專利名稱:一種ids的檢測方法及檢測設備的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡安全檢測領域�,具體涉及一種IDS的檢測方法及檢測設備�����。
背景技術:
隨著互聯(lián)網(wǎng)應用范圍的擴大���,計算機病毒也針對性的出現(xiàn)了新的類型�����,網(wǎng)絡安全問題已嚴重影響了人們使用網(wǎng)絡的各個領域���,甚至威脅到了國家機密的安全�����。入侵檢測系統(tǒng)IDS (Intrusion Detection System)作為一種對網(wǎng)絡傳輸進行即時監(jiān)控、在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全技術��,已成為網(wǎng)絡防護不可缺少的重要手段之一�����,因此IDS本身的監(jiān)控性能受到了人們的廣泛關注�。通常,對IDS設備的檢測為通過評估IDS的報警情況來對IDS設備的安全性進行測評���,由于基于特征的檢測技術比較成熟��,大部分IDS產(chǎn)品都是采用攻擊特征碼的模式匹配技術����,這類IDS工作流程基本為獲取網(wǎng)絡數(shù)據(jù)包����,提取數(shù)據(jù)包里負載、協(xié)議字段、地址端口等信息�����,然后與規(guī)則庫里的信息進行查找匹配�����,若發(fā)現(xiàn)存在符合規(guī)則的數(shù)據(jù)包信息則觸發(fā)報警�����,所以����,IDS檢測方法主要通過向被測設備發(fā)送依據(jù)檢測規(guī)則構造的攻擊或仿真攻擊數(shù)據(jù)包,獲取并解析IDS報警信息��,來實現(xiàn)對該IDS設備的安全性評估�����,為信息安全論證服務���。但是通?�;谝?guī)則模式匹配的檢測方法����,是一條規(guī)則對應產(chǎn)生一個網(wǎng)絡數(shù)據(jù)包,因此���, 若采用上述方法檢測IDS���,需要發(fā)送大量網(wǎng)絡數(shù)據(jù)包檢測所有規(guī)則���,不僅耗費大量測評時間���,而且存在網(wǎng)絡堵塞的風險。又因為IDS需要定期在線升級規(guī)則庫��,因此需要構造在線仿真攻擊數(shù)據(jù)包�,并要在保證網(wǎng)絡及設備正常工作的前提下進行IDS的高效在線檢測、實時獲取升級設備的實際入侵檢測效果���;但是���,由于實現(xiàn)IDS設備在線實時檢測時不同IDS設備的報警消息內(nèi)容各異��,對于報警事件的描述過于簡單或過于復雜��,不具備可操作性�����;報警格式各異��,不便于識別和理解且通用性較差��;各廠家出于各自的商業(yè)利益而生產(chǎn)的IDS設備����,其可擴展性不強��, 可移植性差�;因此目前為止始終沒有一種對IDS設備進行統(tǒng)一評估與檢測的方法。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是提供一種IDS的檢測方法及檢測設備����,能夠?qū)崿F(xiàn)構造具有多個特征的檢測數(shù)據(jù)包,并對不同IDS設備的反饋文件進行解析��,生成統(tǒng)一格式的報警文件�,具有良好的通用性和實用價值且增強了檢測的合理性和準確性�����。本發(fā)明為了解決上述技術問題�����,公開了一種IDS的檢測方法�����,所述方法包括 步驟a��,獲取檢測命令信息����,并對檢測命令信息進行解析以獲取檢測特征信息�; 步驟b���,提取檢測特征信息并存儲為特征信息鏈表�;
步驟c�,按照檢測特征信息的屬性對特征信息鏈表內(nèi)的特征信息進行合并; 步驟d����,將合并的特征信息生成測試數(shù)據(jù)包���,并發(fā)送至被測IDS端; 步驟e�,獲取被測IDS端的反饋文件,并生成統(tǒng)一格式的報警文件���。進一步��,所述步驟c還包括
3步驟cll����,選取特征信息鏈表中的一條特征信息作為基準特征����; 步驟cl2,獲取下一條特征信息��,將其作為對比特征�����;
步驟cl3���,獲取并解析基準特征與對比特征的屬性以判斷是否可以合并�,如果可以合并,將合并后的信息存儲于基準特征內(nèi)并從特征信息鏈表中刪除該條對比特征�����,否則保留該條對比特征��;
步驟cl4�,重復步驟cl2 cl3,對特征信息鏈表中的所有特征信息進行遍歷�,若已遍歷完所有特征信息,則合并結束�����。進一步��,所述步驟d還包括
步驟dll����,將合并的特征信息生成測試數(shù)據(jù)包�,并根據(jù)命令信息判斷是否需要建立TCP 連接;
步驟dl2�����,如果不需要建立TCP連接,則直接將測試數(shù)據(jù)包從命令信息指定的網(wǎng)絡接口 A或B發(fā)送至被測IDS端�����;
步驟dl3��,如果需要建立TCP連接��,則根據(jù)命令信息的指令將網(wǎng)絡接口 A或B作為TCP 連接的請求方��,將另一個網(wǎng)絡接口做為TCP連接的應答方��,建立TCP連接���,將測試數(shù)據(jù)包發(fā)送到被測IDS端����,發(fā)送結束后釋放連接����。進一步,所述步驟e還包括 步驟ell,獲取被測IDS端的反饋文件�����;
步驟el2��,根據(jù)被測IDS端的反饋文件生成描述文件�;
步驟el3,對描述文件以及被測IDS端的反饋文件進行解析以生成統(tǒng)一格式的報警文件��。本發(fā)明還公開了一種IDS的檢測設備�,所述設備包括特征信息解析模塊、特征提取模塊�����、特征合并模塊����、數(shù)據(jù)包生成模塊、報警解析模塊��,其中
所述特征信息解析模塊���,用于獲取檢測命令信息,并對檢測命令信息進行解析以獲取檢測特征信息;
所述特征提取模塊����,用于提取檢測特征信息并存儲為特征信息鏈表; 所述特征合并模塊���,用于按照檢測特征信息的屬性對特征信息鏈表內(nèi)的特征信息進行合并�;
所述數(shù)據(jù)包生成模塊�,用于將合并的特征信息生成測試數(shù)據(jù)包,并發(fā)送至被測IDS端�����; 所述報警解析模塊��,用于獲取被測IDS端的反饋文件��,并生成統(tǒng)一格式的報警文件���。采用本發(fā)明上述技術方案的有益效果是
1)采用本發(fā)明提出的IDS的檢測方法及設備�,可以實現(xiàn)連接測試以及非連接測試����,其中在非連接測試中,可以通過測試設備的網(wǎng)絡接口并行傳輸測試數(shù)據(jù)包以實現(xiàn)IDS的檢測功能;在連接測試中�����,測試設備的網(wǎng)絡接口可自構建不受限數(shù)量的TCP連接����,保證網(wǎng)絡基本功能的前提下,實現(xiàn)IDS的高效在線檢測�����;
2)由于本發(fā)明設計了特征合并模塊��,因而��,通過對特征信息的解析和合并���,能夠構造具有多個特征的檢測數(shù)據(jù)包��,增強了檢測的合理性����、準確性�;
3 )由于本發(fā)明設計了報警解析模塊�,定義了統(tǒng)一的報警文件格式��,因此���,能夠?qū)z測而產(chǎn)生的反饋文件進行統(tǒng)一的描述和解析,從而實現(xiàn)對不同IDS產(chǎn)生的反饋文件進行解析�, 具有良好的通用性和實用價值。
圖1為本發(fā)明實施例中IDS的檢測方法流程圖2為本發(fā)明實施例中IDS的檢測方法的測試環(huán)境框架示意圖���; 圖3為本發(fā)明實施例中特征信息合并流程圖��; 圖4為本發(fā)明實施例中特征信息的合并分析流程圖���; 圖5為本發(fā)明實施例中報警文件生成流程圖; 圖6為本發(fā)明實施例中IDS的檢測設備的邏輯結構示意圖����。
具體實施例方式以下結合附圖對本發(fā)明的原理和特征進行描述,所舉實例只用于解釋本發(fā)明�,并非用于限定本發(fā)明的范圍。本發(fā)明一實施公開了一種IDS的檢測方法�����,圖1為本發(fā)明實施例中IDS的檢測方法流程圖,如圖1所示��,該方法包括如下步驟
步驟101�,獲取檢測命令信息,并對檢測命令信息進行解析以獲取檢測特征信息����; 在本發(fā)明實施例中,所述IDS的檢測方法的測試環(huán)境如圖2所示IDS的檢測方法的測試環(huán)境框架由上位機��、包含三個網(wǎng)絡接口的檢測設備�、局域網(wǎng)絡以及對局域網(wǎng)絡進行監(jiān)控的被測IDS組成,其中上位機與檢測設備之間通過網(wǎng)絡接口 C實現(xiàn)雙向通信����,進行上位機控制命令信息與檢測設備反饋文件的交互,完成二者的協(xié)調(diào)工作�;檢測設備通過網(wǎng)絡接口 A 和B對局域網(wǎng)發(fā)送測試數(shù)據(jù)包,被測IDS對局域網(wǎng)接收的數(shù)據(jù)包進行解析并返回反饋文件��, 通過反饋文件評估IDS對局域網(wǎng)絡的監(jiān)控效果�����、保護局域網(wǎng)絡內(nèi)工作計算機的安全效果���, 達到對IDS進行檢測的目的�����。所述的上位機控制命令信息�,包括特征協(xié)議字段��、特征優(yōu)先級字段以及特征庫文件編號信息���,以及具體TCP連接的請求方所用內(nèi)核處理器����、應答方所用的內(nèi)核處理器���、請求方所用的網(wǎng)絡接口���、應答方所用的網(wǎng)絡接口等信息;檢測設備的反饋文件�����,包括內(nèi)核處理器的使用信息����、上位機命令的處理進度信息等����。該實施方式中����,當檢測設備接收到上位機發(fā)送的命令信息時,通過對命令信息各字段進行解析��,以獲取相應的檢測特征信息���。其中����,對命令信息進行解析的過程為首先根據(jù)命令信息的特征庫文件編號解析出對應的檢測特征文件���,然后根據(jù)命令信息的特征協(xié)議字段以及特征優(yōu)先級字段對解析出的特征文件進行篩選����,得到具體的特征信息�。
步驟102,提取檢測特征信息并存儲為特征信息鏈表���;
在本實施方式中���,將提取的檢測特征信息以鏈表的形式保存�����,在一個具體的實施例中���, 所述檢測特征信息包括如下內(nèi)容
typedef struct IDS—D_RuleInfo{
unsigned char uc_IP—Fragbits; //IP 頭保留字段
unsigned char uc—IP—Sameip; //標示源 IP 與目的 IP 是否相同 unsigned int ui_IP—Dsize; // 負載大小 unsigned int ui—IP—Protocol;//IP ^ΙΧΨ^
unsigned short us_IP—Fragoffset; //特定分段編譯值 union {
5IDS_Struct_TCP_OPT st_TCP_Opt ���; //TCP 特征選項集合 IDS_Struct_ICMP_OPT st_ICMP_Opt; //ICMP 特征選項集合 }un_Protocol_Opt�����;
unsigned char uc_Flow;//數(shù)據(jù)流狀態(tài)命令碼�,TCP流
IDS_Struct_Content *pst_Content �;// 負載相關信息 char *pc_MSG;//反饋文件中輸出的字符串
char 氺 pc_ClassType ;//特征類
unsigned int ui_SID;// 特征唯一 ID 號
unsigned short us_OS_Status �;//特征操作系統(tǒng)分類狀態(tài)
unsigned short us_0S;//適應操作系統(tǒng)類型
unsigned long ul_Time;//時間節(jié)點
struct IDS_D_RuleInfo *Next; //指向下一條特征 }IDS_Struct_RuleInfo �;
步驟103,按照檢測特征信息的屬性對特征信息鏈表內(nèi)的特征信息進行合并����; 本發(fā)明實施例定義了特征合并分析流程�����,對特征信息鏈表內(nèi)的所有特征信息合并的可能性進行分析�����,為完成特征信息的合并而奠定基礎�。其中所述特征信息的屬性包括數(shù)據(jù)包存活期ttl����、服務類型tos、分片ID id�����、IP選項ipopts�、分段和保留位字段fragbits、TCP 標志 flags����、TCP 序號 seq、TCP 確認 ack、ICMP type 字段 itype�、ICMP code 字段 icode、 檢查ICMP ECHO數(shù)據(jù)包中ICMP ID是否為指定值字段icmp_id�����、檢查ICMP ECHO數(shù)據(jù)包中 ICMP SEQ是否為指定值字段icmp_Seq�����、規(guī)則的流向flow���、檢測源IP和目的IP是否相同字段sameip��、TCP窗口大小windows���、允許檢測IP協(xié)議頭字段ip_proto��、規(guī)則類別標識 classtype以及數(shù)據(jù)包的負載大小dsize��,并定義參數(shù)pmax表示最大負載限�����;該實施方式中,圖3為本發(fā)明實施例中特征信息合并流程圖�,以下結合圖3對特征信息進行合并可能性分析,其分析過程包括如下子步驟
子步驟cll�,選取特征信息鏈表中的一條特征信息作為基準特征; 子步驟cl2���,獲取下一條特征信息�,將其作為對比特征�����;
子步驟cl3�����,獲取并解析基準特征與對比特征的屬性以判斷是否可以合并���,如果可以合并�����,將合并后的信息存儲于基準特征內(nèi)并從特征信息鏈表中刪除該條對比特征�����,否則保留該條對比特征��;
該實施例中����,所述判斷基準特征與對比特征是否可以合并的過程如圖4所示 1 ) 對比兩條特征信息所包含的屬性信息,若所包含的屬性信息相同���,且屬性信息的參數(shù)也完全相同或其中最多一條屬性信息未指定參數(shù)����,則執(zhí)行下一步����,否則不能進行合并;
以如下兩條特征信息為例�,由于屬性信息icmp_id的參數(shù)不同,所以不能進行合并
Φ alert icmp $EXTERNAL_NET any O $H0ME_NET any (msg:"DDOS
Stacheldraht handler_>agent (ficken)〃�����;content:〃ficken〃���;itype : 0 ; icmp_ id: 6667;reference:url,staff. Washington, edu/dittrich/misc/stacheldraht. analysis; classtype:attempted-dos; sid:1856���; rev:2;)② alert icmp $EXTERNAL—NET any O $HOME—NET any (msg:"DDOS Stacheldraht
handler->agent (niggahbitch)〃���; content: 〃niggahbitch〃�; itype:O��;icmp_ id:9015;reference:url��,staff. Washington, edu/dittrich/misc/stacheldraht. analysi s����;classtype:attempted-dos;sid:1854����;rev:2;)
2) 進行dsize選項合并分析�����,若dsize未指定參數(shù)�����,則dsize為數(shù)據(jù)包的實際負載大小,pmax設置為1460 �����;若dsize為固定值��,則pmax設置為dsize的值���,如dsize :40�����, 則pmax設置為40 ���;若dsize設置的范圍為小于某邊界值,則pmax設置為該邊界值減1�����,如 dsize :<40�����,則pmax設置為39 ��;若dsize設置的范圍為大于某邊界值��,則pmax設置為1460 ���;
3) 對上述對比的兩條特征信息的dsize進行求和�,并將和值與基準規(guī)則的pmax 進行對比����,若dsize的和值小于基準規(guī)則的pmax值,則能夠?qū)Υ藘蓷l特征信息進行合并���,否則不能進行合并����。 以如下兩條特征信息為例��,其所包含的屬性信息是完全相同的�,特征信息①的數(shù)
據(jù)負載大小dsize大于1445,因此pmax的值為1460 �;特征信息②的數(shù)據(jù)負載大小dsize為
40,二者之和大于1485��,大于pmaxl460��,因此不能進行合并
Φ alert tcp $EXTERNAL_NET any -> $Η0ΜΕ_ΝΕΤ 617 (msg,D0S arkiea
backup";flow:to_server, established;dsize:>1445����;reference:bugtraq, 662;referenc e:eve, CVE-1999-0788��;reference:arachnids, 261��;classtype:attempted-dos�;sid:282; rev:4;)
φ alert tcp $EXTERNAL_NET any -> $H0ME_NET any (msg: "BLEEDING-EDGE
VIRUS Agobot/Phatbot Infection Successful"; flow: established; dsize: 40; content: //221 Goodbye, have a good infection 3a 29 2e Od 0a I〃���;reference:url, www. lurhq. com/phatbot. html����; classtype: trojan-activity��; sid: 2000014; rev:3;)
以如下兩條特征信息為例說明可以合并的情況
①alert udp $EXTERNAL_NET any -> $Η0ΜΕ_ΝΕΤ 10498 (msg/'DDOS mstream handler to agent〃�;content:〃stream/〃;classtype: attempted-dos����; sid:244;)
②alert udp $EXTERNAL_NET any -> $H0ME_NET 10498 (msg:"DD0S mstream handler ping to agent";content:"ping"��; classtype:attempted-dos�����;sid:245���;)
其合并后的結果為
alert udp $EXTERNAL_NET any -> $Η0ΜΕ_ΝΕΤ 10498 (msg:"DD0S mstream handler to agent"; content: "stream/"�����; content: 〃ping〃�����; classtype: attempted-dos��; sid:244;)
子步驟cl4�����,重復步 驟cl2 cl3���,對特征信息鏈表中的所有特征信息進行遍歷��,若已遍歷完所有特征信息����,則合并結束。
步驟104����,將合并的特征信息生成測試數(shù)據(jù)包,并發(fā)送至被測IDS端���; 該實施方式中��,包括如下子步驟
子步驟dll���,將合并的特征信息生成測試數(shù)據(jù)包,并根據(jù)命令信息判斷是否需要建立 TCP連接�����;
本實施方式中���,如果上位機發(fā)送的控制命令信息內(nèi)定義不需要建立TCP連接�����,則可以任意指定從網(wǎng)絡接口 A或B�����,或者兩個網(wǎng)絡接口同時發(fā)送測試數(shù)據(jù)包至被測IDS端��。子步驟dl2����,如果不需要建立TCP連接����,則直接將測試數(shù)據(jù)包從命令信息指定的網(wǎng)絡接口 A或B發(fā)送至被測IDS端;
子步驟dl3����,如果需要建立TCP連接,則根據(jù)命令信息的指令將網(wǎng)絡接口 A或B作為TCP 連接的請求方�,將另一個網(wǎng)絡接口做為TCP連接的應答方,建立TCP連接��,將測試數(shù)據(jù)包發(fā)送到被測IDS端���,發(fā)送結束后釋放連接��。如果上位機發(fā)送的控制命令信息內(nèi)定義需要建立TCP連接���,則根據(jù)控制命令信息的指定將網(wǎng)絡接口 A或B作為TCP連接的請求方�,網(wǎng)絡接口 B或A作為TCP連接的應答方����, 也可以將網(wǎng)絡接口 A與B角色的互換,并同時建立不受限數(shù)量的TCP連接��,將測試數(shù)據(jù)包發(fā)送到被測IDS端��,數(shù)據(jù)包發(fā)送結束后釋放連接��。
步驟105���,獲取被測IDS端的反饋文件���,并生成統(tǒng)一格式的報警文件。圖5為本發(fā)明實施例中報警文件生成流程圖�����,如圖5所示,所述生成統(tǒng)一格式的報警文件的過程還包括如下子步驟
子步驟ell��,獲取被測IDS端的反饋文件���;
子步驟el2����,根據(jù)被測IDS端的反饋文件生成描述文件����;
該實施方式中,由于各商家生產(chǎn)的IDS設備之間存在不同的差異���,諸如IDS的反饋文件格式各異、內(nèi)容各異等�����,因此本發(fā)明本著能夠?qū)DS設備進行統(tǒng)一評估與檢測的目���, 為了實現(xiàn)統(tǒng)一格式的報警文件����,定義了反饋文件格式模型。在本發(fā)明的一個具體實施例中�����,所述反饋文件格式模型包括如下標簽信息起始行AlertStart��、結束行AlertEnd�����、 報警信息產(chǎn)生者Analyζer����、時間信息Time、攻擊方信息Source���、受攻擊方信息Target���、 數(shù)據(jù)包信息Packet、報警類別信息Classification�����、事件影響信息Assessment和拓展信息AdditionalData ��;而每個標簽信息內(nèi)又包含一個或多個子標簽,例如事件影響信息 Assessment的標簽信息包括Impact (入侵行為對目標產(chǎn)生的影響)��、Action (IDS對入侵行為采取的響應措施)以及Priority (入侵行為的威脅級別)等子標簽�����。在本發(fā)明實施例中����,為了實現(xiàn)對反饋文件內(nèi)每條反饋信息進行完整描述和定位, 通過獲取被測IDS端的反饋文件���,逐條讀取每條反饋信息���,并結合反饋文件格式模型生成描述文件,在本發(fā)明的一個具體實施例中����,所述針對每項反饋信息的描述文件如下所示
〈反饋信息類型名����;Line=,���,���;Keyword=���,‘ ;KeywordLoc=' ‘ ��;SectionLoc ='�����,�; MarkStart=,�����,�;MarkEnd=,����,;></ 消息類型名 >
其中�����,Line表示該條反饋信息位于其所在反饋文件內(nèi)的行數(shù)(以起始行為第一行開始計算);
Keyword表示該條反饋信息所對應反饋文件格式模型內(nèi)的標簽信息�,若該條反饋信息內(nèi)沒有相對應的標簽信息則以NULL代替;
KeywordLoc表示該條反饋信息的內(nèi)容與標簽信息的位置關系�,O表示反饋信息內(nèi)容在該標簽信息之前,1則表示反饋信息內(nèi)容在該標簽信息之后�����,標簽信息為NULL時則無此參數(shù)��;
SectionLoc表示分段的位置��,以便在沒有對應標簽信息的時候定位信息���,即出現(xiàn)在分段后的第幾個字符串��,若有對應標簽信息時則無此參數(shù)�����; MarkStart表示該條反饋信息的起始標識字符串; MarkEnd表示該條反饋信息的結束標識字符串��。子步驟el3,對描述文件以及被測IDS端的反饋文件進行解析以生成統(tǒng)一格式的報警文件����。在該實施例中,本發(fā)明通過解析上述方法生成的描述文件以及被測IDS端的反饋文件����,以最終實現(xiàn)統(tǒng)一格式的報警文件。在本發(fā)明的一個具體實施例中���,生成統(tǒng)一格式報警文件的過程為首先確定反饋文件的起始行位置����,依據(jù)描述文件內(nèi)的標簽信息逐行讀取反饋文件內(nèi)的反饋信息�����,提取標簽信息所對應的反饋信息內(nèi)容�;循環(huán)上述步驟獲取描述文件內(nèi)所有標簽信息所對應的反饋信息內(nèi)容,將獲取的反饋信息內(nèi)容以統(tǒng)一格式輸出為報警文件�。在本發(fā)明實施例中,所述報警文件的格式定義如下
報警序號** //表示報警序號
報警產(chǎn)生時間*** //當不存在時則無此信息����,后面相同
報警觸發(fā)事件***
報警時IDS上的時間***
源IP地址
源MAC地址
源端口號
目的IP地址***
目的MAC地址
目的端口號***
報警類別**** // 即 classification 優(yōu)先級別**** 數(shù)據(jù)包總長度***
IP相關字段值TTL:*** TOS:*** ID:*** Il表示IP頭部的字段值 TCP相關字段值Seq:*** Ack:*** //表示TCP頭部的字段值 ICMP相關字段值Type *** Code *** //表示ICMP頭部字段值報警信息描述***
外部鏈接**** //表示相關的附加網(wǎng)址鏈接其他信息***
本發(fā)明另一實施例還公開了一種IDS的檢測設備���,其特征在于,所述設備包括特征信息解析模塊�����、特征提取模塊����、特征合并模塊、數(shù)據(jù)包生成模塊和報警解析模塊�����。圖6為本發(fā)明實施例中IDS的檢測設備的邏輯結構示意圖��,以下結合圖6對本發(fā)明IDS的檢測設備的結構進行詳細描述�,如圖6所示,所述IDS的檢測設備包括特征信息解析模塊601����,用于獲取檢測命令信息,并對檢測命令信息進行解析以獲取檢測特征信息���;
特征提取模塊602�,用于提取檢測特征信息并存儲為特征信息鏈表��; 特征合并模塊603�����,用于按照檢測特征信息的屬性對特征信息鏈表內(nèi)的特征信息進行合并���;
數(shù)據(jù)包生成模塊604����,用于將合并的特征信息生成測試數(shù)據(jù)包����,并發(fā)送至被測IDS端; 報警解析模塊605�,用于獲取被測IDS端的反饋文件,并生成統(tǒng)一格式的報警文件�����。 本領域的技術人員應該明白�,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn),它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成的網(wǎng)絡上�����,可選地���,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)�,從而��,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行���,或者將它們分別制作成各個集成電路模塊���,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn);這樣�,本發(fā)明不限制于任何特定的硬件和軟件結合。以上所述僅為本發(fā)明的較佳實施例��,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�、等同替換�、改進等����,均應包含在本發(fā)明的保護范圍之內(nèi)。
權利要求
1.一種IDS的檢測方法��,其特征在于�,所述方法包括如下步驟步驟a���,獲取檢測命令信息���,并對檢測命令信息進行解析以獲取檢測特征信息; 步驟b�����,提取檢測特征信息并存儲為特征信息鏈表��; 步驟c����,按照檢測特征信息的屬性對特征信息鏈表內(nèi)的特征信息進行合并; 步驟d���,將合并的特征信息生成測試數(shù)據(jù)包�����,并發(fā)送至被測IDS端�; 步驟e,獲取被測IDS端的反饋文件���,并生成統(tǒng)一格式的報警文件����。
2.根據(jù)權利要求1所述的方法����,其特征在于,所述步驟c包括 步驟cll��,選取特征信息鏈表中的一條特征信息作為基準特征�����; 步驟cl2�����,獲取下一條特征信息,將其作為對比特征���;步驟cl3����,獲取并解析基準特征與對比特征的屬性以判斷是否可以合并����,如果可以合并�����,將合并后的信息存儲于基準特征內(nèi)并從特征信息鏈表中刪除該條對比特征�����,否則保留該條對比特征�����;步驟cl4��,重復步驟cl2 cl3����,對特征信息鏈表中的所有特征信息進行遍歷��,若已遍歷完所有特征信息���,則合并結束。
3.根據(jù)權利要求1所述的方法���,其特征在于���,所述步驟d包括步驟dll,將合并的特征信息生成測試數(shù)據(jù)包���,并根據(jù)命令信息判斷是否需要建立TCP 連接��;步驟dl2����,如果不需要建立TCP連接����,則直接將測試數(shù)據(jù)包從命令信息指定的網(wǎng)絡接口 A或B發(fā)送至被測IDS端;步驟dl3��,如果需要建立TCP連接,則根據(jù)命令信息的指令將網(wǎng)絡接口 A或B作為TCP 連接的請求方�,將另一個網(wǎng)絡接口做為TCP連接的應答方,建立TCP連接�,將測試數(shù)據(jù)包發(fā)送到被測IDS端,發(fā)送結束后釋放連接���。
4.根據(jù)權利要求1所述的方法��,其特征在于���,所述步驟e包括 步驟ell,獲取被測IDS端的反饋文件���;步驟el2,根據(jù)被測IDS端的反饋文件生成描述文件�����;步驟el3����,對描述文件以及被測IDS端的反饋文件進行解析以生成統(tǒng)一格式的報警文件。
5.一種IDS的檢測設備�,其特征在于�����,所述設備包括特征信息解析模塊���、特征提取模塊、特征合并模塊���、數(shù)據(jù)包生成模塊�、報警解析模塊�����,其中所述特征信息解析模塊��,用于獲取檢測命令信息�,并對檢測命令信息進行解析以獲取檢測特征信息;所述特征提取模塊����,用于提取檢測特征信息并存儲為特征信息鏈表; 所述特征合并模塊�����,用于按照檢測特征信息的屬性對特征信息鏈表內(nèi)的特征信息進行合并;所述數(shù)據(jù)包生成模塊����,用于將合并的特征信息生成測試數(shù)據(jù)包,并發(fā)送至被測IDS端�����; 所述報警解析模塊��,用于獲取被測IDS端的反饋文件����,并生成統(tǒng)一格式的報警文件。
全文摘要
本發(fā)明涉及一種IDS的檢測方法及檢測設備���,所述檢測方法包括如下步驟步驟a�,獲取檢測命令信息��,并對檢測命令信息進行解析以獲取檢測特征信息�����;步驟b��,提取檢測特征信息并存儲為特征信息鏈表��;步驟c��,按照檢測特征信息的屬性對特征信息鏈表內(nèi)的特征信息進行合并����;步驟d,將合并的特征信息生成測試數(shù)據(jù)包�����,并發(fā)送至被測IDS端���;步驟e��,獲取被測IDS端的反饋文件�����,并生成統(tǒng)一格式的報警文件����。本發(fā)明的技術方案能夠構造具有多個特征的檢測數(shù)據(jù)包,增強了檢測的合理性���、準確性�;并且可以對不同IDS的反饋文件進行解析����,具有良好的通用性和實用價值。
文檔編號H04L12/26GK102223267SQ201110163258
公開日2011年10月19日 申請日期2011年6月17日 優(yōu)先權日2011年6月17日
發(fā)明者史國振, 張晶輝, 李冬冬, 李鳳華, 李莉, 胡波, 蘇铓 申請人:北京電子科技學院