CN104796421A - 一种多媒体网络入侵检测方法 - Google Patents
一种多媒体网络入侵检测方法 Download PDFInfo
- Publication number
- CN104796421A CN104796421A CN201510190870.4A CN201510190870A CN104796421A CN 104796421 A CN104796421 A CN 104796421A CN 201510190870 A CN201510190870 A CN 201510190870A CN 104796421 A CN104796421 A CN 104796421A
- Authority
- CN
- China
- Prior art keywords
- multimedia
- network intrusion
- medium data
- feature string
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多媒体网络入侵检测方法,首先构建多媒体网络入侵检测系统,然后在多媒体网络入侵检测系统的启动阶段,首先从多媒体网络入侵检测系统的规则库中找出针对多媒体文件的规则,从每条规则中抽取出特征字符串后放在多媒体链表的特征字符串结点中;多媒体网络入侵检测系统启动后,数据包嗅探器负责捕获流经多媒体网络入侵检测系统的所有数据包,将这些数据包送至预处理器;预处理器对采集的数据包进行检查,将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包,送至检测引擎后再送入多媒体链表进行检测,判定多媒体数据包是否该放行,解决了现有技术中存在的网络入侵检测处理速度慢,且丢包率和漏检率高的问题。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种多媒体网络入侵检测方法。
背景技术
近年来,国际国内网络安全领域硝烟四起,网络安全事故频频曝出,网络入侵检测系统作为一种有效的防护手段,能够快速发现网络攻击的发生,但是随着网络速度的提高,网络入侵检测系统常会因来不及检测而出现丢包、漏检的状况,如何提高网络入侵检测系统的处理效率,降低丢包率和漏检率,成为该领域内一个研究热点。
发明内容
本发明的目的是提供一种多媒体网络入侵检测方法,解决了现有技术中存在的网络入侵检测处理速度慢,且丢包率和漏检率高的问题。
本发明所采用的技术方案是,一种多媒体网络入侵检测方法,具体按照以下步骤实施:
步骤1、构建多媒体网络入侵检测系统,包括数据包嗅探器、预处理器、检测引擎、多媒体链表、规则库和报警输出模块,多媒体链表包括多个多媒体类型结点,每个多媒体类型结点都有2个指针,分别指向下一个多媒体类型结点和多媒体类型结点下各特征字符串结点;
步骤2、在多媒体网络入侵检测系统的启动阶段,首先从多媒体网络入侵检测系统的规则库中找出针对多媒体文件的规则,从每条规则的content和pcre中抽取出特征字符串,将这些特征字符串存放在多媒体链表的特征字符串结点中;
步骤3、多媒体网络入侵检测系统启动后,数据包嗅探器负责捕获流经多媒体网络入侵检测系统的所有数据包,将这些数据包送至预处理器;
步骤4、预处理器对步骤2中采集的数据包进行检查,将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包,送至检测引擎;
步骤5、检测引擎将步骤3中的多媒体数据包首先送入多媒体链表进行检测,判定多媒体数据包是否该放行。
本发明技术方案的特点还在于,
步骤5中的检测具体为:首先从多媒体链表的特征字符串结点中抽出特征字符串,然后从多媒体数据包中查找与抽出的特征字符串相同的所有字符串,如果发现多媒体数据包中含有特征字符串结点中所含的特征字符串,则证明该多媒体数据包含有危险信息,此时报警输出模块就会对该多媒体数据包采取报警或记录日志的操作,如对多媒体数据包检测后未发现含有与特征字符串相同的字符串,则对其放行,进而绕过网络入侵检测系统的检测过程。
本发明的有益效果是,一种多媒体网络入侵检测方法,通过在传统检测系统的基础上加入多媒体链表,对于网络中常常出现的多媒体数据包,可以针对其类型进行针对性的检测,无论是检测规则条数还是检测时间,都大大减少,网络入侵检测系统的检测方法,使得网络入侵检测系统的丢包率大幅降低,对多媒体数据包的检测率也有不同程度的提高。
附图说明
图1是本发明一种多媒体网络入侵检测方法的多媒体网络入侵检测系统的结构示意图;
图2是本发明一种多媒体网络入侵检测方法的多媒体链表示意图。
图中,1.数据包嗅探器,2.预处理器,3.检测引擎,4.规则库,5.报警输出模块,6.多媒体链表,7.多媒体类型结点,8.特征字符串结点。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
本发明一种多媒体网络入侵检测方法,具体按照以下步骤实施:
步骤1、构建多媒体网络入侵检测系统,如图1所示,多媒体网络入侵检测系统包括数据包嗅探器1、预处理器2、检测引擎3、多媒体链表6、规则库4和报警输出模块5连接,如图2所示,多媒体链表6包括多个多媒体类型结点7,每个多媒体类型结点7都有2个指针,分别指向下一个多媒体类型结点7和多媒体类型结点7下各特征字符串结点8;
步骤2、在多媒体网络入侵检测系统的启动阶段,首先从多媒体网络入侵检测系统的规则库4中找出针对多媒体文件的规则,从每条规则的content和pcre中抽取出特征字符串,将这些特征字符串存放在多媒体链表6的特征字符串结点8中;
步骤3、多媒体网络入侵检测系统启动后,数据包嗅探器1负责捕获流经网络入侵检测系统的所有数据包,将这些数据包送至预处理器2;
步骤4、预处理器2对步骤2中采集的数据包进行检查,将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包,送至检测引擎3;
步骤5、检测引擎3将步骤3中的多媒体数据包首先送入多媒体链表6进行检测:首先从多媒体链表6的特征字符串结点8中抽出特征字符串,然后从多媒体数据包中查找与抽出的特征字符串相同的所有字符串,如果发现多媒体数据包中含有特征字符串结点8中所含的特征字符串,则证明该多媒体数据包含有危险信息,此时报警输出模块5就会对该多媒体数据包采取报警或记录日志的操作,如对多媒体数据包检测后未发现含有与特征字符串相同的字符串,则对其放行,进而绕过网络入侵检测系统的检测过程。判定多媒体数据包是否该放行。
多媒体类型结点7中的数据结构中包括的信息有:多媒体类型、特征字符串数目、指向下一个媒体类型结点的指针等。
特征字符串结点的数据结构中包括的信息有:指向下一个特征字符串结点的指针、特征字符串、结点号等。
传统的网络入侵检测系统对每个数据包都要进行数千条规则的模式匹配,对每个数据包花费的检测时间较长,这样很容易造成丢包,而本网络入侵检测系统加入多媒体链表后,对于网络中常常出现的多媒体数据包,可以针对其类型进行针对性的检测,无论是检测规则条数还是检测时间,都大大减少,同时,使用网络入侵检测系统的检测方法,使得网络入侵检测系统的丢包率大幅降低,对多媒体数据包的检测率也有不同程度的提高。
Claims (2)
1.一种多媒体网络入侵检测方法,其特征在于,具体按照以下步骤实施:
步骤1、构建多媒体网络入侵检测系统,包括数据包嗅探器(1)、预处理器(2)、检测引擎(3)、多媒体链表(6)、规则库(4)和报警输出模块(5),所述多媒体链表(6)包括多个多媒体类型结点(7),每个多媒体类型结点(7)都有2个指针,分别指向下一个多媒体类型结点(7)和所述多媒体类型结点(7)下各特征字符串结点(8);
步骤2、在多媒体网络入侵检测系统的启动阶段,首先从多媒体网络入侵检测系统的规则库(4)中找出针对多媒体文件的规则,从每条规则的content和pcre中抽取出特征字符串,将这些特征字符串存放在多媒体链表(6)的特征字符串结点(8)中;
步骤3、多媒体网络入侵检测系统启动后,数据包嗅探器(1)负责捕获流经网络入侵检测系统的所有数据包,将这些数据包送至预处理器(2);
步骤4、预处理器(2)对所述步骤2中采集的数据包进行检查,将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包,送至检测引擎(3);
步骤5、检测引擎(3)将所述步骤3中的多媒体数据包首先送入多媒体链表(6)进行检测,判定多媒体数据包是否该放行。
2.根据权利要求1所述的一种多媒体网络入侵检测方法,其特征在于,所述步骤5中的检测具体为:首先从多媒体链表(6)的特征字符串结点(8)中抽出特征字符串,然后从多媒体数据包中查找与抽出的特征字符串相同的所有字符串,如果发现多媒体数据包中含有特征字符串结点(8)中所含的特征字符串,则证明该多媒体数据包含有危险信息,此时报警输出模块(5)就会对该多媒体数据包采取报警或记录日志的操作,如对多媒体数据包检测后未发现含有与特征字符串相同的字符串,则对其放行,进而绕过网络入侵检测系统的检测过程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510190870.4A CN104796421A (zh) | 2015-04-21 | 2015-04-21 | 一种多媒体网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510190870.4A CN104796421A (zh) | 2015-04-21 | 2015-04-21 | 一种多媒体网络入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104796421A true CN104796421A (zh) | 2015-07-22 |
Family
ID=53560933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510190870.4A Pending CN104796421A (zh) | 2015-04-21 | 2015-04-21 | 一种多媒体网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104796421A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105897739A (zh) * | 2016-05-23 | 2016-08-24 | 西安交大捷普网络科技有限公司 | 数据包深度过滤方法 |
CN110213286A (zh) * | 2019-06-12 | 2019-09-06 | 四川长虹电器股份有限公司 | 一种基于双引擎的高效waf设计方法 |
CN112804238A (zh) * | 2021-01-19 | 2021-05-14 | 青岛至心传媒有限公司 | 一种基于互联网的电商平台入侵检测前端接口扫描方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
CN102571719A (zh) * | 2010-12-31 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 入侵检测系统及其检测方法 |
US20140282823A1 (en) * | 2013-03-15 | 2014-09-18 | Enterasys Networks, Inc. | Device and related method for establishing network policy based on applications |
-
2015
- 2015-04-21 CN CN201510190870.4A patent/CN104796421A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
CN102571719A (zh) * | 2010-12-31 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 入侵检测系统及其检测方法 |
US20140282823A1 (en) * | 2013-03-15 | 2014-09-18 | Enterasys Networks, Inc. | Device and related method for establishing network policy based on applications |
Non-Patent Citations (1)
Title |
---|
赵旭,江晋: "一种面向网络入侵检测系统的多媒体链表结构", 《西安工业大学学报》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105897739A (zh) * | 2016-05-23 | 2016-08-24 | 西安交大捷普网络科技有限公司 | 数据包深度过滤方法 |
CN110213286A (zh) * | 2019-06-12 | 2019-09-06 | 四川长虹电器股份有限公司 | 一种基于双引擎的高效waf设计方法 |
CN112804238A (zh) * | 2021-01-19 | 2021-05-14 | 青岛至心传媒有限公司 | 一种基于互联网的电商平台入侵检测前端接口扫描方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
ES2581053T3 (es) | Método y sistema para clasificar un mensaje de protocolo en una red de comunicación de datos | |
KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
CN104899513B (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
CN106603531A (zh) | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 | |
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
Lan et al. | Traffic data classification to detect man-in-the-middle attacks in industrial control system | |
CN101399710A (zh) | 一种协议格式异常检测方法及系统 | |
CN105592044B (zh) | 报文攻击检测方法以及装置 | |
CN101699787B (zh) | 一种用于对等网络的蠕虫检测方法 | |
CN104796421A (zh) | 一种多媒体网络入侵检测方法 | |
CN108055228A (zh) | 一种智能电网入侵检测系统及方法 | |
CN106682506A (zh) | 一种病毒程序检测方法和终端 | |
CN112685734A (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
CN113285916A (zh) | 智能制造系统异常流量检测方法及检测装置 | |
CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
CN107864110B (zh) | 僵尸网络主控端检测方法和装置 | |
WO2017004867A1 (zh) | 一种plc安全防护设备测评方法及系统 | |
CN103369555A (zh) | 一种用于检测手机病毒的方法和装置 | |
CN105791236A (zh) | 一种木马通信通道检测方法及系统 | |
CN108768954B (zh) | 一种dga恶意软件识别方法 | |
CN105025031A (zh) | 一种基于多媒体规则分解链表的网络入侵检测方法 | |
CN104468601A (zh) | 一种p2p蠕虫检测系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150722 |