[发明专利]一种基于Suricata框架的DEC进程

说明书

本发明涉及一种基于Suricata框架的DEC进程（SDEC），包括捕包框架、TCP会话管理、应用层协议识别和还原库。本发明用于协议还原，对进入SDEC进程的流量报文进行识别，识别出具体的协议，并进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

技术领域

本发明涉及网络安全领域，具体涉及一种基于Suricata框架的DEC进程。

背景技术

Suricata是一套成熟的网络监测框架体系，本身具有高度可配特性，支持多种模式抓包，多种工作模式可以组合处理来提高处理性能。支持底层协议栈解析，高度流管控模块，以及数据流重组，协议识别引擎，同时兼容Snort规则，可以加载木马规则，检测一定的特征木马行为。就可扩展性而言：

（1）对协议识别模块进行改造，通过配置文件可配置，对于后期维护性比较好。

（2）对木马检测而言，可以通过添加木马规则来进行匹配告警。

协议还原模块有如下应用场合：

（1）分析网络中的垃圾邮件

为上层的垃圾邮件过滤模块服务，为垃圾邮件过滤模块提供应用层以下的数据和下面各层的接口，垃圾邮件模块只需要将重点放在应用层POP3协议和SMTP协议处理，直接使用协议还原模块作为下层输入。

（2）用于IPS入侵防御系统

为IPS入侵防御系统提供IP层的各种信息和IP报文内容，包含IP地址数据和数据包长度等。IPS可以在协议还原模块的基础上，进行各种入侵方式的防御开发。

发明内容

本发明的目的在于提供一种基于Suricata框架的DEC进程（SDEC），它用于协议还原，对进入SDEC进程的流量报文进行识别，识别出具体的协议，并进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

实现本发明目的的技术方案是：一种基于Suricata框架的DEC进程，其特征在于：它主要包括捕包框架、TCP会话管理、应用层协议识别和还原库。捕包框架与TCP会话管理连接，TCP会话管理与应用层协议识别连接，应用层协议识别与还原库连接。

本发明的工作原理是：捕包框架将捕到的2层报文投递给TCP会话管理进行处理；TCP会话管理对eth报文进行四元组会话管理，并进行TCP排序、重组等处理；排序重组后的有序报文，投递给应用层协议识别，识别出属于哪一种协议；应用层协议识别成功后，将报文投递到还原库中不同的协议解析线程，各协议解析线程对连接报文进行解析、还原，生产ticket和rawfile。

与现有技术相比，本发明具有以下优点：（1）支持流量线性扩充；（2）使用插件化的还原协议框架，方便后期扩展；（3）对用户的需求迅速进行响应；（4）兼容从低配到高配的硬件环境。

附图说明

图1是一种基于Suricata框架的DEC进程的框架组件图。

具体实施方式

下面结合附图对本发明作进一步详细描述。

结合图1，本发明一种基于Suricata框架的DEC进程，它主要包括捕包框架（1）、TCP会话管理（2）、应用层协议识别（3）和还原库（4）。捕包框架（1）与TCP会话管理（2）连接，TCP会话管理（2）与应用层协议识别（3）连接，应用层协议识别（3）与还原库（4）连接。