CN110995693A - 一种攻击特征的提取方法、装置及设备 - Google Patents
一种攻击特征的提取方法、装置及设备 Download PDFInfo
- Publication number
- CN110995693A CN110995693A CN201911195295.1A CN201911195295A CN110995693A CN 110995693 A CN110995693 A CN 110995693A CN 201911195295 A CN201911195295 A CN 201911195295A CN 110995693 A CN110995693 A CN 110995693A
- Authority
- CN
- China
- Prior art keywords
- message
- attack
- fpga
- ids
- matching rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种攻击特征的提取方法、装置及设备。上述方法及装置应用于IDS设备,上述IDS设备包括FPGA;其中,上述FPGA用于处理上述IDS设备接收到的报文;上述IDS设备包括攻击特征库;上述攻击特征库包括若干预设攻击特征。上述方法包括:基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;获取目标攻击特征;其中,上述目标攻击特征为从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征;将上述目标攻击特征添加至上述攻击特征库。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种攻击特征的提取方法、装置及设备。
背景技术
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
IDS设备中通常维护有存储攻击特征的攻击特征库。当IDS设备接收到某终端发送的报文后,IDS设备可以将上述接收到的报文的报文内容,与上述攻击特征库中的攻击特征匹配。如果上述接收到的报文的报文内容匹配中上述攻击特征库中的任一攻击特征,上述IDS设备可以作出报警或者切断与上述终端的连接等响应措施,从而有效的避免由于网络攻击而导致的损失。
但是,随着信息化的高速发展,网络攻击产生了很多新的方式,而为了能够识别新的网络攻击,需要不断的更新攻击特征库中的攻击特征。可见,需要一种可以不断完善攻击特征库的攻击特征提取方法。
发明内容
有鉴于此,本申请提供一种攻击特征的提取方法,应用于IDS设备,上述IDS设备包括FPGA;其中,上述FPGA用于处理上述IDS设备接收到的报文;上述IDS设备包括攻击特征库;上述攻击特征库包括若干预设攻击特征;上述方法包括:
基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;
获取目标攻击特征;其中,上述目标攻击特征为从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征;
将上述目标攻击特征添加至上述攻击特征库。
相应于上述攻击特征的提取方法,本申请还提出一种攻击特征的提取装置,应用于IDS设备,上述IDS设备包括FPGA;其中,上述FPGA用于处理上述IDS设备接收到的报文;上述IDS设备包括攻击特征库;上述攻击特征库包括若干预设攻击特征;上述装置包括:
生成模块,基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;
获取模块,获取目标攻击特征;其中,上述目标攻击特征为从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征;
添加模块,将上述目标攻击特征添加至上述攻击特征库。
相应于上述攻击特征的提取方法,本申请还提出一种攻击特征的提取设备,上述提取设备包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器执行上述程序时实现如下方法:
基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;
获取目标攻击特征;其中,上述目标攻击特征为从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征;
将上述目标攻击特征添加至上述攻击特征库。
由上述技术方案可知,一方面,由于IDS设备基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;然后,IDS设备可以获取从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征,并将上述攻击特征添加至IDS设备的攻击特征库中,因此,IDS设备实现了对其攻击特征库中的攻击特征的不断更新。
另一方面,由于本申请中发送命中上述攻击特征库中的攻击特征的报文的终端可能是构成威胁的终端,而攻击特征库中新增加的攻击特征可能是从上述终端中发送的报文中学习到的,因此,本申请可以不断地从能够构成威胁的终端发送的报文中学习攻击特征,从而有针对性的学习攻击特征。
附图说明
图1为本申请示出的一种IDS部署组网图;
图2为本申请示出的一种IDS设备进行入侵检测的方法流程图;
图3为本申请示出的一种攻击特征的提取方法的方法流程图;
图4为本申请示出的一种攻击特征的提取装置的结构图;
图5为为本申请示出的一种攻击特征的提取设备的硬件结构图。
具体实施方式
下面将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的设备和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“上述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
以下对IDS设备实现入侵检测功能进行说明。
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
请参见图1,图1为本申请示出的一种IDS部署组网图。
如图1所示,IDS设备,以及与IDS设备连接的IDS服务器组成IDS部署部分,用于实现入侵检测功能。IDS设备与交换机连接,用于对经过交换机的报文进行入侵检测。用户使用的终端与服务器通过交换机连接,实现数据的相互传输。
其中,上述IDS服务器,用于实现管理员与IDS设备的交互。例如,管理员可以通过IDS服务器对IDS设备进行配置。
上述IDS设备,用于对经过交换机的报文进行入侵检测。上述IDS设备中通常维护有存储攻击特征的攻击特征库,上述IDS设备可以将接收到的报文的报文内容与上述攻击特征库中的攻击特征进行匹配,如果上述报文的报文内容命中任一攻击特征,上述IDS设备可以认为交换机正在受到来自发送上述报文的终端的威胁。如果IDS设备发现来自某台终端的威胁后,可以生成告警信息并通知交换机;或者,可以通过预设协议向交换机发送指令以使交换机断开与该终端的连接。
上述交换机,可以将自身接收到的报文备份至上述IDS设备,从而使IDS设备可以通过分析上述报文的报文内容进行入侵检测。
需要说明的是,IDS设备将接收到的报文的报文内容与攻击特征库中的攻击特征进行匹配的过程可以参照相关技术,在此不作详述。
具体地,请参见图2,图2为本申请示出的一种IDS设备进行入侵检测的方法流程图。
如图2所示,IDS设备可以获取交换机备份的报文;其中,上述报文可以为由某终端发送至上述交换机。当IDS设备接收到上述报文后,IDS设备可以将上述接收到的报文的报文内容,与上述攻击特征库中的攻击特征匹配。如果上述报文的报文内容命中任一攻击特征,上述IDS设备可以认为交换机正在受到来自发送上述报文的终端的威胁。如果IDS设备发现来自某台终端的威胁后,可以生成告警信息并通知交换机;或者,可以通过预设协议向交换机发送指令以使交换机断开与该终端的连接,从而有效的避免由于网络攻击而导致的损失。
但是,随着信息化的高速发展,网络攻击产生了很多新的方式。例如,蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁互相结合,形成新的攻击方式。并且上述攻击方式更新迭代很快,因此,IDS设备需要不断的更新攻击特征库中的攻击特征以使其能够检测出由上述攻击方式导致的威胁。
基于此,本申请提出一种攻击特征的提取方法,应用于IDS设备。上述IDS设备可以包括FPGA;其中,上述FPGA可以用于处理上述IDS设备接收到的报文;上述IDS设备可以包括攻击特征库;上述攻击特征库可以包括若干预设攻击特征。该方法通过FPGA提取命中上述预设攻击特征的报文的报文特征,并将从FPGA处理的命中上述报文特征的报文中学习出的攻击特征,添加至上述攻击特征库,以实现对攻击特征库中的攻击特征的不断更新,从而完善攻击特征库。
具体地,请参见图3,图3为本申请示出的一种攻击特征的提取方法的方法流程图。
如图3所示,S301,基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;
S302,获取目标攻击特征;其中,上述目标攻击特征为从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征;
S303,将上述目标攻击特征添加至上述攻击特征库。
由上述技术方案可知,一方面,由于IDS设备基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;然后,IDS设备可以获取从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征,并将上述攻击特征添加至IDS设备的攻击特征库中,因此,IDS设备实现了对其攻击特征库中的攻击特征的不断更新。
另一方面,由于本申请中发送命中上述攻击特征库中的攻击特征的报文的终端可能是构成威胁的终端,而攻击特征库中新增加的攻击特征可能是从上述终端中发送的报文中学习到的,因此,本申请可以不断地从能够构成威胁的终端发送的报文中学习攻击特征,从而有针对性的学习攻击特征。
以下结合具体的实施例对本申请进行说明。
如图1所示,IDS设备,以及与IDS设备连接的IDS服务器共同组成IDS部署部分,用于实现入侵检测功能。IDS设备与交换机连接,用于对经过交换机的报文进行入侵检测。用户使用的终端与服务器通过交换机连接,实现数据的相互传输。
其中,上述IDS服务器,可以用于实现管理员与IDS设备的交互。例如,管理员可以通过IDS服务器对IDS设备进行配置。上述IDS服务器还可以实现对IDS设备功能的辅助。例如,IDS服务器接收IDS设备发送的报文,并利用特征挖掘算法,从上述报文的报文内容中学习出攻击特征;然后,将上述学习出的攻击特征返回至IDS设备。在一实施例中,上述特征挖掘算法可以是Apriori算法。需要说明的是,利用特征挖掘算法从报文的报文内容中学习攻击特征可以参照相关技术,在此不作详述。
上述交换机,可以将自身接收到的报文备份至上述IDS设备,从而使IDS设备可以通过分析上述报文的报文内容进行入侵检测。
上述IDS设备,可以用于对经过交换机的报文进行入侵检测。上述IDS设备中通常维护有存储攻击特征的攻击特征库,上述IDS设备可以将接收到的报文的报文内容与上述攻击特征库中的攻击特征进行匹配,如果上述报文的报文内容命中任一攻击特征,上述IDS设备可以认为交换机正在受到来自发送上述报文的终端的威胁。如果IDS设备发现来自某台终端的威胁后,可以生成告警信息并通知交换机;或者,可以通过预设协议向交换机发送指令以使交换机断开与该终端的连接。
在一实施例中,上述IDS设备可以包括CPU,以及与CPU通信连接的FPGA。
上述FPGA可以用于处理上述IDS设备接收到的报文。
具体地,上述FPGA中可以存储攻击特征库。当IDS设备接收到来自交换机发送的报文时,上述FPGA可以将上述报文的报文内容,与自身存储的攻击特征库中的攻击特征进行匹配。
如果上述报文的报文内容命中上述攻击特征库中的攻击特征,上述FPGA可以获取该报文的报文特征,并将上述报文特征上送给CPU,以由上述CPU基于上述报文特征生成对应的报文匹配规则。
当上述CPU生成命中上述攻击特征库中的攻击特征的报文的报文特征对应的报文匹配规则后,可以将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配。
上述FPGA接收到CPU生成的上述报文匹配规则后,可以存储至自身存储器中。当IDS设备中接收到来自交换机发送的报文时,上述FPGA可以将上述报文的报文特征,与自身存储的报文匹配规则进行匹配。在一实施例中,上述FPGA可以搭载TCAM(ternary contentaddressable memory是一种三态内容寻址存储器,主要用于快速查找ACL、路由等表项),上述FPGA可以将上述报文匹配规则加载至上述TCAM,以使FPGA可以将上述IDS设备接收到的报文的报文特征与上述TCAM中的匹配规则进行匹配,从而提升匹配效率。
当上述IDS设备接收到的报文的报文特征匹配中任一上述报文匹配规则时,上述FPGA可以将上述报文发送至上述IDS服务器,以使上述IDS服务器可以基于特征挖掘算法分析上述报文,从上述报文的报文内容中学习出攻击特征,并将上述攻击特征返回至上述IDS设备。
上述CPU,可以生成报文匹配规则。上述CPU可以接收上述FPGA发送的命中上述攻击特征库中的攻击特征的报文的报文特征。当上述CPU接收到上述报文特征后,上述CPU可以基于上述报文特征生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配。
在一实施例中,假设上述IDS设备中存储了攻击特征库;上述攻击特征库包括若干预设攻击特征。其中,上述攻击特征库中的攻击特征可以参照如表1。如表1所示,上述攻击特征库可以包括攻击特征1、攻击特征2和攻击特征3。在此,需要说明的是,表1中示出的攻击特征仅为较好的说明实施例,在实际应用中,上述攻击特征可以参照相关技术,在此不作限定。
| 序号 | 攻击特征 |
| 1 | 攻击特征1 |
| 2 | 攻击特征2 |
| 3 | 攻击特征3 |
表1
当IDS设备接收到来自交换机发送的报文时,上述FPGA可以将上述报文的报文内容,与自身存储的攻击特征库中的攻击特征进行匹配。
如果上述报文的报文内容命中上述攻击特征库中的攻击特征,上述FPGA可以获取该报文的报文特征,并将上述报文特征上送给CPU,以由上述CPU基于上述报文特征生成对应的报文匹配规则。
在实际应用中,假设源IP(客户端A的IP地址)为IPA,目的IP(服务端B的IP地址)为IPB,源端口为40,目的端口80,报文协议为TCP的报文的报文内容匹配中攻击特征1。此时,上述FPGA可以将该报文的报文特征(在一实施例中,可以是报文五元组信息)打包至携带预设标识(例如,预设标识为0xffff)的请求报文中;其中,上述请求报文可以用来请求CPU基于该请求报文中携带的报文特征生成对应的报文匹配规则。当CPU接收到报文后,可以确定接收到的报文是否包括上述预设标识(例如,预设标识为0xffff);如果上述CPU接收到的报文包括上述预设标识,上述CPU可以通过预设协议解析上述报文,并基于解析结果生成对应的报文匹配规则;其中,上述预设协议可以是开发人员预先设计的协议,该协议可以使CPU基于请求报文中携带的报文特征生成对应的报文匹配规则。
当上述CPU基于上述报文特征(源IP为IPA,目的IP为IPB,源端口为40,目的端口80,报文协议为TCP)生成报文匹配规则后,可以将该规则下发至上述FPGA。在一实施例中,上述报文匹配规则可以是ACL规则,ACL规则表请参见表2。在此,需要说明的是,上述报文匹配规则还可以是路由匹配规则等可以用来筛选报文的规则,在此不作限定。
表2
上述FPGA接收到CPU生成的上述报文匹配规则后,可以存储至自身存储器中。当IDS设备中接收到来自交换机发送的报文时,上述FPGA可以将上述报文的报文特征,与自身存储的报文匹配规则进行匹配。在一实施例中,上述FPGA可以搭载TCAM,上述FPGA可以将上述报文匹配规则加载至上述TCAM,以使FPGA可以将上述IDS设备接收到的报文的报文特征与上述TCAM中的匹配规则进行匹配,从而提升匹配效率。此时,TCAM中的匹配规则可以如表2所示。
如果上述IDS设备接收到的报文的报文特征匹配中任一上述报文匹配规则(ACL规则),上述FPGA可以将上述报文发送至上述IDS服务器,以使上述IDS服务器可以基于特征挖掘算法分析上述报文,从上述报文的报文内容中学习出攻击特征,并将上述攻击特征返回至上述IDS设备。
在实际应用中,假设客户端A不断向服务端B发送源端口为40,目的端口为80的TCP报文。此时,交换机接收到客户端A发送的上述报文后,可以备份一份发送至上述IDS设备。上述IDS设备接收到上述报文后,可以将该报文传送至上述FPGA。上述FPGA接收到上述报文后,可以将上述报文的报文特征,与上述TCAM中的匹配规则(如表2所示的规则)进行匹配。本实施例中,由于上述报文可以命中表2中的报文匹配规则1,因此,上述客户端A发送的报文将被上述FPGA发送至上述IDS服务器。
上述IDS服务器接收到IDS设备发送的上述报文后,可以利用特征挖掘算法,从上述报文的报文内容中学习出攻击特征;然后,将上述学习出的攻击特征返回至IDS设备。在一实施例中,上述特征挖掘算法可以是Apriori算法。需要说明的是,利用特征挖掘算法从报文的报文内容中学习攻击特征可以参照相关技术,在此不作详述。
当上述IDS设备接收到IDS服务器返回的攻击特征后,可以将上述学习到的攻击特征添加至IDS设备的攻击特征库中,从而更新特征库中的攻击特征。在一实施例中,为了限制攻击特征库中的攻击特征数量,当上述IDS设备接收到IDS服务器返回的攻击特征后,可以将上述攻击特征与上述攻击特征库中的攻击特征进行匹配;如果上述目标攻击特征未匹配中上述攻击特征库中的任一攻击特征,则将上述目标攻击特征添加至上述攻击特征库。
在实际应用中,假设上述IDS服务器返回的攻击特征为攻击特征4;IDS设备的攻击特征库中的攻击特征如表1所示。将攻击特征4与表1中的各攻击特征一一匹配,由于攻击特征4未匹配中其中的任一攻击特征,因此,上述攻击特征4将被添加至上述IDS设备的攻击特征库。此时,IDS设备的攻击特征库中的攻击特征如表3所示。
| 序号 | 攻击特征 |
| 1 | 攻击特征1 |
| 2 | 攻击特征2 |
| 3 | 攻击特征3 |
| 4 | 攻击特征4 |
表3
上述IDS设备可以不断的重复上述步骤,以实现对其攻击特征库中的攻击特征的不断更新。
由上述技术方案可知,一方面,由于IDS设备基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;然后,IDS设备可以获取从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征,并将上述攻击特征添加至IDS设备的攻击特征库中,因此,IDS设备实现了对其攻击特征库中的攻击特征的不断更新。
另一方面,由于本申请中发送命中上述攻击特征库中的攻击特征的报文的终端可能是构成威胁的终端,而攻击特征库中新增加的攻击特征可能是从上述终端中发送的报文中学习到的,因此,本申请可以不断地从能够构成威胁的终端发送的报文中学习攻击特征,从而有针对性的学习攻击特征。
相应于上面的方法实施例,本申请还提供一种攻击特征的提取装置,应用于IDS设备,上述IDS设备包括FPGA;其中,上述FPGA用于处理上述IDS设备接收到的报文;上述IDS设备包括攻击特征库;上述攻击特征库包括若干预设攻击特征。
请参见图4,图4为本申请示出的一种攻击特征的提取装置的结构图。如图4所示,所示装置包括:
生成模块410,基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;
获取模块420,获取目标攻击特征;其中,上述目标攻击特征为从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征;
添加模块430,将上述目标攻击特征添加至上述攻击特征库。
在示出的一实施例中,上述添加模块430还包括:
将上述目标攻击特征与上述攻击特征库中的攻击特征进行匹配;
如果上述目标攻击特征未匹配中上述攻击特征库中的任一攻击特征,则将上述目标攻击特征添加至上述攻击特征库。
在示出的一实施例中,上述IDS包括与上述FPGA通信连接的CPU;
上述生成模块还包括:
上述FPGA将上述IDS设备接收到的报文的报文内容,与上述攻击特征库中的攻击特征进行匹配;
如果上述报文的报文内容命中上述攻击特征库中的攻击特征,获取报文的报文特征;
上述FPGA将上述报文的报文特征上送给CPU,以由上述CPU基于上述报文特征生成对应的报文匹配规则。
在示出的一实施例中,上述IDS设备与服务器通信连接;上述服务器用于学习攻击特征;
上述获取模块,还包括:
上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;
如果上述IDS设备接收到的报文的报文特征匹配中任一上述报文匹配规则,上述FPGA将上述报文发送至上述服务器,以使上述服务器基于特征挖掘算法分析上述报文,从上述报文的报文内容中学习出攻击特征,并将上述攻击特征返回至上述IDS设备;
上述IDS设备接收上述服务器发送的攻击特征。
在示出的一实施例中,上述FPGA搭载了TCAM;
上述装置还包括:
加载模块,上述FPGA将上述报文匹配规则加载至上述TCAM,以使FPGA将上述IDS设备接收到的报文的报文特征与上述TCAM中的匹配规则进行匹配。
在示出的一实施例中,上述特征挖掘算法为Apriori算法。
本申请攻击特征的提取装置的实施例可以应用在攻击特征的提取设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在分流设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请示出的一种攻击特征的提取设备的硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的分流设备通常根据该分流设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5所示的一种攻击特征的提取设备,上述提取设备包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器执行上述程序时实现如下方法:
基于命中上述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将上述报文匹配规则发送至上述FPGA,以由上述FPGA将上述IDS设备接收到的报文的报文特征与上述报文匹配规则进行匹配;
获取目标攻击特征;其中,上述目标攻击特征为从FPGA处理的报文特征命中上述报文匹配规则的报文的报文内容中学习出的攻击特征;
将上述目标攻击特征添加至上述攻击特征库。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。上述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上上述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上上述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (13)
1.一种攻击特征的提取方法,应用于IDS设备,其特征在于,所述IDS设备包括FPGA;其中,所述FPGA用于处理所述IDS设备接收到的报文;所述IDS设备包括攻击特征库;所述攻击特征库包括若干预设攻击特征;
所述方法包括:
基于命中所述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将所述报文匹配规则发送至所述FPGA,以由所述FPGA将所述IDS设备接收到的报文的报文特征与所述报文匹配规则进行匹配;
获取目标攻击特征;其中,所述目标攻击特征为从FPGA处理的报文特征命中所述报文匹配规则的报文的报文内容中学习出的攻击特征;
将所述目标攻击特征添加至所述攻击特征库。
2.根据权利要求1所述的方法,其特征在于,所述将所述目标攻击特征添加至所述攻击特征库,包括:
将所述目标攻击特征与所述攻击特征库中的攻击特征进行匹配;
如果所述目标攻击特征未匹配中所述攻击特征库中的任一攻击特征,则将所述目标攻击特征添加至所述攻击特征库。
3.根据权利要求1所述的方法,其特征在于,所述IDS包括与所述FPGA通信连接的CPU;
所述基于命中所述攻击特征库中攻击特征的报文的报文特征,生成对应的报文特征报文匹配规则,包括:
所述FPGA将所述IDS设备接收到的报文的报文内容,与所述攻击特征库中的攻击特征进行匹配;
如果所述报文的报文内容命中所述攻击特征库中的攻击特征,获取报文的报文特征;
所述FPGA将所述报文的报文特征上送给CPU,以由所述CPU基于所述报文特征生成对应的报文匹配规则。
4.根据权利要求1所述的方法,其特征在于,所述IDS设备与服务器通信连接;所述服务器用于学习攻击特征;
所述获取目标攻击特征,包括:
所述FPGA将所述IDS设备接收到的报文的报文特征与所述报文匹配规则进行匹配;
如果所述IDS设备接收到的报文的报文特征匹配中任一所述报文匹配规则,所述FPGA将所述报文发送至所述服务器,以使所述服务器基于特征挖掘算法分析所述报文,从所述报文的报文内容中学习出攻击特征,并将所述攻击特征返回至所述IDS设备;
所述IDS设备接收所述服务器发送的攻击特征。
5.根据权利要求4所述的方法,其特征在于,所述FPGA搭载了TCAM;
所述方法还包括:
所述FPGA将所述报文匹配规则加载至所述TCAM,以使FPGA将所述IDS设备接收到的报文的报文特征与所述TCAM中的匹配规则进行匹配。
6.根据权利要求4所述的方法,其特征在于,所述特征挖掘算法为Apriori算法。
7.一种攻击特征的提取装置,应用于IDS设备,其特征在于,所述IDS设备包括FPGA;其中,所述FPGA用于处理所述IDS设备接收到的报文;所述IDS设备包括攻击特征库;所述攻击特征库包括若干预设攻击特征;
所述装置包括:
生成模块,基于命中所述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将所述报文匹配规则发送至所述FPGA,以由所述FPGA将所述IDS设备接收到的报文的报文特征与所述报文匹配规则进行匹配;
获取模块,获取目标攻击特征;其中,所述目标攻击特征为从FPGA处理的报文特征命中所述报文匹配规则的报文的报文内容中学习出的攻击特征;
添加模块,将所述目标攻击特征添加至所述攻击特征库。
8.根据权利要求7所述的装置,其特征在于,所述添加模块还包括:
将所述目标攻击特征与所述攻击特征库中的攻击特征进行匹配;
如果所述目标攻击特征未匹配中所述攻击特征库中的任一攻击特征,则将所述目标攻击特征添加至所述攻击特征库。
9.根据权利要求7所述的装置,其特征在于,所述IDS包括与所述FPGA通信连接的CPU;
所述生成模块还包括:
所述FPGA将所述IDS设备接收到的报文的报文内容,与所述攻击特征库中的攻击特征进行匹配;
如果所述报文的报文内容命中所述攻击特征库中的攻击特征,获取报文的报文特征;
所述FPGA将所述报文的报文特征上送给CPU,以由所述CPU基于所述报文特征生成对应的报文匹配规则。
10.根据权利要求7所述的装置,其特征在于,所述IDS设备与服务器通信连接;所述服务器用于学习攻击特征;
所述获取模块,还包括:
所述FPGA将所述IDS设备接收到的报文的报文特征与所述报文匹配规则进行匹配;
如果所述IDS设备接收到的报文的报文特征匹配中任一所述报文匹配规则,所述FPGA将所述报文发送至所述服务器,以使所述服务器基于特征挖掘算法分析所述报文,从所述报文的报文内容中学习出攻击特征,并将所述攻击特征返回至所述IDS设备;
所述IDS设备接收所述服务器发送的攻击特征。
11.根据权利要求10所述的装置,其特征在于,所述FPGA搭载了TCAM;
所述装置还包括:
加载模块,所述FPGA将所述报文匹配规则加载至所述TCAM,以使FPGA将所述IDS设备接收到的报文的报文特征与所述TCAM中的匹配规则进行匹配。
12.根据权利要求10所述的装置,其特征在于,所述特征挖掘算法为Apriori算法。
13.一种攻击特征的提取设备,其特征在于,所述提取设备包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如下方法:
基于命中所述攻击特征库中的攻击特征的报文的报文特征,生成对应的报文匹配规则,并将所述报文匹配规则发送至所述FPGA,以由所述FPGA将所述IDS设备接收到的报文的报文特征与所述报文匹配规则进行匹配;
获取目标攻击特征;其中,所述目标攻击特征为从FPGA处理的报文特征命中所述报文匹配规则的报文的报文内容中学习出的攻击特征;
将所述目标攻击特征添加至所述攻击特征库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911195295.1A CN110995693A (zh) | 2019-11-28 | 2019-11-28 | 一种攻击特征的提取方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911195295.1A CN110995693A (zh) | 2019-11-28 | 2019-11-28 | 一种攻击特征的提取方法、装置及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110995693A true CN110995693A (zh) | 2020-04-10 |
Family
ID=70087912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911195295.1A Pending CN110995693A (zh) | 2019-11-28 | 2019-11-28 | 一种攻击特征的提取方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995693A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111526134A (zh) * | 2020-04-13 | 2020-08-11 | 杭州迪普信息技术有限公司 | 一种报文检测系统、方法及装置 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
| CN113472791A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
| CN114024735A (zh) * | 2021-11-02 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 一种多任务并行的特征库测试方法及装置 |
| CN115174201A (zh) * | 2022-06-30 | 2022-10-11 | 北京安博通科技股份有限公司 | 一种基于筛选标签的安全规则管理方法及装置 |
| CN115208647A (zh) * | 2022-07-05 | 2022-10-18 | 南京领行科技股份有限公司 | 一种攻击行为处置方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939328A (zh) * | 2016-01-27 | 2016-09-14 | 杭州迪普科技有限公司 | 网络攻击特征库的更新方法及装置 |
| CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
| CN107992746A (zh) * | 2017-12-14 | 2018-05-04 | 华中师范大学 | 恶意行为挖掘方法及装置 |
| CN108566382A (zh) * | 2018-03-21 | 2018-09-21 | 北京理工大学 | 基于规则生命周期检测的防火墙自适应能力提升方法 |
| CN110336784A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 基于大数据的网络攻击识别预测系统、方法以及存储介质 |
-
2019
- 2019-11-28 CN CN201911195295.1A patent/CN110995693A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939328A (zh) * | 2016-01-27 | 2016-09-14 | 杭州迪普科技有限公司 | 网络攻击特征库的更新方法及装置 |
| CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
| CN107992746A (zh) * | 2017-12-14 | 2018-05-04 | 华中师范大学 | 恶意行为挖掘方法及装置 |
| CN108566382A (zh) * | 2018-03-21 | 2018-09-21 | 北京理工大学 | 基于规则生命周期检测的防火墙自适应能力提升方法 |
| CN110336784A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 基于大数据的网络攻击识别预测系统、方法以及存储介质 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111526134A (zh) * | 2020-04-13 | 2020-08-11 | 杭州迪普信息技术有限公司 | 一种报文检测系统、方法及装置 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
| CN113472791A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
| CN113472791B (zh) * | 2021-06-30 | 2023-07-14 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
| CN114024735A (zh) * | 2021-11-02 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 一种多任务并行的特征库测试方法及装置 |
| CN114024735B (zh) * | 2021-11-02 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 一种多任务并行的特征库测试方法及装置 |
| CN115174201A (zh) * | 2022-06-30 | 2022-10-11 | 北京安博通科技股份有限公司 | 一种基于筛选标签的安全规则管理方法及装置 |
| CN115174201B (zh) * | 2022-06-30 | 2023-08-01 | 北京安博通科技股份有限公司 | 一种基于筛选标签的安全规则管理方法及装置 |
| CN115208647A (zh) * | 2022-07-05 | 2022-10-18 | 南京领行科技股份有限公司 | 一种攻击行为处置方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110995693A (zh) | 一种攻击特征的提取方法、装置及设备 | |
| CN110121876B (zh) | 用于通过使用行为分析检测恶意设备的系统和方法 | |
| CN109660539B (zh) | 失陷设备识别方法、装置、电子设备及存储介质 | |
| CN110719291A (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| Xu et al. | Data-driven edge intelligence for robust network anomaly detection | |
| US7873998B1 (en) | Rapidly propagating threat detection | |
| US20130247192A1 (en) | System and method for botnet detection by comprehensive email behavioral analysis | |
| CN113329029B (zh) | 一种针对apt攻击的态势感知节点防御方法及系统 | |
| US11182476B2 (en) | Enhanced intelligence for a security information sharing platform | |
| CN107634964B (zh) | 一种针对waf的测试方法及装置 | |
| Ghafir et al. | Advanced persistent threat and spear phishing emails | |
| US10489720B2 (en) | System and method for vendor agnostic automatic supplementary intelligence propagation | |
| US10015192B1 (en) | Sample selection for data analysis for use in malware detection | |
| CN112565297A (zh) | 一种报文控制方法及装置 | |
| Bouyeddou et al. | Detection of smurf flooding attacks using Kullback-Leibler-based scheme | |
| CN113141335B (zh) | 网络攻击检测方法及装置 | |
| CN113890758A (zh) | 一种威胁情报方法、装置、设备及计算机存储介质 | |
| CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| CN110881016B (zh) | 一种网络安全威胁评估方法及装置 | |
| Ismail et al. | Stateless malware packet detection by incorporating naive bayes with known malware signatures | |
| Camelo et al. | CONDENSER: A graph-based approachfor detecting botnets | |
| US11973773B2 (en) | Detecting and mitigating zero-day attacks | |
| US10187404B2 (en) | System and method for detecting attacks on mobile ad hoc networks based on network flux | |
| CN108881255B (zh) | 一种基于c&c通信状态转换检测僵尸网络的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200410 |
|
| RJ01 | Rejection of invention patent application after publication |