CN115208682B - 一种基于snort的高性能网络攻击特征检测方法及装置 - Google Patents
一种基于snort的高性能网络攻击特征检测方法及装置 Download PDFInfo
- Publication number
- CN115208682B CN115208682B CN202210883888.2A CN202210883888A CN115208682B CN 115208682 B CN115208682 B CN 115208682B CN 202210883888 A CN202210883888 A CN 202210883888A CN 115208682 B CN115208682 B CN 115208682B
- Authority
- CN
- China
- Prior art keywords
- rule
- local
- matching
- data stream
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 title claims abstract description 48
- 238000001514 detection method Methods 0.000 title claims description 35
- 238000012545 processing Methods 0.000 claims abstract description 42
- 238000000034 method Methods 0.000 claims abstract description 40
- 230000006978 adaptation Effects 0.000 claims abstract description 13
- 238000003860 storage Methods 0.000 claims description 32
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 6
- 238000005457 optimization Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000003139 buffering effect Effects 0.000 description 2
- 230000007717 exclusion Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络流量安全技术领域,一种基于snort的高性能网络攻击特征检测方法及装置。其中一种基于snort的高性能网络攻击特征检测方法,包括,于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库。
Description
技术领域
本发明涉及网络流量安全技术领域,一种基于snort的高性能网络攻击特征检测方法及装置。
背景技术
snort规则是开源入侵检测系统snort定义的一种匹配规则,因其灵活而强大,扩展性强而广泛应用于各种安全产品中;MTX规则是国家互联网安全中心定义的一种报文与恶意代码监测规则描述语言规范,适用于基于规则语言进行报文与恶意代码监测的入侵监测应用,能实现对恶意流量、敏感信息的检测和处置。现有网络存在大流量多并发的优点,且网络环境多变,随之而来的也存在大量的网络攻击,其复杂多样。发送数据包的过程中,服务器会海量吞吐数据,当服务器受到数据入侵时会导致网络安全隐患。现有的基于snort的网络流量攻击检测技术受snort本身轻量级限制,仅能处理部分小流量场景,难以用于海量流量数据分析;且其针对原始数据包的检测方式单一,网络入侵检测系统所定义的规则杂糅,不同应用场景的规则适配性低,snort版本规则库无法兼容,且对于snort和MTX规则,不同的规则需要执行不同的匹配机制。
发明内容
为了克服上述现有技术的不足,本发明提供了一种基于snort的高性能网络攻击特征检测方法及装置,以解决上述提到的snort面临的规则适配性低、兼容性受限和只适用于小流量场景的问题。
一方面,本申请提供一种基于snort的高性能网络攻击特征检测方法,其中:包括,
于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;
按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;
根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;
根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库。
优选地,上述的一种基于snort的高性能网络攻击特征检测方法,其中:还包括,
于获取到数据包的状态下,判断所述数据包是否匹配一标记数据流;
于所述数据包不匹配所述标记数据流的状态下,根据所述数据包形成目标数据流;
对所述目标数据流的前N个数据包结合本地匹配规则库做匹配处理;并于处理完成后形成与所述目标数据流匹配关键数据特征,并对所述目标数据流做标记处理以形成标记数据流。
优选地,上述的一种基于snort的高性能网络攻击特征检测方法,其中:还包括,于所述数据包匹配所述标记数据流的状态下,判定所述数据包检验被通过。
优选地,上述的一种基于snort的高性能网络攻击特征检测方法,其中:执行于获取到数据包的状态下,判断所述数据包是否匹配一标记数据流具体包括:
于获取到数据包的状态下,对所述数据包采用无锁队列方式存储。
优选地,上述的一种基于snort的高性能网络攻击特征检测方法,其中:预制的规则至少包括Snort规则和MTX规则。
另一方面,本申请再提供一种基于snort的高性能网络攻击特征检测装置,其中:包括:
存储单元,采用NumA架构的CPU的内存形成,用以存储待检测的所述数据包;
本地规则库单元,用以接收目标规则,并于目标规则被校验通过的状态下更新本地规则库;
校验单元,用以接收网络传输中的数据包,并于流模式下对所述数据包结合本地规则库做检验处理以形成检测结果输出。
优选地,上述的一种基于snort的高性能网络攻击特征检测装置,其中:所述本地规则库单元包括,
规则文件形成模块:于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;
关键字信息形成模块,按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;
规则匹配算法形成模块,根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;
本地规则库模块,根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库。
优选地,上述的一种基于snort的高性能网络攻击特征检测装置,其中:所述校验单元包括:
判断模块,于获取到数据包的状态下,判断所述数据包是否匹配一标记数据流;
目标数据流形成模块,于所述数据包不匹配所述标记数据流的状态下,根据所述数据包形成目标数据流;
标记数据流形成模块,对所述目标数据流的前N个数据包结合本地匹配规则库做匹配处理;并于处理完成后形成与所述目标数据流匹配关键数据特征,并对所述目标数据流做标记处理以形成标记数据流;
检测模块,于所述数据包匹配所述标记数据流或者所述数据包匹配本地匹配规则库的状态下,判定所述数据包检验被通过。
再一方面,本申请再提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述中任一项所述的一基于snort的高性能网络攻击特征检测方法。
最后,一种计算机程序产品,其特征在于,包括计算机可读代码,或者承载有计算机可读代码的可读存储介质,当计算机可读代码在电子设备的处理器中运行时,所述电子设备中的处理器执行用于实现上述任一项所述的一种基于snort的高性能网络攻击特征检测方法。
与现有技术相比,本发明的有益效果是:
支持实时动态扫描规则文件,实现snortV2和V3版本规则的兼容,和MTX规则形成本地统一规则库,并对复杂规则进行规则转换优化;对统一规则库中规则的不同规则特征做关键字处理,根据场景需求进行相应的规则特征匹配,执行对应的匹配算法流程;支持大流量场景,支持多线程,采用DPDK高性能组件,采用流模式匹配,无需对报文做一一匹配。官方的snort匹配方式,处理性能在优化情况下,大致处理1Gbps左右,用本发明提到的检测方法可以处理50Gbps,将近提升50倍。
附图说明
图1为本发明实施例提供的一种基于snort的高性能网络攻击特征检测方法的流程示意图;
图2为本发明实施例提供的一种基于snort的高性能网络攻击特征检测方法的流程示意图;
图3为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本申请提供一种基于snort的高性能网络攻击特征检测方法,其中:包括,
步骤S110、于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;示意性地,采用高性能网络攻击特征检测安全引擎实时动态监控目录,发现有新的规则文件,则根据该新的规则文件形成所述目标规则。
其中规则文件包括本地预加载的规则文件和根据需要从外部策略平台下发的规则,网络攻击检测需要动态监测、自动加载以确保规则生效的实时性;
步骤S120、按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;其中所述预制的规则至少包含snort和MTX规则。
列举一具体实施方式,确定所述预规则文件的规则类型,选择与该预规则文件对应的规则类型对所述预规则文件做适配以提取规则执行过滤的关键字信息。所述关键字信息可为协议类型、匹配方式、匹配条件、端口等信息,根据关键字进行规则优化,转换为本地统一规则,不同规则特征匹配相应的匹配算法流程。
基于snort和MTX的规则适配,兼容snortV2和V3版本规则,提取如协议类型、匹配方式、匹配条件、端口等规则关键字信息,进而将这些规则转换为本地系统自定义的规则格式,本方法关注内部统一规则的规则特征,以其规则特征采用对应的规则匹配算法,以提高匹配性能,采用如IP规则采用hash匹配、正则表达式采用hyperscan匹配等的方式。
步骤S130、根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;例如关键字信息包括IP,正则表达式、PORT、五元组等,并且对其规则特征按所关注的特征需求执行对应的算法匹配流程(例如IP规则采用hash匹配、正则表达式采用hyperscan匹配)以提升其匹配性能。
步骤S140、根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库。
分别列举snort规则文件和MTX规则文件的不同匹配方式。例如:
示例snort规则:
步骤S11:加载本地规则解析规则命令,其中示例snort规则1:
alert tcp 192.168.1.0/24 110->192.168.2.0/24 22(msg:"Virus-PossibleNAVIDAD Worm";flow:established;content:"NAVIDAD.EXE";nocase;classtype:misc-activity;sid:400100169;rev:6;
步骤S12:提取该规则关键字:其源IP(192.168.1.0/24)和目的IP(192.168.1.0/24)信息;作规则适配转换为本地统一规则;
步骤S13:按照该规则格式,对该规则进行合法性校验,成功则进入预编译阶段,所有规则解析完成后进行整体编译;
步骤S14:匹配完成后的规则更新至本地规则库实时生效。对待匹配流量执行IP规则的hash匹配算法。
示例MTX规则:
步骤S21:接收外部策略平台下发的规则文件,如示例MTX规则2:1001004671400007546http packet
http.method==HTTP_POST&&http.url^".php"&&http.msgbody0==sequence("wfpid=","&wftid=","&WFDDURL=","&wfproname=","&wfpayment=","&wfpayzk=","&wfproup=","&wfprice=","&wfismob=","&wfproduct=","&wfnums=","&wfname=","&wfmob=","&wfprovince=","&wfcity=","&wfarea=","&wfaddress=","&wfpayment=","&wfguest=")event("host=",http.host,";url=",http.url,";referer=",http.referer,";head0=",http.msghead0,";body0=",http.msgbody0)0
1 16 alert 0 0
步骤S22:作规则适配转换为本地统一规则,如果根据场景需要对待匹配流量执行url对应的匹配算法流程,则提取该规则关键字特征:如其http.url信息;
步骤S23:按照该规则格式,对该规则进行合法性校验,成功则进入预编译阶段,所有规则解析完成后进行整体编译;
步骤S24:匹配完成后的规则更新至本地规则库实时生效,对待匹配流量执行url对应的匹配算法。
上述的一种基于snort的高性能网络攻击特征检测方法,其基本方法可概述为动态监控、规则转换、规则优化、实时生效规则特征匹配,高性能匹配算法以实现该方法高性能、准确性,可以广泛运用在运营商网络中。
实施例二
如图2所示,作为进一步优选实施方案,上述的一种基于snort的高性能网络攻击特征检测方法,其中:还包括,
步骤S150、于获取到数据包的状态下,判断所述数据包是否匹配一标记数据流;进一步优选地,于获取到数据包的状态下,对所述数据包采用无锁队列方式存储。采用无锁队列,在进程间执行网络攻击检测时采用无锁队列做缓存,缓解数据处理压力,避免因使用互斥锁而带来的相对的额外性能开销,面对网络攻击检测的大流量场景,需要追求高性能低延时,因此采用无锁队列的方式。
步骤S160、于所述数据包不匹配所述标记数据流的状态下,根据所述数据包形成目标数据流;
步骤S170、对所述目标数据流的前N个数据包结合本地匹配规则库做匹配处理;并于处理完成后形成与所述目标数据流匹配关键数据特征,并对所述目标数据流做标记处理以形成标记数据流。
步骤S180、于所述数据包匹配所述标记数据流的状态下,判定所述数据包检验被通过。
本方法的检测对象是基于各原始数据包的关联构造的目标数据流,本方法只需在流模式层面对数据进行规则匹配检测,在一条目标数据流的前几条数据包执行匹配流程后,匹配引擎已记录该条目标数据流的关键数据特征并标记该条流,在同属一条目标数据流的后续数据包到来时,无需再次执行匹配流程,因此不用对每个报文进行匹配检测,大大提高检测性能和检测流量吞吐上限。
实施例三
另一方面,本申请再提供一种基于snort的高性能网络攻击特征检测装置,其中:包括:
存储单元,采用NumA架构的CPU的内存形成,用以存储待检测的所述数据包;采用DPDK高性能组件,利用NumA架构的CPU的内存亲和性,在物理地址上,距离CPU核越近的内存块,访问CPU的速度越快,有更低的延时,提高安全引擎的处理性能;进一步地,于获取到数据包的状态下,对所述数据包采用无锁队列方式存储。
本地规则库单元,用以接收目标规则,并于目标规则被校验通过的状态下更新本地规则库;
校验单元,用以接收网络传输中的数据包,并于流模式下对所述数据包结合本地规则库做检验处理以形成检测结果输出。
作为进一步优选实施方案,上述的一种基于snort的高性能网络攻击特征检测装置,其中:所述本地规则库单元包括,
规则文件形成模块:于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;
关键字信息形成模块,按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;
规则匹配算法形成模块,根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;
本地规则库模块,根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库。
优选地,上述的一种基于snort的高性能网络攻击特征检测装置,其中:所述校验单元包括:
判断模块,于获取到数据包的状态下,判断所述数据包是否匹配一标记数据流;
目标数据流形成模块,于所述数据包不匹配所述标记数据流的状态下,根据所述数据包形成目标数据流;
标记数据流形成模块,对所述目标数据流的前N个数据包结合本地匹配规则库做匹配处理;并于处理完成后形成与所述目标数据流匹配关键数据特征,并对所述目标数据流做标记处理以形成标记数据流;
检测模块,于所述数据包匹配所述标记数据流或者所述数据包匹配本地匹配规则库的状态下,判定所述数据包检验被通过。
上述的一种基于snort的高性能网络攻击特征检测装置,基于DPDK高性能组件形成,具体地,使用高性能内存池,利用NumA架构的CPU的内存亲和性,在物理地址上,距离CPU核越近的内存块,访问CPU的速度越快,有更低的延时,提高安全引擎的处理性能;另外采用无锁队列,在进程间执行网络攻击检测时采用无锁队列做缓存,缓解数据处理压力,避免因使用互斥锁而带来的性能开销,面对网络攻击检测的大流量场景,需要追求高性能低延时,因此采用无锁队列的方式。
以上实施例中,本发明提出的一种基于snort的高性能网络攻击特征检测方法及装置,其基本方法可概述为动态监控、规则转换、规则优化、实时生效规则特征匹配,是基于DPDK高性能组件、高性能匹配算法及流模式的匹配方式以实现该方法的大流量、高性能、低延时,可以广泛运用在运营商网络中。
实施例四
本申请实施例提供了一种电子设备,如图3所示,本实施例提供了一种电子设备400,其包括:一个或多个处理器420;存储装置410,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器420运行,使得所述一个或多个处理器420实现:
于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;
按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;
根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;
根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库。
如图3所示,该电子设备400包括处理器420、存储装置410、输入装置430和输出装置440;电子设备中处理器420的数量可以是一个或多个,图3中以一个处理器420为例;电子设备中的处理器420、存储装置410、输入装置430和输出装置440可以通过总线或其他方式连接,图3中以通过总线450连接为例。
存储装置410作为一种计算机可读存储介质,可用于存储软件程序、计算机可运行程序以及模块单元,如本申请实施例中的基于相关运行环境的控制方法对应的程序指令。
存储装置410可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置410可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置410可进一步包括相对于处理器420远程设置的存储器,这些远程存储器可以通过网络连接。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字、字符信息或语音信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏、扬声器等设备。
实施例五
在一些实施例中,以上所描述的方法可以被实现为计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各个方面的计算机可读程序指令。具体地:
于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;
按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;
根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;
根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库。
上述的计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
本文所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言,以及常规的过程式编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (6)
1.一种基于snort的高性能网络攻击特征检测方法,其特征在于:包括,
于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;
按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;
根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;
根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库;
于获取到数据包的状态下,判断所述数据包是否匹配一标记数据流,所述数据包采用无锁队列方式存储;
于所述数据包不匹配所述标记数据流的状态下,根据所述数据包形成目标数据流;对所述目标数据流的前N个数据包结合本地匹配规则库做匹配处理;并于处理完成后形成与所述目标数据流匹配关键数据特征,并对所述目标数据流做标记处理以形成标记数据流。
2.根据权利要求1所述的一种基于snort的高性能网络攻击特征检测方法,其特征在于:还包括,于所述数据包匹配所述标记数据流的状态下,判定所述数据包检验被通过。
3.根据权利要求1所述的一种基于snort的高性能网络攻击特征检测方法,其特征在于:预制的规则至少包括Snort规则和MTX规则。
4.一种基于snort的高性能网络攻击特征检测装置,其特征在于:包括:
存储单元,采用NumA架构的CPU的内存形成,用以存储待检测的数据包;
本地规则库单元,用以接收目标规则,并于目标规则被校验通过的状态下更新本地规则库;
校验单元,用以接收网络传输中的所述数据包,并于流模式下对所述数据包结合本地规则库做检验处理以形成检测结果输出;
所述本地规则库单元包括:规则文件形成模块,于获取到目标规则的状态下,加载并解析所述目标规则以形成一预规则文件;关键字信息形成模块,按照预制的规则对所述预规则文件做适配处理以获取与所述预规则文件匹配的关键字信息;规则匹配算法形成模块,根据所述关键字信息形成本地规则文件,根据所述本地规则文件形成一规则匹配算法;本地规则库模块,根据所述规则匹配算法对所述本地规则文件做合法性校验,并于校验通过的状态下形成一匹配规则,并将所述匹配规则更新至本地规则库;
所述校验单元包括:判断模块,于获取到数据包的状态下,判断所述数据包是否匹配一标记数据流;目标数据流形成模块,于所述数据包不匹配所述标记数据流的状态下,根据所述数据包形成目标数据流;标记数据流形成模块,对所述目标数据流的前N个数据包结合本地匹配规则库做匹配处理;并于处理完成后形成与所述目标数据流匹配关键数据特征,并对所述目标数据流做标记处理以形成标记数据流;检测模块,于所述数据包匹配所述标记数据流或者所述数据包匹配本地匹配规则库的状态下,判定所述数据包检验被通过。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1~3中任一项所述一基于snort的高性能网络攻击特征检测方法。
6.一种计算机存储介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现如权利要求1~3中任一项所述一种基于snort的高性能网络攻击特征检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210883888.2A CN115208682B (zh) | 2022-07-26 | 2022-07-26 | 一种基于snort的高性能网络攻击特征检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210883888.2A CN115208682B (zh) | 2022-07-26 | 2022-07-26 | 一种基于snort的高性能网络攻击特征检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208682A CN115208682A (zh) | 2022-10-18 |
| CN115208682B true CN115208682B (zh) | 2023-12-12 |
Family
ID=83584436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210883888.2A Active CN115208682B (zh) | 2022-07-26 | 2022-07-26 | 一种基于snort的高性能网络攻击特征检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208682B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055350B (zh) * | 2023-01-03 | 2024-05-14 | 重庆长安汽车股份有限公司 | 一种基于Json的数据通信质量检测方法 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809926A (zh) * | 2017-12-25 | 2018-11-13 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| KR20190028597A (ko) * | 2017-09-08 | 2019-03-19 | (주)피즐리소프트 | Fpga 기반 고속 스노트 룰과 야라 룰 매칭 방법 |
| CN110535881A (zh) * | 2019-09-27 | 2019-12-03 | 杭州九略智能科技有限公司 | 工业网络攻击流量检测方法及服务器 |
| CN110730157A (zh) * | 2019-08-31 | 2020-01-24 | 苏州浪潮智能科技有限公司 | 一种存储系统入侵检测方法、系统、终端及存储介质 |
| CN111064730A (zh) * | 2019-12-23 | 2020-04-24 | 深信服科技股份有限公司 | 网络安全检测方法、装置、设备及存储介质 |
| CN111478966A (zh) * | 2020-04-07 | 2020-07-31 | 全球能源互联网研究院有限公司 | 物联网协议的解析方法、装置、计算机设备及存储介质 |
| CN112532642A (zh) * | 2020-12-07 | 2021-03-19 | 河北工业大学 | 一种基于改进Suricata引擎的工控系统网络入侵检测方法 |
| WO2021082339A1 (zh) * | 2019-10-28 | 2021-05-06 | 中国科学技术大学 | 将机器学习和规则匹配相融合的安全检测方法和设备 |
| CN112788014A (zh) * | 2020-12-30 | 2021-05-11 | 成都为辰信息科技有限公司 | 一种基于车载mcu的以太网入侵检测方法 |
| CN112968919A (zh) * | 2019-12-12 | 2021-06-15 | 上海欣诺通信技术股份有限公司 | 一种数据处理方法、装置、设备和存储介质 |
| CN113839925A (zh) * | 2021-08-31 | 2021-12-24 | 国网新疆电力有限公司电力科学研究院 | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 |
| CN113872965A (zh) * | 2021-09-26 | 2021-12-31 | 国网四川省电力公司乐山供电公司 | 一种基于Snort引擎的SQL注入检测方法 |
| CN114327833A (zh) * | 2021-12-31 | 2022-04-12 | 上海阅维科技股份有限公司 | 一种基于软件定义复杂规则的高效流量处理方法 |
| CN114726633A (zh) * | 2022-04-14 | 2022-07-08 | 中国电信股份有限公司 | 流量数据处理方法及装置、存储介质及电子设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090220088A1 (en) * | 2008-02-28 | 2009-09-03 | Lu Charisse Y | Autonomic defense for protecting data when data tampering is detected |
| US8474043B2 (en) * | 2008-04-17 | 2013-06-25 | Sourcefire, Inc. | Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing |
| US10635662B2 (en) * | 2016-05-12 | 2020-04-28 | International Business Machines Corporation | Signature detection |
| CN109496409B (zh) * | 2017-12-27 | 2020-10-23 | 华为技术有限公司 | 一种数据传送的方法和虚拟交换机 |
-
2022
- 2022-07-26 CN CN202210883888.2A patent/CN115208682B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190028597A (ko) * | 2017-09-08 | 2019-03-19 | (주)피즐리소프트 | Fpga 기반 고속 스노트 룰과 야라 룰 매칭 방법 |
| CN108809926A (zh) * | 2017-12-25 | 2018-11-13 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN110730157A (zh) * | 2019-08-31 | 2020-01-24 | 苏州浪潮智能科技有限公司 | 一种存储系统入侵检测方法、系统、终端及存储介质 |
| CN110535881A (zh) * | 2019-09-27 | 2019-12-03 | 杭州九略智能科技有限公司 | 工业网络攻击流量检测方法及服务器 |
| WO2021082339A1 (zh) * | 2019-10-28 | 2021-05-06 | 中国科学技术大学 | 将机器学习和规则匹配相融合的安全检测方法和设备 |
| CN112968919A (zh) * | 2019-12-12 | 2021-06-15 | 上海欣诺通信技术股份有限公司 | 一种数据处理方法、装置、设备和存储介质 |
| CN111064730A (zh) * | 2019-12-23 | 2020-04-24 | 深信服科技股份有限公司 | 网络安全检测方法、装置、设备及存储介质 |
| CN111478966A (zh) * | 2020-04-07 | 2020-07-31 | 全球能源互联网研究院有限公司 | 物联网协议的解析方法、装置、计算机设备及存储介质 |
| CN112532642A (zh) * | 2020-12-07 | 2021-03-19 | 河北工业大学 | 一种基于改进Suricata引擎的工控系统网络入侵检测方法 |
| CN112788014A (zh) * | 2020-12-30 | 2021-05-11 | 成都为辰信息科技有限公司 | 一种基于车载mcu的以太网入侵检测方法 |
| CN113839925A (zh) * | 2021-08-31 | 2021-12-24 | 国网新疆电力有限公司电力科学研究院 | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 |
| CN113872965A (zh) * | 2021-09-26 | 2021-12-31 | 国网四川省电力公司乐山供电公司 | 一种基于Snort引擎的SQL注入检测方法 |
| CN114327833A (zh) * | 2021-12-31 | 2022-04-12 | 上海阅维科技股份有限公司 | 一种基于软件定义复杂规则的高效流量处理方法 |
| CN114726633A (zh) * | 2022-04-14 | 2022-07-08 | 中国电信股份有限公司 | 流量数据处理方法及装置、存储介质及电子设备 |
Non-Patent Citations (3)
| Title |
|---|
| Runtime rule-reconfigurable high throughput NIPS on FPGA;P. M. K. Tharaka et.al.;2017 International Conference on Field Programmable Technology (ICFPT);全文 * |
| 基于snort的网络流量监测系统的研究与实现;王翠翠;中国优秀硕士学位论文全文数据库 (信息科技辑);全文 * |
| 基于动态规则的IPv6入侵检测系统研究;甘勇;吕国宁;马芳;郑富娥;;微计算机信息(12);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208682A (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US7882555B2 (en) | Application layer security method and system | |
| US9081961B2 (en) | System and method for analyzing malicious code using a static analyzer | |
| AU2002252371B2 (en) | Application layer security method and system | |
| CN107506648B (zh) | 查找应用漏洞的方法、装置和系统 | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| US10313370B2 (en) | Generating malware signatures based on developer fingerprints in debug information | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| AU2002252371A1 (en) | Application layer security method and system | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| WO2019190403A1 (en) | An industrial control system firewall module | |
| CN115208682B (zh) | 一种基于snort的高性能网络攻击特征检测方法及装置 | |
| US11729192B2 (en) | Malware detection using document object model inspection | |
| CN110808997B (zh) | 对服务器远程取证的方法、装置、电子设备、及存储介质 | |
| CN114697066A (zh) | 网络威胁检测方法和装置 | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和系统 | |
| CN114039776B (zh) | 流量检测规则的生成方法、装置、电子设备及存储介质 | |
| CN113297577B (zh) | 一种请求处理方法、装置、电子设备及可读存储介质 | |
| CN110868410B (zh) | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 | |
| CN111079144A (zh) | 一种病毒传播行为检测方法及装置 | |
| CN114765634B (zh) | 网络协议识别方法、装置、电子设备及可读存储介质 | |
| CN115174265B (zh) | 一种基于流量特征的icmp隐蔽隧道检测方法 | |
| CN115086080A (zh) | 一种基于流量特征的dns隐蔽隧道检测方法 | |
| CN117544362A (zh) | 代理隧道检测方法、装置、设备及存储介质 | |
| EP3298746A1 (en) | Offloading web security services to client side |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |