攻擊報(bào)文的檢測(cè)方法及裝置的制造方法
【專利摘要】本申請(qǐng)?zhí)峁┮环N攻擊報(bào)文的檢測(cè)方法及裝置,所述方法應(yīng)用于IPS設(shè)備上�,所述方法包括:接收?qǐng)?bào)文,并確定所述報(bào)文的協(xié)議特征���;判斷應(yīng)用特征庫中是否存在所述協(xié)議特征�����;若存在�,則獲取與所述協(xié)議特征對(duì)應(yīng)的所有攻擊特征���,并判斷所述報(bào)文是否存在該所有攻擊特征中的攻擊特征��;若是����,則確定所述報(bào)文為攻擊報(bào)文,并利用所述攻擊特征對(duì)應(yīng)的執(zhí)行方式處理所述報(bào)文����。應(yīng)用本申請(qǐng)實(shí)施例,通過應(yīng)用特征庫確定是否需要對(duì)報(bào)文進(jìn)行檢測(cè)����,并且該報(bào)文只需要與協(xié)議特征對(duì)應(yīng)的所有攻擊特征進(jìn)行匹配,不需要與攻擊特征庫中的所有攻擊特征匹配���,從而���,可以提高攻擊檢測(cè)的準(zhǔn)確度,也可以減少對(duì)IPS設(shè)備內(nèi)存的占用����。
【專利說明】
攻擊報(bào)文的檢測(cè)方法及裝置
技術(shù)領(lǐng)域
[0001] 本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種攻擊報(bào)文的檢測(cè)方法及裝置�。
【背景技術(shù)】
[0002] IPS(Intrusion Prevention System,入侵防御系統(tǒng))設(shè)備用于對(duì)網(wǎng)絡(luò)攻擊行為進(jìn) 行檢測(cè)和防御�����,即當(dāng)IPS設(shè)備接收到報(bào)文時(shí)�,將報(bào)文與攻擊特征庫中記錄的攻擊特征進(jìn)行匹 配,若匹配到攻擊特征�����,則確定該報(bào)文為攻擊報(bào)文�,并對(duì)該報(bào)文執(zhí)行阻斷或告警。然而��,由于 網(wǎng)絡(luò)攻擊的種類有很多��,因此攻擊特征庫中對(duì)應(yīng)有龐大的攻擊特征數(shù)量����,當(dāng)IPS設(shè)備接收到 大量報(bào)文時(shí),需要將每個(gè)報(bào)文與攻擊特征庫中的所有攻擊特征進(jìn)行匹配��,這樣��,勢(shì)必會(huì)占用 IPS設(shè)備大量的內(nèi)存,影響報(bào)文的匹配速度���,從而降低IPS設(shè)備的處理效率�,導(dǎo)致用戶體驗(yàn)不 佳�����。
【發(fā)明內(nèi)容】
[0003] 有鑒于此���,本申請(qǐng)?zhí)峁┮环N攻擊報(bào)文的檢測(cè)方法及裝置�,以解決現(xiàn)有的檢測(cè)方式 容易降低IPS設(shè)備的處理效率���,導(dǎo)致用戶體驗(yàn)不佳的問題���。
[0004] 根據(jù)本申請(qǐng)實(shí)施例的第一方面,提供一種攻擊報(bào)文的檢測(cè)方法���,所述方法應(yīng)用于 入侵防御系統(tǒng)IPS設(shè)備上�����,所述IPS設(shè)備上配置有攻擊特征庫����,所述攻擊特征庫中記錄的每 個(gè)攻擊特征對(duì)應(yīng)有協(xié)議特征和執(zhí)行方式,所述方法包括:
[0005] 接收?qǐng)?bào)文����,并確定所述報(bào)文的協(xié)議特征���;
[0006] 判斷應(yīng)用特征庫中是否存在所述協(xié)議特征�;其中��,所述應(yīng)用特征庫中記錄有協(xié)議 特征�;
[0007] 若存在,則獲取與所述協(xié)議特征對(duì)應(yīng)的所有攻擊特征�����,并判斷所述報(bào)文是否存在 該所有攻擊特征中的攻擊特征���;
[0008] 若是��,則確定所述報(bào)文為攻擊報(bào)文�����,并利用所述攻擊特征對(duì)應(yīng)的執(zhí)行方式處理所 述報(bào)文����。
[0009] 根據(jù)本申請(qǐng)實(shí)施例的第二方面,提供一種攻擊報(bào)文的檢測(cè)裝置��,所述裝置應(yīng)用于 入侵防御系統(tǒng)IPS設(shè)備上����,所述IPS設(shè)備上配置有攻擊特征庫,所述攻擊特征庫中記錄的每 個(gè)攻擊特征對(duì)應(yīng)有協(xié)議特征和執(zhí)行方式���,所述裝置包括:
[0010] 接收單元���,用于接收?qǐng)?bào)文;
[0011] 第一確定單元�,用于確定所述報(bào)文的協(xié)議特征;
[0012] 第一判斷單元�,用于判斷應(yīng)用特征庫中是否存在所述協(xié)議特征;其中,所述應(yīng)用特 征庫中記錄有協(xié)議特征����;
[0013] 第一獲取單元,用于當(dāng)判斷結(jié)果為存在時(shí)�����,獲取與所述協(xié)議特征對(duì)應(yīng)的所有攻擊 特征;
[0014] 第二判斷單元����,用于判斷所述報(bào)文是否存在該所有攻擊特征中的攻擊特征;
[0015] 第二確定單元���,用于當(dāng)判斷結(jié)果為是時(shí),確定所述報(bào)文為攻擊報(bào)文��,并利用所述攻 擊特征對(duì)應(yīng)的執(zhí)行方式處理所述報(bào)文��。
[0016] 應(yīng)用本申請(qǐng)實(shí)施例�����,IPS設(shè)備在接收到報(bào)文時(shí)���,確定報(bào)文的協(xié)議特征��,并利用該協(xié) 議特征判斷是否要對(duì)該報(bào)文進(jìn)行攻擊特征檢測(cè)��,若需要����,則判斷該報(bào)文是否存在該協(xié)議特 征對(duì)應(yīng)的所有攻擊特征中的攻擊特征,若是��,則確定該報(bào)文為攻擊報(bào)文�,并利用該攻擊特征 對(duì)應(yīng)的執(zhí)行方式處理該報(bào)文。由于該報(bào)文只需要與該協(xié)議特征對(duì)應(yīng)的所有攻擊特征進(jìn)行匹 配��,不需要與攻擊特征庫中的所有攻擊特征匹配���,因此��,可以減少對(duì)IPS設(shè)備內(nèi)存的占用�,提 高IPS設(shè)備的處理效率�����。又由于該報(bào)文的協(xié)議特征與匹配到的攻擊特征對(duì)應(yīng)的協(xié)議特征一 樣�,因此可以確保攻擊檢測(cè)的準(zhǔn)確度。
【附圖說明】
[0017] 圖1為本申請(qǐng)根據(jù)一示例性實(shí)施例示出的一種攻擊報(bào)文的檢測(cè)方法的實(shí)施例流程 圖���;
[0018] 圖2為本申請(qǐng)根據(jù)一示例性實(shí)施例示出的一種IPS設(shè)備的硬件結(jié)構(gòu)圖���;
[0019] 圖3為本申請(qǐng)根據(jù)一示例性實(shí)施例示出的一種攻擊報(bào)文的檢測(cè)裝置的實(shí)施例結(jié)構(gòu) 圖�����。
【具體實(shí)施方式】
[0020] 這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明�,其示例表示在附圖中�����。下面的描述涉及 附圖時(shí)����,除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素���。以下示例性實(shí)施例 中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反����,它們僅是與如所附 權(quán)利要求書中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子����。
[0021 ]在本申請(qǐng)使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的,而非旨在限制本申請(qǐng)�。 在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的"一種"�����、"所述"和"該"也旨在包括多數(shù) 形式��,除非上下文清楚地表示其他含義�����。還應(yīng)當(dāng)理解�����,本文中使用的術(shù)語"和/或"是指并包 含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合���。
[0022]應(yīng)當(dāng)理解,盡管在本申請(qǐng)可能采用術(shù)語第一��、第二���、第三等來描述各種信息����,但這 些信息不應(yīng)限于這些術(shù)語�。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開���。例如,在不脫離 本申請(qǐng)范圍的情況下��,第一信息也可以被稱為第二信息���,類似地���,第二信息也可以被稱為第 一信息。取決于語境�,如在此所使用的詞語"如果"可以被解釋成為"在……時(shí)"或"當(dāng)…… 時(shí)"或"響應(yīng)于確定"。
[0023] 圖1為本申請(qǐng)根據(jù)一示例性實(shí)施例示出的一種攻擊報(bào)文的檢測(cè)方法的實(shí)施例流程 圖�,如圖1所示,該實(shí)施例應(yīng)用于IPS設(shè)備上���,在本申請(qǐng)實(shí)施例中,IPS設(shè)備上預(yù)先配置有攻擊 特征庫���,該攻擊特征庫中記錄有攻擊特征�����,每個(gè)攻擊特征對(duì)應(yīng)有協(xié)議特征和執(zhí)行方式�。該實(shí) 施例包括以下步驟:
[0024] 步驟101:接收?qǐng)?bào)文,并確定該報(bào)文的協(xié)議特征�����。
[0025] 通常�����,IPS設(shè)備設(shè)置在公司��、企業(yè)或者組織的網(wǎng)絡(luò)出口處���,無論是內(nèi)部客戶端向外 部網(wǎng)站服務(wù)器發(fā)送報(bào)文���,還是外部網(wǎng)站服務(wù)器向內(nèi)部客戶端發(fā)送報(bào)文,均會(huì)經(jīng)過IPS設(shè)備���。
[0026] 針對(duì)確定該報(bào)文的協(xié)議特征的過程�����,IPS設(shè)備可以獲取該報(bào)文攜帶的端口號(hào)���,并利 用該端口號(hào)確定該報(bào)文的協(xié)議特征��。
[0027]其中�����,在報(bào)文頭部中攜帶有端口號(hào)����,不同的端口號(hào)對(duì)應(yīng)不同的協(xié)議特征�����,表1為一 種示例性的端口號(hào)與協(xié)議特征的對(duì)應(yīng)關(guān)系表�。
[0030] 步驟102:判斷應(yīng)用特征庫中是否存在該協(xié)議特征,若不存在�,則執(zhí)行步驟103,若 存在�,則執(zhí)行步驟104。
[0031] 其中�����,IPS設(shè)備上配置有應(yīng)用特征庫����,該應(yīng)用特征庫中記錄有協(xié)議特征,比如HTTP (Hyper Text Transfer Protocol�����,超文本傳輸協(xié)議)��、FTP(File Transfer Protocol��,文件 傳輸協(xié)議)�、TELNET(Telecommunication Network Protocol,電信網(wǎng)絡(luò)協(xié)議)�、SMTP(Simple Mail Transfer Protocol,簡(jiǎn)單郵件傳輸協(xié)議)��、TFTP(Trivial File Transfer Protocol��, 簡(jiǎn)單文件傳輸協(xié)議)等��。應(yīng)用特征庫中記錄的協(xié)議特征均是網(wǎng)絡(luò)攻擊可能利用的協(xié)議特征����。 [0032]步驟103:將該報(bào)文轉(zhuǎn)發(fā)出去。
[0033]若在應(yīng)用特征庫中不存在該報(bào)文的協(xié)議特征���,則表示不需要對(duì)該報(bào)文進(jìn)行攻擊檢 測(cè)�����,或者�����,若未匹配到攻擊特征���,則表示該報(bào)文為正常報(bào)文�,IPS設(shè)備可以按照現(xiàn)有的轉(zhuǎn)發(fā)流 程將該報(bào)文轉(zhuǎn)發(fā)出去���,不再贅述���。
[0034] 步驟104:獲取與該協(xié)議特征對(duì)應(yīng)的所有攻擊特征,并判斷該報(bào)文是否存在該所有 攻擊特征中的攻擊特征���,若否��,則執(zhí)行步驟103����,若是,則執(zhí)行步驟105�。
[0035] 具體地�����,若在應(yīng)用特征庫中存在該報(bào)文的協(xié)議特征����,則表示需要對(duì)該報(bào)文進(jìn)行攻 擊特征匹配,IPS設(shè)備可以從攻擊特征庫中獲取與該協(xié)議特征對(duì)應(yīng)的所有攻擊特征����,再將該 報(bào)文與該所有攻擊特征進(jìn)行匹配,若未匹配到攻擊特征����,則執(zhí)行步驟103,若匹配到攻擊特 征,則執(zhí)行步驟105���。
[0036] 需要說明的是��,由于每個(gè)攻擊特征都對(duì)應(yīng)有協(xié)議特征�,如果IPS設(shè)備直接對(duì)接收到 的報(bào)文進(jìn)行攻擊特征匹配����,有可能匹配到的攻擊特征對(duì)應(yīng)的協(xié)議特征與該報(bào)文的協(xié)議特征 不同���,這樣,該報(bào)文應(yīng)該為正常報(bào)文����,而按照現(xiàn)有的檢測(cè)方式,會(huì)將該報(bào)文誤認(rèn)為攻擊報(bào)文���, 從而�����,降低了攻擊檢測(cè)的準(zhǔn)確度����。
[0037] 基于上述描述可知����,IPS設(shè)備在接收到報(bào)文時(shí),需要通過該報(bào)文的協(xié)議特征判斷是 否要對(duì)該報(bào)文進(jìn)行攻擊特征匹配�����,此外,該報(bào)文只需要與該協(xié)議特征對(duì)應(yīng)的所有攻擊特征 進(jìn)行匹配����,不需要與攻擊特征庫中的所有攻擊特征匹配,從而�,可以減少對(duì)IPS設(shè)備內(nèi)存的 占用����,提高IPS設(shè)備的處理效率。又由于該報(bào)文的協(xié)議特征與匹配到的攻擊特征對(duì)應(yīng)的協(xié)議 特征一樣���,因此可以確保攻擊檢測(cè)的準(zhǔn)確度�����。
[0038] 步驟105:確定該報(bào)文為攻擊報(bào)文��,并利用該攻擊特征對(duì)應(yīng)的執(zhí)行方式處理該報(bào) 文�����。
[0039] 其中�,執(zhí)行方式可以是警告����、阻斷���、丟棄等,對(duì)于比較嚴(yán)重的攻擊特征����,比如有可能 致使業(yè)務(wù)運(yùn)行中斷,執(zhí)行方式可以是阻斷或丟棄�,對(duì)于常見的攻擊特征,比如端口掃描攻 擊�,執(zhí)行方式可以是警告。
[0040] 需要說明的是�,IPS設(shè)備在確定該報(bào)文為攻擊報(bào)文之后,可以獲取攻擊特征對(duì)應(yīng)的 攻擊標(biāo)識(shí)�����,并獲取該攻擊標(biāo)識(shí)對(duì)應(yīng)的攻擊類型��,然后將該攻擊報(bào)文和該攻擊類型發(fā)送至管 理設(shè)備����,以使該管理設(shè)備利用該攻擊報(bào)文進(jìn)一步提取屬于該攻擊類型的攻擊特征。
[0041] 其中��,每個(gè)攻擊特征對(duì)應(yīng)有一個(gè)攻擊標(biāo)識(shí),該攻擊標(biāo)識(shí)可以是數(shù)字���,也可以是字 符�����,這里并不做限制����,每個(gè)攻擊類型包括有多個(gè)攻擊標(biāo)識(shí)����,比如�,攻擊類型A包括攻擊標(biāo)識(shí)1 和攻擊標(biāo)識(shí)10;攻擊類型B包括攻擊標(biāo)識(shí)5、攻擊標(biāo)識(shí)6以及攻擊標(biāo)識(shí)19等�����。管理設(shè)備可以按 照預(yù)設(shè)時(shí)間周期����,根據(jù)接收到攻擊報(bào)文和攻擊類型,獲取屬于同一攻擊類型的攻擊報(bào)文中 的所有特征�,針對(duì)獲得的每個(gè)特征��,從屬于同一類型的攻擊報(bào)文中統(tǒng)計(jì)出具有該特征的攻 擊報(bào)文的數(shù)量�,如果數(shù)量大于預(yù)設(shè)閾值�,比如50,則將該特征確定為攻擊特征����,并確定攻擊 特征的協(xié)議特征和執(zhí)行方式。
[0042]進(jìn)一步地�,針對(duì)維護(hù)攻擊特征庫的過程,IPS設(shè)備可以接收來自管理設(shè)備的攻擊特 征��、協(xié)議特征以及執(zhí)行方式��,并將該攻擊特征���、該協(xié)議特征以及該執(zhí)行方式更新到攻擊特征 庫中�����?��;蛘撸夹g(shù)人員也可以從網(wǎng)絡(luò)中獲取攻擊概率比較高的攻擊報(bào)文,并分析提取攻擊報(bào) 文的攻擊特征���、協(xié)議特征��,并設(shè)置執(zhí)行方式���,然后將攻擊特征、協(xié)議特征���、執(zhí)行方式添加到攻 擊特征庫中�,以防御一些網(wǎng)絡(luò)攻擊�。
[0043]再進(jìn)一步地,針對(duì)維護(hù)應(yīng)用特征庫的過程�����,IPS設(shè)備在接收來自管理設(shè)備的攻擊特 征����、協(xié)議特征以及執(zhí)行方式之后����,可以判斷應(yīng)用特征庫中是否存在該協(xié)議特征,若不存在, 則將該協(xié)議特征更新到應(yīng)用特征庫中����。
[0044] 由上述實(shí)施例可知,IPS設(shè)備在接收到報(bào)文時(shí)�����,確定報(bào)文的協(xié)議特征���,并利用該協(xié) 議特征判斷是否要對(duì)該報(bào)文進(jìn)行攻擊特征檢測(cè)�,若需要�,則判斷該報(bào)文是否存在該協(xié)議特 征對(duì)應(yīng)的所有攻擊特征中的攻擊特征,若是�����,則確定該報(bào)文為攻擊報(bào)文�����,并利用該攻擊特征 對(duì)應(yīng)的執(zhí)行方式處理該報(bào)文�����。由于該報(bào)文只需要與該協(xié)議特征對(duì)應(yīng)的所有攻擊特征進(jìn)行匹 配,不需要與攻擊特征庫中的所有攻擊特征匹配���,因此��,可以減少對(duì)IPS設(shè)備內(nèi)存的占用�����,提 高IPS設(shè)備的處理效率���。又由于該報(bào)文的協(xié)議特征與匹配到的攻擊特征對(duì)應(yīng)的協(xié)議特征一 樣,因此可以確保攻擊檢測(cè)的準(zhǔn)確度��。
[0045] 與前述攻擊報(bào)文的檢測(cè)方法的實(shí)施例相對(duì)應(yīng)��,本申請(qǐng)還提供了攻擊報(bào)文的檢測(cè)裝 置的實(shí)施例��。
[0046] 本申請(qǐng)攻擊報(bào)文的檢測(cè)裝置的實(shí)施例可以應(yīng)用在IPS設(shè)備上���。裝置實(shí)施例可以通 過軟件實(shí)現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)����。以軟件實(shí)現(xiàn)為例,作為一個(gè)邏輯 意義上的裝置,是通過其所在設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀 取到內(nèi)存中運(yùn)行形成的�����。從硬件層面而言���,如圖2所示����,為本申請(qǐng)根據(jù)一示例性實(shí)施例示出 的一種IPS設(shè)備的硬件結(jié)構(gòu)圖���,除了圖2所示的處理器�、內(nèi)存�����、網(wǎng)絡(luò)接口�、以及非易失性存儲(chǔ) 器之外,實(shí)施例中裝置所在的設(shè)備通常根據(jù)該設(shè)備的實(shí)際功能�����,還可以包括其他硬件�,對(duì)此 不再贅述����。
[0047] 圖3為本申請(qǐng)根據(jù)一示例性實(shí)施例示出的一種攻擊報(bào)文的檢測(cè)裝置的實(shí)施例結(jié)構(gòu) 圖����,如圖3所示,該實(shí)施例應(yīng)用于IPS設(shè)備上���,IPS設(shè)備上配置有攻擊特征庫�����,攻擊特征庫中記 錄的每個(gè)攻擊特征對(duì)應(yīng)有協(xié)議特征和執(zhí)行方式�,該裝置包括:接收單元310�����、第一確定單元 320���、第一判斷單元330����、第一獲取單元340�����、第二判斷單元350�、第二確定單元360。
[0048]接收單元310,用于接收?qǐng)?bào)文�;
[0049] 第一確定單元320,用于確定所述報(bào)文的協(xié)議特征���;
[0050] 第一判斷單元330,用于判斷應(yīng)用特征庫中是否存在所述協(xié)議特征;其中�,所述應(yīng) 用特征庫中記錄有協(xié)議特征����;
[0051] 第一獲取單元340,用于當(dāng)判斷結(jié)果為存在時(shí),獲取與所述協(xié)議特征對(duì)應(yīng)的所有攻 擊特征�����;
[0052] 第二判斷單元350,用于判斷所述報(bào)文是否存在該所有攻擊特征中的攻擊特征��; [0053]第二確定單元360����,用于當(dāng)判斷結(jié)果為是時(shí),確定所述報(bào)文為攻擊報(bào)文��,并利用所 述攻擊特征對(duì)應(yīng)的執(zhí)行方式處理所述報(bào)文。
[0054]在一個(gè)可選的實(shí)現(xiàn)方式中���,第一確定單元320,具體用于獲取所述報(bào)文攜帶的端口 號(hào);利用所述端口號(hào)確定所述報(bào)文的協(xié)議特征����。
[0055]在另一個(gè)可選的實(shí)現(xiàn)方式中��,所述裝置還包括(圖3中未示出):
[0056]第二獲取單元��,用于在第二確定單元360確定所述報(bào)文為攻擊報(bào)文之后��,獲取所述 攻擊特征對(duì)應(yīng)的攻擊標(biāo)識(shí);獲取所述攻擊標(biāo)識(shí)對(duì)應(yīng)的攻擊類型�����;
[0057]發(fā)送單元��,用于將所述攻擊報(bào)文和所述攻擊類型發(fā)送至管理設(shè)備�,以使所述管理 設(shè)備利用所述攻擊報(bào)文進(jìn)一步提取屬于所述攻擊類型的攻擊特征。
[0058]在另一個(gè)可選的實(shí)現(xiàn)方式中��,所述裝置還包括(圖3中未示出):
[0059] 攻擊特征庫維護(hù)單元��,具體用于接收來自所述管理設(shè)備的攻擊特征、協(xié)議特征以 及執(zhí)行方式;將所述攻擊特征�、所述協(xié)議特征以及所述執(zhí)行方式更新到所述攻擊特征庫中。
[0060] 在另一個(gè)可選的實(shí)現(xiàn)方式中��,所述裝置還包括(圖3中未示出):
[0061]應(yīng)用特征庫維護(hù)單元��,具體用于在攻擊特征庫維護(hù)單元在接收來自所述管理設(shè)備 的攻擊特征�����、協(xié)議特征以及執(zhí)行方式之后�����,判斷所述應(yīng)用特征庫中是否存在所述協(xié)議特征���; 若不存在,則將所述協(xié)議特征更新到所述應(yīng)用特征庫中���。
[0062] 上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的 實(shí)現(xiàn)過程�����,在此不再贅述��。
[0063] 對(duì)于裝置實(shí)施例而言,由于其基本對(duì)應(yīng)于方法實(shí)施例,所以相關(guān)之處參見方法實(shí) 施例的部分說明即可�����。以上所描述的裝置實(shí)施例僅僅是示意性的�,其中所述作為分離部件 說明的單元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以 不是物理單元���,即可以位于一個(gè)地方��,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上��?���?梢愿鶕?jù)實(shí)際的 需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請(qǐng)方案的目的����。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施�����。
[0064] 由上述實(shí)施例可知,IPS設(shè)備在接收到報(bào)文時(shí)����,確定報(bào)文的協(xié)議特征,并利用該協(xié) 議特征判斷是否要對(duì)該報(bào)文進(jìn)行攻擊特征檢測(cè)�����,若需要���,則判斷該報(bào)文是否存在該協(xié)議特 征對(duì)應(yīng)的所有攻擊特征中的攻擊特征,若是�����,則確定該報(bào)文為攻擊報(bào)文�����,并利用該攻擊特征 對(duì)應(yīng)的執(zhí)行方式處理該報(bào)文���。由于該報(bào)文只需要與該協(xié)議特征對(duì)應(yīng)的所有攻擊特征進(jìn)行匹 配���,不需要與攻擊特征庫中的所有攻擊特征匹配,因此,可以減少對(duì)IPS設(shè)備內(nèi)存的占用�,提 高IPS設(shè)備的處理效率。又由于該報(bào)文的協(xié)議特征與匹配到的攻擊特征對(duì)應(yīng)的協(xié)議特征一 樣�,因此可以確保攻擊檢測(cè)的準(zhǔn)確度。
[0065]以上所述僅為本申請(qǐng)的較佳實(shí)施例而已����,并不用以限制本申請(qǐng),凡在本申請(qǐng)的精 神和原則之內(nèi)�,所做的任何修改、等同替換��、改進(jìn)等�����,均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)���。
【主權(quán)項(xiàng)】
1. 一種攻擊報(bào)文的檢測(cè)方法���,其特征在于,所述方法應(yīng)用于入侵防御系統(tǒng)IPS設(shè)備上���, 所述IPS設(shè)備上配置有攻擊特征庫�,所述攻擊特征庫中記錄的每個(gè)攻擊特征對(duì)應(yīng)有協(xié)議特 征和執(zhí)行方式,所述方法包括: 接收?qǐng)?bào)文����,并確定所述報(bào)文的協(xié)議特征; 判斷應(yīng)用特征庫中是否存在所述協(xié)議特征;其中�,所述應(yīng)用特征庫中記錄有協(xié)議特征; 若存在�,則獲取與所述協(xié)議特征對(duì)應(yīng)的所有攻擊特征,并判斷所述報(bào)文是否存在該所 有攻擊特征中的攻擊特征��; 若是����,則確定所述報(bào)文為攻擊報(bào)文����,并利用所述攻擊特征對(duì)應(yīng)的執(zhí)行方式處理所述報(bào) 文。2. 根據(jù)權(quán)利要求1所述的方法��,其特征在于�,針對(duì)確定所述報(bào)文的協(xié)議特征的過程,具 體包括: 獲取所述報(bào)文攜帶的端口號(hào)�; 利用所述端口號(hào)確定所述報(bào)文的協(xié)議特征。3. 根據(jù)權(quán)利要求1所述的方法�,其特征在于�����,所述確定所述報(bào)文為攻擊報(bào)文之后��,所述 方法還包括: 獲取所述攻擊特征對(duì)應(yīng)的攻擊標(biāo)識(shí)��; 獲取所述攻擊標(biāo)識(shí)對(duì)應(yīng)的攻擊類型���; 將所述攻擊報(bào)文和所述攻擊類型發(fā)送至管理設(shè)備,以使所述管理設(shè)備利用所述攻擊報(bào) 文進(jìn)一步提取屬于所述攻擊類型的攻擊特征�����。4. 根據(jù)權(quán)利要求3所述的方法���,其特征在于�,針對(duì)維護(hù)所述攻擊特征庫的過程�,具體包 括: 接收來自所述管理設(shè)備的攻擊特征、協(xié)議特征以及執(zhí)行方式�; 將所述攻擊特征、所述協(xié)議特征以及所述執(zhí)行方式更新到所述攻擊特征庫中�。5. 根據(jù)權(quán)利要求4所述的方法,其特征在于�����,針對(duì)維護(hù)所述應(yīng)用特征庫的過程,具體包 括: 在接收來自所述管理設(shè)備的攻擊特征�、協(xié)議特征以及執(zhí)行方式之后,判斷所述應(yīng)用特 征庫中是否存在所述協(xié)議特征���; 若不存在��,則將所述協(xié)議特征更新到所述應(yīng)用特征庫中�。6. -種攻擊報(bào)文的檢測(cè)裝置��,其特征在于�����,所述裝置應(yīng)用于入侵防御系統(tǒng)IPS設(shè)備上���, 所述IPS設(shè)備上配置有攻擊特征庫,所述攻擊特征庫中記錄的每個(gè)攻擊特征對(duì)應(yīng)有協(xié)議特 征和執(zhí)行方式����,所述裝置包括: 接收單元,用于接收?qǐng)?bào)文���; 第一確定單元���,用于確定所述報(bào)文的協(xié)議特征����; 第一判斷單元�,用于判斷應(yīng)用特征庫中是否存在所述協(xié)議特征;其中,所述應(yīng)用特征庫 中記錄有協(xié)議特征�����; 第一獲取單元��,用于當(dāng)判斷結(jié)果為存在時(shí)���,獲取與所述協(xié)議特征對(duì)應(yīng)的所有攻擊特征���; 第二判斷單元,用于判斷所述報(bào)文是否存在該所有攻擊特征中的攻擊特征�����; 第二確定單元�,用于當(dāng)判斷結(jié)果為是時(shí)��,確定所述報(bào)文為攻擊報(bào)文�����,并利用所述攻擊特 征對(duì)應(yīng)的執(zhí)行方式處理所述報(bào)文�。7. 根據(jù)權(quán)利要求6所述的裝置���,其特征在于��,所述第一確定單元����,具體用于獲取所述報(bào) 文攜帶的端口號(hào);利用所述端口號(hào)確定所述報(bào)文的協(xié)議特征��。8. 根據(jù)權(quán)利要求6所述的裝置����,其特征在于�,所述裝置還包括: 第二獲取單元,用于在第二確定單元確定所述報(bào)文為攻擊報(bào)文之后�,獲取所述攻擊特 征對(duì)應(yīng)的攻擊標(biāo)識(shí);獲取所述攻擊標(biāo)識(shí)對(duì)應(yīng)的攻擊類型; 發(fā)送單元�,用于將所述攻擊報(bào)文和所述攻擊類型發(fā)送至管理設(shè)備����,以使所述管理設(shè)備 利用所述攻擊報(bào)文進(jìn)一步提取屬于所述攻擊類型的攻擊特征�。9. 根據(jù)權(quán)利要求8所述的裝置,其特征在于���,所述裝置還包括: 攻擊特征庫維護(hù)單元���,具體用于接收來自所述管理設(shè)備的攻擊特征、協(xié)議特征以及執(zhí) 行方式;將所述攻擊特征��、所述協(xié)議特征以及所述執(zhí)行方式更新到所述攻擊特征庫中���。10. 根據(jù)權(quán)利要求9所述的裝置���,其特征在于,所述裝置還包括: 應(yīng)用特征庫維護(hù)單元���,具體用于在攻擊特征庫維護(hù)單元在接收來自所述管理設(shè)備的攻 擊特征���、協(xié)議特征以及執(zhí)行方式之后,判斷所述應(yīng)用特征庫中是否存在所述協(xié)議特征;若不 存在,則將所述協(xié)議特征更新到所述應(yīng)用特征庫中��。
【文檔編號(hào)】H04L29/06GK105959290SQ201610398605
【公開日】2016年9月21日
【申請(qǐng)日】2016年6月6日
【發(fā)明人】傅純, 張寧
【申請(qǐng)人】杭州迪普科技有限公司