CN106936805B - 一种网络攻击的防御方法和系统 - Google Patents
一种网络攻击的防御方法和系统 Download PDFInfo
- Publication number
- CN106936805B CN106936805B CN201511032545.1A CN201511032545A CN106936805B CN 106936805 B CN106936805 B CN 106936805B CN 201511032545 A CN201511032545 A CN 201511032545A CN 106936805 B CN106936805 B CN 106936805B
- Authority
- CN
- China
- Prior art keywords
- data packet
- action type
- preset
- code
- requested access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种网络攻击的防御方法和系统,该方法包括:截获外网向内网传输的数据包;获取该数据包的目的端口号;确定该数据包所请求的访问操作的操作类型;根据预置的端口号与敏感操作类型的对应关系,判断该操作类型是否属于该目的端口号对应的敏感操作类型;当该操作类型属于该目的端口号对应的敏感操作类型时,检测该数据包中是否包含有预置的特征库中的特征码;如果检测到该数据包中包含有预置的特征库中的特征码,则按照预设的防御方式处理该数据包。该方法和系统可以减少检测网络攻击的数据处理量。
Description
技术领域
本申请涉及网络技术领域,更具体的说是涉及一种网络攻击的防御方法和系统。
背景技术
随着网络技术的不断进步,网络领域中的网络攻击也越来越多。为了防御网络攻击,一般会在内网与外网之间设置入侵防御系统(IPS,Intrusion Prevention System),以通过入侵防御系统检测出网络攻击行为并作出防御响应。
入侵防御系统可以通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击或滥用网络系统的形式。然而目前的入侵防御系统检测网络攻击的过程中,需要对截获的所有数据包均进行特征检测,以确定该数据包所请求的访问请求是否为网络攻击,导致数据处理量过大。
发明内容
有鉴于此,本申请提供了一种网络攻击的防御方法和系统,以减少检测网络攻击的数据处理量。
为实现上述目的,本申请提供如下技术方案:
一种网络攻击的防御方法,包括:
截获外网向内网传输的数据包;
获取所述数据包的目的端口号;
确定所述数据包所请求的访问操作的操作类型;
根据预置的端口号与敏感操作类型的对应关系,判断所述操作类型是否属于所述目的端口号对应的敏感操作类型;
当所述操作类型属于所述目的端口号对应的敏感操作类型时,则检测所述数据包中是否包含有预置的特征库中的特征码;
如果检测到所述数据包中包含有预置的特征库中的特征码,则按照预设的防御方式处理所述数据包。
优选的,所述操作类型包括以下一种或多种:
写操作、读操作和代码执行操作,所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码;
则,确定所述数据包所请求的访问操作的操作类型,包括:
解析所述数据包表征操作类型的操作码,识别所述操作码所对应的操作指令,其中,操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。
优选的,在所述确定所述数据包所请求的访问操作的操作类型之前,还包括:
检测所述数据包中是否包含有预置的关键特征码,其中,所述关键特征码为基于网络攻击行为中的通用指令确定的;
如果所述数据包中包含有所述关键特征码,则按照所述预设的防御方式处理所述数据包;
如果所述数据包中未包含有所述关键特征码,则执行所述确定所述数据包所请求的访问操作的操作类型。
优选的,在确定所述数据包所请求的访问操作的操作类型之前,还包括:
对所述数据包进行协议解析;
如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式,则按照所述预设的防御方式处理所述数据包;
如果解析出所述数据包所采用的协议格式属于预置的可信协议格式,对所述数据包进行完整性检测,并得到完整性检测结果;
则所述确定所述数据包所请求的访问操作的操作类型,包括:
基于所述完整性检测结果,将所述数据包与所述数据包关联的数据包进行排序重组;
确定排序重组后的数据包所请求的访问操作的操作类型。
优选的,所述预设的防御方式可以包括一项任意一种或多种方式:
丢弃所述数据包;
终止所述数据包对应的会话;
输出针对所述数据包的报警信息;
发送控制报文协议不可达数据包;
记录日志。
另一方面,本申请实施例还提供了一种网络攻击的防御系统,包括:
存储单元,用于存储预置的端口号与敏感操作的对应关系;
数据截获单元,用于截获外网向内网传输的数据包;
端口号解析单元,用于获取所述数据包的目的端口号;
操作类型确定单元,用于确定所述数据包所请求的访问操作的操作类型;
异常识别单元,用于根据所述存储单元中预置的所述端口号与敏感操作类型的对应关系,判断所述操作类型是否属于所述目的端口号对应的敏感操作类型;
基础特征检测单元,用于当所述操作类型属于所述目的端口号对应的敏感操作类型时,检测所述数据包中是否包含有预置的特征库中的特征码;
攻击处理单元,用于如果检测到所述数据包中包含有预置的特征库中的特征码,则按照预设的防御方式处理所述数据包。
优选的,所述操作类型确定的所述操作类型包括以下一种或多种:
写操作、读操作和代码执行操作,所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码;
则,操作类型确定单元,包括:
操作类型确定子单元,用于解析所述数据包表征操作类型的操作码,识别所述操作码所对应的操作指令,其中,操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。
优选的,所述防御系统,还包括:
关键特征检测单元,用于在所述操作类型确定单元确定所述数据包所请求的访问操作的操作类型之前,检测所述数据包中是否包含有预置的关键特征码,其中,所述关键特征码为基于网络攻击行为中的通用指令确定的;如果所述数据包中包含有所述关键特征码,则按照预设的防御方式处理所述数据包;如果所述数据包中未包含有所述关键特征码,则触发执行所述操作类型确定单元的操作。
优选的,还包括:
协议解析单元,用于对所述数据包进行协议解析;
防御处理单元,用于如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式,则按照预设的防御方式处理所述数据包;
完整性检测单元,用于如果解析出所述数据包所采用的协议格式属于预置的可信协议格式,对所述数据包进行完整性检测,并得到完整性检测结果;
则,所述操作类型确定单元,包括:
排序重组单元,用于基于所述完整性检测结果,将所述数据包与所述数据包关联的数据包进行排序重组;
确定子单元,用于确定排序重组后的数据包所请求的访问操作的操作类型。
优选的,所述防御方式包括一项任意一种或多种方式:
丢弃所述数据包;
终止所述数据包对应的会话;
输出针对所述数据包的报警信息;
发送控制报文协议不可达数据包;
记录日志。
经由上述的技术方案可知,在截获了外网向内网传输的数据包之后,先分析该数据包的目标端口号和数据包所请求的访问操作的操作类型,并检测该数据包所请求的访问操作的操作类型是否属于该目的端口号的敏感操作类型,以筛选出可能所请求的访问操作属于网络攻击行为的数据包,从而可以在数据包所请求的访问操作的操作类型属于目的端口的敏感操作类型时,才会检测该数据包是否包含预置的特征库中的特征码,从而无需对所有的数据包均进行特征码检测,有利于减少检测网络攻击行为的数据处理量。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本申请一种网络攻击的防御方法一个实施例的流程示意图;
图2示出了本申请一种网络攻击的防御方法另一个实施例的流程示意图;
图3示出了本申请一种网络攻击的防御系统一个实施例的结构示意图。
具体实施方式
本申请实施例提供了一种网络攻击的防御方法和系统,该方法和系统可以提高检测网络攻击的准确性,进而有利于准确可靠的阻断网络攻击。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先对本申请的一种网络攻击的防御方法进行介绍。
参见图1,其示出了本申请一种网络攻击的防御方法一个实施例的流程示意图,本申请实施例可以应用于内网与外网之间的入侵防御系统内,本实施例的方法可以包括:
101,截获外网向内网传输的数据包。
与现有的相似,本实施例会截获外网设备向内网设备传输的数据包,以通过对数据包分析,检测该数据包是否属于恶意的网络攻击。
102,获取该数据包的目的端口号。
可以通过对数据包进行解析,解析出数据包的五元组,该五元组可以包括数据包的源IP地址、目的IP地址、源端口号、目的端口号以及协议类型,根据解析出的五元组可以确定该数据包的目的端口号。当然,通过其他方式获取该数据包的目的端口号的方式同样适用于本实施例。
其中,目的端口号表示内网中数据包的接收方的接收端口,而端口实际上特定的应用程序或软件的接口,因此,通过该目标端口号可以反映出接收方中哪个应用程序或者软件会接收该数据包,确定出数据包的目的地址。例如,目标端口号可以为浏览器对应的端口号,邮箱对应的端口号等。
103,确定该数据包所请求的访问操作的操作类型。
其中,数据包所请求的访问操作可以分为不同的操作类型,如,操作类型可以包括写操作、读操作,还可以包括代码执行操作,该代码执行操作用于指示内网设备执行数据包中携带的待执行代码。
例如,以端口号为21为例,向该端口号的端口进行远程文件传输则属于写操作。
104,根据预置的端口号与敏感操作类型的对应关系,判断所述操作类型是否属于所述目的端口号对应的敏感操作类型。
其中,敏感操作类型表征端口接收到的访问操作中可能属于网络攻击行为的操作类型。如果端口接收到属于该端口的端口号对应的敏感操作类型的访问操作,则说明接收到访问操作有可能是网络攻击行为。
在本实施例中该防御系统预先确定出敏感操作,以明确哪些端口号的哪些操作属于敏感操作,进而预置端口号对应的敏感操作类型,如果截获的该数据包的操作类型属于该数据包对应的目的端口对应的敏感操作类型,则说明该数据包所请求的访问操作属于敏感操作。
不同端口号的敏感操作类型可以根据实际需要,如,该对应关系可以包括:内核的端口号与写操作的对应关系,其中,写操作为内核的端口号对应的敏感操作类型。
其中,该端口号与敏感操作类型的对应关系可以预先由防御系统的开发人员输入,并存在到指定存储空间中。具体的,可以采用表格的形式存储各个端口号所对应的敏感操作类型。
105,当该操作类型属于该目的端口号对应的敏感操作类型时,检测该数据包中是否包含有预置的特征库中的特征码。
其中,该特征库中包含有大量的特征码,该特征库可以理解为包含有攻击特征的攻击特征库。如,该特征库是基于攻击技术的特征、应用协议涉及上的缺陷和漏洞等来确定出的。一般来讲。一种攻击模式可以用一个过程如执行一条指令,或者是一个输出如获得某种权限来表示,因此,可以通过日志分析等方式,来确定攻击的攻击特征。具体的,该特征库中的特征码可以是通过对一些带有攻击行为的网络日志文件或数据包中的进行分析,确定这些日志文件或数据包中的共同点或者不同点,并最终提取出所有带有攻击特征。当然,该特征库可以包括提取出的这些特征以及特征之间的组合。
检测该数据包是否包含有该特征库中特征码时,可以检测该数据包中的数据内容进行特征数据提取,并将提取出的特征数据与特征库中的特征码进行匹配。
在数据包所请求的访问操作的操作类型属于该目标端口号对应的敏感操作类型时,则说明该数据包所请求的访问操作属于网络攻击行为的风险较大,在该种情况下需要对数据包进行特征检测;而如果检测到该数据包所请求的访问操作不属于敏感操作类型时,则无需再对数据包进行特征检测,有利于减少数据处理量。
106,如果检测到该数据包中包含有预置的特征库中的特征码,则按照预设的防御方式处理该数据包。
如果该数据包中存在预置的特征库中的特征码时,则说明检测到网络攻击,进而按照预设的防御方式处理该数据包。
其中,该防御方式可以有多种,可以为现有的任意处理网络攻击的方式,如,可以丢弃该数据包,终止该数据包对应的会话,输出针对该数据包的报警信息,向该数据包的发送方返回虚拟数据、发送控制报文协议(ICMP,Internet Control Message Protocol)不可达数据包;记录日志等方式中的一种或多种。其中,记录日志可以记录该数据包对应的访问操作的操作类型、数据包对应的目标端口号等与该数据包相关的信息。
在本申请实施例中,在截获了外网向内网传输的数据包之后,先分析该数据包的目标端口号和数据包所请求的访问操作的操作类型,并检测该该数据包所请求的访问操作的操作类型是否属于该目的端口号的敏感操作类型,以筛选出可能所请求的访问操作属于网络攻击行为的数据包,从而可以在数据包所请求的访问操作的操作类型属于目的端口的敏感操作类型时,才会检测该数据包是否包含预置的特征库中的特征码,从而无需对所有的数据包均进行特征码检测,有利于减少检测网络攻击行为的数据处理量。
可以理解的是,在本申请实施例中,确定数据包所请求的访问操作的操作类型的方式可以有多种,为了便于理解,以一种方式进行介绍。
在获取到数据包之后,可以解析该数据包中表征操作类型的操作码,然后识别该操作码对应的操作指令,进而确定出该操作指令为何种操作类型的指令。与操作类型相对应,该操作指定可以包括写操作指令、读操作指令和代码执行指令中的一种或多种。
当然,还可以有其他确定数据包所请求的访问操作的操作类型的方式,只要是能够确定出操作类型即可,具体并不做限制。
可以理解的是,常见的网络攻击行为会具有一些共性,如,网络攻击行为所对应的数据包中可能会包含有一些常见的攻击指令,因此,如果数据包中包含有这些攻击指令所对应的数据,便可以确定该数据包所对应的访问行为属于网络攻击行为,进而可以直接确定该数据包所请求的访问行为属于网络攻击行为。基于此,可选的,确定所述数据包所请求的访问操作的操作类型之前还可以:检测数据包中是否包含有预置的关键特征码,其中,该关键特征码为基于网络攻击行为中的通用指令确定的。例如,某个存储空间内的数据不允许被删除或修改,而如果数据包中存在删除该存储空间内的操作指令,则该数据包中会包含有特定的标识数据,此时可以设定该标识数据或者包含的该标识数据的特征数据为关键特征码。
可以理解的是,预置的关键特征码可以有多个,而该数据包中包含的关键特征码也可以是一个或多个。
相应的,如果该数据包中包含有该关键特征码,则按照预设的防御方式处理数据包;
如果该数据包中未包含有该关键特征码,则执行以上实施例中确定数据包所请求的访问操作的操作类型的操作。
在确定该数据包所请求的访问操作的操作类型之前,先验证该数据包是否包含有关键特征码,便可以检测出属于攻击行为的数据包,可以避免解析数据包所请求的访问操作的操作类型而带来的数据处理量。同时,由于关键特征码仅仅是数据较少,且较为常用的攻击特征,从而可以在较为准确的检测出攻击行为的同时,降低数据处理量。
需要说明的是,本实施例中的关键特征码可以理解为特征库中一类特殊的特征码,关键特征码为网络攻击行为中经常出现的特征码,在虚拟内存中运行该数据包之前,仅仅检测该数据包中是否包含该关键特征码,既可以有效检测该数据包所请求的操作行为是否为网络攻击,也可以避免直接对特征库中的所有特征均进行检测而导致的数据处理量过大的问题。同时,为了避免漏检,可以在确定该数据包对应的操作类型之后,再检测该数据包是否包含有特征库中的其他特征。
可以理解的是,在本申请以上任意一个实施例中,在截获到该数据包之后,还可以先对数据包进行协议解析,以分析该数据包所采用的协议格式是否属于预置的可信协议格式,如果是,则可以执行以上确定数据包对应的特征类型以及检测数据包中包含的特征码等操作;如果否,则说明该数据包为异常数据包,需要禁止该数据包的传输,可以采用预设的防御方式对数据包进行处理。当然该预设的防御方式可以与前面的几个防御方式相同或者不同。
可选的,在以上实施例中,还可以对协议解析后的数据包进行完整性检测。基于所述完整性检测结果,将数据包与该数据包关联的数据包进行排序重组,然后,可以确定排序重组后的数据包所请求的访问操作的操作类型。
为了便于理解,下面以一个优选的方式对本申请的防御方法进行介绍。
参见图2,其示出了本申请一种网络攻击的防御方法又一个实施例的流程示意图,本实施例的方法可以包括:
201,截获外网向内网传输的数据包。
202,对该数据包进行协议解析,并判断该数据包所采用的协议格式是否属于预置的可信协议格式,如果是,则执行步骤203;否则,执行步骤210。
对数据包进行协议解析可以解析出传输该数据包所采用的通信协议。如果解析出该数据包所采用的协议格式不属于预设的可信任的协议格式,其中,预置的协议格式可以根据需要设定,如,协议格式可以为传输控制协议/因特网互联协议,即TCP/IP协议。
可选的,本步骤可以直接解析该数据包的五元组,并根据五元组中的协议类型,分析该数据包所采用的协议格式是否属于可信协议格式。当然,在解析出该数据包的五元组之后,后续可以直接继续解析出的五元组的信息,确定该数据包的目的端口号,而无需重复解析该数据包。
203,对数据包进行完整性检测,并得到完整性检测结果。
204,基于完整性检测结果,将该数据包与数据包关联的数据包进行排序重组。
对数据包进行完整性检测,以检测该数据包的完整性,如该数据包之前是否已发送了其他与该数据包内数据关联的数据包,完整性检测的方式可以采用现有的任意方式,在此不加以限定。
如果确定出该数据包不属于完整性数据包,则从传输该数据包的会话所传输的其他数据包中,确定与该数据包关联的数据包。具体的,数据包中可以具有特定的标识,基于数据包内的特定标识可以识别出不同数据包之间的关联关系。
确定关联的数据包可以是从传输该数据包的会话所传输的数据流中确定关联的数据包,如,从该会话在当前时刻之前传输的数据包中确定与该数据包关联的数据包;又如,确定出该数据包不是完整数据包之后,继续截获该会话在当前时刻之后传输的数据包,以检测后续发送的数据包是否与该数据包存在关联,通过监控该会话的数据流传输,对该会话上不同时刻所传输的数据包进行完整性检测,并将存在关联的数据包进行组合。
当然,该步骤204为可选步骤,如果该数据包是完整性的数据包,则无需进行排序重组,则此处排序重组后的数据包可以认为是该数据包本身。
205,检测排序重组后的数据包中是否存在预置的关键特征码,如果存在,则执行步骤210;否则,执行步骤206;
206,获取排序重组后的数据包的目的端口号。
207,确定排序重组后的数据包所请求的访问操作的操作类型。
208,根据预置的端口号与敏感操作类型的对应关系,检测该操作类型是否为该目的端口号对应的敏感操作类型,如果是,则执行步骤209;如果否,则执行步骤210。
209,检测排序重组后的数据包中是否包含有特征库中的特征码,如果是,则执行步骤210;如果否,则执行步骤211。
210,按照预设的防御方式处理该数据包。
其中,该预设的防御方式可以根据需要设定,如可以包括丢弃该数据包;终止该数据包对应的会话;输出针对该数据包的报警信息的一种或多种。
当然,在实际应用中,确定数据包所请求的访问行为属于网络攻击行为的步骤不同时,采用的防御方式可以相同也可以不同,具体可以根据需要设定。
211,将截获的该数据包传输给内网。
需要说明的是,在本申请以上任意一个实施例中,在阻断该数据包的传输的同时,还可以采用响应缓存的方式缓存该数据包的处理结果,如对针对该数据包输出的报警信息以及该数据包对应的操作行为信息等,通过缓存的数据可以为后续分析网络攻击提供依据。
具体缓存的方式可以有多种,如,可以使用线程池机制进行缓存,本申请实施例中网络攻击的检测是由主线程完成的,所有的入侵响应及IO操作都由主线程封装成任务结构体,然后存放到工作线程的缓冲池中。工作线程不停的从缓存池中取出任务结构体,然后从任务结构体中提取出任务类型,按任务的类型及任务结构体中的关键信息进行相应的操作。
可以理解的是,为了实现以上防御方法,并对防御系统进行更新。本实施例的防御系统可以兼具现有的防御系统其他硬件或软件的功能,如该防御系统可以包括规则配置中心、监控管理中心、数据中心以及IPS探针等。
对应本申请的一种网络攻击的防御方法,本申请实施例还提供了一种网络攻击的防御系统。
参见图3,其示出了本申请一种网络攻击的防御系统一个实施例的结构示意图,本实施例的系统可以包括:
存储单元301,用于存储预置的端口号与敏感操作的对应关系;
数据截获单元302,用于截获外网向内网传输的数据包;
端口号解析单元303,用于获取所述数据包的目的端口号;
操作类型确定单元304,用于确定所述数据包所请求的访问操作的操作类型;
异常识别单元305,用于根据所述存储单元中预置的所述端口号与敏感操作类型的对应关系,判断所述操作类型是否属于所述目的端口号对应的敏感操作类型;
基础特征检测单元306,用于当所述操作类型属于所述目的端口号对应的敏感操作类型时,检测所述数据包中是否包含有预置的特征库中的特征码;
攻击处理单元307,用于如果检测到所述数据包中包含有预置的特征库中的特征码,则按照预设的防御方式处理所述数据包。
可选的,所述操作类型确定的所述操作类型包括以下一种或多种:
写操作、读操作和代码执行操作,所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码;
则,操作类型确定单元,包括:
操作类型确定子单元,用于解析所述数据包表征操作类型的操作码,识别所述操作码所对应的操作指令,其中,操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。
可选的,该防御系统还可以包括:
关键特征检测单元,用于在所述操作类型确定单元确定所述数据包所请求的访问操作的操作类型之前,检测所述数据包中是否包含有预置的关键特征码,其中,所述关键特征码为基于网络攻击行为中的通用指令确定的,如果所述数据包中包含有所述关键特征码,则按照预设的防御方式处理所述数据包;如果所述数据包中未包含有所述关键特征码,则触发执行所述操作类型确定单元的操作。
可选的,在以上任意一个防御系统中,该系统还可以包括:
协议解析单元,用于对所述数据包进行协议解析;
防御处理单元,用于如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式,则按照预设的防御方式处理所述数据包;
完整性检测单元,用于如果解析出所述数据包所采用的协议格式属于预置的可信协议格式,对所述数据包进行完整性检测,并得到完整性检测结果;
则,所述操作类型确定单元可以包括:
排序重组单元,用于基于所述完整性检测结果,将所述数据包与所述数据包关联的数据包进行排序重组;
确定子单元,用于确定排序重组后的数据包所请求的访问操作的操作类型。
可选的,以上系统中所述防御方式可以包括一项任意一种或多种方式:
丢弃所述数据包;
终止所述数据包对应的会话;
输出针对所述数据包的报警信息;
发送控制报文协议不可达数据包;
记录日志。
对于系统实施例而言,由于其基本相应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,在没有超过本申请的精神和范围内,可以通过其他的方式实现。当前的实施例只是一种示范性的例子,不应该作为限制,所给出的具体内容不应该限制本申请的目的。例如,所述单元或子单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或多个子单元结合一起。另外,多个单元可以或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,所描述系统和方法以及不同实施例的示意图,在不超出本申请的范围内,可以与其它系统,模块,技术或方法结合或集成。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种网络攻击的防御方法,其特征在于,包括:
截获外网向内网传输的数据包;
获取所述数据包的目的端口号;
确定所述数据包所请求的访问操作的操作类型;
根据预置的端口号与敏感操作类型的对应关系,判断所述操作类型是否属于所述目的端口号对应的敏感操作类型;
当所述操作类型属于所述目的端口号对应的敏感操作类型时,则检测所述数据包中是否包含有预置的特征库中的特征码;
如果检测到所述数据包中包含有预置的特征库中的特征码,则按照预设的防御方式处理所述数据包。
2.根据权利要求1所述的防御方法,其特征在于,所述操作类型包括以下一种或多种:
写操作、读操作和代码执行操作,所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码;
则,确定所述数据包所请求的访问操作的操作类型,包括:
解析所述数据包表征操作类型的操作码,识别所述操作码所对应的操作指令,其中,操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。
3.根据权利要求1所述的防御方法,其特征在于,在所述确定所述数据包所请求的访问操作的操作类型之前,还包括:
检测所述数据包中是否包含有预置的关键特征码,其中,所述关键特征码为基于网络攻击行为中的通用指令确定的;
如果所述数据包中包含有所述关键特征码,则按照所述预设的防御方式处理所述数据包;
如果所述数据包中未包含有所述关键特征码,则执行所述确定所述数据包所请求的访问操作的操作类型。
4.根据权利要求1所述的防御方法,其特征在于,在确定所述数据包所请求的访问操作的操作类型之前,还包括:
对所述数据包进行协议解析;
如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式,则按照所述预设的防御方式处理所述数据包;
如果解析出所述数据包所采用的协议格式属于预置的可信协议格式,对所述数据包进行完整性检测,并得到完整性检测结果;
则所述确定所述数据包所请求的访问操作的操作类型,包括:
基于所述完整性检测结果,将所述数据包与所述数据包关联的数据包进行排序重组;
确定排序重组后的数据包所请求的访问操作的操作类型。
5.根据权利要求1至4任一项所述的防御方法,其特征在于,所述预设的防御方式可以包括一项任意一种或多种方式:
丢弃所述数据包;
终止所述数据包对应的会话;
输出针对所述数据包的报警信息;
发送控制报文协议不可达数据包;
记录日志。
6.一种网络攻击的防御系统,其特征在于,包括:
存储单元,用于存储预置的端口号与敏感操作的对应关系;
数据截获单元,用于截获外网向内网传输的数据包;
端口号解析单元,用于获取所述数据包的目的端口号;
操作类型确定单元,用于确定所述数据包所请求的访问操作的操作类型;
异常识别单元,用于根据所述存储单元中预置的所述端口号与敏感操作类型的对应关系,判断所述操作类型是否属于所述目的端口号对应的敏感操作类型;
基础特征检测单元,用于当所述操作类型属于所述目的端口号对应的敏感操作类型时,检测所述数据包中是否包含有预置的特征库中的特征码;
攻击处理单元,用于如果检测到所述数据包中包含有预置的特征库中的特征码,则按照预设的防御方式处理所述数据包。
7.根据权利要求6所述的防御系统,其特征在于,所述操作类型确定的所述操作类型包括以下一种或多种:
写操作、读操作和代码执行操作,所述代码执行操作用于指示内网设备执行所述数据包中携带的待执行代码;
则,操作类型确定单元,包括:
操作类型确定子单元,用于解析所述数据包表征操作类型的操作码,识别所述操作码所对应的操作指令,其中,操作指令包括写操作指令、读操作指令和代码执行指令中的一种或多种。
8.根据权利要求7所述的防御系统,其特征在于,还包括:
关键特征检测单元,用于在所述操作类型确定单元确定所述数据包所请求的访问操作的操作类型之前,检测所述数据包中是否包含有预置的关键特征码,其中,所述关键特征码为基于网络攻击行为中的通用指令确定的;如果所述数据包中包含有所述关键特征码,则按照预设的防御方式处理所述数据包;如果所述数据包中未包含有所述关键特征码,则触发执行所述操作类型确定单元的操作。
9.根据权利要求6所述的防御系统,其特征在于,还包括:
协议解析单元,用于对所述数据包进行协议解析;
防御处理单元,用于如果解析出所述数据包所采用的协议格式不属于预置的可信协议格式,则按照预设的防御方式处理所述数据包;
完整性检测单元,用于如果解析出所述数据包所采用的协议格式属于预置的可信协议格式,对所述数据包进行完整性检测,并得到完整性检测结果;
则,所述操作类型确定单元,包括:
排序重组单元,用于基于所述完整性检测结果,将所述数据包与所述数据包关联的数据包进行排序重组;
确定子单元,用于确定排序重组后的数据包所请求的访问操作的操作类型。
10.根据权利要求6-9任一项所述的防御系统,其特征在于,所述防御方式包括一项任意一种或多种方式:
丢弃所述数据包;
终止所述数据包对应的会话;
输出针对所述数据包的报警信息;
发送控制报文协议不可达数据包;记录日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511032545.1A CN106936805B (zh) | 2015-12-31 | 2015-12-31 | 一种网络攻击的防御方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511032545.1A CN106936805B (zh) | 2015-12-31 | 2015-12-31 | 一种网络攻击的防御方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106936805A CN106936805A (zh) | 2017-07-07 |
| CN106936805B true CN106936805B (zh) | 2019-06-04 |
Family
ID=59444198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511032545.1A Active CN106936805B (zh) | 2015-12-31 | 2015-12-31 | 一种网络攻击的防御方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106936805B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471430A (zh) * | 2018-07-03 | 2018-08-31 | 杭州安恒信息技术股份有限公司 | 一种物联网嵌入式安全防护方法及装置 |
| CN111526164B (zh) * | 2020-07-03 | 2020-10-30 | 北京每日优鲜电子商务有限公司 | 一种用于电商平台的网络攻击检测方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN101695031A (zh) * | 2009-10-27 | 2010-04-14 | 成都市华为赛门铁克科技有限公司 | 入侵防御系统的升级方法和装置 |
| CN101834785A (zh) * | 2010-04-07 | 2010-09-15 | 中兴通讯股份有限公司 | 一种实现流过滤的方法和装置 |
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
-
2015
- 2015-12-31 CN CN201511032545.1A patent/CN106936805B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN101695031A (zh) * | 2009-10-27 | 2010-04-14 | 成都市华为赛门铁克科技有限公司 | 入侵防御系统的升级方法和装置 |
| CN101834785A (zh) * | 2010-04-07 | 2010-09-15 | 中兴通讯股份有限公司 | 一种实现流过滤的方法和装置 |
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106936805A (zh) | 2017-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| Bethencourt et al. | Mapping Internet Sensors with Probe Response Attacks. | |
| KR101409921B1 (ko) | 스위치 asic 내에 라인-레이트 애플리케이션 인식을 통합하기 위한 시스템 및 방법 | |
| US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
| US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
| CN105637831B (zh) | 用于分析数据流的方法和系统 | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN102487339A (zh) | 一种网络设备攻击防范方法及装置 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN107579997A (zh) | 无线网络入侵检测系统 | |
| CN109167781A (zh) | 一种基于动态关联分析的网络攻击链识别方法和装置 | |
| Greenwald et al. | Toward Undetected Operating System Fingerprinting. | |
| CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
| CN110035062A (zh) | 一种网络验伤方法及设备 | |
| CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
| CN109922048A (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| CN107241304A (zh) | 一种DDos攻击的检测方法及装置 | |
| CN106936805B (zh) | 一种网络攻击的防御方法和系统 | |
| CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN114281676A (zh) | 针对工控私有协议的黑盒模糊测试方法及系统 | |
| CN106921671A (zh) | 一种网络攻击的检测方法及装置 | |
| Gunasekaran | Comparison of network intrusion detection systems in cloud computing environment | |
| CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
| CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |