專利名稱:網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)�,尤其涉及一種網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)及方法。
背景技術(shù):
為加強(qiáng)網(wǎng)絡(luò)安全防范��,網(wǎng)絡(luò)中一般采用入侵防御(Intrusion PreventionSystem,以下簡(jiǎn)稱IPS)/入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems,以下簡(jiǎn)稱IDS)對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)流進(jìn)行檢測(cè)?����,F(xiàn)有的IPS/IDS在對(duì)網(wǎng)絡(luò)中TCP/IP協(xié)議進(jìn)行數(shù)據(jù)分析時(shí)����,由于根據(jù)TCP/IP協(xié)議在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包已進(jìn)行了分片或排序,所以����,檢測(cè)數(shù)據(jù)流時(shí)�,IPS/IDS首先對(duì)接收的數(shù)據(jù)包進(jìn)行準(zhǔn)確重組��,再對(duì)重組后的數(shù)據(jù)流進(jìn)行規(guī)則檢測(cè)處理?,F(xiàn)有的IPS/IDS是采用預(yù)先申請(qǐng)一塊內(nèi)存,當(dāng)IPS/IDS接收到數(shù)據(jù)包時(shí)��,將按序重組后的IP/TCP數(shù)據(jù)包依次填充到該內(nèi)存中�,當(dāng)重組的數(shù)據(jù)流長(zhǎng)度達(dá)到預(yù)設(shè)值時(shí),就啟動(dòng)規(guī)則引擎對(duì)重組的數(shù)據(jù)包進(jìn)行規(guī)則檢測(cè)���,從而確定網(wǎng)絡(luò)中當(dāng)前傳輸?shù)臄?shù)據(jù)流屬性��,以便于采取相應(yīng)的預(yù)處理措施�����。上述現(xiàn)有的IPS/IDS檢測(cè)方法中���,IPS/IDS獲取數(shù)據(jù)包后對(duì)數(shù)據(jù)包重組����,直到重組的數(shù)據(jù)流長(zhǎng)度達(dá)到預(yù)設(shè)值時(shí)����,再進(jìn)行規(guī)則檢測(cè)����,因此,數(shù)據(jù)包重組時(shí)設(shè)備資源的占用很大程度上依賴于該預(yù)設(shè)值��,若該預(yù)設(shè)值設(shè)定不合理���,則將會(huì)導(dǎo)致設(shè)備資源的極大消耗�,從而在大流量的網(wǎng)絡(luò)環(huán)境下使設(shè)備性能急劇下降�����。
發(fā)明內(nèi)容
本發(fā)明提供一種網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)及方法�����,用以解決上述現(xiàn)有技術(shù)中依賴于預(yù)設(shè)值的IPS/IDS進(jìn)行數(shù)據(jù)重組時(shí)�����,易出現(xiàn)設(shè)備資源消耗大而導(dǎo)致的設(shè)備性能降低的問(wèn)題��。本發(fā)明的第一個(gè)方面是提供一種網(wǎng)絡(luò)入侵防御/檢測(cè)方法,包括對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組�;當(dāng)重組后獲取的數(shù)據(jù)流的長(zhǎng)度大于或等于第η階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η臨界值時(shí),對(duì)重組獲取的數(shù)據(jù)流利用第η階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)���;若重組獲取的數(shù)據(jù)流匹配所述第η階段規(guī)則�,則對(duì)重組獲取的數(shù)據(jù)流進(jìn)行相應(yīng)的預(yù)定義處理���,并結(jié)束當(dāng)前數(shù)據(jù)流的重組及檢測(cè)��;否則����,繼續(xù)對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組���,以使重組后的數(shù)據(jù)流長(zhǎng)度大于或等于第η+1階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η+1臨界值時(shí)��,對(duì)重組獲取的數(shù)據(jù)流利用第η+1階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)���;其中,所述第η臨界值小于所述第η+1臨界值�,η為正整數(shù)��。本發(fā)明的另一個(gè)方面是提供一種網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng),包括重組模塊�����,用于對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組����;以及在重組獲取的數(shù)據(jù)流不匹配第η階段規(guī)則時(shí),繼續(xù)對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組����;第一處理模塊,用于當(dāng)重組后獲取的數(shù)據(jù)流長(zhǎng)度大于或等于第η階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η臨界值時(shí)�,對(duì)重組獲取的數(shù)據(jù)流利用第η階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè);以及當(dāng)重組后的數(shù)據(jù)流長(zhǎng)度大于或等于第η+1階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η+1臨界值時(shí)����,對(duì)重組獲取的數(shù)據(jù)流利用第η+1階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè);第二處理模塊��,用于若重組獲取的數(shù)據(jù)流匹配所述第η階段規(guī)則���,則對(duì)重組獲取的數(shù)據(jù)流進(jìn)行相應(yīng)的預(yù)定義處理���,并結(jié)束當(dāng)前數(shù)據(jù)流的重組及檢測(cè)���;其中,所述第η臨界值小于第η+1臨界值��,η為正整數(shù)���。本發(fā)明提供的網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)及方法����,通過(guò)當(dāng)重組后獲取的數(shù)據(jù)流長(zhǎng)度大于或等于第η階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η臨界值時(shí)��,對(duì)重組獲取的數(shù)據(jù)流利用第η階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)����,使得重組中在數(shù)據(jù)流長(zhǎng)度滿足某一階段規(guī)則需要的長(zhǎng)度時(shí),可以及時(shí)采用該階段規(guī)則進(jìn)行匹配檢測(cè)��, 即無(wú)需等到重組到較大的數(shù)據(jù)流長(zhǎng)度時(shí)才能進(jìn)行規(guī)則匹配�,從而降低了系統(tǒng)的資源消耗;通過(guò)當(dāng)重組獲取的數(shù)據(jù)流匹配所述第η階段規(guī)則���,就對(duì)重組獲取的數(shù)據(jù)流進(jìn)行相應(yīng)的預(yù)定義處理���,并及時(shí)結(jié)束當(dāng)前數(shù)據(jù)流的重組及檢測(cè)�����,避免了不必要的繼續(xù)數(shù)據(jù)流重組和檢測(cè);只有當(dāng)重組的數(shù)據(jù)流不匹配該階段規(guī)則時(shí)��,才繼續(xù)進(jìn)行數(shù)據(jù)流重組以形成較大的數(shù)據(jù)流長(zhǎng)度�����,進(jìn)行下一階段規(guī)則的檢測(cè)�����,實(shí)現(xiàn)了系統(tǒng)按需重組的方法�,即根據(jù)規(guī)則需求進(jìn)行分階段重組并檢測(cè)的過(guò)程,使IPS/IDS能很好的適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境��,大大提高引擎數(shù)據(jù)包的處理速度�,這樣可以在很大程度上提高IPS/IDS的驗(yàn)證效率,尤其是在有大量攻擊數(shù)據(jù)包的網(wǎng)絡(luò)環(huán)境下�����,對(duì)大量的異常數(shù)據(jù)包能很快的識(shí)別并丟棄,在大大提高設(shè)備性能的同時(shí)��,還能減少設(shè)備系統(tǒng)資源的占用��,使設(shè)備能有很多的時(shí)間和資源來(lái)處理其它的應(yīng)用��,從而使IPS/IDS系統(tǒng)可節(jié)省大量的系統(tǒng)資源����,極大的提高設(shè)備效率。
圖I為本發(fā)明網(wǎng)絡(luò)入侵防御/檢測(cè)方法實(shí)施例的流程圖���;圖2為本發(fā)明網(wǎng)絡(luò)入侵防御/檢測(cè)方法中數(shù)據(jù)流多階段按需重組的示意3為圖2中各個(gè)階段按需重組的流程圖�����;圖4為本發(fā)明實(shí)施例中確定各階段數(shù)據(jù)流長(zhǎng)度的臨界值的流程圖����;圖5為圖4中獲取數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值方式一的流程圖�����;圖6為圖4中獲取數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值方式二的流程圖�;圖7本發(fā)明網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)實(shí)施例一的流程圖�����;圖8本發(fā)明網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)實(shí)施例二的流程圖��。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行詳細(xì)說(shuō)明��。圖I為本發(fā)明網(wǎng)絡(luò)入侵防御/檢測(cè)方法實(shí)施例的流程圖��,如圖I所示,本實(shí)施例的方法包括步驟11���、對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組����。按照TCP/IP協(xié)議��,當(dāng)接收到網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包時(shí)����,需要對(duì)其進(jìn)行重組以恢復(fù)原來(lái)的順序,以進(jìn)行后續(xù)的處理��。因此�,當(dāng)對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行檢測(cè)時(shí)����,首先從網(wǎng)絡(luò)中獲取傳輸?shù)臄?shù)據(jù)包�����,并對(duì)其進(jìn)行重組�,重組成一定長(zhǎng)度的數(shù)據(jù)流,再進(jìn)行相應(yīng)的檢測(cè)處理����。步驟12、當(dāng)重組后獲取的數(shù)據(jù)流長(zhǎng)度大于或等于第η階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η臨界值時(shí)��,對(duì)重組獲取的數(shù)據(jù)流利用第η階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)��。在數(shù)據(jù)流重組過(guò)程中����,若重組獲取的數(shù)據(jù)流長(zhǎng)度達(dá)到某一階段規(guī)則要求的數(shù)據(jù)流長(zhǎng)度時(shí),就可以進(jìn)行該階段的規(guī)則匹配檢測(cè)����,其中,第η臨界值表示采用第η階段規(guī)則進(jìn)行匹配檢測(cè)時(shí)需要滿足的最小數(shù)據(jù)流長(zhǎng)度���,只有重組的數(shù)據(jù)流長(zhǎng)度等于或超過(guò)該臨界值�,才啟用該階段的規(guī)則進(jìn)行匹配檢測(cè)處理,否則繼續(xù)數(shù)據(jù)流重組��。因此�,臨界值也可以看作是相鄰兩階段規(guī)則所滿足的數(shù)據(jù)流長(zhǎng) 度的區(qū)分邊界。步驟13����、若重組獲取的數(shù)據(jù)流匹配所述第η階段規(guī)則,則對(duì)重組獲取的數(shù)據(jù)流進(jìn)行相應(yīng)的預(yù)定義處理�����,并結(jié)束當(dāng)前數(shù)據(jù)流的重組及檢測(cè)�����;否則����,繼續(xù)對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組�����,以使重組后的數(shù)據(jù)流長(zhǎng)度大于或等于第η+1階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η+1臨界值時(shí),對(duì)重組獲取的數(shù)據(jù)流利用第η+1階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)����。其中,所述第η臨界值小于所述第η+1臨界值���,η為正整數(shù)���。在數(shù)據(jù)流長(zhǎng)度滿足某一階段規(guī)則,采用該階段規(guī)則進(jìn)行匹配檢測(cè)時(shí)���,無(wú)需等到重組到較大的數(shù)據(jù)流長(zhǎng)度時(shí)才能進(jìn)行規(guī)則匹配�����,因此����,可降低系統(tǒng)的資源消耗�;若重組獲取的數(shù)據(jù)流匹配該階段的規(guī)則,則根據(jù)預(yù)定義的處理措施進(jìn)行相應(yīng)的處理��,同時(shí)�����,及時(shí)結(jié)束當(dāng)前數(shù)據(jù)流的重組及檢測(cè),避免了不必要的繼續(xù)數(shù)據(jù)流重組和檢測(cè)���。當(dāng)不匹配該階段的規(guī)則時(shí)�,再將獲取的數(shù)據(jù)包重組成較大的數(shù)據(jù)流���,以進(jìn)行需要較大數(shù)據(jù)流長(zhǎng)度的規(guī)則匹配檢測(cè)處理����。在實(shí)際應(yīng)用中����,IPS/IDS中的很多規(guī)則只需要重組數(shù)據(jù)流前面的一部分字節(jié)即可匹配檢測(cè)����,例如數(shù)據(jù)流前128字節(jié)(byte)或者前256byte的內(nèi)容,無(wú)需將其全部重組或者重組較大部分的字節(jié)�。根據(jù)規(guī)則的這些特點(diǎn),本實(shí)施例中��,將IPS/IDS中的規(guī)則進(jìn)行了分類����,即按照規(guī)則驗(yàn)證時(shí)需要的數(shù)據(jù)流長(zhǎng)度將規(guī)則分成了不同階段規(guī)則����,也就是說(shuō)�,數(shù)據(jù)流的重組是按序重組,例如將只需驗(yàn)證數(shù)據(jù)流前128byte的規(guī)則分為第I階段規(guī)則�,將只需驗(yàn)證數(shù)據(jù)流前256byte的規(guī)則分為第2階段規(guī)則,……依次分類�����。相應(yīng)地����,可以將數(shù)據(jù)流重組過(guò)程按照規(guī)則的分類分解為對(duì)應(yīng)的階段,每當(dāng)相應(yīng)階段的數(shù)據(jù)流重組完成����,則讓對(duì)應(yīng)的規(guī)則類來(lái)檢測(cè)驗(yàn)證這部分?jǐn)?shù)據(jù)。當(dāng)中間任何階段出現(xiàn)規(guī)則驗(yàn)證成功時(shí)�����,則可停止后面階段的數(shù)據(jù)流重組過(guò)程。圖2為本發(fā)明網(wǎng)絡(luò)入侵防御/檢測(cè)方法中數(shù)據(jù)流多階段按需重組的示意圖��,圖3為圖2中各個(gè)階段按需重組的流程圖����,如圖2和圖3所示,IPS/IDS中的數(shù)據(jù)流重組200獲取網(wǎng)絡(luò)中的多個(gè)數(shù)據(jù)包100后���,首先將數(shù)據(jù)包重組��,當(dāng)重組的數(shù)據(jù)流長(zhǎng)度達(dá)到128byte時(shí)��,將由規(guī)則引擎300調(diào)用第I階段規(guī)則進(jìn)行驗(yàn)證����,其數(shù)據(jù)流重組及驗(yàn)證過(guò)程如圖3中虛線框10中的處理過(guò)程���;當(dāng)重組的數(shù)據(jù)流匹配第I階段規(guī)則時(shí)�,對(duì)重組的數(shù)據(jù)流進(jìn)行預(yù)定義處理���,并結(jié)束重組檢測(cè)過(guò)程,當(dāng)重組的數(shù)據(jù)流不匹配第I階段規(guī)則時(shí)�����,則進(jìn)一步判斷重組的數(shù)據(jù)流是否達(dá)到256byte,若沒(méi)有達(dá)到����,則繼續(xù)獲取數(shù)據(jù)包進(jìn)行數(shù)據(jù)流重組,直至重組的數(shù)據(jù)流長(zhǎng)度達(dá)到256byte時(shí)�,規(guī)則引擎300調(diào)用第2階段規(guī)則進(jìn)行驗(yàn)證,其數(shù)據(jù)流重組及驗(yàn)證過(guò)程如圖3中虛線框20中的處理過(guò)程�;當(dāng)重組的數(shù)據(jù)流匹配第2階段規(guī)則時(shí),對(duì)重組的數(shù)據(jù)流進(jìn)行預(yù)定義處理��,并結(jié)束重組檢測(cè)過(guò)程�����,當(dāng)重組的數(shù)據(jù)流不匹配第2階段規(guī)則時(shí)�,則進(jìn)一步判斷重組的數(shù)據(jù)流是否達(dá)到512byte,即進(jìn)行如圖3中虛線框30中的處理過(guò)程�;以此類推,直至重組獲取的數(shù)據(jù)流匹配某一階段規(guī)則時(shí)��,對(duì)重組的數(shù)據(jù)流進(jìn)行預(yù)定義處理�,并結(jié)束重組檢測(cè)過(guò)程。
實(shí)際應(yīng)用中�,數(shù)據(jù)流重組及規(guī)則驗(yàn)證的階段分類可根據(jù)IPS/IDS中規(guī)則的數(shù)量和檢測(cè)性能確定,即可以采用對(duì)預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則進(jìn)行統(tǒng)計(jì),根據(jù)統(tǒng)計(jì)結(jié)果確定每一階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的臨界值�,并將預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則對(duì)應(yīng)劃分為每個(gè)階段規(guī)則的集合,同時(shí)還可將分階段的規(guī)則以及相應(yīng)階段規(guī)則所需的數(shù)據(jù)流長(zhǎng)度的臨界值進(jìn)行預(yù)存儲(chǔ)��,以便于重組過(guò)程中使用�����,即當(dāng)重組過(guò)程中��,重組的數(shù)據(jù)流長(zhǎng)度滿足一定臨界值時(shí)��,將啟動(dòng)與該臨界值對(duì)應(yīng)階段的規(guī)則進(jìn)行匹配�����。圖4為本發(fā)明實(shí)施例中確定各階段數(shù)據(jù)流長(zhǎng)度的臨界值的流程圖����,如圖4所示,本實(shí)施例中����,根據(jù)對(duì)預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的統(tǒng)計(jì)結(jié)果,確定每一階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的臨界值�,具體過(guò)程可以包括步驟31���、遍歷預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則��,獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值���,每個(gè)數(shù)據(jù)流長(zhǎng)度為預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度���。實(shí)際應(yīng)用中,根據(jù)IPS/IDS的預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的數(shù)量和檢測(cè)性能確定選用 多少個(gè)臨界值��,即分多少個(gè)階段進(jìn)行重組及相應(yīng)的檢測(cè)���,本步驟中���,通過(guò)遍歷規(guī)則庫(kù)中的所有規(guī)則,統(tǒng)計(jì)出每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值����,每個(gè)數(shù)據(jù)流長(zhǎng)度值均為規(guī)則庫(kù)中規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度。在具體實(shí)施中��,可以有兩種方式獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值圖5為圖4中獲取數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值方式一的流程圖�,如圖5所示��,方式一包括步驟301����、獲取預(yù)設(shè)規(guī)則庫(kù)中未遍歷的一條規(guī)則����;步驟302、獲取該規(guī)則對(duì)應(yīng)的需要重組的數(shù)據(jù)流長(zhǎng)度�,將該數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值加I,并將該規(guī)則標(biāo)識(shí)為已遍歷��;步驟303�����、判斷預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則是否已遍歷����,若已遍歷,則執(zhí)行步驟304��,否則返回步驟301���,繼續(xù)對(duì)未遍歷的規(guī)則進(jìn)行遍歷���,以統(tǒng)計(jì)規(guī)則數(shù)量值�;步驟304�、獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值���。圖6為圖4中獲取數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值方式二的流程圖���,如圖6所示,方式二包括步驟311�、獲取預(yù)設(shè)規(guī)則庫(kù)中每個(gè)規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度;步驟312�����、統(tǒng)計(jì)每個(gè)數(shù)據(jù)流長(zhǎng)度的規(guī)則數(shù)量值���。通過(guò)上述兩種方式均可獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值��,以便于后續(xù)IPS/IDS根據(jù)獲取的規(guī)則數(shù)量值進(jìn)行確定各個(gè)階段規(guī)則類的邊界值����。步驟32����、根據(jù)每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值及預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的數(shù)量值��,計(jì)算每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則占預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的比例值��。本步驟中�����,IPS/IDS根據(jù)上述步驟31獲取的各個(gè)數(shù)據(jù)流長(zhǎng)度i對(duì)應(yīng)的規(guī)則數(shù)量值及總的規(guī)則數(shù)量值S����,計(jì)算出各個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則占總的規(guī)則數(shù)量值的比例���,計(jì)算公式為Ri=(數(shù)據(jù)流長(zhǎng)度等于i時(shí)可以進(jìn)行規(guī)則檢測(cè)的規(guī)則數(shù)量值/總的規(guī)則數(shù)量值)X 100%���,即Ri表示當(dāng)數(shù)據(jù)流長(zhǎng)度等于i時(shí)可以進(jìn)行規(guī)則檢測(cè)的規(guī)則數(shù)量占總的規(guī)則數(shù)量的比例。步驟33��、從獲取的全部比例值中選取最大的X個(gè)比例值�,其中,X為數(shù)據(jù)流重組時(shí)選用的臨界值個(gè)數(shù)����。
IPS/IDS可以根據(jù)檢測(cè)性能需求選擇臨界值的個(gè)數(shù)值X��,實(shí)際應(yīng)用中�����,一般選擇X大于I且小于全部比例值的個(gè)數(shù)����,將重組滿足的數(shù)據(jù)流長(zhǎng)度邊界值主要設(shè)定在規(guī)則比較集中的數(shù)據(jù)流長(zhǎng)度處����,可使每次重組檢測(cè)時(shí)檢測(cè)的規(guī)則數(shù)盡量多�����,提高重組及相應(yīng)檢測(cè)匹配的效率���。但是�,在一些情況下���,需要對(duì)所有規(guī)則進(jìn)行匹配檢測(cè)時(shí)����,則將X設(shè)定為等于全部比例值的個(gè)數(shù)。步驟34��、將該X個(gè)比例值對(duì)應(yīng)的X個(gè)數(shù)據(jù)流長(zhǎng)度按照由小到大的順序����,對(duì)應(yīng)確定為數(shù)據(jù)流重組中的第I階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第I臨界值至第X階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第X臨界值。在上述步驟33中獲取X個(gè)比例值后�����,本步驟可以將該X個(gè)比例值對(duì)應(yīng)的X個(gè)數(shù)據(jù)流長(zhǎng)度按照由小到大的順序進(jìn)行排序��,并將排序后最小的數(shù)據(jù)流長(zhǎng)度作為數(shù)據(jù)流重組中的第I階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第I臨界值����,將第二小的數(shù)據(jù)流長(zhǎng)度作為數(shù)據(jù)流重組中的第2階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第2臨界值,依次類推�����,將X個(gè)數(shù)據(jù)流長(zhǎng)度中最大的數(shù)據(jù)流長(zhǎng)度作為數(shù)據(jù)流重組中的第X階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第X臨界值����。經(jīng)過(guò)上述確定好X臨界值后,就可以將預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則進(jìn)行分組,即將規(guī)則·對(duì)應(yīng)劃分為X個(gè)階段規(guī)則集����,如可以將需要重組的數(shù)據(jù)流長(zhǎng)度大于等于第I臨界值且小于第2臨界值的規(guī)則設(shè)定為第I階段規(guī)則,將需要重組的數(shù)據(jù)流長(zhǎng)度大于等于第2臨界值且小于第3臨界值的規(guī)則設(shè)定為第2階段規(guī)則��,以此類推�;也可以僅將需要重組的數(shù)據(jù)流長(zhǎng)度等于第I臨界值的規(guī)則設(shè)定為第I階段規(guī)則,將需要重組的數(shù)據(jù)流長(zhǎng)度等于第2臨界值的規(guī)則設(shè)定為第2階段規(guī)則����,以此類推;本領(lǐng)域技術(shù)人員還可以根據(jù)需要將需要重組的數(shù)據(jù)流長(zhǎng)度大于等于第I臨界值且小于第2臨界值之間的部分規(guī)則設(shè)定為第I階段規(guī)則��,將需要重組的數(shù)據(jù)流長(zhǎng)度大于等于第2臨界值且小于第3臨界值之間的部分規(guī)則設(shè)定為第2階段規(guī)則��,以此類推�����,本發(fā)明實(shí)施例對(duì)此不作限制�。在實(shí)際應(yīng)用中��,為加快IPS/IDS匹配檢測(cè)的收斂速度���,可以設(shè)定一個(gè)特定的臨界值��,并使該臨界值大于設(shè)定的第X臨界值���,當(dāng)重組的數(shù)據(jù)流長(zhǎng)度等于或超過(guò)該特定的臨界值時(shí)���,直接結(jié)束所有的數(shù)據(jù)重組及匹配,以避免重組的數(shù)據(jù)流長(zhǎng)度不符合預(yù)設(shè)的X個(gè)臨界值時(shí)�����,系統(tǒng)仍繼續(xù)重組而無(wú)法收斂的問(wèn)題�����。因此��,通過(guò)這種排序確定各個(gè)階段的臨界值后�,既可以保證需要較小數(shù)據(jù)流長(zhǎng)度的規(guī)則能夠盡早執(zhí)行規(guī)則匹配檢測(cè),又能夠保證將在規(guī)則較集中處的數(shù)據(jù)流長(zhǎng)度作為判斷重組數(shù)據(jù)流長(zhǎng)度的臨界值��,因此����,通過(guò)這種方法確定臨界值使得IPS/IDS重組檢測(cè)時(shí)不僅提高了處理速度,而且還節(jié)省了系統(tǒng)資源的占用,從而達(dá)到較好的性能�����。通過(guò)上述步驟可以獲取本發(fā)明實(shí)施例中數(shù)據(jù)流重組時(shí)判斷是否滿足的數(shù)據(jù)流長(zhǎng)度邊界值�����。該過(guò)程可以通過(guò)如下表格中算法的偽代碼實(shí)現(xiàn)
權(quán)利要求
1.一種網(wǎng)絡(luò)入侵防御/檢測(cè)方法��,其特征在于���,包括 對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組�; 當(dāng)重組后獲取的數(shù)據(jù)流的長(zhǎng)度大于或等于第η階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η臨界值時(shí)�,對(duì)重組獲取的數(shù)據(jù)流利用第η階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè); 若重組獲取的數(shù)據(jù)流匹配所述第η階段規(guī)則����,則對(duì)重組獲取的數(shù)據(jù)流進(jìn)行相應(yīng)的預(yù)定義處理�,并結(jié)束當(dāng)前數(shù)據(jù)流的重組及檢測(cè);否則����,繼續(xù)對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組,以使重組后的數(shù)據(jù)流長(zhǎng)度大于或等于第η+1階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η+1臨界值時(shí),對(duì)重組獲取的數(shù)據(jù)流利用第η+1階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)�; 其中,所述第η臨界值小于所述第η+1臨界值����,η為正整數(shù)。
2.根據(jù)權(quán)利要求I所述的方法�,其特征在于,當(dāng)重組后獲取的數(shù)據(jù)流的長(zhǎng)度大于或等于第η階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η臨界值時(shí)��,對(duì)重組獲取的數(shù)據(jù)流利用第η階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)之前�����,還包括 根據(jù)對(duì)預(yù)設(shè)規(guī)則庫(kù)中規(guī)則的統(tǒng)計(jì)結(jié)果���,確定每一階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的臨界值�����; 將預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則對(duì)應(yīng)劃分為每個(gè)階段規(guī)則�。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于,根據(jù)對(duì)預(yù)設(shè)規(guī)則庫(kù)中規(guī)則的統(tǒng)計(jì)結(jié)果���,確定每一階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的臨界值���,具體包括 遍歷預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則,獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值���,每個(gè)數(shù)據(jù)流長(zhǎng)度為預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度��; 根據(jù)每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值及預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的數(shù)量值����,計(jì)算每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則占預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的比例值����; 從獲取的全部比例值中選取最大的X個(gè)比例值,其中���,X為數(shù)據(jù)流重組時(shí)選用的臨界值個(gè)數(shù)�����,X大于I且小于等于全部比例值的個(gè)數(shù)����; 將該X個(gè)比例值對(duì)應(yīng)的X個(gè)數(shù)據(jù)流長(zhǎng)度按照由小到大的順序�,對(duì)應(yīng)確定為數(shù)據(jù)流重組中的第I階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第I臨界值至第X階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第X臨界值。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于�,遍歷預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則,獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值�����,具體包括 獲取預(yù)設(shè)規(guī)則庫(kù)中未遍歷的規(guī)則���; 獲取該規(guī)則對(duì)應(yīng)的需要重組的數(shù)據(jù)流長(zhǎng)度����,將該數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值加I��,并將該規(guī)則標(biāo)識(shí)為已遍歷��; 當(dāng)預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則已遍歷時(shí)��,獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值,否則���,繼續(xù)對(duì)未遍歷的規(guī)則進(jìn)行遍歷�,以統(tǒng)計(jì)規(guī)則數(shù)量值�����。
5.根據(jù)權(quán)利要求3所述的方法��,其特征在于�,遍歷預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則,獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值����,具體包括 獲取預(yù)設(shè)規(guī)則庫(kù)中每個(gè)規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度; 統(tǒng)計(jì)每個(gè)數(shù)據(jù)流長(zhǎng)度的規(guī)則數(shù)量值����。
6.一種網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng),其特征在于��,包括 重組模塊����,用于對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組�����;以及在重組獲取的數(shù)據(jù)流不匹配第η階段規(guī)則時(shí),繼續(xù)對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組��; 第一處理模塊����,用于當(dāng)重組后獲取的數(shù)據(jù)流長(zhǎng)度大于或等于第η階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η臨界值時(shí),對(duì)重組獲取的數(shù)據(jù)流利用第η階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)��;以及當(dāng)重組后的數(shù)據(jù)流長(zhǎng)度大于或等于第η+1階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第η+1臨界值時(shí)���,對(duì)重組獲取的數(shù)據(jù)流利用第η+1階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)��; 第二處理模塊���,用于若重組獲取的數(shù)據(jù)流匹配所述第η階段規(guī)則,則對(duì)重組獲取的數(shù)據(jù)流進(jìn)行相應(yīng)的預(yù)定義處理�,并結(jié)束當(dāng)前數(shù)據(jù)流的重組及檢測(cè); 其中���,所述第η臨界值小于第η+1臨界值����,η為正整數(shù)。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于,還包括 確定模塊��,用于根據(jù)對(duì)預(yù)設(shè)規(guī)則庫(kù)中規(guī)則的統(tǒng)計(jì)結(jié)果���,確定每一階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的臨界值���; 分組模塊,用于將預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則對(duì)應(yīng)劃分為每個(gè)階段規(guī)則����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于�����,所述確定模塊包括 獲取單元���,用于遍歷預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則�����,獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值����,每個(gè)數(shù)據(jù)流長(zhǎng)度為預(yù)設(shè)規(guī)則庫(kù)中的規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度��; 計(jì)算單元�,用于根據(jù)每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值及預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的數(shù)量值,計(jì)算每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則占預(yù)設(shè)規(guī)則庫(kù)中所有規(guī)則的比例值����; 選擇單元,用于從獲取的全部比例值中選取最大的X個(gè)比例值�,其中,X為數(shù)據(jù)流重組時(shí)選用的臨界值個(gè)數(shù)����,X大于I且小于等于全部比例值的個(gè)數(shù); 確定單元��,用于將該X個(gè)比例值對(duì)應(yīng)的X個(gè)數(shù)據(jù)流長(zhǎng)度按照由小到大的順序��,對(duì)應(yīng)確定為數(shù)據(jù)流重組中的第I階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第I臨界值至第X階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第X臨界值。
9.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于����,所述獲取單元�����,具體用于獲取預(yù)設(shè)規(guī)則庫(kù)中未遍歷的規(guī)則�;獲取該規(guī)則對(duì)應(yīng)的需要重組的數(shù)據(jù)流長(zhǎng)度,將該數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值加1�����,并將該規(guī)則標(biāo)識(shí)為已遍歷�;當(dāng)預(yù)設(shè)規(guī)則庫(kù)中的所有規(guī)則已遍歷時(shí),獲取每個(gè)數(shù)據(jù)流長(zhǎng)度對(duì)應(yīng)的規(guī)則數(shù)量值�,否則,繼續(xù)對(duì)未遍歷的規(guī)則進(jìn)行遍歷��,以統(tǒng)計(jì)規(guī)則數(shù)量值��。
10.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于�,所述獲取單元�,具體用于獲取預(yù)設(shè)規(guī)則庫(kù)中每個(gè)規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度;以及統(tǒng)計(jì)每個(gè)數(shù)據(jù)流長(zhǎng)度的規(guī)則數(shù)量值��。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)及方法�����。其中��,網(wǎng)絡(luò)入侵防御/檢測(cè)方法包括對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)包進(jìn)行重組����;當(dāng)重組后獲取的數(shù)據(jù)流的長(zhǎng)度大于等于第n階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第n臨界值時(shí)���,對(duì)重組的數(shù)據(jù)流利用第n階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)��;若重組的數(shù)據(jù)流匹配第n階段規(guī)則����,則對(duì)重組的數(shù)據(jù)流進(jìn)行相應(yīng)的預(yù)定義處理���,并結(jié)束當(dāng)前的重組及檢測(cè)����;否則,繼續(xù)重組以使重組后的數(shù)據(jù)流長(zhǎng)度大于等于第n+1階段規(guī)則對(duì)應(yīng)的數(shù)據(jù)流長(zhǎng)度的第n+1臨界值時(shí)���,對(duì)重組的數(shù)據(jù)流利用第n+1階段規(guī)則進(jìn)行規(guī)則匹配檢測(cè)���;第n臨界值小于第n+1臨界值,n為正整數(shù)����。本發(fā)明適用于復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)入侵防御/檢測(cè)系統(tǒng)。
文檔編號(hào)H04L29/06GK102916955SQ20121039007
公開(kāi)日2013年2月6日 申請(qǐng)日期2012年10月15日 優(yōu)先權(quán)日2012年10月15日
發(fā)明者劉水生, 覃永靖 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司