发明名称 |
一种用于异常检测的协议解析方法及系统 |
摘要 |
本发明涉及一种用于异常检测的协议解析方法及系统,包括异常关键字段注册器、异常关键字段库、整合器、协议解析器、异常检测器,运行包括以下步骤:异常关键字段的注册步骤、整合步骤、协议解析步骤、异常检测步骤。本发明采用了用于异常检测的的协议解析机制,并在异常检测模块和协议解析模块间设计良好的通信方式,使系统具有异常检测速度快和准确率高等优点。 |
申请公布号 |
CN101442518B |
申请公布日期 |
2011.12.28 |
申请号 |
CN200710177903.7 |
申请日期 |
2007.11.22 |
申请人 |
北京启明星辰信息技术股份有限公司 |
发明人 |
孙海波;王磊;骆拥政 |
分类号 |
H04L29/06(2006.01)I;H04L12/26(2006.01)I;G06F17/30(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京市商泰律师事务所 11255 |
代理人 |
毛燕生 |
主权项 |
一种用于异常检测的协议解析方法,其特征在于包含以下步骤:异常关键字段的注册步骤;整合的步骤;协议解析的步骤;异常检测的步骤;所述异常关键字段的注册步骤中的子步骤:对于某些攻击针对的协议关键字段,寻找攻击的统一模式,将受攻击协议关键字段和攻击的统一模式联合作为规则的输入,以此作为确定检测规则的子步骤;提取检测规则中的协议关键字段和规则ID号,并将其存储到异常协议关键字段库中,以此作为异常协议关键字段入库的子步骤;所述整合步骤中的子步骤:从异常协议关键字段库中,分析整合出每条规则所对应的异常协议关键字段,建立异常列表,以此作为整合预处理的子步骤;当协议解析器返回异常协议关键字段的具体数值时,调用整合预处理中的异常列表,分析该条规则中所需要的异常协议关键字段的具体数值是否完整,以此作为整合具体处理的子步骤;所述的协议解析的步骤中的子步骤:异常协议关键字段库向协议解析器进行关键字注册的子步骤;协议解析器解析数据包过程当中如果发现已经注册的关键字段则将相关数据返回给整合器的子步骤;所述异常检测步骤包括:收到相关数据以及规则ID号之后,异常检测器此时对收到的数据进行相关检测并返回检测结果。 |
地址 |
100094 北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦 |