CN112351002B - 一种报文检测方法、装置及设备 - Google Patents
一种报文检测方法、装置及设备 Download PDFInfo
- Publication number
- CN112351002B CN112351002B CN202011134265.2A CN202011134265A CN112351002B CN 112351002 B CN112351002 B CN 112351002B CN 202011134265 A CN202011134265 A CN 202011134265A CN 112351002 B CN112351002 B CN 112351002B
- Authority
- CN
- China
- Prior art keywords
- message
- detection
- detection result
- data
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种报文检测方法、装置和设备。在本申请中,通过在网络设备上的CPU对携带了五层协议头和载荷FILE‑DATA的第一报文进行检测时,剥离所述第一报文的五层协议头得到第二报文,然后按照已配置的第一检测方式对第二报文执行检测得到第一检测结果,并获取模式匹配协处理器HFA对第一报文进行检测得到的第二检测结果,最后根据第一检测结果和第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,实现了检测第一报文中是否存在对网络安全具有威胁的恶意行为,以防止具有恶意行为的第一报文威胁网络安全。
Description
技术领域
本申请涉及计算机领域,特别涉及一种报文检测方法、装置及设备。
背景技术
在日益复杂的网络安全威胁中,很多对网络安全具有威胁的恶意行为(比如,蠕虫病毒、垃圾邮件、漏洞等)都是隐藏在报文的应用层中,如果只对报文的网络层和传输层进行安全检测则无法发现这些恶意行为。
所以,为了保证网络安全,需要对报文应用层进行DPI(Deep Packet Inspection)深度报文检测,检测报文中是否存在对网络安全具有威胁的恶意行为。
发明内容
本申请公开了一种报文检测方法、装置及设备,以检测报文中是否存在对网络安全具有威胁的恶意行为。
根据本申请实施例的第一方面,提供一种报文检测方法,该方法应用于网络设备上的CPU,包括:
对第一报文进行第一检测操作,所述第一报文为携带了第五层数据RAW-PACKET的报文,所述RAW-PACKET包括五层协议头和载荷FILE-DATA;所述第一检测操作包括:剥离所述第一报文的五层协议头得到第二报文,按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果;
获得所述网络设备上模式匹配协处理器HFA按照已配置的第二检测方式对所述第一报文执行检测得到的第二检测结果;
依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,所述目标规则用于指示所述第一报文的处理方式。
可选的,所述按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果,包括:
从已构建的字典树中查找与所述第二报文中的所述数据相匹配的至少一个目标模式串;其中,所述字典树中的节点指示一个对应的模式串,所述字典树中从树根节点到任一终结节点之间经由的各节点所对应的模式串用于组成所述特征库中的一条规则;
依据与所述数据相匹配的至少一个目标模式串确定所述第一检测结果。
可选的,所述从已构建的字典树中查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,包括:
当所述第一报文为所属业务流的首个报文时,从所述树根节点开始顺序查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,若所述目标模式串中不存在与所述字典树中一个终结节点对应的模式串,则记录所述业务流对应的匹配节点;所述匹配节点为所述字典树中与所述第二报文中的所述数据相匹配的最后一个节点;
当所述第一报文为所属业务流的非首个报文时,从已记录的所述业务流对应的匹配节点开始顺序查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,若所述目标模式串中不存在与所述字典树中一个终结节点对应的模式串,则更新已记录的所述业务流对应的匹配节点为所述字典树中与所述第二报文中的所述数据相匹配的最后一个节点,直至所述目标模式串中存在与所述字典树中一个终结节点对应的模式串。
可选的,所述第二检测结果包括:已构建的配置文件中与所述第一报文匹配的配置文件数据;所述配置文件是依据所述特征库中的规则生成的,所述配置文件数据表示至少一条规则;
所述依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则包括:
将从所述树根节点至所述终结节点之间各节点对应的目标模式串按顺序组成的至少一条规则、以及所述配置文件数据表示的至少一条规则确定为所述目标规则。
可选的,所述对第一报文进行第一检测操作之前还包括:
向模式匹配协处理器HFA发送第一报文,并指示模式匹配协处理器HFA按照第二检测方式对所述第一报文执行检测。
根据本申请实施例的第二方面,提供一种报文检测装置,该装置包括:
检测单元,用于对第一报文进行第一检测操作,所述第一报文为携带了第五层数据RAW-PACKET的报文,所述RAW-PACKET包括五层协议头和载荷FILE-DATA;所述第一检测操作包括:剥离所述第一报文的五层协议头得到第二报文,按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果;
获得单元,用于获得所述网络设备上模式匹配协处理器HFA按照已配置的第二检测方式对所述第一报文执行检测得到的第二检测结果;
确定单元,用于依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,所述目标规则用于指示所述第一报文的处理方式。
可选的,所述检测单元按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果,包括:
从已构建的字典树中查找与所述第二报文中的所述数据相匹配的至少一个目标模式串;其中,所述字典树中的节点指示一个对应的模式串,所述字典树中从树根节点到任一终结节点之间经由的各节点所对应的模式串用于组成所述特征库中的一条规则;
依据与所述数据相匹配的至少一个目标模式串确定所述第一检测结果。
可选的,所述第二检测结果包括:已构建的配置文件中与所述第一报文匹配的配置文件数据;所述配置文件是依据所述特征库中的规则生成的,所述配置文件数据表示至少一条规则;
所述确定单元依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则包括:
将从所述树根节点至所述终结节点之间各节点对应的目标模式串按顺序组成的至少一条规则、以及所述配置文件数据表示的至少一条规则确定为所述目标规则。
可选的,所述装置还包括:
任务发送单元,用于在对第一报文进行第一检测操作之前,向模式匹配协处理器HFA发送第一报文,并指示模式匹配协处理器HFA按照第二检测方式对所述第一报文执行检测。
根据本申请实施例的第三方面,提供一种电子设备,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所述的方法。
本申请的实施例提供的技术方案可以包括以下有益效果:
由以上技术方案可知,本申请提供的方案可以通过在网络设备上的CPU对携带了五层协议头和载荷FILE-DATA的第一报文进行检测时,剥离所述第一报文的五层协议头得到第二报文,然后按照已配置的第一检测方式对第二报文执行检测得到第一检测结果,并获取模式匹配协处理器HFA对第一报文进行检测得到的第二检测结果,最后根据第一检测结果和第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,实现了检测第一报文中是否存在对网络安全具有威胁的恶意行为,以防止具有恶意行为的第一报文威胁网络安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本申请实施例提供的方法流程图;
图2是本申请实施例提供的报文格式示意图;
图3是本申请实施例提供的实现报文检测的装置示意图;
图4是本申请实施例提供的实现报文检测的另一种装置示意图;
图5是本申请实施例提供的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
参见图1,图1为本申请实施例提供的方法流程图。作为一个实施例,图1所示的流程可以应用于网络设备上的防火墙,本实施例并不具体限定。
如图1所示,该流程可以包括以下步骤:
步骤101,对第一报文进行第一检测操作,所述第一检测操作包括:剥离所述第一报文的五层协议头得到第二报文,按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果。
在具体实现时,当网络设备通过外部端口接收到报文(记为第一报文)时,由网络设备上的驱动将接收到的报文发送给网络设备上的CPU,CPU会对接收到的报文进行预处理,剥除报文中不需要进行检测的部分,使处理后的报文(记为第一报文)包括第五层数据RAW-PACKET,所述RAW-PACKET如图2所示,所述RAW-PACKET包括五层协议头和载荷FILE-DATA,并将第一报文发送给模式匹配协处理器HFA(Hyper Finite Auto),以使模式匹配协处理器HFA对第一报文的进行检测。
可选的,CPU接收到驱动发送的报文后并不立即进行预处理,而是先完成当前执行的业务,然后对接收到的报文进行预处理,这里的预处理是指剥离接收到的报文的三层头协议和四层头协议,以得到包括第五层数据RAW-PACKET的第一报文,再对第一报文执行检测(记为第一检测操作)。CPU在执行第一检测操作时,首先剥离第一报文的五层协议头得到第二报文,此时得到的第二报文包括载荷FILE-DATA,然后按照已设置的第一检测方式对第二报文执行检测,以获得第一检测结果。具体如何按照第一检测方式检测第二报文这里暂不赘述,会在下文中介绍第一检测方式时详解。
需要说明的是,在本申请实施例中,因为第二报文中存在经过编码和/或压缩等操作的数据,所以对第二报文执行检测时需要先解析第二报文。对第二报文进行解析包括对第二报文进行解码和/或解压缩等操作,比如对用于指示进行telent登录的报文中携带的编码或压缩后的传输文件进行解码或解压缩,这里的传输文件可以包括HTTP、FTP、邮件协议等,本申请不做限定。
步骤102,获得所述网络设备上模式匹配协处理器HFA按照第二检测方式对所述第一报文执行检测得到的第二检测结果。
可选的,在本申请实施例之前,因为模式匹配协处理器HFA检测第一报文时使用的是Graph(图)引擎,Graph引擎使用的规则的格式和特征库中规则的格式不一致,所以CPU需要将特征库中的规则编译成Graph引擎适用的配置文件,并将配置文件下发给模式匹配协处理器HFA。具体实施时,配置文件可以被模式匹配协处理器HFA命名为Graph,该文件中一行数据表示一条规则。这里模式匹配协处理器HFA所得到的第二检测结果就是已构建的配置文件中与所述第一报文匹配的配置文件数据。
可选的,本申请实施例中,对第一报文进行第一检测操作之前,CPU需要向模式匹配协处理器HFA发送第一报文,并指示模式匹配协处理器HFA按照第二检测方式对所述第一报文执行检测,且指示模式匹配协处理器HFA在检测第一报文时不用对第一报文中的FILE-DATA部分进行解析,使模式匹配协处理器HFA直接对第一报文的RAW-PACKET进行检测。
在本实施中,CPU对接收到的第二报文检测完成得到第一检测结果后,才会去获得所述网络设备上模式匹配协处理器HFA对第一报文执行检测得到的第二检测结果。如果此时模式匹配协处理器HFA还未完成对第一报文的检测,则此时CPU将以轮询的方式等待模式匹配协处理器HFA将第二检测结果发送过来。
具体实现时,CPU将以轮询的方式等待模式匹配协处理器HFA将第二检测结果发送过来是指:模式匹配协处理器HFA在对第一报文执行检测得到的第二检测结果后,将第二检测结果直接发送到指定缓存,而CPU会在通过对第一报文的执行第一检测操作获得第一检测结果后,根据已配置的指定的时间间隔访问上述指定缓存中是否存在第二检测结果,如果存在,则直接从指定缓存中获取第二检测结果,如果不存在,则在下一个时间点继续访问所述指定缓存。
需要说明的是,本申请实施例中,一般CPU获得第一检测结果用到的时间会少于模式匹配协处理器HFA获得第二检测结果用到的时间,因为每个第一报文都携带有五层协议头,但不是每个第一报文都携带载荷FILE-DATA,所以模式匹配协处理器HFA需要对接收到的所有第一报文进行检测,但本申请实施例中CPU只需要对携带载荷FILE-DATA的第一报文进行检测。因此一般在CPU完成对第一报文的检测获得第一检测结果后,需要等待模式匹配协处理器HFA获得第二检测结果。
步骤103,依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,所述目标规则用于指示所述第一报文的处理方式。
在本实施例中,所述已配置的特征库可以用于检测第一报文中是否存在对网络安全具有威胁的恶意行为,比如用于防御入侵恶意行为的IPS(Intrusion PreventionSystem,入侵防御)特征库和用于防御病毒的AV(Anti Virus,防病毒)特征库。所述特征库中包含用于识别第一报文所匹配的规则的模式串,这些模式串是表示规则的公共的、通用的特征项的字符串,一个或多个模式串可以指示一条规则。具体实现时,比如当检测到第一报文在特征库中匹配到了模式串select,则可以确定该第一报文所匹配的目标规则包括SQL注入攻击,此时应根据SQL注入攻击所指示的处理方式丢弃该第一报文。
至此,完成图1所示流程。
通过图1所示的流程可以看出,本实施例可以通过在网络设备上的CPU对携带了五层协议头和载荷FILE-DATA的第一报文进行检测时,剥离所述第一报文的五层协议头得到第二报文,然后按照已配置的第一检测方式对第二报文执行检测得到第一检测结果,并获取模式匹配协处理器HFA对第一报文进行检测得到的第二检测结果,最后根据第一检测结果和第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,实现了检测第一报文中是否存在对网络安全具有威胁的恶意行为,以防止具有恶意行为的第一报文威胁网络安全。
下面将介绍步骤101中如何按照第一检测方式检测第二报文进行描述:
本申请实施例中,使用Aho-Corasick自动机算法(以下简称AC算法)对第二报文进行检测,主要包括以下步骤:
步骤a:在对第二报文进行检测之前,将特征库中的组成规则的模式串构建成字典树。
本实施例中,所述字典树中的节点指示一个对应的模式串,所述字典树中从树根节点到任一终结节点之间经由的各节点所对应的模式串用于组成所述特征库中的一条规则。
步骤b:从已构建的字典树中查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,依据与所述数据相匹配的至少一个目标模式串确定所述第一检测结果。
需要说明的是,当所述第一报文为所属业务流的首个报文时,从所述树根节点开始顺序查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,若所述目标模式串中不存在与所述字典树中一个终结节点对应的模式串,则记录所述业务流对应的匹配节点;所述匹配节点为所述字典树中与所述第二报文中的所述数据相匹配的最后一个节点;
当所述第一报文为所属业务流的非首个报文时,从已记录的所述业务流对应的匹配节点开始顺序查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,若所述目标模式串中不存在与所述字典树中一个终结节点对应的模式串,则更新已记录的所述业务流对应的匹配节点为所述字典树中与所述第二报文中的所述数据相匹配的最后一个节点,直至所述目标模式串中存在与所述字典树中一个终结节点对应的模式串。
至此,以上为具体实现按照第一检测方式检测第二报文的流程。
以上对本申请实施例提供的方法进行了描述。下面对本申请实施例提供的装置进行描述:
参见图3,图3为本申请实施例提供的一种实现报文检测的装置示意图。该装置包括:
检测单元,用于对第一报文进行第一检测操作,所述第一报文为携带了第五层数据RAW-PACKET的报文,所述RAW-PACKET包括五层协议头和载荷FILE-DATA;所述第一检测操作包括:剥离所述第一报文的五层协议头得到第二报文,按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果;
获得单元,用于获得所述网络设备上模式匹配协处理器HFA按照已配置的第二检测方式对所述第一报文执行检测得到的第二检测结果;
确定单元,用于依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,所述目标规则用于指示所述第一报文的处理方式。
至此,完成图3所示装置实施例的结构图。
进一步的,如图4所示,本申请实施例提供的一种实现报文检测的装置示意图还包括:
任务发送单元,用于在对第一报文进行第一检测操作之前,向模式匹配协处理器HFA发送第一报文,并指示模式匹配协处理器HFA按照第二检测方式对所述第一报文执行检测。
对应地,本申请实施例还提供了一种硬件结构图,具体如图5所示。如图5所示,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如图1所示的报文检测方法。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图5所示设备的描述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种报文检测方法,其特征在于,该方法应用于网络设备上的CPU,包括:
对第一报文进行第一检测操作,所述第一报文为携带了第五层数据RAW-PACKET的报文,所述RAW-PACKET包括五层协议头和载荷FILE-DATA;所述第一检测操作包括:剥离所述第一报文的五层协议头得到第二报文,按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果;
获得所述网络设备上模式匹配协处理器HFA按照已配置的第二检测方式对所述第一报文执行检测得到的第二检测结果;
依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,所述目标规则用于指示所述第一报文的处理方式。
2.根据权利要求1所述的方法,其特征在于,所述按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果,包括:
从已构建的字典树中查找与所述第二报文中的所述数据相匹配的至少一个目标模式串;其中,所述字典树中的节点指示一个对应的模式串,所述字典树中从树根节点到任一终结节点之间经由的各节点所对应的模式串用于组成所述特征库中的一条规则;
依据与所述数据相匹配的至少一个目标模式串确定所述第一检测结果。
3.根据权利要求2所述的方法,其特征在于,
所述从已构建的字典树中查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,包括:
当所述第一报文为所属业务流的首个报文时,从所述树根节点开始顺序查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,若所述目标模式串中不存在与所述字典树中一个终结节点对应的模式串,则记录所述业务流对应的匹配节点;所述匹配节点为所述字典树中与所述第二报文中的所述数据相匹配的最后一个节点;
当所述第一报文为所属业务流的非首个报文时,从已记录的所述业务流对应的匹配节点开始顺序查找与所述第二报文中的所述数据相匹配的至少一个目标模式串,若所述目标模式串中不存在与所述字典树中一个终结节点对应的模式串,则更新已记录的所述业务流对应的匹配节点为所述字典树中与所述第二报文中的所述数据相匹配的最后一个节点,直至所述目标模式串中存在与所述字典树中一个终结节点对应的模式串。
4.根据权利要求2所述的方法,其特征在于,所述第二检测结果包括:
已构建的配置文件中与所述第一报文匹配的配置文件数据;
所述配置文件是依据所述特征库中的规则生成的,所述配置文件数据表示至少一条规则;
所述依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则包括:
将从所述树根节点至所述终结节点之间各节点对应的目标模式串按顺序组成的至少一条规则、以及所述配置文件数据表示的至少一条规则确定为所述目标规则。
5.根据权利要求1所述的方法,其特征在于,所述对第一报文进行第一检测操作之前还包括:
向模式匹配协处理器HFA发送第一报文,并指示模式匹配协处理器HFA按照第二检测方式对所述第一报文执行检测。
6.一种报文检测装置,其特征在于,该装置应用于网络设备上的CPU,包括:
检测单元,用于对第一报文进行第一检测操作,所述第一报文为携带了第五层数据RAW-PACKET的报文,所述RAW-PACKET包括五层协议头和载荷FILE-DATA;所述第一检测操作包括:剥离所述第一报文的五层协议头得到第二报文,按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果;
获得单元,用于获得所述网络设备上模式匹配协处理器HFA按照已配置的第二检测方式对所述第一报文执行检测得到的第二检测结果;
确定单元,用于依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则,所述目标规则用于指示所述第一报文的处理方式。
7.根据权利要求6所述的装置,其特征在于,所述检测单元按照已配置的第一检测方式对第二报文执行检测以获得第一检测结果,包括:
从已构建的字典树中查找与所述第二报文中的所述数据相匹配的至少一个目标模式串;其中,所述字典树中的节点指示一个对应的模式串,所述字典树中从树根节点到任一终结节点之间经由的各节点所对应的模式串用于组成所述特征库中的一条规则;
依据与所述数据相匹配的至少一个目标模式串确定所述第一检测结果。
8.根据权利要求7所述的装置,其特征在于,所述第二检测结果包括:
已构建的配置文件中与所述第一报文匹配的配置文件数据;
所述配置文件是依据所述特征库中的规则生成的,所述配置文件数据表示至少一条规则;
所述确定单元依据所述第一检测结果和所述第二检测结果在已配置的特征库中确定所述第一报文匹配的目标规则包括:
将从所述树根节点至所述终结节点之间各节点对应的目标模式串按顺序组成的至少一条规则、以及所述配置文件数据表示的至少一条规则确定为所述目标规则。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
任务发送单元,用于在对第一报文进行第一检测操作之前,向模式匹配协处理器HFA发送第一报文,并指示模式匹配协处理器HFA按照第二检测方式对所述第一报文执行检测。
10.一种电子设备,其特征在于,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1至5任一方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011134265.2A CN112351002B (zh) | 2020-10-21 | 2020-10-21 | 一种报文检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011134265.2A CN112351002B (zh) | 2020-10-21 | 2020-10-21 | 一种报文检测方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112351002A CN112351002A (zh) | 2021-02-09 |
| CN112351002B true CN112351002B (zh) | 2022-04-26 |
Family
ID=74359574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011134265.2A Active CN112351002B (zh) | 2020-10-21 | 2020-10-21 | 一种报文检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112351002B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676466B (zh) * | 2021-08-11 | 2023-06-16 | 中国人民银行数字货币研究所 | 一种网络安全检测的方法和装置 |
| CN115296878B (zh) * | 2022-07-27 | 2023-11-03 | 天翼云科技有限公司 | 一种报文检测方法、装置、电子设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN102932203A (zh) * | 2012-10-31 | 2013-02-13 | 东软集团股份有限公司 | 异构平台间的深度报文检测方法及装置 |
| CN105592044A (zh) * | 2015-08-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 报文攻击检测方法以及装置 |
| CN105868630A (zh) * | 2016-03-24 | 2016-08-17 | 中国科学院信息工程研究所 | 恶意pdf文档检测方法 |
| CN110401624A (zh) * | 2018-04-25 | 2019-11-01 | 全球能源互联网研究院有限公司 | 源网荷系统交互报文异常的检测方法及系统 |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN111031073A (zh) * | 2020-01-03 | 2020-04-17 | 广东电网有限责任公司电力科学研究院 | 一种网络入侵检测系统及方法 |
| CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
-
2020
- 2020-10-21 CN CN202011134265.2A patent/CN112351002B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN102932203A (zh) * | 2012-10-31 | 2013-02-13 | 东软集团股份有限公司 | 异构平台间的深度报文检测方法及装置 |
| CN105592044A (zh) * | 2015-08-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 报文攻击检测方法以及装置 |
| CN105868630A (zh) * | 2016-03-24 | 2016-08-17 | 中国科学院信息工程研究所 | 恶意pdf文档检测方法 |
| CN110401624A (zh) * | 2018-04-25 | 2019-11-01 | 全球能源互联网研究院有限公司 | 源网荷系统交互报文异常的检测方法及系统 |
| CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
| CN111031073A (zh) * | 2020-01-03 | 2020-04-17 | 广东电网有限责任公司电力科学研究院 | 一种网络入侵检测系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于协议分析与模式匹配相结合的入侵检测机制;史进;《网络安全技术与应用》;20080515(第05期);全文 * |
| 基于特征分析的流媒体数据包检测过滤方法;杨瑞光等;《计算机工程》;20120905(第17期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112351002A (zh) | 2021-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| KR102046789B1 (ko) | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 | |
| CN107066883B (zh) | 用于阻断脚本执行的系统和方法 | |
| US8079083B1 (en) | Method and system for recording network traffic and predicting potential security events | |
| US9256831B2 (en) | Match engine for detection of multi-pattern rules | |
| CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| US20050278781A1 (en) | System security approaches using sub-expression automata | |
| CN106470214B (zh) | 攻击检测方法和装置 | |
| CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
| CN109918907B (zh) | Linux平台进程内存恶意代码取证方法、控制器及介质 | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
| CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
| CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
| US7216364B2 (en) | System security approaches using state tables | |
| EP1607823A2 (en) | Method and system for virus detection based on finite automata | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN112685734A (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
| CN113591073A (zh) | 一种Web API安全威胁检测方法及装置 | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| CN116015745A (zh) | 基于指纹识别互联网资产的方法、设备及介质 | |
| JP6602799B2 (ja) | セキュリティ監視サーバ、セキュリティ監視方法、プログラム | |
| CN112003824B (zh) | 攻击检测方法、装置及计算机可读存储介质 | |
| CN110752996A (zh) | 一种报文转发方法及装置 | |
| CN110784471A (zh) | 黑名单采集管理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |