[发明专利]一种基于协议分析的异常检测系统及方法

说明书

技术领域

本发明属于网络安全技术领域，特别是一种基于协议分析的异常检测系统及方法。

背景技术

随着IT行业的迅猛发展，计算机的结构与软件变得异常庞大与复杂，网络上存在的大量异常事件成为当今网络安全问题的首要解决任务，所谓异常事件，是指入侵者通过一系列不正当方式侵入他人计算机，滥用他人系统，破坏他人数据完整性的行为事件，针对异常事件的肆意泛滥，入侵检测作为一种针对异常事件的检测技术，可以主动地对系统中的恶意入侵行为，以及内部未授权活动和误操作行为进识别和响应行识别和响应。

现有的异常检测技术，基本基于协议分析技术开展，相比较传统的模式匹配方法，利用网络协议的高度规则性，快速高效地探测网络上不安全因素的存在，首先，可以定位协议中可能包含异常攻击行为的准确位置，降低误报和漏报；其次，可以不用针对整个数据报文进行检测，缩小检测范围，提高检测效率；再次，可以具备对一定未知威胁的检测能力，基于协议分析的异常检测系统在网络安全领域已经得到较好的应用，但目前的研究还存在以下不足：

1.对于一个事件，需要对涉及的每个数据包抽取大量特征进行分析，当大规模事件发生时，处理性能仍然存在较大瓶颈；

2.应用层协议识别对于应用层协议识别大多基于端口识别，由于新协议未注册端口号，或端口号动态分配等的问题，造成协议识别准确度低；而完全基于特征串的识别方法又影响识别效率，难以实现对应用层协议精确、高效地识别处理。

发明内容

本发明的目的在于提供一种基于协议分析的异常检测系统，用于解决上述现有技术的问题。

本发明一种基于协议分析的异常检测系统，其中，包括：数据捕获模块、数据状态记录模块、数据分析模块、规则检测模块；该数据捕获模块用于对接收的数据进行缓存，并发送到该数据状态记录模块；该数据状态记录模块用于对接收的数据进行历史记录匹配，匹配成功则根据历史记录，选择性需要进行分析的数据包和分析方式；该数据分析模块用于接收需要进行分析的数据包，对数据包进行协议分析，对协议属性特征的提取，并发送特征数据到该规则检测模块；规则检测模块，用于进行特征数据检测，如有异常，则告警。

根据本发明的基于协议分析的异常检测系统的一实施例，其中，数据分析模块包含数据解析子模块以及协议属性分析子模块，该数据解析子模块用于对数据包进行解析；协议属性分析子模块用于完成对协议属性特征的提取，并发送特征数据到规则检测模块。

根据本发明的基于协议分析的异常检测系统的一实施例，其中，数据状态记录模块用于获取数据，与存储的历史记录进行匹配，如匹配成功，定义为相同事件，触发相应的处理方式进行选择性需要进行分析的数据包和分析方式进行分析；若匹配失败，则定义为非相同事件。

根据本发明的基于协议分析的异常检测系统的一实施例，其中，与存储的历史记录进行匹配包括：逐个数据包按顺序比对网络层、传输层、应用层的包头、源/目的IP地址、源/目的端口和应用层地址的特征数匹配。

根据本发明的基于协议分析的异常检测系统的一实施例，其中，数据分析模块获取数据，由数据解析子模块对数据包进行解析，查看互联网层标志位，确定协议类型，数据解析子模块将数据包发送给协议属性分析子模块。

根据本发明的基于协议分析的异常检测系统的一实施例，其中，协议属性分析子模块获取数据，对协议属性特征进行提取，将特征数据发送给规则检测模块。

根据本发明的基于协议分析的异常检测系统的一实施例，其中，规则检测模块获取特征数据，与内部的异常事件规则进行匹配，若匹配成功，存在异常，告警，并更新历史记录；该数据分析模块用于对数据包网络层、传输层以及应用层的协议分析。

本发明一种基于协议分析的异常检测方法，其中，包括：对接收的数据进行历史记录匹配，如匹配成功，定义为相同事件，选择性需要进行分析的数据包和分析方式；若匹配失败，则定义为非相同事件；对于需要进行分析的数据包进行解析，确定协议类型，根据协议类型对协议属性特征进行提取，将特征数据进行特征数据检测，如有异常，则告警。

根据本发明的基于协议分析的异常检测方法的一实施例，其中，与存储的历史记录进行匹配包括：逐个数据包按顺序比对网络层、传输层、应用层的包头、源/目的IP地址、源/目的端口和应用层地址的特征数匹配。

根据本发明的基于协议分析的异常检测方法的一实施例，其中，还包括：检测完成后还更新历史记录。