专利名称:非法数据包识别方法和系统的制作方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种非法数据包识别方法和系统。
背景技术:
当前主机异常监控技术主要是监控本地主机是否存在违规使用,如发现用户有意或无意访问了禁止访问的资源,则及时报警并记录日志,甚至能实行一些惩罚措施。当前主机异常监控技术一般都自带个人防火墙软件,安装在主机中的防火墙软件 若发现外网访问的目的端口地址是未开放的端口地址,则禁止本次访问。无论运行在TDI还是NDIS层的防火墙软件,都不可能完全禁止用户访问外部网 络。防火墙软件通常会开放一些常用的应用层协议端口给用户通过,例如用户总是可以访 问目标端口为80的外部地址,否则用户根本浏览不了网页。但是,如果目标服务器在80端 口上运行的不是超文本传输协议(http)服务而是黑客(cracker)自定义的服务,那么用户 主机中的间谍软件就能通过80端口与这台服务器建立连接,从而把一些涉密信息发送出 去,而防火墙无法发现这种基于常用应用层协议端口的违规访问。可见,现有技术中用户主机数据的安全性不能得到很好的保证。
发明内容
本发明实施例提供一种非法数据包识别方法和系统,用于提供快速、准确识别用 户主机中非法数据包的方案。—种非法数据包识别方法,该方法包括用户主机获取待处理的数据包;用户主机读取所述数据包中携带的目的端口地址,并确定该目的端口地址对应的 应用层网络协议;用户主机确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格 式,并根据确定结果判定所述数据包是合法数据包或是非法数据包。一种通信系统,该系统包括用户主机,用于获取待处理的数据包;读取所述数据包中携带的目的端口地址,确 定该目的端口地址对应的应用层网络协议;确定所述数据包的格式是否符合所述应用层网 络协议定义的数据包格式,根据确定结果判定所述数据包是合法数据包或是非法数据包, 若是非法数据包,则生成异常通知信息,将该异常通知信息传送到日志服务器;日志服务器,用于根据接收到的所述异常通知信息执行预先设定的异常处理操 作。本方案中,用户主机获取待处理的数据包,读取该数据包中携带的目的端口地址, 并确定该目的端口地址对应的应用层网络协议;确定该数据包的格式是否符合该应用层网 络协议定义的数据包格式,并根据确定结果判定该数据包是合法数据包或是非法数据包。 可见,采用本发明能够快速、准确的识别数据包是合法数据包或是非法数据包。
图1为本发明实施例提供的方法流程示意图;图2为本发明实施例提供的系统结构示意图。图3A为本发明实施例一的流程示意图;图3B为本发明实施例二的流程示意图;图4为本发明实施例提供的设备结构示意图。
具体实施例方式为了提高用户主机数据的安全性,本发明实施例提供一种非法数据包识别方法, 本方法中,根据数据包的格式是否符合该数据包的目的端口对应的应用层网络协议所定义 的数据包格式,来确定该数据包是合法数据包或是非法数据包。参见图1,本发明实施例提供的非法数据包识别方法,具体包括以下步骤步骤10 用户主机获取待处理的数据包;步骤11 用户主机读取该数据包中携带的目的端口地址,并确定该目的端口地址 对应的应用层网络协议;步骤12 用户主机确定该数据包的格式是否符合该应用层网络协议定义的数据 包格式,并根据确定结果判定该数据包是合法数据包或是非法数据包。步骤10中,用户主机获取待处理的数据包,包括获取待发送的数据包和接收到的 数据包。步骤11中,应用层网络协议可以为OSI七层模型中的应用层协议,如http、ftp、 pop、smtp等协议。作为一个例子,http协议对应的端口地址为80。步骤12中,可以采用应用层网络协议分析技术确定数据包的格式是否符合应用 层网络协议定义的数据包格式。步骤12中,在确定数据包的格式符合应用层网络协议定义的数据包格式时,判定 该数据包是合法数据包,在确定数据包的格式不符合应用层网络协议定义的数据包格式 时,判定该数据包是非法数据包。在判定数据包是非法数据包之后,可以执行如下操作用户主机执行预先设定的第一异常处理操作;或者,用户主机生成异常通知信息, 将生成的异常通知信息传送到日志服务器,日志服务器根据接收到的异常通知信息执行预 先设定的第二异常处理操作。上述用户主机生成异常通知信息,将生成的异常通知信息传送到日志服务器,其 具体实现如下用户主机确定发出所述数据包的进程,生成该进程违规操作的报警信息和 /或日志信息,将生成的报警信息和/或日志信息传送到日志服务器。上述用户主机确定发出数据包的进程,其具体实现如下用户主机读取所述数据 包中携带的源端口号,确定本用户主机中打开了该源端口号对应的端口的进程,将该进程 确定为发出该数据包的进程。上述第一异常处理操作包括发出报警信息、结束所述进程、丢弃所述数据包、将 所述数据包的目标网址设为黑名单中的一个或任意组合。
上述第二异常处理操作包括发出报警信息、通知用户主机接入的网关禁止该用 户主机连接网络、通知用户主机结束所述进程、通知用户主机丢弃所述数据包、通知用户主 机将所述数据包的目标网址设为黑名单中的一个或任意组合。步骤10 步骤12的具体实现可以由用户主机的主机异常监控模块来实现。下面结合具体实施例对本发明进行说明
实施例一本实施例中将应用层网络协议分析技术集成于主机异常监控系统中,利用协议分 析技术来分析主机进程是否存在违规访问网络资源。例如,如果发现用户进程与目标机器 的80端口建立了链接,但传输的数据包不符合http协议规范,则可认定此进程属于异常进 程,从而发出报警并产生日志。集成了应用层网络协议分析技术的主机异常监控系统部署如图2所示,其中,主 机异常监控模块运行于每一台用户计算机中,日志服务器是专门用于接收由主机异常监控 模块产生的报警信息及日志。主机异常监控系统中的协议分析流程如图3A所示,具体如下步骤SOl 主机异常监控模块抓取将要发出去的数据包;步骤S02 将抓取到的数据包进行解析,得到该数据包中的目的端口地址,确定该 目的端口地址对应的应用层网络协议;步骤S03 分析该数据包中是否包含该协议的特征,即该数据包的格式是否符合 该应用层网络协议定义的数据包格式,如果不是,则到步骤S04,否则,返回步骤SOl ;步骤S04 确定发出该数据包的进程;步骤S05 生成该进程违规操作的报警信息和日志信息,将生成的报警信息和日 志信息通过网络适配器传送到日志服务器;步骤S06 日志服务器接收到进程违规操作的报警信息和日志信息后,通知用户 主机接入的网关禁止该用户主机连接网络。实施例二 如图3B所示,具体如下步骤Sll 主机异常监控模块抓取接收到的数据包;步骤S12 将抓取到的数据包进行解析,得到该数据包中的目的端口地址,确定该 目的端口地址对应的应用层网络协议;步骤S13 分析该数据包中是否包含该协议的特征,即该数据包的格式是否符合 该应用层网络协议定义的数据包格式,如果不是,则到步骤S14,否则,返回步骤Sll ;步骤S14 生成该数据包非法的报警信息,将生成的报警信息通过网络适配器传 送到日志服务器;步骤S15 日志服务器接收到报警信息后,通知用户主机丢弃该数据包。仍参见图2,本发明实施例还提供一种通信系统,该系统包括用户主机,用于获取待处理的数据包;读取所述数据包中携带的目的端口地址,确 定该目的端口地址对应的应用层网络协议;确定所述数据包的格式是否符合所述应用层网 络协议定义的数据包格式,根据确定结果判定所述数据包是合法数据包或是非法数据包, 若是非法数据包,则生成异常通知信息,将该异常通知信息传送到日志服务器;
日志服务器,用于根据接收到的所述异常通知信息执行预先设定的异常处理操作。所述用户主机用于在确定数据包的格式符合应用层网络协议定义的数据包格式时,判定该数据包是 合法数据包,在确定数据包的格式不符合应用层网络协议定义的数据包格式时,判定该数 据包是非法数据包。所述用户主机用于确定发出所述数据包的进程,生成该进程违规操作的报警信息和/或日志信息, 将生成的报警信息和/或日志信息传送到日志服务器。所述用户主机用于读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口号对应的 端口的进程,将该进程确定为发出所述数据包的进程。所述日志服务器用于执行以下异常处理操作中的一个或任意组合发出报警信息、通知所述用户主机接入的网关禁止该用户主机连接网络、通知所 述用户主机结束所述进程、通知所述用户主机丢弃所述数据包、通知所述用户主机将所述 数据包的目标网址设为黑名单。参见图4,本发明实施例还提供一种用户主机,该用户主机包括数据包获取单元40,用于获取待处理的数据包;协议确定单元41,用于读取所述数据包中携带的目的端口地址,确定该目的端口 地址对应的应用层网络协议;格式分析单元42,用于确定所述数据包的格式是否符合所述应用层网络协议定义 的数据包格式;合法判定单元43,用于根据所述格式分析单元的确定结果判定所述数据包是合法 数据包或是非法数据包。具体的,在确定数据包的格式符合应用层网络协议定义的数据包 格式时,判定该数据包是合法数据包,在确定数据包的格式不符合应用层网络协议定义的 数据包格式时,判定该数据包是非法数据包。该用户主机还包括异常通知单元44和/或异常处理单元45,其中所述异常处理单元44,用于在所述格式分析单元确定所述数据包为非法数据包 时,执行预先设定的第一异常处理操作;所述第一异常处理操作包括发出报警信息、结束 所述进程、丢弃所述数据包、将所述数据包的目标网址设为黑名单中的一个或任意组合。所述异常通知单元45,用于在所述格式分析单元确定所述数据包为非法数据包 时,生成异常通知信息,将该异常通知信息传送到日志服务器。具体的,首先按照以下方法 确定发出所述数据包的进程读取所述数据包中携带的源端口号,确定本用户主机中打开 了该源端口号对应的端口的进程,将该进程确定为发出该数据包的进程;然后生成该进程 违规操作的报警信息和/或日志信息,将生成的报警信息和/或日志信息传送到日志服务
ο综上,本发明的有益效果包括本发明实施例提供的方案中,用户主机获取待处理的数据包,读取该数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;确定该数据包的格式 是否符合该应用层网络协议定义的数据包格式,并根据确定结果判定该数据包是合法数据 包或是非法数据包。可见,采用本发明能够快速、准确的识别数据包是合法数据包或是非法 数据包。同时,根据非法数据包使用户主机能发现本机进程对基于常用应用层协议端口的 远端服务的违规访问。并且,在识别出非法数据包后,由用户主机执行预先设定的第一异常处理操作;或 者,用户主机生成异常通知信息后传送到日志服务器,日志服务器根据异常通知信息执行 预先设定的第二异常处理操作,从而有效的提高了用户主机的数据安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种非法数据包识别方法,其特征在于,该方法包括用户主机获取待处理的数据包;用户主机读取所述数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;用户主机确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,并根据确定结果判定所述数据包是合法数据包或是非法数据包。
2.如权利要求1所述的方法,其特征在于,在根据确定结果判定所述数据包是非法数 据包之后,该方法进一步包括所述用户主机执行预先设定的第一异常处理操作;或者,所述用户主机生成异常通知信息,将生成的异常通知信息传送到日志服务器,所述日 志服务器根据所述异常通知信息执行预先设定的第二异常处理操作。
3.如权利要求2所述的方法,其特征在于,所述用户主机生成异常通知信息,将生成的 异常通知信息传送到日志服务器包括所述用户主机确定发出所述数据包的进程,生成该进程违规操作的报警信息和/或日 志信息,将生成的报警信息和/或日志信息传送到日志服务器。
4.如权利要求3所述的方法,其特征在于,所述用户主机确定发出所述数据包的进程 包括所述用户主机读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口 号对应的端口的进程,将该进程确定为发出所述数据包的进程。
5.如权利要求2或3或4所述的方法,其特征在于,所述第一异常处理操作包括 发出报警信息、结束所述进程、丢弃所述数据包、将所述数据包的目标网址设为黑名单中的一个或任意组合。
6.如权利要求2或3或4所述的方法,其特征在于,所述第二异常处理操作包括 发出报警信息、通知所述用户主机接入的网关禁止该用户主机连接网络、通知所述用户主机结束所述进程、通知所述用户主机丢弃所述数据包、通知所述用户主机将所述数据 包的目标网址设为黑名单中的一个或任意组合。
7.一种通信系统,其特征在于,该系统包括用户主机,用于获取待处理的数据包;读取所述数据包中携带的目的端口地址,确定该 目的端口地址对应的应用层网络协议;确定所述数据包的格式是否符合所述应用层网络协 议定义的数据包格式,根据确定结果判定所述数据包是合法数据包或是非法数据包,若是 非法数据包,则生成异常通知信息,并将该异常通知信息传送到日志服务器;日志服务器,用于根据接收到的所述异常通知信息执行预先设定的异常处理操作。
8.如权利要求7所述的系统,其特征在于,所述用户主机用于确定发出所述数据包的进程,生成该进程违规操作的报警信息和/或日志信息,将生 成的报警信息和/或日志信息传送到日志服务器。
9.如权利要求8所述的系统,其特征在于,所述用户主机用于读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口号对应的端口 的进程,将该进程确定为发出所述数据包的进程。
10.如权利要求7或8或9所述的系统,其特征在于,所述日志服务器用于执行以下异常处理操作中的一个或任意组合发出报警信息、通知所述用户主机接入的网关禁止该用户主机连接网络、通知所述用户主机结束所述进程、通知所述用户主机丢弃所述数据包、通知所述用户主机将所述数据 包的目标网址设为黑名单。
全文摘要
本发明实施例公开了一种非法数据包识别方法和系统,涉及网络安全领域,用于提供快速、准确识别用户主机中非法数据包的方案。本发明中,用户主机获取待处理的数据包;用户主机读取所述数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;用户主机确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,并根据确定结果判定所述数据包是合法数据包或是非法数据包。采用本发明,达到了快速、准确识别非法数据包的目的。
文档编号H04L12/26GK101826991SQ201010105290
公开日2010年9月8日 申请日期2010年2月4日 优先权日2010年2月4日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司