发明名称 | 一种网络攻击检测方法 | ||
摘要 | 本发明提供一种网络攻击检测方法,属于计算机网络安全领域。首先捕捉网络数据包,提取出网络数据包中的payload序列,然后计算每个网络数据包的payload序列的任意位置开始可反汇编的合法指令的条数中的最大值MEL,最后判决:若某个网络数据包的MEL超过阈值,则认为该网络数据包是网络攻击数据包;若某个网络数据包的MEL不超过阈值,则认为该网络数据包是是正常通信数据包。本发明能够检测未知网络攻击,具有检测效率高、误报率低和能检测经过高级变形技术变形后的网络攻击的特点。本发明部署于中小型网络的进出口,如果要将本发明应用于大型高速网络的进出口,可以采用将本发明以硬件程序的方式固化在硬件上或部署多台计算机进行并行处理。 | ||
申请公布号 | CN101286979B | 申请公布日期 | 2011.02.09 |
申请号 | CN200810044620.X | 申请日期 | 2008.06.03 |
申请人 | 电子科技大学 | 发明人 | 张小松;陈厅;陈大鹏;刘智;潘小会 |
分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
代理机构 | 代理人 | ||
主权项 | 一种网络攻击检测方法,其特征在于,包含下列步骤:步骤1.捕捉网络数据包;步骤2.根据步骤1所捕捉的网络数据包所依据的协议的标准格式,对步骤1所捕捉的网络数据包进行解析,提取出网络数据包中的payload序列;步骤3.计算步骤2提取的每个网络数据包的payload序列的任意位置开始可反汇编的合法指令的条数中的最大值MEL;具体包含以下步骤:步骤31.从网络数据包的payload序列的任意字节位置开始进行反汇编,直到反汇编操作无法得到一个有效指令为止,得到一个可反汇编的有效的指令序列;步骤32.计算步骤31得到的可反汇编的有效的指令序列所含指令条数EL;具体包括以下步骤:步骤321.首先计算步骤31得到的可反汇编的有效的指令序列本身的指令数量,计为L;步骤322.如果步骤31得到的可反汇编的有效的指令序列的最后一条指令是跳转指令,并且跳转的目标地址不在指令序列中,那么网络数据包的payload序列的任意字节位置开始可反汇编的有效指令序列所含指令条数EL=L+1;步骤333.如果步骤31得到的可反汇编的有效的指令序列的最后一条指令是跳转指令,并且跳转的目标地址在指令序列中,得到以目标地址为开头的指令序列,计算从目标地址为开头的指令序列的指令数量计为L′,那么网络数据包的payload序列的任意字节位置开始的可反汇编的有效指令序列所含指令条数EL=L+L′;步骤33.计算步骤32中得到的所有可反汇编的有效的指令序列所含指令条数EL中的最大值,作为这个网络数据包的payload序列的可反汇编的合法指令的条数中的最大值MEL;步骤4.若某个网络数据包的payload序列的任意位置开始可反汇编的合法指令的条数中的最大值MEL超过阈值,则认为该网络数据包是网络攻击数据包;若某个网络数据包的payload序列的任意位置开始可反汇编的合法指令的条数中的最大值MEL不超过阈值,则认为该网络数据包是正常通信数据包。 | ||
地址 | 610054 四川省成都市建设北路二段4号 |