[发明专利]基于深度协议分析的威胁检测方法

说明书

本发明提供了一种发现网络上潜在的或者正在发生的网络威胁事件的方法，尤其是基于深度协议分析的威胁检测方法。其特点是，包括如下步骤：由数据包捕获模块从以太网络中采集数据包，或者通过交换机端口镜像获取所有流经网络出口的数据包，将获取的原始数据包传递给协议识别模块，协议识别模块对原始数据包先进行IP重组，当发现具有TCP会话标识时则启动TCP会话重组，重组完成的网络层数据和应用层数据传递给深度协议分析模块。同时相比于类似的已有方法，本发明能够针对绝大部分常用的网络协议进行分析，并且能够深入协议内部，对协议的载荷进行直接的分析，适应能力和检测效果都较好。

技术领域

本发明提供了一种发现网络上潜在的或者正在发生的网络威胁事件的方法，尤其是基于深度协议分析的威胁检测方法。

背景技术

目前，通过网络数据采集，基于大数据分析来发现网络中的入侵行为，主要依据网络设备的日志或者网络中部署的网络安全设备的告警。如发明专利201410526907.1，一种安全态势分析统计方法中所描述的，通过对日志的预处理获得归一化的作业数据，采用数据挖掘等分析算法获得日志数据的特征，再和特征库进行比对来发现潜在的安全事件。

依赖于网络设备的日志或者安全设备的告警具有一定的局限性，即当这类网络入侵的特征不在网络日志或者安全设备告警的范围内时，无法及时发现。目前也有采用网络全流量分析的方法，如发明专利201310365136.8，一种主动威胁发现系统所描述的采用在交换机分光的方法，对网络流量进行备份和离线分析。其局限性在于仅能分析网络的流量特征，无法深入协议内部提取威胁特征。

针对具体网络协议的特点来提取网络威胁特征方法已经被提出，如发明专利201710579846.9，一种网络安全事件分类与预测方法及系统提出针对HTTP协议，融合分词及向量分析法来发现异常行为。其局限性在于仅能针对特定的网络协议，此处为HTTP协议。

发明内容

本发明的目的是提供一种基于深度协议分析的威胁检测方法，能够针对绝大部分常用的网络协议进行分析，并且能够深入协议内部，对协议的载荷进行直接的分析，适应能力和检测效果都较好。

一种基于深度协议分析的威胁检测方法，其特别之处在于，包括如下步骤：由数据包捕获模块从以太网络中采集数据包，或者通过交换机端口镜像获取所有流经网络出口的数据包，将获取的原始数据包传递给协议识别模块，协议识别模块对原始数据包先进行IP重组，当发现具有TCP会话标识时则启动TCP会话重组，重组完成的网络层数据和应用层数据传递给深度协议分析模块，深度协议分析模块依据协议识别结果，从规则库中提取预先基于协议归类的规则模板，对协议数据进行指纹识别和统计特征匹配，当深度协议分析模块发现威胁事件，则生成告警信息发送给控制台模块，控制台模块将告警信息通知管理员。

其中IP重组具体如下：

1)根据抓取的报文中包含的标识符、不分片标志DF和更多分片标志MF来判断该数据报是否为分片，即DF＝0允许分片，MF＝1还有更多分片；

2)检查并删除超时IP数据报的二级分片树，记录不完整的IP数据报，查找满足该数据报源地址和目的地址的树节点，并返回所对应分组树的分片跟踪结构变量；

3)检查分片是否已经全部到达，利用二叉树遍历二级分片树的每一个节点，检查更多分片标志MF，如果MF为0，表明分片数据已经全部到达；

4)将所有已经到达的分片进行重组，利用二叉树遍历算法，将当前节点的数据填充到重组缓存中，如果重组后的数据长度超过65536，表明重组出错，产生告警信息，并停止重组，并丢弃该数据包；如果数据长度没有超过65536，则持续填充直至数据包填满。

其中TCP重组具体如下：