[发明专利]网络疑似威胁信息筛选器及筛选处理方法

权利要求书

1.一种网络疑似威胁信息筛选器，包括带软硬件接口的现场可编程门阵列器件，其特征在于在现场可编程门阵列器件内设有接收网络交换设备输出信息的数据聚合模块，包头及净荷分离模块，网络层疑似威胁数据包筛选模块，传输层疑似威胁数据包筛选模块，输出处理模块，含IP重组单元、TCP会话重组单元、应用层协议规范化单元的预处理模块，以及含规则头匹配单元、内容匹配单元、疑似威胁数据包输出单元的应用层疑似威胁数据包筛选模块；上述各模块中：数据聚合模块与包头及净荷分离模块，输出处理模块与预处理模块、预处理模块与应用层疑似威胁数据包筛选模块之间通过对应的输出、输入端依次连接，网络层疑似威胁数据包筛选模块与传输层疑似威胁数据包筛选模块则并联于包头及净荷分离模块与输出处理模块之间；输出处理模块、预处理模块通过TCP会话重组单元、应用层疑似威胁数据包筛选模块通过疑似威胁数据包输出单元分别与软硬件接口连接。

2.按权利要求1所述网络疑似威胁信息筛选器，其特征在于所述网络层疑似威胁数据包筛选模块包括IP疑似威胁信息筛选单元、ICMP疑似威胁信息筛选单元、输出单元。

3.按权利要求1所述网络疑似威胁信息筛选器，其特征在于所述传输层疑似威胁数据包筛选模块包括TCP疑似威胁信息筛选单元及输出单元。

4.按权利要求1所述网络疑似威胁信息筛选器所采用的筛选处理方法,包括：

步骤1. 聚合处理：将网络中各交换设备输入数据聚合模块(1)的数据进行聚合处理；

步骤2.分离处理：将经步骤1聚合处理后输入包头及净荷分离模块(2)的数据进行IP包头、IP净荷及传输协议包头分离处理，并将IP包头和IP净荷与传输协议包头分别输入网络层疑似威胁数据包筛选模块(3)及传输层疑似威胁数据包筛选模块(4)、以便在网络层与传输层并行完成非规则攻击筛选；

步骤3.网络层疑似威胁数据包筛选：将经步骤2分离处理后进入网络层疑似威胁数据包筛选模块(3)的IP包头及IP净荷，按照网络层协议的规定对含疑似威胁信息的数据包进行筛选，并将筛选结果连同IP包头、IP净荷输入到输出处理模块(5)；

步骤4.传输层疑似威胁数据包筛选：而经步骤2分离处理后进入传输层疑似威胁数据包筛选模块(4)的传输协议包头，则按传输层协议的规定对含非规则攻击的疑似威胁信息的包头进行筛选，并将筛选结果连同传输层协议包头亦输入到输出处理模块(5)；

步骤5.输出处理：经步骤3、步骤4筛选后输入的筛选结果及其包头、净荷，若其中只要有一结果的结论为含疑似威胁信息，则将该数据包作为含非规则疑似威胁信息的数 据包，经软硬件接口(8)送入侵检测系统(A)；若所有结论均为正常，则将该数据包作为正常数据包输入预处理模块(6)；

步骤6.数据包预处理：将由步骤5输入的正常数据包通过IP重组单元(6.1)重组IP分片数据、通过TCP会话重组单元(6.2)经软硬件接口(8)从入侵检测系统索取TCP连接信息表后进行TCP会话重组，再经应用层数据规范化单元(6.3)对数据进行规范化处理，然后将处理后的IP包头和传输协议包头与应用层数据分别输入应用层疑似威胁数据包筛选模块中的规则头匹配单元以及内容匹配单元；

步骤7.应用层疑似威胁数据包筛选：将由步骤6输入的IP包头和传输协议包头经规则头匹配单元(7.1)进行规则头匹配处理，而输入的应用层数据经内容匹配单元(7.2)对常字符串及正则表达式进行匹配处理；然后将匹配处理后含疑似威胁信息的数据包由疑似威胁数据包输出单元(7.3)经软硬件接口(8)送入侵检测系统；否则，作丢弃处理。

5.按权利要求4所述筛选处理方法，其特征在于步骤3中所述按照网络层协议的规定对含疑似威胁信息的数据包进行筛选，其网络层协议包括ICMP及IP协议。

6.按权利要求4所述筛选处理方法，其特征在于步骤4中所述按传输层协议的规定对含非规则攻击的疑似威胁信息的包头进行筛选，其传输层协议包括TCP。

7.按权利要求4所述筛选处理方法，其特征在于步骤6中所述对应用层数据进行规范化处理，包括完成HTTP协议的URL规范化表达及统一编码方式、删除Telnet协议中的协商数据。