[发明专利]基于网络包动态污点分析技术的低误报率入侵检测方法

权利要求书

1.一种基于网络包动态污点分析技术的低误报率入侵检测方法，其特征是：包括如下步骤：

在客户端收集网络数据包；

网络数据包中加入污点值；

分析引擎通过污点值调节网络攻击的断定；

其中，所述网络数据包中加入污点值的步骤中，首先判断数据包是否来自污点IP，其次添加污点值，最后通过HTTP服务发送添加了污点值的数据包到分析引擎服务器；

其中，所述通过污点值调节网络攻击断定的步骤中：

为每一个对应客户端初始一个污点库；

设置web服务器接收端接收HTTP请求以获取来自客户端的数据包；

分析引擎通过特征库判断数据包是否含有可能的网络攻击；

如果含有可能的网络攻击，根据攻击的优先等级和来源IP，更新污点库；

推送更新的污点库到客户端；

如果污点值达到边界值，发出攻击警报。

所述添加污点值的流程如下：

由分析引擎根据客户端IP实时推送污点值到客户端；

客户端在新收集的文本格式网络数据包的第一个字节前加入分隔符；

如果数据包IP有污点值，在第一字节加入污点值；

所述发送添加了污点值的数据包到分析引擎服务器的流程如下：

把经过污点处理的数据包形成json文本；

以Web服务请求的形式将json文本上传分析引擎。

所述分析引擎数据分析步骤如下：

分析引擎收到json格式数据包后，解析json文本，提取数据包和污点值；

分析引擎分析新数据包，如果有新攻击发现，计算污点值；

新的污点值与现有污点值相加，如果总污点值大于边界值，发出警报；

如果总污点值小于边界值，更新客户端污点数据库。

2.根据权利要求1所述的一种基于网络包动态污点分析技术的低误报率入侵检测方法，其特征是：所述污点值的计算方法如下：

污点值初始化为0；

根据特征库判断网络包是否是攻击包；

如果是攻击包，获取攻击对应的优先级；

如果攻击的优先级大于现有污点值，攻击优先级为污点值；

否则没有污点值。

3.根据权利要求2所述的一种基于网络包动态污点分析技术的低误报率入侵检测方法，其特征是：所述污点库包括客户端IP，网络包IP，污点值三个字段。