下载后可任意编辑说 明 书一种自动协议识别方法及系统启明星辰 叶润国(发明专利已授权)技术领域本发明涉及一种可用于入侵检测防备(IDS/IPS)产品中的自动协议识别方法及系统,它依据网络数据流中报文特征智能地识别出其所属协议类别,属于网络技术领域。背景技术 入侵检测/防备系统(Intrusion Detection/Protection System, IDS/IPS)作为网络安全防护的重要手段,通常部署在关键网络内部/网络边界入口处,实时捕获网络内或进出网络的报文数据流并进行智能综合分析,发现可能的入侵行为并进行实时阻断。应用层协议深层解析技术在当前主流 IDS/IPS 产品中被广泛采纳,可用来实现基于协议攻击特征和协议异常的入侵检测。目前多数IDS/IPS 产品都基于端口映射表来判别网络报文所属协议类型,比如,如发现捕获的网络报文中源/目端口为 80 ,则认为它为 HTTP(Hypertext Transfer Protocol)协议报文,则将该报文交给 HTTP 协议分析引擎进行协议解码和入侵检测。通常这种端口映射表在 IDS/IPS 产品出厂时已确定,但允许管理员修改以适应实际环境的需要。近年来,出现了一批新型的网络协议,包括SIP(Session Initiation Protocol)和 P2P (Peer to peer protocol)协议等,它们并不采纳固定协议端口,而是在协议运行过程中动态协商端口;此外,目前各种木马、间谍软件为躲避 IDS/IPS 产品的入侵检测都采纳了一些特别的处理方式,主要表现为:1)并不使用固定通信端口进行通信;2)采纳公知端口进行私有协议通信(比如 80 端口);3)采纳隧道技术进行私有协议通信(比如HTTP 隧道技术)。在这种情况下,IDS/IPS 产品无法根据端口映射表来正确识别报文所属协议类型,而需要根据网络报文特征智能识别报文所属协议类别,否则,IDS/IPS 产品将产生大量的误报或漏报。因此,有必须进展不单纯依赖于协议端口的智能协议识别技术,以减少 IDS/IPS 产品的误报或漏报。并且,该智能协议识别技术必须满足以下要求:智能地根据报文特征自动识别报文所属协议类型,而不单纯依赖于端口映射表;尽可能依据协议数据流早期报文特征快速识别出所属协议类型,以尽早进行协议解码分析和入侵检测目的;具有非常高的协议识别效率,算法实现尽可能简单; 方法通用性强,支持几乎所有协议,并要求协议识别结果准确率高。发明内容为了克服现有技术的不足, 本发明提供一种自动协议识别方法及系统。本发明解决其技术问题所采纳的技术方案是:一种自...
