[发明专利]一种入侵检测的数据获取方法

说明书

技术领域

本发明涉及网络安全的数据处理方法，特别是涉及一种入侵检测的数据获 取方法。

背景技术

入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过对计算机网 络或者计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或 者系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统(IDS) 是进行入侵检测的软件和硬件的组合。一般来说，入侵检测系统可分为主机型 和网络型。主机入侵检测系统往往以系统日志、应用程序日志等作为数据源。 网络入侵检测系统(NIDS)的数据源则是网络上的数据包。

请参考图1和图2，图1是现有技术的入侵检测系统100获取数据的系统 功能框图，而图2是现有技术的入侵检测系统获取数据的数据流框图。如图1 和图2所示，现有技术的入侵检测系统100是在防火墙200的外部获取数据， 因而存在如下缺陷：

(1)被防火墙过滤掉的流量仍将会出现在入侵检测的处理中：图2左侧 的数据包获取位置的操作位于防火墙操作之前，因此，它会获取被防火墙丢掉 的数据包，这些数据包对于入侵检测系统没有意义，反而会造成入侵检测系统 的误报。

(2)针对开启了网络地址转换(NAT)功能的流量将无法正常的实现入 侵检测处理：开启了NAT操作的防火墙，在进行数据包转发时需要相应的改 变源Ip、源端口或者目的ip、目的端口。入侵检测系统需要获得这些被NAT 操作处理后的地址和端口才能确定正确的攻击主机和被攻击主机。这些操作在 图2的“路由前目标网络地址转换(PRE_ROUTING DNAT)”模块和“路由 后源网络地址转换(POST_ROUTING SNAT)”模块中完成，而现有技术获 取的数据包的ip和端口信息是NAT操作前的信息，从而导致入侵检测系统定 位到错误的攻击主机或被攻击主机。

(3)无法把加密后的因特网协议安全(Internet Protocol Security，IPsec) 数据包还原成明文进行检测：IPsec加密数据包会在协议栈(protocol stack)内 部被解析，现有技术的数据包获取位置位于协议外部，因此获取到的是未解密 的数据包，入侵检测系统无法对密文数据包进行处理。

发明内容

为了解决上述现有技术中所存在的问题或缺陷，本发明的目的之一在于提 供一种入侵检测的数据获取方法，用于在包括一防火墙和一入侵检测系统的架 构中获取入侵检测的数据，其特征在于，包括以下步骤：

在该防火墙的一转发链过滤模块中注册一数据获取点；

在进行转发链过滤之后，于所述数据获取点获取用于入侵检测的数据。

所述的入侵检测的数据获取方法，其中，获取数据的方式包括socket通信 方式和字符设备的工作方式。

所述的入侵检测的数据获取方法，其中，所述socket通信方式进一步包括：

注册协议类型；

注册socket；

在转发链将socket注册为回调函数，借以在进行转发链过滤之后获取数 据。

所述的入侵检测的数据获取方法，其中，所述字符设备的工作方式进一步 包括：

注册字符设备；

在转发链将字符设备注册为回调函数，借以在进行转发链过滤之后获取数 据。

所述的入侵检测的数据获取方法，其中，是采用zero_copy的方式来减少 用户态和内核态之间的数据复制数量，并且提供mmap函数。

与现有技术相比，本发明所提供的入侵检测的数据获取方法能够获得防火 墙过滤后的数据，减少误报；并且能够获得NAT操作后的数据，从而正确定 位攻击者和被攻击者；还能够获得解密后的IPsec数据包，从而正常处理IPsec 数据流。

以下结合附图和具体实施例对本发明进行详细描述，但不作为对本发明的 限定。

附图说明

图1是现有技术的入侵检测系统获取数据的系统功能框图；

图2是现有技术的入侵检测系统获取数据的数据流框图；

图3是本发明的入侵检测系统获取数据的系统功能框图；

图4是本发明的入侵检测系统获取数据的数据流框图；

图5是本发明的通过socket通信方式获取数据的步骤流程图；