| 发明名称 | 一种自动协议识别方法及系统 | ||
| 摘要 | 本发明涉及可用于入侵检测防御(IDS/IPS)产品中的一种自动协议识别方法及系统。能够在网络协议通信初期根据前期报文特征自动识别所属协议类型,并采用协议验证规则进一步验证协议识别结果正确性。本方法包括前期协议样本特征提取和在线协议识别两个阶段,其中,所述的协议样本特征提取阶段包括协议类型样本的协议指纹提取和相应协议验证规则建立过程方法,协议识别阶段包括协议指纹快速匹配和协议识别结果快速验证等过程方法。基于本方法实现的协议识别系统包括协议样本特征库、协议指纹匹配引擎和协议验证引擎三部分,其中,协议指纹匹配引擎基于快速哈希表方法实现,协议验证引擎基于高效率虚拟机模型实现。 | ||
| 申请公布号 | CN100429617C | 申请公布日期 | 2008.10.29 |
| 申请号 | CN200610080453.5 | 申请日期 | 2006.05.16 |
| 申请人 | 北京启明星辰信息技术有限公司 | 发明人 | 叶润国;王洋;何云程;李铮铮;李博;华东;骆拥政;焦玉峰 |
| 分类号 | G06F7/08(2006.01);G06F11/30(2006.01);H04L9/32(2006.01) | 主分类号 | G06F7/08(2006.01) |
| 代理机构 | 北京市商泰律师事务所 | 代理人 | 毛燕生 |
| 主权项 | 1.一种自动协议识别方法,其特征在于:包括协议样本特征提取和协议识别两个步骤,其中,所述的协议样本特征提取步骤包括协议类型样本的协议指纹提取和协议验证规则建立;协议识别步骤包括协议指纹快速匹配和协议识别结果快速验证步骤;协议指纹提取具有如下特征:对于文本命令类型协议样本,用{命令+参数}或{状态码+参数}格式描述,直接提取协议样本中命令和状态码作为协议指纹;对于固定报头类型协议样本,将固定报头中所含字段类型分为静态字段和动态字段类型,寻找尽可能多的连续静态类型字段,并将其取值组合定义为该类型协议指纹;对于其它无固定格式类型协议样本,寻找标识该协议样本服务类型的单词作为协议指纹。 | ||
| 地址 | 100081北京市海淀区中关村南大街12号 | ||