一种防止unicode编码绕过的检测方法和装置制造方法及图纸

一种防止unicode编码绕过的检测方法和装置，方法包括：根据预先定义的规则获取匹配数据区；判断该匹配数据区是否存在预先设置的第一关键字；当该匹配数据区包括第一关键字时，对该匹配数据区进行unicode解码还原得到目标匹配数据区；在该目标匹配数据区检测攻击特征行为。行为。行为。

【技术实现步骤摘要】
一种防止unicode编码绕过的检测方法和装置


[0001]本文涉及信息安全
，尤指一种防止unicode编码绕过的检测方法和装置。

技术介绍

[0002]现有技术中，通过对攻击行为所对应的网络报文特征进行unicode编码，是攻击者常用的躲避入侵检测的手段；这主要是因为规则定义人员难以按照常规的方法对unicode编码后的网络报文特征进行完全枚举。当前对攻击防止检测绕过的方法主要是针对数据分片或分段的检测，但该类方法并不能解决应用层数据通过unicode编码手段绕过入侵检测的攻击行为问题。

技术实现思路

[0003]本申请提供了一种防止unicode编码绕过的检测方法，该方法对unicode编码变形的攻击特征序列进行unicode解码还原后，再进行攻击特征行为检测，有效地解决了通过unicode编码手段绕过入侵检测的攻击行为问题。
[0004]本申请提供了一种防止unicode编码绕过的检测方法，方法包括：
[0005]根据预先定义的规则获取匹配数据区；
[0006]判断该匹配数据区是否存在预先设置的第一关键字；
[0007]当该匹配数据区包括第一关键字时，对该匹配数据区进行unicode解码还原得到目标匹配数据区；
[0008]在该目标匹配数据区检测攻击特征行为。
[0009]一种示例性的实施例中，所述预先定义的规则包括：unicode编码前的攻击特征序列和unicode_decode解码模板。
[0010]一种示例性的实施例中，所述对该匹配数据区进行unicode解码还原得到目标匹配数据区，包括：
[0011]根据预先定义的规则中的unicode_decode解码模板对匹配数据区进行unicode解码还原；
[0012]把unicode解码还原后的数据区作为目标匹配数据区。
[0013]一种示例性的实施例中，所述unicode_decode解码模板包括：第一关键字unicode_decode和第二关键字unicode_data；
[0014]其中，第一关键字unicode_decode用于指示对指定的匹配数据区进行unicode解码操作，第二关键字unicode_data是与第一关键字unicode_decode配合使用的字符。
[0015]一种示例性的实施例中，所述判断该匹配数据区是否存在预先设置的第一关键字后，方法还包括：
[0016]当该匹配数据区未包括unicode_decode第一关键字时，将所获取的匹配数据区作为目标匹配数据区。
[0017]一种示例性的实施例中，在该目标匹配数据区检测攻击特征行为后，方法还包括：
[0018]判断是否对攻击特征行为匹配成功；
[0019]如果匹配成功，则把匹配成功的规则封装告警事件日志上报。
[0020]本申请还提供了一种防止unicode编码绕过的检测装置，包括：存储器和处理器；所述存储器，用于保存用于防止unicode编码绕过的检测的程序；
[0021]所述处理器，用于读取执行所述用于防止unicode编码绕过的检测的程序，执行如下操作：
[0022]根据预先定义的规则获取匹配数据区；
[0023]判断该匹配数据区是否存在预先设置的第一关键字；
[0024]当该匹配数据区包括第一关键字时，对该匹配数据区进行unicode解码还原得到目标匹配数据区；
[0025]在该目标匹配数据区检测攻击特征行为。
[0026]一种示例性的实施例中，所述预先定义的规则包括：unicode编码前的攻击特征序列和unicode_decode解码模板；
[0027]所述对该匹配数据区进行unicode解码还原得到目标匹配数据区，包括：
[0028]根据预先定义的规则中的unicode_decode解码模板对匹配数据区进行unicode解码还原；
[0029]把unicode解码还原后的数据区作为目标匹配数据区。
[0030]一种示例性的实施例中，所述unicode_decode解码模板包括：第一关键字unicode_decode和第二关键字unicode_data；
[0031]其中，第一关键字unicode_decode用于指示对指定的匹配数据区进行unicode解码操作，第二关键字unicode_data是与第一关键字unicode_decode配合使用的字符；
[0032]所述判断该匹配数据区是否存在预先设置的第一关键字后，方法还包括：
[0033]当该匹配数据区未包括unicode_decode第一关键字时，将所获取的匹配数据区作为目标匹配数据区。
[0034]一种示例性的实施例中，所述处理器读取执行所述用于防止unicode编码绕过的检测的程序，还执行如下操作：
[0035]在该目标匹配数据区检测攻击特征行为后，判断是否对攻击特征行为匹配成功；
[0036]如果匹配成功，则把匹配成功的规则封装告警事件日志上报。
[0037]与相关技术相比，本申请提供一种防止unicode编码绕过的检测方法和装置，方法包括：根据预先定义的规则获取匹配数据区；判断该匹配数据区是否存在预先设置的第一关键字；当该匹配数据区包括第一关键字时，对该匹配数据区进行unicode解码还原得到目标匹配数据区；在该目标匹配数据区检测攻击特征行为。通过本专利技术的技术方案，对unicode编码变形的攻击特征序列进行unicode解码还原后，再进行攻击特征行为匹配，有效地解决了通过unicode编码进行检测绕过的攻击行为的问题。
[0038]本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
[0039]附图用来提供对本申请技术方案的理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。
[0040]图1为本申请实施例的防止unicode编码绕过的检测方法流程图；
[0041]图2为一示例性实施例中解码模板中unicode_decode关键字的语法和语义示意图；
[0042]图3为本申请实施例中防止unicode编码绕过的检测装置示意图；
[0043]图4为一示例性实施例中防止unicode编码绕过的检测方法流程图。
具体实施方式
[0044]本申请描述了多个实施例，但是该描述是示例性的，而不是限制性的，并且对于本领域的普通技术人员来说显而易见的是，在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合，并在具体实施方式中进行了讨论，但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外，任何实施例的任何特征或元件可以与任何其它实施例中的任何其本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防止unicode编码绕过的检测方法，其特征在于，方法包括：根据预先定义的规则获取匹配数据区；判断该匹配数据区是否存在预先设置的第一关键字；当该匹配数据区包括第一关键字时，对该匹配数据区进行unicode解码还原得到目标匹配数据区；在该目标匹配数据区检测攻击特征行为。2.根据权利要求1所述的防止unicode编码绕过的检测方法，其特征在于，所述预先定义的规则包括：unicode编码前的攻击特征序列和unicode_decode解码模板。3.根据权利要求2所述的防止unicode编码绕过的检测方法，其特征在于，所述对该匹配数据区进行unicode解码还原得到目标匹配数据区，包括：根据预先定义的规则中的unicode_decode解码模板对匹配数据区进行unicode解码还原；把unicode解码还原后的数据区作为目标匹配数据区。4.根据权利要求3所述的防止unicode编码绕过的检测方法，其特征在于，所述unicode_decode解码模板包括：第一关键字unicode_decode和第二关键字unicode_data；其中，第一关键字unicode_decode用于指示对指定的匹配数据区进行unicode解码操作，第二关键字unicode_data是与第一关键字unicode_decode配合使用的字符。5.根据权利要求1所述的防止unicode编码绕过的检测方法，其特征在于，所述判断该匹配数据区是否存在预先设置的第一关键字后，方法还包括：当该匹配数据区未包括unicode_decode第一关键字时，将所获取的匹配数据区作为目标匹配数据区。6.根据权利要求5所述的防止unicode编码绕过的检测方法，其特征在于，在该目标匹配数据区检测攻击特征行为后，方法还包括：判断是否对攻击特征行为匹配成功；如果匹配成功，则把匹配成功的规则封装告警事件日志上报。7.一种防止unicode编码绕过的检测装置，包括：存储...

【专利技术属性】
技术研发人员：陈泉清，吴璠，柴忠，姚雪岩，
申请(专利权)人：北京网御星云信息技术有限公司，
类型：发明
国别省市：