CN111756686A - 防火墙设备正则匹配方法、装置及计算机可读存储介质 - Google Patents
防火墙设备正则匹配方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111756686A CN111756686A CN202010417260.4A CN202010417260A CN111756686A CN 111756686 A CN111756686 A CN 111756686A CN 202010417260 A CN202010417260 A CN 202010417260A CN 111756686 A CN111756686 A CN 111756686A
- Authority
- CN
- China
- Prior art keywords
- protocol
- matching
- firewall
- regular
- regular expression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种防火墙设备正则匹配方法、装置及计算机可读存储介质,属于防火墙设备审计及安全防护技术领域,解决了现有技术中的协议段使用正则时的协议配置较多、正则匹配的延展性差问题。一种防火墙设备正则匹配方法,包括以下步骤:确定包含协议位置修饰符的正则表达式,将所述正则表达式配置至防火墙引擎;确定正则表达式的协议段,对正则表达式的协议段匹配标志位进行置位;防火墙收到网络报文后,提取网络报文中对应的协议段,将网络报文对应的协议段与所述正则表达式的协议段进行匹配,获取匹配结果,根据匹配结果确定是否进行相应的动作处理和日志发送。本发明所述方法,减少协议段使用正则时的协议配置,提高了正则匹配的延展性。
Description
技术领域
本发明涉及防火墙设备审计及安全防护技术领域,尤其是涉及一种防火墙设备正则匹配方法、装置及计算机可读存储介质。
背景技术
目前各厂商防火墙设备中常见的审计功能及安全防护功能软件实现,最底层的匹配基本都会用到正则匹配,这是因为正则匹配相对于字符串匹配来说,正则可以更快速的完成工作,还有在捕获字符串方面,比如截取url的域名或者其他的内容等等,正则也可以很好的完成工作。
但是目前各厂商使用正则基本都是固定字段使用,即只有在策略或者规则下配置某个协议字段使用正则匹配,加载完规则后,在引擎匹配过程中才能进行正则匹配,这种使用方式有缺点,想要哪个协议段使用正则需要增加对应协议的配置,如果字段特别多的话,配置也会特别多。
由于现有方案多是按协议字段增加策略或者规则配置,来确定是否进行正则匹配及如何进行匹配,这些方案会使得配置会特别多,设备重启配置恢复时间会长,灵活性差,假如想使用正则匹配HTTP协议POST方法请求报文体和对应响应报文体中是否都有”abc”字段,需要增加两条配置,如果需要查看某一个字符串在更多的字段中是否存在的话,需要增加更多的配置,用户使用不太方便,正则匹配的扩展性差,照目前的实现方案,假如开发初期只考虑到HTTP协议的规则匹配,前端和防火墙后台也都只进行了HTTP协议相关的匹配流程开发,后续需要开发DNS协议的,需要重新投入人力开发和测试前端和后台。
发明内容
本发明的目的在于至少克服上述一种技术不足,提出一种防火墙设备正则匹配方法、装置及计算机可读存储介质。
一方面,本发明提供了一种防火墙设备正则匹配方法,包括以下步骤:
根据防火墙实际需求确定包含协议位置修饰符的正则表达式,将所述正则表达式配置至防火墙引擎;
解析配置在防火墙引擎中正则表达式的协议位置修饰符确定正则表达式的协议段,对所述正则表达式的协议段匹配标志位进行置位;
防火墙收到网络报文后,提取网络报文中对应的协议段,将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,获取匹配结果,根据匹配结果确定是否进行相应的动作处理和日志发送。
进一步地,所述根据防火墙实际需求确定包含协议位置修饰符的正则表达式,具体包括,根据防火墙实际需求确定模式串表达式、模式匹配修饰符及协议段,以所述模式串表达式、模式匹配修饰符及协议位置修饰符形成正则表达式。
进一步地,所述防火墙设备正则匹配方法还包括,在解析正则表达式中协议位置修饰符前,根据正则表达式中模式匹配修饰符编译模式串表达式。
进一步地,所述提取网络报文中对应的协议段,具体包括,对所述网络报文进行协议解码,提取网络报文中对应的协议段。
进一步地,所述将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,具体包括,对网络报文进行引擎匹配,判断引擎规则中是否存在对应协议的PCRE配置,若存在,则将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配。
进一步地,所述根据匹配结果确定是否进行相应的动作处理和日志发送,具体包括,
若匹配结果为匹配中,且防火墙规则配置动作为未阻断,防火墙规则配置日志动作为记录,则丢弃网络报文,发送日志;
若匹配结果为匹配中,且防火墙规则配置动作为允许,防火墙规则配置日志动作为记录,则放行报文,发送日志;
若匹配结果为匹配不中,不进行相应的动作处理和日志发送。
另一方面,本发明还提供了一种防火墙设备正则匹配装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如上述任一技术方案所述的防火墙设备正则匹配方法。
另一发明,本发明还提供了一种计算机可读存储介质,所述计算机该程序被处理器执行时,实现如上述任一技术方案所述的防火墙设备正则匹配方法。
与现有技术相比,本发明的有益效果包括:根据防火墙实际需求确定包含协议位置修饰符的正则表达式,将所述正则表达式配置至防火墙引擎;解析配置在防火墙引擎中正则表达式的协议位置修饰符确定正则表达式的协议段,对所述正则表达式的协议段匹配标志位进行置位;防火墙收到网络报文后,提取网络报文中对应的协议段,将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,获取匹配结果,根据匹配结果确定是否进行相应的动作处理和日志发送;减少协议段使用正则时的协议配置,提高了正则匹配的延展性。
附图说明
图1是本发明实施例1所述的防火墙设备正则匹配方法的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例1
本发明实施例提供了一种防火墙设备正则匹配方法,其流程示意图,如图1所示,所述防火墙设备正则匹配方法,包括以下步骤:
根据防火墙实际需求确定包含协议位置修饰符的正则表达式,将所述正则表达式配置至防火墙引擎;
解析配置在防火墙引擎中正则表达式的协议位置修饰符确定正则表达式的协议段,对所述正则表达式的协议段匹配标志位进行置位;
防火墙收到网络报文后,提取网络报文中对应的协议段,将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,获取匹配结果,根据匹配结果确定是否进行相应的动作处理和日志发送。
需要说明是,本发明实施例所述正则表达式的格式为,/模式串表达式/模式匹配修饰符#协议位置修饰符#协议位置修饰符;
本发明实施例设有协议位置修饰符,所述协议位置修饰符和模式匹配修饰符使用”#”隔开,不同协议的协议位置修饰符使用#隔开;协议位置修饰符可以指明,是将对应的模式串表达式及模式匹配修饰符去匹配哪个协议的哪个字段,可以有多个协议位置修饰符;
在防火墙诸多功能中,如IPS、WEB防护或者审计等需要检查报文中是否有特定关键字功能的配置中,使用协议位置修饰符,就可以在单条正则配置中指明要匹配哪个协议的哪个字段或者匹配多个协议的多个字段;
一个具体实施例中,以HTTP和TCP协议举例,协议位置修饰符名称与作用对应关系,如表1所示;
表1
HU | 匹配解码过的HTTP Url |
HI | 匹配未解码的HTTP Url |
HP | 匹配未解码的HTTP请求体 |
HPC | 匹配解码过的HTTP请求体 |
HR | 匹配未解码的HTTP响应体 |
HRC | 匹配解码过的HTTP响应体 |
HH | 匹配解码的HTTP请求头或响应头 |
HD | 匹配未解码的HTTP请求头或响应头 |
HM | 匹配HTTP方法 |
HC | 匹配解码的HTTP Cookie |
HK | 匹配未解码的HTTP Cookie |
HS | 匹配HTTP响应状态码 |
HY | 匹配HTTP响应状态信息 |
TP | 匹配未解码的TCP负载 |
TPC | 匹配解码的TCP负载 |
TH | 匹配解码的TCP数据包头 |
TD | 匹配未解码的TCP数据包头 |
一个具体实施例中,正则表达式可为/Android.;.(Build|MIUI)/i#HPC#TPC,该正则表达式的含义是以不区分大小写的方式匹配解码过的HTTP请求体或者解码过的TCP负载部分,查看是否有/Android.;.(Build|MIUI)/正则串对应的字符串;
优选的,所述根据防火墙实际需求确定包含协议位置修饰符的正则表达式,具体包括,根据防火墙实际需求确定模式串表达式、模式匹配修饰符及协议段,以所述模式串表达式、模式匹配修饰符及协议位置修饰符形成正则表达式;
具体实施时,根据防火墙实际使用需求,明确需要使用正则匹配的协议段,针对协议段设置正则表达式,例如,需求为以不区分大小写的方式匹配解码过的HTTP请求体是否有“abc”,则编写的正则为/abc/i#HPC,协议位置修饰符为HPC,代表匹配HTTP请求体;之后,为防火墙引擎配置正则表达式;
优选的,所述防火墙设备正则匹配方法还包括,在解析正则表达式中协议位置修饰符前,根据正则表达式中模式匹配修饰符编译模式串表达式;
一个具体实施例中,根据正则表达式中模式匹配修饰符编译模式串表达式,部分代码如下,
switch(*opts){
case'i':
compile_flags|=PCRE_CASELESS;
break;
case's':
compile_flags|=PCRE_DOTALL;
break;
case'm':
compile_flags|=PCRE_MULTILINE;break;
case'x':
compile_flags|=PCRE_EXTENDED;
break;
default:
ParseError("unknown/extra pcre option encountered\n");
goto syntax;
}
pcre_data->re=pcre_compile(re,compile_flags,&error,&erroffset,NULL);
if(pcre_data->re==NULL){
ParseError("pcre compile of\"%s\"failed at offset%d:%s\n",re,erroffset,error);
goto syntax;
}
具体实施时,若配置到防火墙引擎的正则表达式是/abc/i#HPC,则模式匹配修饰符为i,从代码可以看到,i的含义是正则匹配的时候需要忽略大小写,执行行“compile_flags|=PCRE_CASELESS;”,给正则编译标志compile_flags置位;调用标准的pcre编译函数“pcre_compile”进行正则编译;
一个具体实施例中,配置正则表达式到防火墙设备,解析配置的正则表达式,将模式串表达式及模式匹配修饰符进行编译存储,留待解码阶段匹配使用,然后解析模式匹配修饰符段,查看正则用于匹配哪些协议字段,并进行存储;
若配置到防火墙引擎的正则表达式是/abc/i#HPC,则需要提取位置修饰符中的协议段,该正则表达式的协议段为HPC;
对于已经获取的协议段,将协议段送入switch匹配,置位对应的protocol_options位,置位以后,后续正则匹配开始会先判断是那个协议段需要做正则匹配,然后使用对应端的数据去和正则进行匹配,本实施例中置位的是HPC,即协议段为HTTP请求体;
一个具体实施例中,进行正则解析的部分代码如下,
switch(*protocol){
case'HU':
pcre->protocol_options|=PROTOCOL_HTTP_URL;
http++;
break;
case'HI':
pcre->protocol_options|=PROTOCOL_HTTP_RAW_URL;
http++;
break;
case'HP':
pcre->protocol_options|=PROTOCOL_HTTP_RAW_BODY;
http++;
break;
case'HPC':
pcre->protocol_options|=PROTOCOL_HTTP_BODY;
http++;
break;
case'HR':
pcre->protocol_options|=PROTOCOL_HTTP_RSP_RAW_BODY;
http++;
break;
case'HRC':
pcre->protocol_options|=PROTOCOL_HTTP_RSP_BODY;
http++;
break;
case'HH':
pcre->protocol_options|=PROTOCOL_HTTP_RAW_HEADER;
http++;
break;
case'HD':
pcre->protocol_options|=PROTOCOL_HTTP_HEADER;
http++;
break;
}
优选的,所述提取网络报文中对应的协议段,具体包括,对所述网络报文进行协议解码,提取网络报文中对应的协议段;
需要说明的是,防火墙设备将收到网络报文,所述网络报文有很多种,例如TCP报文、UDP报文;TCP报文根据高层协议又可以分为HTTP报文、FTP报文、TELNET报文等等,各协议根据报文发起的方向,又可以分为请求报文和响应报文;
一个具体实施例中,防火墙收到的报文是HTTP请求报文,且该报文有请求体;防火墙收到设备后,对报文进行协议解码,获取报文中的HTTP协议段,有HTTP请求头、HTTP URL、HTTP方法、HTTP请求体等,即提取网络报文对应的协议段;
优选的,所述将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,具体包括,对网络报文进行引擎匹配,判断引擎规则中是否存在对应协议的PCRE配置,若存在,则将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配;
具体实施时,网络报文进入引擎后,进行协议解码,各协议字段解出来的内容会分别进行存储,进行审计终端识别功能时,查找正则配置及编译阶段保存的模式修饰符配置记录,查看需要进行哪些协议段(协议字段)匹配,例如匹配TCP负载,如果协议字段需要进行匹配,则将协议解码存储的协议段内容同配置阶段已编译好的正则表达式中的协议段进行正则匹配,如果匹配中,则保存结果,未匹配中,则需要查找是否还需要匹配其它字段执行同样的匹配流程;将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,其部分实现代码如下,
#define PROTOCOL_HTTP_URL 0x00001
#define PROTOCOL_HTTP_HEADER 0x00002
#define PROTOCOL_HTTP_BODY 0x00003
#define PROTOCOL_HTTP_METHOD 0x00004
#define PROTOCOL_HTTP_COOKIE 0x00005
#define PROTOCOL_HTTP_STAT_CODE 0x00006
#define PROTOCOL_HTTP_STAT_MSG 0x00007
#define PROTOCOL_HTTP_RAW_URI 0x00008
#define PROTOCOL_HTTP_RAW_HEADER 0x00009
#define PROTOCOL_HTTP_RAW_COOKIE 0x0000A
#define PROTOCOL_HTTP_RAW_BODY 0x0000B
#define PROTOCOL_HTTP_RSP_RAW_BODY 0x0000C
#define PROTOCOL_HTTP_RSP_BODY 0x0000D
#define PROTOCOL_HTTP_BUFS 0x0000F
if((hb_type=pcre->protocol_options&PROTOCOL_HTTP_BUFS)){
GetHttpBuffer(hb_type,&hb);
if(hb.length){
matched=pcre_search(
pcre,(const char*)hb.buf,hb.length,0,&found_offset);
if(matched){
return OPTION_MATCH;
}
}
return OPTION_NO_MATCH;
}
报文经过引擎匹配时,判断引擎规则中是否有对应协议的PCRE配置,本实施例中配置的是HTTP请求体,可以进入流程匹配,使用GetHttpBuffer(hb_type,&hb)获取解析出来的HTTP数据,因为在之前的步骤中对其进行了配置,所以HTTP数据存在,可以进行PCRE的正则匹配,如果报文中有abc或者ABC字符串,正则匹配成功,则返回命中(匹配中);
优选的,所述根据匹配结果确定是否进行相应的动作处理和日志发送,具体包括,
若匹配结果为匹配中,且防火墙规则配置动作为未阻断,防火墙规则配置日志动作为记录,则丢弃网络报文,发送日志;
若匹配结果为匹配中,且防火墙规则配置动作为允许,防火墙规则配置日志动作为记录,则放行报文,发送日志;
若匹配结果为匹配不中,不进行相应的动作处理和日志发送。
需要说明的是,匹配结果有匹配中和匹配不中两种情况,若返回匹配中,则证明PCRE在HTTP请求体协议段匹配成功;如果防火墙配置规则动作未阻断,则会丢弃报文,如果配置动作是允许,做继续放行报文进行防火墙功能的其它任务;如果防火墙规则配置日志动作是记录,则发送日志,否则不发送日志;若匹配结果为匹配不中,不进行相应的动作处理和日志发送。
实施例2
本发明还提供了一种防火墙设备正则匹配装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如上述任一实施例所述的防火墙设备正则匹配方法。
实施例3
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现如任一实施例所述的防火墙设备正则匹配方法。
需要说明的是,实施例1-3未重复描述之处可互相借鉴。
本发明公开了防火墙设备正则匹配方法、装置及计算机可读存储介质,根据防火墙实际需求确定包含协议位置修饰符的正则表达式,将所述正则表达式配置至防火墙引擎;解析配置在防火墙引擎中正则表达式的协议位置修饰符确定正则表达式的协议段,对所述正则表达式的协议段匹配标志位进行置位;防火墙收到网络报文后,提取网络报文中对应的协议段,将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,获取匹配结果,根据匹配结果确定是否进行相应的动作处理和日志发送;在单条配置的情况下即可实现多协议段配置,减少协议段使用正则时的协议配置,提高了正则匹配的延展性;
防火墙审计识别内网上网设备类型时,一般会在HTTP头部或者TCP负载部分查找有无标明终端类型的字符串,传统模式中,防火墙安全防护或者审计等需要使用正则匹配的功能时,只有在策略或者规则下配置某个协议字段使用正则匹配,加载完规则后,在引擎匹配过程中才能进行正则匹配,需要针对两个不同的协议写两条同样的正则表达式,用于匹配引擎协议解码后不同的协议字段,通过本发明技术方案只需要写一条表达式即可实现;
本发明技术方案通过修改正则表达式格式,增加协议位置修饰符字段,功能模块可以根据配置的协议位置修饰符来决定将正则表达式与协议解码后的哪些协议字段进行匹配;通过更改正则表达式格式,增加协议位置修饰符,使单条正则配置中可以配置多个匹配协议字段,减少配置条数,相应的缩短设备配置恢复时长;提高了用户体验度,针对同样的正则配置,不需要人工的增加多条配置;减少了系统维护成本,后续需要支持其它协议字段匹配,只要增加增长协议位置修饰符即可,而不需要重新投入人力开发和测试前端和后台。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述本发明的具体实施方式,并不构成对本发明保护范围的限定。任何根据本发明的技术构思所做出的各种其他相应的改变与变形,均应包含在本发明权利要求的保护范围内。
Claims (8)
1.一种防火墙设备正则匹配方法,其特征在于,包括以下步骤:
根据防火墙实际需求确定包含协议位置修饰符的正则表达式,将所述正则表达式配置至防火墙引擎;
解析配置在防火墙引擎中正则表达式的协议位置修饰符,确定正则表达式的协议段,对所述正则表达式的协议段匹配标志位进行置位;
防火墙收到网络报文后,提取网络报文中对应的协议段,将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,获取匹配结果,根据匹配结果确定是否进行相应的动作处理和日志发送。
2.根据权利要求1所述的防火墙设备正则匹配方法,其特征在于,所述根据防火墙实际需求确定包含协议位置修饰符的正则表达式,具体包括,根据防火墙实际需求确定模式串表达式、模式匹配修饰符及协议段,以所述模式串表达式、模式匹配修饰符及协议位置修饰符形成正则表达式。
3.根据权利要求2所述的防火墙设备正则匹配方法,其特征在于,还包括,在解析正则表达式中协议位置修饰符前,根据正则表达式中模式匹配修饰符编译模式串表达式。
4.根据权利要求1所述的防火墙设备正则匹配方法,其特征在于,所述提取网络报文中对应的协议段,具体包括,对所述网络报文进行协议解码,提取网络报文中对应的协议段。
5.根据权利要求1所述的防火墙设备正则匹配方法,其特征在于,所述将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配,具体包括,对网络报文进行引擎匹配,判断引擎规则中是否存在对应协议的PCRE配置,若存在,则将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配。
6.根据权利要求1所述的防火墙设备正则匹配方法,其特征在于,所述根据匹配结果确定是否进行相应的动作处理和日志发送,具体包括,
若匹配结果为匹配中,且防火墙规则配置动作为未阻断,防火墙规则配置日志动作为记录,则丢弃网络报文,发送日志;
若匹配结果为匹配中,且防火墙规则配置动作为允许,防火墙规则配置日志动作为记录,则放行报文,发送日志;
若匹配结果为匹配不中,不进行相应的动作处理和日志发送。
7.一种防火墙设备正则匹配装置,其特征在于,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如权利要求1-6任一所述的防火墙设备正则匹配方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机该程序被处理器执行时,实现如权利要求1-6任一所述的防火墙设备正则匹配方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010417260.4A CN111756686B (zh) | 2020-05-18 | 2020-05-18 | 防火墙设备正则匹配方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010417260.4A CN111756686B (zh) | 2020-05-18 | 2020-05-18 | 防火墙设备正则匹配方法、装置及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111756686A true CN111756686A (zh) | 2020-10-09 |
CN111756686B CN111756686B (zh) | 2022-04-26 |
Family
ID=72674158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010417260.4A Active CN111756686B (zh) | 2020-05-18 | 2020-05-18 | 防火墙设备正则匹配方法、装置及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111756686B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338087A (zh) * | 2021-12-03 | 2022-04-12 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
CN115603997A (zh) * | 2022-10-11 | 2023-01-13 | 北京珞安科技有限责任公司(Cn) | 一种工业防火墙策略规划方法、系统及电子设备 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605018A (zh) * | 2009-06-17 | 2009-12-16 | 中兴通讯股份有限公司 | 一种基于流的深度报文检测协议解码方法、设备及系统 |
CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
CN102143148A (zh) * | 2010-11-29 | 2011-08-03 | 华为技术有限公司 | 用于通用协议解析的参数获取和通用协议解析方法及装置 |
CN102546548A (zh) * | 2010-12-22 | 2012-07-04 | 中兴通讯股份有限公司 | 一种分层协议的识别方法和装置 |
US8547974B1 (en) * | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
CN103491069A (zh) * | 2013-09-05 | 2014-01-01 | 北京科能腾达信息技术股份有限公司 | 网络数据包的过滤方法 |
CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
CN109698831A (zh) * | 2018-12-28 | 2019-04-30 | 中电智能科技有限公司 | 数据防护方法和装置 |
US20190394291A1 (en) * | 2018-06-22 | 2019-12-26 | Avi Networks | Payload matching via single pass transformation of http payload |
CN110808879A (zh) * | 2019-11-01 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 一种协议识别方法、装置、设备及可读存储介质 |
-
2020
- 2020-05-18 CN CN202010417260.4A patent/CN111756686B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605018A (zh) * | 2009-06-17 | 2009-12-16 | 中兴通讯股份有限公司 | 一种基于流的深度报文检测协议解码方法、设备及系统 |
CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
US8547974B1 (en) * | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
CN102143148A (zh) * | 2010-11-29 | 2011-08-03 | 华为技术有限公司 | 用于通用协议解析的参数获取和通用协议解析方法及装置 |
CN102546548A (zh) * | 2010-12-22 | 2012-07-04 | 中兴通讯股份有限公司 | 一种分层协议的识别方法和装置 |
CN103491069A (zh) * | 2013-09-05 | 2014-01-01 | 北京科能腾达信息技术股份有限公司 | 网络数据包的过滤方法 |
CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
US20190394291A1 (en) * | 2018-06-22 | 2019-12-26 | Avi Networks | Payload matching via single pass transformation of http payload |
CN109698831A (zh) * | 2018-12-28 | 2019-04-30 | 中电智能科技有限公司 | 数据防护方法和装置 |
CN110808879A (zh) * | 2019-11-01 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 一种协议识别方法、装置、设备及可读存储介质 |
Non-Patent Citations (1)
Title |
---|
黄松等: "模型驱动的嵌入式系统测试脚本生成方法研究与实现", 《测控技术》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338087A (zh) * | 2021-12-03 | 2022-04-12 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
CN114338087B (zh) * | 2021-12-03 | 2024-03-15 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
CN115603997A (zh) * | 2022-10-11 | 2023-01-13 | 北京珞安科技有限责任公司(Cn) | 一种工业防火墙策略规划方法、系统及电子设备 |
CN115603997B (zh) * | 2022-10-11 | 2023-05-23 | 北京珞安科技有限责任公司 | 一种工业防火墙策略规划方法、系统及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN111756686B (zh) | 2022-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110505235B (zh) | 一种绕过云waf的恶意请求的检测系统及方法 | |
US7496962B2 (en) | Intrusion detection strategies for hypertext transport protocol | |
US7904942B2 (en) | Method of updating intrusion detection rules through link data packet | |
US9185125B2 (en) | Systems and methods for detecting and mitigating threats to a structured data storage system | |
CN111756686B (zh) | 防火墙设备正则匹配方法、装置及计算机可读存储介质 | |
US20070136809A1 (en) | Apparatus and method for blocking attack against Web application | |
WO2015165296A1 (zh) | 协议类型的识别方法和装置 | |
CN108206802A (zh) | 检测网页后门的方法和装置 | |
US20150025875A1 (en) | Semantics-oriented analysis of log message content | |
WO2011134739A1 (en) | Method for searching for message sequences, protocol analysis engine and protocol analyzer | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
CN110581780B (zh) | 针对web服务器资产的自动识别方法 | |
CN115499211A (zh) | 一种基于流量特征的规则生成方法及生成装置 | |
Liu | Firewall design and analysis | |
CN108259416B (zh) | 检测恶意网页的方法及相关设备 | |
CN115913655B (zh) | 一种基于流量分析和语义分析的Shell命令注入检测方法 | |
CN111274461A (zh) | 数据审计方法、数据审计装置及存储介质 | |
KR20030039732A (ko) | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 | |
CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
CN111988343B (zh) | 一种远程设定规则并监测工业网络入侵的系统及方法 | |
CN112838960B (zh) | 通信数据清洗方法、装置、网络设备及存储介质 | |
Antunes et al. | Automatically complementing protocol specifications from network traces | |
KR20160089995A (ko) | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 | |
JP2007141084A (ja) | パターン照合装置、パターン照合方法、パターン照合プログラム及び記録媒体 | |
KR101802443B1 (ko) | 컴퓨터 수행 가능한 침입탐지방법, 시스템 및 컴퓨터 판독 가능한 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |