CN107872456A - 网络入侵防御方法、装置、系统及计算机可读存储介质 - Google Patents
网络入侵防御方法、装置、系统及计算机可读存储介质 Download PDFInfo
- Publication number
- CN107872456A CN107872456A CN201711098913.1A CN201711098913A CN107872456A CN 107872456 A CN107872456 A CN 107872456A CN 201711098913 A CN201711098913 A CN 201711098913A CN 107872456 A CN107872456 A CN 107872456A
- Authority
- CN
- China
- Prior art keywords
- packet
- application
- matching
- content
- intrusion prevention
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002265 prevention Effects 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000004458 analytical method Methods 0.000 claims abstract description 47
- 238000011217 control strategy Methods 0.000 claims abstract description 10
- 238000001514 detection method Methods 0.000 claims description 49
- 238000012545 processing Methods 0.000 claims description 37
- 241000700605 Viruses Species 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 16
- 230000003612 virological effect Effects 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 4
- 230000006837 decompression Effects 0.000 claims description 4
- 238000002513 implantation Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 4
- 230000004224 protection Effects 0.000 description 33
- 230000006870 function Effects 0.000 description 25
- 238000005516 engineering process Methods 0.000 description 17
- 230000006399 behavior Effects 0.000 description 13
- 238000001914 filtration Methods 0.000 description 11
- 238000002347 injection Methods 0.000 description 11
- 239000007924 injection Substances 0.000 description 11
- 230000002155 anti-virotic effect Effects 0.000 description 10
- 238000007726 management method Methods 0.000 description 8
- 238000013461 design Methods 0.000 description 7
- 238000007689 inspection Methods 0.000 description 6
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 5
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 5
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 5
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 5
- 230000003139 buffering effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000002354 daily effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000002147 killing effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000002829 reductive effect Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 241000283086 Equidae Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000027455 binding Effects 0.000 description 2
- 238000009739 binding Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000032258 transport Effects 0.000 description 2
- 239000002023 wood Substances 0.000 description 2
- 241000272201 Columbiformes Species 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 208000005374 Poisoning Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035699 permeability Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008782 phagocytosis Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开实施例公开了网络入侵防御方法、装置、系统及计算机可读存储介质。所述方法包括:接收数据包,并对所接收的所述数据包进行协议解析;对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包;识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包;对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包。本公开实施例开始对数据包进行协议解析后,采用防护墙策略对协议和端口进行检测,之后再基于应用特征码的识别,深入读取应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。
Description
技术领域
本公开涉及互联网技术领域,具体涉及一种网络入侵防御方法、装置、系统及计算机可读存储介质。
背景技术
随着互联网的快速发展,各种应用程序的爆发,企业面临着常用应用程序中的漏洞带来的风险。
网络通信不再像以前一样仅仅是依赖于存储和转发应用程序(例如电子邮件),而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和P2P应用程序、语音IP电话(VoIP)、流媒体和电话会议,这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。恶意软件和网络攻击者瞄准了这个场所,让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险,这些应用程序也消耗带宽和生产力,并且与关键业务型应用程序抢夺网络带宽。因此,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高效的工作环境。
发明内容
本公开实施例提供一种网络入侵防御方法、装置、系统及计算机可读存储介质。
第一方面,本公开实施例中提供了一种网络入侵防御方法,包括:
接收数据包,并对所接收的所述数据包进行协议解析;
对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包;
识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包;
对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包。
可选地,对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包,包括:
检查是否存在与所述数据包对应的相关会话;
存在与所述数据包对应的相关会话时,利用与所述相关会话匹配的防火墙策略处理所述数据包;
不存在与所述数据包对应的相关会话时,建立与所述数据包对应的新的会话。
可选地,识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包,包括:
确定所述数据包对应的应用是否为已经可识别的应用;
在所述应用与已识别应用匹配时,则对所述应用进行标记;
在所述应用与已识别应用不匹配时,采用应用识别策略对所述应用进行识别,并利用对应于所述应用的应用访问控制策略处理所述数据包。
可选地,采用应用识别策略对所述应用进行识别,包括:
采用应用特征匹配应用特征识别库,所述应用特征识别库中存储木马应用的应用特征;所述木马应用具有网络恶意行为特征,且行为过程不经由HTTP协议交互;
采用应用特征匹配僵尸网络识别库;所述僵尸网络识别库中存储木马、广告软件、恶意软件、间谍软件、后门、蠕虫、漏洞、黑客工具以及病毒9大分类。
可选地,对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包,包括:
通过对应用层数据进行深度分析来检测和防御Webshell植入过程;和/或,
根据设置的包括文件类型和/或文件名的文件过滤规则防御Webshell。
可选地,采用数据流的方式处理所述数据包;和/或,
所述访问控制策略采用基于用户与用户组的访问控制策略。
第二方面,本公开实施例提供了一种网络入侵防御装置,包括:
接收模块,被配置为接收数据包,并对所接收的所述数据包进行协议解析;
访问控制模块,被配置为对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包;
应用安全模块,被配置为识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包;
内容检测模块,被配置为对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包。
所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,网络入侵防御装置的结构中包括存储器和处理器,所述存储器用于存储一条或多条支持网络入侵防御装置执行上述第一方面中网络入侵防御方法的计算机指令,所述处理器被配置为用于执行所述存储器中存储的计算机指令。所述网络入侵防御装置还可以包括通信接口,用于网络入侵防御装置与其他设备或通信网络通信。
第三方面,本公开实施例提供了一种网络入侵防御系统,包括:
多核并行处理器;
所述多核并行处理器中的每个处理器包括:
解码器,用于对接收到的数据包进行协议解析、内容解析、内容解压缩、文件解析和/或SSL解密:
流引擎,包括安全处理模块和应用处理模块;
其中,所述安全处理模块用于协议控制、内容控制、病毒扫描、IPS扫描和/或异常发现;
所述应用处理模块用于实现应用网关、用于代理、应用隧道和/或应用优化的功能。
可选地,所述网络入侵防御系统采用一体化单次解析引擎,将包括漏洞、病毒、Web攻击、恶意代码或脚本、URL库的应用层威胁统一进行检测匹配。
第四方面,本公开实施例提供了一种计算机可读存储介质,用于存储网络入侵防御装置所用的计算机指令,其包含用于执行上述第一方面中网络入侵防御方法所涉及的计算机指令。
本公开实施例开始对数据包进行协议解析后,采用防护墙策略对协议和端口进行检测,之后再基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型,并基于流量特征的识别,不鉴别应用类型。最后对内容进行深度检测,最终实现网络入侵防御。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开一实施方式的网络入侵防御方法的流程图;
图2示出根据图1所示实施方式的步骤S102的流程图;
图3示出根据图1所示实施方式的步骤S103的流程图;
图4示出根据本公开一实施方式的网络入侵防御装置的结构框图;
图5示出根据本公开一实施方式的网络入侵防御系统的结构框图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施方式,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施方式无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
应企业需求,在多种多样大量的应用程序环境下,仅靠传统防火墙的功能似乎显得力不从心,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW(下一代防火墙)可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。
下一代防火墙除了具备传统防火墙功能外,更关注针对应用层面的安全防护。实时性、准确性、高效性也将成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果,自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理,不仅仅能够对异常攻击流量进行阻止或允许动作,更可用来进行基于应用层的Qos控制。控制应用层细粒度DPI识别更为细致。
图1示出根据本公开一实施方式的网络入侵防御方法的流程图。如图1所示,所述网络入侵防御方法包括以下步骤S101-S103:
在步骤S101中,接收数据包,并对所接收的所述数据包进行协议解析;
在步骤S102中,对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包;
在步骤S103中,识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包;
在步骤S104中,对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包。
在下文中将对步骤S101-S103分别做进一步的描述。
步骤S101
该步骤中,在接收到数据包后,对L2-L4层(数据链路层、网络层、传输层)的数据包进行解析。在一实施例中,还可以根据解析结果决定是否需要进入防火墙安全策略处理流程,不需要的话该数据包就会被丢弃。在这个过程中还可以判断是否经过VPN数据加密,如果是,则可以先进行解密后再做进一步解析。
步骤S102
该步骤S102中,首先根据解析后的数据包确定该数据包是否已存在相关的会话;在解析后的数据包已存在相关的会话时,依据与该已存在的相关会话对应设定好的防火墙策略进行匹配和对应;如果不存在相关的会话时,则对该解析后的数据包创建对应的会话。
在本公开实施例中,如图2所示,步骤S102包括:
在步骤S201中,检查是否存在与所述数据包对应的相关会话;
在步骤S202中,存在与所述数据包对应的相关会话时,利用与所述相关会话匹配的防火墙策略处理所述数据包;
在步骤S203中,不存在与所述数据包对应的相关会话时,建立与所述数据包对应的新的会话。
上述步骤S203中创建会话的步骤可以进一步包括:
在步骤S2031中,根据转发相关的信息、NAT相关的策略信息查找防火墙策略;
在步骤S2032中,检查查找到的防火墙策略是否允许该数据包向下转发;
在步骤S2033中,如果允许,则按照查找到的防火墙策略建立对应的会话,如果不允许则丢弃该数据包。
步骤S103
数据包进行完初始的防火墙安全策略匹配并创建对应会话信息后,可以进行应用识别检测和处理。
本公开实施例通过深度防护规则实现网络访问控制,深度防护规则包含源地址、目的地址、服务、源MAC、源区域、目标区域、目的MAC、访问控制、时间调度、服务、深度防护策略等多个控制子选项,对于不符合规则的访问,系统可以拦截并发出日志告警。
通过访问控制策略可以实现:
监控和扫描VPN流量。
定义流入和流出、基于源和目标主机/网络访问控制。
开启扫描HTTP,FTP,SMTP,POP3或IMAP流量-email垃圾邮件过滤、病毒安全也包括间谍软件,恶意软件和钓鱼保护。
应用防病毒保护和垃圾邮件过滤,需要单独的订购网关防病毒和网关反垃圾邮件模块。
保护防范威胁和来自于从外部世界和内部网络攻击。应用IPS策略也需要订购入侵防御系统模块。
负载均衡和在多个网关环境中的网关失效保护。
web接入控制和阻止接入到恰当的web站点。控制接入基于自定义web目录,需要订购Web和应用程序过滤模块。
控制应用接入例如IM和P2P,VOIP。控制接入基于自定义web目录,需要订购Web和应用程序过滤模块。
控制和计划带宽利用率。用户组特定应用的优先带宽利用率。
在本公开实施例中,如图3所示,步骤S103,即应用识别的步骤进一步可以包括如下步骤:
在步骤S301中,确定所述数据包对应的应用是否为已经可识别的应用;
在步骤S302中,在所述应用为已经可识别的应用时,则对该应用进行识别和标记;
在步骤S303中,在所述应用为未识别的应用时,则应用识别子流程;在应用识别子流程中在采用应用识别策略对所述应用进行识别,并利用对应于所述应用的应用访问控制策略处理所述数据包。对所述应用进行特征匹配,协议解码,行为分析等处理从而标记该应用。应用标记完成后,可以查找对应于该应用的防火墙安全策略,如果查找到的防火墙策略允许该数据包,则准备下一阶段流程;如果防火墙策略不允许该数据包,则直接将该数据包丢弃。
步骤S303中采用应用识别策略对所述应用进行识别,包括:
采用应用特征匹配应用特征识别库,所述应用特征识别库中存储木马应用的应用特征;所述木马应用具有网络恶意行为特征,且行为过程不经由HTTP协议交互;
采用应用特征匹配僵尸网络识别库;所述僵尸网络识别库中存储木马、广告软件、恶意软件、间谍软件、后门、蠕虫、漏洞、黑客工具以及病毒9大分类。
本公开实施例提出的应用识别主要可以分为如下几类:
第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。
第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。
第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;本公开实施例中基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
步骤S104
主引擎工作的最后一个流程为内容检测流程,主要是需要对数据包进行深层次的协议解码、内容解析、模式匹配等操作,实现对数据包内容的完全解析;然后通过查找相对应的内容安全防护策略进行匹配,最后依据安全策略执行诸如:丢弃、报警、记录日志等动作。
当数据包经过内容检测模块后,会进入出站处理流程。首先系统会路由等信息查找,然后执行QOS,IP数据包分片的操作,如果该数据走VPN通道的话,还需要通过VPN加密,最后进行数据转发。
在本公开实施例的一可选实现方式中,上述方法的步骤S104,即对所述数据包进行内容的完全解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包的步骤,还包括:
检测webshell。
下面就检测webshell的具体细节做详细介绍。
webshell是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。下一代防火墙通过严格地过滤用户提交到Web应用程序的数据,防止用户非法获取数据或者网络资源。
Webshell的特征检测方法有动态特征检测和静态特征检测两种方式,静态特征检测包括攻击者上传webshell文件时通过特征匹配的方式来发现webshell,即先建立一个恶意字符串特征库,不同的web语言会有不同的恶意字符串特征库;然后通过在各类脚本文件中检查是否匹配;动态特征检测是指webshell已经上传到web服务器,在浏览器打开webshell页面时进行拦截,此时从网络中检测到的是web应用程序被解释执行的代码,此种方法最大的缺点就是漏报,只要攻击者对webshell稍作改动就轻易躲过设备检测,并且新的webshell出来还要去更新这个库,所以需要要维护的特征库庞大。
传统的防火墙对Webshell防御比较困难,webshell通常是对80端口进行访问,且入侵过程没有明显特征(webshell文件本身是具备特征的),如果不是有经验的网站管理员,通过Web日志也很难发现遭受攻击。
而本公开提出的上述方法对于Webshell的检测和防御,可以弥补传统防火墙的不足,本公开实施例提出的上述方法解包到应用层,可以通过对应用层数据进行深度分析来检测和防御Webshell植入过程。且还可以设置一些应用层面的合法性规则,对文件上传等行为进行控制,例如可以设置允许上传的文件类型,设置上传文件名过滤规则等,这样可以比较有效防御Webshell。
在本公开实施例的一可选实现方式中,上述方法采用数据流的方式处理所述数据包。
众所周知,操作系统是整个安全设备的核心和基础,任何硬件都是由操作系统进行调度使用。本公开在多核X8硬件架构的基础上,采用了自主研发的TipTopOS 64位实时并行操作系统。该操作系统采用全并行流检测引擎,通过此技术可保障网络可视化,同时可进一步提升设备性能和可靠性。
作为状态检测防火墙的进化,随着越来越多的针对应用协议的攻击的出现,深度检测(Deep Inspection)应运而生。深度检测实际上是防火墙里对IDS、IPS技术的一个集成,通过对数据流进行协议的解析,捕获违反协议的交互和一些攻击的行为。随着网络技术的发展,越来越多的应用采取加密、隧道、伪装等绕行技术。新一代安全网关基于用户的管理也对安全检测技术提出了更高的要求。
交叉检测(Cross Inspection)技术不仅对协议进行深度的分析,还利用解密、解压技术打开包括SSL、GZIP等加密加壳数据流,对协议和内容进行过滤。和认证系统的互动将IP和用户相映射,对用户其他内容和行为相关联,作为应用和行为分析的依据。交叉检测技术通过综合分析用户(User)状态,应用(Application)状态和行为(Behavior)状态,来确认协议的真正含义,实现更精准和更快速的定位。交叉检测技术也为网络可视化和对用户网络行为的管理,创造了坚实的基础。
传统的威胁检测是基于文件的。这种方法是基于主机的安全解决方案实现的,并且旧一代网关内容安全解决方案也继承这一方法。使用这种方法,首先需要下载整个文件,然后开始扫描,最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收,会经历长时间延迟。对于大文件,用户应用程序可能出现超时。而且,缓存的数据占用大量的内存,系统无法同时对大量的数据流进行扫描。
文件的安全扫描引擎完全是基于流的。安全扫描引擎在数据包流到达时进行检查,如果没有检查到威胁,则发送数据包流。大大减少了数据的延时,用户感觉到应用的响应速度大大提高。同时,基于流的扫描引擎因为不需要对每个数据流做大量缓存,极大地提高了系统安全功能的容量。
基于流的技术要求系统所有处理环节都是基于流的处理。一个系统如果有一个基于流的TCP代理,基于流的协议分析,但安全扫描却是基于文件的。所带来的效果只能是基于文件的。在处理流水线中最差的环节决定了系统的性能。在多个层面上运用了流引擎技术,为用户带来了完全的基于流引擎技术的数据平面。
本公开实施例可对经过设备的流量进行实时流量分析,相比主动漏洞扫描工具或者是市场的漏扫设备,被动漏洞分析最大的优势就在于能实时发现客户网络环境的安全缺陷,且不会给网络产生额外的流量。此方案设计的初衷就是希望能够实时发现和跟踪网络中存在的主机、服务和应用,发现服务器软件的漏洞,实时分析用户网络中存在的安全问题,为用户展现AF的安全防护能力。实时漏洞分析功能主要可以帮助用户从以下几个方面来被动的对经过的流量进行分析:
底层软件漏洞分析
实时分析网络流量,发现网络中存在漏洞的应用,把漏洞的危害和解决方法通过日志和报表进行展示,支持的应用包括:HTTP服务器(Apache、IIS),FTP服务器(FileZilla),Mail服务器(Exchange),Realvnc,OpenSSH,Mysql,DB,SQL,Oracle等。
Web应用风险分析
针对用户WEB应用系统中存在的如下风险和安全问题进行分析:
1.SQL注入、文件包含、命令执行、文件上传、XSS攻击、目录穿越、webshell;
2.发现网站/OA存在的设计问题,包括:
a)在HTTP请求中直接传SQL语句;
b)在HTTP请求中直接传javascript代码;
c)URL包含敏感信息:如user、username、pass、password、session、jsessionid、
sessionid等;
3.支持第三方插件的漏洞检测,如:媒体库插件jplayer,论坛插件discuz,网页编辑器fckeditor,freetextbox,ewebeditor,webhtmleditor,kindeditor等
Web不安全配置检测
各种应用服务的默认配置存在安全隐患,容易被黑客利用,例如,SQL Server的默认安装,就具有用户名为sa,密码为空的管理员帐号。不安全的默认配置,管理员通常难以发觉,并且,随着服务的增多,发现这些不安全的配置就更耗人力。
本公开实施例支持常用Web服务器不安全配置检测,如Apache的httpd.conf配置文件,IIS的metabase.xml配置文件,nginx的web.xml和nginx.conf配置文件,Tomcat的server.xml配置文件,PHP的php.ini配置文件等等,同时也支持操作系统和数据库配置文件的不安全配置检测,如Windows的ini文件,Mysql的my.ini,Oracle的sqlnet.ora等等。
弱口令检测
支持FTP,POP3,SMTP,Telnet,Web,Mysql,LDAP,AD域等协议或应用的弱口令检查。
另外,本公开实施例还提供强大的综合风险报表功能。能够从业务和用户两个维度来对可网络中的安全状况进行全面评估,区分检测到的攻击和其中真正有效的攻击次数,并针对攻击类型,漏洞类型和威胁类型进行详细的分析给提供相应的解决建议,同时还能够针对预先定义好的业务系统进行威胁分析,还原给客户一个网络真实遭受到安全威胁的情况。
在传统的UTM设备中,流量需要流经几个独立的网络引擎,分类引擎,模式匹配引擎和策略引擎。这种重复劳动不仅效率低而且性能低。
采用优化的统一处理流程。一旦数据包进入处理流水线,流水线的处理阶段只会处理一次,这包括:网络功能,协议解析,协议安全处理,内容解析,内容安全处理,用户、应用、行为识别,应用处理等。每个阶段模块处理结果会分别输入需要的下阶段模块处理,减少重复的分析和处理流程。大幅降低数据包的处理延时,提高系统容量和性能。
在本公开实施例的一可选实现方式中,上述方法中所述访问控制策略采用基于用户与用户组的访问控制策略。
网络中的用户并不一定需要平等对待。通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源。而本公开实施例可以基于用户与用户组的访问控制策略,使管理员能够基于各个用户和用户组(而不是仅仅基于IP地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。
本公开实施例中,可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,还可以根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。
此外,本公开实施例还支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。
本公开实施例中,还采用了身份认证体系,包括:
本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定
第三方认证:AD、LDAP、Radius、POP3、PROXY等;
单点登录:AD、POP3、Proxy、HTTP POST等;
强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)
本公开实施例采用了上述丰富的认证方式,能够帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。
本公开实施例还支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
本公开实施例的上述方法还涉及统一策略。统一策略实际上是通过同一套安全策略将处于不同层级的安全模块有效地整合在一起,在策略匹配顺序及层次上实现系统智能匹配,其主要的目的是为了提供更好的可用性。举个例子:有些产品HTTP的检测,URL过滤是通过代理模块做的,而其他协议的入侵检测是用另外的引擎。用户必须明白这些模块间的依赖关系,分别做出正确的购置才能达到需要的功能,而统一策略可以有效的解决上述问题。
在本公开实施例的一可选实现方式中,上述方法还包括:
APT检测及未知威胁防御。
下面就上述APT检测及未知威胁防御做详细介绍。
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。尤其是最近几年,互联网不断披露的一些安全事件都涉及到了一种新型,复杂,存在长期影响的攻击行为——APT。
APT全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
传统防毒墙和杀毒软件查杀病毒木马的效果有限,在APT场景下,因为无法解读数据的应用层内容以及木马的伪装技术逃逸杀毒软件的检测,传统防毒墙和杀毒软件更是形同虚设,因此需要一种全面的检测防护机制,用于发现和定位内部网络受病毒木马感染的机器。
本公开实施例中包括APT检测功能,主要解决的问题:针对内网PC感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,下一代防火墙识别出该流量,并根据用户策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒,并能阻断其网络流量,避免一些非法恶意数据进入客户端,起到更好的防护效果。
本公开实施例的APT检测功能主要由两部分检测内容来实现:
1.远控木马检测
在应用特征识别库当中存在一类木马控制的应用分类。这部分木马具有较明显的网络恶意行为特征,且行为过程不经由HTTP协议交互,故通过专门制作分析的应用特征来进行识别。如灰鸽子,炽天使,冰河木马,网络守望者等等。
2.僵尸网络检测
僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现。该特征库包含木马,广告软件,恶意软件,间谍软件,后门,蠕虫,漏洞,黑客工具,病毒9大分类。特征库的数量目前已达数十万,并且依然以每两周升级一次的速度进行更新。
除了APT攻击检测功能,本公开在终端安全防护方面还提供了基于漏洞和病毒特征的增强防护,确保终端的全面安全。
其一、终端漏洞防护
内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。本公开实施例除了提供基于服务器的漏洞防护外,同时还提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
其二、终端病毒防护
本公开实施例提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,7z等)中的病毒,内置百万级别病毒样本确保查杀效果。
本公开实施例提出的上述网络入侵防御方法能够实现全面的WEB应用安全防护,具体包括:SQL注入防护、URL防护、跨站(XSS)脚本防护、跨站请求伪造防护、验证机制和会话管理防护、PHP命令注入防护、Web应用漏洞防护、文件上传过滤以及IPS入侵防御。
下面就上述几种安全防护的细节做详细描述。
SQL注入防护
SQL注入是一种将恶意的SQL代码插入或添加到应用(用户)的输入参数的攻击,攻击者探测出开发者编程过程中的漏洞,利用这些漏洞,巧妙的构造SQL语句,对数据库系统的内容进行直接检索或修改。本公开实施例可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
URL防护
越来越多的病毒、木马等恶意代码将基于HTTP方式传播,新一代的Web威胁具备混合性、渗透性和利益驱动性,成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易遭受到病毒攻击,导致用户信息受到危害,对公司数据资产和关键业务构成极大威胁。本公开实施例通过预先建立先进、可靠的Web信誉库,采用独特的Web信誉评价技术,在用户访问挂马等有安全风险的网页时,给予及时报警和阻断,从而有效防止安全威胁通过Web访问渗入到企业内部,保障了企业机密信息不泄露。NGFW拥有具备业界领先优势的URL分类库,包括64个类别数亿条URL条目,特有的“URL数据云”突破了传统本地站点库解决方案的数量和准确性局限,为URL站点过滤服务提供了无可比拟的准确性和安全性。
跨站(XSS)脚本防护
XSS本质上是Web应用服务的漏洞,主要的攻击方法分别是在Web应用程序中偷cookie、利用iframe或frame存取管理页面或后台页面、利用XMLHttpRequest存取管理页面或后台页面。本公开实施例在通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。
跨站请求伪造防护
跨站请求伪造即CSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。下一代防火墙通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。
验证机制和会话管理防护
验证机制通过检查用户身份来达到防御未授权用户访问的目的,然而Web应用程序存在的设计缺陷使得攻击者可以突破这一防御机制成功获得访问授权。会话管理用来帮助Web应用程序从大量不同的HTTP请求中确认特定的用户。攻击者通过窃听用户访问Web应用程序时的用户名和密码,或者会话数据,可以得到会话标识,进而冒充合法用户发起HTTP访问。本公开通过检测用户访问Web应用的权限,防止用户获得未授权的访问。
PHP命令注入防护
命令注入攻击即Command Injection,是指由于Web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至Web应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。本公开实施例通过严格地过滤用户提交到Web应用程序的数据,防止用户非法获取数据或者网络资源。
Web应用漏洞防护
本公开实施例支持web页面漏洞周期扫描功能,每天或每周定时扫描网站,及时发现新网页的安全隐患及时通知管理员,并生成日志报告。在服务器软件报告出重大漏洞时,下一代防火墙会及时更新扫描规则库,检查被保护网站是否存在相关漏洞,并及时通知管理员。
弱口令防护
弱口令被视为众多认证类web应用程序的普遍风险问题,本公开实施例通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。
文件上传过滤
由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。本公开实施例通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。
缓冲区溢出防护
网络防范技术的日益成熟,使木马、病毒这类恶意代码的植入变得困难。网络黑客开始针对系统和程序自身存在的漏洞,编写相应的攻击程序。其中最常见的就是对缓冲区溢出漏洞的攻击,而在诸多缓冲区溢出中又以堆栈溢出的问题最有代表性。目前,利用缓冲区溢出漏洞进行的攻击已经占到了整个网络攻击次数的一半以上。世界上第一个缓冲区溢出攻击——蠕虫,发生在Morris十几年前,曾造成了全球多台网络服务器瘫痪。事实6000上,缓冲区溢出漏洞被攻击的现象目前已越来越普遍,各种操作系统上出现的此种漏洞都数不胜数。例如,在上存BSD在打印守护进程远程缓冲区溢出漏洞;在上的Sun OS本地缓冲区溢出漏洞;世界上第一个病Solaris whodoLinux毒,其实就是一个缓冲区溢出攻击程序;而RemanWindows下、某些版本在处理超长文件名时,存在缓冲区溢IIS4IIS5出漏洞。对缓冲区溢出漏洞攻击,可以导致程序运行失败、系统崩溃以及重新启动等后果。更为严重的是,可以利用缓冲区溢出执行非授权指令,甚至取得系统特权,进而进行各种非法操作。如何防止和检测出利用缓冲区溢出漏洞进行的攻击,就成为防御网络入侵以及入侵检测的重点之一。下一代防火墙通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。
在本公开实施例的一可选实现方式中,上述方法还包括:IPS入侵防御。
下面就IPS入侵防御的细节做详细描述。
因特网上的僵尸网络、木马、蠕虫、SQL注入、跨站脚本攻击越来越泛滥,防火墙需要集成IPS入侵检测能力;本公开实施例的IPS入侵防御提供in-line的防御部署模式,可以主动检测和实时阻断入侵行为。本公开实施例的IPS入侵检测技术采用自主的一体化检测引擎,并采用有硬件加速能力的多核处理平台,以获得高性能的检测能力;预定义和自定义的检测规则,以及在线升级引擎和特征库的能力,结合利谱公司安全攻防实验室对最新入侵的跟踪,使得本公开实施例有更精确的检测能力和对于0day攻击检测的能力。
本公开实施例提出的上述方法具有更高效的应用层处理能力。为了实现强劲的应用层处理能力,本公开实施例抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,本公开实施例也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
本公开实施例支持多种部署模式,包括可以在互联网出口做代理网关,或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式,同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等,另外还提供了端口链路聚合功能,提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同接口穿过设备的的非对称路由部署环境,NGFW也能灵活支持。
下述为本公开装置实施例,可以用于执行本公开方法实施例。
图4示出根据本公开一实施方式的网络入侵防御装置的结构框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图4所示,所述网络入侵防御装置包括接收模块401、访问控制模块402、应用安全模块403和内容检测模块404:
接收模块401,被配置为接收数据包,并对所接收的所述数据包进行协议解析;
访问控制模块402,被配置为对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包;
应用安全模块403,被配置为识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包;
内容检测模块404,被配置为对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包。
上述网络入侵防御装置与前述的网络入侵防御方法对应一致,具体细节可参见对方法的描述,在此不再赘述。
图5示出根据本公开一实施方式的一种网络入侵防御系统的结构框图.如图5所示,所述网络入侵防御系统包括:
多核并行处理器;
所述多核并行处理器中的每个处理器包括:
解码器,用于对接收到的数据包进行协议解析、内容解析、内容解压缩、文件解析和/或SSL解密:
流引擎,包括安全处理模块和应用处理模块;
其中,所述安全处理模块用于协议控制、内容控制、病毒扫描、IPS扫描和/或异常发现;
所述应用处理模块用于实现应用网关、用于代理、应用隧道和/或应用优化的功能。
其中,解析器:包括协议解析(例如:HTTP,SMTP等),内容解析(例如:MIME,base64等),内容解压缩(例如:gunzip,unrar等),文件解析(例如:PE格式等),SSL解密;
安全处理:包括协议控制,内容控制,AV扫描,IPS扫描,异常发现等;
应用处理:包括ALG,应用代理,应用隧道,应用优化等;
本公开实施例提出的网络入侵防御系统利用可扩展的64位高性能多核CPU的行处理能力来为应用层的安全功能提供保障。这其中每个多核CPU可扩展至多达16个核,多核CPU也可扩展成多个CPU。平台还集成了IPSec、SSL、加解密运算、压缩解压缩以及DFA功能的硬件加速芯片。通过采用硬件加速芯片,实现了数据的快速加解密,进一步提升了VPN和应用层安全的处理能力。
本公开实施例采用模块化设计,可以实现性能可扩展、存储可扩展和接口可扩展。模块化设计可充分保护投资。通过增加应用处理扩展模块,可以提高本机应用处理能力,让应用处理不再成为性能瓶颈;增加存储扩展模块可以实时记录日志;增加接口扩展模块提高设备的连接性,使设备不会因为网络带宽或应用系统的升级而过时。
本公开实施例还利用网络安全加速模块,在硬件平台上结合了最新的网络安全处理技术和攻击防护功能。当设备需要快速转发数据包并防护来自僵尸网络(botnet)的各种类型的攻击时,网络安全加速模块可以提供卓越的性能保证。这样就能够释放处理器性能来处理其它更需要CPU计算的功能。
本公开实施例采用全并行的架构,在多核X86硬件架构的基础上,采用全并行架构,实现更高的执行效率。新一代UTM即使在开启了多种功能后,仍然可以实现设备的高吞吐量和低延迟。
目前许多多核系统以多核处理器代替NP/ASIC的位置。在这种系统里,多核处理器带来了比NP/ASIC更好的可编程性。但多核处理器只担任网络安全处理的任务,应用处理和内容安全仍然由主控CPU处理。许多平台上,新建连接等防火墙功能也是由主控CPU实现的。
在并行操作系统里,所有的流处理都是针对多CPU多核系统而开发,重复利用了硬件平台的平行性。在新建连接等防火墙指标上站在业界的前列。在应用处理方面,所有流引擎都为高度并行化编程开发。降低数据结构的相互依赖,使性能和容量可以和CPU核数接近线性地增长。的全并行处理方式能够所保障多个安全功能开启的情况下,仍然能保证非常高的吞吐量和低延迟。
另外的多核控制技术能够使多核调度的花费最小化的同时允许每个核的独立运行,从而在一个核遇到故障的时候,整个系统保持正常运行。
所述网络入侵防御系统采用一体化单次解析引擎,将包括漏洞、病毒、Web攻击、恶意代码或脚本、URL库的应用层威胁统一进行检测匹配。
附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种网络入侵防御方法,其特征在于,包括:
接收数据包,并对所接收的所述数据包进行协议解析;
对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包;
识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包;
对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包。
2.根据权利要求1所述的网络入侵防御方法,其特征在于,对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包,包括:
检查是否存在与所述数据包对应的相关会话;
存在与所述数据包对应的相关会话时,利用与所述相关会话匹配的防火墙策略处理所述数据包;
不存在与所述数据包对应的相关会话时,建立与所述数据包对应的新的会话。
3.根据权利要求1所述的网络入侵防御方法,其特征在于,识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包,包括:
确定所述数据包对应的应用是否为已经可识别的应用;
在所述应用与已识别应用匹配时,则对所述应用进行标记;
在所述应用与已识别应用不匹配时,采用应用识别策略对所述应用进行识别,并利用对应于所述应用的应用访问控制策略处理所述数据包。
4.根据权利要求1所述的网络入侵防御方法,其特征在于,其中,采用应用识别策略对所述应用进行识别,包括:
采用应用特征匹配应用特征识别库,所述应用特征识别库中存储木马应用的应用特征;所述木马应用具有网络恶意行为特征,且行为过程不经由HTTP协议交互;
采用应用特征匹配僵尸网络识别库;所述僵尸网络识别库中存储木马、广告软件、恶意软件、间谍软件、后门、蠕虫、漏洞、黑客工具以及病毒9大分类。
5.根据权利要求1所述的网络入侵防御方法,其特征在于,其中,对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包,包括:
通过对应用层数据进行深度分析来检测和防御Webshell植入过程;和/或,
根据设置的包括文件类型和/或文件名的文件过滤规则防御Webshell。
6.根据权利要求1所述的网络入侵防御方法,其特征在于,采用数据流的方式处理所述数据包;和/或,
所述访问控制策略采用基于用户与用户组的访问控制策略。
7.一种网络入侵防御装置,其特征在于,包括:
接收模块,被配置为接收数据包,并对所接收的所述数据包进行协议解析;
访问控制模块,被配置为对协议解析后的所述数据包进行防火墙策略匹配,并利用匹配的防火墙策略处理所述数据包;
应用安全模块,被配置为识别所述数据包对应的应用,根据识别出的应用对应的应用访问控制策略处理所述数据包;
内容检测模块,被配置为对所述数据包进行内容解析,并利用解析后的内容匹配得到内容安全防护策略,利用所述内容安全防护策略处理所述数据包。
8.一种网络入侵防御系统,其特征在于,包括:
多核并行处理器;
所述多核并行处理器中的每个处理器包括:
解码器,用于对接收到的数据包进行协议解析、内容解析、内容解压缩、文件解析和/或SSL解密:
流引擎,包括安全处理模块和应用处理模块;
其中,所述安全处理模块用于协议控制、内容控制、病毒扫描、IPS扫描和/或异常发现;
所述应用处理模块用于实现应用网关、用于代理、应用隧道和/或应用优化的功能。
9.根据权利要求8所述的网络入侵防御系统,其特征在于,所述网络入侵防御系统采用一体化单次解析引擎,将包括漏洞、病毒、Web攻击、恶意代码或脚本、URL库的应用层威胁统一进行检测匹配。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现权利要求1-7所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711098913.1A CN107872456A (zh) | 2017-11-09 | 2017-11-09 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711098913.1A CN107872456A (zh) | 2017-11-09 | 2017-11-09 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107872456A true CN107872456A (zh) | 2018-04-03 |
Family
ID=61753888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711098913.1A Pending CN107872456A (zh) | 2017-11-09 | 2017-11-09 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107872456A (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418840A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于人工智能的关键信息基础设施网络风险管控系统 |
| CN108540480A (zh) * | 2018-04-19 | 2018-09-14 | 中电和瑞科技有限公司 | 一种网关以及基于网关的文件访问控制方法 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109600370A (zh) * | 2018-12-08 | 2019-04-09 | 公安部第三研究所 | 一种终端web防护系统及方法 |
| CN109802965A (zh) * | 2019-01-24 | 2019-05-24 | 新华三信息安全技术有限公司 | 一种自定义ips特征文件导入方法及装置 |
| CN110300090A (zh) * | 2018-03-23 | 2019-10-01 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
| CN110474906A (zh) * | 2019-08-16 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 基于闭环反馈的主被动结合网络空间目标深度挖掘技术 |
| CN110611637A (zh) * | 2018-06-14 | 2019-12-24 | 北京安天网络安全技术有限公司 | 基于vpn流量牵引的在线网络威胁检测方法及系统 |
| CN110807190A (zh) * | 2019-10-10 | 2020-02-18 | 连连银通电子支付有限公司 | 一种弱口令检测方法及装置 |
| CN111049853A (zh) * | 2019-12-24 | 2020-04-21 | 南通理工学院 | 一种基于计算机网络的安全认证系统 |
| CN111064730A (zh) * | 2019-12-23 | 2020-04-24 | 深信服科技股份有限公司 | 网络安全检测方法、装置、设备及存储介质 |
| CN111526121A (zh) * | 2020-03-24 | 2020-08-11 | 杭州迪普科技股份有限公司 | 入侵防御方法、装置、电子设备及计算机可读介质 |
| CN112202773A (zh) * | 2020-09-29 | 2021-01-08 | 安徽斯跑特科技有限公司 | 一种基于互联网的计算机网络信息安全监控与防护系统 |
| CN112422506A (zh) * | 2020-10-16 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种基于DoIP协议的入侵检测防御方法及系统 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
| CN112565290A (zh) * | 2020-12-22 | 2021-03-26 | 深信服科技股份有限公司 | 一种入侵防御方法、系统及相关设备 |
| CN112600844A (zh) * | 2020-12-15 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种数据的安全检测方法、装置、存储介质及电子设备 |
| CN113032781A (zh) * | 2021-03-09 | 2021-06-25 | 广东物壹信息科技股份有限公司 | 一种勒索病毒的入侵检测方法 |
| CN113452663A (zh) * | 2020-03-25 | 2021-09-28 | 瞻博网络公司 | 基于应用特征的网络业务控制 |
| CN113507433A (zh) * | 2021-05-27 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种数据检测方法及防火墙设备 |
| CN113608741A (zh) * | 2021-07-07 | 2021-11-05 | 中国电子科技集团公司第三十研究所 | 一种网络安全服务整合方法及装置 |
| CN113935431A (zh) * | 2021-10-28 | 2022-01-14 | 北京永信至诚科技股份有限公司 | 一种多流关联分析识别私有加密数据的方法及系统 |
| CN113987521A (zh) * | 2021-12-28 | 2022-01-28 | 北京安华金和科技有限公司 | 一种数据库漏洞的扫描处理方法和装置 |
| CN115314280A (zh) * | 2022-08-04 | 2022-11-08 | 中国平安人寿保险股份有限公司 | 注入防护方法、装置、电子设备及计算机可读存储介质 |
| CN115314252A (zh) * | 2022-07-06 | 2022-11-08 | 北京神州慧安科技有限公司 | 应用于工业防火墙的防护方法、系统、终端及存储介质 |
| CN115361232A (zh) * | 2022-10-19 | 2022-11-18 | 广东卓维网络有限公司 | 电力信息网的安全防护系统 |
| WO2023249679A1 (en) * | 2022-06-24 | 2023-12-28 | Palo Alto Networks, Inc. | Application traffic flow prediction based on multi-stage network traffic flow scanning |
| US11888877B2 (en) | 2018-03-23 | 2024-01-30 | Juniper Networks, Inc. | Tracking host threats in a network and enforcing threat policy actions for the host threats |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| US20110231924A1 (en) * | 2010-03-16 | 2011-09-22 | Devdhar Rakendu | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN103023914A (zh) * | 2012-12-26 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种防火墙系统及其实现方法 |
-
2017
- 2017-11-09 CN CN201711098913.1A patent/CN107872456A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| US20110231924A1 (en) * | 2010-03-16 | 2011-09-22 | Devdhar Rakendu | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN103023914A (zh) * | 2012-12-26 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种防火墙系统及其实现方法 |
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11888877B2 (en) | 2018-03-23 | 2024-01-30 | Juniper Networks, Inc. | Tracking host threats in a network and enforcing threat policy actions for the host threats |
| CN110300090B (zh) * | 2018-03-23 | 2022-01-04 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
| US11979415B2 (en) | 2018-03-23 | 2024-05-07 | Juniper Networks, Inc. | Enforcing threat policy actions based on network addresses of host threats |
| CN110300090A (zh) * | 2018-03-23 | 2019-10-01 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
| CN108540480A (zh) * | 2018-04-19 | 2018-09-14 | 中电和瑞科技有限公司 | 一种网关以及基于网关的文件访问控制方法 |
| CN108418840A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于人工智能的关键信息基础设施网络风险管控系统 |
| CN110611637A (zh) * | 2018-06-14 | 2019-12-24 | 北京安天网络安全技术有限公司 | 基于vpn流量牵引的在线网络威胁检测方法及系统 |
| CN110611637B (zh) * | 2018-06-14 | 2022-07-01 | 北京安天网络安全技术有限公司 | 基于vpn流量牵引的在线网络威胁检测方法及系统 |
| CN109167754B (zh) * | 2018-07-26 | 2021-03-02 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109600370A (zh) * | 2018-12-08 | 2019-04-09 | 公安部第三研究所 | 一种终端web防护系统及方法 |
| CN109802965A (zh) * | 2019-01-24 | 2019-05-24 | 新华三信息安全技术有限公司 | 一种自定义ips特征文件导入方法及装置 |
| CN110474906A (zh) * | 2019-08-16 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 基于闭环反馈的主被动结合网络空间目标深度挖掘技术 |
| CN110807190A (zh) * | 2019-10-10 | 2020-02-18 | 连连银通电子支付有限公司 | 一种弱口令检测方法及装置 |
| CN111064730A (zh) * | 2019-12-23 | 2020-04-24 | 深信服科技股份有限公司 | 网络安全检测方法、装置、设备及存储介质 |
| CN111049853A (zh) * | 2019-12-24 | 2020-04-21 | 南通理工学院 | 一种基于计算机网络的安全认证系统 |
| CN111526121B (zh) * | 2020-03-24 | 2022-03-04 | 杭州迪普科技股份有限公司 | 入侵防御方法、装置、电子设备及计算机可读介质 |
| CN111526121A (zh) * | 2020-03-24 | 2020-08-11 | 杭州迪普科技股份有限公司 | 入侵防御方法、装置、电子设备及计算机可读介质 |
| CN113452663B (zh) * | 2020-03-25 | 2023-08-25 | 瞻博网络公司 | 基于应用特征的网络业务控制 |
| CN113452663A (zh) * | 2020-03-25 | 2021-09-28 | 瞻博网络公司 | 基于应用特征的网络业务控制 |
| CN112202773A (zh) * | 2020-09-29 | 2021-01-08 | 安徽斯跑特科技有限公司 | 一种基于互联网的计算机网络信息安全监控与防护系统 |
| CN112202773B (zh) * | 2020-09-29 | 2022-11-15 | 安徽思珀特信息科技有限公司 | 一种基于互联网的计算机网络信息安全监控与防护系统 |
| CN112422506A (zh) * | 2020-10-16 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种基于DoIP协议的入侵检测防御方法及系统 |
| CN112422506B (zh) * | 2020-10-16 | 2022-03-15 | 郑州信大捷安信息技术股份有限公司 | 一种基于DoIP协议的入侵检测防御方法及系统 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
| CN112600844A (zh) * | 2020-12-15 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种数据的安全检测方法、装置、存储介质及电子设备 |
| CN112565290A (zh) * | 2020-12-22 | 2021-03-26 | 深信服科技股份有限公司 | 一种入侵防御方法、系统及相关设备 |
| CN112565290B (zh) * | 2020-12-22 | 2022-11-22 | 深信服科技股份有限公司 | 一种入侵防御方法、系统及相关设备 |
| CN113032781A (zh) * | 2021-03-09 | 2021-06-25 | 广东物壹信息科技股份有限公司 | 一种勒索病毒的入侵检测方法 |
| CN113507433A (zh) * | 2021-05-27 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种数据检测方法及防火墙设备 |
| CN113507433B (zh) * | 2021-05-27 | 2023-04-07 | 新华三信息安全技术有限公司 | 一种数据检测方法及防火墙设备 |
| CN113608741B (zh) * | 2021-07-07 | 2023-08-29 | 中国电子科技集团公司第三十研究所 | 一种网络安全服务整合方法及装置 |
| CN113608741A (zh) * | 2021-07-07 | 2021-11-05 | 中国电子科技集团公司第三十研究所 | 一种网络安全服务整合方法及装置 |
| CN113935431B (zh) * | 2021-10-28 | 2022-04-08 | 北京永信至诚科技股份有限公司 | 一种多流关联分析识别私有加密数据的方法及系统 |
| CN113935431A (zh) * | 2021-10-28 | 2022-01-14 | 北京永信至诚科技股份有限公司 | 一种多流关联分析识别私有加密数据的方法及系统 |
| CN113987521A (zh) * | 2021-12-28 | 2022-01-28 | 北京安华金和科技有限公司 | 一种数据库漏洞的扫描处理方法和装置 |
| WO2023249679A1 (en) * | 2022-06-24 | 2023-12-28 | Palo Alto Networks, Inc. | Application traffic flow prediction based on multi-stage network traffic flow scanning |
| CN115314252A (zh) * | 2022-07-06 | 2022-11-08 | 北京神州慧安科技有限公司 | 应用于工业防火墙的防护方法、系统、终端及存储介质 |
| CN115314280A (zh) * | 2022-08-04 | 2022-11-08 | 中国平安人寿保险股份有限公司 | 注入防护方法、装置、电子设备及计算机可读存储介质 |
| CN115314280B (zh) * | 2022-08-04 | 2024-08-27 | 中国平安人寿保险股份有限公司 | 注入防护方法、装置、电子设备及计算机可读存储介质 |
| CN115361232A (zh) * | 2022-10-19 | 2022-11-18 | 广东卓维网络有限公司 | 电力信息网的安全防护系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
| US10505900B2 (en) | Data leak protection in upper layer protocols | |
| US10542006B2 (en) | Network security based on redirection of questionable network access | |
| Vacca | Network and system security | |
| Setiawan et al. | Web vulnerability analysis and implementation | |
| Stewart | CompTIA Security+ Review Guide: Exam SY0-601 | |
| Aibekova et al. | Offensive security: Study on penetration testing attacks, methods, and their types | |
| Ravindran et al. | A Review on Web Application Vulnerability Assessment and Penetration Testing. | |
| Carter et al. | Intrusion prevention fundamentals | |
| Fry et al. | Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks | |
| Ramakrishnan et al. | Pandora: An IOT Based Intrusion Detection Honeypot with Real-time Monitoring | |
| Kaushik et al. | a novel approach for an automated advanced MITM attack on IoT networks | |
| Cuzme-Rodríguez et al. | Offensive Security: Ethical Hacking Methodology on the Web | |
| Dutta et al. | Intrusion detection systems fundamentals | |
| Kandan et al. | Network attacks and prevention techniques-a study | |
| Tomar et al. | Cyber Security Methodologies and Attack Management | |
| Soufiane et al. | SaaS Cloud Security: Attacks and Proposedsolutions | |
| Pandey et al. | Need of Cyber Security, Tools, Uses and Future Research | |
| Mack | Cyber security | |
| Sodagudi et al. | Novel approaches to identify and prevent cyber attacks in web | |
| Bux et al. | Detection of malicious servers for preventing client-side attacks | |
| Muttoo et al. | Analysing security checkpoints for an integrated utility-based information system | |
| Musambo et al. | Identifying Botnets Intrusion & Prevention –A Review | |
| Omeiza et al. | Web security investigation through penetration tests: A case study of an educational institution portal | |
| Almi | Web Server Security and Survey on Web Application Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180403 |
|
| RJ01 | Rejection of invention patent application after publication |