CN101051966B - 一种网络入侵行为检测系统及检测方法 - Google Patents
一种网络入侵行为检测系统及检测方法 Download PDFInfo
- Publication number
- CN101051966B CN101051966B CN2007101080003A CN200710108000A CN101051966B CN 101051966 B CN101051966 B CN 101051966B CN 2007101080003 A CN2007101080003 A CN 2007101080003A CN 200710108000 A CN200710108000 A CN 200710108000A CN 101051966 B CN101051966 B CN 101051966B
- Authority
- CN
- China
- Prior art keywords
- network
- message
- stream
- reorganization
- speed cache
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 9
- 230000009545 invasion Effects 0.000 title claims abstract description 6
- 238000001514 detection method Methods 0.000 claims description 27
- 230000008521 reorganization Effects 0.000 claims description 21
- 230000006399 behavior Effects 0.000 claims description 13
- 241001672694 Citrus reticulata Species 0.000 claims 2
- 238000012217 deletion Methods 0.000 claims 2
- 230000037430 deletion Effects 0.000 claims 2
- 238000005215 recombination Methods 0.000 claims 2
- 230000006798 recombination Effects 0.000 claims 2
- 230000007704 transition Effects 0.000 claims 2
- 239000000284 extract Substances 0.000 abstract description 2
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000010188 recombinant method Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明是一种网络入侵行为检测系统及检测方法,该系统包括网络处理器、高速交换装置、高速缓存和内容过滤器,其中,内容过滤器由流重组单元、流重组内存和模式匹配芯片连接构成,流重组单元和流重组内存将网络报文重组为网络数据流并存储,该方法的步骤为:(1)网络报文进入该系统后,首先由网络处理器对网络报文首部进行状态检测,通过规则检查的网络报文存储到高速缓存中,进行下一步,否则丢弃;(2)把存储到高速缓存中的网络报文重组成网络数据流,并且存储到流重组内存中;(3)模式匹配芯片从流重组内存中提取重组后完整的网络数据流,用入侵规则进行匹配,通过检查的转发,否则丢弃。
Description
技术领域
本发明是一种网络入侵行为检测系统及检测方法,涉及网络安全设备,属于网络安全技术领域。
背景技术
随着网络的广泛应用,网络安全的重点也随之发生变化,攻击的主要目标已经从TCP/IP等协议层逐步转变为应用层的攻击,越来越多的攻击行为主要针对特定的应用或软件,因此,对于应用层攻击的检测与防范已经成为网络安全领域的新的热点。
网络管理员非常需要同时具有防火墙和入侵检测等功能的网关级设备,部署在内网和外网之间,起到访问控制和入侵防护的作用,为内网提供安全防护。
起访问控制的防火墙设备,主要是对报文首部进行处理,目前业界主要的实现方案及其主要特点是:
(1)工控机+软件:产品可靠性差、性能很低、但是开发周期短、研发成本低廉
(2)ASIC芯片实现:产品可靠性和性能都很高,但是很难扩展,其开发周期长、研发成本高昂
(3)NPU芯片实现:产品可靠性和性能都很高,易于扩展,研发成本和难度具有以上两种方法之间,其主要优势在于对网络报文报头部分的处理性能很高,对于更复杂的数据部分很难处理,既网络层性能很高,但是,对于应用层处理很困难
入侵检测设备,主要是对报文数据部分进行处理,由于其复杂性,目前基本上都是使用“工控机+软件”的方式来实现,效率非常低,吞吐率在10M的级别,成为网络的瓶颈。
发明内容
本发明的正是针对现有技术及设备中存在的问题和不足而设计提供了一种网络入侵行为检测系统及检测方法,该系统将具有快速处理应用层网络数据的模式匹配芯片与网络处理器相结合,实现了防火墙和入侵检测设备的功能,其目的是大幅提高了性能,吞吐率在1000M的级别。
本发明的目的是通过以下措施来实现的:
该措施包括一种网络入侵行为检测系统和用于该系统的检测方法,其中:
该网络入侵行为检测系统,其特征在于:该系统包括网络处理器、高速交换装置、高速缓存和内容过滤器,其中,网络处理器和内容过滤器通过高速交换装置与高速缓存实现数据交换的双向连接,其中,内容过滤器由流重组单元、流重组内存和模式匹配芯片连接构成,流重组单元和流重组内存将网络报文重组为网络数据流并存储。
用于上述网络入侵行为检测系统的检测方法,其特征在于:该方法的步骤为:
(1)网络报文进入该系统后,首先由网络处理器对网络报文首部进行状态检测,通过规则检查的网络报文存储到高速缓存中,进行下一步,否则丢弃;
(2)把存储到高速缓存中的网络报文重组成网络数据流,并且存储到流重组内存中;
(3)模式匹配芯片从流重组内存中提取重组后完整的网络数据流,用入侵规则进行匹配,通过检查的转发,否则丢弃。
与现有设备相比,上述系统中增加了由流重组单元、流重组内存和模式匹配芯片连接构成的内容过滤器,其中最重要的部分是模式匹配芯片,模式匹配芯片能够对网络报文的数据流进行快速的匹配,该种快速匹配的特点正好适合于入侵规则与网络数据流之间的匹配检查,将其与现在的网络处理器相结合,就能在不影响网络数据流传输速度的前提下,对其进行入侵行为的检测。
为了将模式匹配芯片与网络处理器相结合,需要提供一个高速缓存与两者连接,其作用是将网络处理器处理后的网络报文存储起来,为下一步提供给模式匹配芯片作入侵规则的匹配检查作准备。
为了将模式匹配芯片与网络处理器相结合,还需要重新设计一个与两者工作模式相适应的处理方法,该方法的的特点是将网络处理器处理后的网络报文进行重组,重组的作用是提高是匹配的准确性。
附图说明
图1是本发明网络入侵行为检测系统的原理框图
图2是本发明网络处理器工作的软件流程图
图3是本发明流重组单元工作的软件流程图
图4是本发明模式匹配芯片工作的软件流程图
具体实施方式
以下将结合附图和实施例对本发明技术方案作进一步地详述:
参见附图1所示,该种网络入侵行为检测系统,包括Hifn NP4G3网络处理器1、PCI-X高速交换装置2、CAM高速缓存3和内容过滤器4,其中,网络处理器1和内容过滤器4通过高速交换装置2与高速缓存3实现数据交换的双向连接,其中,内容过滤器4由流重组单元5、流重组内存6和进行入侵规则匹配处理的模式匹配芯片7连接构成,模式匹配芯片7采用IDT CIE PAX.ware 2500,流重组单元5和流重组内存6将网络报文重组为网络数据流并存储。
网络处理器1的工作过程通过其内部存储的软件来控制实现,其软件流程图如图2所示。
流程组单元5和流重组内存6被编程并定义于CPU内,其工作过程通过其内部存储的软件来控制实现,其软件流程图如图3所示。
模式匹配芯片7的工作过程通过其内部存储的软件来控制实现,其软件流程图如图4所示。
上述系统在工作过程中,其对网络入侵行为的检测方法采用如下步骤完成:
(1)网络报文进入该系统后,首先由网络处理器1对网络报文首部进行状态检测,其状态信息存储在专门的状态表中,并且和安全规则表进行匹配,其工作过程参见附图2所示,通过规则检查的网络报文存储到高速缓存3中,进行下一步,否则丢弃;
(2)把存储到高速缓存3中的网络报文重组成网络数据流,其工作过程参见附图3所示,并且存储到流重组内存6中,流重组内存6被定义采用高速缓存3中的一部分;
(3)模式匹配芯片7从流重组内存6中提取重组后完整的网络数据流,和预先定义的入侵规则进行匹配,如果没有发现入侵特征,则允许该访问通过,其工作过程参见附图4所示,通过检查的转发,否则丢弃。
本发明技术方案提供了一种以非常高的性能解决网络层的安全访问控制、和应用层的安全入侵防范的系统和检测方法。突破了目前技术的障碍,使得:
(1)网络层访问控制,即防火墙功能,性能大幅提高,64字节小包可达到千兆双向线速
(2)应用层入侵行为分析,即入侵检测功能,性能大幅提高,吞吐可达到1000Mb/s级别;由于使用了流重组技术,误报率降低。
(3)有很好的扩展性,可满足日益变化的攻击方式
Claims (2)
1.一种网络入侵行为检测系统,其特征在于:该系统包括网络处理器(1)、高速交换装置(2)、高速缓存(3)和内容过滤器(4),其中,网络处理器(1)和内容过滤器(4)通过高速交换装置(2)与高速缓存(3)实现数据交换的双向连接,其中,内容过滤器(4)由流重组单元(5)、流重组内存(6)和模式匹配芯片(7)连接构成,流重组单元(5)和流重组内存(6)将网络报文重组为网络数据流并存储。
为了达到高效的目的,当一个报文到达之后,首先,进入网络处理器(1),把报文头部PH和报文数据部分PD进行剥离;其次,用报文头部PH来匹配状态表以及规则表,对于不能正常匹配的报文视为入侵予以丢弃,正常情况下直接把报文头部PH和报文数据部分PD插入到高速缓存(3)中的合适位置;接着,检查并计算协议状态及其变迁,把符合匹配条件的数据流按具体协议进行流重组,写入流重组内存(6),从高速缓存(3)中删除报文头部PH和报文数据部分PD,并且通知模式匹配芯片(7)进行模式匹配,并等待匹配检查结果;接下来,模式匹配芯片(7)读取流重组内存(6)中重组后内容,并且用硬件高速模式匹配方法进行匹配,把匹配结果通知给流重组模块,若可以判断为入侵,则丢弃报文,否则予以正常转发。
2.一种用于上述权利要求1所述网络入侵行为检测系统的检测方法,其特征在于:该方法的步骤为:
(1)网络报文进入该系统后,首先由网络处理器(1)对网络报文头部PH进行状态检测,通过检查的网络报文其PH部分和PD部分分别插入到高速缓存(3)中,进行下一步入侵规则检测,否则丢弃;
(2)根据已经插入到高速缓存(3)中网络的网络报文PH部分和PD部分,计算该网络数据流的协议状态变迁情况,如果达到匹配条件要求,则按照具体协议把报文数据部分PD重组成网络数据流并写入流重组内存(6)中并且通知模式匹配芯片(7),对于不能达到匹配条件的报文直接予以转发;
(3)模式匹配芯片(7)得到通知之后,从流重组内存(6)中读取重组数据流,依据预先编译的入侵规则,进行匹配,通告匹配结果,若检测为入侵,则切断该网络连接并且从高速缓存(3)中删除该数据流中所有缓存数据,若检测不能判定为入侵,则转发该报文,并且通知高速缓存(3)删除已经不再有效的报文数据部分PD。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101080003A CN101051966B (zh) | 2007-05-22 | 2007-05-22 | 一种网络入侵行为检测系统及检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101080003A CN101051966B (zh) | 2007-05-22 | 2007-05-22 | 一种网络入侵行为检测系统及检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101051966A CN101051966A (zh) | 2007-10-10 |
| CN101051966B true CN101051966B (zh) | 2010-06-09 |
Family
ID=38783172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101080003A Active CN101051966B (zh) | 2007-05-22 | 2007-05-22 | 一种网络入侵行为检测系统及检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101051966B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459489B (zh) * | 2007-12-11 | 2011-12-07 | 中兴通讯股份有限公司 | 深度报文检测设备和方法 |
| CN101789885B (zh) * | 2009-01-23 | 2012-09-05 | 英业达股份有限公司 | 网络入侵检测系统 |
| CN102404213B (zh) * | 2011-11-18 | 2014-09-10 | 盛科网络(苏州)有限公司 | 报文缓存管理方法及系统 |
| US10298606B2 (en) * | 2017-01-06 | 2019-05-21 | Juniper Networks, Inc | Apparatus, system, and method for accelerating security inspections using inline pattern matching |
| CN110035013A (zh) * | 2019-02-28 | 2019-07-19 | 郑州轨道交通信息技术研究院 | 一种基于工控协议配置文件的流重组实现方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及系统 |
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
| CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
-
2007
- 2007-05-22 CN CN2007101080003A patent/CN101051966B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及系统 |
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
| CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 应用级防火墙 走出概念泡沫.计算机安全 4.2004,(4),第26页. |
| 应用级防火墙 走出概念泡沫.计算机安全 4.2004,(4),第26页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101051966A (zh) | 2007-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101051966B (zh) | 一种网络入侵行为检测系统及检测方法 | |
| CN100556031C (zh) | 智能集成网络安全设备 | |
| CN107959690B (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
| EP1774716B1 (en) | Inline intrusion detection using a single physical port | |
| CN100558089C (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
| US8751787B2 (en) | Method and device for integrating multiple threat security services | |
| EP2226976B1 (en) | Monitoring fragmented data flows | |
| US20140298399A1 (en) | Apparatus and method for detecting anomality sign in controll system | |
| US20040255162A1 (en) | Security gateway system and method for intrusion detection | |
| CN110401642A (zh) | 一种工控流量的采集与协议解析方法 | |
| CN102067532A (zh) | 分组片段的处理 | |
| CN108701187A (zh) | 混合硬件软件分布式威胁分析 | |
| CN104022999A (zh) | 基于协议分析的网络数据处理方法及系统 | |
| KR20090006838A (ko) | 악의적 공격 검출 시스템 및 이에 연계된 유용한 방법 | |
| CN112995238B (zh) | 一种减轻DDoS攻击的方法、可编程交换机及SDN控制器 | |
| JP2007184799A (ja) | パケット通信装置 | |
| EP3270572A1 (en) | A system for secure communication | |
| CN104618377A (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
| EP3720075B1 (en) | Data transmission method and virtual switch | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| CN104796354A (zh) | 一种乱序数据包字符串匹配方法及系统 | |
| CN101213813A (zh) | 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 | |
| CN101902461B (zh) | 一种数据流内容过滤的方法及装置 | |
| CN110138759A (zh) | SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统 | |
| US20120177046A1 (en) | Network node |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: WANGSHEN INFORMATION TECHNOLOGY (BEIJING) CO., LTD Free format text: FORMER NAME: WANGYUSHENZHOU TECH (BEIJING) CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing city Haidian District Zone Development Road No. 7 Pioneer Building Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Address before: 100085 Beijing city Haidian District Zone Development Road No. 7 Pioneer Building Patentee before: LEGENDSEC TECHNOLOGY Co.,Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: LEGENDSEC TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20121224 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20121224 Address after: 100085 Beijing city Haidian District on the pioneering Road No. 7 building two layer 1 pioneer Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: Legendsec Technology (Beijing) Co.,Ltd. Address before: 100085 Beijing city Haidian District Zone Development Road No. 7 Pioneer Building Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) INC. |
|
| DD01 | Delivery of document by public notice |
Addressee: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) INC. Document name: Notification of Passing Examination on Formalities |
|
| CP03 | Change of name, title or address |
Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: Legendsec Technology (Beijing) Co.,Ltd. Address before: 100085, 7, Pioneer Road, Haidian District, Beijing, building two, 1 Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: Legendsec Technology (Beijing) Co.,Ltd. |
|
| CP03 | Change of name, title or address |