專利名稱:網絡疑似威脅信息篩選器及篩選處理方法
技術領域:
本發明屬于網絡安全技術領域,特別是與入侵檢測系統(IDS: Intrusion Detection System)配套、對網絡中所存在的疑似威脅信息進行篩選的篩選器及篩選處理方法,本發 明篩選器及其篩選處理方法,可對擬進入檢測系統的信息流首先進行篩選,將正常信息流 篩選出、而僅將含有疑似威脅信息的數據包傳送給入侵檢測系統(IDS)進一步處理。
背景技術:
隨著互聯網的發展,網絡安全越來越受到人們的重視。入侵檢測系統(IDS)這種新 的網絡安全技術,被認為是防火墻之后的第二道安全門。IDS通過從計算機網絡中的關鍵 點收集信息,并對這些信息進行檢測(如協議解析、特征檢測、異常檢測等),從而發 現網絡或者系統中是否存在危害網絡或系統安全的行為、病毒等,以便進行針對性處理、 確保網絡安全運行。常規IDS工作流程為
1. 從網絡的不同關鍵點收集信息;
2. 將該信息與行為特征庫進行比對,分析信息是否含有惡意攻擊行為;
3. 對檢測到的行為做出響應;
4. 記錄并報告檢測結果。
目前,隨著網絡容量的急速提升,千兆級入侵檢測系統(IDS)已經成為其主流。在 眾多千兆級IDS系統的技術方案中,比較流行的是基于高性能CPU、網絡處理器(Network Processor, NP)以及與硬件加速器協同處理的架構等。其中,高性能CPU主要完成整個 系統的控制,網絡處理器(NP)用于網絡協議處理、防火墻、QoS等,而硬件加速器一 般采用ASIC (專用集成電路)或者FPGA (現場可編程門陣列)器件。上述基于硬件設 備的IDS系統,雖然能較好地執行復雜度較高的程序(處理方法),但是這些高性能的千 兆級IDS裝置往往結構復雜、價格昂貴,難以在廣大的中小用戶中得到推廣和普及。此外, 針對上述基于硬件的IDS系統存在的缺陷,目前,在個人電腦等平臺上也有采用純軟件來 實現入侵檢測的方法,如開源的SNORT IDS等;這些軟件IDS系統雖然具有運行費用 低、且有很強的入侵檢測能力,但由于此類IDS系統中軟件抓包器的速率一般為每秒數十 兆比特,因而,若將其應用在千兆級網絡中則存在 一是運行中會直接漏檢很多數據包, 二是軟件方式實現的模式匹配、使協議分析等處理速度極慢,最終導致整個系統性能低下 等致命的缺陷。
發明內容
本發明的目的是針對背景技術存在的缺陷,研究設計一種可與入侵檢測系統(IDS) 配套使用的網絡疑似威脅信息篩選器及篩選處理方法,以達到有效降低入侵檢測系統的負 擔、提高其檢測效率及檢測系統的資源利用率,擴大對網絡系統檢測的覆蓋面和檢測范圍, 降低運行費用,確保網絡安全運行等目的。
本發明的解決方案是通過對FPGA (現場可編程門陣列)內部邏輯資源的調配(置), 制得由各功能模塊架構組成的篩選器并采用相應的篩選方法(流程)、對網絡內各交換設 備輸出的擬進入檢測系統的信息流首先進行篩選,將大量的正常信息數據包篩選出、僅將 含有疑似威脅信息的數據包傳送給入侵檢測系統(IDS)進一步進行針對性處理。篩選器 采用數據聚合功能模塊,包頭及凈荷分離功能模塊,輸出處理功能模塊,預處理功能模塊, 以及網絡層、傳輸層和應用層三級疑似威脅數據包篩選功能模塊架構裝置及所帶或自設軟 硬件接口組成;其篩選方法在網絡層、傳輸層及應用層功能模塊通過對數據包的協議特征、 內容逐一識別篩選,然后將篩選出的含有疑似威脅信息的數據包傳送給入侵檢測系統,從 而實現其目的。因而,本發明篩選器包括帶軟硬件接口的現場可編程門陣列(FPGA)器 件,關鍵在于在現場可編程門陣列器件內設有接收網絡交換設備輸出信息的數據聚合模 塊,包頭及凈荷分離模塊,網絡層疑似威脅數據包篩選模塊,傳輸層疑似威脅數據包篩選 模塊,輸出處理模塊,含IP重組單元(模塊)、TCP (傳輸控制協議)會話重組單元(模 塊)、應用層協議規范化單元(模塊)的預處理模塊,以及含規則頭匹配單元、內容匹配 單元、疑似威脅數據包輸出單元的應用層疑似威脅數據包篩選模塊;上述各(功能)模塊 中數據聚合模塊與包頭及凈荷分離模塊,輸出處理模塊與預處理模塊、預處理模塊與應
用層疑似威脅數據包篩選模塊之間通過對應的輸出、輸入端依次連接,網絡層疑似威脅數 據包篩選模塊與傳輸層疑似威脅數據包篩選模塊則并聯于包頭及凈荷分離模塊與輸出處
理模塊之間;輸出處理模塊、預處理模塊通過TCP會話重組單元、應用層疑似威脅數據 包篩選模塊通過疑似威脅數據包輸出單元分別與軟硬件接口連接。
上述網絡層疑似威脅數據包篩選模塊包括IP疑似威脅信息篩選單元、ICMP疑似威脅 信息篩選單元、輸出單元。所述傳輸層疑似威脅數據包篩選模塊包括TCP疑似威脅信息 篩選單元及輸出單元。
本發明網絡疑似威脅信息篩選處理方法包括
步驟l.聚合處理將網絡中各交換設備輸入數據聚合模塊(1)的數據(信息)進行 聚合處理;
步驟2.分離處理將經步驟1聚合處理后輸入包頭及凈荷分離模塊(2)的數據進行 IP包頭、IP凈荷及傳輸協議包頭分離處理,并將IP包頭和IP凈荷與傳輸協議包頭分別輸入網絡層疑似威脅數據包篩選模塊(3)及傳輸層疑似威脅數據包篩選模塊(4)、以便在 網絡層與傳輸層并行完成非規則攻擊篩選;
步驟3.網絡層疑似威脅數據包篩選將經步驟2分離處理后進入網絡層疑似威脅數 據包篩選模塊(3)的IP包頭及IP凈荷,按照網絡層協議的規定對含疑似威脅信息的數 據包進行篩選,并將篩選結果連同IP包頭、IP凈荷輸入到輸出處理模塊(5);
步驟4.傳輸層疑似威脅數據包篩選而經步驟2分離處理后進入傳輸層疑似威脅數
據包篩選模塊(4)的傳輸協議包頭,則按傳輸層協議的規定對含非規則攻擊的疑似威脅
信息的包頭進行篩選,并將篩選結果連同傳輸層協議包頭亦輸入到輸出處理模塊(5);
步驟5.輸出處理經步驟3、步驟4篩選后輸入的篩選結果及其包頭、凈荷,若其
中只要有一結果的結論為含疑似威脅信息,則將該數據包作為含非規則疑似威脅信息的數
據包,經軟硬件接口 (8)送入侵檢測系統(A);若所有結論均為正常(不含疑似威脅信 息),則將該數據包作為正常數據包輸入預處理模塊(6);
步驟6.數據包預處理將由步驟5輸入的正常數據包通過IP重組單元(6.1)重組 IP分片數據、通過TCP會話重組單元(6.2)經軟硬件接口 (8)從入侵檢測系統索取TCP 連接信息表后進行TCP會話重組,再經應用層數據規范化單元(6.3)對數據進行規范化 處理,然后將處理后的IP包頭和傳輸協議包頭與應用層數據分別輸入應用層疑似威脅數 據包篩選模塊中的規則頭匹配單元以及內容匹配單元;
步驟7.應用層疑似威脅數據包篩選將由歩驟6輸入的IP包頭和傳輸協議包頭經 規則頭匹配單元(7.1)進行規則頭匹配處理,而輸入的應用層數據經內容匹配單元(7.2) 對常字符串及正則表達式進行匹配處理;然后將匹配處理后含疑似威脅信息的數據包由疑 似威脅數據包輸出單元(7.3)經軟硬件接口 (8)送入侵檢測系統;否則,作丟棄處理。
上述,在步驟3中所述按照網絡層協議的規定對含疑似威脅信息的數據包進行篩選, 其網絡層協議包括ICMP (控制報文協議)及IP協議。而在步驟4中所述按傳輸層協議的 規定對含非規則攻擊的疑似威脅信息的包頭進行篩選,其傳輸層協議包括TCP (傳輸控制 協議)。在步驟6中所述對應用層數據進行規范化處理,包括完成HTTP (超文本傳輸協 議)協議的URL (統一資源定位符)規范化表達及統一編碼方式,刪除Telnet (TerminaL NETwork)協議中的協商數據。
本發明由于采用FPGA (現場可編程門陣列)器件,通過對其內部邏輯資源的配置, 制得由各功能模塊架構等組成的篩選器,并采用本發明篩選方法,對各網絡交換設備輸出 的擬進入檢測系統的信息首先進行篩選,將大量不含疑似威脅信息的正常信息數據包篩選 出、僅將含有疑似威脅信息的數據包傳送給入侵檢測系統(IDS)進一步進行針對性處理, 從而大幅度減少了進入檢測系統的待檢測信息的流量,有效降低了入侵檢測系統的負擔;在篩選處理過程中TCP會話重組單元直接通過軟硬件接口從入侵檢測系統索取TCP連接 信息表,不但降低了硬件處理的難度、而且節約了硬件資源;此外,由于本發明方法是針 對數據包為單位進行篩選,對以流量攻擊為特征的信息流,由于攻擊流中的各數據包均不 含疑似威脅信息,在篩選過程中均作為不含疑似威脅信息的數據包被篩選出、而不會進入 入侵檢測系統。因而本發明具有篩選器設計緊湊、處理功能強,與入侵檢測系統配套可大 幅度降低入侵檢測系統的負擔,提高其檢測效率及檢測系統的資源利用率,擴大對網絡系 統檢測的覆蓋面和檢測范圍,降低運行費用,確保網絡安全運行等特點。
圖1為本發明篩選器功能模塊架構裝置結構示意圖(方框圖); 圖2為本發明篩選處理方法流程示意圖(方框圖);
圖3為本發明篩選器與網絡設備及入侵檢測系統(IDS)配套使用連接關系示意圖。
圖中l.數據聚合(功能)模塊,2. IP包頭及凈荷分離模塊,3.網絡層疑似威脅數據
包篩選模塊,4.傳輸層疑似威脅數據包篩選模塊,5.輸出處理模塊,6.預處理模塊、6丄 IP重組單元(模塊)、6.2. TCP會話重組單元(模塊)、6.3.應用層協議規范化單元(模塊), 7.應用層疑似威脅數據包篩選模塊、7丄規則頭匹配單元、7.2.內容匹配單元、7.3.疑似 威脅數據包輸出單元,8.軟硬件接口; A.入侵檢測系統,B.篩選器,d Cn:網絡交換設 備。
具體實施例方式
本實施方式以與有10套網絡交換設備(Cno)及對應的入侵檢測系統A配套使用為
例
本實施方式中的篩選器B采用ALTERA公司生產的STRATIX III EP3SL150F型FPGA (現場可編程門陣列)器件作為篩選器本體,其中所設數據聚合模塊1資源配置1500 個邏輯單元以及0.5兆比特RAM;包頭及凈荷分離模塊2資源配置600個邏輯單元;網 絡層疑似威脅數據包篩選3資源配置為1500個邏輯單元;傳輸層疑似威脅數據包篩選模 塊4資源配置為1500個邏輯單元;處理輸出模塊5資源配置為150個邏輯單元;預處理 模塊6中IP重組單元6.1資源配置為2000個邏輯單元以及5兆比特RAM, TCP會話重 組單元6.2資源配置為2000個邏輯單元以及2.5兆比特RAM,應用層規范化單元6.3資 源配置2500個邏輯單元;應用層疑似威脅數據包篩選模塊7中規則頭匹配單元7.1資 源配置為5000個邏輯單元,內容匹配單元7.2資源配置為25000個邏輯單元,疑似威脅 數據包輸出單元7.3資源配置為150個邏輯單元;本實施方式將軟硬件接口 8設于FPGA 器件內、資源配置為1500個邏輯單元。上述各(功能)模塊中數據聚合模塊1與包頭 及凈荷分離模塊2,輸出處理模塊5與預處理模塊6、預處理模塊6與應用層疑似威脅數據包篩選模塊7之間的輸出、輸入端通過數據線依次連接,網絡層疑似威脅數據包篩選模 塊3與傳輸層疑似威脅數據包篩選模塊4則并聯于包頭及凈荷分離模塊2與輸出處理模塊 5之間;輸出處理模塊5、預處理模塊6通過TCP會話重組單元6.2、應用層疑似威脅數 據包篩選模塊7通過疑似威脅數據包輸出單元7.3分別與軟硬件接口連接。 本實施方式篩選器的篩選方法(流程)
步驟l.聚合處理首先通過數據聚合模塊1將網絡中各個交換設備輸入的數據(信 息)進行聚合處理,然后將聚合后的數據包發送到包頭及凈荷分離模塊2;
步驟2.分離處理包頭及凈荷分離模塊2接收到聚合處理后的數據包后,首先從接
收到的數據包中提取出協議類型字段并判斷以太幀中封裝的是否是IP數據包,如果不是,
則將該數據包丟棄;如果是IP數據包,則根據IP協議以及傳輸層協議的相關規定,從IP
數據包中分離出IP包頭、IP凈荷以及傳輸層包頭,并將IP包頭、IP凈荷與傳輸層包頭、
IP包頭分別發送到網絡層疑似威脅數據包篩選模塊3及傳輸層疑似威脅數據包篩選模塊 4,以并行進行網絡層及傳輸層非規則攻擊疑似威脅數據包的篩選;
步驟3.網絡層疑似威脅數據包篩選網絡層疑似威脅數據包篩選模塊3在接收到來
自包頭凈荷分離模塊2分離出的IP包頭、凈荷后,首先根據IP協議的規定,提取出IP
頭部中的協議類型字段、包總長度字段、分片標志字段以及選項字段,并將以上提取出的
兩部分數據分別送入ICMP疑似威脅數信息篩選單元以及IP疑似威脅信息篩選單元中, 經兩個單元并行運行處理,其中ICMP疑似威脅信息篩選單元對疑似含ICMP洪范攻擊 信息、超長ICMP數據包攻擊信息、ICMP數據包碎片攻擊信息的數據包進行篩選并給出 篩選結果,本實施方式該部分具體篩選流程為若ICMP報文為回送請求或回答、封裝 ICMP報文的IP總包長超過預先設定的閾值、封裝ICMP報文的IP分片標志位有效三種 情況之一出現,則該數據包為含疑似威脅信息的數據包;與此同時,IP疑似威脅信息篩選 單元對選項字段疑似非正常的數據包進行篩選并給出篩選結果,其具體篩選流程為若IP 包頭的選項字段不為空,則該數據包含疑似威脅信息;兩個單元篩選完成后,將篩選結果 進行邏輯或并連同包頭與凈荷分離模塊輸入的IP包頭、凈荷一并送入輸出處理模塊;
步驟4.傳輸層疑似威脅數據包篩選傳輸層疑似威脅數據包篩選模塊4在接收到來 自包頭及凈荷分離模塊2送入的IP包頭及傳輸層包頭后,判斷傳輸層協議是否是TCP協 議,若是傳輸層協議,則首先根據TCP協議的規定,將TCP頭部中的控制字段提取出并 對含疑似SYN (同步序號)洪范攻擊信息、端口掃描攻擊信息、操作系統探查攻擊信息
的傳輸層包頭進行篩選并給出篩選結果,其具體篩選方法為只要TCP控制字段的 SYN/FIN/RST (同步序號/終止連接/連接復位)位有效或未設TCP控制字段標志,則該包 頭為含疑似威脅信息的包頭;篩選完成后,將篩選結果連同傳輸層包頭一并經輸出單元送入輸出處理模塊5;
步驟5.輸出處理經步驟3和步驟4篩選后同時送入輸出處理模塊6的篩選結果及 其包頭、凈荷進行匹配處理,若其中只要有一結果的結論為含疑似威脅信息,則將該數據 包作為含非規則疑似威脅信息的數據包,經軟硬件接口8送入侵檢測系統A;若所有結論 均為正常(不含疑似威脅信息),則將該數據包作為正常數據包輸入預處理模塊6;
步驟6.數據包預處理整個預處理流程由預處模塊6中的IP分片重組單元6.1、 TCP 會話重組單元6.2、應用層規范化單元6.3完成;當IP分片重組單元6.1將由步驟5輸入
的正常數據包,通過提取IP包頭的標志字段,如果分片標志字段無效,則直接將數據包
送入TCP會話重組單元6.2;若分片標志字段有效時,則繼續査看目前的分片重裝表里是 否已有重組該數據包IP凈荷的表項;如果表項不存在則創建一個新的表項并存入IP包頭 和IP凈荷,否則根據IP包頭的偏移字段裝入到己有表項中存儲IP凈荷的指定位置;然后 査看該數據包的IP凈荷是否為最后一個分片,如果是、則重組完成,將IP凈荷和IP包頭 送入到TCP會話重組模塊;否則查看該表項的計時器,如果計時器超時則直接將該表項
中部分重組的IP凈荷和IP數據包發送到TCP會話重組單元6.2;
歩驟6.2. TCP會話重組TCP會話重組單元6.2接收到IP分片重組單元6.1的IP包 頭和重組后的IP凈荷后,判斷其傳輸層協議是否為TCP協議,如果不是TCP協議,則直 接送入到應用層規范化單元6.3;否則,根據IP包頭和重組后的IP凈荷里的IP源目地址、 源目端口號查看目前的會話重組表里是否己有重組該TCP凈荷的表項,本實施方式的會 話重組表是采用通過軟硬件接口從入侵檢測系統索取的TCP連接信息建立的,并實時更 新;如果表項不存在則將IP包頭、TCP包頭、TCP凈荷(其中,TCP包頭和TCP凈荷即 為重組后的IP凈荷)直接送入應用層規范化模塊,否則將TCP凈荷存入到已有表項中存 儲TCP凈荷的指定位置;然后再查看重組后的TCP凈荷是否達到了規定的長度(或者已 完成重組),如果是、則將IP包頭、TCP包頭、重組后的TCP凈荷送入應用層規范化單
元6.3;
步驟6.3.應用層數據規范化處理應用層規范化單元6.3接收到TCP會話重組后的 IP包頭、傳輸層包頭以及重組后的凈荷后,首先判斷應用層協議是否包含HTTP協議以或 Telnet協議;若包含HTTP協議則將HTTP協議URL地址的編碼方式統一為ASCII編碼 方式;若包含Telnet協議,則將Telnet會話流中的冗余協商信息刪除;完成規范化處理后, 將IP包頭、傳輸層包頭以與應用層數據分別送入應用層疑似威脅數據包篩選模塊7;
步驟7.應用層疑似威脅數據包篩選應用層疑似威脅數據包篩選由規則頭匹配單元 7.1、內容匹配單元7.2、疑似威脅數據包輸出單元7.3進行,其具體流程為
步驟7丄規則頭匹配處理規則頭匹配單元7.1將IP包頭和傳輸層協議包頭中的源目IP地址、源目端口號、傳輸層和網絡層的協議類型與規則庫中規則的規則頭進行匹配, 其中由于規則頭中的源目IP地址采用前綴表達,因此直接采用三態內容可尋址存儲器 的方式進行與IP包頭中的源目IP地址的匹配,而規則頭中的端口號一般采用范圍的方式 表達(如60-80),因而采用二叉決策樹方法完成匹配處理;在規則頭匹配完成后,將匹 配結果連同包頭一并送入疑似威脅數據包輸出單元7.3;
步驟7.2.內容匹配處理對送入內容匹配單元7.2內的應用層數據進行常字符串和 正則表達式的匹配,其中應用層數據與規則庫中的常字符串的匹配采用非確定狀態機的 方式進行;而正則表達式的匹配則分三步完成其一、共享所有正則表達式相同的前綴、 中綴、后綴;其二、基于第一步得到的前綴、中綴、后綴共享結構,通過非確定狀態機的 方式生成匹配電路;其三、對正則表達式中的常字符串和復雜運算符再進行優化處理;匹 配完成后,將匹配結果連同應用層數據一并輸入到疑似威脅數據包輸出單元7.3;若任一 匹配結果為含疑似威脅信息數據包,疑似威脅數據包輸出單元7.3則將該數據包經軟硬件 接口8發送到入侵檢測系統A;否則,將該數據包直接丟棄。
本實施方式試運行中網絡交換設備(Cno)為S2403TP-EA型交換機及SRW208型
交換機,總共10臺;每個交換機的鏡像端口速率為1Gbps (吉比特每秒);入侵檢測系統
A為SNORT IDS (SNORT為開發源代碼的入侵檢測系統);
本實施方式篩選器B與各網絡交換設備(d-u))及入侵檢測系統A連接用網卡芯片 采用Marvell公司生產的88E1111,該芯片支持1000兆的網絡連接,總共11個;
運行中,若每套網絡交換設備C輸入的擬進入入侵檢測系統A的流量為lGbps,10套 設備的流量共計10Gbps,本實施方式篩選器將其中95~98%的不含疑似威脅信息的正常數 據包篩選出,而只有《5% (即《500Mbps)的含疑似威脅信息的數據包進入入侵檢測系統 A;從而大幅度降低了入侵檢測系統A的負荷。
10
權利要求
1.一種網絡疑似威脅信息篩選器,包括帶軟硬件接口的現場可編程門陣列器件,其特征在于所述在現場可編程門陣列器件內設有接收網絡交換設備輸出信息的數據聚合模塊,包頭及凈荷分離模塊,網絡層疑似威脅數據包篩選模塊,傳輸層疑似威脅數據包篩選模塊,輸出處理模塊,含IP重組單元、TCP會話重組單元、應用層協議規范化單元的預處理模塊,以及含規則頭匹配單元、內容匹配單元、疑似威脅數據包輸出單元的應用層疑似威脅數據包篩選模塊;上述各模塊中數據聚合模塊與包頭及凈荷分離模塊,輸出處理模塊與預處理模塊、預處理模塊與應用層疑似威脅數據包篩選模塊之間通過對應的輸出、輸入端依次連接,網絡層疑似威脅數據包篩選模塊與傳輸層疑似威脅數據包篩選模塊則并聯于包頭及凈荷分離模塊與輸出處理模塊之間;輸出處理模塊、預處理模塊通過TCP會話重組單元、應用層疑似威脅數據包篩選模塊通過疑似威脅數據包輸出單元分別與軟硬件接口連接。
2. 按權利要求1所述網絡疑似威脅信息篩選器,其特征在于所述網絡層疑似威脅數 據包篩選模塊包括IP疑似威脅信息篩選單元、ICMP疑似威脅信息篩選單元、輸出單元。
3. 按權利要求1所述網絡疑似威脅信息篩選器,其特征在于所述傳輸層疑似威脅數 據包篩選模塊包括TCP疑似威脅信息篩選單元及輸出單元。
4. 按權利要求1所述網絡疑似威脅信息篩選器所采用的篩選處理方法包括-步驟l.聚合處理將網絡中各交換設備輸入數據聚合模塊(1)的數據(信息)進行 聚合處理;步驟2.分離處理將經步驟1聚合處理后輸入包頭及凈荷分離模塊(2)的數據進行 IP包頭、IP凈荷及傳輸協議包頭分離處理,并將IP包頭和IP凈荷與傳輸協議包頭分別輸 入網絡層疑似威脅數據包篩選模塊(3)及傳輸層疑似威脅數據包篩選模塊(4)、以便在 網絡層與傳輸層并行完成非規則攻擊篩選;步驟3.網絡層疑似威脅數據包篩選將經步驟2分離處理后進入網絡層疑似威脅數據包篩選模塊(3)的IP包頭及IP凈荷,按照網絡層協議的規定對含疑似威脅信息的數據包進行篩選,并將篩選結果連同IP包頭、IP凈荷輸入到輸出處理模塊(5);步驟4.傳輸層疑似威脅數據包篩選而經步驟2分離處理后進入傳輸層疑似威脅數 據包篩選模塊(4)的傳輸協議包頭,則按傳輸層協議的規定對含非規則攻擊的疑似威脅 信息的包頭進行篩選,并將篩選結果連同傳輸層協議包頭亦輸入到輸出處理模塊(5);步驟5.輸出處理經步驟3、歩驟4篩選后輸入的篩選結果及其包頭、凈荷,若其中只要有一結果的結論為含疑似威脅信息,則將該數據包作為含非規則疑似威脅信息的數據包,經軟硬件接口 (8)送入侵檢測系統(A);若所有結論均為正常,則將該數據包作 為正常數據包輸入預處理模塊(6);步驟6.數據包預處理將由步驟5輸入的正常數據包通過IP重組單元(6.1)重組IP分片數據、通過TCP會話重組單元(6.2)經軟硬件接口 (8)從入侵檢測系統索取TCP 連接信息表后進行TCP會話重組,再經應用層數據規范化單元(6.3)對數據進行規范化 處理,然后將處理后的IP包頭和傳輸協議包頭與應用層數據分別輸入應用層疑似威脅數 據包篩選模塊中的規則頭匹配單元以及內容匹配單元;步驟7.應用層疑似威脅數據包篩選將由歩驟6輸入的IP包頭和傳輸協議包頭經規則頭匹配單元(7.1)進行規則頭匹配處理,而輸入的應用層數據經內容匹配單元(7.2) 對常字符串及正則表達式進行匹配處理;然后將匹配處理后含疑似威脅信息的數據包由疑 似威脅數據包輸出單元(7.3)經軟硬件接口 (8)送入侵檢測系統;否則,作丟棄處理。
5. 按權利要求4所述篩選處理方法,其特征在于步驟3中所述按照網絡層協議的規 定對含疑似威脅信息的數據包進行篩選,其網絡層協議包括ICMP及IP協議。
6. 按權利要求4所述篩選處理方法,其特征在于步驟4中所述按傳輸層協議的規定 對含非規則攻擊的疑似威脅信息的包頭進行篩選,其傳輸層協議包括TCP。
7. 按權利要求4所述篩選處理方法,其特征在于步驟6中所述對應用層數據進行規 范化處理,包括完成HTTP協議的URL規范化表達及統一編碼方式、刪除Telnet協議中 的協商數據。
全文摘要
該發明屬于網絡安全技術領域中對擬進入檢測系統信息進行篩選的篩選器及篩選方法。篩選器采用對FPGA邏輯資源調配制得的含數據聚合、包頭及凈荷分離、網絡層及傳輸層疑似威脅數據包篩選、輸出處理、預處理、應用層疑似威脅數據包篩選及軟硬件接口在內的功能模塊架構裝置;而篩選方法包括聚合處理、分離處理、網絡層及傳輸層疑似威脅數據包篩選、輸出處理、數據包預處理及應用層疑似威脅數據包篩選,最后僅將含有疑似威脅信息的數據包送入侵檢測系統。從而具有篩選器設計緊湊、處理功能強,與入侵檢測系統配套可大幅度降低入侵檢測系統的負擔,提高檢測效率及檢測系統的利用率,擴大檢測的覆蓋面,降低運行費用,確保網絡安全運行等特點。
文檔編號H04L9/36GK101599963SQ20091005955
公開日2009年12月9日 申請日期2009年6月10日 優先權日2009年6月10日
發明者亮 周, 李廣軍, 楊一波, 潘經緯, 趙文豪, 宇 鄭, 郭志勇, 錢宇平 申請人:電子科技大學