CN104184726A - 一种基于协议识别防止ips漏报的方法与装置 - Google Patents
一种基于协议识别防止ips漏报的方法与装置 Download PDFInfo
- Publication number
- CN104184726A CN104184726A CN201410369879.7A CN201410369879A CN104184726A CN 104184726 A CN104184726 A CN 104184726A CN 201410369879 A CN201410369879 A CN 201410369879A CN 104184726 A CN104184726 A CN 104184726A
- Authority
- CN
- China
- Prior art keywords
- protocol
- port numbers
- agreement
- message
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于协议识别防止IPS漏报的方法,包括:S1:预先建立多个传统协议与端口号的映射表;S2:当报文经过协议识别模块时,协议识别模块对报文所属的协议进行识别;S3:通过查找映射表,获得报文的协议对应的端口号;S4:遍历端口号所对应的端口组中的多模匹配状态机进行IPS检测。本发明通过基于协议识别避免IPS漏报的方法,能有效的避免通过修改报文端口来逃避IPS网关设备检测的方法。本发明还公开了一种基于协议识别防止IPS漏报的装置。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种基于协议识别防止IPS漏报的方法与装置。
背景技术
目前,大多数IPS产品都是以端口来划分规则集,将含有相同端口信息的所有规则解析到该端口对应的端口组结构中,该结构通常包含有该端口组所对应规则集的RTN(规则树节点)、OTN(选项树节点)以及多模匹配状态机。端口组结构数据需要设备初始化期间创建。检测报文时,通过报文的端口信息,即源端口、目的端口将其定位的端口组,然后遍历该端口组的多模状态机,从而确定是否触发了规则事件。
但这种基于端口组的检测框架机制由于将规则集通过端口划分成很多小的规则集合,能显著提高检测效率,但其有一个致命的缺陷,例如,报文的端口信息被人为的修改,那么报文将被定位的其它端口组上去做检测,也就逃避了IPS规则的检测。
发明内容
本发明所要解决的技术问题是,针对现有技术的不足,如何通过协议识别防止IPS漏报的关键问题。
为此目的,本发明提出了一种基于协议识别防止IPS漏报的方法,包括具体以下步骤:
S1:预先建立多个传统协议与端口号的映射表;
S2:当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别;
S3:通过查找所述映射表,获得所述报文所述的协议对应的端口号;
S4:遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
具体地,所述多个传统协议包括:HTTP协议、FTP协议和SMTP协议。
具体地,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为一一对应。
为此目的,本发明还提出了一种基于协议识别防止IPS漏报的装置,包括:
映射表建立模块,用于预先建立多个传统协议与端口号的映射表;
识别模块,用于当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别;
端口号获取模块,用于通过查找所述映射表,获得所述报文所述的协议对应的端口号;
检测模块,用于遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
具体地,所述多个传统协议包括:HTTP协议、FTP协议和SMTP协议。
具体地,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为一一对应。
本发明所公开的一种基于协议识别防止IPS漏报的方法,首先需要协议识别模块的支持,协议识别模块能有效的识别出各种传统协议,然后预先建立各传统协议与端口号的映射表,此时的报文,即被修改了端口信息的报文经过协议识别模块,其所属协议被正确地识别出来,然后查找协议端口映射表,得到校正的端口号,最后遍历该端口号所对应端口组中的多模匹配状态机。本发明通过与协议识别功能的联动,有效的防止了通过修改端口信息来逃避IPS检测的攻击。本发明还公开了一种基于协议识别防止IPS漏报的装置。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了本发明实施例中的一种基于协议识别防止IPS漏报的方法的步骤流程图;
图2示出本发明实施例中的一种基于协议识别防止IPS漏报的方法部署示意图;
图3示出了本发明实施例中的一种基于协议识别防止IPS漏报的装置的结构图。
具体实施方式
下面将结合附图对本发明的实施例进行详细描述。
如图1所示,本发明提供了一种基于协议识别防止IPS漏报的方法,包括具体以下步骤:
步骤S1:预先建立多个传统协议与端口号的映射表,其中,多个传统协议包括:HTTP协议、FTP协议和SMTP协议,且映射表包含两个元素的值对:协议和端口号,其中,协议与端口号为多个,协议与端口号为一一对应。
步骤S2:当报文经过协议识别模块时,协议识别模块对报文所属的协议进行识别。
步骤S3:通过查找映射表,获得报文的协议对应的端口号。
步骤S4:遍历端口号所对应的端口组中的多模匹配状态机进行IPS检测。
为了更好的理解与应用本发明提出的一种基于协议识别防止IPS漏报的方法,进行如下示例,且本发明不局限于如下示例。
如图2所示,本发明在原有的基于端口的IPS检测框架下,通过协议识别功能将其报文定位到正确的端口组中,该方法能有效的防止通过修改报文端口信息的方法来逃避检测的攻击。
具体地,报文经过网关设备,首先通过协议识别模块将其所属协议识别出来,所识别出来的协议通常是传统协议。例如,HTTP协议、FTP协议以及SMTP协议。
进一步地,网关设备预先定义维护了一份协议端口映射表,该表的每项主要包含两个元素的值对:协议和端口号,例如,HTTP协议对应的端口80,SMTP协议对应的端口25,报文经过上述步骤后定位的协议作为协议端口映射表的输入参数,查找该协议对应的正确端口,如果报文的端口协议被修改,则其报文的端口与映射出的正确端口不一致。
更进一步地,上述步骤查找出的端口叫做校验端口,通过校验端口,定位到该校验端口所对应的端口组中,该端口组信息是一端口划分的规则集信息,规则的RTN、OTN集合数据块、多模匹配状态机。例如,80端口组,包含了端口为80的所有规则信息,报文匹配该端口组的多模匹配状态机,如果匹配成功,通过RTN、OTN确定是哪条规则触发的事件,即最终完成了与协议识别的联动,报文被定向到正确的端口组中,然后进行基于端口组的IPS事件匹配。该发明有效的防止了通过修改报文端口来逃避IPS检测的攻击,具有较高的识别性与安全性。
如图3所示,本发明提供了一种基于协议识别防止IPS漏报的装置10,包括:映射表建立模块101、识别模块102、端口号获取模块103以及检测模块104。
具体地,映射表建立模块101用于预先建立多个传统协议与端口号的映射表,其中,多个传统协议包括:HTTP协议、FTP协议和SMTP协议,且映射表包含两个元素的值对:协议和端口号,其中,协议与端口号为多个,协议与端口号为一一对应;识别模块102用于当报文经过协议识别模块时,协议识别模块对报文所属的协议进行识别;端口号获取模块103用于通过查找映射表,获得报文的协议对应的端口号;检测模块104用于遍历端口号所对应的端口组中的多模匹配状态机进行IPS检测。
本发明所公开的一种基于协议识别防止IPS漏报的方法,首先需要协议识别模块的支持,协议识别模块能有效的识别出各种传统协议,其中这些传统协议都有公认的端口号,然后预先建立各传统协议与端口号的映射表,此时的报文,即被修改了端口信息的报文经过协议识别模块,其所属协议被正确地识别出来,然后查找协议端口映射表,得到校正的端口号,最后遍历该端口号所对应端口组中的多模匹配状态机。本发明通过与协议识别功能的联动,有效的防止了通过修改端口信息来逃避IPS检测的攻击。本发明还公开了一种基于协议识别防止IPS漏报的装置。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (6)
1.一种基于协议识别防止IPS漏报的方法,其特征在于,包括具体以下步骤:
S1:预先建立多个传统协议与端口号的映射表;
S2:当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别;
S3:通过查找所述映射表,获得所述报文所述的协议对应的端口号;
S4:遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
2.如权利要求1所述的方法,其特征在于,所述多个传统协议包括:HTTP协议、FTP协议和SMTP协议。
3.如权利要求1所述的方法,其特征在于,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为一一对应。
4.一种基于协议识别防止IPS漏报的装置,其特征在于,包括:
映射表建立模块,用于预先建立多个传统协议与端口号的映射表;
识别模块,用于当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别;
端口号获取模块,用于通过查找所述映射表,获得所述报文所述的协议对应的端口号;
检测模块,用于遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
5.如权利要求4所述的装置,其特征在于,所述多个传统协议包括:HTTP协议、FTP协议和SMTP协议。
6.如权利要求4所述的装置,其特征在于,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为一一对应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410369879.7A CN104184726A (zh) | 2014-07-25 | 2014-07-25 | 一种基于协议识别防止ips漏报的方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410369879.7A CN104184726A (zh) | 2014-07-25 | 2014-07-25 | 一种基于协议识别防止ips漏报的方法与装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104184726A true CN104184726A (zh) | 2014-12-03 |
Family
ID=51965468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410369879.7A Pending CN104184726A (zh) | 2014-07-25 | 2014-07-25 | 一种基于协议识别防止ips漏报的方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104184726A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845066A (zh) * | 2006-05-16 | 2006-10-11 | 北京启明星辰信息技术有限公司 | 一种自动协议识别方法及系统 |
| CN101426000A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种通用协议解析方法及系统 |
| CN101834760A (zh) * | 2010-05-20 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
| US8112800B1 (en) * | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
-
2014
- 2014-07-25 CN CN201410369879.7A patent/CN104184726A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845066A (zh) * | 2006-05-16 | 2006-10-11 | 北京启明星辰信息技术有限公司 | 一种自动协议识别方法及系统 |
| CN101426000A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种通用协议解析方法及系统 |
| US8112800B1 (en) * | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| CN101834760A (zh) * | 2010-05-20 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
Non-Patent Citations (2)
| Title |
|---|
| 勒加雷: "《嵌入式协议桟uC\TCP-IP基于STM32微控制器》", 31 December 2013 * |
| 蔡敏,叶震,徐吉斌: "协议分析技术在入侵检测中的应用", 《计算机技术与发展》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106131071B (zh) | 一种Web异常检测方法和装置 | |
| CN102955914B (zh) | 一种源文件安全漏洞的检测方法及检测装置 | |
| CN105160252B (zh) | 一种结构化查询语言注入攻击的检测方法及装置 | |
| US20150106663A1 (en) | Hash labeling of logging messages | |
| CN104168288A (zh) | 一种基于协议逆向解析的自动化漏洞挖掘系统及方法 | |
| CN104077401B (zh) | 用于数据库的数据迁移装置和数据迁移方法 | |
| CN102647414B (zh) | 协议解析方法、设备及系统 | |
| US20160147622A1 (en) | Enhanced error detection in data synchronization operations | |
| EP4155974A1 (en) | Knowledge graph construction method and apparatus, check method and storage medium | |
| CN110414236A (zh) | 一种恶意进程的检测方法及装置 | |
| CN109194677A (zh) | 一种sql注入攻击检测方法、装置及设备 | |
| CN104484175B (zh) | Android应用程序密码学误用检测方法 | |
| CN110222114B (zh) | 数据库中数据双向同步的方法及设备 | |
| CN105279089B (zh) | 一种获取页面元素的方法及装置 | |
| CN106775937A (zh) | 一种命令行校验方法及装置 | |
| JP6190539B2 (ja) | ログ分析装置、ログ分析システム、ログ分析方法及びコンピュータプログラム | |
| EP4287017A2 (en) | Automatic configuration of logging infrastructure for software deployments using source code | |
| US9600644B2 (en) | Method, a computer program and apparatus for analyzing symbols in a computer | |
| CN107194658A (zh) | 微服务系统的项目迭代分支管理方法 | |
| CN106503244A (zh) | 一种统一资源定位符相似度的处理方法 | |
| CN104184726A (zh) | 一种基于协议识别防止ips漏报的方法与装置 | |
| KR101244945B1 (ko) | 메타 패턴을 이용한 웹쉘 탐지 장치 | |
| CN106789392A (zh) | 一种监控网络爬虫的方法、装置和系统 | |
| CN106127202A (zh) | 一种图片中字符识别的方法以及装置 | |
| CN105049437A (zh) | 一种网络应用层数据过滤方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141203 |
|
| RJ01 | Rejection of invention patent application after publication |