CN102904890A - 云数据包头状态检测方法 - Google Patents
云数据包头状态检测方法 Download PDFInfo
- Publication number
- CN102904890A CN102904890A CN2012103863066A CN201210386306A CN102904890A CN 102904890 A CN102904890 A CN 102904890A CN 2012103863066 A CN2012103863066 A CN 2012103863066A CN 201210386306 A CN201210386306 A CN 201210386306A CN 102904890 A CN102904890 A CN 102904890A
- Authority
- CN
- China
- Prior art keywords
- packet
- data packet
- cloud data
- detection method
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种云数据包头状态检测方法,包括如下步骤:A.接收数据包;B.对数据包进行分类,并为数据包生成一个规则号;C.通过数据包内容的不精确匹配,从而确定规则号是否有效;D.利用确定性有穷自动机跟踪会话连接的检测过程,判断是否发生入侵。本发明的有益效果是本发明提高了数据包的检测速度,而且大大提高了空间利用率,而且入侵检测过程清晰易懂。
Description
技术领域
本发明涉及网络安全领域,尤其涉及云数据包头状态检测方法。
背景技术
为了保证网络安全,防止网络入侵,目前的做法有两种,一种是模式匹配检测,另一种是状态检测。
模式匹配将每一个数据包从包头开始与攻击特征进行比较;若比较结果相同,则认为检测到一个可能的攻击;若比较结果不同,则从网络数据包中下一个位置重新进行比较,直到检测到或网络数据包中的所有字节匹配完毕,一个攻击特征匹配结束。对于特征库中的每个攻击特征,重复从包头进行比较,直至所有攻击特征匹配完毕,对数据包的匹配就结束了。但是,模式匹配检测有如下缺陷:模式匹配将网络数据包看作无序、随意的字节流,不涉及网络数据包的内部结构,而只是机械化地对网络中传输的数据包逐一进行匹配。这种检测方法有两个最根本的缺陷:一是所需计算量大,二是使用固定的特征模式探测攻击,只能探测出明确、唯一的攻击特征,即使有轻微变换的攻击串都将被忽略。
状态检测采用一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。但是,状态检测有如下缺陷:状态包检测能提高网络入侵的检测精度,但是该技术所需存储空间过大,且在检测的过程中,会话表的管理比较困难,而且包检测速度不够迅速,应用起来有一定困难。
发明内容
为了解决现有技术中的问题,本发明提供了一种云数据包头状态检测方法。
本发明提供了一种云数据包头状态检测方法,其特征在于,包括如下步骤:
A. 接收数据包;
B. 对数据包进行分类,并为数据包生成一个规则号;
C. 通过数据包内容的不精确匹配,从而确定规则号是否有效;
D. 利用确定性有穷自动机跟踪会话连接的检测过程,判断是否发生入侵。
作为本发明的进一步改进,在所述步骤B中包括如下步骤:
B1. 按照数据包分类算法的要求,取出数据包包头域;
B2. 根据数据包分类算法的数据结构进行查找,找到满足要求的规则,则为数据包生成一个规则号。
作为本发明的进一步改进,在所述步骤B2中,将分类器中的规则集,按照具体的数据包分类算法,建立起数据包分类算法的数据结构。
作为本发明的进一步改进,所述数据包分类算法包括决策树算法和RFC算法。
作为本发明的进一步改进,所述步骤C包括如下步骤:
C1. 根据设定的偏移量,提取数据包中的一部分内容,对数据包部分内容进行快速的哈希映射;
C2. 查看映射值在状态向量表中的对应位是否为1,如果是1,表示规则号有效。
作为本发明的进一步改进,在所述步骤D中,将规则号传递给会话表中相应的会话项,并对会话项对应的自动机进行状态跳转;如果跳转后的状态是异常状态,则发出报警信息,否则检测后续数据包。
作为本发明的进一步改进,在所述步骤D中,利用有效规则号对相应自动机的状态进行跳转,判断是否发生入侵;确定性有穷自动机能够有效记录检测的当前状态,以及清晰的显示不同状态之间关系和迁移条件。
本发明的有益效果是:本发明提高了数据包的检测速度,而且大大提高了空间利用率,而且入侵检测过程清晰易懂。
附图说明
图1是本发明的方法流程图。
图2是本发明一实施例的方法流程图。
图3是本发明另一实施例的方法流程图。
具体实施方式
如图1所示,本发明公开了一种云数据包头状态检测方法,包括步骤S1至步骤S4,在步骤S1中,接收数据包。在步骤S2中,对数据包进行分类,并为数据包生成一个规则号。在步骤S3中,通过数据包内容的不精确匹配,从而确定规则号是否有效。在步骤S4中,利用确定性有穷自动机跟踪会话连接的检测过程,判断是否发生入侵。
如图2所示,在所述步骤S2中包括步骤S21和步骤S22,在步骤S21中,按照数据包分类算法的要求,取出数据包包头域。在步骤S22中,根据数据包分类算法的数据结构进行查找,找到满足要求的规则,则为数据包生成一个规则号。
在所述步骤S22中,将分类器中的规则集,按照具体的数据包分类算法,建立起数据包分类算法的数据结构。到目前为止,数据包分类算法已经发展得相当成熟了,出现了很多各具特色的包分类算法供我们进行选择。当我们只需要利用包头中的两个域对数据包进行分类的时候,Grid-of-Tries决策树算法会是一个不错的选择,该算法的空间复杂度低,查找速度快,能快速的进行前缀匹配,适用于大型分类规则库;当我们需要利用包头中的多个域进行分类时,RFC算法可能会满足要求,该算法充分利用规则库中的结构特点,不再受规则特征和规则数目的影响,查找时间复杂度较低,但是随着规则数的增加,其存储空间也会急剧膨胀,因此该算法不适用于大规模的数据库;总之,我们可以根据具体需要来选择相应的数据包分类算法。
如图3所示,所述步骤S3中包括步骤S31和步骤S32,在步骤S31中,根据设定的偏移量,提取数据包中的一部分内容,对数据包部分内容进行快速的哈希映射。在步骤S32中,查看映射值在状态向量表中的对应位是否为1,如果是1,表示规则号有效。
为待检测的数据包建立相应的状态向量表。对每一个目标数据包,根据该数据包的包头确定对应规则的特征匹配数,然后建立一个状态向量表,刚开始时向量的每个位全置零。在初始化阶段,对目标数据包包头对应的每一个状态规则中的特征匹配项,进行到状态向量表的快速哈希映射,并将向量表中对应的位置1,完成初始化。
在步骤S4中,将规则号传递给会话表中相应的会话项,并对会话项对应的自动机进行状态跳转;如果跳转后的状态是异常状态,则发出报警信息,否则检测后续数据包。
在步骤S4中,利用有效规则号对相应自动机的状态进行跳转,判断是否发生入侵;确定性有穷自动机能够有效记录检测的当前状态,以及清晰的显示不同状态之间关系和迁移条件,当自动机收到某个等待的信号,就会进行状态的跳转,从当前状态进入到下一个状态。当自动机跳转到某个确定的异常状态时,就会发出警报信息,提示系统可能正在遭受攻击,然后系统就能对这个事件进行相应的处理,减少损失,保护系统安全。
本发明的云数据包头状态检测方法不但具有状态检测技术的所有优点,还具有如下优势:
1.本发明使用了基于会话的哈希表快速深度包检测技术,利用哈希函数的快速定位功能,对规则集进行预处理,建立状态向量表,提高了数据包的检测速度,而且能够检测未知的攻击。
2.本发明通过建立状态向量表,可以显著减少需要存储的状态规则数,大大提高了空间利用率。
3.本发明利用确定性有穷自动机来跟踪会话连接的检测过程,通过自动机在检测过程中状态的跳转情况,来判断发生入侵的可能性。通过使用确定性有穷自动机,使得入侵检测过程清晰易懂。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (7)
1.一种云数据包头状态检测方法,其特征在于,包括如下步骤:
A. 接收数据包;
B. 对数据包进行分类,并为数据包生成一个规则号;
C. 通过数据包内容的不精确匹配,从而确定规则号是否有效;
D. 利用确定性有穷自动机跟踪会话连接的检测过程,判断是否发生入侵。
2.根据权利要求1所述的云数据包头状态检测方法,其特征在于,在所述步骤B中包括如下步骤:
B1. 按照数据包分类算法的要求,取出数据包包头域;
B2. 根据数据包分类算法的数据结构进行查找,在规则集中找到满足要求的规则,则为数据包生成一个规则号。
3.根据权利要求2所述的云数据包头状态检测方法,其特征在于:在所述步骤B2中,将分类器中的规则集,按照具体的数据包分类算法,建立起数据包分类算法的数据结构。
4.根据权利要求3所述的云数据包头状态检测方法,其特征在于:所述数据包分类算法包括决策树算法和RFC算法。
5.根据权利要求2至4任一项所述的云数据包头状态检测方法,其特征在于,所述步骤C包括如下步骤:
C1. 根据设定的偏移量,提取数据包中的一部分内容,对数据包部分内容进行快速的哈希映射;
C2. 查看映射值在状态向量表中的对应位是否为1,如果是1,表示规则号有效。
6.根据权利要求5所述的云数据包头状态检测方法,其特征在于:在所述步骤D中,将规则号传递给会话表中相应的会话项,并对会话项对应的自动机进行状态跳转;如果跳转后的状态是异常状态,则发出报警信息,否则检测后续数据包。
7.根据权利要求6所述的云数据包头状态检测方法,其特征在于:在所述步骤D中,利用有效规则号对相应自动机的状态进行跳转,判断是否发生入侵;确定性有穷自动机能够有效记录检测的当前状态,以及清晰的显示不同状态之间关系和迁移条件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103863066A CN102904890A (zh) | 2012-10-12 | 2012-10-12 | 云数据包头状态检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103863066A CN102904890A (zh) | 2012-10-12 | 2012-10-12 | 云数据包头状态检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102904890A true CN102904890A (zh) | 2013-01-30 |
Family
ID=47576926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103863066A Pending CN102904890A (zh) | 2012-10-12 | 2012-10-12 | 云数据包头状态检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102904890A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106060043A (zh) * | 2016-05-31 | 2016-10-26 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
| CN106453550A (zh) * | 2016-10-09 | 2017-02-22 | 武汉烽火网络有限责任公司 | 一种基于云计算的深度包检测系统及方法 |
| CN107577756A (zh) * | 2017-08-31 | 2018-01-12 | 南通大学 | 一种基于多层迭代的改进递归数据流匹配方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316268A (zh) * | 2008-07-04 | 2008-12-03 | 中国科学院计算技术研究所 | 一种异常流的检测方法及系统 |
| CN102523241A (zh) * | 2012-01-09 | 2012-06-27 | 北京邮电大学 | 基于决策树高速并行处理的网络流量在线分类方法及装置 |
-
2012
- 2012-10-12 CN CN2012103863066A patent/CN102904890A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316268A (zh) * | 2008-07-04 | 2008-12-03 | 中国科学院计算技术研究所 | 一种异常流的检测方法及系统 |
| CN102523241A (zh) * | 2012-01-09 | 2012-06-27 | 北京邮电大学 | 基于决策树高速并行处理的网络流量在线分类方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| YIMEI JIN.ET AL: "Approximate Packet Classification and Stateful Rule DFA for Cloud Intrusion", 《2012 INTERNATIONAL CONFERENCE ON COMPUTING, MEASUREMENT, CONTROL AND SENSOR NETWORK》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106060043A (zh) * | 2016-05-31 | 2016-10-26 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
| CN106060043B (zh) * | 2016-05-31 | 2019-06-07 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
| CN106453550A (zh) * | 2016-10-09 | 2017-02-22 | 武汉烽火网络有限责任公司 | 一种基于云计算的深度包检测系统及方法 |
| CN106453550B (zh) * | 2016-10-09 | 2019-08-27 | 烽火通信科技股份有限公司 | 一种基于云计算的深度包检测系统及方法 |
| CN107577756A (zh) * | 2017-08-31 | 2018-01-12 | 南通大学 | 一种基于多层迭代的改进递归数据流匹配方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
| CN105429963B (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| Meidan et al. | ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis | |
| Park et al. | Classification of attack types for intrusion detection systems using a machine learning algorithm | |
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| JP6348656B2 (ja) | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム | |
| US20160294859A1 (en) | Apparatus and method for detecting malicious domain cluster | |
| CN101895521B (zh) | 一种网络蠕虫检测与特征自动提取方法及其系统 | |
| EP2924943B1 (en) | Virus detection method and device | |
| CN104899513B (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
| US10225269B2 (en) | Method and apparatus for detecting network attacks and generating attack signatures based on signature merging | |
| Chang et al. | Anomaly detection for industrial control systems using k-means and convolutional autoencoder | |
| CN110719275A (zh) | 一种基于报文特征的电力终端漏洞攻击检测方法 | |
| CN108199875A (zh) | 一种网络入侵检测系统及方法 | |
| CN103154884A (zh) | 模式检测 | |
| CN105760762A (zh) | 一种嵌入式处理器的未知恶意代码检测方法 | |
| CN102904890A (zh) | 云数据包头状态检测方法 | |
| Wang et al. | Coordinated cyber-attack detection model of cyber-physical power system based on the operating state data link | |
| CN110086829A (zh) | 一种基于机器学习技术进行物联网异常行为检测的方法 | |
| WO2018110997A1 (ko) | 네트워크 침입 탐지 규칙을 생성하는 방법 및 장치 | |
| CN108768949A (zh) | 基于马尔科夫随机场理论的随机几何数据异常定位方法 | |
| Song et al. | Isolation forest based detection for false data attacks in power systems | |
| CN107104959A (zh) | 云环境中异常行为检测方法与装置 | |
| CN108768954B (zh) | 一种dga恶意软件识别方法 | |
| Yang et al. | Intrusion detection alarm filtering technology based on ant colony clustering algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130130 |