一種智能協議解析方法及裝置的製作方法
2023-05-27 08:00:06 1
專利名稱:一種智能協議解析方法及裝置的製作方法
技術領域:
本發明一種智能協議解析方法及裝置涉及以交換為功能的網絡,是一種以協議為特徵的,防止未經允許從數據傳輸信道取數據的通信控制/處理的方法和裝置。是一種入侵檢測/防禦(Intrusion Detection/Protection System,IDS/IPS)及審計產品中的智能協議解析方法及裝置。
背景技術:
入侵檢測/防禦系統(IDS/IPS)作為網絡安全防護的重要手段,通常部署在關鍵網絡內部/網絡邊界入口處,實時捕獲網絡內或進出網絡的報文數據流並進行智能綜合分析,發現可能的入侵行為並進行實時阻斷。應用層協議深層解析技術在當前主流IDS/IPS產品中被廣泛採用,可用來實現基於協議攻擊特徵和協議異常的入侵檢測。目前多數IDS/IPS產品都基於埠映射表或靜態的報文特徵來判別網絡報文所屬協議類型,比如,如發現捕獲的網絡報文中源/目埠為80,則認為它為HTTP(Hypertext Transfer Protocol)協議報文,將該報文交給HTTP協議分析引擎進行協議解碼和入侵檢測;又如在數據包中發現「%13BitTorrent%20Protocol」則認定為BitTorrent(常用P2P軟體)協議數據包。通常這種埠映射表及特徵欄位匹配模式在IDS/IPS產品出廠時已確定,但允許管理員修改以適應實際環境的需要。但是近年來,隨著網絡協議的發展出現了一批新型的網絡應用協議,包括SIP(Session InitiationProtocol)和P2P(Peer to peer protocol)協議等,它們並不採用固定協議埠,而是在協議運行過程中動態協商埠;此外,目前各種木馬、P2P軟體為躲避IDS/IPS產品的入侵檢測或審計都採用了一些特殊的處理方式,主要表現為1)不使用固定通信埠進行通信;2)復用公開埠進行私有協議通信(比如某些P2P軟體使用已知公開協議埠);3)採用已知公開協議的傳輸工具;4)不同版本的應用軟體採用不同的數據封裝格式。在這種情況下,IDS/IPS產品無法根據埠映射表或特定的欄位模式匹配來正確識別報文所屬協議類型或具體的軟體使用情況,給某些特定的需求帶來了很大的麻煩,這就需要根據網絡協議運行行為特徵智能識別報文所屬協議類別,否則對於協議的深入分析將造成很多的錯誤。此外,對於某些私有的軟體使用的協議在不同的驅動版本當中會出現不同的封裝格式和命令(欄位長度調整或偏移量的改變),這就給協議的準確解析帶來了額外的難度,必須針對不同版本進行不同的解析實現。
發明內容
為了克服現有技術的不足,本發明的目的是提供一種智能協議修正分析方法及裝置。所述方法和裝置使用不單純依賴於協議埠和靜態協議特徵欄位匹配的智能協議分析技術,並在軟體的不同版本使用時能夠自動調整解析格式給出準確的協議分析結果,提高了協議分析的準確性。該智能協議分析技術可以滿足以下要求結合傳統的協議識別方法,智能地根據實際協議運行行為特徵判斷報文所使用的協議類型及版本號等相關信息;對於某些具體協議版本變動帶來的格式變化採用自動調整解析方式給出不同版本的協議解析方法,以儘可能提高入侵檢測及審計的準確性;具有非常高的協議識別效率,算法實現儘可能簡單;方法通用性強,並要求協議解析結果準確率高。
本發明解決其技術問題所採用的技術方案是一種智能協議分析方法,其特徵在於所述的步驟
建立協議特徵模型步驟;協議識別步驟;協議智能分析修正步驟。
所述的建立協議特徵模型步驟的子步驟協議靜態欄位匹配子步驟;相應協議運行時行為特徵模型的建立子步驟。
所述的相應協議運行時行為特徵模型的建立子步驟中分別運行的分步驟對於能夠準確提取靜態匹配模式的協議,直接提取協議樣本當中的命令或靜態標識欄位作為匹配規則的分步驟;所述的協議靜態特徵提取方法是針對單獨的數據包,提取其中可以單獨標識協議使用的特徵作為匹配規則,如命令、狀態碼、固定報頭中連續欄位中獨有的協議格式及描述;對於無法準確提取匹配特徵的協議,建立協議運行期間行為狀態模型作為識別標準,以此建立特定的行為特徵序列作為行為特徵序列模型的分步驟;所述的協議行為特徵序列模型提取規則建立方法是依賴於一系列信息交互過程使用數據挖掘關聯技術提取相關聯的協議運行行為特徵,並依靠自學習方法提取相對應的一個或多個特徵序列;其行為特徵包括協議交互邏輯順序、相關命令、特定協議動作的操作過程及其它可以唯一標識該協議行為的特徵規則。
所述的協議識別步驟的子步驟協議靜態欄位快速匹配子步驟;協議行為特徵序列模型的匹配子步驟。
所述的協議識別步驟的協議靜態欄位快速匹配子步驟中的分步驟將IP報文應用層數據作為文本輸入的分步驟;將所有協議靜態特徵作為模式集合,採用多模式配算法找到IP報文所屬的可能協議集合的分步驟。
所述的協議識別步驟的協議行為特徵序列模型的匹配子步驟中的分步驟將協議靜態特徵匹配結果集作為輸入分步驟(當靜態特徵匹配無法唯一的識別協議);
將所有協議運行行為特徵序列作為模式集合,採用多模式配算法找到IP報文所屬的可能協議集合分步驟。
所述的協議識別步驟的相應協議運行時行為特徵模型的建立子步驟中所述的協議靜態特徵匹配規則及行為特徵匹配規則建立方法採用控制流圖的步驟,控制流圖有一個假節點,有多個真節點;除真和假節點外,控制流圖中每一個節點表示一條協議靜態特徵匹配規則布爾邏輯,其執行結果為真或假;從根節點開始執行,直到遇到真或假節點為止。
所述的協議智能分析修正步驟,對於無法準確解析協議數據包進行自動化解析格式調整嘗試準確解析的子步驟分析欄位大小的變更子步驟;分析欄位偏移量的改變子步驟;分析欄位順序的變化子步驟。
一種智能協議分析裝置,其特徵在於包括協議靜態規則庫、協議行為特徵模型庫、協議靜態規則匹配引擎、協議行為特徵匹配引擎、協議解析引擎和智能分析修正嘗試模塊;所述的協議靜態規則庫與協議靜態匹配引擎連接;所述的協議行為特徵模型庫與協議行為特徵匹配引擎連接;協議行為特徵匹配引擎與協議解析引擎連接;協議解析引擎與智能分析修正嘗試模塊連接。
本發明的有益效果是,本發明解決了傳統IDS/IPS產品中對於非標準埠或不具備靜態數據包特徵欄位的網絡協議的識別問題,同時對於某些應用軟體或協議不同的版本等原因產生的解析結果錯誤可以提供自動化的修正工作。本發明能夠在網絡協議通信過程中根據報文當中攜帶的協議行為特徵準確識別所屬協議類型及版本,並對於未知版本和命令採用智能分析修正嘗試方法對協議進行深入解析。與已有方法相比,本發明可以基於網絡協議通信過程中的協議行為特徵識別出所屬協議類別及版本,而不單純依賴於固定埠和靜態的欄位特徵匹配,可以對所有無固定埠及靜態欄位特徵的協議進行識別,同時對於某些未知的版本等原因帶來的協議解析錯誤進行智能分析修正得到更準確的解析結果,並且具有協議分析速度快和準確率高等優點,可廣泛應用於IDS/IPS、審計等所有需要協議分析的網絡安全產品中。
下面結合附圖和實施例對本發明作進一步敘述。
圖1為本發明的協議分析方法裝置工作流程圖;圖2為智能分析修正嘗試模塊工作流程圖。
圖3為BITTORRENT協議行為特徵匹配規則提取舉例;圖4為智能協議分析裝置的原理示意圖。
具體實施例方式
本發明所述協議分析過程主要包括三個工作階段,也就是三個重要步驟建立協議特徵模型步驟;協議識別步驟;協議智能分析修正步驟。
協議特徵模型建立階段、協議識別階段和智能協議分析階段,各階段步驟如下(見圖1)A.建立協議特徵模型步驟本步驟是協議樣本特徵提取階段。依據協議靜態特徵提取方法從協議類型樣本中提取該類協議的協議靜態特徵。依據協議實際運行過程從中提取協議行為特徵並建立該類協議相應的行為特徵序列規則集。
將提取的協議靜態特徵和相應協議運行行為特徵序列規則集分別存儲到協議靜態特徵庫和協議行為特徵序列規則庫中,供協議識別階段靜態特徵匹配引擎和協議行為特徵序列匹配引擎使用。
對於能夠準確提取靜態匹配模式的協議,直接提取協議樣本當中的命令或靜態標識欄位作為匹配規則的分步驟;所述的協議靜態特徵提取方法是針對單獨的數據包,提取其中可以單獨標識協議使用的特徵作為匹配規則,如命令、狀態碼、固定報頭中連續欄位中獨有的協議格式及描述;對於無法準確提取匹配特徵的協議,建立協議運行期間行為狀態模型作為識別標準,以此建立特定的行為特徵序列作為行為特徵序列模型的分步驟;所述的協議行為特徵序列模型提取規則建立方法是依賴於一系列信息交互過程使用數據挖掘關聯技術提取相關聯的協議運行行為特徵,並依靠自學習方法提取相對應的一個或多個特徵序列;其行為特徵包括協議交互邏輯順序、相關命令、特定協議動作的操作過程及其它可以唯一標識該協議行為的特徵規則。
B.協議識別階段將IP報文應用層數據作為文本輸入,首先將所有靜態匹配特徵作為模式集合,採用多模式配算法找到IP報文所屬的可能協議集合。
對於可能的協議集合,如果結果不唯一,採用協議行為特徵匹配,依靠建立的行為特徵序列對於協議運行的數據包序列進行匹配。因為協議行為特徵的獨立性可唯一確定所使用的協議及其它相關信息(如版本號)。
捕獲未知協議類型數據流IP報文,從應用層載荷中提取所有可能協議靜態特徵,採用多模式匹配算法與協議靜態特徵庫中各特徵進行匹配,識別出可能的協議集合。
對於上述可能協議集合中每一協議,調用相應的協議行為特徵序列規則進行進一步的匹配,如果協議行為特徵序列匹配通過,則識別出該IP報文所屬正確協議類型,否則繼續執行下一個候選協議相關驗證規則,直到識別出正確協議為止。
當識別出IP報文所屬協議類型並且經過智能分析修正得到正確解析格式之後,創建一個源IP,目IP,源埠,目埠,協議ID五元組,從而使得屬於該協議數據流的後續報文直接以正確解析方法進行解析,以減輕裝置計算開銷。
本方法當中除了傳統的協議靜態特徵匹配之外添加了行為特徵識別階段和智能解析修正階段,一般需要捕獲到應用協議初期交互過程中3-5回合(以提取的行為特徵序列長度為準)中帶應用數據載荷的報文,而對於確定解析格式及方法之後的報文無需進行重複的行為特徵識別和修正,因此具有很好的協議解析速度。
本協議分析方法為每一類型協議建立一個協議靜態特徵集合和唯一的行為特徵集合。其中的靜態特徵一般是一個有限長度的連續字節串;而行為特徵一般是一個有限長度的特徵字串序列。在協議運行過程中,首先使用靜態特徵匹配規則判斷報文所屬協議類型,限定可能使用的協議和軟體的集合。在此基礎上對於可能的協議類型進行行為特徵檢測就可以唯一的確定其所屬協議類型。
實施例1(BitTorrent協議靜態特徵)%13BitTorrent%20Protocol可以標識BitTorrent協議或使用BitTorrent協議工作的軟體通信過程中的BitTorrent消息類型,可以用它來作為BitTorrent協議靜態識別規則;建立BITTORRENT協議靜態識別規則集文本中必須含有」Bittorrent」字串;等等,如實際數據包樣本為GET/announce?info_hash=%OD%40_%F3%0A%269%81%94%B9/%B80%5EC%8A%8A%9A%9C%E5peer_id=Plus---tL3l5oWGtwZ9oport=9096uploaded=0downloaded=0left=28742712event=started HTTP/1.0..Hostbtfans.3322.org8000..Accept-encodinggzip..User-agentBitTorrent/Plus!II 1.02 RC1....
但是某些情況下對於具體的軟體或版本進行判斷比較困難,例如發現某一IP報文攜帶協議靜態特徵「HTTP」,則該IP報文所屬協議類型為HTTP的可能性很大,但是無法唯一的確定是何種軟體在使用。此時單純基於協議靜態匹配特徵得到的協議分析或審計結果可能錯誤,因此需要進一步的使用行為特徵匹配規則來確定協議識別結果正確性。本協議分析方法在使用靜態特徵匹配的同時使用了協議行為特徵識別方法。因為對於任何一種應用軟體來說,無論使用何種協議必然有其特定的行為特徵。依賴於具體的行為特徵進行協議識別將大大提高識別的準確性。協議行為特徵集與具體協議應用相關,集合中每一條規則包含一系列的行為特徵,而這個行為特徵序列唯一的標識了將一個IP報文判別為該類型協議時該IP報文必須滿足的準則。因此,可以將為某一協議類型建立的協議行為特徵集看作是該類型協議規範的一個必要條件集合。
實施例2(BitTorrent協議行為特徵)首先使用與tracker伺服器交互的track HTTP協議1)client向tracker發一個HTTP的GET請求該步驟特徵為GET/announce.....HTTP/1.0發送給Tracker的GET請求,包含關鍵字Bittorent2)tracker將同一個文件的下載者的信息返回給對方,該步驟特徵為用bencoded編碼的字典列表Peers地址和埠。
3)BitTorrent客戶端按照得到的peer列表以此發送連接請求。該步驟特徵為對於每個peer的連接請求都包括「BitTorrent」關鍵字。
協議特徵提取;主要將特徵提取分為兩個步驟,首先是協議數據包靜態特徵提取。這部分主要依賴於單個數據包即可對協議進行初步判斷,包括文本命令格式協議;固定報頭格式協議和無固定格式協議。在此步驟中,儘可能多的提取協議數據包當中攜帶的特徵欄位以縮小行為特徵匹配的範圍。接下來是協議運行行為特徵的提取,這部分針對單個數據包無法有效標識協議類型或版本等信息,需要對實際的運行過程進行監控加以提取以進一步準確的判斷使用的協議類型及版本號等具體特徵。行為特徵的匹配針對的是一階段內協議運行的詳細行為和動作,因此準確性更高。
協議行為特徵規則集與具體協議類型及版本等信息相關,為各種類型協議建立協議行為特徵規則集目的主要有以下3個1)通過協議行為特徵規則集可以檢驗靜態協議規則匹配結果正確性,即在靜態協議規則匹配之後產生的可能協議類型或軟體使用集中唯一的標識出具體的識別結果。
2)在靜態協議規則匹配之後判斷的協議類型基礎上能夠識別具體的協議運行版本等細節,保證接下來的協議解析結果的正確性。
3)對於協議行為特徵的匹配可以深入檢查或審計特定協議或軟體運行事件和動作,只有在通過靜態規則匹配和行為特徵匹配之後的報文才能準確的定位該通信使用的協議或軟體的具體信息。
為某一類型協議建立的協議行為特徵規則集為一個規則集合,採用控制流圖(CFG)模型來描述協議行為特徵規則集。如圖3所示,在CFG模型表示方法中,每一步協議運行行為特徵用一個橢圓節點表示,這裡除TRUE和FALSE兩條用於返回協議匹配結果的特殊規則外,其餘驗證規則都是一個布爾邏輯,其執行結果只能為真或假。這個協議驗證規則集合從根節點開始執行,如果當前協議驗證規則執行結果為真,則執行其左側的驗證規則樹,如果為假,則執行其右側的驗證規則樹,直到執行到TRUE或FALSE節點為止。圖3為BitTorrent協議行為特徵規則集例子定義了BitTorrent協議運行行為特徵規則集,該協議行為匹配規則集的執行從根節點開始,某一IP報文只有全部通過了行為特徵序列的匹配,才可能返回BitTorrent協議ID,否則返回FALSE。為某一協議特徵模型建立的行為特徵序列的大小直接影響到協議識別結果準確性和效率當為某一類型協議靜態特徵和行為特徵序列建立的條目越多,則協議識別結果的準確性就越高,但是協議識別效率會較低;當為某一類型協議靜態特徵和行為特徵序列建立的條目越少,則協議識別效率會很高,但可能會降低協議識別結果準確性,因此,應根據需要合理定義協議驗證規則集。
C協議智能分析修正階段,見圖2對於已確定的協議類型採用相應的解析方法進行解析,如果出現解析格式結果錯誤,使用智能分析修正方法進行解析嘗試,直至得到更加準確的解析結果。在實際的網絡通信環境中,尤其是在某些私有協議的使用當中,軟體版本的升級或改變通常會帶來解析格式和方式上的變化。在這種情況下希望建立統一適用的解析格式和方法是不現實的。在前面的模塊當中即使確定了協議的使用類型和相關的版本的信息,實際上也是針對目前已有的軟體使用版本而言的。而對於很多軟體,版本升級工作進行的是非常頻繁的。因此對於已有版本的解析速度往往跟不上軟體的更新速度。這種情況下對於每一個新的或未知版本都需要進行全面解析的話,工作量非常之大並且重複的工作很多。實際上對於這種變更所使用協議的結構變化是非常小的,本裝置當中使用了智能分析修正的方法來不必要的重複工作。
在實際的解析過程中,對於協議變動的主要包括一下幾個方面1.欄位大小的變更2.欄位偏移量的改變3.欄位順序的變化協議智能分析修正嘗試模塊實現的目的主要是針對目前某些私有軟體使用的協議在版本變更或某些特定行為當中對於數據包格式部分所做出的改變進行自動化的解析實現,這樣在遇到這類問題所引起的解析錯誤情況下大大降低了重新解析的工作量,使得對於協議相關性的把握,對於協議類型確定情況下的具體解析提供了更大的準確性和靈活性。
為某一確定協議無法進行準確解析的時候採用的智能分析修正嘗試時嘗試範圍的選取將影響到協議解析的準確性和效率當嘗試的範圍選取越多,覆蓋的可正確解析的軟體或協議的類型和版本越多,同時效率也會降低。當嘗試的範圍選取較少時,對於某一特定類型或版本深入解析的結果的準確性會比較差,但此時效率較高。建議使用者根據對特定解析協議的了解程度,可能出現的變化情況制定合適的修正範圍。
本裝置採用算法1.協議靜態特徵規則快速匹配;在協議樣本提取階段定義好各種類型協議靜態特徵規則後,採用了多模匹配算法進行靜態特徵規則的匹配,用於在協議識別階段對IP報文應用數據進行協議靜態特徵的發現和快速匹配,從而找到該IP報文所屬的可能協議類型集合。可以採用多模式匹配算法來執行這種協議靜態特徵快速匹配過程將IP報文應用層載荷數據作為多模式匹配算法的Text,所有提取的協議靜態特徵集合作為模式集合,使用多模式匹配算法找到所有可能的協議類型集合,然後調用協議行為特徵匹配模塊排除錯誤的協議類型,直到找到合適的協議類型為止。
2.協議行為特徵規則的建立與匹配;在進行協議行為特徵規則提取的過程當中,對於採集的大量協議樣本進行數據挖掘,利用關聯規則和自學習方法逐步提取並修正行為特徵序列。出於效率的考慮,不同的協議運行過程產生的協議行為特徵序列的大小不同,可以根據具體的準確性需要制定行為特徵序列的長度,必要時可針對特定協議的不同行為實現多行為特徵序列匹配。在收到由協議靜態特徵匹配輸出的協議集合當中,使用多模式匹配算法匹配所有的協議行為特徵序列集合,直至確定具體的協議類型及版本等詳細信息。
3.智能協議解析修正算法;通過協議靜態特徵匹配和行為特徵匹配確定協議類型之後,如果遇到不能正確解析的數據包情況,將調用智能協議解析修正模塊進行修正。這裡主要採用循環遍歷驗證的方式,按照欄位大小變更、欄位偏移量變更和欄位編碼順序的改變順序逐一驗證可能的情況直至得出更加詳細的協議解析結果。由於採用循環遍歷驗證的方式工作,這部分模塊對於效率的影響比較明顯,需要適當的設定修正範圍。
一種智能協議分析裝置,如圖4所示包括協議靜態規則庫、協議行為特徵模型庫、協議靜態規則匹配引擎、協議行為特徵匹配引擎和自動化調整解析嘗試模塊;所述的協議靜態規則庫與協議靜態匹配引擎連接;所述的協議行為特徵模型庫與協議行為特徵匹配引擎連接;協議行為特徵匹配引擎與協議解析引擎連接;協議解析引擎與智能分析修正嘗試模塊連接。
其中,協議靜態規則庫和協議行為特徵模型庫分別存儲了協議特徵模型階段建立的靜態匹配規則和根據協議或軟體實際運行過程提取的行為特徵序列。協議靜態規則匹配引擎實現所有能夠在單獨數據包中匹配的數據欄位特徵的快速匹配算法,協議行為特徵匹配引擎需要記錄協議運行期間的一系列動作和狀態,以此匹配已建立的行為特徵序列。
權利要求
1.一種智能協議分析方法,其特徵在於所述的步驟建立協議特徵模型步驟;協議識別步驟;協議智能分析修正步驟。
2.根據權利要求1所述的一種智能協議分析方法,其特徵在於所述的建立協議特徵模型步驟的子步驟協議靜態欄位匹配子步驟;相應協議運行時行為特徵模型的建立子步驟。
3.根據權利要求2所述的一種智能協議分析方法,其特徵在於所述的相應協議運行時行為特徵模型的建立子步驟中分別運行的分步驟對於能夠準確提取靜態匹配模式的協議,直接提取協議樣本當中的命令或靜態標識欄位作為匹配規則的分步驟;所述的協議靜態特徵提取方法是針對單獨的數據包,提取其中可以單獨標識協議使用的特徵作為匹配規則,如命令、狀態碼、固定報頭中連續欄位中獨有的協議格式及描述;對於無法準確提取匹配特徵的協議,建立協議運行期間行為狀態模型作為識別標準,以此建立特定的行為特徵序列作為行為特徵序列模型的分步驟;所述的協議行為特徵序列模型提取規則建立方法是依賴於一系列信息交互過程使用數據挖掘關聯技術提取相關聯的協議運行行為特徵,並依靠自學習方法提取相對應的一個或多個特徵序列;其行為特徵包括協議交互邏輯順序、相關命令、特定協議動作的操作過程及其它可以唯一標識該協議行為的特徵規則。
4.根據權利要求1所述的一種智能協議分析方法,其特徵在於所述的協議識別步驟的子步驟協議靜態欄位快速匹配子步驟;協議行為特徵序列模型的匹配子步驟。
5.根據權利要求4所述的一種智能協議分析方法,其特徵在於所述的協議識別步驟的協議靜態欄位快速匹配子步驟中的分步驟將IP報文應用層數據作為文本輸入的分步驟;將所有協議靜態特徵作為模式集合,採用多模式配算法找到IP報文所屬的可能協議集合的分步驟。
6.根據權利要求4所述的一種智能協議分析方法,其特徵在於所述的協議識別步驟的協議行為特徵序列模型的匹配子步驟中的分步驟將協議靜態特徵匹配結果作為輸入分步驟;將所有協議運行行為特徵序列作為模式集合,採用多模式配算法找到IP報文所屬的可能協議集合分步驟。
7.根據權利要求5或6所述的一種智能協議分析方法,其特徵在於所述的協議識別步驟的相應協議運行時行為特徵模型的建立子步驟中所述的協議靜態特徵匹配規則及行為特徵匹配規則建立方法採用控制流圖的步驟,控制流圖有一個假節點,有多個真節點;除真和假節點外,控制流圖中每一個節點表示一條協議靜態特徵匹配規則布爾邏輯,其執行結果為真或假;從根節點開始執行,直到遇到真或假節點為止。
8.根據權利要求1所述的一種智能協議分析方法,其特徵在於所述的協議智能分析修正步驟,對於無法準確解析協議數據包進行協議智能分析修正嘗試準確解析的子步驟分析欄位大小的變更子步驟;分析欄位偏移量的改變子步驟;分析欄位順序的變化子步驟。
9.一種智能協議分析裝置,其特徵在於包括協議靜態規則庫、協議行為特徵模型庫、協議靜態規則匹配引擎、協議行為特徵匹配引擎、協議解析引擎和自動化調整解析嘗試模塊;所述的協議靜態規則庫與協議靜態匹配引擎連接;所述的協議行為特徵模型庫與協議行為特徵匹配引擎連接;協議靜態匹配引擎與協議靜態規則庫連接;協議解析引擎與智能分析修正嘗試模塊連接。
全文摘要
本發明一種智能協議解析方法及裝置涉及可用於入侵檢測防禦(IDS/IPS)及審計產品中的一種智能協議分析方法及裝置。本發明的目的是提供一種使用不單純依賴於協議埠和靜態協議特徵欄位匹配的智能協議分析技術,並在軟體的不同版本使用時能夠自動調整解析格式給出準確的協議分析結果,提高了協議分析的準確性。本發明包括三個主要步驟建立協議特徵模型;協議識別;協議智能分析修正。本發明解決了傳統IDS/IPS產品中對於非標準埠或不具備靜態數據包特徵欄位的網絡協議的識別問題,同時對於某些應用軟體或協議不同的版本等原因產生的解析結果錯誤可以提供自動化的修正工作。
文檔編號H04L29/06GK101035111SQ20071006544
公開日2007年9月12日 申請日期2007年4月13日 優先權日2007年4月13日
發明者孫海波, 駱擁政, 龔晟, 葉潤國 申請人:北京啟明星辰信息技術有限公司