[发明专利]一种自学习协议规则的入侵检测方法

摘要

本发明涉及一种自学习协议规则的入侵检测方法，其主要步骤包括：对正常数据流的采集，划分，聚类，协议格式的提取。生成五元组协议规则，并且进行持久化保存。检测时读取规则信息，生成五元组规则映射表，数据包依次与各规则进行比对，进行数据包深度包解析。本发明与现有的技术比，不依赖特定的协议，可以自学习出需要检测的协议格式，进行深度包解析，准确率高，技术简单，易于推广。

主权项

1.一种自学习协议规则的入侵检测方法，其特征在于，包括以下步骤：1)采集应用层的数据包信息，并将数据包按源IP、目的IP、源端口、目的端口、协议类型划分组类；2)根据序号位对每个组类中的数据包进行划分，并提取协议的格式信息；对数据包进行划分时，假设一个协议头部的长度为N，将具有相同的头部的数据包划分为一个小组，对每个小组中的报文从左往右进行字节比对判断，若该小组中存在序号位，这停止对小组的划分，生成协议规则；如果不存在序号位，则假设协议头部长度为N+1，进行迭代判断；3)对划分后的数据包进行协议格式信息的归纳，生成规则信息并保存在配置文件中；生成的规则信息以字典作为存储结构，字典中的key为源IP、源端口、目的IP、目的端口、协议类型五元组，规则信息包含：数据包长度、常量位信息、常量位掩码信息、序号位的位置、当前序号位的报文值；其中，常量位的提取方式为：利用步骤2)中对小组的划分结果，在小组中从左往右依次判断当前位置的各位是否相同，若当前位置相同，则认定为常量位或者长度位，否则认定为变量位或者序号位；其中，长度位的提取方式为：利用对常量位判断的结果，在常量位中依次判断是否符合：1字节长度位，2字节长度位，4字节长度位；若不符合长度位信息，则判断该位置为一般常量位；所述长度位的提取方式具体包括：a)在单字节常量位X中，1字节长度位提取方式：判断X是否等于整个报文长度，若相等记为“单字节全长度位”；判断X是否等于当前位置之后的报文长度，若相等记为“单字节后长度位”；判断X是否等于当前位置之后的报文长度加1，若相等记为“单字节包含长度位”；b)在两相邻的常量位XY中，2字节长度位提取方式：判断X+256*Y是否等于整个报文长度，若相等记为“两字节低位全长度位”；判断X+256*Y是否等于当前位置之后的报文长度，若相等记为“两字节低位后长度位”；判断X+256*Y是否等于当前位置之后的报文长度加2，若相等记为“两字节低位包含长度位”；判断256*X+Y是否等于整个报文长度，若相等记为“两字节高位全长度位”；判断256*X+Y是否等于当前位置之后的报文长度，若相等记为“两字节高位后长度位”；判断256*X+Y是否等于当前位置之后的报文长度加2，若相等记为“两字节高位包含长度位”；c)在四相邻的常量位WXYZ中，4字节长度位提取方式：判断W+256*X+Y+256*Z是否等于当前位置之后的报文长度，若相等记为“四字节低位长度位”；判断256*W+X+256*Y+Z是否等于当前位置之后的报文长度，若相等记为“四字节高位长度位”；并且将后面的报文部分划分为两段；4)获取待检测的网络数据包的应用层信息，并与配置文件中的规则信息作比对，以判断该数据包是否为正常数据包。