專利名稱:基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)和方法
技術領域:
本發(fā)明屬于網(wǎng)絡信息安全領域��,具體涉及一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)和方法�����。
背景技術:
網(wǎng)絡入侵檢測系統(tǒng)(Network Intrusion Detection System���,簡稱NIDS)是網(wǎng)絡安全防御體系的一個重要組成部分��,它的基本原理是通過對網(wǎng)絡上的數(shù)據(jù)包進行收集分析�,檢測其中是否有違反安全策略的事件或攻擊事件發(fā)生����,并對檢測到的事件發(fā)出警報�,便于系統(tǒng)管理員和自動響應機制及時采取有效措施防止或降低攻擊造成的破壞�����。
入侵檢測技術可以分為特征檢測和異常檢測兩大類��。特征檢測是基于已有攻擊的特征對檢測數(shù)據(jù)進行匹配�����,如果符合即視為發(fā)生攻擊給出警報。異常檢測又可分為傳統(tǒng)的異常檢測方法和基于規(guī)范的異常檢測方法傳統(tǒng)的異常檢測方法一般是通過各種機器學習的方法建立起正常情況下的某些特征的數(shù)據(jù)輪廓,檢測期間則將當前收集到的數(shù)據(jù)與正常數(shù)據(jù)輪廓相比較��,當兩者達到一定的偏移時視為有異常發(fā)生,并進行報警;基于規(guī)范的異常檢測方法則是通過規(guī)范定義正常的系統(tǒng)輪廓,若檢測數(shù)據(jù)違反了規(guī)范�����,則視為異常事件進行報警����。網(wǎng)絡數(shù)據(jù)包的規(guī)范反映為網(wǎng)絡協(xié)議規(guī)范�����,因此基于規(guī)范的網(wǎng)絡異常檢測技術又稱為協(xié)議分析。
目前的網(wǎng)絡入侵檢測系統(tǒng)一般僅使用特征檢測和協(xié)議分析方法�,少數(shù)系統(tǒng)實現(xiàn)了簡單的閾值比較方法以檢測導致明顯網(wǎng)絡流量異常的端口掃描等攻擊����,而沒有使用基于機器學習的異常檢測方法,因此對新出現(xiàn)的攻擊行為�,以及繞過特征檢測和協(xié)議分析的變形攻擊行為很難檢測。如廣泛使用的著名開源網(wǎng)絡入侵檢測系統(tǒng)Snort��,其主要檢測部件包括以預處理插件形式實現(xiàn)的少數(shù)幾種應用協(xié)議分析插件和作為其核心的特征檢測引擎��。而在異常檢測方面���,僅實現(xiàn)了使用簡單的閾值比較方法來檢測端口掃描攻擊����,而未考慮其他形式的攻擊���。
而且����,現(xiàn)有的網(wǎng)絡入侵檢測系統(tǒng)在構建其檢測引擎時一般采用源碼級模塊化機制��,如Snort即采用了源代碼級的插件機制,但是源碼級模塊化機制導致在支持新的特征檢測選項和新的應用協(xié)議時需要大量修改代碼���,系統(tǒng)的易擴展性和易維護性較差����,同時����,由此構建的網(wǎng)絡入侵檢測系統(tǒng)僅支持攻擊特征的升級功能,而對新的應用協(xié)議分析支持�、新的攻擊特征選項缺乏方便快捷的自動升級方式。
發(fā)明內(nèi)容
針對上述問題����,本發(fā)明的目的之一在于提供一種用于維護網(wǎng)絡安全的基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng),所述的網(wǎng)絡入侵檢測系統(tǒng)包括數(shù)據(jù)包捕獲模塊�����,用于收集網(wǎng)絡數(shù)據(jù)包�;數(shù)據(jù)包解析模塊,用于對網(wǎng)絡數(shù)據(jù)包的鏈路層�、網(wǎng)絡層及傳輸層進行解析�,并對網(wǎng)絡層進行IP分片合并�,對傳輸層進行TCP會話重組�;數(shù)據(jù)包分流模塊��,用于根據(jù)應用層網(wǎng)絡協(xié)議頭部信息�,對網(wǎng)絡數(shù)據(jù)包根據(jù)所使用的不同應用協(xié)議進行分流��;應用協(xié)議檢測引擎�,用于分析解析后的網(wǎng)絡數(shù)據(jù)包,從而發(fā)現(xiàn)入侵行為�����,并對發(fā)現(xiàn)的入侵行為產(chǎn)生報警信息����;輸出響應模塊,用于輸出報警信息及根據(jù)配置策略產(chǎn)生相應響應動作�����;控制臺,用于配置管理整個網(wǎng)絡入侵檢測系統(tǒng),并為系統(tǒng)管理員提供報警信息視圖。
本發(fā)明的特征在于��,上述的應用協(xié)議檢測引擎還包括協(xié)議分析器�,用于分析處理網(wǎng)絡數(shù)據(jù)包����,對其應用層關鍵域值進行提取,并根據(jù)應用協(xié)議規(guī)范對濫用協(xié)議的攻擊數(shù)據(jù)包進行檢測�����;異常檢測器���,用于根據(jù)對特定的網(wǎng)絡流特征使用正常網(wǎng)絡數(shù)據(jù)包流進行訓練獲得的特征正常取值輪廓�����,對當前網(wǎng)絡數(shù)據(jù)包流的特征取值進行比較�����,確定其是否偏移正常取值輪廓��,從而判定其是否包含攻擊事件�����;特征檢測器�����,用于根據(jù)針對此應用協(xié)議的已知攻擊特征,對網(wǎng)絡數(shù)據(jù)包進行特征匹配�����,從而發(fā)現(xiàn)符合特征的已知攻擊���;進一步地�,所述的協(xié)議分析器采用簡單組件對象模型(Simple Common Object Model�,簡稱SCOM)組件技術(參考文獻潘愛民、徐輝��,《Linux平臺下的組件對象模型及其實現(xiàn)》�����,“小型微型計算機系統(tǒng)”2004年第25(9)期��,第1707-1711頁)實現(xiàn)每種所支持的應用協(xié)議分析組件�,并提供統(tǒng)一的組件調(diào)用接口,即應用協(xié)議分析組件接口���,這個接口包含兩個函數(shù)組件初始化函數(shù)和協(xié)議分析函數(shù)。其中組件初始化函數(shù)讀取對應用協(xié)議分析組件的配置信息并進行組件初始化����,協(xié)議分析函數(shù)則對每個數(shù)據(jù)包進行應用層協(xié)議分析���,以提取供進一步特征檢測的關鍵域值,及檢查該數(shù)據(jù)包是否違反應用協(xié)議規(guī)范標準����。
進一步地,所述的異常檢測組件采用SCOM組件技術實現(xiàn)��,并提供統(tǒng)一的組件調(diào)用接口�,即異常檢測組件接口,這個接口包含兩個函數(shù)組件初始化函數(shù)和異常檢測函數(shù)��。其中組件初始化函數(shù)讀取對該異常檢測組件的配置信息并進行組件初始化�����,異常檢測函數(shù)則對輸入的數(shù)據(jù)包進行異常評定�����。異常檢測器根據(jù)不同應用協(xié)議的流量特性�����,選取一個或多個統(tǒng)計特征,針對每個統(tǒng)計特征實現(xiàn)其對應的異常檢測組件����,對于輸入的數(shù)據(jù)包,通過異常檢測組件時將判斷是否產(chǎn)生新的特征值��,或?qū)奶卣髦凳欠窀淖?����,若否�,則退出該異常檢測組件的處理,若是��,則對該特征值進行異常評定��,若為異常�,則發(fā)出報警信息。
其中��,異常評定方法可以是根據(jù)訓練階段獲得的特征正常取值范圍進行評定的方法���,也可以是根據(jù)公式計算當前特征值與正常取值的期望之間的偏差是否大于特定倍數(shù)的標準差�����,從而進行異常判定的方法���。
進一步地,所述的特征檢測器首先通過并行模式匹配算法檢查數(shù)據(jù)包中是否包含攻擊特征中聲明的模式���,當某條攻擊特征的所有模式都得到匹配時�,再通過該攻擊特征中聲明的各個特征選項組件�����,判斷該數(shù)據(jù)包是否滿足所有特征選項��,如果全部滿足�����,則表明數(shù)據(jù)包符合該攻擊特征�,將產(chǎn)生報警信息,否則����,表明數(shù)據(jù)包不符合該攻擊特征,無需進一步工作。其中���,并行模式匹配算法可以采用AC或WM算法�。其中����,特征選項組件采用SCOM組件技術實現(xiàn),并提供統(tǒng)一的組件調(diào)用接口��,即特征選項組件接口�,這個接口包含兩個函數(shù)特征選項解析函數(shù)和特征選項檢查函數(shù)。其中的特征選項解析函數(shù)讀取攻擊特征中此選項的檢查信息并進行解析����,產(chǎn)生對應的數(shù)據(jù)結構,供該特征選項組件對數(shù)據(jù)包進行檢查時使用�����,特征選項檢查函數(shù)則基于檢查信息數(shù)據(jù)結構對輸入的數(shù)據(jù)包進行特征選項檢查�,以判斷其是否滿足此特征選項。
本發(fā)明的另一目的在于提供一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法�����,其包括如下步驟首先,應用協(xié)議分流模塊選擇與網(wǎng)絡數(shù)據(jù)包對應的應用協(xié)議檢測引擎�����,數(shù)據(jù)包進入應用協(xié)議檢測引擎���,開始檢測;其次���,包括不分先后順序的以下三個步驟(1)應用協(xié)議分析�����,判斷網(wǎng)絡數(shù)據(jù)包是否違反應用協(xié)議規(guī)范����;(2)異常檢測�����,判斷網(wǎng)絡數(shù)據(jù)包的特征值是否偏移特征正常取值輪廓���;
(3)特征檢測��,判斷網(wǎng)絡數(shù)據(jù)包是否符合已知的攻擊特征��;最后�����,輸出結果����,結束檢測。
本發(fā)明提供了一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)及其方法�,其有益效果在于由于其在應用協(xié)議檢測引擎中采用組件機制來實現(xiàn)應用協(xié)議分析、異常檢測和特征檢測三種不同的檢測技術�����,從而彌補了現(xiàn)有的網(wǎng)絡入侵檢測系統(tǒng)不能檢測到新的攻擊方式的缺陷����;并且,其基于組件技術來實現(xiàn)應用協(xié)議檢測引擎����,允許編譯之后的檢測組件不經(jīng)重新編譯而直接掛接到網(wǎng)絡入侵檢測系統(tǒng)中,從而保證了網(wǎng)絡入侵檢測系統(tǒng)的易擴展性和易維護性�����,為系統(tǒng)的開發(fā)及維護帶來了極大的方便,同時也能夠提供對新的應用協(xié)議分析支持�、新的異常檢測特征以及新的攻擊特征選項的軟件升級功能。
圖1表示基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)的結構示意圖�;圖2表示應用協(xié)議檢測引擎的功能模塊結構示意圖;圖3表示應用協(xié)議檢測引擎的具體實現(xiàn)結構圖���;圖4表示特征檢測器中并行模式匹配方法的實現(xiàn)結構圖;圖5表示特征檢測器中規(guī)則節(jié)點的實現(xiàn)結構圖�;圖6表示應用協(xié)議檢測引擎處理網(wǎng)絡數(shù)據(jù)包的流程圖;圖7表示協(xié)議分析器處理網(wǎng)絡數(shù)據(jù)包��,從而判斷其是否違反應用協(xié)議規(guī)范的流程圖��;圖8表示異常檢測器處理網(wǎng)絡數(shù)據(jù)包����,從而判斷其是否屬于異常數(shù)據(jù)包的流程圖;圖9表示應用協(xié)議檢測引擎中的特征檢測器處理網(wǎng)絡數(shù)據(jù)包����,從而判斷其是否符合已知攻擊特征規(guī)則的流程圖;圖10表示應用協(xié)議檢測引擎中的特征檢測檢查網(wǎng)絡數(shù)據(jù)包是否符合規(guī)則特征選項及規(guī)則頭部的流程圖���。
具體實施例方式
以下參照附圖1至5詳細說明本發(fā)明提供的基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)如圖1所示��,為本發(fā)明提供的基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)�,其中的數(shù)據(jù)包捕獲模塊、數(shù)據(jù)包解析模塊�、數(shù)據(jù)包分流模塊、輸出響應模塊和控制臺的結構組成�����、連接關系及功能都與現(xiàn)有的網(wǎng)絡入侵檢測系統(tǒng)相同��。其特征在于����,如圖2所示,其中的應用協(xié)議檢測引擎還包括協(xié)議分析器�、異常檢測器和特征檢測器三個檢測功能模塊,所述的三個模塊分別采用簡單組件對象模型實現(xiàn)應用協(xié)議分析組件�����、異常檢測組件和特征檢測組件�,融合了協(xié)議分析、特征檢測和異常檢測三種檢測技術���。如圖3所示���,為應用協(xié)議檢測引擎的一種具體實現(xiàn)結構�����,其包括一個應用協(xié)議分析組件接口指針作為協(xié)議分析器調(diào)用的入口����,特征檢測器的實現(xiàn)結構為一個無模式的規(guī)則節(jié)點鏈表及一個指向模式匹配數(shù)據(jù)結構指針�����,而異常檢測器則通過一個特征異常檢測組件接口指針鏈表進行逐個調(diào)用�����。
其中���,所述的應用協(xié)議分析組件提供統(tǒng)一的組件調(diào)用接口,即應用協(xié)議分析組件接口���,這個接口包含組件初始化函數(shù)和協(xié)議分析函數(shù)�。其中,組件初始化函數(shù)讀取對應用協(xié)議分析組件的配置信息并進行組件初始化���,協(xié)議分析函數(shù)則對每個數(shù)據(jù)包進行應用層協(xié)議分析�����,以提取供進一步特征檢測的關鍵域值�����,及檢查該數(shù)據(jù)包是否違反應用協(xié)議規(guī)范標準�。
其中�����,所述的異常檢測組件提供統(tǒng)一的組件調(diào)用接口�,即異常檢測組件接口,這個接口包含組件初始化函數(shù)和異常檢測函數(shù)��。其中組件初始化函數(shù)讀取對該異常檢測組件的配置信息并進行組件初始化�,異常檢測函數(shù)則對輸入的數(shù)據(jù)包進行異常評定。
如圖4所示���,為特征檢測器中模式匹配數(shù)據(jù)結構的實現(xiàn)結構圖�。其包括一個模式-規(guī)則節(jié)點鏈表和一些由并行模式匹配算法內(nèi)部使用的數(shù)據(jù)結構,其中模式-規(guī)則節(jié)點鏈表上的每個節(jié)點包括一個指向模式節(jié)點的指針�,一個指向該模式所屬攻擊特征規(guī)則的規(guī)則節(jié)點指針,以及一些必需的模式信息���,如模式長度�,是否區(qū)分大小寫等����。
如圖5所示,每個規(guī)則節(jié)點包括此攻擊特征規(guī)則的一些基本信息(如規(guī)則ID����、報警信息及響應動作等)、規(guī)則頭部信息(包括協(xié)議類型���、源IP地址、目標IP地址�����、源端口���、目標端口等)���、一個模式節(jié)點鏈表和一個特征選項節(jié)點鏈表����。其中模式節(jié)點中包含該模式內(nèi)容����、模式其他信息(如模式長度,是否區(qū)分大小寫���、匹配范圍等)以及一個模式是否匹配位�。特征選項節(jié)點中包含一個特征選項組件接口指針和一個指向該攻擊特征規(guī)則中特征選項檢查的信息數(shù)據(jù)結構的指針�。
進一步地,特征選項組件還提供統(tǒng)一的組件調(diào)用接口���,即特征選項組件接口���,這個接口包含兩個函數(shù)特征選項解析函數(shù)和特征選項檢查函數(shù)。其中�����,特征選項解析函數(shù)讀取攻擊特征中此選項的檢查信息并進行解析,產(chǎn)生對應的數(shù)據(jù)結構����,供該特征選項組件對數(shù)據(jù)包進行檢查時使用,特征選項檢查函數(shù)則基于檢查信息數(shù)據(jù)結構對輸入的數(shù)據(jù)包進行特征選項檢查���,以判斷其是否滿足此特征選項����。
以下參照附圖6至10詳細說明本發(fā)明提供的基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法如圖6所示���,為本發(fā)明提供的基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法的流程圖�,其包括如下步驟(1)應用協(xié)議分流模塊選擇與網(wǎng)絡數(shù)據(jù)包對應的應用協(xié)議檢測引擎��,數(shù)據(jù)包進入應用協(xié)議檢測引擎�,開始檢測;(2)應用協(xié)議分析����,判斷網(wǎng)絡數(shù)據(jù)包是否違反應用協(xié)議規(guī)范;(3)異常檢測����,判斷網(wǎng)絡數(shù)據(jù)包的特征值是否偏移特征正常取值輪廓;(4)特征檢測�,判斷網(wǎng)絡數(shù)據(jù)包是否符合已知的攻擊特征;(5)輸出結果�����,結束檢測��。
其中�,應用協(xié)議分析、異常檢測和特征檢測步驟均通過采用簡單組件對象技術實現(xiàn)���。
如圖7所示����,所述的應用協(xié)議分析步驟(2)還包括如下步驟(101)判斷應用協(xié)議分析組件接口指針是否為空���?若否��,則進入下一步驟�;若是�,則結束;(102)調(diào)用應用協(xié)議分析組件接口中提供的協(xié)議分析函數(shù)�;(103)執(zhí)行對應應用協(xié)議分析組件的協(xié)議分析函數(shù)��,進行應用層關鍵域值的解析和應用協(xié)議規(guī)范異常檢測��;(104)在協(xié)議分析函數(shù)中����,若檢查到網(wǎng)絡數(shù)據(jù)包違反應用協(xié)議規(guī)范�,則進入下一步驟,否則結束應用協(xié)議分析程序�����,進入異常檢測步驟����;(105)對檢測到的違反協(xié)議規(guī)范的攻擊事件進行報警,結束應用協(xié)議分析程序��,進入異常檢測步驟�����。
如圖8所示����,所述的異常檢測步驟(3)還包括如下步驟(201)判斷異常檢測組件組件接口指針是否為空�����?若否,則進入下一步驟��;若是���,則結束異常檢測程序��,進入特征檢測步驟�;(202)調(diào)用異常檢測組件接口中提供的異常檢測函數(shù)���;(203)執(zhí)行對應異常檢測組件的異常檢測函數(shù)��,針對此特征進行網(wǎng)絡數(shù)據(jù)包異常評判����;(204)在異常檢測函數(shù)中�,若檢測到該網(wǎng)絡數(shù)據(jù)包屬于異常,則進入下一步驟���,否則進入步驟(206)����;(205)對檢測到的導致異常的攻擊事件進行報警,結束異常檢測程序����,進入特征檢測步驟;(206)將當前異常檢測組件接口指針指向應用協(xié)議檢測引擎結構中異常檢測組件接口指針鏈表中的下一項�,進入步驟(201)繼續(xù)執(zhí)行。
如圖9所示����,所述的特征檢測步驟(4)還包括如下步驟(301)判斷應用協(xié)議檢測引擎結構中的無模式規(guī)則節(jié)點指針是否為空?若否����,則進入下一步驟;若是��,則進入步驟(305)����;(302)判斷網(wǎng)絡數(shù)據(jù)包是否滿足該無模式規(guī)則的規(guī)則特征選項及規(guī)則頭部?若是����,則進入下一步驟��;若否�,則進入步驟(304)��;(303)對匹配該無模式規(guī)則的攻擊事件進行報警����,并繼續(xù)下一步驟���;(304)修改當前無模式規(guī)則節(jié)點指針�,指向應用協(xié)議檢測引擎中無模式規(guī)則節(jié)點指針鏈表中的下一項��;重新進入步驟(301)進行判斷����;(305)判斷指向并行模式匹配算法數(shù)據(jù)結構的指針是否為空,若否�����,則進入下一步驟�;若是,則進入步驟(309)�;(306)執(zhí)行并行模式匹配算法����,以檢查當前網(wǎng)絡數(shù)據(jù)包是否匹配上在此應用協(xié)議檢測引擎中所有的攻擊特征規(guī)則中的模式��,并行模式匹配算法可以采用AC或者WM算法��,算法執(zhí)行完畢后進入步驟(309)��;(307)檢查網(wǎng)絡數(shù)據(jù)包是否匹配到在此應用協(xié)議檢測引擎中所有的攻擊特征規(guī)則中的某個模式��,若是�,則進入下一步驟,否則回到上一步驟繼續(xù)并行模式匹配算法��;(308)通過匹配到的模式-規(guī)則節(jié)點中保存的模式節(jié)點指針��,將匹配到的模式節(jié)點的已匹配位置1�����,同時將匹配到的規(guī)則節(jié)點指針添加入已匹配規(guī)則節(jié)點鏈表中�����;(309)判斷當前已匹配規(guī)則節(jié)點指針是否為空?若否���,則進入下一步驟�;若是�,則結束;(310)檢查該規(guī)則節(jié)點中的每個模式是否均已匹配�?若是,則進入下一步驟�;若否,則進入進入步驟(313)�����;(311)檢查網(wǎng)絡數(shù)據(jù)包是否滿足該已匹配規(guī)則節(jié)點中的全部規(guī)則特征選項及規(guī)則頭部�����?若是�,則進入下一步驟����;若否,則進入步驟(313)�����;(312)對匹配到該有模式規(guī)則的攻擊事件進行報警,并繼續(xù)下一步驟�;(313)修改當前已匹配規(guī)則節(jié)點指針,指向已匹配規(guī)則節(jié)點鏈表中的下一項��;并進入步驟(309)重新判斷其是否為空�。
如圖10所示,所述的步驟(302)及(311)還包括如下步驟(401)判斷規(guī)則節(jié)點中的特征選項組件接口指針是否為空���?若否�����,則進入下一步驟���,若是,則進入步驟(406)���;
(402)調(diào)用特征選項組件接口中的選項檢查函數(shù)�����;(403)執(zhí)行對應特征選項組件提供的選項檢查函數(shù)函數(shù)����,用于判斷當前網(wǎng)絡數(shù)據(jù)包是否滿足該特征選項;(404)若網(wǎng)絡數(shù)據(jù)包符合此特征選項���,則進入下一步驟�����,若否����,則結束����,返回步驟(302)的否進入(304)或者返回步驟(311)的否進入(313)�;(405)修改當前特征選項組件接口指針為該規(guī)則節(jié)點中的特征選項組件接口指針鏈表中的下一項,并進入步驟(401)重新判斷其是否為空�����;(406)檢查當前網(wǎng)絡數(shù)據(jù)包是否滿足規(guī)則頭部��?若是�����,則結束,返回步驟(302)的是進入(303)或返回步驟(311)的是進入(312)�,若否,則結束���,返回步驟(302)的否進入(304)或者返回步驟(311)的否進入(313)���。
以上通過具體實施例詳細描述了本發(fā)明,本領域的技術人員應當理解��,在不脫離本發(fā)明實質(zhì)和范圍的情況下����,可以對本發(fā)明提供的系統(tǒng)和/或方法進行修改。尤其在本發(fā)明所揭露的基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法中�,所述的應用協(xié)議分析、異常檢測和特征檢測三個步驟并沒有先后順序之分�,應用協(xié)議分析步驟可以位于異常檢測或特征檢測步驟之后,而特征檢測步驟也可以位于應用協(xié)議分析或異常檢測步驟之前���,在實現(xiàn)的過程中只需對程序模塊的相應部分做適當修改即可���。
對本發(fā)明提供的基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)和方法使用國際上通用的入侵檢測測評基準數(shù)據(jù)(1999年美國國防部高級計劃局DARPA委托MIT林肯實驗室組織的入侵檢測系統(tǒng)測評所用的測評數(shù)據(jù))進行測試�,實驗數(shù)據(jù)表明���,其異常檢測器每天的誤報警數(shù)量在10條以下�����,達到了69%的檢測率�����,高于1999年測評的優(yōu)勝者SRI公司開發(fā)的EMERALD系統(tǒng)50%的檢測率�����,并在對未知的攻擊行為的檢測上也達到了42%��,能夠檢測出相當一部分的未知攻擊����。
此外����,由于本發(fā)明提供的網(wǎng)絡入侵檢測系統(tǒng)和方法在應用協(xié)議檢測引擎中結合了協(xié)議分析�����、異常檢測和特征檢測,因此可以通過擁有一個完整的攻擊特征庫覆蓋大部分已知攻擊���,并利用協(xié)議分析和異常檢測對相當大的一部分未知攻擊進行檢測�,從而達到一個較高的檢測率���。
權利要求
1.一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)��,其包括應用協(xié)議檢測引擎����,其特征在于����,所述的應用協(xié)議檢測引擎還包括協(xié)議分析器,用于分析處理網(wǎng)絡數(shù)據(jù)包�,并根據(jù)應用協(xié)議規(guī)范對網(wǎng)絡數(shù)據(jù)包進行檢測;異常檢測器���,用于根據(jù)對不同的網(wǎng)絡流特征使用正常網(wǎng)絡數(shù)據(jù)包流進行訓練獲得的特征正常取值輪廓���,對網(wǎng)絡數(shù)據(jù)包進行異常檢測���;特征檢測器,用于根據(jù)針對不同應用協(xié)議的已知攻擊特征����,對網(wǎng)絡數(shù)據(jù)包進行特征匹配,從而發(fā)現(xiàn)符合特征的已知攻擊����。
2.如權利要求1所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng),其特征在于��,所述的協(xié)議分析器包含應用協(xié)議分析組件���,所述的應用協(xié)議分析組件采用簡單組件對象模型�,并提供統(tǒng)一的組件調(diào)用接口���。
3.如權利要求1或2所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)�����,其特征在于�����,所述的異常檢測器包含異常選項組件����,所述的異常選項組件采用簡單組件對象模型�,并提供統(tǒng)一的組件調(diào)用接口。
4.如權利要求1或2所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)����,其特征在于,所述的特征檢測器包含特征檢測組件�����,所述的特征檢測組件采用簡單組件對象模型�����,并提供統(tǒng)一的組件調(diào)用接口��。
5.如權利要求3所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)��,其特征在于�����,所述的特征檢測器包含特征檢測組件,所述的特征檢測組件采用簡單組件對象模型�,并提供統(tǒng)一的組件調(diào)用接口。
6.一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法�����,其包括如下步驟首先����,應用協(xié)議分流模塊選擇與網(wǎng)絡數(shù)據(jù)包對應的應用協(xié)議檢測引擎,數(shù)據(jù)包進入應用協(xié)議檢測引擎��,開始檢測���;其次�����,包括不分先后順序的以下三個步驟應用協(xié)議分析���,判斷網(wǎng)絡數(shù)據(jù)包是否違反應用協(xié)議規(guī)范;異常檢測�����,判斷網(wǎng)絡數(shù)據(jù)包的特征值是否偏移特征正常取值輪廓;特征檢測�,判斷網(wǎng)絡數(shù)據(jù)包是否符合已知的攻擊特征����;最后,輸出結果����,結束檢測。
7.如權利要求6所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法����,其特征在于,所述的應用協(xié)議分析步驟�、異常檢測步驟和特征檢測步驟可以分別通過采用簡單組件對象模型技術實現(xiàn),也可以全部通過采用簡單組件對象模型技術實現(xiàn)����。
8.如權利要求7所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法,其特征在于��,所述的應用協(xié)議分析步驟還包括如下步驟(1)判斷應用協(xié)議分析組件接口指針是否為空���,是則結束�,否則進入下一步驟;(2)調(diào)用應用協(xié)議分析組件接口中提供的協(xié)議分析函數(shù)�����;(3)執(zhí)行對應應用協(xié)議分析組件的協(xié)議分析函數(shù)���;(4)判斷網(wǎng)絡數(shù)據(jù)包是否違反應用協(xié)議規(guī)范���,是則進入下一步驟,否則結束����;(5)違反協(xié)議規(guī)范報警。
9.如權利要求7或8所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法��,其特征在于����,所述的異常檢測步驟還包括如下步驟(1)判斷異常檢測組件接口指針是否為空,是則結束�����,否則進入下一步驟;(2)調(diào)用異常檢測組件接口中提供的異常檢測函數(shù)�����;(3)執(zhí)行對應異常檢測組件的異常檢測函數(shù)���;(4)判斷數(shù)據(jù)包是否異常��,是則進入下一步驟,否則進入步驟(6)���;(5)數(shù)據(jù)包異常報警���;(6)指向下一個異常檢測組件接口指針,繼續(xù)步驟(1)�����。
10.如權利要求7或8所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法����,其特征在于,所述的特征檢測步驟還包括如下步驟(1)判斷應用協(xié)議檢測引擎結構中的無模式規(guī)則節(jié)點指針是否為空���,若否��,則進入下一步驟���;若是�����,則進入步驟(5)�;(2)判斷網(wǎng)絡數(shù)據(jù)包是否滿足無模式規(guī)則特征選項及規(guī)則頭部�,若是,則進入下一步驟�����;若否���,則進入步驟(4)����;(3)無模式規(guī)則匹配報警���,并繼續(xù)下一步驟��;(4)修改當前規(guī)則節(jié)點指針����,指向應用協(xié)議檢測引擎中無模式規(guī)則節(jié)點指針鏈表中的下一項,重新進入步驟(1)進行判斷�;(5)判斷指向并行模式匹配算法數(shù)據(jù)結構的指針是否為空,若否����,則進入下一步驟;若是����,則進入步驟(9)�;(6)執(zhí)行并行模式匹配算法,算法執(zhí)行完畢后進入步驟(9)���;(7)檢查網(wǎng)絡數(shù)據(jù)包是否匹配到在此應用協(xié)議檢測引擎中所有的攻擊特征規(guī)則中的某個模式�,若是���,則進入下一步驟���,若否�,則回到上一步驟�����;(8)通過匹配到的模式—規(guī)則節(jié)點中保存的模式節(jié)點指針����,將匹配到的模式節(jié)點的已匹配位置1,同時將匹配到的規(guī)則節(jié)點指針添加入已匹配規(guī)則節(jié)點鏈表中��;(9)判斷當前已匹配規(guī)則節(jié)點指針是否為空���,若否�����,則進入下一步驟��;若是���,則結束;(10)檢查該規(guī)則節(jié)點中的每個模式是否均已匹配��,若是����,則進入下一步驟�����;若否��,則進入步驟(13)�����;(11)判斷網(wǎng)絡數(shù)據(jù)包是否滿足該規(guī)則節(jié)點中的全部規(guī)則特征選項及規(guī)則頭部�����,若是�,則進入下一步驟����;若否����,則進入步驟(13);(12)有模式規(guī)則匹配報警���;并繼續(xù)下一步驟��;(13)修改當前已匹配規(guī)則節(jié)點指針�����,指向已匹配規(guī)則節(jié)點鏈表中的下一項�;并進入步驟(9)重新判斷其是否為空。
11.如權利要求9所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法�,其特征在于,所述的特征檢測步驟還包括如下步驟(1)判斷應用協(xié)議檢測引擎結構中的無模式規(guī)則節(jié)點指針是否為空�����,若否�����,則進入下一步驟�;若是,則進入步驟(5)����;(2)判斷網(wǎng)絡數(shù)據(jù)包是否滿足無模式規(guī)則特征選項及規(guī)則頭部,若是,則進入下一步驟����;若否,則進入步驟(4)����;(3)無模式規(guī)則匹配報警,并繼續(xù)下一步驟�;(4)修改當前規(guī)則節(jié)點指針,指向應用協(xié)議檢測引擎中無模式規(guī)則節(jié)點指針鏈表中的下一項�����,重新進入步驟(1)進行判斷��;(5)判斷指向并行模式匹配算法數(shù)據(jù)結構的指針是否為空���,若否���,則進入下一步驟;若是��,則進入步驟(9)����;(6)執(zhí)行并行模式匹配算法,算法執(zhí)行完畢后進入步驟(9)�����;(7)檢查網(wǎng)絡數(shù)據(jù)包是否匹配到在此應用協(xié)議檢測引擎中所有的攻擊特征規(guī)則中的某個模式�����,若是��,則進入下一步驟�,若否,則回到上一步驟��;(8)通過匹配到的模式—規(guī)則節(jié)點中保存的模式節(jié)點指針���,將匹配到的模式節(jié)點的已匹配位置1���,同時將匹配到的規(guī)則節(jié)點指針添加入已匹配規(guī)則節(jié)點鏈表中;(9)判斷當前已匹配規(guī)則節(jié)點指針是否為空����,若否,則進入下一步驟;若是��,則結束��;(10)檢查該規(guī)則節(jié)點中的每個模式是否均已匹配����,若是,則進入下一步驟�;若否,則進入步驟(13)�;(11)判斷網(wǎng)絡數(shù)據(jù)包是否滿足該規(guī)則節(jié)點中的全部規(guī)則特征選項及規(guī)則頭部,若是��,則進入下一步驟�;若否,則進入步驟(13)��;(12)有模式規(guī)則匹配報警�����;并繼續(xù)下一步驟�;(13)修改當前已匹配規(guī)則節(jié)點指針,指向已匹配規(guī)則節(jié)點鏈表中的下一項���;并進入步驟(9)重新判斷其是否為空��。
12.如權利要求10所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法��,其特征在于���,所述的步驟(2)和/或(11)還包括如下步驟(1)判斷規(guī)則節(jié)點中的特征選項組件接口指針是否為空,若否�,則進入下一步驟,若是��,則進入步驟(6)����;(2)調(diào)用特征選項組件接口中的選項檢查函數(shù);(3)執(zhí)行對應特征選項組件提供的選項檢查函數(shù)��;(4)判斷網(wǎng)絡數(shù)據(jù)包是否符合對應的特征選項��,是則進入下一步驟�����,否則結束�����,并返回所述步驟(2)或(11)的否;(5)修改當前特征選項組件接口指針為該規(guī)則節(jié)點中的特征選項組件接口指針鏈表中的下一項���,并進入步驟(1)重新判斷其是否為空�����;(6)檢查當前網(wǎng)絡數(shù)據(jù)包是否滿足規(guī)則頭部���,是則結束,并返回所述步驟(2)和/(11)的是�,否則結束,并返回所述步驟(2)或(11)的否����。
13.如權利要求11所述的一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測方法,其特征在于���,所述的步驟(2)或(11)還包括如下步驟(1)判斷規(guī)則節(jié)點中的特征選項組件接口指針是否為空���,若否,則進入下一步驟����,若是���,則進入步驟(6);(2)調(diào)用特征選項組件接口中的選項檢查函數(shù)�����;(3)執(zhí)行對應特征選項組件提供的選項檢查函數(shù)���;(4)判斷網(wǎng)絡數(shù)據(jù)包是否符合對應的特征選項,是則進入下一步驟����,否則結束,并返回所述步驟(2)或(11)的否���;(5)修改當前特征選項組件接口指針為該規(guī)則節(jié)點中的特征選項組件接口指針鏈表中的下一項���,并進入步驟(1)重新判斷其是否為空;(6)檢查當前網(wǎng)絡數(shù)據(jù)包是否滿足規(guī)則頭部���,是則結束��,并返回所述步驟(2)或(11)的是�����,否則結束���,并返回所述步驟(2)或(11)的否�。
全文摘要
本發(fā)明提供了一種基于應用協(xié)議檢測引擎的網(wǎng)絡入侵檢測系統(tǒng)和方法���,該系統(tǒng)在應用協(xié)議檢測引擎中包含了應用協(xié)議分析器���、異常檢測器及特征檢測器三種檢測部件,所述的三種檢測器可以部分或全部采用簡單組件對象模型并提供統(tǒng)一的調(diào)用接口�����。所述的網(wǎng)絡入侵檢測方法的特征在于��,其包括協(xié)議分析��、異常檢測和特征檢測三個步驟�����。本發(fā)明內(nèi)容能夠較好地解決現(xiàn)有的網(wǎng)絡入侵檢測系統(tǒng)不能檢測到新的攻擊方式的缺陷;而且�����,基于組件技術實現(xiàn)應用協(xié)議檢測引擎中的應用協(xié)議分析器�����、異常檢測器和特征檢測器的各項組件����,允許編譯之后的檢測組件直接掛接到檢測系統(tǒng)中而無需重新編譯���,保證了網(wǎng)絡入侵檢測系統(tǒng)的易擴展性和易維護性��,為系統(tǒng)的開發(fā)維護帶來了極大的方便�����。
文檔編號H04L29/06GK1738257SQ20041010391
公開日2006年2月22日 申請日期2004年12月31日 優(yōu)先權日2004年12月31日
發(fā)明者諸葛建偉, 葉志遠 申請人:北京大學