【技术实现步骤摘要】
攻击报文识别方法、装置、网络设备和存储介质
[0001]本公开涉及网络安全
,尤其涉及一种攻击报文识别方法、攻击报文识别装置、网络设备、用户终端和计算机可读存储介质。
技术介绍
[0002]在网络传输中,通常使用的传统防火墙的基本原理是根据IP信息(地址或端口号)或协议标识符进行网络流量的识别和分类,并进一步执行相关的策略,因此从防火墙的角度看到的所有基于应用程序的网络流量完全一样,无法对应用程序进行区分,更无法区分哪些那些应用程序不当或不需要或不被允许,因此需要防火墙具备应用程序识别的能力,以及对需要进行防护的应用程序的防护能力,必须具备,识别出需要进行防护的应用,进行精确过滤防护。
[0003]相关技术中,使用基于扫描引擎加特征的防护方式,开启应用识别和应用防护,但是在应用过程中存在以下缺陷:(1)该防护方式处理流程较多,影响流量传输速率,并造成指数级降低;(2)对流量报文进行特征匹配,基于匹配结果确定流量是否为威胁,也就是说防护的准确率依据特征匹配的准确率,而匹配的准确性有待提高。
[0004]需...
【技术保护点】
【技术特征摘要】
1.一种攻击报文识别方法,其特征在于,包括:构建防火墙特征库,所述防火墙特征库包括多模式转向表和单模式特征表;响应于接收到的报文,识别所述报文的应用协议类型;基于所述应用协议类型对所述报文进行细粒度切分,生成多个切片;确定与所述切片对应的所述多模式转向表,并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的第一模式字符串;在检测到所述切片命中所述第一模式字符串时,基于单模式匹配模型检测所述切片是否命中所述单模式特征表中的第二模式字符串;在检测到命中所述第二模式字符串时,确定所述报文为攻击报文。2.根据权利要求1所述的攻击报文识别方法,其特征在于,所述构建防火墙特征库,具体包括:基于AC自动机对收集到的每条防火墙特征进行扫描,基于扫描结果生成对应的所述多模式转向表;基于每条所述防火墙特征生成对应的坏字符表和好后缀表;基于所述坏字符表和所述好后缀表生成所述单模式特征表;基于所述多模式转向表和所述单模式特征表生成所述防火墙特征库。3.根据权利要求2所述的攻击报文识别方法,其特征在于,所述基于AC自动机对收集到的每条防火墙特征进行扫描,基于扫描结果生成对应的所述多模式转向表,具体包括:基于所述AC自动机对所述每条防火墙特征进行扫描,生成对应的多个模式串;为所述防火墙特征配置位置属性,基于所述位置属性配置在初始树结构的对应位置添加所述模式串,以构造出goto转向表;基于所述goto转向表中的转向节点进行编译操作,生成所述转向节点的失败态节点;将所述失败态节点添加至所述goto转向表,生成所述AC引擎树;对所述AC引擎树的状态节点基于广度优先搜索重新进行排序,生成所述多模式转向表,所述状态节点包括所述转向节点和所述失败态节点。4.根据权利要求2所述的攻击报文识别方法,其特征在于,所述对所述AC引擎树的状态节点基于广度优先搜索重新进行排序,生成所述多模式转向表,具体包括:基于所述转向节点和所述失败态节点进行广度优先搜索;基于搜索结果对所述转向节点和所述失败态节点进行重新排序,基于排序结果生成所述多模式转向表;以及基于所述多模式转向表的节点数量确定所述多模式转向表的存储类型,以基于所述存储类型进行存储。5.根据权利要求4所述的攻击报文识别方法,其特征在于,所述基于所述多模式转向表的节点数量确定所述多模式转向表的存储类型,具体包括:基于所述多模式转向表的节点数量确定匹配的数据类型;确定所述匹配的数据类型中最小数据类型;基于所述最小数据类型确定所述存储类型。6.根据权利要求4所述的攻击报文识别方法,其特征在于,所述确定与所述切片对应的所述多模式转向表,并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的
第一模式字符串,具体包括:将所述切片的起始位置作为匹配起点,基于所述...
【专利技术属性】
技术研发人员:唐荣生,白雪,王永功,王晓华,韩旺,吴静勇,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。