一种支持特征跨包的编码攻击检测方法和装置制造方法及图纸

本申请提供一种支持特征跨包的编码攻击检测方法和装置，应用于IPS设备，所述方法包括：在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符；结构体用于存储对应于所述会话的未解码字符、编码方式和多模式匹配进度；当所述结构体存在未解码字符时，合并所述未解码字符和所述报文的报文负载；根据所述结构体中的编码方式，对合并后的所述未解码字符和所述报文的报文负载进行解码；基于预先配置的攻击特征，在所述多模式匹配进度的基础上，对解码后的未解码字符和所述报文的报文负载进行多模式匹配，以确定所述报文是否为攻击报文。本申请解决了报文经过编码，且攻击特征跨包时，无法检测到攻击报文的问题。

【技术实现步骤摘要】

本申请涉及信息安全领域，特别涉及一种支持特征跨包的编码攻击检测方法和装置。
技术介绍
随着网络入侵事件的不断增加和攻击水平的不断提高，一些企业和单位的网络时刻面临着大量进攻威胁。为解决这一问题，一般部署IPS(IntrusionPrevention System，入侵防御系统)设备进行攻击防护。IPS设备检查攻击基于特征匹配原理，根据预先下发的攻击特征与网络中数据包进行匹配，匹配成功则认为数据包存在攻击，匹配失败则对该数据包放行。如果网络中传输的报文经过编码，且攻击特征因报文分段而跨包时，IPS设备可能无法检测到完整的攻击特征，造成安全防御出现漏洞。
技术实现思路
有鉴于此，本申请提供一种支持特征跨包的编码攻击检测方法和装置，用于解决网络中传输的报文经过编码，且攻击特征因报文分段而跨包时，IPS设备无法检测到报文中完整的攻击特征的问题。具体地，本申请是通过如下技术方案实现的：一种支持特征跨包的编码攻击检测方法，应用于IPS设备，包括：在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符；所述结构体用于存储对应于所述会话的未解码字符、编码方式以及多模式匹配进度；当所述结构体存在未解码字符时，合并所述未解码字符和所述报文的报文负载；根据所述结构体中的编码方式，对合并后的所述未解码字符和所述报文的报文负载进行解码处理；基于预先配置的攻击特征，在所述多模式匹配进度的基础上，基于预设的多模式匹配算法对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配，以确定所述报文是否为攻击报文。在所述支持特征跨包的编码攻击检测方法中，还包括：当接收到所述报文时，读取所述报文的编码方式字段；基于读取到的所述编码方式字段中记录的信息判断所述报文是否经过编码。在所述支持特征跨包的编码攻击检测方法中，在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符，包括：在针对接收到的报文进行解码时，判断所述报文所在的会话是否存在对应的结构体；如果所述报文所在的会话不存在所述结构体，为所述报文所在的会话创建所述结构体；将所述报文的编码方式存储在所述结构体中。在所述支持特征跨包的编码攻击检测方法中，还包括：当针对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配后，未查找到完整的攻击特征时，在所述结构体中记录当前的多模式匹配进度，对所述结构体中记录的多模式匹配进度进行更新。在所述支持特征跨包的编码攻击检测方法中，还包括：当所述结构体中不存在未解码字符时，根据所述结构体中记录的编码方式，对所述报文的报文负载进行解码处理；基于预先配置的所述攻击特征，在所述多模式匹配进度的基础上，基于预设的多模式匹配算法对解码后的所述报文的报文负载进行多模式匹配；当针对解码后的所述报文的报文负载进行多模式匹配后，未查找到完整的攻击特征时，在所述结构体中记录当前的多模式匹配进度，对所述结构体中记录的多模式匹配进度进行更新。在所述支持特征跨包的编码攻击检测方法中，还包括：当解码处理后仍存在无法解码的字符时，将该字符作为所述未解码字符存储到所述结构体中。所述多模式匹配算法为AC算法。一种支持特征跨包的编码攻击检测装置，应用于IPS设备，包括：判断单元，用于在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符；所述结构体用于存储对应于所述会话的未解码字符、编码方式以及多模式匹配进度；合并单元，用于当所述结构体存在未解码字符时，合并所述未解码字符和所述报文的报文负载；解码单元，用于根据所述结构体中的编码方式，对合并后的所述未解码字符和所述报文的报文负载进行解码处理；查找单元，用于基于预先配置的攻击特征，在所述多模式匹配进度的基础上，基于预设的多模式匹配算法对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配，以确定所述报文是否为攻击报文。在所述支持特征跨包的编码攻击检测装置中，还包括：读取单元，用于当接收到所述报文时，读取所述报文的编码方式字段；所述判断单元，进一步用于基于读取到的所述编码方式字段中记录的信息判断所述报文是否经过编码。在所述支持特征跨包的编码攻击检测装置中，所述判断单元，进一步用于：在针对接收到的报文进行解码时，判断所述报文所在的会话是否存在对应的结构体；如果所述报文所在的会话不存在所述结构体，为所述报文所在的会话创建所述结构体；将所述报文的编码方式存储在所述结构体中。在所述支持特征跨包的编码攻击检测装置中，还包括：存储单元，用于当针对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配后，未查找到完整的攻击特征时，在所述结构体中记录当前的多模式匹配进度，对所述结构体中记录的多模式匹配进度进行更新。在所述支持特征跨包的编码攻击检测装置中，还包括：所述解码单元，进一步用于当所述结构体中不存在未解码字符时，根据所述结构体中记录的编码方式，对所述报文的报文负载进行解码处理；所述查找单元，进一步用于基于预先配置的所述攻击特征，在所述多模式匹配进度的基础上，基于预设的多模式匹配算法对解码后的所述报文的报文负载进行多模式匹配；所述存储单元，进一步用于当针对解码后的所述报文的报文负载进行多模式匹配后，未查找到完整的攻击特征时，在所述结构体中记录当前的多模式匹配进度，对所述结构体中记录的多模式匹配进度进行更新。在所述支持特征跨包的编码攻击检测装置中，还包括：所述存储单元，进一步用于当解码处理后仍存在无法解码的字符时，将该字符作为所述未解码字符存储到所述结构体中。所述多模式匹配算法为AC算法。在本申请实施例中，IPS设备在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符，如果上述结构体中存在未解码字符，合并所述未解码字符和所述报文的报文负载，将未解码字符与接收到报文的报文负载进行解码处理；然后基于预先配置的攻击特征，在多模式匹配进度的基础上，对解码后的字符进行多模式匹配，以确定所述报文是否为攻击报文。由于本申请提供了用于存储未解码字符和多模式匹配进度的结构体，一方面，IPS设备在对接收到的报文进行多模式匹配的过程中，不会丢弃暂时无法解码的字符；另一方面，在攻击特征跨包的情况下，可以在已保存的多模式匹配进度的基础上继续进行多模式匹配，从而提升了在攻击特征跨包的情况下，从报文中查找到完整的攻击特征的概率，解决了网络中传输的报文经过编码，且攻击特征因报文分段而跨包时，IPS设备无法检测到报文的攻击特征的问题。附图说明图1是本申请示出的一种相关技术中编码攻击检测方法的流程图；图2是本申请示出的一种支持特征跨包的编码攻击检测方法的流程图；图3是本申请示出的一种特征二叉树的示意图；图4是本申请示出的一种支持特征跨包的编码攻击检测装置的逻辑框图；图5是本申请示出的一种支持特征跨包的编码攻击检测装置的硬件结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对现有技术方案和本专利技术实施例中的技术方案作进一步详细的说明。参见图1，图1为本申请示出的一种相关技术中编码攻击检测方法的流程图，该技术方案应用于IPS设备上。在相关技术中，IPS设备通常可以本文档来自技高网...

【技术保护点】
一种支持特征跨包的编码攻击检测方法，应用于IPS设备，其特征在于，包括：在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符；所述结构体用于存储对应于所述会话的未解码字符、编码方式以及多模式匹配进度；当所述结构体存在未解码字符时，合并所述未解码字符和所述报文的报文负载；根据所述结构体中的编码方式，对合并后的所述未解码字符和所述报文的报文负载进行解码处理；基于预先配置的攻击特征，在所述多模式匹配进度的基础上，基于预设的多模式匹配算法对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配，以确定所述报文是否为攻击报文。

【技术特征摘要】
1.一种支持特征跨包的编码攻击检测方法，应用于IPS设备，其特征在于，包括：在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符；所述结构体用于存储对应于所述会话的未解码字符、编码方式以及多模式匹配进度；当所述结构体存在未解码字符时，合并所述未解码字符和所述报文的报文负载；根据所述结构体中的编码方式，对合并后的所述未解码字符和所述报文的报文负载进行解码处理；基于预先配置的攻击特征，在所述多模式匹配进度的基础上，基于预设的多模式匹配算法对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配，以确定所述报文是否为攻击报文。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：当接收到所述报文时，读取所述报文的编码方式字段；基于读取到的所述编码方式字段中记录的信息判断所述报文是否经过编码。3.根据权利要求1所述的方法，其特征在于，在针对接收到的报文进行解码时，判断与所述报文所在会话对应的结构体中是否存在未解码字符，包括：在针对接收到的报文进行解码时，判断所述报文所在的会话是否存在对应的结构体；如果所述报文所在的会话不存在所述结构体，为所述报文所在的会话创建所述结构体；将所述报文的编码方式存储在所述结构体中。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：当针对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配后，未查找到完整的攻击特征时，在所述结构体中记录当前的多模式匹配进度，对所述结构体中记录的多模式匹配进度进行更新。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述结构体中不存在未解码字符时，根据所述结构体中记录的编码方式，对所述报文的报文负载进行解码处理；基于预先配置的所述攻击特征，在所述多模式匹配进度的基础上，基于预设的多模式匹配算法对解码后的所述报文的报文负载进行多模式匹配；当针对解码后的所述报文的报文负载进行多模式匹配后，未查找到完整的攻击特征时，在所述结构体中记录当前的多模式匹配进度，对所述结构体中记录的多模式匹配进度进行更新。6.根据权利要求1或5所述的方法，其特征在于，所述方法还包括：当解码处理后仍存在无法解码的字符时，将该字符作为所述未解码字符存储到所述结构体中。7.根据权利要求1或5所述的方法，其特征在于，所述多模式匹配算法为AC算法。8.一种支持特征跨包的编码攻击检测装置，应用于IPS设备，其特征在于，包括：...

【专利技术属性】
技术研发人员：翟世兴，张宁，张闻闻，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33