[发明专利]网络入侵防御/检测系统及方法

说明书

技术领域

本发明涉及通信网络技术，尤其涉及一种网络入侵防御/检测系统及方法。

背景技术

为加强网络安全防范，网络中一般采用入侵防御（Intrusion PreventionSystem，以下简称：IPS）/入侵检测系统（Intrusion Detection Systems，以下简称：IDS）对网络中传输的数据流进行检测。

现有的IPS/IDS在对网络中TCP/IP协议进行数据分析时，由于根据TCP/IP协议在网络中传输的数据包已进行了分片或排序，所以，检测数据流时，IPS/IDS首先对接收的数据包进行准确重组，再对重组后的数据流进行规则检测处理。现有的IPS/IDS是采用预先申请一块内存，当IPS/IDS接收到数据包时，将按序重组后的IP/TCP数据包依次填充到该内存中，当重组的数据流长度达到预设值时，就启动规则引擎对重组的数据包进行规则检测，从而确定网络中当前传输的数据流属性，以便于采取相应的预处理措施。

上述现有的IPS/IDS检测方法中，IPS/IDS获取数据包后对数据包重组，直到重组的数据流长度达到预设值时，再进行规则检测，因此，数据包重组时设备资源的占用很大程度上依赖于该预设值，若该预设值设定不合理，则将会导致设备资源的极大消耗，从而在大流量的网络环境下使设备性能急剧下降。

发明内容

本发明提供一种网络入侵防御/检测系统及方法，用以解决上述现有技术中依赖于预设值的IPS/IDS进行数据重组时，易出现设备资源消耗大而导致的设备性能降低的问题。

本发明的第一个方面是提供一种网络入侵防御/检测方法，包括:

对从网络中获取的数据包进行重组；

当重组后获取的数据流的长度大于或等于第n阶段规则对应的数据流长度的第n临界值时，对重组获取的数据流利用第n阶段规则进行规则匹配检测；

若重组获取的数据流匹配所述第n阶段规则，则对重组获取的数据流进行相应的预定义处理，并结束当前数据流的重组及检测；否则，继续对从网络中获取的数据包进行重组，以使重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时，对重组获取的数据流利用第n+1阶段规则进行规则匹配检测；

其中，所述第n临界值小于所述第n+1临界值，n为正整数。

本发明的另一个方面是提供一种网络入侵防御/检测系统，包括：

重组模块，用于对从网络中获取的数据包进行重组；以及在重组获取的数据流不匹配第n阶段规则时，继续对从网络中获取的数据包进行重组；

第一处理模块，用于当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时，对重组获取的数据流利用第n阶段规则进行规则匹配检测；以及当重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时，对重组获取的数据流利用第n+1阶段规则进行规则匹配检测；

第二处理模块，用于若重组获取的数据流匹配所述第n阶段规则，则对重组获取的数据流进行相应的预定义处理，并结束当前数据流的重组及检测；

其中，所述第n临界值小于第n+1临界值，n为正整数。

本发明提供的网络入侵防御/检测系统及方法，通过当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时，对重组获取的数据流利用第n阶段规则进行规则匹配检测，使得重组中在数据流长度满足某一阶段规则需要的长度时，可以及时采用该阶段规则进行匹配检测，即无需等到重组到较大的数据流长度时才能进行规则匹配，从而降低了系统的资源消耗；通过当重组获取的数据流匹配所述第n阶段规则，就对重组获取的数据流进行相应的预定义处理，并及时结束当前数据流的重组及检测，避免了不必要的继续数据流重组和检测；只有当重组的数据流不匹配该阶段规则时，才继续进行数据流重组以形成较大的数据流长度，进行下一阶段规则的检测，实现了系统按需重组的方法，即根据规则需求进行分阶段重组并检测的过程，使IPS/IDS能很好的适应复杂的网络环境，大大提高引擎数据包的处理速度，这样可以在很大程度上提高IPS/IDS的验证效率，尤其是在有大量攻击数据包的网络环境下，对大量的异常数据包能很快的识别并丢弃，在大大提高设备性能的同时，还能减少设备系统资源的占用，使设备能有很多的时间和资源来处理其它的应用，从而使IPS/IDS系统可节省大量的系统资源，极大的提高设备效率。

附图说明

图1为本发明网络入侵防御/检测方法实施例的流程图；