[发明专利]基于因特网协议版本6的混合式入侵检测方法

权利要求书

1.一种基于因特网协议版本6的混合式入侵检测方法，其特征在于该方法分为混合式入侵检测的总体架构的设计、子模块的划分、入侵识别方法三部分：

a.总体架构设计：

总体架构设计分为三个部分：网关、主机、监控平台，网关部分负责抓包解包，然后开始特征匹配和模式匹配，主机部分负责对IPSEC加密数据进行解密并进行规则匹配，监控平台负责监控网关和主机部分，

b.划分子模块：

b1).协议分析子模块:协议分析子模块处于可变特征库模块之上，对收到的数据包进行协议解析，根据解析结果，将数据包分流到不同的检测方法集，

b2).基于状态转换的模式匹配子模块：模式匹配算法原理是将已知的入侵特征编成模式，将其与统计的数据进行匹配，一旦匹配成立，则判为入侵行为，

b3).监控管理子模块：设置一个服务器模块来监视记录局域网内各主机的工作状态，即监控管理子模块，

b4).统计分析子模块：统计分析子模块负责处理监控管理子模块获取的网络中各主机的即时特征文件，

b5).自学习子模块：统计分析子模块对异常的判定是以状态参量数据库作为标准的，而对于不同的系统，由于配置不同，其正常状态下的系统参数也不尽相同，因此状态参量数据库的确定是一个非常重要的过程，依靠自学习子模块来完成此项工作，

b6).应用层防护子模块：由于IPSec加密的数据在网关无法被侦听到，加密数据流中的数据就构成了可能的安全隐患，应用层防护子模块就是针对IPSec加密数据而设立的，

b7).可变特征库子模块：可变特征库子模块中的特征库初始为空，它接受由统计分析子模块对数据包特征提取后传来的数据包特征信息，再将提取的特征作为特征库的特征项入库时需要做一个判别，判别此次提取的特征是否已经包含在特征库中，如存在则此次特征入库操作不成功，若不存在则将其加入特征库中，

b8).告警子模块：一旦入侵被检测到，各子模块均会将告警信息传到告警模块，

c.入侵识别：

c1).通过将捕获的数据包首先同可变特征库进行匹配，若匹配成功，立即转入告警子模块，使得入侵检测系统能更快的检测到某些网络入侵，

c2).若在可变特征库中找不到匹配项，则进入协议分析子模块开始模式匹配，若匹配成功转入告警子模块，

c3).对使用了IPSEC加密的数据在主机部分进行解密，然后进行规则匹配，若匹配成功转入告警子模块。