專利名稱:一種網(wǎng)絡(luò)入侵行為檢測系統(tǒng)及檢測方法
技術(shù)領(lǐng)域:
本發(fā)明是一種網(wǎng)絡(luò)入侵行為檢測系統(tǒng)及檢測方法,涉及網(wǎng)絡(luò)安全設(shè)備,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
背景技術(shù):
隨著網(wǎng)絡(luò)的廣泛應(yīng)用,網(wǎng)絡(luò)安全的重點(diǎn)也隨之發(fā)生變化,攻擊的主要目標(biāo)已經(jīng)從TCP/IP等協(xié)議層逐步轉(zhuǎn)變?yōu)閼?yīng)用層的攻擊,越來越多的攻擊行為主要針對特定的應(yīng)用或軟件,因此,對于應(yīng)用層攻擊的檢測與防范已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的新的熱點(diǎn)。
網(wǎng)絡(luò)管理員非常需要同時(shí)具有防火墻和入侵檢測等功能的網(wǎng)關(guān)級設(shè)備,部署在內(nèi)網(wǎng)和外網(wǎng)之間,起到訪問控制和入侵防護(hù)的作用,為內(nèi)網(wǎng)提供安全防護(hù)。
起訪問控制的防火墻設(shè)備,主要是對報(bào)文首部進(jìn)行處理,目前業(yè)界主要的實(shí)現(xiàn)方案及其主要特點(diǎn)是(1)工控機(jī)+軟件產(chǎn)品可靠性差、性能很低、但是開發(fā)周期短、研發(fā)成本低廉(2)ASIC芯片實(shí)現(xiàn)產(chǎn)品可靠性和性能都很高,但是很難擴(kuò)展,其開發(fā)周期長、研發(fā)成本高昂(3)NPU芯片實(shí)現(xiàn)產(chǎn)品可靠性和性能都很高,易于擴(kuò)展,研發(fā)成本和難度具有以上兩種方法之間,其主要優(yōu)勢在于對網(wǎng)絡(luò)報(bào)文報(bào)頭部分的處理性能很高,對于更復(fù)雜的數(shù)據(jù)部分很難處理,既網(wǎng)絡(luò)層性能很高,但是,對于應(yīng)用層處理很困難入侵檢測設(shè)備,主要是對報(bào)文數(shù)據(jù)部分進(jìn)行處理,由于其復(fù)雜性,目前基本上都是使用“工控機(jī)+軟件”的方式來實(shí)現(xiàn),效率非常低,吞吐率在10M的級別,成為網(wǎng)絡(luò)的瓶頸。
發(fā)明內(nèi)容
本發(fā)明的正是針對現(xiàn)有技術(shù)及設(shè)備中存在的問題和不足而設(shè)計(jì)提供了一種網(wǎng)絡(luò)入侵行為檢測系統(tǒng)及檢測方法,該系統(tǒng)將具有快速處理應(yīng)用層網(wǎng)絡(luò)數(shù)據(jù)的模式匹配芯片與網(wǎng)絡(luò)處理器相結(jié)合,實(shí)現(xiàn)了防火墻和入侵檢測設(shè)備的功能,其目的是大幅提高了性能,吞吐率在1000M的級別。
本發(fā)明的目的是通過以下措施來實(shí)現(xiàn)的該措施包括一種網(wǎng)絡(luò)入侵行為檢測系統(tǒng)和用于該系統(tǒng)的檢測方法,其中該網(wǎng)絡(luò)入侵行為檢測系統(tǒng),其特征在于該系統(tǒng)包括網(wǎng)絡(luò)處理器、高速交換裝置、高速緩存和內(nèi)容過濾器,其中,網(wǎng)絡(luò)處理器和內(nèi)容過濾器通過高速交換裝置與高速緩存實(shí)現(xiàn)數(shù)據(jù)交換的雙向連接,其中,內(nèi)容過濾器由流重組單元、流重組內(nèi)存和模式匹配芯片連接構(gòu)成,流重組單元和流重組內(nèi)存將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲。
用于上述網(wǎng)絡(luò)入侵行為檢測系統(tǒng)的檢測方法,其特征在于該方法的步驟為(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后,首先由網(wǎng)絡(luò)處理器對網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測,通過規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲到高速緩存中,進(jìn)行下一步,否則丟棄;(2)把存儲到高速緩存中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流,并且存儲到流重組內(nèi)存中;(3)模式匹配芯片從流重組內(nèi)存中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流,用入侵規(guī)則進(jìn)行匹配,通過檢查的轉(zhuǎn)發(fā),否則丟棄。
與現(xiàn)有設(shè)備相比,上述系統(tǒng)中增加了由流重組單元、流重組內(nèi)存和模式匹配芯片連接構(gòu)成的內(nèi)容過濾器,其中最重要的部分是模式匹配芯片,模式匹配芯片能夠?qū)W(wǎng)絡(luò)報(bào)文的數(shù)據(jù)流進(jìn)行快速的匹配,該種快速匹配的特點(diǎn)正好適合于入侵規(guī)則與網(wǎng)絡(luò)數(shù)據(jù)流之間的匹配檢查,將其與現(xiàn)在的網(wǎng)絡(luò)處理器相結(jié)合,就能在不影響網(wǎng)絡(luò)數(shù)據(jù)流傳輸速度的前提下,對其進(jìn)行入侵行為的檢測。
為了將模式匹配芯片與網(wǎng)絡(luò)處理器相結(jié)合,需要提供一個(gè)高速緩存與兩者連接,其作用是將網(wǎng)絡(luò)處理器處理后的網(wǎng)絡(luò)報(bào)文存儲起來,為下一步提供給模式匹配芯片作入侵規(guī)則的匹配檢查作準(zhǔn)備。
為了將模式匹配芯片與網(wǎng)絡(luò)處理器相結(jié)合,還需要重新設(shè)計(jì)一個(gè)與兩者工作模式相適應(yīng)的處理方法,該方法的的特點(diǎn)是將網(wǎng)絡(luò)處理器處理后的網(wǎng)絡(luò)報(bào)文進(jìn)行重組,重組的作用是提高是匹配的準(zhǔn)確性。
圖1是本發(fā)明網(wǎng)絡(luò)入侵行為檢測系統(tǒng)的原理框2是本發(fā)明網(wǎng)絡(luò)處理器工作的軟件流程3是本發(fā)明流重組單元工作的軟件流程4是本發(fā)明模式匹配芯片工作的軟件流程圖具體實(shí)施方式
以下將結(jié)合附圖和實(shí)施例對本發(fā)明技術(shù)方案作進(jìn)一步地詳述參見附圖1所示,該種網(wǎng)絡(luò)入侵行為檢測系統(tǒng),包括Hifn NP4G3網(wǎng)絡(luò)處理器1、PCI-X高速交換裝置2、CAM高速緩存3和內(nèi)容過濾器4,其中,網(wǎng)絡(luò)處理器1和內(nèi)容過濾器4通過高速交換裝置2與高速緩存3實(shí)現(xiàn)數(shù)據(jù)交換的雙向連接,其中,內(nèi)容過濾器4由流重組單元5、流重組內(nèi)存6和進(jìn)行入侵規(guī)則匹配處理的模式匹配芯片7連接構(gòu)成,模式匹配芯片7采用IDT CIE PAX.ware 2500,流重組單元5和流重組內(nèi)存6將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲。
網(wǎng)絡(luò)處理器1的工作過程通過其內(nèi)部存儲的軟件來控制實(shí)現(xiàn),其軟件流程圖如圖2所示。
流程組單元5和流重組內(nèi)存6被編程并定義于CPU內(nèi),其工作過程通過其內(nèi)部存儲的軟件來控制實(shí)現(xiàn),其軟件流程圖如圖3所示。
模式匹配芯片7的工作過程通過其內(nèi)部存儲的軟件來控制實(shí)現(xiàn),其軟件流程圖如圖4所示。
上述系統(tǒng)在工作過程中,其對網(wǎng)絡(luò)入侵行為的檢測方法采用如下步驟完成(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后,首先由網(wǎng)絡(luò)處理器1對網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測,其狀態(tài)信息存儲在專門的狀態(tài)表中,并且和安全規(guī)則表進(jìn)行匹配,其工作過程參見附圖2所示,通過規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲到高速緩存3中,進(jìn)行下一步,否則丟棄;(2)把存儲到高速緩存3中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流,其工作過程參見附圖3所示,并且存儲到流重組內(nèi)存6中,流重組內(nèi)存6被定義采用高速緩存3中的一部分;(3)模式匹配芯片7從流重組內(nèi)存6中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流,和預(yù)先定義的入侵規(guī)則進(jìn)行匹配,如果沒有發(fā)現(xiàn)入侵特征,則允許該訪問通過,其工作過程參見附圖4所示,通過檢查的轉(zhuǎn)發(fā),否則丟棄。
本發(fā)明技術(shù)方案提供了一種以非常高的性能解決網(wǎng)絡(luò)層的安全訪問控制、和應(yīng)用層的安全入侵防范的系統(tǒng)和檢測方法。突破了目前技術(shù)的障礙,使得(1)網(wǎng)絡(luò)層訪問控制,即防火墻功能,性能大幅提高,64字節(jié)小包可達(dá)到千兆雙向線速(2)應(yīng)用層入侵行為分析,即入侵檢測功能,性能大幅提高,吞吐可達(dá)到1000Mb/s級別;由于使用了流重組技術(shù),誤報(bào)率降低。
(3)有很好的擴(kuò)展性,可滿足日益變化的攻擊方式
權(quán)利要求
1.一種網(wǎng)絡(luò)入侵行為檢測系統(tǒng),其特征在于該系統(tǒng)包括網(wǎng)絡(luò)處理器(1)、高速交換裝置(2)、高速緩存(3)和內(nèi)容過濾器(4),其中,網(wǎng)絡(luò)處理器(1)和內(nèi)容過濾器(4)通過高速交換裝置(2)與高速緩存(3)實(shí)現(xiàn)數(shù)據(jù)交換的雙向連接,其中,內(nèi)容過濾器(4)由流重組單元(5)、流重組內(nèi)存(6)和模式匹配芯片(7)連接構(gòu)成,流重組單元(5)和流重組內(nèi)存(6)將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲。
2.一種用于上述權(quán)利要求1所述網(wǎng)絡(luò)入侵行為檢測系統(tǒng)的檢測方法,其特征在于該方法的步驟為(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后,首先由網(wǎng)絡(luò)處理器(1)對網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測,通過規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲到高速緩存(3)中,進(jìn)行下一步,否則丟棄;(2)把存儲到高速緩存(3)中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流,并且存儲到流重組內(nèi)存(6)中;(3)模式匹配芯片(7)從流重組內(nèi)存(6)中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流,用入侵規(guī)則進(jìn)行匹配,通過檢查的轉(zhuǎn)發(fā),否則丟棄。
全文摘要
本發(fā)明是一種網(wǎng)絡(luò)入侵行為檢測系統(tǒng)及檢測方法,該系統(tǒng)包括網(wǎng)絡(luò)處理器、高速交換裝置、高速緩存和內(nèi)容過濾器,其中,內(nèi)容過濾器由流重組單元、流重組內(nèi)存和模式匹配芯片連接構(gòu)成,流重組單元和流重組內(nèi)存將網(wǎng)絡(luò)報(bào)文重組為網(wǎng)絡(luò)數(shù)據(jù)流并存儲,該方法的步驟為(1)網(wǎng)絡(luò)報(bào)文進(jìn)入該系統(tǒng)后,首先由網(wǎng)絡(luò)處理器對網(wǎng)絡(luò)報(bào)文首部進(jìn)行狀態(tài)檢測,通過規(guī)則檢查的網(wǎng)絡(luò)報(bào)文存儲到高速緩存中,進(jìn)行下一步,否則丟棄;(2)把存儲到高速緩存中的網(wǎng)絡(luò)報(bào)文重組成網(wǎng)絡(luò)數(shù)據(jù)流,并且存儲到流重組內(nèi)存中;(3)模式匹配芯片從流重組內(nèi)存中提取重組后完整的網(wǎng)絡(luò)數(shù)據(jù)流,用入侵規(guī)則進(jìn)行匹配,通過檢查的轉(zhuǎn)發(fā),否則丟棄。
文檔編號H04L29/06GK101051966SQ200710108000
公開日2007年10月10日 申請日期2007年5月22日 優(yōu)先權(quán)日2007年5月22日
發(fā)明者肖為劍, 宋斌, 王剛, 胡兆博, 孫然, 程勇 申請人:網(wǎng)御神州科技(北京)有限公司