本发明专利技术实施例提供了一种入侵防御方法、系统及相关设备,用于防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。本发明专利技术实施例方法包括:存储待检测的应用层协议数据的协议头部数据;当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
【技术实现步骤摘要】
一种入侵防御方法、系统及相关设备
本专利技术涉及入侵防御
,尤其涉及一种入侵防御方法、系统及相关设备。
技术介绍
FTP(FileTransferProtocoll,文件传输协议)是基于TCP协议上开发的一种应用层协议。FTP协议的作用就是把文件管理功能集中于某一服务器中,其是承载这类传输服务的载体,给各节点提供文件上传、文件下载服务的能力。由于FTP协议的广泛应用,基于FTP协议发起恶意攻击的行为也越来越多,目前市面上的IPS(IntrusionPreventionSystem,入侵防御系统)防御此类攻击一般是使用预设规则对异常特征进行匹配而实现的拦截。现有方案中,实际上这类规则为了避免大规模误报,一般写的比较保守。如果攻击者把异常特征稍加调整,就可以绕过IPS拦截。
技术实现思路
本专利技术实施例提供了一种入侵防御方法、系统及相关设备,用于防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。本专利技术实施例第一方面提供了一种入侵防御方法,可包括:存储待检测的应用层协议数据的协议头部数据;当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御方法,还可以包括:判断存储的所述协议头部数据中是否包含远程终端协议操作码,若包含,则剔除所述远程终端协议操作码。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御方法,还可以包括:判断存储的所述协议头部数据中是否包含多个连续空格字符,若包含,则删除所述多个连续空格字符。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御方法,在将解析之后的目标数据进行安全检测之前,还可以包括:判断所述目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御方法,在判定所述协议头部数据包含FTP协议特征字段之后,还可以包括:为所述待检测的应用层协议数据添加FTP标签,以指示所述待检测的应用层协议数据的协议种类。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御方法,还可以包括:当所述协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将所述待检测的应用层协议数据进行安全检测。本专利技术实施例第二方面提供了一种入侵防御系统,可包括:缓存模块,用于存储待检测的应用层协议数据的协议头部数据;第一处理模块,当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;第二处理模块,若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:第三处理模块,判断存储的所述协议头部数据中是否包含远程终端协议操作码,若包含,则剔除所述远程终端协议操作码。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:第四处理模块,判断存储的所述协议头部数据中是否包含多个连续空格字符,若包含,则删除所述多个连续空格字符。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:第五处理模块,在将解析之后的目标数据进行安全检测之前,判断所述目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:添加模块,在判定所述协议头部数据包含FTP协议特征字段之后,为所述待检测的应用层协议数据添加FTP标签,以指示所述待检测的应用层协议数据的协议种类。可选的,作为一种可能的实施方式,本专利技术实施例中的入侵防御系统还可以包括:第六处理模块,当所述协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将所述待检测的应用层协议数据进行安全检测。本专利技术实施例第三方面提供了一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。本专利技术实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。从以上技术方案可以看出,本专利技术实施例具有以下优点:本专利技术实施例中,入侵防御系统可以存储待检测的应用层协议数据的协议头部数据,当存储的协议头部数据的大小不小于第一阈值时,判断协议头部数据是否包含FTP协议特征字段,若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。相对于相关技术,本专利技术实施例可以防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。附图说明图1为本专利技术实施例中一种入侵防御方法的一个实施例示意图;图2为本专利技术实施例中一种入侵防御方法的另一个实施例示意图;图3为本专利技术实施例中一种入侵防御方法的一个具体应用实施例示意图;图4为本专利技术实施例中一种入侵防御系统的一个实施例示意图;图5为本专利技术实施例中一种计算机装置的一个实施例示意图。具体实施方式本专利技术实施例提供了一种入侵防御方法、系统及相关设备,用于防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术实施例涉及绕过技术,其中绕过技术通常是指黑客使用某种手段逃逸防火墙现有的检测手段,从而渗透到靶机内部的技术。由于FTP协议的广泛应用,基于FTP协议绕过IPS(IntrusionPr本文档来自技高网...
【技术保护点】
1.一种入侵防御方法,其特征在于,包括:/n存储待检测的应用层协议数据的协议头部数据;/n当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;/n若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。/n
【技术特征摘要】
1.一种入侵防御方法,其特征在于,包括:
存储待检测的应用层协议数据的协议头部数据;
当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;
若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
2.根据权利要求1所述的方法,其特征在于,还包括:
判断存储的所述协议头部数据中是否包含远程终端协议操作码,若包含,则剔除所述远程终端协议操作码。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
判断存储的所述协议头部数据中是否包含多个连续空格字符,若包含,则删除所述多个连续空格字符。
4.根据权利要求3所述的方法,其特征在于,在将解析之后的目标数据进行安全检测之前,所述方法还包括:
判断所述目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
5.根据权利要求4所述的方法,其特征在于,在判定所述协议头部数据包含FTP协议特征字段之后,所述方法还包括:
为所述待检测的应用层协议数据添加FTP标签,以指示所述待检测的应用层协议数据的协议种类。
<...
【专利技术属性】
技术研发人员:冯学大,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。