一种网络入侵行为检测系统及检测方法

摘要

本发明是一种网络入侵行为检测系统及检测方法，该系统包括网络处理器、高速交换装置、高速缓存和内容过滤器，其中，内容过滤器由流重组单元、流重组内存和模式匹配芯片连接构成，流重组单元和流重组内存将网络报文重组为网络数据流并存储，该方法的步骤为：(1)网络报文进入该系统后，首先由网络处理器对网络报文首部进行状态检测，通过规则检查的网络报文存储到高速缓存中，进行下一步，否则丢弃；(2)把存储到高速缓存中的网络报文重组成网络数据流，并且存储到流重组内存中；(3)模式匹配芯片从流重组内存中提取重组后完整的网络数据流，用入侵规则进行匹配，通过检查的转发，否则丢弃。

说明书

技术领域

本发明是一种网络入侵行为检测系统及检测方法，涉及网络安全设备，属于网络安全技术领域。

背景技术

随着网络的广泛应用，网络安全的重点也随之发生变化，攻击的主要目标已经从TCP/IP等协议层逐步转变为应用层的攻击，越来越多的攻击行为主要针对特定的应用或软件，因此，对于应用层攻击的检测与防范已经成为网络安全领域的新的热点。

网络管理员非常需要同时具有防火墙和入侵检测等功能的网关级设备，部署在内网和外网之间，起到访问控制和入侵防护的作用，为内网提供安全防护。

起访问控制的防火墙设备，主要是对报文首部进行处理，目前业界主要的实现方案及其主要特点是：

(1)工控机+软件：产品可靠性差、性能很低、但是开发周期短、研发成本低廉

(2)ASIC芯片实现：产品可靠性和性能都很高，但是很难扩展，其开发周期长、研发成本高昂

(3)NPU芯片实现：产品可靠性和性能都很高，易于扩展，研发成本和难度具有以上两种方法之间，其主要优势在于对网络报文报头部分的处理性能很高，对于更复杂的数据部分很难处理，既网络层性能很高，但是，对于应用层处理很困难

入侵检测设备，主要是对报文数据部分进行处理，由于其复杂性，目前基本上都是使用“工控机+软件”的方式来实现，效率非常低，吞吐率在10M的级别，成为网络的瓶颈。

发明内容

本发明的正是针对现有技术及设备中存在的问题和不足而设计提供了一种网络入侵行为检测系统及检测方法，该系统将具有快速处理应用层网络数据的模式匹配芯片与网络处理器相结合，实现了防火墙和入侵检测设备的功能，其目的是大幅提高了性能，吞吐率在1000M的级别。

本发明的目的是通过以下措施来实现的：

该措施包括一种网络入侵行为检测系统和用于该系统的检测方法，其中：

该网络入侵行为检测系统，其特征在于：该系统包括网络处理器、高速交换装置、高速缓存和内容过滤器，其中，网络处理器和内容过滤器通过高速交换装置与高速缓存实现数据交换的双向连接，其中，内容过滤器由流重组单元、流重组内存和模式匹配芯片连接构成，流重组单元和流重组内存将网络报文重组为网络数据流并存储。

用于上述网络入侵行为检测系统的检测方法，其特征在于：该方法的步骤为：

(1)网络报文进入该系统后，首先由网络处理器对网络报文首部进行状态检测，通过规则检查的网络报文存储到高速缓存中，进行下一步，否则丢弃；

(2)把存储到高速缓存中的网络报文重组成网络数据流，并且存储到流重组内存中；

(3)模式匹配芯片从流重组内存中提取重组后完整的网络数据流，用入侵规则进行匹配，通过检查的转发，否则丢弃。

与现有设备相比，上述系统中增加了由流重组单元、流重组内存和模式匹配芯片连接构成的内容过滤器，其中最重要的部分是模式匹配芯片，模式匹配芯片能够对网络报文的数据流进行快速的匹配，该种快速匹配的特点正好适合于入侵规则与网络数据流之间的匹配检查，将其与现在的网络处理器相结合，就能在不影响网络数据流传输速度的前提下，对其进行入侵行为的检测。

为了将模式匹配芯片与网络处理器相结合，需要提供一个高速缓存与两者连接，其作用是将网络处理器处理后的网络报文存储起来，为下一步提供给模式匹配芯片作入侵规则的匹配检查作准备。

为了将模式匹配芯片与网络处理器相结合，还需要重新设计一个与两者工作模式相适应的处理方法，该方法的的特点是将网络处理器处理后的网络报文进行重组，重组的作用是提高是匹配的准确性。

附图说明

图1是本发明网络入侵行为检测系统的原理框图

图2是本发明网络处理器工作的软件流程图

图3是本发明流重组单元工作的软件流程图

图4是本发明模式匹配芯片工作的软件流程图

具体实施方式

以下将结合附图和实施例对本发明技术方案作进一步地详述：

参见附图1所示，该种网络入侵行为检测系统，包括Hifn NP4G3网络处理器1、PCI-X高速交换装置2、CAM高速缓存3和内容过滤器4，其中，网络处理器1和内容过滤器4通过高速交换装置2与高速缓存3实现数据交换的双向连接，其中，内容过滤器4由流重组单元5、流重组内存6和进行入侵规则匹配处理的模式匹配芯片7连接构成，模式匹配芯片7采用IDT CIE PAX.ware 2500，流重组单元5和流重组内存6将网络报文重组为网络数据流并存储。

网络处理器1的工作过程通过其内部存储的软件来控制实现，其软件流程图如图2所示。

流程组单元5和流重组内存6被编程并定义于CPU内，其工作过程通过其内部存储的软件来控制实现，其软件流程图如图3所示。

模式匹配芯片7的工作过程通过其内部存储的软件来控制实现，其软件流程图如图4所示。

上述系统在工作过程中，其对网络入侵行为的检测方法采用如下步骤完成：

(1)网络报文进入该系统后，首先由网络处理器1对网络报文首部进行状态检测，其状态信息存储在专门的状态表中，并且和安全规则表进行匹配，其工作过程参见附图2所示，通过规则检查的网络报文存储到高速缓存3中，进行下一步，否则丢弃；

(2)把存储到高速缓存3中的网络报文重组成网络数据流，其工作过程参见附图3所示，并且存储到流重组内存6中，流重组内存6被定义采用高速缓存3中的一部分；

(3)模式匹配芯片7从流重组内存6中提取重组后完整的网络数据流，和预先定义的入侵规则进行匹配，如果没有发现入侵特征，则允许该访问通过，其工作过程参见附图4所示，通过检查的转发，否则丢弃。

本发明技术方案提供了一种以非常高的性能解决网络层的安全访问控制、和应用层的安全入侵防范的系统和检测方法。突破了目前技术的障碍，使得：

(1)网络层访问控制，即防火墙功能，性能大幅提高，64字节小包可达到千兆双向线速

(2)应用层入侵行为分析，即入侵检测功能，性能大幅提高，吞吐可达到1000Mb/s级别；由于使用了流重组技术，误报率降低。

(3)有很好的扩展性，可满足日益变化的攻击方式