服務(wù)，為垃圾郵件過濾模塊提供應(yīng)用層以下的數(shù)據(jù)和下面各層的接口，垃圾郵件模塊只需要將重點(diǎn)放在應(yīng)用層POP3協(xié)議和SMTP協(xié)議處理，直接使用協(xié)議還原模塊作為下層輸入。

（2）用于IPS入侵防御系統(tǒng)

為IPS入侵防御系統(tǒng)提供IP層的各種信息和IP報(bào)文內(nèi)容，包含IP地址數(shù)據(jù)和數(shù)據(jù)包長度等。IPS可以在協(xié)議還原模塊的基礎(chǔ)上，進(jìn)行各種入侵方式的防御開發(fā)。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于Suricata框架的DEC進(jìn)程（SDEC），它用于協(xié)議還原，對進(jìn)入SDEC進(jìn)程的流量報(bào)文進(jìn)行識(shí)別，識(shí)別出具體的協(xié)議，并進(jìn)行解析還原，生產(chǎn)ticket和rawfile，適用于網(wǎng)絡(luò)流量監(jiān)控、敏感信息檢測、惡意程序監(jiān)測等場合。

實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案是：一種基于Suricata框架的DEC進(jìn)程，其特征在于：它主要包括捕包框架、TCP會(huì)話管理、應(yīng)用層協(xié)議識(shí)別和還原庫。捕包框架與TCP會(huì)話管理連接，TCP會(huì)話管理與應(yīng)用層協(xié)議識(shí)別連接，應(yīng)用層協(xié)議識(shí)別與還原庫連接。

本發(fā)明的工作原理是：捕包框架將捕到的2層報(bào)文投遞給TCP會(huì)話管理進(jìn)行處理；TCP會(huì)話管理對eth報(bào)文進(jìn)行四元組會(huì)話管理，并進(jìn)行TCP排序、重組等處理；排序重組后的有序報(bào)文，投遞給應(yīng)用層協(xié)議識(shí)別，識(shí)別出屬于哪一種協(xié)議；應(yīng)用層協(xié)議識(shí)別成功后，將報(bào)文投遞到還原庫中不同的協(xié)議解析線程，各協(xié)議解析線程對連接報(bào)文進(jìn)行解析、還原，生產(chǎn)ticket和rawfile。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點(diǎn)：（1）支持流量線性擴(kuò)充；（2）使用插件化的還原協(xié)議框架，方便后期擴(kuò)展；（3）對用戶的需求迅速進(jìn)行響應(yīng)；（4）兼容從低配到高配的硬件環(huán)境。

附圖說明

圖1是一種基于Suricata框架的DEC進(jìn)程的框架組件圖。

具體實(shí)施方式

下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)描述。

結(jié)合圖1，本發(fā)明一種基于Suricata框架的DEC進(jìn)程，它主要包括捕包框架（1）、TCP會(huì)話管理（2）、應(yīng)用層協(xié)議識(shí)別（3）和還原庫（4）。捕包框架（1）與TCP會(huì)話管理（2）連接，TCP會(huì)話管理（2）與應(yīng)用層協(xié)議識(shí)別（3）連接，應(yīng)用層協(xié)議識(shí)別（3）與還原庫（4）連接。