本发明专利技术实施例提供了一种入侵防御方法、系统及相关设备,用于防止基于RPC协议的分片数据、父子连接绕过安全检测导致的安全风险,提高了网络的安全性。本发明专利技术实施例方法包括:获取待检测的RPC协议数据;判断所述待检测的RPC协议数据中是否包含分片数据;若包含分片数据,则将分片数据汇总;将汇总后的分片数据发送至入侵检测系统进行检测。
【技术实现步骤摘要】
一种入侵防御方法、系统及相关设备
本专利技术涉及入侵防御
,尤其涉及一种入侵防御方法、系统及相关设备。
技术介绍
RPC(RemoteProcedureCall)协议用于远程过程调用。通常支持RPC协议的服务在系统中的权限都是比较大(比如NFS文件服务器),如果权限被拿下后果不堪设想,所以针对RPC协议数据的安全检测尤为重要。目前业内的IPS(IntrusionPreventionSystem,入侵防御系统)引擎针对此类RPC协议数据的检测方式比较单一,往往是通过提取RPC协议对应的攻击特征来定制Snort(入侵检测)规则进行拦截。基于Snort规则进行入侵检测拦截,对于一般的RPC攻击是非常有效的。但是RPC协议本身存在两类可以使规则失效的方法:1.协议本身支持分片传输;2.RPC存在父子连接,子连接端口可变(跨连接问题)。如果攻击方将RPC协议数据进行分片,攻击特征就会被割裂,导致Snort规则检出失败。又或者攻击方使用父子连接变更不同的端口,那么端口限定的Snort规则就无法检出攻击数据。为解决上述任一问题,有必要提出新的入侵防御方法。
技术实现思路
本专利技术实施例提供了一种入侵防御方法、系统及相关设备,用于防止基于RPC协议的分片数据、父子连接绕过安全检测导致的安全风险,提高了网络的安全性。本专利技术实施例第一方面提供了一种入侵防御方法,可包括:获取待检测的RPC协议数据;判断所述待检测的RPC协议数据中是否包含分片数据;若包含分片数据,则将分片数据汇总;将汇总后的分片数据发送至入侵检测系统进行检测。可选的,作为一种可能的实施方式,本专利技术实施例中获取待检测的RPC协议数据,可以包括:接收待检测的应用层协议数据;根据预设的规则判断所述待检测应用层协议数据是否为RPC协议数据,若是,则存储待检测的RPC协议数据。可选的,作为一种可能的实施方式,本专利技术实施例中,若根据预设的规则判断待检测应用层协议数据不是RPC协议数据,还可以包括:读取所述待检测应用层协议数据的四元组数据;判断预设关联表中是否存在所述四元组数据关联的五元组数据;若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御方法还可以包括:判断当前存储的RPC协议数据是否包含服务调用指令数据;若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。可选的,作为一种可能的实施方式,本专利技术实施例中所述将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,可以包括:计算目标四元组数据与当前数据连接的五元组数据的哈希表;将所述目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御方法还可以包括:当判定待检测应用层协议数据的协议类型之后,为所述待检测的应用层协议数据添加流量标签,以指示所述待检测的应用层协议数据的协议种类。本专利技术实施例第二方面提供了一种入侵防御系统,可包括:获取模块,用于获取待检测的RPC协议数据;第一处理模块,用于判断所述待检测的RPC协议数据中是否包含分片数据;汇总模块,若包含分片数据,则将分片数据汇总;发送模块,用于将汇总后的分片数据发送至入侵检测系统进行检测。可选的,作为一种可能的实施方式,本专利技术实施例中的获取模块还可以包括:接收单元,用于接收待检测的应用层协议数据;判断单元,用于根据预设的规则判断所述待检测应用层协议数据是否为RPC协议数据,若是,则存储待检测的RPC协议数据。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:第二处理模块,读取所述待检测应用层协议数据的四元组数据;第三处理模块,用于判断预设关联表中是否存在所述四元组数据关联的五元组数据,若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:第四处理模块,用于判断当前存储的RPC协议数据是否包含服务调用指令数据,若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;记录模块,用于将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。可选的,作为一种可能的实施方式,本专利技术实施例中的记录模块还可以包括:计算单元,计算单元计算目标四元组数据与当前数据连接的五元组数据的哈希表;记录单元,用于将所述目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:标记模块,当判定待检测应用层协议数据的协议类型之后,为所述待检测的应用层协议数据添加流量标签,以指示所述待检测的应用层协议数据的协议种类。本专利技术实施例第三方面提供了一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。本专利技术实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。从以上技术方案可以看出,本专利技术实施例具有以下优点:本专利技术实施例中,入侵防御系统可以存储待检测的RPC协议数据,判断存储的RPC协议数据中是否包含分片数据,若包含分片数据,则将分片数据汇总之后发送至入侵检测系统进行检测。相对于相关技术,本专利技术实施例可以将分片数据进行汇总,防止基于RPC协议的分片数据,割裂攻击特征而绕过防御检测,提高了网络安全性。附图说明图1为本专利技术实施例中一种入侵防御方法的一个实施例示意图;图2为请求方向的RPC协议的一个报文数据示意图;图3为本专利技术实施例中一种入侵防御方法的另一个实施例示意图;图4为本专利技术实施例中一种入侵防御方法的一个具体应用实施例示意图;图5为本专利技术实施例中一种入侵防御系统的一个实施例示意图;图6为本专利技术实施例中一种计算机装置的一个实施例示意图。具体实施方式本文档来自技高网...
【技术保护点】
1.一种入侵防御方法,其特征在于,包括:/n获取待检测的RPC协议数据;/n判断所述待检测的RPC协议数据中是否包含分片数据;/n若包含分片数据,则将分片数据汇总;/n将汇总后的分片数据发送至入侵检测系统进行检测。/n
【技术特征摘要】
1.一种入侵防御方法,其特征在于,包括:
获取待检测的RPC协议数据;
判断所述待检测的RPC协议数据中是否包含分片数据;
若包含分片数据,则将分片数据汇总;
将汇总后的分片数据发送至入侵检测系统进行检测。
2.根据权利要求1所述的方法,其特征在于,获取待检测的RPC协议数据,包括:
接收待检测的应用层协议数据;
根据预设的规则判断所述待检测应用层协议数据是否为RPC协议数据,若是,则存储待检测的RPC协议数据。
3.根据权利要求2所述的方法,其特征在于,若根据预设的规则判断待检测应用层协议数据不是RPC协议数据,所述方法还包括:
读取所述待检测应用层协议数据的四元组数据;
判断预设关联表中是否存在所述四元组数据关联的五元组数据;
若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据。
4.根据权利要求3或2所述的方法,其特征在于,还包括:
判断当前存储的RPC协议数据是否包含服务调用指令数据;
若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。
5.根据权利要求4所述的方法,其特征在于,所述将...
【专利技术属性】
技术研发人员:冯学大,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。