(19)中华人民共和国国家知识产权局*CN101938474A*(12)发明专利申请(10)申请公布号CN101938474A(43)申请公布日2011.01.05(21)申请号201010265793.1(22)申请日2010.08.27(71)申请人清华大学地址100084北京市100084-82信箱(72)发明人夏高刘斌李志春陈焰(74)专利代理机构北京清亦华知识产权代理事务所(普通合伙)11201代理人黄德海(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书3页说明书19页附图4页(54)发明名称一种网络入侵检测与防护的方法及装置(57)摘要本发明实施例提出了一种网络入侵检测与防护的方法，包括读入漏洞特征规则集并形成特征规则表，对匹配器进行重排序，并对特征规则表进行重排序和分组；采用增量解析方式对应用层数据进行解析；根据重排序后的匹配器和重排序及分组后的特征规则表，对应用层数据的解析结果进行依赖当前域匹配器的匹配，并执行候选项选择算法计算本轮存活的候选项，直至所有匹配器完成，最终存活的候选项为最终匹配规则；报告最终匹配规则，重置匹配器的状态，清空保存中间结果的存储空间，返回第一步。本发明实施例还提出了一种网络入侵检测与防护的装置。本发明在实现规则高速匹配的同时，减小了存储中间结果所需的存储空间，并且能够同时达到高速度和高准确性。CN1093847ACCNN110193847401938477A权利要求书1/3页1.一种网络入侵检测与防护的方法，其特征在于，包括如下步骤：S101：读入漏洞特征规则集并将其表格化以形成特征规则表，对所述特征规则表中的各个特征规则所对应的匹配器进行重排序，并对所述特征规则表进行重排序和分组；S102：获取应用层数据，采用增量解析方式对所述应用层数据进行解析；S103：根据所述重排序后的匹配器和重排序及分组后的所述特征规则表，对所述应用层数据的解析结果进行依赖当前域匹配器的匹配，并执行候选项选择算法计算本轮存活的候选项，并以所述本轮存活的候选项作为下轮匹配的输入，直至所有匹配器完成匹配，则最终存活的候选项为最终匹配规则；和S104：报告所述最终匹配规则，重置所述匹配器的状态，清空保存中间结果的存储空间，返回步骤S101。2.如权利要求1所述的检测与防护的方法，其特征在于，所述特征规则表包括：规则号、表征所述规则中的域的运算的匹配器和所述规则和匹配器确定的运算参数。3.如权利要求1所述的检测与防护的方法，其特征在于，所述对规则对应的匹配器进行重排序，包括：根据各个特征规则对应的匹配器的区分度从高到低对所述匹配器进行重排序；所述对特征规则表进行重排序和分组，包括：根据所述各个规则所依赖的匹配器出现的先后顺序对规则进行重排序，并根据所述各个规则所依赖的第一个匹配器的不同进行分组。4.如权利要求1所述的检测与防护的方法，其特征在于，所述采用增量解析方式对应用层数据进行解析，包括如下步骤：在所述应用层数据上移动指针；根据协议状态上下文判断当前指针所指数据所属的协议域，并根据所述协议域的类型处理所述应用层数据，更新并保存协议状态的上下文。5.如权利要求4所述的检测与防护的方法，其特征在于，所述协议域包括：无用域、解析过程中使用的域和漏洞特征规则中使用的域。6.如权利要求5所述的检测与防护的方法，其特征在于，所述对应用层数据的解析结果执行依赖当前域的匹配器的匹配算法，包括如下步骤：将所述漏洞特征规则中使用的域中的数据通过所述依赖当前域的匹配器与所述特征规则表进行匹配，如果当前域的数据全部到达之后，当匹配成功时，则取出匹配成功的规则作为本次匹配的候选项进行候选项选择算法运算；当匹配不成功时，则将空集作为本次匹配的候选项进行候选项选择算法运算。7.如权利要求6所述的检测与防护的方法，其特征在于，所述匹配器并行匹配依赖其的所有特征规则，包括：每个匹配器的匹配算法均为并行匹配所有依赖该匹配器的规则的算法。8.如权利要求6所述的检测与防护的方法，其特征在于，对所述本次匹配的候选项采用候选项选择算法，包括：将所述经过当前域对应的匹配器匹配得到的候选项，与上一轮存活的候选项通过候选项选择算法进行运算，运算所选出的候选项为本轮存活的候选项，直至所有匹配器均已执2CCNN110193847401938477A权利要求书2/3页行匹配算法和候选项选择算法，则最终存活候选项为最终匹配的规则。9.如权利要求8所述的检测与防护的方法，其特征在于，获取本轮存活的候选项，包括如下步骤：设第i轮存活的候选项集合为Si，则：其中，Si-1为第i-1轮存活的候选项集合；Ai为来自规则分组RB1、RB2至RBi-1的规则的集合与当前匹配器所匹配的候选项的集合的交集，即其中，Ci为匹配器Mi选