【技术实现步骤摘要】
一种入侵检测方法、装置、设备、介质
本申请涉及网络安全
,特别涉及一种入侵检测方法、装置、设备、介质。
技术介绍
绕过(evasion),也即绕过技术,又称为逃逸、穿透。网络数据包中附加特定的绕过方法,改变网络数据包中入侵流量的原始特征,使IPS(IntrusionPreventionSystem,入侵防御系统)或IDS(IntrusionDetectionSystem,入侵检测系统)无法正确识别并阻断变形后的入侵流量,为便于后续描述,将IPS或IDS简称为IDPS(IntrusionDetection/PreventionSystem,入侵检测/防御系统)。例如,协议层的IP(InternetProtocol,网际互联协议)分片、TCP(TransmissionControlProtocol,传输控制协议)分段以及各种加密、混淆、编码等方法。具体的,例如,一个SQL注入漏洞攻击原始特征为“id=1and1=1&ussid”,经过绕过编码后变为“id=1%20and%201=1&ussid”,可以使得I...
【技术保护点】
1.一种入侵检测方法,其特征在于,包括:/n获取目标网络数据包;/n对所述目标网络数据包中的绕过类型进行识别;/n如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据;/n如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。/n
【技术特征摘要】
1.一种入侵检测方法,其特征在于,包括:
获取目标网络数据包;
对所述目标网络数据包中的绕过类型进行识别;
如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据;
如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
2.根据权利要求1所述的入侵检测方法,其特征在于,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为可解码绕过,则对所述目标网络数据包中的绕过进行解码,得到解码后数据包;
对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据。
3.根据权利要求1所述的入侵检测方法,其特征在于,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为不可解码绕过,则将所述目标网络数据包中的数据与预先建立的绕过入侵特征库进行匹配,以确定出所述目标网络数据包中是否存在入侵数据。
4.根据权利要求1所述的入侵检测方法,其特征在于,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
若所述目标网络数据包为网络体系结构中的应用层的数据包,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
若所述目标网络数据包为非网络体系结构中的应用层的数据包,则对所述目标网络数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。
5.根据权利要求4所述的入侵检测方法,其特征在于,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为可解码绕过,则对所述目标网络数据包中的绕过进行解...
【专利技术属性】
技术研发人员:董枫,李响,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。