CN112422567B - 一种面向大流量的网络入侵检测方法 - Google Patents
一种面向大流量的网络入侵检测方法 Download PDFInfo
- Publication number
- CN112422567B CN112422567B CN202011296572.0A CN202011296572A CN112422567B CN 112422567 B CN112422567 B CN 112422567B CN 202011296572 A CN202011296572 A CN 202011296572A CN 112422567 B CN112422567 B CN 112422567B
- Authority
- CN
- China
- Prior art keywords
- flow
- protocol
- detection
- matching
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向大流量的网络入侵检测方法,协议分析方面,发明在网络层、传输层和应用层不同的网络结构中,分别对流量数据包的IP、端口和报文进行检测,加速数据处理流程,简化不必要的数据处理,优化处理时间,适用于大流量的网络入侵检测;特征匹配方面,部分特征信息明确的协议,可针对性地使用AC自动机;而无明确特征信息的协议,则通过hyperscan特征库实现流量数据有效载荷的特征匹配;针对不同协议使用不同分析方法,有效加快匹配命中,减少资源损耗。
Description
技术领域
本发明涉及网络流量协议分析技术领域,具体是一种面向大流量的网络入侵检测方法。
背景技术
随着全球信息化步伐的加快,网络安全变得越来越重要。在当前高速交换网络环境下,网络攻击手段日益复杂,入侵检测安全技术备受关注。入侵检测是通过对计算机网络或者计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
从数据分析手段来看,入侵检测通常可以分为误用入侵检测和异常入侵检测。误用入侵检测技术是通过分析各种类型的攻击手段,找出可能的“攻击特征”集合,再利用这些特征集合或者是对应的规则集合,对当前的数据来源进行各种处理后,再进行特征匹配或者规则匹配工作,来判断是否发生攻击行为。
DPI(Deep Packet Inspection)是一种基于数据包的深度检测技术,通过对网络关键点处的流量和报文内容进行检测分析,根据事先定义的策略对检测流量进行过滤控制,完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形、以及应用层拒绝服务攻击、对病毒/木马进行过滤和滥用P2P的控制等功能。眼下,不同的DPI技术不断涌现,目前开源的有OpenDPI。纵观OpenDPI检测流程,其检测过程繁琐、处理过程重复,无法处理协议特征,对大流量应用场景的处理能力差,性能无法达标。
发明内容
针对现有流量协议分析技术不适用于大流量应用场景的技术缺陷,本发明提供一种面向大流量的网络入侵检测方法。
一种面向大流量的网络入侵检测方法,包括以下步骤:
步骤1,获取网络流量并进行分流;
步骤2,对分流后的流量进行网络层的IP检测,通过IP检测得以确定其协议类型的流量,跳转步骤6;
步骤3,对分流后的流量进行传输层的端口检测,通过端口检测得以确定其协议类型的流量,跳转步骤6;
步骤4,对分流后的流量进行应用层的报文检测,通过报文检测得以确定其协议类型的流量,跳转步骤6;
步骤5,针对通过IP检测、端口检测、报文检测均没有确定其协议类型的流量,通过hyperscan正则表达式实现流量有效载荷的特征匹配,跳转步骤7;
步骤6,根据确定的协议类型提取流量特征信息,并将提取到的流量特征信息送入A C自动机完成匹配;
步骤7,根据匹配结果对异常流量进行拦截处理。
进一步的,所述步骤2中的IP检测,IP地址与其服务采用的通信协议建立BM算法匹配库,匹配库中保存有IP地址与通信协议的对应关系。
进一步的,所述步骤3中的端口检测,针对绑定协议的端口。
进一步的,所述步骤4中的报文检测,根据通信协议的RFC文档,分析协议报文格式命中的协议,再结合请求和应答报文的对应关系分析出协议类型;优选的,根据通信协议的主要特征点,分析协议报文格式命中的协议。
本发明的有益效果:1、协议分析方面,发明在网络层、传输层和应用层不同的网络结构中,分别对流量数据包的IP、端口和报文进行检测,加速数据处理流程,简化不必要的数据处理,优化处理时间,适用于大流量的网络入侵检测;2、特征匹配方面,部分特征信息明确的协议,可针对性地使用AC自动机;而无明确特征信息的协议,则通过hyperscan特征库实现流量数据有效载荷的特征匹配;3、针对不同协议使用不同分析方法,有效加快匹配命中,减少资源损耗。
附图说明
图1为网络入侵检测方法流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明的实施例是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显而易见的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
实施例1
一种面向大流量的网络入侵检测方法,如图1所示,包括以下步骤:
1、获取网络流量并进行分流。
2、对分流后的流量进行IP检测,通过IP检测得以确定其协议类型的流量,跳转步骤6。
IP检测针对数据包的网络层,部分互联网服务的IP地址固定,而服务采用的通信协议固定,因此就形成了IP地址与通信协议的对应关系。通过IP地址与其服务采用的通信协议建立BM算法匹配库,匹配库中保存有IP地址与通信协议的对应关系,部分流量就可以直接通过IP检测可以完成协议分析,交由分流设备进行处理,实现针对IP的流拦截。
3、对分流后的流量进行端口检测,通过端口检测得以确定其协议类型的流量,跳转步骤6。
端口检测针对数据包的传输层,TCP/UDP的端口号与部分协议也是绑定的。端口检测由于需要处理的端口字节少,并且目前已知固定协议的端口数量也不多,因此可采用数组下标方式进行匹配,例如HTTP的80端口、ftp的21端口、pop3的110端口等。不过,目前很多协议的端口可配置,端口检测只能针对固定协议的端口,但也能减少后续检测的压力。
4、对分流后的流量进行报文检测,通过报文检测得以确定其协议类型的流量,跳转步骤6。
报文检测针对数据包的应用层,实现对数据包有效载荷的处理。根据通信协议的RFC文档,分析协议报文格式命中的协议,再结合请求和应答报文的对应关系分析出协议类型。为了节省匹配消耗,根据通信协议的主要特征点,分析协议报文格式命中的协议。
现有协议越来越多,很多服务还采用自定义的通信协议。为了便于后续拓展,报文检测中的协议库采用可通过插入和删除进行内部协议的增减。
5、针对通过IP检测、端口检测、报文检测均没有确定其协议类型,即部分协议无明确的特征信息,则通过hyperscan特征库实现流量有效载荷的特征匹配,跳转步骤7。
6、根据确定的协议类型提取流量特征信息,并将提取到的流量特征信息送入AC自动机完成匹配。
AC自动机是多模匹配算法,主要针对常见协议的特征信息,例如HTTP的url、HTTPS的sni、SMTP的服务域名等。这些信息存在于协议数据包的固定位置,能够根据通信协议解析出出来,在通过AC匹配算法,分多段字符得到匹配结果。
7、根据匹配结果对异常流量进行拦截处理。
发明在网络层、传输层和应用层不同的网络结构中,分别对流量数据包的IP、端口和报文进行检测,加速数据处理流程,简化不必要的数据处理,优化处理时间,适用于大流量的网络入侵检测。三种协议分析可配置,也可单独实现启用其中一种或者两种匹配。
特征匹配算法采用AC自动机和hyperscan特征库结合。部分特征信息明确的协议,可针对性地使用AC自动机;而无明确特征信息的协议,则通过hyperscan特征库实现流量数据有效载荷的特征匹配。
显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域及相关领域的普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
Claims (2)
1.一种面向大流量的网络入侵检测方法,其特征在于,包括以下步骤:
步骤1,获取网络流量并进行分流;
步骤2,对分流后的流量进行网络层的IP检测,通过IP地址与其服务采用的通信协议建立BM算法匹配库,匹配库中保存有IP地址与通信协议的对应关系,从而确定其协议类型的流量,跳转步骤6;
步骤3,对分流后的流量进行传输层的端口检测,针对绑定协议的端口,通过端口检测得以确定其协议类型的流量,跳转步骤6;
步骤4,对分流后的流量进行应用层的报文检测,根据通信协议的RFC文档,分析协议报文格式命中的协议,再结合请求和应答报文的对应关系分析出协议类型,从而确定其协议类型的流量,跳转步骤6;
步骤5,针对通过IP检测、端口检测、报文检测均没有确定其协议类型的流量,通过hyperscan正则表达式实现流量有效载荷的特征匹配,跳转步骤7;
步骤6,根据确定的协议类型提取流量特征信息,并将提取到的流量特征信息送入AC自动机完成匹配;
步骤7,根据匹配结果对异常流量进行拦截处理。
2.根据权利要求1所述的面向大流量的网络入侵检测方法,其特征在于,根据通信协议的主要特征点,分析协议报文格式命中的协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011296572.0A CN112422567B (zh) | 2020-11-18 | 2020-11-18 | 一种面向大流量的网络入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011296572.0A CN112422567B (zh) | 2020-11-18 | 2020-11-18 | 一种面向大流量的网络入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112422567A CN112422567A (zh) | 2021-02-26 |
| CN112422567B true CN112422567B (zh) | 2022-11-15 |
Family
ID=74773986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011296572.0A Active CN112422567B (zh) | 2020-11-18 | 2020-11-18 | 一种面向大流量的网络入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112422567B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132180B (zh) * | 2021-03-11 | 2022-07-29 | 武汉大学 | 一种面向可编程网络的协作式大流检测方法 |
| CN113037784B (zh) * | 2021-05-25 | 2021-09-21 | 金锐同创(北京)科技股份有限公司 | 流量引导方法、装置及电子设备 |
| CN114499949B (zh) * | 2021-12-23 | 2022-09-20 | 北京环宇博亚科技有限公司 | 设备绑定方法、装置、电子设备和计算机可读介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7493659B1 (en) * | 2002-03-05 | 2009-02-17 | Mcafee, Inc. | Network intrusion detection and analysis system and method |
| CN107657174A (zh) * | 2016-07-26 | 2018-02-02 | 北京计算机技术及应用研究所 | 一种基于协议指纹的数据库入侵检测方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1730917A1 (en) * | 2004-03-30 | 2006-12-13 | Telecom Italia S.p.A. | Method and system for network intrusion detection, related network and computer program product |
| CN103795709B (zh) * | 2013-12-27 | 2017-01-18 | 北京天融信软件有限公司 | 一种网络安全检测方法和系统 |
| CN105141604B (zh) * | 2015-08-19 | 2019-03-08 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN106453438B (zh) * | 2016-12-23 | 2019-12-10 | 北京奇虎科技有限公司 | 一种网络攻击的识别方法及装置 |
| CN107968791B (zh) * | 2017-12-15 | 2021-08-24 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
| CN110572380A (zh) * | 2019-08-30 | 2019-12-13 | 北京亚鸿世纪科技发展有限公司 | 一种tcp回注封堵的方法及装置 |
-
2020
- 2020-11-18 CN CN202011296572.0A patent/CN112422567B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7493659B1 (en) * | 2002-03-05 | 2009-02-17 | Mcafee, Inc. | Network intrusion detection and analysis system and method |
| CN107657174A (zh) * | 2016-07-26 | 2018-02-02 | 北京计算机技术及应用研究所 | 一种基于协议指纹的数据库入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112422567A (zh) | 2021-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
| CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
| CN112422567B (zh) | 一种面向大流量的网络入侵检测方法 | |
| CN106815112B (zh) | 一种基于深度包检测的海量数据监控系统及方法 | |
| US10084713B2 (en) | Protocol type identification method and apparatus | |
| US8010685B2 (en) | Method and apparatus for content classification | |
| CN101800707B (zh) | 建立流转发表项的方法及数据通信设备 | |
| US8060927B2 (en) | Security state aware firewall | |
| CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
| US20170250954A1 (en) | Hybrid hardware-software distributed threat analysis | |
| CN107222491B (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
| EP2482497B1 (en) | Data forwarding method, data processing method, system and device thereof | |
| US20130294449A1 (en) | Efficient application recognition in network traffic | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| CN106416171A (zh) | 一种特征信息分析方法及装置 | |
| CN114143107B (zh) | 一种低速DDoS攻击检测方法、系统及相关设备 | |
| CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| CN107204965B (zh) | 一种密码破解行为的拦截方法及系统 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| EP1739921A1 (en) | Progressive wiretap | |
| CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
| CN105207997A (zh) | 一种防攻击的报文转发方法和系统 | |
| CN111953527B (zh) | 一种网络攻击还原系统 | |
| Mopari et al. | Detection and defense against DDoS attack with IP spoofing | |
| US11991522B2 (en) | Apparatus and method for traffic security processing in 5G mobile edge computing slicing service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |