本申请公开了一种入侵检测方法、装置、设备、介质,该方法包括:获取目标网络数据包;对所述目标网络数据包进行文件识别;如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。这样能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,可以获取文件入侵特征,提高了入侵检测检测率和入侵检测效果。侵检测检测率和入侵检测效果。侵检测检测率和入侵检测效果。
【技术实现步骤摘要】
一种入侵检测方法、装置、设备、介质
[0001]本申请涉及网络安全
,特别涉及一种入侵检测方法、装置、设备、介质。
技术介绍
[0002]通过文件入侵,是攻击者最常用的入侵方式之一,在网络数据包的文件会携带漏洞特征或者病毒攻击行为,通过漏洞利用或者病毒恶意行为,达到入侵目标系统的目的。针对文件入侵的检测通常直接对获取到的网络数据包采用入侵检测,以上方法主要存在以下问题,其一是基于模式匹配的入侵检测方法无法完全的描述文件入侵特征,无法对抗文件绕过攻击,文件入侵检测效果较差,且模式匹配方法采用正则表达式来描述入侵特征,由于缺乏文件语义解析和复杂运算等能力,正则表达式无法完全的描述文件入侵特征,因而无法对抗文件绕过攻击,也降低了检测率,例如,一个office文件漏洞特征为五个不同数据A-E,满足表达式A+B+C+D>E,首先必须解析出office文件中的五个数据,其次需要判断这五个数据是否满足上述表达式,入侵检测方法一般不具备文件语义解析能力,无法解析出需要的数据,并且正则表达式无法描述上述表达式这样的复杂运算,因此无法完全描述文件入侵特征。二是入侵检测方法通常只摘取文件中部分二进制字符串作为特征,这些特征无法描述文件入侵特征,检测效果较差。
技术实现思路
[0003]有鉴于此,本申请的目的在于提供一种入侵检测方法、装置、设备、介质,能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,这样可以描述文件入侵特征,提高了入侵检测检测率和入侵检测效果。其具体方案如下:
[0004]第一方面,本申请公开了一种入侵检测方法,包括:
[0005]获取目标网络数据包;
[0006]对所述目标网络数据包进行文件识别;
[0007]如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
[0008]如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
[0009]可选地,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据之前,还包括:
[0010]提取出所述目标网络数据包中存在的文件,得到待检测文件。
[0011]可选地,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
[0012]对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据;
[0013]如果所述目标网络数据包中存在入侵数据或不存在入侵数据,则完成所述目标网
络数据包入侵检测;
[0014]如果不能确定所述目标网络数据包中是否存在入侵数据,则对所述待检测文件进行云端文件查杀,以确定所述待检测文件中是否存在入侵数据。
[0015]可选地,所述对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:
[0016]利用预先建立的病毒库对所述待检测文件进行特征匹配,以确定所述目标网络数据包中是否存在入侵数据;
[0017]和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
[0018]可选地,所述对所述待检测文件进行云端文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:
[0019]利用预先建立的沙箱对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据;
[0020]和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
[0021]可选地,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
[0022]利用预设入侵特征库对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
[0023]和/或,利用预设异常检测算法对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
[0024]可选地,所述对所述目标网络数据包进行文件识别,包括:
[0025]对所述目标网络数据包中的应用层协议进行识别;
[0026]如果所述目标网络数据包中的应用层协议支持文件传输,则查找所述目标网络数据包中是否存在目标文件信息;
[0027]如果所述目标网络数据包中存在目标文件信息,则所述目标网络数据包中存在文件。
[0028]第二方面,本申请公开了一种入侵检测装置,包括:
[0029]数据包获取模块,用于获取目标网络数据包;
[0030]文件识别模块,用于对所述目标网络数据包进行文件识别;
[0031]第一检测模块,用于在所述目标网络数据包中存在文件时,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
[0032]第二检测模块,用于在所述目标网络数据包中不存在文件时,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
[0033]第三方面,本申请公开了一种入侵检测设备,包括:
[0034]存储器和处理器;
[0035]其中,所述存储器,用于存储计算机程序;
[0036]所述处理器,用于执行所述计算机程序,以实现前述公开的入侵检测方法。
[0037]第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,
所述计算机程序被处理器执行时实现前述公开的入侵检测方法。
[0038]可见,本申请先获取目标网络数据包,然后对所述目标网络数据包进行文件识别,如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。由此可见,本申请能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,这样可以获得文件入侵特征,提高了入侵检测检测率和入侵检测效果。
附图说明
[0039]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0040]图1为本申请公开的一种入侵检测方法流程图;
[0041]图2为本申请公开的一种具体的入侵检测方法流程图;
[0042]图3为本申请公开的一种具体的入侵检测方法流程图;
[0043]图4为本申请公开的一种入侵检测装置结构示意图;
[0044]图5为本申本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种入侵检测方法,其特征在于,包括:获取目标网络数据包;对所述目标网络数据包进行文件识别;如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。2.根据权利要求1所述的入侵检测方法,其特征在于,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据之前,还包括:提取出所述目标网络数据包中存在的文件,得到待检测文件。3.根据权利要求2所述的入侵检测方法,其特征在于,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据;如果所述目标网络数据包中存在入侵数据或不存在入侵数据,则完成所述目标网络数据包入侵检测;如果不能确定所述目标网络数据包中是否存在入侵数据,则对所述待检测文件进行云端文件查杀,以确定所述待检测文件中是否存在入侵数据。4.根据权利要求3所述的入侵检测方法,其特征在于,所述对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:利用预先建立的病毒库对所述待检测文件进行特征匹配,以确定所述目标网络数据包中是否存在入侵数据;和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。5.根据权利要求3所述的入侵检测方法,其特征在于,所述对所述待检测文件进行云端文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:利用预先建立的沙箱对所述待检测文件进行检测,以确定所述目标网络数据包...
【专利技术属性】
技术研发人员:王大伟,董枫,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。