[发明专利]网络入侵检测方法

权利要求书

1.一种网络入侵检测方法，其特征在于，包括以下步骤：

A)捕获网络中的数据包；

B）对所捕获的数据包进行全协议栈解析，即对包括应用层协议在内的所有协议数据进行重组后，再对重组后的数据包进行解析；

C)通过确定性有限状态机将正则表达式规则集编译成DFA状态转换表，对DFA状态转换表进行压缩；

D)将步骤2解析后的数据写入压缩后的DFA状态转换表做匹配；

E)输出匹配结果。

2.如权利要求1所述的方法，其特征在于，所述步骤B中，对协议数据进行重组的具体步骤包括：

从捕获的原始数据包中提取与IP协议相关的描述特征，分析其中的数据报文；

对分析后的数据报文按照其规范进行重新拼装，并保存到特定的内存结构中。

3.如权利要求1所述的方法，其特征在于，所述步骤B中，对重组后的数据包进行解析的具体步骤包括：

B1）协议解析器进行初始化，并加载编译后的正则规则表达集；

B2）读取数据包，并对其进行分组处理；

B3）识别分组后所述数据包的协议类型，并判断所述数据包是否需要解析，如不需要，则直接丢弃该数据包；否则，将协议类型相同的数据包进行归类；

B4）根据正则表达式规则集查找到与数据协议类型对应的协议解码规则，再对包含该数据的数据包进行扫描，根据所述协议解析规则从数据包中提取所述数据的解析信息。

4.根据权利要求3所述的方法，其特征在于，所述对数据包进行分组的具体步骤包括：

首先设置输出端口分组规则和数据分组规则，输出端口分组规则的配置是首先将各输出端口按照对应的后端应用系统的业务处理类型进行分组，然后再根据组内各端口对应的后端系统的处理能力决定每个端口在该组中数据包处理流量的分配比例，数据分组规则的配置是根据IP地址信息或特殊字段将数据包划分到各个分组当中；再进行数据分组处理，先通过协议解析，从网络上接收到的原始数据包中提取出IP数据包，根据设置好的数据分组规则将与后续处理相关数据划分到各个输出端口分组中；然后将划分到每个组中的数据包的地址和端口信息进行Hash运算，Hash值再与该分组所包含的端口总数取模，得到的结果就是该数据包在所属的分组中对应的输出端口序号。

5.根据权利要求4所述的方法，其特征是，所述的输出端口分组的配置遵循以下原则：

1)输出端口的分组首先依据后端处理系统的业务需求，按照业务处理类型进行分组，当一个系统与多个系统分别在数据分组规则属性中互相有重叠时，同一个输出端口会出现在两个以上的分组中；

2)在每个分组内部，为了保证数据处理任务实现均衡分配，同一个输出端口可多次出现在同一个组中，即在分组内按照每个端口对应的后端系统的数据处理能力决定每个端口在该组中数据包流量的分配比例；

3)组内各输出端口的分配在保证负载均衡的同时，保证同一条TCP连接双向的所有数据包必须转发到同一个输出端口上，便于后端对所接收到的数据的汇总和还原。