本申请提供一种攻击报文的检测方法及装置。一种攻击报文的检测方法,所述方法应用于入侵防御系统IPS设备,包括:识别所获取的网络流量的协议类型;基于协议类型对所述网络流量进行分流,所述分流为一次分流或二次分流;针对分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文。本申请可实现对网络流量的分流检测,从而可提高对攻击报文的检测效率及检测结果的准确度。
【技术实现步骤摘要】
一种攻击报文的检测方法及装置
本申请涉及计算机
,尤其涉及一种攻击报文的检测方法及装置。
技术介绍
随着网络的飞速发展,以蠕虫、木马等为代表的网络攻击层出不穷,给网络用户带来极大的安全隐患。目前,通常采用在网络中部署入侵防御系统(IPS,IntrusionPreventionSystem)对流经的网络流量进行检测,以实现对网络攻击的防御。现有技术中,针对流经的网络流量,IPS通常不对网络流量进行分流,而是将流经的网络流量均与同一攻击特征库进行匹配,以确定上述网络流量中是否存在攻击报文的。一方面,由于检测深度的限制,IPS通常不会对流经的所有网络流量都进行检测,由此可能导致一部分网络应用仍会遭受到攻击。另一方面,上述方法会使得IPS的攻击特征库中预存的攻击特征的数量较多,再加之有些攻击特征较为复杂,网络流量与上述预存的攻击特征进行匹配时将会非常耗时,从而可能影响IPS的检测速度。
技术实现思路
有鉴于此,本申请提供一种攻击报文的检测方法及装置,以实现对网络流量的分流检测,从而提高对攻击报文的检测效率及检测结果的准确度。具体地,本申请是通过如下技术方案实现的:一种攻击报文的检测方法,所述方法应用于入侵防御系统IPS设备,包括:识别所获取的网络流量的协议类型;基于协议类型对所述网络流量进行分流,所述分流为一次分流或二次分流;针对分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文。一种攻击报文的检测装置,所述装置应用于入侵防御系统IPS设备,包括:识别模块,用于识别所获取的网络流量的协议类型;分流模块,用于基于协议类型对所述网络流量进行分流,所述分流为一次分流或二次分流;检测模块,用于针对分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文。在本申请中,IPS通过识别所获取的网络流量的协议类型,并可基于协议类型对上述网络流量进行一次分流或二次分流,之后可针对分流后的上述网络流量分别进行攻击特征检测,以确定出上述网络流量是否存在攻击报文。与现有技术相比,本申请的技术方案,一方面,可对获取的网络流量分流进行攻击特征检测,从而可提高检测效率;另一方面,可对上述网络流量有针对性的进行攻击特征的检测,从而可实现更为精细的检测,提高检测结果的准确度。附图说明图1是本申请一示例性实施例示出的一种攻击报文的检测方法流程图;图2是本申请一示例性实施例示出的一种IPS设备的硬件结构图;图3是本申请一示例性实施例示出的一种攻击报文的检测装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。随着网络的飞速发展,以蠕虫、木马等为代表的网络攻击层出不穷,给网络用户带来极大的安全隐患。目前,通常采用在网络中部署入侵防御系统(IPS,IntrusionPreventionSystem)对流经的网络流量进行检测,以实现对网络攻击的防御。现有技术中,针对流经的网络流量,IPS通常不对网络流量进行分流,而是将流经的网络流量均与同一攻击特征库进行匹配,以确定上述网络流量中是否存在攻击报文的。一方面,由于检测深度的限制,IPS通常不会对流经的所有网络流量都进行检测,由此可能导致一部分网络应用仍会遭受到攻击。另一方面,上述方法会使得IPS的攻击特征库中预存的攻击特征的数量较多,再加之有些攻击特征较为复杂,网络流量与上述预存的攻击特征进行匹配时将会非常耗时,从而可能影响IPS的检测速度。因此,为了解决上述问题,本申请提供了一种攻击报文的检测方法,IPS通过识别所获取的网络流量的协议类型,并可基于协议类型对上述网络流量进行一次分流或二次分流,之后可针对分流后的上述网络流量分别进行攻击特征检测,以确定出上述网络流量是否存在攻击报文。与现有技术相比,本申请的技术方案,一方面,可对获取的网络流量分流进行攻击特征检测,从而可提高检测效率;另一方面,可对上述网络流量有针对性的进行攻击特征的检测,从而可实现更为精细的检测,提高检测结果的准确度。下面将结合具体实施例对本申请的实现过程进行详细描述。请参考图1,图1所示为本申请实施例示出的一种攻击报文的检测方法流程图,该方法可用于IPS设备上。其中,该方法可以包括以下基本步骤:S101,识别所获取的网络流量的协议类型。在本申请实施例中,IPS在获取到网络流量后,可先识别上述网络流量中报文的协议类型,由于五元组信息相同的报文属于同一流,因此在对报文的协议类型进行识别时,可仅对该流中的第一个报文进行协议类型的识别,假设该报文的协议类型为HTTP(HyperTextTransferProtocol,超文本传输协议)协议,则后续获取的该流的报文可直接将其协议类型归为HTTP协议。其中,在对报文的协议类型进行识别时,可基于端口号对协议类型进行识别,也可基于报文的报文负载对协议类型进行识别,还可基于端口号和报文负载的结合对协议类型进行识别,此处不作限定。基于端口号对报文的协议类型进行识别,通常是针对一些知名端口进行识别的,例如,报文的端口号为80,则可识别出该报文的协议类型为HTTP协议;报文的端口号为20或21,可识别出该报文的协议类型为FTP(FileTransferProtocol,文件传输协议)协议。基于报文的报文负载对协议类型进行识别,通常是根据各个协议特有的模式特征确定报文所属协议类型。例如,若在报文负载中检测到URL(UniformResourceLocator,统一资源定位符)或者“GET、POST”等请求方法,则可确定该报文的协议类型为HTTP协议。S102,基于协议类型对所述网络流量进行分流。S103,针对分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文。在本申请实施例中,在识别出各个流的协议类型后,可基于协议类型对上述网络流量进行分流,例如根据不同的协议类型将上述网络流量分为HTTP流、FTP流等。完成上述分流后,IPS可分别对HTTP流、FTP流等进行攻击特征的检测。对于HTTP流,可将该流的报文与HTTP攻击特征库进行匹配,其中,上述HTTP攻击特征库中可仅存储针对HTTP报文的攻击特征;对于FTP流,可将该流的报文与FTP攻击特征库进行匹配,同样地本文档来自技高网...
【技术保护点】
一种攻击报文的检测方法,其特征在于,所述方法应用于入侵防御系统IPS设备,包括:识别所获取的网络流量的协议类型;基于协议类型对所述网络流量进行分流,所述分流为一次分流或二次分流;针对分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文。
【技术特征摘要】
1.一种攻击报文的检测方法,其特征在于,所述方法应用于入侵防御系统IPS设备,包括:识别所获取的网络流量的协议类型;基于协议类型对所述网络流量进行分流,所述分流为一次分流或二次分流;针对分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文。2.根据权利要求1所述的方法,其特征在于,所述二次分流,包括:针对所述一次分流后的每一协议类型的网络流量,根据预设的配置信息确定该协议类型的网络流量是否需要再次进行分流;若是,则识别所述协议类型的网络流量所属的网络应用,并基于网络应用对所述网络流量进行分流。3.根据权利要求1所述的方法,其特征在于,所述针对分流后的网络流量分别进行攻击特征的检测,包括:针对所述一次分流后的每一协议类型的网络流量,将该协议类型的网络流量与针对该协议类型的攻击特征库进行匹配;将匹配到所述攻击特征库中任一攻击特征的报文确定为攻击报文。4.根据权利要求1所述的方法,其特征在于,针对分流后的网络流量分别进行攻击特征检测,包括:针对所述二次分流后的每一网络应用的网络流量,将该网络应用的网络流量与针对该网络应用的攻击特征库进行匹配;将匹配到所述攻击特征库中任一攻击特征的报文确定为攻击报文。5.根据权利要求1所述的方法,其特征在于,所述识别所获取的网络流量的协议类型,包括:根据所述网络流量中报文的端口号,识别所述网络流量的协议类型;或根据所述网络流量中报文的报文负载,识别所述网络流量的协...
【专利技术属性】
技术研发人员:蔡雨晨,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。