[发明专利]一种光通信设备的轻量级入侵检测系统及方法

权利要求书

1.一种光通信设备的轻量级入侵检测系统，其特征在于：包括均设置于OpenWRT系统下的用户空间单元以及内核空间单元；

用户空间单元：用于获取IP数据包并对获取的网络数据进行配置初始化和规则初始化，并将IP数据包发送至内核空间单元；

内核空间单元：用于将发送至的IP数据包实现网络入侵检测的主要功能，包括数据包解码，提取有效载荷数据，并对有效载荷数据进行协议分析、内容搜索/匹配，完成入侵检测，同时将可疑数据输出到位于用户空间单元内的相应Log日志记录；

所述光通信设备的轻量级入侵检测系统作为嵌入式系统，以极简代码的嵌入式程序安装到PON网关的内部CPU中，针对PON网关和上网设备这两个区域之间流动的网络IP数据包，进行实时获取并完成分析。

2.根据权利要求1所述的一种光通信设备的轻量级入侵检测系统，其特征在于，所述用户空间单元包括捕捉模块、配置模块以及规则模块，所述捕捉模块、配置模块以及规则模块之间均建立通信连接；

捕捉模块：用于获取IP数据包并将其发送至配置模块；

配置模块：用于解析配置文件，对接收到的IP数据包进行配置初始化，并将配置初始化的IP数据包传递至规则模块中；

规则模块：用于解析规则文件，对接收到的配置初始化的IP数据包进行规则初始化，并将配置初始化和规则初始化后的IP数据包发送至内核空间单元。

3.根据权利要求2所述的一种光通信设备的轻量级入侵检测系统，其特征在于，所述内核空间单元包括解码模块、检测模块以及输出模块，所述解码模块、检测模块以及输出模块之间均建立通信连接；

解码模块：对网络IP数据包进行解码，并将已解码的有效载荷数据发送至检测模块；

检测模块：用于对解码的有效载荷数据进行检测，若为合法报文则正常上网，到达目的地址，若为非法报文则阻断其上网，并发送至输出模块；

输出模块：用于对非法报文的可疑数据输出至位于用户空间单元内部的相应Log日志记录。

4.根据权利要求3所述的一种光通信设备的轻量级入侵检测系统，其特征在于，所述用户空间单元还包括存储模块，所述存储模块用于对内核空间单元中输出的可疑数据文本文件进行存储。

5.根据权利要求4所述的一种光通信设备的轻量级入侵检测系统的检测方法，其特征在于，包括以下步骤：

S1：将本系统预置在PON网关的OpenWRT系统中，启动PON网关设备，并自动加载本系统；

S2：启动捕捉模块对PON网关和上网设备这两个区域之间流动的IP数据包进行扫描，搜寻并实时获取上网设备的网络数据；

S3：启动配置模块解析配置文件，对获取的网络数据进行配置初始化；同时启动规则模块解析规则文件，对获取的网络数据进行规则初始化；

S4：启动解码模块接收从OpenWRT系统用户空间单元送来的完成初始化后的网络IP数据包，并对网络IP数据包进行解码，提取有效载荷数据；

S5：通过检测模块接收已解码的有效载荷数据，按照预设的数据报文监控规则，对报头标志字段的内容进行搜索/匹配，符合标志字段设置要求的判定为正常报文，允许上网；发现不正常的报头标志字段时，标注为非法报文，阻断可疑数据访问并发出网络入侵风险告警，用户也可以通过Log日志文件查询到非法报文的相关信息；

S6：输出模块将可疑数据的相应Log日志记录输出到文本格式的文件中，存储到OpenWRT系统用户空间单元。

6.根据权利要求5所述的一种光通信设备的轻量级入侵检测系统的检测方法，其特征在于，所述S5中的数据报文监控规则包括监控报头标志字段，非法设置标志字段的数据报文判定为非法报文，并提示网络入侵风险。

7.根据权利要求6所述的一种光通信设备的轻量级入侵检测系统的检测方法，其特征在于，所述S6中的Log日志记录包括TCP、UDP、ICMP数据包的源、目的地址、端口号及数据包有效载荷数据，Log信息的数量和大小不受限制。