入侵检测系统分析方法和入侵检测系统.pdf

摘要
申请专利号：	CN201410400290.9	申请日：	2014.08.14
公开号：	CN104135490A	公开日：	2014.11.05
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20140814\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	浪潮（北京）电子信息产业有限公司
发明人：	马晓明
地址：	100085 北京市海淀区上地信息路2号2-1号C栋1层
优先权：
专利代理机构：	北京安信方达知识产权代理有限公司 11262	代理人：	王丹;李丹
PDF下载：	PDF下载

内容摘要

本发明提供了一种入侵检测系统IDS分析方法和入侵检测系统，其中方法包括IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。本发明不仅能够减少计算量，而且可以实现快速探测入侵攻击。

权利要求书

1.  一种入侵检测系统IDS分析方法，其特征在于，包括：
IDS的节点捕获流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；
所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；
如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。

2.  根据权利要求1所述的入侵检测系统分析方法，其特征在于，该方法之前，还包括：
IDS的存储设备设置规则库，所述规则库包括攻击特征。

3.  根据权利要求1或2所述的入侵检测系统分析方法，其特征在于，所述IDS的节点捕获流入的数据包，根据协议解码对所述数据包进行解析，并将解析结果发送给IDS的命令解析器，包括：
所述节点捕获流入的数据包，根据协议对数据包规定，获取所述数据包的第三层协议标识符；根据所述第三层协议标识符，获取所述数据包的第四层协议标识符；根据所述第四层协议标识符，获取所述数据包的端口号；根据所述端口号，获取所述数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。

4.  根据权利要求1或2所述的入侵检测系统分析方法，其特征在于，在所述命令解析器将接收到的解析结果与预先设置的规则库中对应的攻击特征进行规则匹配之后，该方法还包括：
命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。

5.  一种入侵检测系统，其特征在于，包括：
节点，用于捕获流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；
命令解析器，用于将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果所述数据包解析结果与规则库中对应的攻击特征匹配成功，所述命令解析器进行报警。

6.  根据权利要求5所述的入侵检测系统，其特征在于，该系统还包括：
存储设备，用于设置规则库，所述规则库包括攻击特征。

7.  根据权利要求5或6所述的入侵检测系统，其特征在于，所述节点，用于捕获流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器，具体为：
所述节点用于捕获流入的数据包，根据协议对数据包规定，获取所述数据包的第三层协议标识符；根据所述第三层协议标识符，获取所述数据包的第四层协议标识符；根据所述第四层协议标识符，获取所述数据包的端口号；根据所述端口号，获取所述数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。

8.  根据权利要求5或6所述的入侵检测系统，其特征在于，所述命令解析器，还用于：
所述命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。

说明书

入侵检测系统分析方法和入侵检测系统
技术领域
本发明涉及计算机技术领域，尤其涉及一种入侵检测系统分析方法和入侵检测系统。
背景技术
随着计算机网络的飞速发展，网络通信已经渗透到社会经济、文化和科学的各个领域。网络使得信息的获取、传递、存储、处理和利用变得更加有效和迅速，但是，网络在给人们带来巨大便利的同时也带来了各种安全问题。因此，伴随着网络的发展，各种网络安全技术也随之发展起来。
常用的网络安全技术有：数据加密、虚拟专用网络(VPN，Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术，对保护网络的安全起到非常重要的作用，然而它们也存在不少缺陷，例如，防火墙技术虽然为网络服务提供了较好的身份认证和访问控制，但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击，入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击；虚拟专用网技术只能保证传输过程中的安全，并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击；身份认证技术，很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。另外，这些技术都属于静态安全技术的范畴，静态安全技术的缺点是只能静态和消极地防御入侵，而不能主动检测和跟踪入侵。
入侵检测技术(IDS，Intrusion Detection System)是一种动态安全技术，它主动地收集包括系统审计数据，网络数据包以及用户活动状态等多方面的信息，然后进行安全性分析，从而及时发现各种入侵并产生响应。
传统的入侵检测系统一般采用模式匹配技术，将待分析事件与入侵规则相匹配，例如从网络数据包的包头开始与攻击特征字符串比较。若比较结果不同，则下移一个字节再进行；若比较结果相同，那么就检测到一个可能的攻击。面对近几年不断出现的千兆以太网、G比特光纤网等高速网络应用，这种逐字节匹配方法具有计算负载大及探测不够灵活两个最根本的缺陷，难以实现实时入侵检测。
发明内容
为了解决上述技术问题，本发明提供了一种入侵检测系统分析方法和入侵检测系统，不仅能够减少计算量，而且可以实现快速探测入侵攻击。
为了达到本发明目的，本发明提供了一种入侵检测系统分析方法，包括：IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。
进一步地，该方法之前，还包括：IDS的存储设备设置规则库，规则库包括攻击特征。
进一步地，IDS的节点捕获流入的数据包，根据协议解码对所述数据包进行解析，并将解析结果发送给IDS的命令解析器，包括：节点捕获流入的数据包，根据协议对数据包规定，获取数据包的第三层协议标识符；根据第三层协议标识符，获取数据包的第四层协议标识符；根据第四层协议标识符，获取数据包的端口号；根据端口号，获取数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。
进一步地，在命令解析器将接收到的解析结果与预先设置的规则库中对应的攻击特征进行规则匹配之后，该方法还包括：命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。
本发明提供了一种入侵检测系统，包括：节点，用于捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器，用于将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。
进一步地，该系统还包括：存储设备，用于设置规则库，所述规则库包括攻击特征。
进一步地，点，用于捕获流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器，具体为：节点用于捕获流入的数据包，根据协议对数据包规定，获取数据包的第三层协议标识符；根据第三层协议标识符，获取数据包的第四层协议标识符；根据第四层协议标识符，获取数据包的端口号；根据端口号，获取数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。
进一步地，命令解析器，还用于：命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。
与现有技术相比，本发明包括：IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。本发明通过对数据报进行协议解码，利用网络协议的高度规则性快速探测攻击的存在，对每个数据包的比对次数由上亿次可以减少为几百次或几十次，极大地减少了计算量，因此，IDS可以处理更多的数据包，并能够实现实时入侵检测。
附图说明
图1是本发明入侵检测系统分析方法的流程示意图。
图2是本发明根据协议解码对数据包进行解析的流程示意图。
图3是本发明入侵检测系统的架构示意图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。
图1是本发明入侵检测系统分析方法的流程示意图，如图1所示，包括：
步骤11，IDS的存储设备设置规则库，该规则库包括攻击特征。
步骤12，IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将解析结果发送给IDS的命令解析器。
在本步骤中，IDS的节点捕获流入的每一个数据包，并根据协议解码对数据包进行解析。
数据包是网络通信传输中的数据单位，包括报头和负载，其中报头包含对数据包所承载数据的说明，负载包含数据包正文或数据，是数据包向目的地发送的实际数据。
传输控制协议(TCP，Transmission Control Protocol)/因特网互联协议(IP，Internet Protocol)协议通信传输中的数据包在开放系统互联(OSI，Open System Interconnection)模型的第三层网络层、第四层传输层。根据协议解码，对数据包进行解析，其中可以解析出数据包的第三层协议标示符、第四层协议标示符、端口号和统一资源定位符(URL，Uniform Resource Locator)。
在本发明具体实施例中，以下面的数据包为例进行说明。该数据包具体为：
AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2％00397e39
12345678901234567890123456789012345678901234567890123456，
其中，AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2％00397e39是数据包的报头部分，12345678901234567890123456789012345678901234567890123456是数据包的负载部分。
根据协议解码对数据包进行解析具体可如图2所示，包括：
步骤121，根据协议对数据包规定，获取该数据包的第三层协议标识符。
具体地，根据协议对数据包规定，在数据包的第13字节处开始的4个字节定义了第三层协议标识符，于是IDS的节点略过该数据包的前12个字节，直接读取第三层协议标识符“0800”。
步骤122，根据第三层协议标识符，获取该数据包的第四层协议标识符。
具体地，“0800”代表IP协议，则在数据包的第24字节开始定义了第四层协议标识符，于是IDS的节点略过该数据包的中间字节，跳到第24字节直接读取第4层协议标识符“06”。
步骤123，根据第四层协议标识符，获取该数据包的端口号。
具体地，“06”代表了TCP协议，则在数据包的第35字节定义了TCP端口号，于是IDS的节点略过该数据包的中间字节，跳到第35字节直接读取端口号“0080”。
步骤124，根据端口号，获取该数据包的URL，并将URL发送给IDS的命令解析器。
具体地，“0080”代表超文本传输协议(HTTP，Hypertext transfer protocol)，在HTTP中URL开始的地址是第55字节，于是IDS的节点略过该数据包的中间字节，跳到第55字节读取URL。
步骤13，命令解析器将接收到的解析结果与规则库中对应的攻击特征进行规则匹配。
在本步骤中，根据解析结果查找规则库中对应的攻击特征，并将解析结果与规则库中对应的攻击特征进行规则匹配，例如在本发明具体实施例中，命令解析器对URL进行分析，并与规则库中与HTTP有关的攻击特征进行比对。
步骤14，命令解析器判断是否匹配成功，如果否，进入步骤15，如果是，进入步骤16。
步骤15，如果判断出没有匹配成功，则进一步判断所有对应的规则是否都匹配完成，如果是，返回步骤12；如果否，返回步骤13。
步骤16，如果判断出匹配成功，命令解析器进行报警。
在本步骤中，如果判断出匹配成功，则表示该数据包与规则库中对应的攻击特征相匹配，即该数据包具有攻击特征，因此，命令解析器进行报警。
本发明通过对数据报进行协议解码，利用网络协议的高度规则性快速探测攻击的存在，对每个数据包的比对次数由上亿次可以减少为几百次或几十次，极大地减少了计算量，因此，IDS可以处理更多的数据包，并能够实现实时入侵检测。
图3是本发明入侵检测系统的架构示意图，如图3所示，包括：
存储设备，用于设置规则库，该规则库包括攻击特征。
节点，用于捕获流入的数据包，对数据包进行解析，并将解析结果发送给命令解析器。
具体地，该节点对数据包进行解析，包括：根据协议对数据包规定，获取该数据包的第三层协议标识符；根据第三层协议标识符，获取该数据包的第四层协议标识符；根据第四层协议标识符，获取该数据包的端口号；根据端口号，获取该数据包的URL，并将URL发送给命令解析器。
命令解析器，用于接收来自节点的数据包解析结果，并将解析结果与规则库中对应的攻击特征进行规则匹配。
具体地，该命令解析器将解析结果与规则库中对应的攻击特征进行规则匹配，并判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。
本发明通过对数据报进行协议解码，利用网络协议的高度规则性快速探测攻击的存在，对每个数据包的比对次数由上亿次可以减少为几百次或几十次，极大地减少了计算量，因此，IDS可以处理更多的数据包，并能够实现实时入侵检测。
应当理解，虽然本说明书根据实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施方式中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用于限制本发明的保护范围，凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

资源描述

《入侵检测系统分析方法和入侵检测系统.pdf》由会员分享，可在线阅读，更多相关《入侵检测系统分析方法和入侵检测系统.pdf（9页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104135490A43申请公布日20141105CN104135490A21申请号201410400290922申请日20140814H04L29/0620060171申请人浪潮（北京）电子信息产业有限公司地址100085北京市海淀区上地信息路2号21号C栋1层72发明人马晓明74专利代理机构北京安信方达知识产权代理有限公司11262代理人王丹李丹54发明名称入侵检测系统分析方法和入侵检测系统57摘要本发明提供了一种入侵检测系统IDS分析方法和入侵检测系统，其中方法包括IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命。

2、令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。本发明不仅能够减少计算量，而且可以实现快速探测入侵攻击。51INTCL权利要求书2页说明书4页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书4页附图2页10申请公布号CN104135490ACN104135490A1/2页21一种入侵检测系统IDS分析方法，其特征在于，包括IDS的节点捕获流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；所述命令解析器将接收到的所述数。

3、据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。2根据权利要求1所述的入侵检测系统分析方法，其特征在于，该方法之前，还包括IDS的存储设备设置规则库，所述规则库包括攻击特征。3根据权利要求1或2所述的入侵检测系统分析方法，其特征在于，所述IDS的节点捕获流入的数据包，根据协议解码对所述数据包进行解析，并将解析结果发送给IDS的命令解析器，包括所述节点捕获流入的数据包，根据协议对数据包规定，获取所述数据包的第三层协议标识符；根据所述第三层协议标识符，获取所述数据包的第四层协议标识符；根据所述第四层协议标识符。

4、，获取所述数据包的端口号；根据所述端口号，获取所述数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。4根据权利要求1或2所述的入侵检测系统分析方法，其特征在于，在所述命令解析器将接收到的解析结果与预先设置的规则库中对应的攻击特征进行规则匹配之后，该方法还包括命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。5一种入侵检测系统，其特征在于，包括节点，用于捕获流入的数据包，根据协议。

5、解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器，用于将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果所述数据包解析结果与规则库中对应的攻击特征匹配成功，所述命令解析器进行报警。6根据权利要求5所述的入侵检测系统，其特征在于，该系统还包括存储设备，用于设置规则库，所述规则库包括攻击特征。7根据权利要求5或6所述的入侵检测系统，其特征在于，所述节点，用于捕获流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器，具体为所述节点用于捕获流入的数据包，根据协议对数据包规定，获取所述数据包的第三层协议标。

6、识符；根据所述第三层协议标识符，获取所述数据包的第四层协议标识符；根据所述第四层协议标识符，获取所述数据包的端口号；根据所述端口号，获取所述数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。8根据权利要求5或6所述的入侵检测系统，其特征在于，所述命令解析器，还用于权利要求书CN104135490A2/2页3所述命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。权利要求书CN10。

7、4135490A1/4页4入侵检测系统分析方法和入侵检测系统技术领域0001本发明涉及计算机技术领域，尤其涉及一种入侵检测系统分析方法和入侵检测系统。背景技术0002随着计算机网络的飞速发展，网络通信已经渗透到社会经济、文化和科学的各个领域。网络使得信息的获取、传递、存储、处理和利用变得更加有效和迅速，但是，网络在给人们带来巨大便利的同时也带来了各种安全问题。因此，伴随着网络的发展，各种网络安全技术也随之发展起来。0003常用的网络安全技术有数据加密、虚拟专用网络VPN，VIRTUALPRIVATENETWORK、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术，对保护网络的。

8、安全起到非常重要的作用，然而它们也存在不少缺陷，例如，防火墙技术虽然为网络服务提供了较好的身份认证和访问控制，但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击，入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击；虚拟专用网技术只能保证传输过程中的安全，并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击；身份认证技术，很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。另外，这些技术都属于静态安全技术的范畴，静态安全技术的缺点是只能静态和消极地防御入侵，而不能主动检测和跟踪入侵。0004入侵检测技术IDS，INTRUS。

9、IONDETECTIONSYSTEM是一种动态安全技术，它主动地收集包括系统审计数据，网络数据包以及用户活动状态等多方面的信息，然后进行安全性分析，从而及时发现各种入侵并产生响应。0005传统的入侵检测系统一般采用模式匹配技术，将待分析事件与入侵规则相匹配，例如从网络数据包的包头开始与攻击特征字符串比较。若比较结果不同，则下移一个字节再进行；若比较结果相同，那么就检测到一个可能的攻击。面对近几年不断出现的千兆以太网、G比特光纤网等高速网络应用，这种逐字节匹配方法具有计算负载大及探测不够灵活两个最根本的缺陷，难以实现实时入侵检测。发明内容0006为了解决上述技术问题，本发明提供了一种入侵检测系统。

10、分析方法和入侵检测系统，不仅能够减少计算量，而且可以实现快速探测入侵攻击。0007为了达到本发明目的，本发明提供了一种入侵检测系统分析方法，包括IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。说明书CN104135490A2/4页50008进一步地，该方法之前，还包括IDS的存储设备设置规则库，规则库包括攻击特征。0009进一步地，IDS的节点捕获流入的数据包，根据协议解码对所述数。

11、据包进行解析，并将解析结果发送给IDS的命令解析器，包括节点捕获流入的数据包，根据协议对数据包规定，获取数据包的第三层协议标识符；根据第三层协议标识符，获取数据包的第四层协议标识符；根据第四层协议标识符，获取数据包的端口号；根据端口号，获取数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。0010进一步地，在命令解析器将接收到的解析结果与预先设置的规则库中对应的攻击特征进行规则匹配之后，该方法还包括命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测。

12、判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。0011本发明提供了一种入侵检测系统，包括节点，用于捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器，用于将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。0012进一步地，该系统还包括存储设备，用于设置规则库，所述规则库包括攻击特征。0013进一步地，点，用于捕获流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器，具体为节点用于捕获流入。

13、的数据包，根据协议对数据包规定，获取数据包的第三层协议标识符；根据第三层协议标识符，获取数据包的第四层协议标识符；根据第四层协议标识符，获取数据包的端口号；根据端口号，获取数据包的统一资源定位符URL，并将URL发送给IDS的命令解析器。0014进一步地，命令解析器，还用于命令解析器判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。0015与现有技术相比，本发明包括IDS的节点捕获流入的数据包，根据协议。

14、解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。本发明通过对数据报进行协议解码，利用网络协议的高度规则性快速探测攻击的存在，对每个数据包的比对次数由上亿次可以减少为几百次或几十次，极大地减少了计算量，因此，IDS可以处理更多的数据包，并能够实现实时入侵检测。附图说明0016图1是本发明入侵检测系统分析方法的流程示意图。0017图2是本发明根据协议解码对数据包进行解析的流程示意图。0018图3是本发明入侵检测系统的架构示。

15、意图。说明书CN104135490A3/4页6具体实施方式0019以下将结合附图所示的具体实施方式对本发明进行详细描述。0020图1是本发明入侵检测系统分析方法的流程示意图，如图1所示，包括0021步骤11，IDS的存储设备设置规则库，该规则库包括攻击特征。0022步骤12，IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将解析结果发送给IDS的命令解析器。0023在本步骤中，IDS的节点捕获流入的每一个数据包，并根据协议解码对数据包进行解析。0024数据包是网络通信传输中的数据单位，包括报头和负载，其中报头包含对数据包所承载数据的说明，负载包含数据包正文或数据，是数据包向目的地。

16、发送的实际数据。0025传输控制协议TCP，TRANSMISSIONCONTROLPROTOCOL/因特网互联协议IP，INTERNETPROTOCOL协议通信传输中的数据包在开放系统互联OSI，OPENSYSTEMINTERCONNECTION模型的第三层网络层、第四层传输层。根据协议解码，对数据包进行解析，其中可以解析出数据包的第三层协议标示符、第四层协议标示符、端口号和统一资源定位符URL，UNIFORMRESOURCELOCATOR。0026在本发明具体实施例中，以下面的数据包为例进行说明。该数据包具体为0027AF7HY289S820800B9V5YT0611TBHK76500801。

17、293UGDB200397E39002812345678901234567890123456789012345678901234567890123456，0029其中，AF7HY289S820800B9V5YT0611TBHK76500801293UGDB200397E39是数据包的报头部分，12345678901234567890123456789012345678901234567890123456是数据包的负载部分。0030根据协议解码对数据包进行解析具体可如图2所示，包括0031步骤121，根据协议对数据包规定，获取该数据包的第三层协议标识符。0032具体地，根据协议对数据包规定，在数。

18、据包的第13字节处开始的4个字节定义了第三层协议标识符，于是IDS的节点略过该数据包的前12个字节，直接读取第三层协议标识符“0800”。0033步骤122，根据第三层协议标识符，获取该数据包的第四层协议标识符。0034具体地，“0800”代表IP协议，则在数据包的第24字节开始定义了第四层协议标识符，于是IDS的节点略过该数据包的中间字节，跳到第24字节直接读取第4层协议标识符“06”。0035步骤123，根据第四层协议标识符，获取该数据包的端口号。0036具体地，“06”代表了TCP协议，则在数据包的第35字节定义了TCP端口号，于是IDS的节点略过该数据包的中间字节，跳到第35字节直接读。

19、取端口号“0080”。0037步骤124，根据端口号，获取该数据包的URL，并将URL发送给IDS的命令解析器。0038具体地，“0080”代表超文本传输协议HTTP，HYPERTEXTTRANSFERPROTOCOL，在HTTP中URL开始的地址是第55字节，于是IDS的节点略过该数据包的中间字节，跳到第55字节读取URL。0039步骤13，命令解析器将接收到的解析结果与规则库中对应的攻击特征进行规则匹配。说明书CN104135490A4/4页70040在本步骤中，根据解析结果查找规则库中对应的攻击特征，并将解析结果与规则库中对应的攻击特征进行规则匹配，例如在本发明具体实施例中，命令解析器对。

20、URL进行分析，并与规则库中与HTTP有关的攻击特征进行比对。0041步骤14，命令解析器判断是否匹配成功，如果否，进入步骤15，如果是，进入步骤16。0042步骤15，如果判断出没有匹配成功，则进一步判断所有对应的规则是否都匹配完成，如果是，返回步骤12；如果否，返回步骤13。0043步骤16，如果判断出匹配成功，命令解析器进行报警。0044在本步骤中，如果判断出匹配成功，则表示该数据包与规则库中对应的攻击特征相匹配，即该数据包具有攻击特征，因此，命令解析器进行报警。0045本发明通过对数据报进行协议解码，利用网络协议的高度规则性快速探测攻击的存在，对每个数据包的比对次数由上亿次可以减少为几。

21、百次或几十次，极大地减少了计算量，因此，IDS可以处理更多的数据包，并能够实现实时入侵检测。0046图3是本发明入侵检测系统的架构示意图，如图3所示，包括0047存储设备，用于设置规则库，该规则库包括攻击特征。0048节点，用于捕获流入的数据包，对数据包进行解析，并将解析结果发送给命令解析器。0049具体地，该节点对数据包进行解析，包括根据协议对数据包规定，获取该数据包的第三层协议标识符；根据第三层协议标识符，获取该数据包的第四层协议标识符；根据第四层协议标识符，获取该数据包的端口号；根据端口号，获取该数据包的URL，并将URL发送给命令解析器。0050命令解析器，用于接收来自节点的数据包解析。

22、结果，并将解析结果与规则库中对应的攻击特征进行规则匹配。0051具体地，该命令解析器将解析结果与规则库中对应的攻击特征进行规则匹配，并判断是否匹配成功，如果判断出匹配成功，命令解析器进行报警；如果判断出没有匹配成功，判断所有对应的规则是否都匹配完成，如果所有对应的规则都匹配完成，进行下一个数据包的入侵检测判断，如果有对应的规则未匹配完成，进行数据包和下一个对应规则的匹配判断。0052本发明通过对数据报进行协议解码，利用网络协议的高度规则性快速探测攻击的存在，对每个数据包的比对次数由上亿次可以减少为几百次或几十次，极大地减少了计算量，因此，IDS可以处理更多的数据包，并能够实现实时入侵检测。0053应当理解，虽然本说明书根据实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施方式中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。0054上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用于限制本发明的保护范围，凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。说明书CN104135490A1/2页8图1说明书附图CN104135490A2/2页9图2图3说明书附图CN104135490A。

展开阅读全文