CN102916955B - 网络入侵防御/检测系统及方法 - Google Patents
网络入侵防御/检测系统及方法 Download PDFInfo
- Publication number
- CN102916955B CN102916955B CN201210390071.8A CN201210390071A CN102916955B CN 102916955 B CN102916955 B CN 102916955B CN 201210390071 A CN201210390071 A CN 201210390071A CN 102916955 B CN102916955 B CN 102916955B
- Authority
- CN
- China
- Prior art keywords
- data flow
- rules
- flow length
- restructuring
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络入侵防御/检测系统及方法。其中,网络入侵防御/检测方法包括:对从网络中获取的数据包进行重组;当重组后获取的数据流的长度大于等于第n阶段规则对应的数据流长度的第n临界值时,对重组的数据流利用第n阶段规则进行规则匹配检测;若重组的数据流匹配第n阶段规则,则对重组的数据流进行相应的预定义处理,并结束当前的重组及检测;否则,继续重组以使重组后的数据流长度大于等于第n+1阶段规则对应的数据流长度的第n+1临界值时,对重组的数据流利用第n+1阶段规则进行规则匹配检测;第n临界值小于第n+1临界值,n为正整数。本发明适用于复杂网络环境下的网络入侵防御/检测系统。
Description
技术领域
本发明涉及通信网络技术,尤其涉及一种网络入侵防御/检测系统及方法。
背景技术
为加强网络安全防范,网络中一般采用入侵防御(IntrusionPreventionSystem,以下简称:IPS)/入侵检测系统(IntrusionDetectionSystems,以下简称:IDS)对网络中传输的数据流进行检测。
现有的IPS/IDS在对网络中TCP/IP协议进行数据分析时,由于根据TCP/IP协议在网络中传输的数据包已进行了分片或排序,所以,检测数据流时,IPS/IDS首先对接收的数据包进行准确重组,再对重组后的数据流进行规则检测处理。现有的IPS/IDS是采用预先申请一块内存,当IPS/IDS接收到数据包时,将按序重组后的IP/TCP数据包依次填充到该内存中,当重组的数据流长度达到预设值时,就启动规则引擎对重组的数据包进行规则检测,从而确定网络中当前传输的数据流属性,以便于采取相应的预处理措施。
上述现有的IPS/IDS检测方法中,IPS/IDS获取数据包后对数据包重组,直到重组的数据流长度达到预设值时,再进行规则检测,因此,数据包重组时设备资源的占用很大程度上依赖于该预设值,若该预设值设定不合理,则将会导致设备资源的极大消耗,从而在大流量的网络环境下使设备性能急剧下降。
发明内容
本发明提供一种网络入侵防御/检测系统及方法,用以解决上述现有技术中依赖于预设值的IPS/IDS进行数据重组时,易出现设备资源消耗大而导致的设备性能降低的问题。
本发明的第一个方面是提供一种网络入侵防御/检测方法,包括:
对从网络中获取的数据包进行重组;
当重组后获取的数据流的长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测;
若重组获取的数据流匹配所述第n阶段规则,则对重组获取的数据流进行相应的预定义处理,并结束当前数据流的重组及检测;否则,继续对从网络中获取的数据包进行重组,以使重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时,对重组获取的数据流利用第n+1阶段规则进行规则匹配检测;
其中,所述第n临界值小于所述第n+1临界值,n为正整数。
本发明的另一个方面是提供一种网络入侵防御/检测系统,包括:
重组模块,用于对从网络中获取的数据包进行重组;以及在重组获取的数据流不匹配第n阶段规则时,继续对从网络中获取的数据包进行重组;
第一处理模块,用于当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测;以及当重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时,对重组获取的数据流利用第n+1阶段规则进行规则匹配检测;
第二处理模块,用于若重组获取的数据流匹配所述第n阶段规则,则对重组获取的数据流进行相应的预定义处理,并结束当前数据流的重组及检测;
其中,所述第n临界值小于第n+1临界值,n为正整数。
本发明提供的网络入侵防御/检测系统及方法,通过当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测,使得重组中在数据流长度满足某一阶段规则需要的长度时,可以及时采用该阶段规则进行匹配检测,即无需等到重组到较大的数据流长度时才能进行规则匹配,从而降低了系统的资源消耗;通过当重组获取的数据流匹配所述第n阶段规则,就对重组获取的数据流进行相应的预定义处理,并及时结束当前数据流的重组及检测,避免了不必要的继续数据流重组和检测;只有当重组的数据流不匹配该阶段规则时,才继续进行数据流重组以形成较大的数据流长度,进行下一阶段规则的检测,实现了系统按需重组的方法,即根据规则需求进行分阶段重组并检测的过程,使IPS/IDS能很好的适应复杂的网络环境,大大提高引擎数据包的处理速度,这样可以在很大程度上提高IPS/IDS的验证效率,尤其是在有大量攻击数据包的网络环境下,对大量的异常数据包能很快的识别并丢弃,在大大提高设备性能的同时,还能减少设备系统资源的占用,使设备能有很多的时间和资源来处理其它的应用,从而使IPS/IDS系统可节省大量的系统资源,极大的提高设备效率。
附图说明
图1为本发明网络入侵防御/检测方法实施例的流程图;
图2为本发明网络入侵防御/检测方法中数据流多阶段按需重组的示意图
图3为图2中各个阶段按需重组的流程图;
图4为本发明实施例中确定各阶段数据流长度的临界值的流程图;
图5为图4中获取数据流长度对应的规则数量值方式一的流程图;
图6为图4中获取数据流长度对应的规则数量值方式二的流程图;
图7本发明网络入侵防御/检测系统实施例一的流程图;
图8本发明网络入侵防御/检测系统实施例二的流程图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。
图1为本发明网络入侵防御/检测方法实施例的流程图,如图1所示,本实施例的方法包括:
步骤11、对从网络中获取的数据包进行重组。
按照TCP/IP协议,当接收到网络中传输的数据包时,需要对其进行重组以恢复原来的顺序,以进行后续的处理。因此,当对网络中传输的数据进行检测时,首先从网络中获取传输的数据包,并对其进行重组,重组成一定长度的数据流,再进行相应的检测处理。
步骤12、当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测。
在数据流重组过程中,若重组获取的数据流长度达到某一阶段规则要求的数据流长度时,就可以进行该阶段的规则匹配检测,其中,第n临界值表示采用第n阶段规则进行匹配检测时需要满足的最小数据流长度,只有重组的数据流长度等于或超过该临界值,才启用该阶段的规则进行匹配检测处理,否则继续数据流重组。因此,临界值也可以看作是相邻两阶段规则所满足的数据流长度的区分边界。
步骤13、若重组获取的数据流匹配所述第n阶段规则,则对重组获取的数据流进行相应的预定义处理,并结束当前数据流的重组及检测;否则,继续对从网络中获取的数据包进行重组,以使重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时,对重组获取的数据流利用第n+1阶段规则进行规则匹配检测。其中,所述第n临界值小于所述第n+1临界值,n为正整数。
在数据流长度满足某一阶段规则,采用该阶段规则进行匹配检测时,无需等到重组到较大的数据流长度时才能进行规则匹配,因此,可降低系统的资源消耗;若重组获取的数据流匹配该阶段的规则,则根据预定义的处理措施进行相应的处理,同时,及时结束当前数据流的重组及检测,避免了不必要的继续数据流重组和检测。当不匹配该阶段的规则时,再将获取的数据包重组成较大的数据流,以进行需要较大数据流长度的规则匹配检测处理。
在实际应用中,IPS/IDS中的很多规则只需要重组数据流前面的一部分字节即可匹配检测,例如数据流前128字节(byte)或者前256byte的内容,无需将其全部重组或者重组较大部分的字节。根据规则的这些特点,本实施例中,将IPS/IDS中的规则进行了分类,即按照规则验证时需要的数据流长度将规则分成了不同阶段规则,也就是说,数据流的重组是按序重组,例如将只需验证数据流前128byte的规则分为第1阶段规则,将只需验证数据流前256byte的规则分为第2阶段规则,……依次分类。相应地,可以将数据流重组过程按照规则的分类分解为对应的阶段,每当相应阶段的数据流重组完成,则让对应的规则类来检测验证这部分数据。当中间任何阶段出现规则验证成功时,则可停止后面阶段的数据流重组过程。
图2为本发明网络入侵防御/检测方法中数据流多阶段按需重组的示意图,图3为图2中各个阶段按需重组的流程图,如图2和图3所示,IPS/IDS中的数据流重组200获取网络中的多个数据包100后,首先将数据包重组,当重组的数据流长度达到128byte时,将由规则引擎300调用第1阶段规则进行验证,其数据流重组及验证过程如图3中虚线框10中的处理过程;当重组的数据流匹配第1阶段规则时,对重组的数据流进行预定义处理,并结束重组检测过程,当重组的数据流不匹配第1阶段规则时,则进一步判断重组的数据流是否达到256byte,若没有达到,则继续获取数据包进行数据流重组,直至重组的数据流长度达到256byte时,规则引擎300调用第2阶段规则进行验证,其数据流重组及验证过程如图3中虚线框20中的处理过程;当重组的数据流匹配第2阶段规则时,对重组的数据流进行预定义处理,并结束重组检测过程,当重组的数据流不匹配第2阶段规则时,则进一步判断重组的数据流是否达到512byte,即进行如图3中虚线框30中的处理过程;以此类推,直至重组获取的数据流匹配某一阶段规则时,对重组的数据流进行预定义处理,并结束重组检测过程。
实际应用中,数据流重组及规则验证的阶段分类可根据IPS/IDS中规则的数量和检测性能确定,即可以采用对预设规则库中的规则进行统计,根据统计结果确定每一阶段规则对应的数据流长度的临界值,并将预设规则库中的规则对应划分为每个阶段规则的集合,同时还可将分阶段的规则以及相应阶段规则所需的数据流长度的临界值进行预存储,以便于重组过程中使用,即当重组过程中,重组的数据流长度满足一定临界值时,将启动与该临界值对应阶段的规则进行匹配。
图4为本发明实施例中确定各阶段数据流长度的临界值的流程图,如图4所示,本实施例中,根据对预设规则库中所有规则的统计结果,确定每一阶段规则对应的数据流长度的临界值,具体过程可以包括:
步骤31、遍历预设规则库中的所有规则,获取每个数据流长度对应的规则数量值,每个数据流长度为预设规则库中的规则对应的数据流长度。
实际应用中,根据IPS/IDS的预设规则库中所有规则的数量和检测性能确定选用多少个临界值,即分多少个阶段进行重组及相应的检测,本步骤中,通过遍历规则库中的所有规则,统计出每个数据流长度对应的规则数量值,每个数据流长度值均为规则库中规则对应的数据流长度。在具体实施中,可以有两种方式获取每个数据流长度对应的规则数量值:
图5为图4中获取数据流长度对应的规则数量值方式一的流程图,如图5所示,方式一包括:
步骤301、获取预设规则库中未遍历的一条规则;
步骤302、获取该规则对应的需要重组的数据流长度,将该数据流长度对应的规则数量值加1,并将该规则标识为已遍历;
步骤303、判断预设规则库中的所有规则是否已遍历,若已遍历,则执行步骤304,否则返回步骤301,继续对未遍历的规则进行遍历,以统计规则数量值;
步骤304、获取每个数据流长度对应的规则数量值。
图6为图4中获取数据流长度对应的规则数量值方式二的流程图,如图6所示,方式二包括:
步骤311、获取预设规则库中每个规则对应的数据流长度;
步骤312、统计每个数据流长度的规则数量值。
通过上述两种方式均可获取每个数据流长度对应的规则数量值,以便于后续IPS/IDS根据获取的规则数量值进行确定各个阶段规则类的边界值。
步骤32、根据每个数据流长度对应的规则数量值及预设规则库中所有规则的数量值,计算每个数据流长度对应的规则占预设规则库中所有规则的比例值。
本步骤中,IPS/IDS根据上述步骤31获取的各个数据流长度i对应的规则数量值及总的规则数量值s,计算出各个数据流长度对应的规则占总的规则数量值的比例,计算公式为:Ri=(数据流长度等于i时可以进行规则检测的规则数量值/总的规则数量值)×100%,即Ri表示当数据流长度等于i时可以进行规则检测的规则数量占总的规则数量的比例。
步骤33、从获取的全部比例值中选取最大的X个比例值,其中,X为数据流重组时选用的临界值个数。
IPS/IDS可以根据检测性能需求选择临界值的个数值X,实际应用中,一般选择X大于1且小于全部比例值的个数,将重组满足的数据流长度边界值主要设定在规则比较集中的数据流长度处,可使每次重组检测时检测的规则数尽量多,提高重组及相应检测匹配的效率。但是,在一些情况下,需要对所有规则进行匹配检测时,则将X设定为等于全部比例值的个数。
步骤34、将该X个比例值对应的X个数据流长度按照由小到大的顺序,对应确定为数据流重组中的第1阶段规则对应的数据流长度的第1临界值至第X阶段规则对应的数据流长度的第X临界值。
在上述步骤33中获取X个比例值后,本步骤可以将该X个比例值对应的X个数据流长度按照由小到大的顺序进行排序,并将排序后最小的数据流长度作为数据流重组中的第1阶段规则对应的数据流长度的第1临界值,将第二小的数据流长度作为数据流重组中的第2阶段规则对应的数据流长度的第2临界值,依次类推,将X个数据流长度中最大的数据流长度作为数据流重组中的第X阶段规则对应的数据流长度的第X临界值。
经过上述确定好X临界值后,就可以将预设规则库中的规则进行分组,即将规则对应划分为X个阶段规则集,如可以将需要重组的数据流长度大于等于第1临界值且小于第2临界值的规则设定为第1阶段规则,将需要重组的数据流长度大于等于第2临界值且小于第3临界值的规则设定为第2阶段规则,以此类推;也可以仅将需要重组的数据流长度等于第1临界值的规则设定为第1阶段规则,将需要重组的数据流长度等于第2临界值的规则设定为第2阶段规则,以此类推;本领域技术人员还可以根据需要将需要重组的数据流长度大于等于第1临界值且小于第2临界值之间的部分规则设定为第1阶段规则,将需要重组的数据流长度大于等于第2临界值且小于第3临界值之间的部分规则设定为第2阶段规则,以此类推,本发明实施例对此不作限制。
在实际应用中,为加快IPS/IDS匹配检测的收敛速度,可以设定一个特定的临界值,并使该临界值大于设定的第X临界值,当重组的数据流长度等于或超过该特定的临界值时,直接结束所有的数据重组及匹配,以避免重组的数据流长度不符合预设的X个临界值时,系统仍继续重组而无法收敛的问题。
因此,通过这种排序确定各个阶段的临界值后,既可以保证需要较小数据流长度的规则能够尽早执行规则匹配检测,又能够保证将在规则较集中处的数据流长度作为判断重组数据流长度的临界值,因此,通过这种方法确定临界值使得IPS/IDS重组检测时不仅提高了处理速度,而且还节省了系统资源的占用,从而达到较好的性能。
通过上述步骤可以获取本发明实施例中数据流重组时判断是否满足的数据流长度边界值。该过程可以通过如下表格中算法的伪代码实现:
IPS/IDS在每次规则更新时,可以用上述算法重新扫描一遍规则库则可更新数据流重组的临界值,从而实现自动地根据当前规则库的特点动态的生成重组与规则匹配效率高的数据流重组临界值。
在实际应用中,也可以采用其他方法确定各个阶段规则对应的数据流长度的临界值,如根据对网络中传输数据的检测要求,直接设定若干个数据流长度的临界值,并将最小的临界值作为第1阶段规则的第1临界值,将次小的临界值作为第2阶段规则的第2临界值,将第三小的临界值作为第3阶段规则的第3临界值,若某一规则需要重组的数据流长度在第1临界值和第2临界值之间时作为第一阶段规则,若某一规则需要重组的数据流长度在第2临界值和第3临界值之间时作为第二阶段规则,依次类推,同样可实现本发明实施例中各个阶段按需重组的要求。
本实施例通过当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测,使得重组中在数据流长度满足某一阶段规则需要的长度时,可以及时采用该阶段规则进行匹配检测,即无需等到重组到较大的数据流长度时才能进行规则匹配,从而降低了系统的资源消耗;通过当重组获取的数据流匹配所述第n阶段规则,就对重组获取的数据流进行相应的预定义处理,并及时结束当前数据流的重组及检测,避免了不必要的继续数据流重组和检测;只有当重组的数据流不匹配该阶段规则时,才继续进行数据流重组以形成较大的数据流长度,进行下一阶段规则的检测,实现了系统按需重组的方法,即根据规则需求进行分阶段重组并检测的过程,使IPS/IDS能很好的适应复杂的网络环境,大大提高引擎数据包的处理速度,这样可以在很大程度上提高IPS/IDS的验证效率,尤其是在有大量攻击数据包的网络环境下,对大量的异常数据包能很快的识别并丢弃,在大大提高设备性能的同时,还能减少设备系统资源的占用,使设备能有很多的时间和资源来处理其它的应用,从而使IPS/IDS系统可节省大量的系统资源,极大的提高设备效率。
图7本发明网络入侵防御/检测系统实施例一的流程图,如图7所示,本实施例的系统包括:重组模块50、第一处理模块60和第二处理模块70,其中,重组模块50,用于对从网络中获取的数据包进行重组;以及在重组获取的数据流不匹配第n阶段规则时,继续对从网络中获取的数据包进行重组;第一处理模块60,用于当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测;以及当重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时,对重组获取的数据流利用第n+1阶段规则进行规则匹配检测;第二处理模块70,用于若重组获取的数据流匹配所述第n阶段规则,则对重组获取的数据流进行相应的预定义处理,并结束当前数据流的重组及检测;其中,所述第n临界值小于第n+1临界值,n为正整数。
本实施例中,重组模块50获取网络中输出的数据包,并将其进行重组,当重组到满足一定阶段规则所需要的长度时,第一处理模块60对重组的数据流进行相应阶段的规则匹配检测,若检测匹配,则第二处理模块采取相应的与处理措施进行处理,并及时结束当前的数据流重组及检测。只有在检测不匹配时才允许重组模块50继续重组以获取较大的数据流长度,进行下一阶段的检测匹配。
本实施例可用于执行上述方法实施例的技术方案,其工作原理的达到的技术效果类似,具体细节不再赘述。
图8本发明网络入侵防御/检测系统实施例二的流程图,如图8所示,本实施例的系统在图7所示实施例一的基础上,进一步包括确定模块80和分组模块90,其中,确定模块80,用于根据对预设规则库中规则的统计结果,确定每一阶段规则对应的数据流长度的临界值;分组模块90,用于将预设规则库中的规则对应划分为每个阶段规则。
具体应用中,确定模块80可以包括:获取单元、计算单元、选择单元和确定单元(未示出),其中,获取单元,用于遍历预设规则库中的所有规则,获取每个数据流长度对应的规则数量值,每个数据流长度为预设规则库中的规则对应的数据流长度;计算单元,用于根据每个数据流长度对应的规则数量值及预设规则库中所有规则的数量值,计算每个数据流长度对应的规则占预设规则库中所有规则的比例值;选择单元,用于从获取的全部比例值中选取最大的X个比例值,其中,X为数据流重组时选用的临界值个数,X大于1且小于等于全部比例值的个数;确定单元,用于将该X个比例值对应的X个数据流长度按照由小到大的顺序,对应确定为数据流重组中的第1阶段规则对应的数据流长度的第1临界值至第X阶段规则对应的数据流长度的第X临界值。相应地,分组模块90可以根据上述方法实施例中的规则分组方法将预设规则库中的规则划分在不同的阶段,在此不再详细赘述。
本实施例中通过确定模块80确定出各个阶段规则的临界值,以及分组模块90将预设规则库中的规则进行阶段性分组,使得IPS/IDS进行数据重组及检测时可以利用这些临界值判断当前重组的数据流满足哪个阶段的规则以进行相应的处理;而且当预设规则库动态改变时,获取的临界值也是动态更新的,从而IPS/IDS可以自动的根据当前规则库中的规则特点动态的生成最有效的数据流重组临界值。
本发明通过分析引擎规则及TCP/IP协议的特点,在引擎中对数据包的重组过程进行分段,提出按需重组的方式,使重组的数据流以分阶段的方式进入规则引擎进行验证;同时,通过对引擎规则进行预先分类,针对特定阶段的重组数据流,用相对应的分类规则来进行验证,加快数据流在引擎中的验证速度。因此,本发明提出的IPS/IDS采用数据包按需重组的方法,是针对TCP/IP协议的特点,同时结合规则库中规则特点,对IPS/IDS数据流重组部分进行特别优化,采用分段按需重组的方式,使设备能很好的适应复杂的网络环境,大大提高引擎数据包的处理速度,对大量的异常数据包能很快的识别并丢弃,在大大提高设备性能的同时还能减少设备系统资源的占用,使设备能有很多的时间和资源来处理其它的应用。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (6)
1.一种网络入侵防御和检测方法,其特征在于,包括:
对从网络中获取的数据包进行重组;
当重组后获取的数据流的长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测;其中,所述第n临界值为采用所述第n阶段规则进行匹配检测时需要满足的最小数据流长度;
若重组获取的数据流匹配所述第n阶段规则,则对重组获取的数据流进行相应的预定义处理,并结束当前数据流的重组及检测;否则,继续对从网络中获取的数据包进行重组,以使重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时,对重组获取的数据流利用第n+1阶段规则进行规则匹配检测;
其中,所述第n临界值小于所述第n+1临界值,n为正整数;
当重组后获取的数据流的长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测之前,还包括:
根据对预设规则库中规则的统计结果,确定每一阶段规则对应的数据流长度的临界值;
将预设规则库中的规则对应划分为每个阶段规则;
根据对预设规则库中规则的统计结果,确定每一阶段规则对应的数据流长度的临界值,具体包括:
遍历预设规则库中的所有规则,获取每个数据流长度对应的规则数量值,每个数据流长度为预设规则库中的规则对应的数据流长度;
根据每个数据流长度对应的规则数量值及预设规则库中所有规则的数量值,计算每个数据流长度对应的规则占预设规则库中所有规则的比例值;
从获取的全部比例值中选取最大的X个比例值,其中,X为数据流重组时选用的临界值个数,X大于1且小于等于全部比例值的个数;
将该X个比例值对应的X个数据流长度按照由小到大的顺序,对应确定为数据流重组中的第1阶段规则对应的数据流长度的第1临界值至第X阶段规则对应的数据流长度的第X临界值。
2.根据权利要求1所述的方法,其特征在于,遍历预设规则库中的所有规则,获取每个数据流长度对应的规则数量值,具体包括:
获取预设规则库中未遍历的规则;
获取该规则对应的需要重组的数据流长度,将该数据流长度对应的规则数量值加1,并将该规则标识为已遍历;
当预设规则库中的所有规则已遍历时,获取每个数据流长度对应的规则数量值,否则,继续对未遍历的规则进行遍历,以统计规则数量值。
3.根据权利要求1所述的方法,其特征在于,遍历预设规则库中的所有规则,获取每个数据流长度对应的规则数量值,具体包括:
获取预设规则库中每个规则对应的数据流长度;
统计每个数据流长度的规则数量值。
4.一种网络入侵防御和检测系统,其特征在于,包括:
重组模块,用于对从网络中获取的数据包进行重组;以及在重组获取的数据流不匹配第n阶段规则时,继续对从网络中获取的数据包进行重组;
第一处理模块,用于当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时,对重组获取的数据流利用第n阶段规则进行规则匹配检测;以及当重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时,对重组获取的数据流利用第n+1阶段规则进行规则匹配检测;其中,所述第n临界值为采用所述第n阶段规则进行匹配检测时需要满足的最小数据流长度;
第二处理模块,用于若重组获取的数据流匹配所述第n阶段规则,则对重组获取的数据流进行相应的预定义处理,并结束当前数据流的重组及检测;
其中,所述第n临界值小于第n+1临界值,n为正整数;
还包括:
确定模块,用于根据对预设规则库中规则的统计结果,确定每一阶段规则对应的数据流长度的临界值;
分组模块,用于将预设规则库中的规则对应划分为每个阶段规则;
所述确定模块包括:
获取单元,用于遍历预设规则库中的所有规则,获取每个数据流长度对应的规则数量值,每个数据流长度为预设规则库中的规则对应的数据流长度;
计算单元,用于根据每个数据流长度对应的规则数量值及预设规则库中所有规则的数量值,计算每个数据流长度对应的规则占预设规则库中所有规则的比例值;
选择单元,用于从获取的全部比例值中选取最大的X个比例值,其中,X为数据流重组时选用的临界值个数,X大于1且小于等于全部比例值的个数;
确定单元,用于将该X个比例值对应的X个数据流长度按照由小到大的顺序,对应确定为数据流重组中的第1阶段规则对应的数据流长度的第1临界值至第X阶段规则对应的数据流长度的第X临界值。
5.根据权利要求4所述的系统,其特征在于,所述获取单元,具体用于获取预设规则库中未遍历的规则;获取该规则对应的需要重组的数据流长度,将该数据流长度对应的规则数量值加1,并将该规则标识为已遍历;当预设规则库中的所有规则已遍历时,获取每个数据流长度对应的规则数量值,否则,继续对未遍历的规则进行遍历,以统计规则数量值。
6.根据权利要求4所述的系统,其特征在于,所述获取单元,具体用于获取预设规则库中每个规则对应的数据流长度;以及统计每个数据流长度的规则数量值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210390071.8A CN102916955B (zh) | 2012-10-15 | 2012-10-15 | 网络入侵防御/检测系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210390071.8A CN102916955B (zh) | 2012-10-15 | 2012-10-15 | 网络入侵防御/检测系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102916955A CN102916955A (zh) | 2013-02-06 |
CN102916955B true CN102916955B (zh) | 2016-03-02 |
Family
ID=47615189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210390071.8A Active CN102916955B (zh) | 2012-10-15 | 2012-10-15 | 网络入侵防御/检测系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102916955B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104184722B (zh) * | 2014-07-25 | 2017-05-24 | 汉柏科技有限公司 | 一种入侵防御系统端口组的生成方法及其装置 |
CN106209814A (zh) * | 2016-07-04 | 2016-12-07 | 安徽天达网络科技有限公司 | 一种分布式网络入侵防御系统 |
CN107465696A (zh) * | 2017-07-03 | 2017-12-12 | 南京骏腾信息技术有限公司 | 基于SaaS云服务模式的安全风险智能化管控方法 |
CN113221107B (zh) * | 2021-05-28 | 2023-01-20 | 西安热工研究院有限公司 | 一种面向工控系统的入侵检测规则匹配优化方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465738A (zh) * | 2007-12-17 | 2009-06-24 | 北京启明星辰信息技术股份有限公司 | 一种文件传输中实时监测的方法及系统 |
CN101557394A (zh) * | 2009-04-10 | 2009-10-14 | 无锡智高志科技有限公司 | 一种蜜网主动防御系统中的数据控制方法 |
CN101562605A (zh) * | 2008-04-17 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种文件传输中实时监测的方法及系统 |
CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
CN101814977A (zh) * | 2010-04-22 | 2010-08-25 | 北京邮电大学 | 利用数据流头部特征的tcp流量在线识别方法及装置 |
-
2012
- 2012-10-15 CN CN201210390071.8A patent/CN102916955B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465738A (zh) * | 2007-12-17 | 2009-06-24 | 北京启明星辰信息技术股份有限公司 | 一种文件传输中实时监测的方法及系统 |
CN101562605A (zh) * | 2008-04-17 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种文件传输中实时监测的方法及系统 |
CN101557394A (zh) * | 2009-04-10 | 2009-10-14 | 无锡智高志科技有限公司 | 一种蜜网主动防御系统中的数据控制方法 |
CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
CN101814977A (zh) * | 2010-04-22 | 2010-08-25 | 北京邮电大学 | 利用数据流头部特征的tcp流量在线识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102916955A (zh) | 2013-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102916955B (zh) | 网络入侵防御/检测系统及方法 | |
CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
CN103414600B (zh) | 近似匹配方法和相关设备及通信系统 | |
CN103312565B (zh) | 一种基于自主学习的对等网络流量识别方法 | |
CN103067364B (zh) | 病毒检测方法及设备 | |
CN103023725A (zh) | 一种基于网络流量分析的异常检测方法 | |
CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
CN106506557B (zh) | 一种端口扫描检测方法及装置 | |
CN104679634A (zh) | 一种用于超大规模芯片仿真的自适应随机验证方法 | |
CN110166408A (zh) | 防御泛洪攻击的方法、装置和系统 | |
CN102611706A (zh) | 一种基于半监督学习的网络协议识别方法及系统 | |
CN103067218A (zh) | 一种高速网络数据包内容分析装置 | |
CN108123775A (zh) | 传输数据包的方法和设备 | |
CN108921111A (zh) | 对象检测后处理方法及对应装置 | |
CN105100023A (zh) | 数据包特征提取方法及装置 | |
CN101854330A (zh) | 互联网的网络应用采集与分析方法及系统 | |
CN106790175A (zh) | 一种蠕虫事件的检测方法及装置 | |
CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
CN100589423C (zh) | 识别大型多人在线角色扮演游戏数据流的方法及装置 | |
CN105898722A (zh) | 一种非正常短信息的鉴别方法、装置和电子设备 | |
CN111917665A (zh) | 一种终端应用数据流识别方法及系统 | |
CN107222343A (zh) | 基于支持向量机的专用网络流分类方法 | |
CN113746707B (zh) | 一种基于分类器及网络结构的加密流量分类方法 | |
KR101587845B1 (ko) | 디도스 공격을 탐지하는 방법 및 장치 | |
CN106817364A (zh) | 一种暴力破解的检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
CP01 | Change in the name or title of a patent holder |