说明书一种自动协议识别方法及系统启明星辰叶润国(发明专利已授权)技术领域本发明涉及一种可用于入侵检测防御(IDS/IPS)产品中的自动协议识别方法及系统,它依据网络数据流中报文特征智能地识别出其所属协议类别,属于网络技术领域。背景技术入侵检测/防御系统(IntrusionDetection/ProtectionSystem,IDS/IPS)作为网络安全防护的重要手段,通常部署在关键网络内部/网络边界入口处,实时捕获网络内或进出网络的报文数据流并进行智能综合分析,发现可能的入侵行为并进行实时阻断。应用层协议深层解析技术在当前主流IDS/IPS产品中被广泛采用,可用来实现基于协议攻击特征和协议异常的入侵检测。目前多数IDS/IPS产品都基于端口映射表来判别网络报文所属协议类型,比如,如发现捕获的网络报文中源/目端口为80,则认为它为HTTP(HypertextTransferProtocol)协议报文,则将该报文交给HTTP协议分析引擎进行协议解码和入侵检测。通常这种端口映射表在IDS/IPS产品出厂时已确定,但允许管理员修改以适应实际环境的需要。近年来,出现了一批新型的网络协议,包括SIP(SessionInitiationProtocol)和P2P(Peertopeerprotocol)协议等,它们并不采用固定协议端口,而是在协议运行过程中动态协商端口;此外,目前各种木马、间谍软件为躲避IDS/IPS产品的入侵检测都采用了一些特殊的处理方式,主要表现为:1)并不使用固定通信端口进行通信;2)采用公知端口进行私有协议通信(比如80端口);3)采用隧道技术进行私有协议通信(比如HTTP隧道技术)。在这种情况下,IDS/IPS产品无法根据端口映射表来正确识别报文所属协议类型,而需要根据网络报文特征智能识别报文所属协议类别,否则,IDS/IPS产品将产生大量的误报或漏报。因此,有必须发展不单纯依赖于协议端口的智能协议识别技术,以减少IDS/IPS产品的误报或漏报。并且,该智能协议识别技术必须满足以下要求:智能地根据报文特征自动识别报文所属协议类型,而不单纯依赖于端口映射表;尽可能依据协议数据流早期报文特征快速识别出所属协议类型,以尽早进行协议解码分析和入侵检测目的;具有非常高的协议识别效率,算法实现尽可能简单;方法通用性强,支持几乎所有协议,并要求协议识别结果准确率高。发明内容为了克服现有技术的不足,本发明提供一种自动协议识别方法及系统。本发明解决其技术问题所采用的技术方案是:一种自动协议识别方法,包括协议样本特征提取和协议识别两个阶段步骤,其中,所述的协议样本特征提取阶段步骤包括协议类型样本的协议指纹提取和相应协议验证规则建立,协议识别阶段步骤包括协议指纹快速匹配和协议识别结果快速验证。协议识别方法之协议样本特征提取阶段,其中所述的协议指纹提取方法有如下步骤:1对于文本命令类型协议样本,用{命令+参数}或{状态码+参数}格式描述,直接提取协议样本中命令和状态码作为协议指纹;对于固定报头类型协议样本,将固定报头中所含字段类型分为静态字段和动态字段类型,寻找尽可能多的连续静态类型字段,并将其取值组合定义为该类型协议指纹。对于其它无固定格式类型协议样本,寻找可以标识该协议样本服务类型的单词作为协议指纹。协议样本特征提取阶段,其中所述的协议验证规则建立方法具有如下步骤:提取协议样本中除协议指纹之外其它特征作为该类型协议样本的协议验证规则,包括可进一步标识协议样本类型的字段、单词或者其它要求协议消息满足的规范等。采用控制流图(CFG)的步骤,描述为某类型协议样本建立的协议验证规则集,在CFG图中:存在TRUE和FALSE两个特殊节点,其中FALSE节点只有一个,而TRUE节点可以有多个;除TRUE和FALSE节点外,CFG中每一个节点表示一条协议验证规则(布尔逻辑),其执行结果为真或假;CFG中每一条有向边表明当有向边源节点执行结果为true或false时CFG图的实际执行路径;该CFG图从根节点开始执行,直到遇到TRUE或FALSE节点为止。协议识别方法之协议识别阶段,其中所述的协议指纹快速匹配方法具有如下步骤:将IP报文应用层数据作为文本输入,将所有协议指纹作为模式集合,采用多模式配算法找到IP报文所属的可能协议集合;在执行多模式匹配算法前,先按协议指纹偏...
