CN112422567A - 一种面向大流量的网络入侵检测方法 - Google Patents

一种面向大流量的网络入侵检测方法 Download PDF

Info

Publication number
CN112422567A
CN112422567A CN202011296572.0A CN202011296572A CN112422567A CN 112422567 A CN112422567 A CN 112422567A CN 202011296572 A CN202011296572 A CN 202011296572A CN 112422567 A CN112422567 A CN 112422567A
Authority
CN
China
Prior art keywords
flow
protocol
detection
matching
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011296572.0A
Other languages
English (en)
Other versions
CN112422567B (zh
Inventor
庞文俊
陈继
汤桂林
李小超
伊晓强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qingchuang Wangyu Hefei Technology Co ltd
Original Assignee
Qingchuang Wangyu Hefei Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qingchuang Wangyu Hefei Technology Co ltd filed Critical Qingchuang Wangyu Hefei Technology Co ltd
Priority to CN202011296572.0A priority Critical patent/CN112422567B/zh
Publication of CN112422567A publication Critical patent/CN112422567A/zh
Application granted granted Critical
Publication of CN112422567B publication Critical patent/CN112422567B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向大流量的网络入侵检测方法,协议分析方面,发明在网络层、传输层和应用层不同的网络结构中,分别对流量数据包的IP、端口和报文进行检测,加速数据处理流程,简化不必要的数据处理,优化处理时间,适用于大流量的网络入侵检测;特征匹配方面,部分特征信息明确的协议,可针对性地使用AC自动机;而无明确特征信息的协议,则通过hyperscan特征库实现流量数据有效载荷的特征匹配;针对不同协议使用不同分析方法,有效加快匹配命中,减少资源损耗。

Description

一种面向大流量的网络入侵检测方法
技术领域
本发明涉及网络流量协议分析技术领域,具体是一种面向大流量的网络入侵检测方法。
背景技术
随着全球信息化步伐的加快,网络安全变得越来越重要。在当前高速交换网络环境下,网络攻击手段日益复杂,入侵检测安全技术备受关注。入侵检测是通过对计算机网络或者计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
从数据分析手段来看,入侵检测通常可以分为误用入侵检测和异常入侵检测。误用入侵检测技术是通过分析各种类型的攻击手段,找出可能的“攻击特征”集合,再利用这些特征集合或者是对应的规则集合,对当前的数据来源进行各种处理后,再进行特征匹配或者规则匹配工作,来判断是否发生攻击行为。
DPI(Deep Packet Inspection)是一种基于数据包的深度检测技术,通过对网络关键点处的流量和报文内容进行检测分析,根据事先定义的策略对检测流量进行过滤控制,完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形、以及应用层拒绝服务攻击、对病毒/木马进行过滤和滥用P2P的控制等功能。眼下,不同的DPI技术不断涌现,目前开源的有OpenDPI。纵观OpenDPI检测流程,其检测过程繁琐、处理过程重复,无法处理协议特征,对大流量应用场景的处理能力差,性能无法达标。
发明内容
针对现有流量协议分析技术不适用于大流量应用场景的技术缺陷,本发明提供一种面向大流量的网络入侵检测方法。
一种面向大流量的网络入侵检测方法,包括以下步骤:
步骤1,获取网络流量并进行分流;
步骤2,对分流后的流量进行网络层的IP检测,通过IP检测得以确定其协议类型的流量,跳转步骤6;
步骤3,对分流后的流量进行传输层的端口检测,通过端口检测得以确定其协议类型的流量,跳转步骤6;
步骤4,对分流后的流量进行应用层的报文检测,通过报文检测得以确定其协议类型的流量,跳转步骤6;
步骤5,针对通过IP检测、端口检测、报文检测均没有确定其协议类型的流量,通过hyperscan正则表达式实现流量有效载荷的特征匹配,跳转步骤7;
步骤6,根据确定的协议类型提取流量特征信息,并将提取到的流量特征信息送入A C自动机完成匹配;
步骤7,根据匹配结果对异常流量进行拦截处理。
进一步的,所述步骤2中的IP检测,IP地址与其服务采用的通信协议建立BM算法匹配库,匹配库中保存有IP地址与通信协议的对应关系。
进一步的,所述步骤3中的端口检测,针对绑定协议的端口。
进一步的,所述步骤4中的报文检测,根据通信协议的RFC文档,分析协议报文格式命中的协议,再结合请求和应答报文的对应关系分析出协议类型;优选的,根据通信协议的主要特征点,分析协议报文格式命中的协议。
本发明的有益效果:1、协议分析方面,发明在网络层、传输层和应用层不同的网络结构中,分别对流量数据包的IP、端口和报文进行检测,加速数据处理流程,简化不必要的数据处理,优化处理时间,适用于大流量的网络入侵检测;2、特征匹配方面,部分特征信息明确的协议,可针对性地使用AC自动机;而无明确特征信息的协议,则通过hyperscan特征库实现流量数据有效载荷的特征匹配;3、针对不同协议使用不同分析方法,有效加快匹配命中,减少资源损耗。
附图说明
图1为网络入侵检测方法流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明的实施例是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显而易见的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
实施例1
一种面向大流量的网络入侵检测方法,如图1所示,包括以下步骤:
1、获取网络流量并进行分流。
2、对分流后的流量进行IP检测,通过IP检测得以确定其协议类型的流量,跳转步骤6。
IP检测针对数据包的网络层,部分互联网服务的IP地址固定,而服务采用的通信协议固定,因此就形成了IP地址与通信协议的对应关系。通过IP地址与其服务采用的通信协议建立BM算法匹配库,匹配库中保存有IP地址与通信协议的对应关系,部分流量就可以直接通过IP检测可以完成协议分析,交由分流设备进行处理,实现针对IP的流拦截。
3、对分流后的流量进行端口检测,通过端口检测得以确定其协议类型的流量,跳转步骤6。
端口检测针对数据包的传输层,TCP/UDP的端口号与部分协议也是绑定的。端口检测由于需要处理的端口字节少,并且目前已知固定协议的端口数量也不多,因此可采用数组下标方式进行匹配,例如HTTP的80端口、ftp的21端口、pop3的110端口等。不过,目前很多协议的端口可配置,端口检测只能针对固定协议的端口,但也能减少后续检测的压力。
4、对分流后的流量进行报文检测,通过报文检测得以确定其协议类型的流量,跳转步骤6。
报文检测针对数据包的应用层,实现对数据包有效载荷的处理。根据通信协议的RFC文档,分析协议报文格式命中的协议,再结合请求和应答报文的对应关系分析出协议类型。为了节省匹配消耗,根据通信协议的主要特征点,分析协议报文格式命中的协议。
现有协议越来越多,很多服务还采用自定义的通信协议。为了便于后续拓展,报文检测中的协议库采用可通过插入和删除进行内部协议的增减。
5、针对通过IP检测、端口检测、报文检测均没有确定其协议类型,即部分协议无明确的特征信息,则通过hyperscan特征库实现流量有效载荷的特征匹配,跳转步骤7。
6、根据确定的协议类型提取流量特征信息,并将提取到的流量特征信息送入AC自动机完成匹配。
AC自动机是多模匹配算法,主要针对常见协议的特征信息,例如HTTP的url、HTTPS的sni、SMTP的服务域名等。这些信息存在于协议数据包的固定位置,能够根据通信协议解析出出来,在通过AC匹配算法,分多段字符得到匹配结果。
7、根据匹配结果对异常流量进行拦截处理。
发明在网络层、传输层和应用层不同的网络结构中,分别对流量数据包的IP、端口和报文进行检测,加速数据处理流程,简化不必要的数据处理,优化处理时间,适用于大流量的网络入侵检测。三种协议分析可配置,也可单独实现启用其中一种或者两种匹配。
特征匹配算法采用AC自动机和hyperscan特征库结合。部分特征信息明确的协议,可针对性地使用AC自动机;而无明确特征信息的协议,则通过hyperscan特征库实现流量数据有效载荷的特征匹配。
显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域及相关领域的普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。

Claims (5)

1.一种面向大流量的网络入侵检测方法,其特征在于,包括以下步骤:
步骤1,获取网络流量并进行分流;
步骤2,对分流后的流量进行网络层的IP检测,通过IP检测得以确定其协议类型的流量,跳转步骤6;
步骤3,对分流后的流量进行传输层的端口检测,通过端口检测得以确定其协议类型的流量,跳转步骤6;
步骤4,对分流后的流量进行应用层的报文检测,通过报文检测得以确定其协议类型的流量,跳转步骤6;
步骤5,针对通过IP检测、端口检测、报文检测均没有确定其协议类型的流量,通过hyperscan正则表达式实现流量有效载荷的特征匹配,跳转步骤7;
步骤6,根据确定的协议类型提取流量特征信息,并将提取到的流量特征信息送入AC自动机完成匹配;
步骤7,根据匹配结果对异常流量进行拦截处理。
2.根据权利要求1所述的面向大流量的网络入侵检测方法,其特征在于,所述步骤2中的IP检测,IP地址与其服务采用的通信协议建立BM算法匹配库,匹配库中保存有IP地址与通信协议的对应关系。
3.根据权利要求1所述的面向大流量的网络入侵检测方法,其特征在于,所述步骤3中的端口检测,针对绑定协议的端口。
4.根据权利要求1所述的面向大流量的网络入侵检测方法,其特征在于,所述步骤4中的报文检测,根据通信协议的RFC文档,分析协议报文格式命中的协议,再结合请求和应答报文的对应关系分析出协议类型。
5.根据权利要求4所述的面向大流量的网络入侵检测方法,其特征在于,根据通信协议的主要特征点,分析协议报文格式命中的协议。
CN202011296572.0A 2020-11-18 2020-11-18 一种面向大流量的网络入侵检测方法 Active CN112422567B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011296572.0A CN112422567B (zh) 2020-11-18 2020-11-18 一种面向大流量的网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011296572.0A CN112422567B (zh) 2020-11-18 2020-11-18 一种面向大流量的网络入侵检测方法

Publications (2)

Publication Number Publication Date
CN112422567A true CN112422567A (zh) 2021-02-26
CN112422567B CN112422567B (zh) 2022-11-15

Family

ID=74773986

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011296572.0A Active CN112422567B (zh) 2020-11-18 2020-11-18 一种面向大流量的网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN112422567B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037784A (zh) * 2021-05-25 2021-06-25 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN113132180A (zh) * 2021-03-11 2021-07-16 武汉大学 一种面向可编程网络的协作式大流检测方法
CN114499949A (zh) * 2021-12-23 2022-05-13 北京环宇博亚科技有限公司 设备绑定方法、装置、电子设备和计算机可读介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005099214A1 (en) * 2004-03-30 2005-10-20 Telecom Italia S.P.A. Method and system for network intrusion detection, related network and computer program product
US7493659B1 (en) * 2002-03-05 2009-02-17 Mcafee, Inc. Network intrusion detection and analysis system and method
CN103795709A (zh) * 2013-12-27 2014-05-14 北京天融信软件有限公司 一种网络安全检测方法和系统
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN106453438A (zh) * 2016-12-23 2017-02-22 北京奇虎科技有限公司 一种网络攻击的识别方法及装置
CN107657174A (zh) * 2016-07-26 2018-02-02 北京计算机技术及应用研究所 一种基于协议指纹的数据库入侵检测方法
CN107968791A (zh) * 2017-12-15 2018-04-27 杭州迪普科技股份有限公司 一种攻击报文的检测方法及装置
CN110572380A (zh) * 2019-08-30 2019-12-13 北京亚鸿世纪科技发展有限公司 一种tcp回注封堵的方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7493659B1 (en) * 2002-03-05 2009-02-17 Mcafee, Inc. Network intrusion detection and analysis system and method
WO2005099214A1 (en) * 2004-03-30 2005-10-20 Telecom Italia S.P.A. Method and system for network intrusion detection, related network and computer program product
CN103795709A (zh) * 2013-12-27 2014-05-14 北京天融信软件有限公司 一种网络安全检测方法和系统
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN107657174A (zh) * 2016-07-26 2018-02-02 北京计算机技术及应用研究所 一种基于协议指纹的数据库入侵检测方法
CN106453438A (zh) * 2016-12-23 2017-02-22 北京奇虎科技有限公司 一种网络攻击的识别方法及装置
CN107968791A (zh) * 2017-12-15 2018-04-27 杭州迪普科技股份有限公司 一种攻击报文的检测方法及装置
CN110572380A (zh) * 2019-08-30 2019-12-13 北京亚鸿世纪科技发展有限公司 一种tcp回注封堵的方法及装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132180A (zh) * 2021-03-11 2021-07-16 武汉大学 一种面向可编程网络的协作式大流检测方法
CN113132180B (zh) * 2021-03-11 2022-07-29 武汉大学 一种面向可编程网络的协作式大流检测方法
CN113037784A (zh) * 2021-05-25 2021-06-25 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN113037784B (zh) * 2021-05-25 2021-09-21 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN114499949A (zh) * 2021-12-23 2022-05-13 北京环宇博亚科技有限公司 设备绑定方法、装置、电子设备和计算机可读介质

Also Published As

Publication number Publication date
CN112422567B (zh) 2022-11-15

Similar Documents

Publication Publication Date Title
CN112422567B (zh) 一种面向大流量的网络入侵检测方法
CN109951500B (zh) 网络攻击检测方法及装置
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
US10084752B2 (en) Hybrid hardware-software distributed threat analysis
US8010685B2 (en) Method and apparatus for content classification
CN106815112B (zh) 一种基于深度包检测的海量数据监控系统及方法
US10084713B2 (en) Protocol type identification method and apparatus
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
CN108173812B (zh) 防止网络攻击的方法、装置、存储介质和设备
US7725938B2 (en) Inline intrusion detection
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
US20130294449A1 (en) Efficient application recognition in network traffic
US8336098B2 (en) Method and apparatus for classifying harmful packet
CN107204965B (zh) 一种密码破解行为的拦截方法及系统
CN114143107B (zh) 一种低速DDoS攻击检测方法、系统及相关设备
EP1739921A1 (en) Progressive wiretap
US11991522B2 (en) Apparatus and method for traffic security processing in 5G mobile edge computing slicing service
KR101292873B1 (ko) 네트워크 인터페이스 카드장치 및 상기 네트워크 인터페이스 카드장치를 이용한 트래픽 처리 방법
CN110912887A (zh) 一种基于Bro的APT监测系统和方法
CN115190056B (zh) 一种可编排的流量协议识别与解析方法、装置及设备
CN116015889A (zh) 数据流转发方法、装置、网络设备及存储介质
CN112565259B (zh) 过滤dns隧道木马通信数据的方法及装置
CN112640392B (zh) 一种木马检测方法、装置和设备
JP4391455B2 (ja) DDoS攻撃に対する不正アクセス検知システム及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant