说明书一种自动协议识别方法及系统启明星辰叶润国(发明专利已授权)技术领域本发明涉及一种可用于入侵检测防御(IDS/IPS)产品中的自动协议识别方法及系统,它依据网络数据流中报文特征智能地识别出其所属协议类别,属于网络技术领域
背景技术入侵检测/防御系统(IntrusionDetection/ProtectionSystem,IDS/IPS)作为网络安全防护的重要手段,通常部署在关键网络内部/网络边界入口处,实时捕获网络内或进出网络的报文数据流并进行智能综合分析,发现可能的入侵行为并进行实时阻断
应用层协议深层解析技术在当前主流IDS/IPS产品中被广泛采用,可用来实现基于协议攻击特征和协议异常的入侵检测
目前多数IDS/IPS产品都基于端口映射表来判别网络报文所属协议类型,比如,如发现捕获的网络报文中源/目端口为80,则认为它为HTTP(HypertextTransferProtocol)协议报文,则将该报文交给HTTP协议分析引擎进行协议解码和入侵检测
通常这种端口映射表在IDS/IPS产品出厂时已确定,但允许管理员修改以适应实际环境的需要
近年来,出现了一批新型的网络协议,包括SIP(SessionInitiationProtocol)和P2P(Peertopeerprotocol)协议等,它们并不采用固定协议端口,而是在协议运行过程中动态协商端口;此外,目前各种木马、间谍软件为躲避IDS/IPS产品的入侵检测都采用了一些特殊的处理方式,主要表现为:1)并不使用固定通信端口进行通信;2)采用公知端口进行私有协议通信(比如80端口);3)采用隧道技术进行私有协议通信(比如HTTP隧道技术)
在这种情况下,IDS/IPS产品无法根据端口映射表来正确识别报文所属协议类型,而需要根据网络报文特征智能识别报文所属协议类别,否则,IDS/IPS产品将产生大量的误报或漏报