[发明专利]一种服务识别方法及系统

权利要求书

1.一种用于入侵检测的服务识别的方法，其特征在于包含以下步骤：

协议识别步骤；

服务识别步骤；

实际检测规则库的生成步骤；

深入检测步骤，

其中，所述的协议识别步骤包括以下的子步骤：

以层次化的数据包协议分析方法取得捕包函数捕回的数据包后进行协议分析和协议还原工作作为协议树建立子步骤；

将最低层的无结构数据流作为根接点，具有相同父节点的协议成为兄弟节点，采用协议的特征字来识别协议，作为协议解析子步骤，

所述的服务识别步骤包括以下的子步骤：

首先从捕获的服务器返回的数据包中，依据协议识别步骤中判断出协议类型进行关键字的匹配，得到服务器的类型子步骤；

服务识别模块与入侵检测引擎协商解析的服务器类型，将其全程映射为双方认可的数字id，便于数据以及命令的交互，以此作为服务器类型的标识子步骤，

所述的实际检测规则库的生成步骤，具有如下特征：

根据实际识别的服务器类型信息将服务器类型和攻击特征库进行关联，得到实际检测规则库，

所述的深入检测步骤，具有如下特征：

收到相关数据之后，入侵检测器查询实际检测规则库，找到关键字对应的相关规则的子步骤；

以实际检测规则库建立阶段建立的关联将相关规则对应到适当的处理函数中，对收到的数据进行处理并返回处理结果的子步骤。

2.一种用于入侵检测的服务识别的系统，其特征在于包括：负责实际传输的数据报文的各层协议解析识别的协议解析器、对服务器的数据报进行关键字匹配的服务识别器、对所有攻击进行描述的攻击特征库、针对特定服务器类型进行攻击的实际检测规则库、实现检测规则与处理函数的关联并对所有获得的数据进行相关的入侵检测并返回结果的入侵检测器；

所述的协议解析器与服务识别器连接；所述的服务识别器和攻击特征库与实际检测规则库连接，所述的服务识别器和实际检测规则库与入侵检测器连接。