下载后可任意编辑说 明 书一种自动协议识别方法及系统启明星辰 叶润国(发明专利已授权)技术领域本发明涉及一种可用于入侵检测防备(IDS/IPS)产品中的自动协议识别方法及系统,它依据网络数据流中报文特征智能地识别出其所属协议类别,属于网络技术领域
背景技术 入侵检测/防备系统(Intrusion Detection/Protection System, IDS/IPS)作为网络安全防护的重要手段,通常部署在关键网络内部/网络边界入口处,实时捕获网络内或进出网络的报文数据流并进行智能综合分析,发现可能的入侵行为并进行实时阻断
应用层协议深层解析技术在当前主流 IDS/IPS 产品中被广泛采纳,可用来实现基于协议攻击特征和协议异常的入侵检测
目前多数IDS/IPS 产品都基于端口映射表来判别网络报文所属协议类型,比如,如发现捕获的网络报文中源/目端口为 80 ,则认为它为 HTTP(Hypertext Transfer Protocol)协议报文,则将该报文交给 HTTP 协议分析引擎进行协议解码和入侵检测
通常这种端口映射表在 IDS/IPS 产品出厂时已确定,但允许管理员修改以适应实际环境的需要
近年来,出现了一批新型的网络协议,包括SIP(Session Initiation Protocol)和 P2P (Peer to peer protocol)协议等,它们并不采纳固定协议端口,而是在协议运行过程中动态协商端口;此外,目前各种木马、间谍软件为躲避 IDS/IPS 产品的入侵检测都采纳了一些特别的处理方式,主要表现为:1)并不使用固定通信端口进行通信;2)采纳公知端口进行私有协议通信(比如 80 端口);3)采纳隧道技术进行私有协议通信(比如HTTP 隧道技术)
在这种情况下,IDS/IPS 产品无法根据端口映射表来正确识别报文所属协议类型,而需要根据网络报文特征智能