一种存储系统入侵检测方法、系统、终端及存储介质与流程

本发明涉及数据安全技术领域，具体涉及一种存储系统入侵检测方法、系统、终端及存储介质。

背景技术：

近几年internet技术已经深入到各个行业、各个领域，使网络安全问题也显得更加重要。当前已经有越来越多的企业意识到网络安全性问题，并在这方面投入更多的预算。作为重要的存储供应商，保护用户的信息安全、实现入侵检测的功能需求尤为迫切。

linux操作系统是目前最流行的操作系统之一，linux是一个从公开源代码发展来的操作系统，因此奠定了linux相较其他诸如windows以及各商业版本unix操作系统的先天优势，目前linux已经迅速成为一个相对健壮的操作系统，并且越来越多的跻身各种企业关键业务之中，市场上的存储产品大多基于linux系统研发而来，因此，适配linux系统的入侵检测方法可广泛适用于各存储系统。

基于上述问题，本申请提出一种基于linux系统的存储系统入侵检测方法。

技术实现要素：

针对现有技术的上述不足，本发明提供一种存储系统入侵检测方法、系统、终端及存储介质，以解决上述技术问题。

第一方面，本发明提供一种存储系统入侵检测方法，包括：

通过libpcap库截获待存储数据包；

利用snort的包解码器解码所述数据包的高层协议；

利用snort检测引擎根据规则库中的检测函数对所述数据包进行检测，得到检测日志；

确认所述检测日志内存在检测异常关键词，生成告警信息并保存所述检测日志和高层协议。

进一步的，所述利用snort的包解码器解码所述数据包的高层协议，包括：

利用snort的包解码器将所述数据包填入链路层协议的包结构体中；

解码所述数据包的高层协议。

进一步的，所述利用snort检测引擎根据规则库中的检测函数对所述数据包进行检测，包括：

根据入侵检测项需求将相应检测函数存储至规则库；

利用snort检测引擎调用规则库中的检测函数对数据包进行检测；

标记已调用的检测函数，并在确认规则库中所有检测函数均被标记后输出检测日志。

进一步的，所述确认所述检测日志内存在检测异常关键词，生成告警信息并保存所述检测日志和高层协议，包括：

设置异常关键词；

筛选检测日志中的异常关键词；

确认检测日志中存在所述异常关键词，生成告警信息并将所述检测日志和高层协议保存至结果数据库。

第二方面，本发明提供一种存储系统入侵检测系统，包括：

数据拦截单元，配置用于通过libpcap库截获待存储数据包；

协议解码单元，配置用于利用snort的包解码器解码所述数据包的高层协议；

数据检测单元，配置用于利用snort检测引擎根据规则库中的检测函数对所述数据包进行检测，得到检测日志；

异常筛选单元，配置用于确认所述检测日志内存在检测异常关键词，生成告警信息并保存所述检测日志和高层协议。

进一步的，所述协议解码单元包括：

数据填入模块，配置用于利用snort的包解码器将所述数据包填入链路层协议的包结构体中；

协议解码模块，配置用于解码所述数据包的高层协议。

进一步的，所述数据检测单元包括：

函数设置模块，配置用于根据入侵检测项需求将相应检测函数存储至规则库；

函数调用模块，配置用于利用snort检测引擎调用规则库中的检测函数对数据包进行检测；

函数标记模块，配置用于标记已调用的检测函数，并在确认规则库中所有检测函数均被标记后输出检测日志。

进一步的，所述异常筛选单元包括：

异常设置模块，配置用于设置异常关键词；

异常筛选模块，配置用于筛选检测日志中的异常关键词；

信息存储模块，配置用于确认检测日志中存在所述异常关键词，生成告警信息并将所述检测日志和高层协议保存至结果数据库。

第三方面，提供一种终端，包括：

处理器、存储器，其中，

该存储器用于存储计算机程序，

该处理器用于从存储器中调用并运行该计算机程序，使得终端执行上述的终端的方法。

第四方面，提供了一种计算机存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本发明的有益效果在于，

本发明提供的存储系统入侵检测方法、系统、终端及存储介质，在libpcap库函数函数基础之上，利用网络开源检测工具，实现对存储系统的入侵检测。本发明支持多种系统软硬件平台，具有实时数据流量的分析和记录ip网络数据包的能力，能够进行协议分析，对内容搜索、匹配。此外，它还能够检测各种不同的攻击方式，对攻击进行实时警报，能够确保系统的安全并提供可靠的实时检测。

此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例的方法的示意性流程图。

图2是本发明一个实施例的系统的示意性框图。

图3为本发明实施例提供的一种终端的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

下面对本发明中出现的关键术语进行解释。

snort是一款在linux基础上发展起来的网络开源检测工具。

图1是本发明一个实施例的方法的示意性流程图。其中，图1执行主体可以为一种存储系统入侵检测系统。

如图1所示，该方法100包括：

步骤110，通过libpcap库截获待存储数据包；

步骤120，利用snort的包解码器解码所述数据包的高层协议；

步骤130，利用snort检测引擎根据规则库中的检测函数对所述数据包进行检测，得到检测日志；

步骤140，确认所述检测日志内存在检测异常关键词，生成告警信息并保存所述检测日志和高层协议。

可选地，作为本发明一个实施例，所述利用snort的包解码器解码所述数据包的高层协议，包括：

利用snort的包解码器将所述数据包填入链路层协议的包结构体中；

解码所述数据包的高层协议。

可选地，作为本发明一个实施例，所述利用snort检测引擎根据规则库中的检测函数对所述数据包进行检测，包括：

根据入侵检测项需求将相应检测函数存储至规则库；

利用snort检测引擎调用规则库中的检测函数对数据包进行检测；

标记已调用的检测函数，并在确认规则库中所有检测函数均被标记后输出检测日志。

可选地，作为本发明一个实施例，所述确认所述检测日志内存在检测异常关键词，生成告警信息并保存所述检测日志和高层协议，包括：

设置异常关键词；

筛选检测日志中的异常关键词；

确认检测日志中存在所述异常关键词，生成告警信息并将所述检测日志和高层协议保存至结果数据库。

为了便于对本发明的理解，下面以本发明存储系统入侵检测方法的原理，结合实施例中对存储系统进行入侵检测的过程，对本发明提供的存储系统入侵检测方法做进一步的描述。

具体的，所述存储系统入侵检测方法包括：

s1、通过libpcap库截获待存储数据包。

libpcap是一个网络数据包捕获函数库，调用libpcap库截获所有待存储的数据包。

s2、利用snort的包解码器解码所述数据包的高层协议。

利用snort的包解码器将步骤s1中截获的数据包填入到链路层协议的包结构体中，以便对高层协议进行解码。

解码得到的信息包括：frame：物理层的数据帧概况；ethernetii：数据链路层以太网帧头部信息；internetprotocolversion4：互联网层ip包头部信息；transmissioncontrolprotocol：传输层的数据段头部信息，此处是tcp协议；hypertexttransferprotocol：应用层的信息，此处是http协议。

s3、利用snort检测引擎根据规则库中的检测函数对所述数据包进行检测，得到检测日志。

根据用户需要的检测项设置与检测项对应的检测函数，将所有设置的检测函数存储至规则库。snort的预处理插件将数据包送到检测引擎，snort的检测引擎通过调用规则库中的检测函数对每个数据包的特征和信息进行检测。没执行一个检测函数，实时生成项目检测日志。对每个调用过的函数标记已调用，当规则库中所有检测函数均被标记已调用后，提示函数检测完成，汇总所有项目检测日志后，输出检测日志。

s4、确认所述检测日志内存在检测异常关键词，生成告警信息并保存所述检测日志和高层协议。

设置异常关键词，筛选检测日志中的异常关键词。若检测日志中存在异常关键词，则将数据包的高层协议和检测日志保存至结果数据库，并拦截该数据包。若检测日志中不存在异常关键词，则将该数据包写入存储系统。

如图2示，该系统200包括：

数据拦截单元210，配置用于通过libpcap库截获待存储数据包；

协议解码单元220，配置用于利用snort的包解码器解码所述数据包的高层协议；

数据检测单元230，配置用于利用snort检测引擎根据规则库中的检测函数对所述数据包进行检测，得到检测日志；

异常筛选单元240，配置用于确认所述检测日志内存在检测异常关键词，生成告警信息并保存所述检测日志和高层协议。

可选地，作为本发明一个实施例，所述协议解码单元包括：

数据填入模块，配置用于利用snort的包解码器将所述数据包填入链路层协议的包结构体中；

协议解码模块，配置用于解码所述数据包的高层协议。

可选地，作为本发明一个实施例，所述数据检测单元包括：

函数设置模块，配置用于根据入侵检测项需求将相应检测函数存储至规则库；

函数调用模块，配置用于利用snort检测引擎调用规则库中的检测函数对数据包进行检测；

函数标记模块，配置用于标记已调用的检测函数，并在确认规则库中所有检测函数均被标记后输出检测日志。

可选地，作为本发明一个实施例，所述异常筛选单元包括：

异常设置模块，配置用于设置异常关键词；

异常筛选模块，配置用于筛选检测日志中的异常关键词；

信息存储模块，配置用于确认检测日志中存在所述异常关键词，生成告警信息并将所述检测日志和高层协议保存至结果数据库。

图3为本发明实施例提供的一种终端系统300的结构示意图，该终端系统300可以用于执行本发明实施例提供的存储系统入侵检测方法。

其中，该终端系统300可以包括：处理器310、存储器320及通信单元330。这些组件通过一条或多条总线进行通信，本领域技术人员可以理解，图中示出的服务器的结构并不构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

其中，该存储器320可以用于存储处理器310的执行指令，存储器320可以由任何类型的易失性或非易失性存储终端或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。当存储器320中的执行指令由处理器310执行时，使得终端300能够执行以下上述方法实施例中的部分或全部步骤。

处理器310为存储终端的控制中心，利用各种接口和线路连接整个电子终端的各个部分，通过运行或执行存储在存储器320内的软件程序和/或模块，以及调用存储在存储器内的数据，以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(integratedcircuit，简称ic)组成，例如可以由单颗封装的ic所组成，也可以由连接多颗相同功能或不同功能的封装ic而组成。举例来说，处理器310可以仅包括中央处理器(centralprocessingunit，简称cpu)。在本发明实施方式中，cpu可以是单运算核心，也可以包括多运算核心。

通信单元330，用于建立通信信道，从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。

本发明还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-onlymemory，简称：rom)或随机存储记忆体(英文：randomaccessmemory，简称：ram)等。

因此，本发明在libpcap库函数函数基础之上，利用网络开源检测工具，实现对存储系统的入侵检测。本发明支持多种系统软硬件平台，具有实时数据流量的分析和记录ip网络数据包的能力，能够进行协议分析，对内容搜索、匹配。此外，它还能够检测各种不同的攻击方式，对攻击进行实时警报，能够确保系统的安全并提供可靠的实时检测，本实施例所能达到的技术效果可以参见上文中的描述，此处不再赘述。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中如u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质，包括若干指令用以使得一台计算机终端(可以是个人计算机，服务器，或者第二终端、网络终端等)执行本发明各个实施例所述方法的全部或部分步骤。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于终端实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统、系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述，但本发明并不限于此。在不脱离本发明的精神和实质的前提下，本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换，而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。