| � 深度包检测的数据流程主要为:操作人员启动采集,程序先调入相应的协议规则,程序通过 libpcap 对相应网络端口中对应协议的数据进行抓包捕获,对数据包进行协议分析拆包处理后,调入正则规则并进行优化处理,将数据包内容与优化过的规则进行多线程匹配,获得相应的处理结果存入数据库中,再次进行下一步处理。
3.3 复合型检测方法研究与分析
复合型检测,既结合了基于流特征的检测,从宏观上检测整个网络的安全状态,又结合了深度包检测的方法,对某些安全事件进行包内容的详细特征检测,可以极大的提高安全事件检测的准确度,减少误报率和漏报率,并可有效地提高深度包检测的效率,大幅降低深度包检测对系统的配置要求。
根据复合型规则的定义,来处理流检测和深度包检测的关系。可以根据不同的安全事件定义对应的复合方式,即可实现两种检测方法同时进行,也可先进行流检测符合相应规则后,再进行深度包检测,最后判定是否为此安全事件。
复合型规则中,数据流规则与深度包规则的对应关系是 M:N 的关系。既一个数据流规则可以对应多个深度包规则,这表示这个数据流预警的安全事件可能是由多种深度包预警的安全事件引起,需要多个深度包检测来进行确认。同时多个数据流规则可以对应一个深度包规则,这表示这个深度包规则对应的安全事件可以引起发生多条数据流预警的安全事件。这种设计方式可方便地通过基础安全事件扩展多种不同的安全事件。
4 总结
本文通过分析现有网络安全事件检测系统的相关技术,对几种检测方法进行了研究和总结,已通过这些方法的运用来提高了网络安全事件预警系统中的准确性。
【参考文献】
[1] 张险峰,秦志光,刘锦德;网络安全分布式预警体系结构研究[J];计算机应用;2004年05期
[2] 彭云峰;沈明玉;;入侵防御系统在应急平台网络中的应用研究[J];计算机技术与发展;2009年02期
2/2 首页 上一页 1 2 |
