[发明专利]网络入侵检测方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络入侵检测方法。 

背景技术

网络入侵检测作为目前最主要的主动网络安全措施之一，它通过对计算机和网络资源上的恶意网络连接进行识别和响应，有效地补充和完善了诸如访问控制、数据加密、防火墙、病毒防范等安全措施，提高了信息安全基础结构的完整性，已成为信息系统安全解决方案中不可或缺的环节。 

高级隐遁技术（AET，Advanced Evasion Technique）、隐遁攻击的叠加网络力量(cyber‐force)渗透到各国政治斗争的计算机攻击的案例略见不鲜，最近发生的韩国银行计算机网络故障、美国的纽约时报和华尔街日报受到的攻击足以说明这种情况。显然黑客的攻击手段和能力已经发生了质的变化，根据Garter的报告，从2011年来，网络防御的能力已经远远滞后于攻击的手段。而高级隐遁技术(AET)毫无疑问对IDS/IPS厂商来说是尤为头疼的技术难题，从NSS Lab公布的最新的IPS测试标准《NSS_Labs_ips group test methodology v6.2》中单独增加了AET的测试（4.15章节部分）可以看出对AET的重视程度。 

防火墙和IPS是网络中核心的安全保障设备，防火墙通常根据数据流端口、地址、协议等进行数据的过滤，而IPS则进一步进行数据包的深度检测。为了真正的理解和检测网络数据包，IPS则需要深度理解数据流所采用的协议。表面上如果彻底分析透数据流的协议格式就足够了，但事实证明并非如此。早在1998年，来自Secure Network公司的Tim Newsham和Thomas Ptacek发表了有关如何穿透IDS/IPS的技术文章《插入、隐遁和拒绝服务攻击：避开网络入侵检测》。近两年，国内相关的研究，总参某研究所的徐金伟研究员曾就AET发表过多篇文章。常用的AET手段有：字符串混淆、加密和隧道技术、碎片技术和协议的违规四种。 

针对高级隐遁攻击应当考虑新的拦截模式，单纯的特征库匹配模式不再能够完全达到拦截目的，因此，本发明将提出一种全新的网络入侵检测方法，该方法将大大提高网络的安全系数。 

发明内容

为了克服现有技术的缺陷，本发明的目的在于提出一种能够提高网络安全系数的网络入侵检测方法。 

为实现上述目的，本发明所述的网络入侵检测方法，其包含如下具体步骤： 

A)捕获网络中的数据包； 

B）对所捕获的数据包进行全协议栈解析，即对包括应用层协议在内的所有协议数据进行重组后，再对重组后的数据包进行解析； 

C)通过确定性有限状态机将正则表达式规则集编译成DFA状态转换表，对DFA状态转换表进行压缩； 

D)将步骤2解析后的数据写入压缩后的DFA状态转换表做匹配； 

E)输出匹配结果。 

进一步地，所述步骤B中，对协议数据进行重组的具体步骤包括： 

从捕获的原始数据包中提取与IP协议相关的描述特征，分析其中的数据报文； 

对分析后的数据报文按照其规范进行重新拼装，并保存到特定的内存结构中。 

进一步地，所述步骤B中，对重组后的数据包进行解析的具体步骤包括： 

B1）协议解析器进行初始化，并加载编译后的正则规则表达集； 

B2）读取数据包，并对其进行分组处理； 

B3）识别分组后所述数据包的协议类型，并判断所述数据包是否需要解析，如不需要，则直接丢弃该数据包；否则，将协议类型相同的数据包进行归类； 

B4）根据正则表达式规则集查找到与数据协议类型对应的协议解码规则，再对包含该数据的数据包进行扫描，根据所述协议解析规则从数据包中提取所述数据的解析信息。 

进一步地，所述对数据包进行分组的具体步骤包括： 

首先设置输出端口分组规则和数据分组规则，输出端口分组规则的配置是首先将各输出端口按照对应的后端应用系统的业务处理类型进行分组，然后再根据组内各端口对应的后端系统的处理能力决定每个端口在该组中数据包处理流量的分配比例，数据分组规则的配置是根据IP地址信息或特殊字段将数据包划分到各个分组当中；再进行数据分组处理，先通过协议解析，从网络上接收到的原始数据包中提取出IP数据包，根据设置好的数据分组规则将与后续处理相关数据划分到各个输出端口分组中；然后将划分到每个组中的数据包的地址和端口信息进行Hash运算，Hash值再与该分组所包含的端 口总数取模，得到的结果就是该数据包在所属的分组中对应的输出端口序号。