CN110022319B - 攻击数据的安全隔离方法、装置、计算机设备及存储设备 - Google Patents
攻击数据的安全隔离方法、装置、计算机设备及存储设备 Download PDFInfo
- Publication number
- CN110022319B CN110022319B CN201910267462.2A CN201910267462A CN110022319B CN 110022319 B CN110022319 B CN 110022319B CN 201910267462 A CN201910267462 A CN 201910267462A CN 110022319 B CN110022319 B CN 110022319B
- Authority
- CN
- China
- Prior art keywords
- data packet
- attack
- data
- detected
- data packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims description 43
- 238000000034 method Methods 0.000 claims abstract description 41
- 230000008569 process Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 abstract description 14
- 230000005540 biological transmission Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种攻击数据的安全隔离方法、装置、计算机设备及计算机存储介质,所述方法包含以下步骤:获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级;基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包;对所述攻击数据包进行隔离。本发明根据不同的协议为待测数据包设置优先级,按照优先级的顺序对待测数据包进行检测,同时兼顾数据包检测的完整性与及时性。
Description
技术领域
本发明涉及安全检测技术领域,特别涉及一种攻击数据的安全隔离方法、装置、计算机设备及存储设备。
背景技术
隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道。隐蔽信道在公开信道的掩盖下,采用特殊的编码方式,传输非法或私密的信息而不被人发现。
例如,许多防火墙和网络系统认为PING包是良性网络流量,并允许其顺利地通过,其实现思想是使用ICMP协议的回应应答报文(type0)和ICMP协议的回应请求报文(type8)的数据字段来建立一个双向的命令通道。但实际上该路径存在一定的风险,黑客能通过ICMP协议的缺陷,将需要窃取的数据分片封装到ICMP协议的payload中,通过不断的发送ping包窃取信息。
同样原理,黑客也可以利用DNS协议和HTTP协议的缺陷,将需要窃取的数据分片封装到DNS协议或者HTTP协议的Payload中,通过不断发送DNS请求或者HTTP请求,窃取信息。
基于上述几种协议的隐蔽信道是安全通信过程中的重大威胁。现有技术在检测上述隐蔽信道中的攻击数据时,处理方式比较单一,难以全面完整地监测到所有攻击数据。同时由于DNS请求和HTTP请求的高发生频率,利用现有技术对DNS请求和HTTP请求进行实时监测将会消耗大量的系统资源,严重影响计算机设备的正常运行。
因此,如何提供一种覆盖范围广、识别准确率高并且不影响系统运行性能的攻击检测方案,成为本领域技术人员亟待解决的问题。
发明内容
本发明的目的是提供一种攻击数据的安全隔离方法、装置、计算机设备及存储设备,以解决现有技术中存在的问题。
为实现上述目的,本发明提供一种攻击数据的安全隔离方法,包含以下步骤:
获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级;
基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包;
对所述攻击数据包进行隔离。
根据本发明提供的攻击数据的安全隔离方法,其中,所述获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级的步骤包括:
获取不同时间段内按照预设协议传输的待测数据包,将属于不同时间段的待测数据包分别存储到不同的缓存空间;
为每个缓存空间内的待测数据包分别设置优先级,所述优先级与所述预设协议相关联。
根据本发明提供的攻击数据的安全隔离方法,其中,所述基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包的步骤包括:
按照所述优先级依次解析每个缓存空间内的待测数据包;
从所述待测数据包中确定出与所述预设协议的标准报文格式不符的可疑数据包;
从所述可疑数据包中确定出具有安全隐患的攻击数据包。
根据本发明提供的攻击数据的安全隔离方法,其中,所述从所述可疑数据包中确定出具有安全隐患的攻击数据包的步骤包括:
获取所述可疑数据包的发送频率,当所述发送频率大于第一阈值时,判定所述可疑数据包为攻击数据包;和/或
判断所述可疑数据包所包含的数据量,当所述数据量大于第二阈值时,判定所述可疑数据包为攻击数据包。
根据本发明提供的攻击数据的安全隔离方法,其中,所述对所述攻击数据包进行隔离的步骤包括:
获取所述攻击数据包中包含的源地址;
在网络防火墙中设置拦截规则,用以拦截来自所述源地址的所有数据包;
删除所述源地址对应的主机上发送所述攻击数据包的攻击进程。
为实现上述目的,本发明还提供一种攻击数据的安全隔离装置,包括:
数据包获取模块,适用于获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级;
数据包解析模块,适用于基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包;
数据包隔离模块,适用于对所述攻击数据包进行隔离。
根据本发明提供的攻击数据的安全隔离装置,其中,所述数据包获取模块包括:
分配存储子模块,适用于获取不同时间段内按照预设协议传输的待测数据包,将属于不同时间段的待测数据包分别存储到不同的缓存空间;
优先级设置子模块,适用于为每个缓存空间内的待测数据包分别设置优先级,所述优先级与所述预设协议相关联。
根据本发明提供的攻击数据的安全隔离装置,其中,所述数据包隔离模块包括:
源地址获取子模块,适用于获取所述攻击数据包中包含的源地址;
拦截子模块,适用于在网络防火墙中设置拦截规则,用以拦截来自所述源地址的所有数据包;
删除子模块,适用于删除所述源地址对应的主机上发送所述攻击数据包的攻击进程。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的攻击数据的安全隔离方法、装置、计算机设备及计算机存储介质,能够迅速有效地检测及隔离网络传输过程中的具有威胁的攻击数据包。特别的,本发明针对依照ICMP、DNS和HTTP三种协议的数据包进行检测,并且根据不同的协议为待测数据包设置优先级,按照优先级的顺序对待测数据包进行检测,同时兼顾数据包检测的完整性与及时性。对于确认包含威胁隐患的攻击数据包,本发明一方面通过网络防火墙设置拦截规则对攻击数据包拦截,另一方面通过追溯源地址对应的主机上发送所述攻击数据包的攻击进程,直接对攻击进程进行清除,从而保证计算机网络系统的安全运行。
附图说明
图1为本发明的攻击数据的安全隔离方法实施例一的流程图;
图2为本发明的攻击数据的安全隔离装置实施例一的程序模块示意图;
图3为本发明的攻击数据的安全隔离装置实施例一的硬件结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的攻击数据的安全隔离方法、装置、计算机设备及计算机存储介质,能够迅速有效地检测及隔离网络传输过程中的具有威胁的攻击数据包。特别的,本发明针对依照ICMP、DNS和HTTP三种协议的数据包进行检测,并且根据不同的协议为待测数据包设置优先级,按照优先级的顺序对待测数据包进行检测,同时兼顾数据包检测的完整性与及时性。对于确认包含威胁隐患的攻击数据包,本发明一方面通过网络防火墙设置拦截规则对攻击数据包拦截,另一方面通过追溯源地址对应的主机上发送所述攻击数据包的攻击进程,直接对攻击进程进行清除,从而保证计算机网络系统的安全运行。
实施例一
请参阅图1,本实施例提出一种攻击数据的安全隔离方法,包含以下步骤:
S1:获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级。
本发明适用于入侵检测系统(IDS)或入侵防御系统(IPS),用于对利用隐蔽信道传输的恶意攻击数据进行检测、拦截、删除。在接收到入侵检测系统(IDS)或入侵防御系统(IPS)发出的攻击检测命令后,本发明通过监听设备获取所关注的待测数据包。其中,上述监听设备可以是与多台计算机终端相连的网络中间设备,能够接收多台计算机终端通过网络向外发送的数据包,或者是外部设备通过网络发送给计算机终端的数据包。
其中,本发明中的待测数据包是通过预设协议进行传输的数据包,包括通过ICMP协议传输的ICMP数据包,通过DNS协议传输的DNS数据包,或者通过HTTP协议传输的HTTP数据包。
其中,本发明中的ICMP数据包包括响应于PING命令传输的ICMP协议数据包,本发明中的DNS数据包包括响应于host、nslookup等域名解析命令的DNS协议数据包,本发明中的HTTP数据包包括响应于get等页面信息获取命令的HTTP协议数据包。
考虑到携带攻击信息的可能性,本发明按照不同的传输协议为待测数据包设置不同的优先级,设置规则主要包括:发送频率越低的数据包具备的优先级越高;以及越不经常被防火墙拦截的数据包具备的优先级越高。对应于本实施例,三种预设协议的待测数据包的优先级设置为:ICMP协议数据包为第一优先级,DNS协议数据包为第二优先级,HTTP协议数据包为第三优先级。也就是说,ICMP协议数据包为最先需要被处理的数据包,DNS协议数据包为第二需要被处理的数据包,HTTP协议数据包为最后需要被处理的数据包。
进一步,本发明是按照时间段批量获取待测数据包并进行存储的,属于不同时间段的待测数据包分别被存储到不同的缓存空间。例如规定每个小时获取一次待测数据包,那么可以将1:00到1:59之间获取到的待测数据包存储到第一存储空间,将2:00到2:59之间获取到的待测数据包存储到第二存储空间,将3:00到3:59之间获取到的待测数据包存储到第三存储空间……以此类推。
依照上述优先级设置规则,分别为每个缓存空间内的待测数据包设置优先级。由于每种协议的数据包发送频率不同,因此每个存储空间内不一定都会包括上述三种协议数据包,有可能只包含其中的一种或者两种协议数据包。即使这样,依然为每个数据包按照其遵循的协议设置优先级。当然若某个缓存空间内只包含一种协议的数据包,那么这个缓存空间内的所有数据包的优先级是相同的。
S2:基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包。
本步骤用于从待测数据包中解析确定出具有攻击特征的攻击数据包,例如用于窃取信息的数据包。具体包括以下步骤:
S21:按照所述优先级依次解析每个缓存空间内的待测数据包。
所谓按照所述优先级依次解析每个缓存空间内的待测数据包,指的是在每一个缓存空间内部,按照优先级解析数据包。本发明的解析过程是按照不同的缓存空间进行的,由于不同缓存空间对应于不同的时间段,因此按照存储顺序解析不同缓存空间中的待测数据包,也就相当于按照时间顺序对待测数据包进行解析。所不同的是,本发明不是向现有技术那样按照每个数据包的获取顺序依次解析,而是对一段时间内的多个数据包按照优先级分别解析。这种按照优先级批量解析的做法有利于金矿发现安全隐患,避免执行大量无意义的解析动作。因为本发明中的优先级本身就是按照存在隐患的可能性进行设置的,因此按照优先级对待测数据包进行解析可以提升检测命中率,尽量减少无效检测。
S22:从所述待测数据包中确定出与所述预设协议的标准报文格式不符的可疑数据包。
本发明基于预设协议对所述待测数据包执行解析,需要首先获取所述待测数据包所对应的预设协议。具体方法可以是,通过解析待测数据包中的头文件获取该待测数据包所遵循的协议,再根据该待测数据包所遵循的协议获取标准报文格式。
不同协议对应的标准报文格式可以通过RFC文档确定。本领域普通技术人员可以理解,当待测数据包中的数据可能携带有攻击特性的数据时,则该待测数据包的数据格式将不再符合标准协议规定的报文格式,例如缺少某一个或者几个标志位,某些标志位的数值与默认值不符等等。造成数据格式不符合标准协议规定的报文格式的原因有很多种,除了遭受攻击之外,也可能与程序员的习惯有关,若程序员在构造数据包时并未严格按照协议规定设置,也会出现在标准端口传输的非标准格式数据。在某些不严格要求的场景下,这种非标准格式的数据也是允许的。因此,与标准报文格式不符的待测数据包中有可能包含攻击数据,但并不是所有与标准报文格式不符的待测数据包都必然包含攻击数据。在将与标准报文格式不符的待测数据包确定为可以数据包的基础上,还需要进行进一步地检测。
在实际传输中ICMP协议数据包包括IP报头(至少20字节)、ICMP报头(至少8字节)和ICMP报文(属于ICMP报文的数据部分)。其中ICMP报文中的类型字段用于标识ICMP报文的类型,当类型字段为8时,表示PING操作中的请求ICMP报文;当类型字段为0时,表示PING操作中的应答ICMP报文。
本发明关注通过PING命令隐藏攻击数据的入侵行为,因此,在获取到待测数据包时,会首先对该数据包进行协议还原,以获取待测数据包对应的协议。若确定该数据包对应的协议为ICMP协议,则进一步判断该数据包是否遵循标准的ICMP协议格式,包括是否遵循至少20字节IP报头、至少8字节ICMP报头和ICMP报文数据的组成形式,以及验证ICMP报头中是否包含了类型、代码、校验和、标识符、序列号等字段内容。如果上述各项内容均符合ICMP报文的标准格式,则所述待测数据包为正常数据包;如果上述各项内容有不符合ICMP报文标准格式的情况,例如不符合IP报头、ICMP报文加ICMP数据的组成形式,缺少或者多出某些字段、或者某些字段的取值不在正常范围之内时,则判断所述待测数据包为可疑数据包,需要进一步检测。
DNS(Domain Name System)协议使用户在访问互联网进行域名解析时使用的协议,DNS报文的标准格式包括12字节的报头部分和不定长的正文部分,其中报头部分又包括2字节会话标识字段、2字节标志字段和8字节数量字段。本发明关注执行域名解析命令时发送的DNS协议数据包。在获取到DNS协议数据包时,首先会验证该数据包的数据组成形式、各个字段内容是否符合标准DNS报文格式。如不符合,则判断所述待测数据包为可疑数据包,需要进一步检测。
HTTP协议(HyperText Transfer Protocol超文本传输)是用于从WWW服务器传输超文本到本地浏览器的传输协议。一般情况下HTTP协议是防火墙友好的,因为大多数计算机都需要开通正常的上网功能,当然,也不排除通过个性化设置屏蔽某些网络连接的安全手段。相比较于ICMP协议数据包和DNS协议数据包,HTTP协议数据包的数量更多,频率更大。因此在抓取待测数据包时,HTTP协议数据包是最后考虑的对象。HTTP标准报文格式包括报文首部、空行和报文主体三部分组成,具体的,HTTP报文又包括HTTP请求报文和HTTP响应报文。其中HTTP请求报文包括请求行、请求头部、空行和请求数据组成,HTTP响应报文中的报文首部包括状态行、响应头部、空行和响应体组成。本发明中,当确认抓取到的待测数据包遵循HTTP协议时,首先会验证该数据包的数据组成形式、各个字段内容是否符合标准HTTP报文格式。如不符合,则判断所述待测数据包为可疑数据包,需要进一步检测。
S23:从所述可疑数据包中确定出具有安全隐患的攻击数据包。
本步骤通过两种方式从可疑数据包中确认攻击数据包,具体描述如下:
S231:获取所述可疑数据包的发送频率,当所述发送频率大于第一阈值时,判定所述可疑数据包为攻击数据包。
例如,对于ICMP协议,正常业务场景下不会持续不断地发送ping数据包,如果发现由短时间内不断发送ping包请求的,都可以作为可疑事件进行排查。
S232:判断所述可疑数据包的数据量,当所述数据量大于第二阈值时,判定所述可疑数据包为攻击数据包。
例如对于ICMP协议,在Windows操作系统中默认包大小为32字节,SUSE Linux操作系统中默认包大小为56字节。其最大数据包大小遵循IP协议规定,为65500字节。基于上述规律,本发明通过检测数据包大小的方式来确定攻击数据包。例如可以设置一个ICMP数据包大小的第二阈值,一旦超过该阈值则认为是攻击数据包。在RFC 1035中,对于DNS的UDP数据包原始大小做了限制,但可通过DNS的扩展名机制(EDNS0),允许DNS请求者公布其UDP带护具包的大小,并且传输大于512字节的数据包。黑客也常利用此方式,将要窃取的数据封装在DNS数据包中。基于此,可以针对DNS的UDP长度设置512的阈值或者TCP包长度设置1024的阈值。
S3:对所述攻击数据包进行隔离。
在确定了攻击数据包的基础上,本发明通过两种方式来实现对攻击数据包的隔离,一种是通过设置防火墙的方式实现网络隔离,另一种是从源头上清理危险进程。下面分别进行描述。
S31:在网络防火墙中添加与所述攻击数据包相对应的拦截规则,对所述攻击数据包进行拦截。
网络防火墙的作用是鉴别发送和传输的每一个数据包,看他们是否和防火墙规则相匹配。按照规则的设定,规则上允许放行的就放行,不允许放行的就把数据包抛弃(相当于阻断了隐蔽信道)。攻击数据包中携带有源地址信息、目的地址信息等内容。获取攻击数据包中的源地址信息,在网络防火墙中添加不予放行规则,将来自上述源地址信息的所有数据包进行抛弃,从而避免攻击数据包进入主机产生危害。
S32:删除所述源地址对应的主机上发送所述攻击数据包的攻击进程。
根据攻击数据包中的源地址信息,可以进一步追溯到与源地址信息对应的受害主机以及该受害主机上的攻击进程。在此基础上,通过进入受害主机删除攻击京城的方式,可以更加彻底地消除威胁,保护计算机系统安全运行。
请继续参阅图2,示出了一种攻击数据的安全隔离装置,在本实施例中,安全隔离装置10可以包括或被分割成一个或多个程序模块,一个或者多个程序模块被存储于存储介质中,并由一个或多个处理器所执行,以完成本发明,并可实现上述安全隔离方法。本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序本身更适合于描述安全隔离装置10在存储介质中的执行过程。以下描述将具体介绍本实施例各程序模块的功能:
数据包获取模块11,适用于获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级;
数据包解析模块12,适用于基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包;
数据包隔离模块13,适用于对所述攻击数据包进行隔离。
根据本发明提供的攻击数据的安全隔离装置,其中,所述数据包获取模块11包括:
分配存储子模块111,适用于获取不同时间段内按照预设协议传输的待测数据包,将属于不同时间段的待测数据包分别存储到不同的缓存空间;
优先级设置子模块112,适用于为每个缓存空间内的待测数据包分别设置优先级,所述优先级与所述预设协议相关联。
根据本发明提供的攻击数据的安全隔离装置,其中,所述数据包隔离模块13包括:
源地址获取子模块131,适用于获取所述攻击数据包中包含的源地址;
拦截子模块132,适用于在网络防火墙中设置拦截规则,用以拦截来自所述源地址的所有数据包;
删除子模块133,适用于删除所述源地址对应的主机上发送所述攻击数据包的攻击进程。
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。本实施例的计算机设备20至少包括但不限于:可通过系统总线相互通信连接的存储器21、处理器22,如图3所示。需要指出的是,图3仅示出了具有组件21-22的计算机设备20,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器21(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器21可以是计算机设备20的内部存储单元,例如该计算机设备20的硬盘或内存。在另一些实施例中,存储器21也可以是计算机设备20的外部存储设备,例如该计算机设备20上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器21还可以既包括计算机设备20的内部存储单元也包括其外部存储设备。本实施例中,存储器21通常用于存储安装于计算机设备20的操作系统和各类应用软件,例如实施例一的数据同步装置10的程序代码等。此外,存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制计算机设备20的总体操作。本实施例中,处理器22用于运行存储器21中存储的程序代码或者处理数据,例如运行安全隔离装置10,以实现实施例一的安全隔离方法。
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储安全隔离装置10,被处理器执行时实现实施例一的安全隔离方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
流程图中或在此以其它方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解,实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种攻击数据的安全隔离方法,其特征在于,包含以下步骤:
获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级;
基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包,其中,按照所述优先级依次解析每个缓存空间内的待测数据包;从所述待测数据包中确定出与所述预设协议的标准报文格式不符的可疑数据包;从所述可疑数据包中确定出具有安全隐患的攻击数据包;
对所述攻击数据包进行隔离。
2.根据权利要求1所述的攻击数据的安全隔离方法,其特征在于,所述获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级的步骤包括:
获取不同时间段内按照预设协议传输的待测数据包,将属于不同时间段的待测数据包分别存储到不同的缓存空间;
为每个缓存空间内的待测数据包分别设置优先级,所述优先级与所述预设协议相关联。
3.根据权利要求1所述的攻击数据的安全隔离方法,其特征在于,所述从所述可疑数据包中确定出具有安全隐患的攻击数据包的步骤包括:
获取所述可疑数据包的发送频率,当所述发送频率大于第一阈值时,判定所述可疑数据包为攻击数据包;和/或
判断所述可疑数据包所包含的数据量,当所述数据量大于第二阈值时,判定所述可疑数据包为攻击数据包。
4.根据权利要求1至3中任一项所述的攻击数据的安全隔离方法,其特征在于,所述对所述攻击数据包进行隔离的步骤包括:
获取所述攻击数据包中包含的源地址;
在网络防火墙中设置拦截规则,用以拦截来自所述源地址的所有数据包;
删除所述源地址对应的主机上发送所述攻击数据包的攻击进程。
5.一种攻击数据的安全隔离装置,其特征在于,包括:
数据包获取模块,适用于获取按照预设协议传输的待测数据包,根据所述预设协议为所述待测数据包设置优先级;
数据包解析模块,适用于基于所述优先级对所述待测数据包执行解析,根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包,其中,按照所述优先级依次解析每个缓存空间内的待测数据包,从所述待测数据包中确定出与所述预设协议的标准报文格式不符的可疑数据包,从所述可疑数据包中确定出具有安全隐患的攻击数据包;
数据包隔离模块,适用于对所述攻击数据包进行隔离。
6.根据权利要求5所述的攻击数据的安全隔离装置,其特征在于,所述数据包获取模块包括:
分配存储子模块,适用于获取不同时间段内按照预设协议传输的待测数据包,将属于不同时间段的待测数据包分别存储到不同的缓存空间;
优先级设置子模块,适用于为每个缓存空间内的待测数据包分别设置优先级,所述优先级与所述预设协议相关联。
7.根据权利要求6所述的攻击数据的安全隔离装置,其特征在于,所述数据包隔离模块包括:
源地址获取子模块,适用于获取所述攻击数据包中包含的源地址;
拦截子模块,适用于在网络防火墙中设置拦截规则,用以拦截来自所述源地址的所有数据包;
删除子模块,适用于删除所述源地址对应的主机上发送所述攻击数据包的攻击进程。
8.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910267462.2A CN110022319B (zh) | 2019-04-03 | 2019-04-03 | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910267462.2A CN110022319B (zh) | 2019-04-03 | 2019-04-03 | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110022319A CN110022319A (zh) | 2019-07-16 |
| CN110022319B true CN110022319B (zh) | 2020-10-30 |
Family
ID=67190592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910267462.2A Active CN110022319B (zh) | 2019-04-03 | 2019-04-03 | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110022319B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988309B (zh) * | 2020-08-18 | 2022-07-05 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
| CN113313216B (zh) * | 2021-07-30 | 2021-11-30 | 深圳市永达电子信息股份有限公司 | 网络数据的主体抽取方法、装置、电子设备及存储介质 |
| CN115242878A (zh) * | 2022-06-13 | 2022-10-25 | 潍柴动力股份有限公司 | 数据包的处理方法、车载终端和车辆 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN102970306A (zh) * | 2012-12-18 | 2013-03-13 | 中国科学院计算机网络信息中心 | 一种IPv6网络环境下的入侵检测系统 |
| CN103812750A (zh) * | 2014-02-21 | 2014-05-21 | 上海斐讯数据通信技术有限公司 | 数据通信设备cpu收发报文保护系统及方法 |
| CN106888192A (zh) * | 2015-12-16 | 2017-06-23 | 中国移动通信集团江苏有限公司 | 一种抵抗dns攻击的方法及装置 |
| CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170180397A1 (en) * | 2015-12-21 | 2017-06-22 | Shivinder Singh Sikand | Thin Client Unit apparatus to transport intra-vehicular data on a communication network |
-
2019
- 2019-04-03 CN CN201910267462.2A patent/CN110022319B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN102970306A (zh) * | 2012-12-18 | 2013-03-13 | 中国科学院计算机网络信息中心 | 一种IPv6网络环境下的入侵检测系统 |
| CN103812750A (zh) * | 2014-02-21 | 2014-05-21 | 上海斐讯数据通信技术有限公司 | 数据通信设备cpu收发报文保护系统及方法 |
| CN106888192A (zh) * | 2015-12-16 | 2017-06-23 | 中国移动通信集团江苏有限公司 | 一种抵抗dns攻击的方法及装置 |
| CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110022319A (zh) | 2019-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666686B1 (en) | Virtualized exploit detection system | |
| US10503904B1 (en) | Ransomware detection and mitigation | |
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US9973531B1 (en) | Shellcode detection | |
| US20170302689A1 (en) | Network Security Protection Method and Apparatus | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| WO2015149663A1 (zh) | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN110022319B (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| KR101089154B1 (ko) | 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법 | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN109688153B (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| CN106656966B (zh) | 一种拦截业务处理请求的方法和装置 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| KR100539760B1 (ko) | 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN114143056A (zh) | 一种终端访问方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |