[发明专利]用于对数据通信网络中的协议消息进行分类的方法和系统

说明书

技术领域

本发明涉及数据通信网络领域，特别涉及对数据通信网络中的消息进行分类的领域，例如检测这种数据通信网络中的恶意入侵。

背景技术

在许多数据通信网络中都会部署检测系统来检测恶意入侵。这种入侵包括来自攻击者或被感染的计算机的数据，这种数据会影响服务器、计算机或其他设备的运行。

这种入侵检测系统有两种主要的类型：基于特征的和基于异常的入侵检测系统。

基于特征的入侵检测系统（SBS）依赖于模式匹配技术。该系统包含一个特征的数据库，即从过去的攻击所得知的数据的序列。这些特征对测试数据进行匹配。当找到一个匹配时，激发一个警报。当新的攻击被鉴别时需要专家对该特征的数据库进行升级。

不同的是，基于异常的入侵检测系统（ABS）首先建立一个统计模型，该模型在所谓的“学习阶段”描述正常的网络流量。然后，在所谓的“测试阶段”，系统分析数据并分类出任何明显偏离模型的流量或行为作为攻击。基于异常的系统的优势在于能检测零日攻击，即还没有被专家鉴别出的攻击。为了检测大多数攻击，ABS需要对网络流量净荷进行检查。现有的方法基于n元语法分析，其既可以应用于全部也可以应用于部分的（原始）分组净荷。

然而，在一些数据通信网络中恶意数据与合法数据非常相似。这种情况会发生在所谓的SCADA（Supervisory Control and Data Acquisition：数据采集与监控系统）或其他工业控制网络。在SCADA或其他工业控制网络中，协议消息在数据通信网络的应用层上在计算机、服务器和其他设备间进行交换。这些协议消息可包括用于控制机器的指令。带有恶意指令的协议消息（将旋转速度设置为100rpm）会与合法指令（将旋转速度设置为10rpm）非常相似。

当恶意数据与合法数据非常相似时，恶意数据会被基于异常的入侵检测系统分类为正常数据或合法数据，这会危害到网络中的计算机、服务器和其他设备的运行。

发明内容

本发明的目的在于提供一种改进的入侵检测系统和/或方法。

根据本发明的一个方面，提供了一种用于在数据通信网络上对数据流量中的入侵进行检测的入侵检测方法，包括以下步骤：

对数据流量进行语法分析，从该数据流量的协议消息中提取至少一个协议域；

对被提取的协议域和用于该协议域的个别模型进行关联，该模型选自模型的集合；

对被提取的协议域的内容是否在模型所定义的安全区域之内进行评估；及

如果证实被提取的协议域的内容在该安全区域之外，生成入侵检测信号。

对数据流量进行语法分析允许按照发生在数据网络上的数据通信对协议的单独域（称为“协议域”）进行辨别。然后对域（“协议域”）和模型进行关联（如果成功的话）。另外，提供模型的集合。对被提取的协议域选择合适的模型这将在下面进行详细解释。然后使用模型对协议域进行评估，以证实协议域的内容是否在正常、安全、可接受的范围之内。在后者的情况下，执行合适的动作。通过对协议消息进行语法分析，辨别出数据流量单独协议域，并选择出用于评估该特殊的协议域的合适的模型。从而，能进行恰当的评估，不同的协议域能应用不同的模型进行评估，例如对每个协议域应用根据该特别的协议域进行调整后的个别模型，例如应用根据协议域的类型和/或内容进行调整后的模型。本发明的入侵检测方法可以是在计算机上实行的入侵检测方法。语法分析器（即语法分析）可以使用预定义的协议规范。而且，例如如果该协议是未知的，能通过对网络上的数据流量进行监控和导出其协议规范来学习该协议。