公开了一种攻击检测方法及装置。一种攻击检测方法,其特征在于,预先配置攻击特征决策树,该决策树由顺序连接的若干层组成,且每层由顺序连接的若干节点组成,所述方法包括:步骤A、接收报文;步骤B、遍历所述决策树中的各节点,查找所述报文中是否包括各节点存储的攻击特征;若查找到所述报文中包括任一节点存储的攻击特征,则转至步骤C处理;步骤C、获取查找到的节点中存储的处理动作,根据所获取的处理动作,处理该报文并确定是否进行后续步骤;若是,则转至步骤D处理;步骤D、确定查找到的节点中是否存在对应的下层节点;若是,则确定所对应的下层节点并将该节点作为查找到的节点,转至步骤C处理。
【技术实现步骤摘要】
一种攻击检测方法及装置
本说明书实施例涉及网络通信
,尤其涉及一种攻击检测方法及装置。
技术介绍
目前,为了防御网络入侵与攻击,一般会在服务器群组入口或网络入口等处,部署IPS(IntrusionPreventionSystem,入侵防御系统)设备,IPS设备中一般以特征库的形式,存储着协议头部特定字段、报文中特定字符串等常见的网络攻击特征,此外,对于特定形式的攻击特征,也可以通过自定义特征的形式存储。目前自定义特征一般采用链表数组存储,这种存储结构的存储效率较高,但是在检测流量是否携带所存储特征时,查询效率较低,使得对于自定义特征的攻击检测的效率较低。
技术实现思路
有鉴于此,本说明书实施例提供一种攻击检测方法及装置,技术方案如下:一种攻击检测方法,其特征在于,预先配置攻击特征决策树,该决策树由顺序连接的若干层组成,且每层由顺序连接的若干节点组成,所述方法包括:步骤A、接收报文;步骤B、遍历所述决策树中的各节点,查找所述报文中是否包括各节点存储的攻击特征;若查找到所述报文中包括任一节点存储的攻击特征,则转至步骤C处理;步骤C、获取查找到的节点中存储的处理动作,根据所获取的处理动作,处理该报文并确定是否进行后续步骤;若是,则转至步骤D处理;若否,则结束检测;步骤D、确定查找到的节点中是否存在对应的下层节点;若是,则确定所对应的下层节点并将该节点作为查找到的节点,转至步骤C处理;若否,则结束检测。一种攻击检测装置,其特征在于,预先配置攻击特征决策树,该决策树由顺序连接的若干层组成,且每层由顺序连接的若干节点组成,所述装置包括:报文接收模块,用于接收报文;特征查找模块,用于遍历所述决策树中的各节点,查找所述报文中是否包括各节点存储的攻击特征;若查找到所述报文中包括任一节点存储的攻击特征,则转至报文处理模块处理;报文处理模块,用于获取查找到的节点中存储的处理动作,根据所获取的处理动作,处理该报文并确定是否进行后续步骤;若是,则转至下层节点确定模块处理;若否,则结束检测;下层节点确定模块,用于确定查找到的节点中是否存在对应的下层节点;若是,则确定所对应的下层节点并将该节点作为查找到的节点,转至报文处理模块处理;若否,则结束检测。本说明书实施例所提供的技术方案,预先采用决策树的形式存储用户自定义的攻击特征,尤其是可以跨多层次地自定义特征,可以提高攻击检测时的特征匹配效率,从而较快地对外部攻击特征采取相应的处理动作,实现高效的入侵防御。此外,决策树的存储形式还可以减少存储内存,节约存储成本。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书实施例。此外,本说明书实施例中的任一实施例并不需要达到上述的全部效果。附图说明为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。图1是本说明书实施例的决策树的一种结构示意图;图2是本说明书实施例的节点的一种结构示意图;图3是本说明书实施例攻击检测方法的流程示意图;图4是本说明书实施例攻击检测装置的结构示意图;图5是本说明书实施例报文处理模块的结构示意图。具体实施方式为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。在常见的网络报文攻击特征中,部分特征的提取方式,是基于协议的头部特定字段、报文中特定字符串等,这些特征一般存储于IPS设备的特征库中。而还有部分特征,仅仅是敷在部分存在一定规律,例如,报文为特定长度、报文负载的某个字节为特定字符、等等,对于这类特征,可以通过用户自定义的方式提取并存储。但是,现有技术中通常采用的链表数组存储方式,在查询特征时效率较低,使得对于自定义特征的攻击检测的效率较低。针对上述技术问题,本说明书提供一种通过预先配置的决策树存储自定义特征的方案,该决策树由顺序连接的若干层组成,具体地,用户可以根据检测需求对各层进行设定与划分。本说明书实施例中,可以根据不同的网络协议设定决策树中的对应层。例如,决策树的各层可以分别为ETH协议层、IP协议层、TCP协议层、UDP协议层、和/或HTTP协议层、等等。此外,每层由顺序连接的若干节点组成。图1所示为一种决策树的结构示意图,包括ETH协议层、IP协议层、TCP协议层及HTTP协议层。每层均包括1个至多个节点。每个节点中可以在自定义特征时,预先存储若干信息。图2所示为一种节点的结构示意图,其中预先存储的信息可以包括:特征标识,特征标识的值是否为0,可以表示至此是否满足某个特征的全部特性;处理动作,用于表示针对具有本节点特征的报文如何处理;下层标识,用于表示本节点是否在下层中存在对应节点,即本节点的特征是否存在下一层协议的特性,例如,当下层标识的值为0,表示不存在对应的下层节点,而当下层标识的值为1,表示存在对应的下层节点;本层协议链,本层协议链上的各节点均为基于同一个上层节点的、互斥的,而不同的上层节点可能对应信息相同的本层节点;下层协议连,下层协议链可以有N条,其中,N的数值与下层协议数相关。例如,特征A在ETH协议层具备特性,并分别对应节点ETH_Node1和ETH_Node3。则节点ETH_Node1与ETH_Node3中,存储的特征标识均为A,下层标识均为0(表示不存在对应的下层节点),本层协议链与其他特征的ETH节点相连。又例如,特征B在ETH协议层具备特性,并对应节点ETH_Node2,而特征C在ETH协议层、IP协议层具备特性,并对应节点ETH_Node2和IP_Node1。则节点ETH_Node2中,预先存储的特征标识为B,下层标识为1(表示存在对应的下层节点),本层协议链与其他特征的ETH节点相连,下层协议链中IP链指向IP_Node1。而节点IP_Node1中,预先存储的特征标识为C,下层标识为0,本层协议链与其他特征的IP节点相连,下层协议链为空。再例如,特征D在ETH协议层、IP协议层及HTTP协议层具备特性,并对应节点ETH_Node2、IP_Node1及HTTP_Node1。则如前面所述,节点ETH_Node2中,预先存储的特征标识为B,下层标识为1,本层协议链与其他特征的ETH节点相连,下层协议链中IP链指向IP_Node1;节点IP_Node1中,预先存储的特征标识为C,下层标识为1,本层协议链与其他特征的IP节点相连,下层协议链为中TCP链建立一个无特征的节点TCP_Node1;即节点TCP_Node1中,特征标识为0,而下层标识为1,本层协议链与其他特征的TCP节点相连,下层协议链中HTTP链指向HTTP_Node1;节点HTTP_Node1中,预先存储的特征标识为D,下层协议为0,本层协议链与其他特征的HTTP节点相连,下层协议链为空。对应上述的决策树自定义特征存储方案,本说明书提供一种攻击检测方本文档来自技高网...
【技术保护点】
1.一种攻击检测方法,其特征在于,预先配置攻击特征决策树,该决策树由顺序连接的若干层组成,且每层由顺序连接的若干节点组成,所述方法包括:步骤A、接收报文;步骤B、遍历所述决策树中的各节点,查找所述报文中是否包括各节点存储的攻击特征;若查找到所述报文中包括任一节点存储的攻击特征,则转至步骤C处理;步骤C、获取查找到的节点中存储的处理动作,根据所获取的处理动作,处理该报文并确定是否进行后续步骤;若是,则转至步骤D处理;若否,则结束检测;步骤D、确定查找到的节点中是否存在对应的下层节点;若是,则确定所对应的下层节点并将该节点作为查找到的节点,转至步骤C处理;若否,则结束检测。
【技术特征摘要】
1.一种攻击检测方法,其特征在于,预先配置攻击特征决策树,该决策树由顺序连接的若干层组成,且每层由顺序连接的若干节点组成,所述方法包括:步骤A、接收报文;步骤B、遍历所述决策树中的各节点,查找所述报文中是否包括各节点存储的攻击特征;若查找到所述报文中包括任一节点存储的攻击特征,则转至步骤C处理;步骤C、获取查找到的节点中存储的处理动作,根据所获取的处理动作,处理该报文并确定是否进行后续步骤;若是,则转至步骤D处理;若否,则结束检测;步骤D、确定查找到的节点中是否存在对应的下层节点;若是,则确定所对应的下层节点并将该节点作为查找到的节点,转至步骤C处理;若否,则结束检测。2.根据权利要求1所述的方法,其特征在于,所述顺序连接的若干层,包括:根据网络协议确定的若干层;所述网络协议包括:ETH协议、IP协议、TCP协议、UDP协议、和/或HTTP协议。3.根据权利要求1所述的方法,其特征在于,所述根据所获取的处理动作,处理该报文并确定是否进行后续步骤,包括:在所获取处理动作为转发的情况下,根据该处理动作转发所述报文,并结束检测;和/或在所获取处理动作为告警的情况下,根据预设告警规则发出警告,并进行后续步骤;和/或在所获取处理动作为阻断的情况下,根据预设阻断规则阻断所述报文的传输,并结束检测。4.根据权利要求1所述的方法,其特征在于,所述决策树的节点存储的信息还包括:下层标识,用于表示本节点是否存在对应的下层节点;所述确定查找到的节点中是否存在对应的下层节点,包括:根据查找到的节点中存储的下层标识的值,确定该节点是否存在对应的下层节点。5.根据权利要求1所述的方法,其特征在于,所述决策树的节点存储的信息还包括:下层协议链,用于表示本节点对应的下层节点;所述确定所对应的下层节点,包括:根据查找到的节点中存储的下层协议链,确定对应的下层节点。6.一种攻击检测装置,其特征在...
【专利技术属性】
技术研发人员:左虹,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。