專利名稱:一種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)及檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明是一種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)及檢測(cè)方法��,涉及網(wǎng)絡(luò)安全設(shè)備��,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
背景技術(shù):
隨著網(wǎng)絡(luò)的廣泛應(yīng)用�����,網(wǎng)絡(luò)安全的重點(diǎn)也隨之發(fā)生變化��,攻擊的主要目標(biāo)已經(jīng)從TCP/IP等協(xié)議層逐步轉(zhuǎn)變?yōu)閼?yīng)用層的攻擊��,越來(lái)越多的攻擊行為主要針對(duì)特定的應(yīng)用或軟件����,因此,對(duì)于應(yīng)用層攻擊的檢測(cè)與防范已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的新的熱點(diǎn)����。
網(wǎng)絡(luò)管理員非常需要同時(shí)具有防火墻和入侵檢測(cè)等功能的網(wǎng)關(guān)級(jí)設(shè)備����,部署在內(nèi)網(wǎng)和外網(wǎng)之間,起到訪問(wèn)控制和入侵防護(hù)的作用�����,為內(nèi)網(wǎng)提供安全防護(hù)�����。
起訪問(wèn)控制的防火墻設(shè)備,主要是對(duì)報(bào)文首部進(jìn)行處理��,目前業(yè)界主要的實(shí)現(xiàn)方案及其主要特點(diǎn)是(1)工控機(jī)+軟件產(chǎn)品可靠性差��、性能很低�����、但是開發(fā)周期短����、研發(fā)成本低廉(2)ASIC芯片實(shí)現(xiàn)產(chǎn)品可靠性和性能都很高,但是很難擴(kuò)展�,其開發(fā)周期長(zhǎng)、研發(fā)成本高昂(3)NPU芯片實(shí)現(xiàn)產(chǎn)品可靠性和性能都很高�����,易于擴(kuò)展��,研發(fā)成本和難度具有以上兩種方法之間���,其主要優(yōu)勢(shì)在于對(duì)網(wǎng)絡(luò)報(bào)文報(bào)頭部分的處理性能很高����,對(duì)于更復(fù)雜的數(shù)據(jù)部分很難處理,既網(wǎng)絡(luò)層性能很高����,但是,對(duì)于應(yīng)用層處理很困難入侵檢測(cè)設(shè)備�����,主要是對(duì)報(bào)文數(shù)據(jù)部分進(jìn)行處理���,由于其復(fù)雜性�,目前基本上都是使用“工控機(jī)+軟件”的方式來(lái)實(shí)現(xiàn)�,效率非常低,吞吐率在10M的級(jí)別�,成為網(wǎng)絡(luò)的瓶頸。
發(fā)明內(nèi)容
本發(fā)明的正是針對(duì)現(xiàn)有技術(shù)及設(shè)備中存在的問(wèn)題和不足而設(shè)計(jì)提供了一種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)及檢測(cè)方法�����,該系統(tǒng)將具有快速處理應(yīng)用層網(wǎng)絡(luò)數(shù)據(jù)的模式匹配芯片與網(wǎng)絡(luò)處理器相結(jié)合���,實(shí)現(xiàn)了防火墻和入侵檢測(cè)設(shè)備的功能,其目的是大幅提高了性能,吞吐率在1000M的級(jí)別��。
本發(fā)明的目的是通過(guò)以下措施來(lái)實(shí)現(xiàn)的該措施包括一種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)和用于該系統(tǒng)的檢測(cè)方法����,其中該網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng),其特征在于該系統(tǒng)包括網(wǎng)絡(luò)處理器����、高速交換裝置、高速緩存和內(nèi)容過(guò)濾器���,其中��,網(wǎng)絡(luò)處理器和內(nèi)容過(guò)濾器通過(guò)高速交換裝置與高速緩存實(shí)現(xiàn)數(shù)據(jù)交換的雙向連接���,其中,內(nèi)容過(guò)濾器由流重組單元����、流重組內(nèi)存和模式匹配芯片連接構(gòu)成,流重組單元和流重組內(nèi)存將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲(chǔ)�����。
用于上述網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)的檢測(cè)方法,其特征在于該方法的步驟為(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后�����,首先由網(wǎng)絡(luò)處理器對(duì)網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測(cè)�,通過(guò)規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲(chǔ)到高速緩存中,進(jìn)行下一步�,否則丟棄;(2)把存儲(chǔ)到高速緩存中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流����,并且存儲(chǔ)到流重組內(nèi)存中;(3)模式匹配芯片從流重組內(nèi)存中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流�����,用入侵規(guī)則進(jìn)行匹配���,通過(guò)檢查的轉(zhuǎn)發(fā)�����,否則丟棄�。
與現(xiàn)有設(shè)備相比�,上述系統(tǒng)中增加了由流重組單元、流重組內(nèi)存和模式匹配芯片連接構(gòu)成的內(nèi)容過(guò)濾器����,其中最重要的部分是模式匹配芯片,模式匹配芯片能夠?qū)W(wǎng)絡(luò)報(bào)文的數(shù)據(jù)流進(jìn)行快速的匹配���,該種快速匹配的特點(diǎn)正好適合于入侵規(guī)則與網(wǎng)絡(luò)數(shù)據(jù)流之間的匹配檢查���,將其與現(xiàn)在的網(wǎng)絡(luò)處理器相結(jié)合,就能在不影響網(wǎng)絡(luò)數(shù)據(jù)流傳輸速度的前提下��,對(duì)其進(jìn)行入侵行為的檢測(cè)����。
為了將模式匹配芯片與網(wǎng)絡(luò)處理器相結(jié)合,需要提供一個(gè)高速緩存與兩者連接�����,其作用是將網(wǎng)絡(luò)處理器處理后的網(wǎng)絡(luò)報(bào)文存儲(chǔ)起來(lái)�,為下一步提供給模式匹配芯片作入侵規(guī)則的匹配檢查作準(zhǔn)備。
為了將模式匹配芯片與網(wǎng)絡(luò)處理器相結(jié)合��,還需要重新設(shè)計(jì)一個(gè)與兩者工作模式相適應(yīng)的處理方法��,該方法的的特點(diǎn)是將網(wǎng)絡(luò)處理器處理后的網(wǎng)絡(luò)報(bào)文進(jìn)行重組,重組的作用是提高是匹配的準(zhǔn)確性�����。
圖1是本發(fā)明網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)的原理框2是本發(fā)明網(wǎng)絡(luò)處理器工作的軟件流程3是本發(fā)明流重組單元工作的軟件流程4是本發(fā)明模式匹配芯片工作的軟件流程圖具體實(shí)施方式
以下將結(jié)合附圖和實(shí)施例對(duì)本發(fā)明技術(shù)方案作進(jìn)一步地詳述參見(jiàn)附圖1所示���,該種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)�,包括Hifn NP4G3網(wǎng)絡(luò)處理器1�、PCI-X高速交換裝置2、CAM高速緩存3和內(nèi)容過(guò)濾器4����,其中,網(wǎng)絡(luò)處理器1和內(nèi)容過(guò)濾器4通過(guò)高速交換裝置2與高速緩存3實(shí)現(xiàn)數(shù)據(jù)交換的雙向連接����,其中,內(nèi)容過(guò)濾器4由流重組單元5�����、流重組內(nèi)存6和進(jìn)行入侵規(guī)則匹配處理的模式匹配芯片7連接構(gòu)成�,模式匹配芯片7采用IDT CIE PAX.ware 2500,流重組單元5和流重組內(nèi)存6將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲(chǔ)。
網(wǎng)絡(luò)處理器1的工作過(guò)程通過(guò)其內(nèi)部存儲(chǔ)的軟件來(lái)控制實(shí)現(xiàn)�����,其軟件流程圖如圖2所示����。
流程組單元5和流重組內(nèi)存6被編程并定義于CPU內(nèi)�,其工作過(guò)程通過(guò)其內(nèi)部存儲(chǔ)的軟件來(lái)控制實(shí)現(xiàn),其軟件流程圖如圖3所示�����。
模式匹配芯片7的工作過(guò)程通過(guò)其內(nèi)部存儲(chǔ)的軟件來(lái)控制實(shí)現(xiàn)����,其軟件流程圖如圖4所示。
上述系統(tǒng)在工作過(guò)程中����,其對(duì)網(wǎng)絡(luò)入侵行為的檢測(cè)方法采用如下步驟完成(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后,首先由網(wǎng)絡(luò)處理器1對(duì)網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測(cè)��,其狀態(tài)信息存儲(chǔ)在專門的狀態(tài)表中���,并且和安全規(guī)則表進(jìn)行匹配�����,其工作過(guò)程參見(jiàn)附圖2所示����,通過(guò)規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲(chǔ)到高速緩存3中,進(jìn)行下一步�����,否則丟棄��;(2)把存儲(chǔ)到高速緩存3中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流�,其工作過(guò)程參見(jiàn)附圖3所示,并且存儲(chǔ)到流重組內(nèi)存6中�,流重組內(nèi)存6被定義采用高速緩存3中的一部分;(3)模式匹配芯片7從流重組內(nèi)存6中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流��,和預(yù)先定義的入侵規(guī)則進(jìn)行匹配����,如果沒(méi)有發(fā)現(xiàn)入侵特征,則允許該訪問(wèn)通過(guò)��,其工作過(guò)程參見(jiàn)附圖4所示,通過(guò)檢查的轉(zhuǎn)發(fā)��,否則丟棄����。
本發(fā)明技術(shù)方案提供了一種以非常高的性能解決網(wǎng)絡(luò)層的安全訪問(wèn)控制、和應(yīng)用層的安全入侵防范的系統(tǒng)和檢測(cè)方法�����。突破了目前技術(shù)的障礙�,使得(1)網(wǎng)絡(luò)層訪問(wèn)控制����,即防火墻功能,性能大幅提高��,64字節(jié)小包可達(dá)到千兆雙向線速(2)應(yīng)用層入侵行為分析�����,即入侵檢測(cè)功能���,性能大幅提高�����,吞吐可達(dá)到1000Mb/s級(jí)別�����;由于使用了流重組技術(shù)���,誤報(bào)率降低���。
(3)有很好的擴(kuò)展性,可滿足日益變化的攻擊方式
權(quán)利要求
1.一種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)�,其特征在于該系統(tǒng)包括網(wǎng)絡(luò)處理器(1)、高速交換裝置(2)����、高速緩存(3)和內(nèi)容過(guò)濾器(4),其中����,網(wǎng)絡(luò)處理器(1)和內(nèi)容過(guò)濾器(4)通過(guò)高速交換裝置(2)與高速緩存(3)實(shí)現(xiàn)數(shù)據(jù)交換的雙向連接,其中��,內(nèi)容過(guò)濾器(4)由流重組單元(5)����、流重組內(nèi)存(6)和模式匹配芯片(7)連接構(gòu)成��,流重組單元(5)和流重組內(nèi)存(6)將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲(chǔ)�����。
2.一種用于上述權(quán)利要求1所述網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)的檢測(cè)方法�����,其特征在于該方法的步驟為(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后�,首先由網(wǎng)絡(luò)處理器(1)對(duì)網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測(cè)��,通過(guò)規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲(chǔ)到高速緩存(3)中�,進(jìn)行下一步�,否則丟棄;(2)把存儲(chǔ)到高速緩存(3)中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流�����,并且存儲(chǔ)到流重組內(nèi)存(6)中���;(3)模式匹配芯片(7)從流重組內(nèi)存(6)中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流��,用入侵規(guī)則進(jìn)行匹配�,通過(guò)檢查的轉(zhuǎn)發(fā),否則丟棄��。
全文摘要
本發(fā)明是一種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)及檢測(cè)方法�����,該系統(tǒng)包括網(wǎng)絡(luò)處理器�����、高速交換裝置���、高速緩存和內(nèi)容過(guò)濾器�,其中�����,內(nèi)容過(guò)濾器由流重組單元�、流重組內(nèi)存和模式匹配芯片連接構(gòu)成,流重組單元和流重組內(nèi)存將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲(chǔ)�����,該方法的步驟為(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后,首先由網(wǎng)絡(luò)處理器對(duì)網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測(cè)�,通過(guò)規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲(chǔ)到高速緩存中,進(jìn)行下一步�,否則丟棄;(2)把存儲(chǔ)到高速緩存中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流���,并且存儲(chǔ)到流重組內(nèi)存中�;(3)模式匹配芯片從流重組內(nèi)存中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流�,用入侵規(guī)則進(jìn)行匹配,通過(guò)檢查的轉(zhuǎn)發(fā)���,否則丟棄��。
文檔編號(hào)H04L29/06GK101051966SQ200710108000
公開日2007年10月10日 申請(qǐng)日期2007年5月22日 優(yōu)先權(quán)日2007年5月22日
發(fā)明者肖為劍, 宋斌, 王剛, 胡兆博, 孫然, 程勇 申請(qǐng)人:網(wǎng)御神州科技(北京)有限公司