[发明专利]一种通用协议解析方法及系统

说明书

技术领域

本发明涉及可用于多种网络安全产品中的一种通用协议解析方法及系统，它依据网络数据流中报文特征提供强大的协议解析功能，属于网络技术领域。

背景技术

协议解析技术是入侵检测及审计系统的核心组成模块，通常的入侵检测及审计的准确性和效率依赖于协议解析的准确性和效率。目前多数IDS/IPS产品都基于端口映射表来判断网络报文所属协议类型从而进行进一步的协议解析，比如，如发现捕获的网络报文中源/目的端口为21，则认为它是FTP(File TransferProtocol)协议报文，进一步使用FTP协议格式对数据报文进行解析。通常这种端口映射表在IDS/IPS产品出厂时已确定，事实上由于网络上各种协议种类繁多，各种新的协议层出不穷。例如P2P(Peer to peer protocol)协议，它并不采用固定的协议端口，而是在协议运行过程中动态协商端口。总之，为了躲避IDS/IPS产品的入侵检测很多协议都采用了特殊的处理方式：

1)不使用固定通信端口进行通信；

2)使用知名的协议端口，比如80或者443之类的；

3)同时支持多端口尝试的；

4)采用隧道技术进行私有协议通信(比如HTTP隧道技术)。

在以上4种情况下，IDS/IPS产品无法根据端口表来正确识别报文所属协议类型，IDS/IPS产品将产生大量的误报或漏报。因此，有必要发展不完全依赖于协议端口的通用协议解析系统，以减少IDS/IPS产品的漏报。此外目前常用的协议解析工具的设计与实现并没有充分考虑到如何用于入侵检测产品当中以达到在高效准确的进行数据报文解析的同时完成入侵检测功能。同时一个好的协议分析器必须有很好的可扩展性和结构，本发明采用协议插件技术提供了很好的扩展性，在添加新的协议解析插件时无需对系统进行大的改动。本发明设计的通用协议解析方法应该满足以下要求：

1)能启发式的根据报文特征对协议进行解析，而不单纯依赖于端口映射表；

2)尽可能根据协议报文特征快速对协议进行解析；

3)方法通用性强，检测能力强大，尽可能多的解析网络协议；

4)良好的可扩展性和设计结构，事实上由于网络上各种协议种类繁多，各种新的协议层出不穷。一个好的协议分析器必需有很好的可扩展性和结构。这样才能适应网络发展的需要不断加入新的协议解析器；

5)与入侵检测引擎具有良好的交互方式，两者之间定义了通用简单的交互接口。

发明内容

本发明提出一种通用协议解析方法及系统，所述的通用协议解析技术可以满足：强大的协议解析能力，具有基于端口和启发式的智能解析方法；具有良好的可扩展性，具有基于插件技术的协议分析器；具有良好的设计结构，采用了协议树加特征字的设计，使通用协议解析系统在协议解析上有了很强的扩展性，增加一个协议解析器只需要将解析函数挂到协议树的相应节点上即可；与IDS/IPS良好的协调工作的能力，通用协议解析系统拥有良好的设计接口，使其能保持同IDS/IPS进行良好的数据交互过程。

本发明的目的是这样实现的，一种通用协议解析方法，包括以下的步骤：

通用协议解析系统的协议及字段的注册步骤；

通用协议解析系统的捕报步骤；

通用协议解析系统的协议解析步骤；

数据交互的建立步骤；

数据处理的步骤。

一种通用协议解析系统，包括有：

对数据报进行内容和形式异常检测，判断攻击行为是否发生的入侵检测引擎；

对用户的命令和显示进行处理的通用协议解析控制台；

负责串联其他装置的通用协议解析控制模块；

负责获取网络报文的捕报器；

对数据报文件的格式进行转换的存储器；

负责对协议进行详细数据报解析的协议解析器。

所述的入侵检测引擎与通用协议解析系统连接；所述的通用协议解析控制台与通用协议解析控制模块连接；所述的通用协议解析控制模块与捕报器、存储器和协议解析器连接；所述的捕报器与工作在网卡驱动层的winpcap/libpcap(网络数据报捕获开发报)连接。