一种网络攻击的防御方法和系统技术方案

本申请提供了一种网络攻击的防御方法和系统，该方法包括：截获外网向内网传输的数据包；获取该数据包的目的端口号；确定该数据包所请求的访问操作的操作类型；根据预置的端口号与敏感操作类型的对应关系，判断该操作类型是否属于该目的端口号对应的敏感操作类型；当该操作类型属于该目的端口号对应的敏感操作类型时，检测该数据包中是否包含有预置的特征库中的特征码；如果检测到该数据包中包含有预置的特征库中的特征码，则按照预设的防御方式处理该数据包。该方法和系统可以减少检测网络攻击的数据处理量。

【技术实现步骤摘要】
一种网络攻击的防御方法和系统
本申请涉及网络
，更具体的说是涉及一种网络攻击的防御方法和系统。
技术介绍
随着网络技术的不断进步，网络领域中的网络攻击也越来越多。为了防御网络攻击，一般会在内网与外网之间设置入侵防御系统(IPS，IntrusionPreventionSystem)，以通过入侵防御系统检测出网络攻击行为并作出防御响应。入侵防御系统可以通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的形式。然而目前的入侵防御系统检测网络攻击的过程中，需要对截获的所有数据包均进行特征检测，以确定该数据包所请求的访问请求是否为网络攻击，导致数据处理量过大。
技术实现思路
有鉴于此，本申请提供了一种网络攻击的防御方法和系统，以减少检测网络攻击的数据处理量。为实现上述目的，本申请提供如下技术方案：一种网络攻击的防御方法，包括：截获外网向内网传输的数据包；获取所述数据包的目的端口号；确定所述数据包所请求的访问操作的操作类型；根据预置的端口号与敏感操作类型的对应关系，判断所述操作类型是否属于所述目的端口号对应的敏感操作类型；当所述操作类型属于所述目的端口号对应的敏感操作类型时，则检测所述数据包中是否包含有预置的特征库中的特征码；如果检测到所述数据包中包含有预置的特征库中的特征码，则按照预设的防御方式处理所述数据包。优选的，所述操作类型包括以下一种或多种：写操作、读操作和代码执行操作，所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码；则，确定所述数据包所请求的访问操作的操作类型，包括：解析所述数据包表征操作类型的操作码，识别所述操作码所对应的操作指令，其中，操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。优选的，在所述确定所述数据包所请求的访问操作的操作类型之前，还包括：检测所述数据包中是否包含有预置的关键特征码，其中，所述关键特征码为基于网络攻击行为中的通用指令确定的；如果所述数据包中包含有所述关键特征码，则按照所述预设的防御方式处理所述数据包；如果所述数据包中未包含有所述关键特征码，则执行所述确定所述数据包所请求的访问操作的操作类型。优选的，在确定所述数据包所请求的访问操作的操作类型之前，还包括：对所述数据包进行协议解析；如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式，则按照所述预设的防御方式处理所述数据包；如果解析出所述数据包所采用的协议格式属于预置的可信协议格式，对所述数据包进行完整性检测，并得到完整性检测结果；则所述确定所述数据包所请求的访问操作的操作类型，包括：基于所述完整性检测结果，将所述数据包与所述数据包关联的数据包进行排序重组；确定排序重组后的数据包所请求的访问操作的操作类型。优选的，所述预设的防御方式可以包括一项任意一种或多种方式：丢弃所述数据包；终止所述数据包对应的会话；输出针对所述数据包的报警信息；发送控制报文协议不可达数据包；记录日志。另一方面，本申请实施例还提供了一种网络攻击的防御系统，包括：存储单元，用于存储预置的端口号与敏感操作的对应关系；数据截获单元，用于截获外网向内网传输的数据包；端口号解析单元，用于获取所述数据包的目的端口号；操作类型确定单元，用于确定所述数据包所请求的访问操作的操作类型；异常识别单元，用于根据所述存储单元中预置的所述端口号与敏感操作类型的对应关系，判断所述操作类型是否属于所述目的端口号对应的敏感操作类型；基础特征检测单元，用于当所述操作类型属于所述目的端口号对应的敏感操作类型时，检测所述数据包中是否包含有预置的特征库中的特征码；攻击处理单元，用于如果检测到所述数据包中包含有预置的特征库中的特征码，则按照预设的防御方式处理所述数据包。优选的，所述操作类型确定的所述操作类型包括以下一种或多种：写操作、读操作和代码执行操作，所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码；则，操作类型确定单元，包括：操作类型确定子单元，用于解析所述数据包表征操作类型的操作码，识别所述操作码所对应的操作指令，其中，操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。优选的，所述防御系统，还包括：关键特征检测单元，用于在所述操作类型确定单元确定所述数据包所请求的访问操作的操作类型之前，检测所述数据包中是否包含有预置的关键特征码，其中，所述关键特征码为基于网络攻击行为中的通用指令确定的；如果所述数据包中包含有所述关键特征码，则按照预设的防御方式处理所述数据包；如果所述数据包中未包含有所述关键特征码，则触发执行所述操作类型确定单元的操作。优选的，还包括：协议解析单元，用于对所述数据包进行协议解析；防御处理单元，用于如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式，则按照预设的防御方式处理所述数据包；完整性检测单元，用于如果解析出所述数据包所采用的协议格式属于预置的可信协议格式，对所述数据包进行完整性检测，并得到完整性检测结果；则，所述操作类型确定单元，包括：排序重组单元，用于基于所述完整性检测结果，将所述数据包与所述数据包关联的数据包进行排序重组；确定子单元，用于确定排序重组后的数据包所请求的访问操作的操作类型。优选的，所述防御方式包括一项任意一种或多种方式：丢弃所述数据包；终止所述数据包对应的会话；输出针对所述数据包的报警信息；发送控制报文协议不可达数据包；记录日志。经由上述的技术方案可知，在截获了外网向内网传输的数据包之后，先分析该数据包的目标端口号和数据包所请求的访问操作的操作类型，并检测该数据包所请求的访问操作的操作类型是否属于该目的端口号的敏感操作类型，以筛选出可能所请求的访问操作属于网络攻击行为的数据包，从而可以在数据包所请求的访问操作的操作类型属于目的端口的敏感操作类型时，才会检测该数据包是否包含预置的特征库中的特征码，从而无需对所有的数据包均进行特征码检测，有利于减少检测网络攻击行为的数据处理量。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1示出了本申请一种网络攻击的防御方法一个实施例的流程示意图；图2示出了本申请一种网络攻击的防御方法另一个实施例的流程示意图；图3示出了本申请一种网络攻击的防御系统一个实施例的结构示意图。具体实施方式本申请实施例提供了一种网络攻击的防御方法和系统，该方法和系统可以提高检测网络攻击的准确性，进而有利于准确可靠的阻断网络攻击。下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。首先对本申请的一种网络攻击的防御方法进行介绍。参见图1，其示出了本申请一种网络攻击的防御方法一个实施例的流程示意图，本申请实施例可以应用于内网与外网之间的入侵防御系统内，本实施例的方法可以包括：101，截获外网向内网传输的数据包。与现有的相似，本实施本文档来自技高网...

【技术保护点】
一种网络攻击的防御方法，其特征在于，包括：截获外网向内网传输的数据包；获取所述数据包的目的端口号；确定所述数据包所请求的访问操作的操作类型；根据预置的端口号与敏感操作类型的对应关系，判断所述操作类型是否属于所述目的端口号对应的敏感操作类型；当所述操作类型属于所述目的端口号对应的敏感操作类型时，则检测所述数据包中是否包含有预置的特征库中的特征码；如果检测到所述数据包中包含有预置的特征库中的特征码，则按照预设的防御方式处理所述数据包。

【技术特征摘要】
1.一种网络攻击的防御方法，其特征在于，包括：截获外网向内网传输的数据包；获取所述数据包的目的端口号；确定所述数据包所请求的访问操作的操作类型；根据预置的端口号与敏感操作类型的对应关系，判断所述操作类型是否属于所述目的端口号对应的敏感操作类型；当所述操作类型属于所述目的端口号对应的敏感操作类型时，则检测所述数据包中是否包含有预置的特征库中的特征码；如果检测到所述数据包中包含有预置的特征库中的特征码，则按照预设的防御方式处理所述数据包。2.根据权利要求1所述的防御方法，其特征在于，所述操作类型包括以下一种或多种：写操作、读操作和代码执行操作，所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码；则，确定所述数据包所请求的访问操作的操作类型，包括：解析所述数据包表征操作类型的操作码，识别所述操作码所对应的操作指令，其中，操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。3.根据权利要求1所述的防御方法，其特征在于，在所述确定所述数据包所请求的访问操作的操作类型之前，还包括：检测所述数据包中是否包含有预置的关键特征码，其中，所述关键特征码为基于网络攻击行为中的通用指令确定的；如果所述数据包中包含有所述关键特征码，则按照所述预设的防御方式处理所述数据包；如果所述数据包中未包含有所述关键特征码，则执行所述确定所述数据包所请求的访问操作的操作类型。4.根据权利要求1所述的防御方法，其特征在于，在确定所述数据包所请求的访问操作的操作类型之前，还包括：对所述数据包进行协议解析；如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式，则按照所述预设的防御方式处理所述数据包；如果解析出所述数据包所采用的协议格式属于预置的可信协议格式，对所述数据包进行完整性检测，并得到完整性检测结果；则所述确定所述数据包所请求的访问操作的操作类型，包括：基于所述完整性检测结果，将所述数据包与所述数据包关联的数据包进行排序重组；确定排序重组后的数据包所请求的访问操作的操作类型。5.根据权利要求1至4任一项所述的防御方法，其特征在于，所述预设的防御方式可以包括一项任意一种或多种方式：丢弃所述数据包；终止所述数据包对应的会话；输出针对所述数据包的报警信息；发送控制报文协议不可达数据包；记录日志。6.一种网络攻击的防御系统，其特征在于，包括：存储单元，用于存储预置的端口号与敏感操作的对应关系；数据截获单元，用于截获...

【专利技术属性】
技术研发人员：高洋，贾斯亮，赵贵阳，周春楠，
申请(专利权)人：亿阳安全技术有限公司，
类型：发明
国别省市：北京,11