本发明专利技术公开了一种基于对象分析的攻击识别方法及装置。其中的方法包括:构建特征库,所述特征库包括多条特征表达式,每条特征表达式具有对象的属性;构建多模库,所述多模库包括多条关键字,每条关键字具有对象的属性;所述多模库中的关键字与所述特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字与特征表达式具有相同的属性;基于所述特征库及所述多模库,对解析消息后获得的对象的数据进行匹配,确定是否存在攻击。本发明专利技术基于对象进行有针对性的过滤,且通过多模库与特征库结合的方式,可以将大部分安全数据进行过滤,而不需要对大部分数据进行繁琐的字符匹配,从而显著提高检测效率。
【技术实现步骤摘要】
本专利技术涉及网络安全
,具体涉及一种基于对象分析的攻击识别方法及装 置。
技术介绍
网络攻击,是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系 统中的数据进行的攻击。攻击分为主动攻击和被动攻击。主动攻击是指包含攻击者访问 所需要信息的故意行为。被动攻击主要是收集信息而不是进行访问,数据的合法用户对这 种活动一点也不会察觉到。被动攻击包括:1、窃听:包括键击记录、网络监听、非法访问数 据、获取密码文件;2、欺骗:包括获取口令、恶意代码、网络欺骗;3、拒绝服务:包括导致异 常型、资源耗尽型、欺骗型;4、数据驱动攻击:包括缓冲区溢出、格式化字符串攻击、输入验 证攻击、同步漏洞攻击、信任漏洞攻击。 现有攻击的一种识别方案是基于正则表示进行的。基于正则表达式的攻击识别方 案的一般步骤为:针对攻击构造关键字符;构造正则表达式;判断是否有与正则表达式匹 配得的数据,如果有,则确定存在攻击。正则表达式是基于字符的逻辑过滤,检测效率低。以 对http请求消息进行攻击检测为例,是对所有包含的字符进行正则表达式匹配,随着攻击 特征以及数据请求量两方面增长,造成特征库特别庞大,而正则表达式匹配性能并非线性 增长,而是n*n的增长关系,效率会降到很低。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上 述问题的基于对象分析的攻击识别方法及装置。 依据本专利技术的一个方面,提供一种基于对象分析的攻击识别方法,其特征在于,包 括:构建特征库,所述特征库包括多条特征表达式,每条特征表达式具有对象的属性;构建 多模库,所述多模库包括多条关键字,每条关键字具有对象的属性;所述多模库中的关键字 与所述特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字与特征表 达式具有相同的属性;基于所述特征库及所述多模库,对解析消息后获得的对象的数据进 行匹配,确定是否存在攻击。 优选的,所述基于所述特征库及所述多模库,对解析消息后获得的对象的数据进 行匹配,确定是否存在攻击包括:对获取的消息进行协议分析,解析获得一个或多个对象的 数据;针对所述对象的数据,利用多模库进行多模匹配,如果匹配到针对该对象的关键字, 则进行后续步骤,否则确定不存在攻击;从特征库中匹配是否存在针对该对象的、与匹配的 关键字具有映射关系的特征表达式,如果没有匹配到特征表达式,则确定不存在攻击,否则 进行后续步骤;基于所述针对该对象的、与匹配的关键字对应的特征表达式,对该对象的数 据进行规则匹配,如果匹配成功,则确定存在攻击,否则确定不存在攻击。 优选的,所述多模库根据所述特征库构建,每一条关键字代表一个模式。 优选的,确定一条关键字是否为针对所述对象的关键字的方式为:确定该关键字 的属性是否为所述对象;确定一条特征表达式是否为针对所述对象的特征表达式的方式 为:确定该特征表达式的属性是否为所述对象。 优选的,在构建所述特征库过程中,基于攻击的类型,按照主类、子类和规则的方 式组织所述多条特征表达式;在构架所述多模库过程中,基于攻击的类型,按照主类、子类 和规则的方式组织所述多条关键字。 优选的,所述消息为应用层协议消息;所述应用层协议包括TFTP、HTTP、SNMP、 FTP、SMTP、DNS或Telnet协议。 优选的,所述消息是指http协议消息;所述对象是指http协议消息的预定义字 段,包括url、reference、参数、cookie。 优选的,采用多模匹配算法进行所述多模匹配;所述多模匹配算法为ACBM算法。 依据本专利技术的另一个方面,提供一种基于对象分析的攻击识别装置,包括:消息获 取单元,用于获取消息;消息解析单元,用于对获取的消息进行协议分析,解析获得一个或 多个对象的数据;特征库构建单元,用于构建所述特征库,所述特征库包括多条特征表达 式,每条特征表达式具有对象的属性;多模库构建单元,用于构建所述多模库,所述多模库 包括多条关键字,每条关键字具有对象的属性;其中,所述多模库中的关键字与特征库中的 一条或多条特征表达式具有映射关系,具有映射关系的关键字与特征表达式具有相同的属 性;匹配单元,用于基于所述特征库及所述多模库,对所述消息解析单元获得的对象的数据 进行匹配,确定是否存在攻击。 优选的,所述匹配单元包括:多模匹配子单元,用于针对所述对象的数据,利用多 模库进行多模匹配;映射确定子单元,用于从特征库中匹配是否存在针对该对象的、与匹配 的关键字具有映射关系的特征表达式;规则匹配子单元,用于基于所述针对该对象的、与匹 配的关键字对应的特征表达式,对该对象的数据进行规则匹配;结果确定子单元,用于根据 多模匹配子单元、映射确定子单元及规则匹配子单元的确认结果确定是否存在攻击,其中, 如果多模匹配子单元未匹配到针对该对象的关键字、所述映射确定子单元没有匹配到特征 表达式或者所述规则匹配子单元没有匹配成功,则确定不存在攻击,如果所述规则匹配子 单元匹配成功,则确定存在攻击。 优选的,所述多模库根据所述特征库构建,每一条关键字代表一个模式。 优选的,所述映射确定子单元确定一条关键字是否为针对所述对象的关键字的方 式为:确定该关键字的属性是否为所述对象;所述规则匹配子单元确定一条特征表达式是 否为针对所述对象的特征表达式的方式为:确定该特征表达式的属性是否为所述对象。 优选的,所述特征库构建单元,在构建所述特征库过程中,用于基于攻击的类型, 按照主类、子类和规则的方式组织所述多条特征表达式;所述多模库构建单元,在构架所述 多模库过程中,用于基于攻击的类型,按照主类、子类和规则的方式组织所述多条关键字。 优选的,所述消息获取单元获取的所述消息为应用层协议消息;所述应用层协议 包括TFTP、HTTP、SNMP、FTP、SMTP、DNS或Telnet协议。 优选的,所述消息获取单元获取的所述消息是指http协议消息;所述消息解析单 元获得的所述对象是指http协议消息的预定义字段,包括url、reference、参数、cookie。 优选的,所述多模匹配单元采用多模匹配算法进行所述多模匹配;所述多模匹配 算法为ACBM算法。 可见,本专利技术基于对象进行有针对性的过滤,且通过多模库与特征库结合的方式, 可以将大部分安全数据进行过滤,而不需要对大部分数据进行繁琐的字符匹配,从而显著 提_检测效率 进一步,由于本专利技术对数据进行多模过滤、特征过滤及字符匹配三个层次的过滤, 对于安全数据在第一层次或第二层次即可保证安全过滤,而不必进行繁琐的字符过滤。在 第一层次过滤中,过滤掉所有的安全请求数据;第二层次过滤中,对有嫌疑的数据做一次初 步的过滤;第三层次过滤中,消息有攻击行为的可能行就非常大,用特征表达式来确定。采 用本专利技术实施例,通过第一层次能够过滤掉绝大部分的数据,第二层次和第三层次过滤中, 处理的请求数据大概在很小(据统计约为10%)的比例。也就是,不需要对绝大部分的正常 数据进行特征正则表达式匹配处理。由此,检测效率有显著提高。 上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段, 而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够 更明显易懂,以下本文档来自技高网...
【技术保护点】
一种基于对象分析的攻击识别方法,其特征在于,包括:构建特征库,所述特征库包括多条特征表达式,每条特征表达式具有对象的属性;构建多模库,所述多模库包括多条关键字,每条关键字具有对象的属性;所述多模库中的关键字与所述特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字与特征表达式具有相同的属性;基于所述特征库及所述多模库,对解析消息后获得的对象的数据进行匹配,确定是否存在攻击。
【技术特征摘要】
【专利技术属性】
技术研发人员:姚熙,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。