[发明专利]用于对数据通信网络中的协议消息进行分类的方法和系统

权利要求书

1.一种用于在数据通信网络上对数据流量中的入侵进行检测的入侵检测方法，其特征在于，包括以下步骤：

对数据流量进行语法分析，从该数据流量的协议消息中提取至少一个协议域；

对被提取的协议域和用于该协议域的个别模型进行关联，该模型选自模型的集合；

对被提取的协议域的内容是否在模型所定义的安全区域之内进行评估；及

如果证实被提取的协议域的内容在该安全区域之外，生成入侵检测信号。

2.根据权利要求1所述的入侵检测方法，其特征在于，

模型的集合包括用于操作符协议域的模型和用于实参协议域的模型，对操作符协议域和实参协议域进行关联和评估。

3.根据权利要求2所述的入侵检测方法，其特征在于，

模型的集合还包括用于编组协议域的模型，还对编组协议域进行关联和评估。

4.根据权利要求1～3中任意一项所述的入侵检测方法，其特征在于，

提供多个模型类型，

基于被提取的协议域的特性从多个模型类型中对用于被提取的协议域的模型类型进行选择，基于被选择的模型类型建立用于被提取的协议域的模型。

5.根据权利要求4所述的入侵检测方法，其特征在于，

协议域的特性包括协议域的数据类型，该方法包括以下步骤：

对被提取的协议域的数据类型进行确定；以及

使用所确定的数据类型对模型类型进行选择。

6.根据权利要求4或5所述的入侵检测方法，其特征在于，

协议域的特性包括协议域的语义，该方法包括以下步骤：

对被提取的协议域的语义进行确定；以及

使用所确定的语义对模型类型进行选择。

7.根据权利要求1～6中任意一项所述的入侵检测方法，其特征在于，

模型的集合包括用于协议域的集合中的每个协议域的个别模型。

8.根据权利要求1～7中任意一项所述的入侵检测方法，其特征在于，

在学习阶段确定用于域的模型，该学习阶段包括以下步骤：

对数据流量进行语法分析，提取至少一个应用于该数据流量的协议中的协议域；

对被提取的协议域和用于该协议域的模型进行关联，该模型选自模型的集合；及

使用被提取的协议域的内容对用于被提取的协议域的模型进行升级。

9.根据权利要求8所述的入侵检测方法，其特征在于，

如果被提取的协议域无法与模型中的任何一个进行关联，创建一个用于被提取的协议域的新的模型并将该新的模型添加到模型的集合中去。

10.根据权利要求1～9中任意一项所述的入侵检测方法，其特征在于，

当语法分析无法证实域符合协议时也生成入侵检测信号。

11.根据权利要求1～10中任意一项所述的入侵检测方法，其特征在于，

当被提取的域无法与模型的集合中的任何一个模型进行关联时也生成入侵检测信号。

12.根据权利要求1～11中任意一项所述的入侵检测方法，其特征在于，

协议是应用层协议、会话层协议、传输层协议、或低级别协议堆栈协议中的至少一个协议。

13.根据权利要求1～12中任意一项所述的入侵检测方法，其特征在于，

响应于对入侵检测信号进行生成，该方法至少进一步包括以下步骤之一：

对协议域或包含协议域的数据包进行移除；

激发且输出一个入侵警报消息。

14.根据权利要求1～13中任意一项所述的入侵检测方法，其特征在于，

用于协议域的模型包括以下三者中的至少一个：

可接受的协议域值的集合；

协议域值的数值分布；

可接受的协议域值的范围的定义。

15.根据权利要求1～14中任意一项所述的入侵检测方法，其特征在于，

用于协议域的模型包括：

可接受的字母、数字、符号、及脚本的定义。

16.根据权利要求1～15中任意一项所述的入侵检测方法，其特征在于，

用于协议域的模型包括：

预定义入侵特征的集合。