一种网络安全检测方法和系统的制作方法

一种网络安全检测方法和系统的制作方法
【专利摘要】本发明提供了一种网络安全检测方法和系统，解析所抓取的数据包的前四层协议获得五元组信息；利用入侵检测规则给数据包进行入侵检测；根据所述五元组信息给所抓取的数据包添加标识；根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；对解析获得的数据信息进行病毒库匹配检测，将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中，只需要一个接口即可实现对网络访问的多种检测。
【专利说明】—种网络安全检测方法和系统
【技术领域】
[0001]本发明涉及网络安全【技术领域】，特别是涉及一种网络安全检测方法和系统。
【背景技术】
[0002]随着互联网技术的发展，为了防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露，保证网络系统安全可靠的运行，需要对网络访问进行安全检测。目前常用的网络安全检测技术有入侵检测技术、网络行为审计技术、异常流量分析计算以及病毒检测技术等。
[0003]入侵检测技术，收集非正常网络访问的行为特征，建立行为特征库，当监测到与行为特征库中匹配的网络访问时，就将此次网络访问定义为入侵访问。入侵检测方法可以准确的检测到行为特征库中已知的非正常网络访问，对于行为特征库中未知的非正常网络访问检测效果低，漏报率高，而且，行为特征库必须不断更新以满足检测不断变化的恶意网络访问的需求，对于用户网络行为无法记录与审计。
[0004]网络行为审计技术，对抓取的数据包进行2到7层协议解析，记录网络中用户的上网行为，如访问的网页、聊天消息、邮件内容等。网络行为审计可以实现用户行为记录和取证，对于数据防泄密有一定的效果，但不能分析与识别网络攻击与入侵行为。
[0005]异常流量分析技术，采集网络设备和节点的流量信息，对流量信息和网络行为进行持续性统计和对比分析，通过流量和连接数的异常变化检测网络行为中的异常访问操作和攻击操作，追踪异常网络行为。异常流量分析只能分析大范围的异常流量攻击如DDos(分布式拒绝服务 DDoS:Distributed Denial of Service), Syn Flood (一种阻断服务攻击)等，对于XSS (又叫CSS (Cross-Site Script),跨站脚本攻击),SQL注入等攻击无法检测,对于用户网络行为无法记录与审计。
[0006]病毒检测技术，病毒检测安全产品通常以单机或代理网关的形式接入网络中，对于文件进行扫描，检测发现病毒并告警。病毒检测不能解决网络攻击、网络行为审计问题。
[0007]对于大部分的网络设备，如交换机、路由器等，只给网络安全监测配置一个数据监听接口，只能采用上述一种方法对网络访问进行安全检测，上述几种对网络访问进行安全检测的技术各有利弊，单纯依靠一种网络安全检测技术无法识别所有种类的网络攻击和入侵，无法同时实现网络安全状态的分析、用户行为的记录、攻击监测以及未知恶意代码识别的功能。

【发明内容】

[0008]有鉴于此，本发明提供了一种网络安全检测方法和系统，只需要一个监听接口即可实现多种网络安全检测，提高网络访问的安全、可靠性。
[0009]本发明提供如下技术方案:
[0010]一种网络安全检测方法，包括:
[0011]解析所抓取的数据包的前四层协议获得五元组信息；[0012]利用入侵检测规则给数据包进行入侵检测；
[0013]根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识；
[0014]根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；
[0015]根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；
[0016]对解析获得的数据信息进行病毒库匹配检测。
[0017]本发明还提供一种网络安全检测系统，包括:
[0018]解析模块，用于解析所抓取的数据包的前四层协议获得五元组信息；
[0019]入侵检测模块，用于利用入侵检测规则给数据包进行入侵检测；
[0020]跟踪模块，用于根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识；
[0021]流量分析模块，用于根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；
[0022]协议解析模块，用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；
[0023]病毒检测，用于对解析获得的数据信息进行病毒库匹配检测。
[0024]由上述内容可知，本发明有如下有益效果:
[0025]本发明提供了一种网络安全检测方法和系统，所述方法包括:解析所抓取的数据包的前四层协议获得五元组信息；利用入侵检测规则给数据包进行入侵检测；根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识；根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；对解析获得的数据信息进行病毒库匹配检测，将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中，只需要一个接口即可实现对网络访问的多种检测，提高了网络访问的安全、可靠性。
【专利附图】

【附图说明】
[0026]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0027]图1为本发明一种网络安全检测方法实施例一流程图；
[0028]图2为本发明一种网络安全检测系统实施例一的结构示意图。【具体实施方式】
[0029]本发明公开了一种网络安全检测方法和系统，只需要一个监听接口即可实现多种网络安全检测，提高网络访问的安全、可靠性。
[0030]下面结合附图对本发明具体实施例进行详细说明。
[0031]图1为本发明一种网络安全检测方法实施例一的流程图，所述方法包括:
[0032]步骤101:解析所抓取的数据包的前四层协议获得五元组信息。
[0033]本发明所提供的网络安全检测系统通过一个数据监听接口与交换机、路由器等网络设备相连，网络安全检测系统中的数据采集模块从网络设备中的网卡中抓取数据包，可以采用pcap技术或采集网卡实现。
[0034]通过数据解析算法解析从网卡中抓取的原始数据包的前四层协议，数据解析算法可以对以太网、点对点协议等多种二层协议以及IPv4和Ipv6等三层协议进行准确解析。
[0035]对原始数据包的前四层协议进行解析后，可获得数据包的源IP地址、目的IP地址、源端口、目的端口以及传输协议这五元组信息。
[0036]步骤102:利用入侵检测规则给数据包进行入侵检测。
[0037]对解析前四层协议后的数据包采用入侵检测规则进行入侵检测，主要检测恶意代码、攻击行为以及蠕虫等网络异常事件的监测。可以将数据包与入侵检测的特征库中的行为特征进行匹配，当数据包与特征库中的特征匹配时，则认为这个数据包是网络入侵行为的数据包；当数据包与特征库中的特征不匹配时，则数据包时正常网络访问行为的数据包。
[0038]这里需要说明的是，步骤102在步骤101之后执行即可，也可以在步骤103至步骤106任意一个步骤之后执行，这里不进行具体限定。
[0039]步骤103:根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识。
[0040]数据采集模块从网络设备中抓取很多个数据包，对数据包的前四层协议进行解析后得到五元组信息，五元组信息中包括数据包的源IP地址、目的IP地址、源端口、目的端口以及传输协议。根据五元组信息可以识别数据包所属的流对象，给数据包添加其所属的流对象唯一对应的标识。
[0041]源客户端向目的服务器发送网络访问请求时，建立一个连接，这个连接即为一个流对象，一个流对象都有一个唯一对应的标识。属于一个流对象的所有的数据包都添加这个流对象唯一对应的标识，以便进行流对象的流量数据的跟踪统计。
[0042]根据五元组信息给抓取的数据包添加标识具体包括:
[0043]根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象，如果是，给所述数据包添加与所属已建立的流对象对应的标识；如果否，建立一个新的流对象以及与新的流对象对应的标识，给所述数据包添加与新的流对象对应的标识。
[0044]对数据包添加标识时，当数据包属于已建立的流对象时，给数据包添加其所属的已建立的流对象对应的标识，此时，数据包所属的已建立的流对象增加一个此数据包的统计数。当数据包不属于已建立的流对象时，建立一个新的流对象及其所对应的标识，此时，建立一个新的流对象的记录项。
[0045]步骤104:根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析。
[0046]所述根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型包括:
[0047]当目的端口为固定协议端口时，根据目的端口从主连接列表中查找流对象的应用协议类型；
[0048]当目的端口为动态协议端口时，根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
[0049]先在主连接列表中查找是否有流对象的目的端口对应的应用协议类型，当主连接列表中有流对象的目的端口对应的应用协议类型时，流对象的目的端口为固定协议端口，根据流对象的目的协议端口确定流对象的应用协议类型。
[0050]当主连接列表中没有流对象的目的端口对应的应用协议类型时，流对象的目的端口为动态协议端口，在期盼连接列表中查找流对象的目的端口对应的应用协议类型，若在期盼连接列表中查找到流对象的目的端口对应的应用协议类型时，流对象的目的端口为动态协议端口，根据流对象的目的端口确定流对象的应用协议类型；若在期盼列表中未查找到流对象的目的端口对应的应用协议类型时，解析流对象的数据包中的内容获取流对象的应用协议类型，并将此流对象的目的端口以及解析得到的应用协议类型更新到期盼连接列表中。
[0051]给数据包添加标识后，当流对象对应的连接关闭或到达连接最大连接时间时，可以根据标识的数据包统计用相同应用协议类型的流对象的收发数据包数、收发字节数以及连接时长等流量数据。实际上，每个数据包在添加标识的同时，会给数据包所属的流对象的流量数据进行累加，如收发数据包个数累加1，收发字节数类累加此数据包的字节数，连接时长累加等，也就是说，边通过流对象接收数据包边累加统计，当流对象对应的连接关闭或到达连接最大连接时间时，获取最终的数据流量统计结果即可。
[0052]当流对象的目的端口为固定协议端口时，统计采用相同应用协议类型的流量数据为:统计此应用协议类型对应的固定协议端口的流对象收发数据包数、收发字节数以及连接时长作为此应用协议类型的流量数据；
[0053]当流对象的目的端口为动态端口时，统计采用相同应用协议类型的流量数据为统计所有采用此应用协议类型的动态协议端口的流对象的收发数据包数、收发字节数以及连接时长作为流对象的流量数据。
[0054]获得采用相同应用协议类型的流对象的数据流量统计结果后，可以根据所配置的各种流量阈值或者自动学习的流量基线进行流量分析，进行异常流量检测。检测异常流量的攻击类型包括:SYN flood、ICMP flood、UDP flood、DNS Flood, DHCP flood、Winnuke,TcpScan以及CC等几十种D0S/DD0S攻击行为。
[0055]步骤105:根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录。
[0056]确定了流对象的应用协议类型后，调用应用协议类型中的解析插件对流对象中的数据包进行解析获得数据信息。每个协议类型有三种插件，连接建立插件对数据连接建立流对象进行处理；内容解析插件对内容解析的流对象进行处理；连接关闭插件对连接关闭进行处理。[0057]部分解析插件还可以对多种应用协议类型的数据信息进行深度攻击检测，目前支持深度攻击检测的应用协议类型包括:HTTP、SMTP、POP3、FTP、TELNET、SMB、NFS、SQLSERVER、Oracle、MYSQL、PostgreSQL、达梦数据库、人大金仓等20种。
[0058]步骤106:对解析获得的数据信息进行病毒库匹配检测。
[0059]将数据包解析得到的数据信息进行病毒库匹配，查看所传输的文件内容是否携带
有病毒。
[0060]由上述内容可知，本发明有如下有益效果:
[0061]本发明提供了一种网络安全检测方法和系统，所述方法包括:解析所抓取的数据包的前四层协议获得五元组信息；利用入侵检测规则给数据包进行入侵检测；根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识；根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；对解析获得的数据信息进行病毒库匹配检测，将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中，只需要一个接口即可实现对网络访问的多种检测，提高了网络访问的安全、可靠性。
[0062]优选的，在实施例1的基础上，本发明还提供另一优选实施例，除了实施例1中的步骤之外，进一步还可以包括以下步骤:
[0063]步骤107:对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
[0064]对数据包解析出来的数据信息进行文本提取和关键字判断主要是用于检测所传输的文件内容是否泄密。
[0065]步骤108:将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
[0066]将数据信息中的URL地址或SQL语句与深度检测规则基于正则表达式进行深度入侵检测，主要根据SQL语句或HTTP传输参数监测SQL注入攻击行为或者网站跨站攻击行为。
[0067]实施例二
[0068]图2为本发明一种网络安全检测系统实施例一的结构示意图，是与实施例一所述的方法所对应的系统，所述系统包括:
[0069]解析模块201，用于解析所抓取的数据包的前四层协议获得五元组信息。
[0070]入侵检测模块202，用于利用入侵检测规则给数据包进行入侵检测。
[0071]跟踪模块203，用于根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识。
[0072]所述跟踪模块203包括:
[0073]判断单元，用于根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象，如果是，进入第一标识单元；如果否，进入第二标识单元；
[0074]第一标识单元，用于给所述数据包添加与所属已建立的流对象对应的标识；
[0075]第二标识单元，用于建立一个新的流对象以及与新的流对象对应的标识，给所述数据包添加与新的流对象对应的标识。[0076]流量分析模块204，用于根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析。
[0077]所述流量分析模块204包括:
[0078]第一协议确定单元，用于当目的端口为固定协议端口时，根据目的端口从主连接列表中查找流对象的应用协议类型；
[0079]第二协议确定单元，用于当目的端口为动态协议端口时，根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
[0080]协议解析模块205，用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录。
[0081]病毒检测模块206，用于对解析获得的数据信息进行病毒库匹配检测。
[0082]此外，本发明还可以包括:
[0083]泄密检测模块207，用于对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
[0084]深度入侵检测模块208，用于将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
[0085]此处与实施例一类似，参考实施例一的描述，这里不再赘述。
[0086]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种网络安全检测方法，其特征在于，所述方法包括: 解析所抓取的数据包的前四层协议获得五元组信息； 利用入侵检测规则给数据包进行入侵检测； 根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识； 根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录； 对解析获得的数据信息进行病毒库匹配检测。
2.根据权利要求1所述的方法，其特征在于，所述根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息后还包括: 对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
3.根据权利要求1所述的方法，其特征在于，所述根据所述五元组信息给所抓取的数据包添加标识包括: 根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象，如果是，给所述数据包添加与所属已建立 的流对象对应的标识；如果否，建立一个新的流对象以及与新的流对象对应的标识，给所述数据包添加与新的流对象对应的标识。
4.根据权利要求1所述的方法，其特征在于，所述根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息后还包括: 将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
5.根据权利要求1所述的方法，其特征在于，所述根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型包括: 当目的端口为固定协议端口时，根据目的端口从主连接列表中查找流对象的应用协议类型； 当目的端口为动态协议端口时，根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
6.一种网络安全检测系统，其特征在于，所述系统包括: 解析模块，用于解析所抓取的数据包的前四层协议获得五元组信息； 入侵检测模块，用于利用入侵检测规则给数据包进行入侵检测； 跟踪模块，用于根据所述五元组信息给所抓取的数据包添加标识，所述标识为数据包所属的流对象唯一对应的标识； 流量分析模块，用于根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析； 协议解析模块，用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录； 病毒检测模块，用于对解析获得的数据信息进行病毒库匹配检测。
7.根据权利要求6所述的系统，其特征在于，所述系统还包括:泄密检测模块，用于对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
8.根据权利要求6所述的系统，其特征在于，所述跟踪模块包括: 判断单元，用于根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象，如果是，进入第一标识单元；如果否，进入第二标识单元； 第一标识单元，用于给所述数据包添加与所属已建立的流对象对应的标识； 第二标识单元，用于建立一个新的流对象以及与新的流对象对应的标识，给所述数据包添加与新的流对象对应的标识。
9.根据权利要求6所述的系统，其特征在于，所述系统还包括: 深度入侵检测模块，用于将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
10.根据权利要求6-9任意一项所述的系统，其特征在于，所述流量分析模块包括: 第一协议确 定单元，用于当目的端口为固定协议端口时，根据目的端口从主连接列表中查找流对象的应用协议类型； 第二协议确定单元，用于当目的端口为动态协议端口时，根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
【文档编号】H04L29/06GK103795709SQ201310742812
【公开日】2014年5月14日 申请日期:2013年12月27日 优先权日:2013年12月27日
【发明者】张凤羽 申请人:北京天融信软件有限公司, 北京天融信网络安全技术有限公司, 北京天融信科技有限公司