CN112600816B - 一种入侵防御方法、系统及相关设备 - Google Patents
一种入侵防御方法、系统及相关设备 Download PDFInfo
- Publication number
- CN112600816B CN112600816B CN202011424263.7A CN202011424263A CN112600816B CN 112600816 B CN112600816 B CN 112600816B CN 202011424263 A CN202011424263 A CN 202011424263A CN 112600816 B CN112600816 B CN 112600816B
- Authority
- CN
- China
- Prior art keywords
- data
- detected
- protocol data
- application layer
- rpc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种入侵防御方法、系统及相关设备,用于防止基于RPC协议的分片数据、父子连接绕过安全检测导致的安全风险,提高了网络的安全性。本发明实施例方法包括:获取待检测的RPC协议数据;判断所述待检测的RPC协议数据中是否包含分片数据;若包含分片数据,则将分片数据汇总;将汇总后的分片数据发送至入侵检测系统进行检测。
Description
技术领域
本发明涉及入侵防御技术领域,尤其涉及一种入侵防御方法、系统及相关设备。
背景技术
RPC(Remote Procedure Call)协议用于远程过程调用。通常支持RPC协议的服务在系统中的权限都是比较大(比如NFS文件服务器),如果权限被拿下后果不堪设想,所以针对RPC协议数据的安全检测尤为重要。
目前业内的IPS(Intrusion Prevention System,入侵防御系统)引擎针对此类RPC协议数据的检测方式比较单一,往往是通过提取RPC协议对应的攻击特征来定制Snort(入侵检测)规则进行拦截。
基于Snort规则进行入侵检测拦截,对于一般的RPC攻击是非常有效的。但是RPC协议本身存在两类可以使规则失效的方法:1.协议本身支持分片传输;2.RPC存在父子连接,子连接端口可变(跨连接问题)。如果攻击方将RPC 协议数据进行分片,攻击特征就会被割裂,导致Snort规则检出失败。又或者攻击方使用父子连接变更不同的端口,那么端口限定的Snort规则就无法检出攻击数据。
为解决上述任一问题,有必要提出新的入侵防御方法。
发明内容
本发明实施例提供了一种入侵防御方法、系统及相关设备,用于防止基于RPC协议的分片数据、父子连接绕过安全检测导致的安全风险,提高了网络的安全性。
本发明实施例第一方面提供了一种入侵防御方法,可包括:
获取待检测的RPC协议数据;
判断所述待检测的RPC协议数据中是否包含分片数据;
若包含分片数据,则将分片数据汇总;
将汇总后的分片数据发送至入侵检测系统进行检测。
可选的,作为一种可能的实施方式,本发明实施例中获取待检测的RPC 协议数据,可以包括:
接收待检测的应用层协议数据;
根据预设的规则判断所述待检测应用层协议数据是否为RPC协议数据,若是,则存储待检测的RPC协议数据。
可选的,作为一种可能的实施方式,本发明实施例中,若根据预设的规则判断待检测应用层协议数据不是RPC协议数据,还可以包括:
读取所述待检测应用层协议数据的四元组数据;
判断预设关联表中是否存在所述四元组数据关联的五元组数据;
若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御方法还可以包括:
判断当前存储的RPC协议数据是否包含服务调用指令数据;
若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。
可选的,作为一种可能的实施方式,本发明实施例中所述将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,可以包括:
计算目标四元组数据与当前数据连接的五元组数据的哈希表;
将所述目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御方法还可以包括:
当判定待检测应用层协议数据的协议类型之后,为所述待检测的应用层协议数据添加流量标签,以指示所述待检测的应用层协议数据的协议种类。
本发明实施例第二方面提供了一种入侵防御系统,可包括:
获取模块,用于获取待检测的RPC协议数据;
第一处理模块,用于判断所述待检测的RPC协议数据中是否包含分片数据;
汇总模块,若包含分片数据,则将分片数据汇总;
发送模块,用于将汇总后的分片数据发送至入侵检测系统进行检测。
可选的,作为一种可能的实施方式,本发明实施例中的获取模块还可以包括:
接收单元,用于接收待检测的应用层协议数据;
判断单元,用于根据预设的规则判断所述待检测应用层协议数据是否为 RPC协议数据,若是,则存储待检测的RPC协议数据。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御系统还可以包括:
第二处理模块,读取所述待检测应用层协议数据的四元组数据;
第三处理模块,用于判断预设关联表中是否存在所述四元组数据关联的五元组数据,若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御系统还可以包括:
第四处理模块,用于判断当前存储的RPC协议数据是否包含服务调用指令数据,若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
记录模块,用于将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。
可选的,作为一种可能的实施方式,本发明实施例中的记录模块还可以包括:
计算单元,计算单元计算目标四元组数据与当前数据连接的五元组数据的哈希表;
记录单元,用于将所述目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御系统还可以包括:
标记模块,当判定待检测应用层协议数据的协议类型之后,为所述待检测的应用层协议数据添加流量标签,以指示所述待检测的应用层协议数据的协议种类。
本发明实施例第三方面提供了一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
本发明实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,入侵防御系统可以存储待检测的RPC协议数据,判断存储的RPC协议数据中是否包含分片数据,若包含分片数据,则将分片数据汇总之后发送至入侵检测系统进行检测。相对于相关技术,本发明实施例可以将分片数据进行汇总,防止基于RPC协议的分片数据,割裂攻击特征而绕过防御检测,提高了网络安全性。
附图说明
图1为本发明实施例中一种入侵防御方法的一个实施例示意图;
图2为请求方向的RPC协议的一个报文数据示意图;
图3为本发明实施例中一种入侵防御方法的另一个实施例示意图;
图4为本发明实施例中一种入侵防御方法的一个具体应用实施例示意图;
图5为本发明实施例中一种入侵防御系统的一个实施例示意图;
图6为本发明实施例中一种计算机装置的一个实施例示意图。
具体实施方式
本发明实施例提供了一种入侵防御方法、系统及相关设备,用于防止基于RPC协议的分片数据、父子连接绕过安全检测导致的安全风险,提高了网络的安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例涉及绕过技术,其中绕过技术通常是指黑客使用某种手段逃逸防火墙现有的检测手段,从而渗透到靶机内部的技术。由于RPC协议的广泛应用,基于RPC协议绕过IPS(Intrusion Prevention System,入侵防御系统)发起恶意攻击的行为也越来越多。有鉴于此,本发明实施例提出一种入侵防御方法,解决基于RPC协议绕过IPS的问题。需要说明的是,本发明实施例中的RPC协议可以是ONC-RPC(Open Network Computing RemoteProcedure Call,又称SUN-RPC),也可以是其它开源的RPC框架,此处不做限定。
为了便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中一种入侵防御方法的一个实施例可包括:
S101、获取待检测的RPC协议数据;
当判定待检测的应用层协议数据是RPC协议数据时,为了防止基于RPC 协议绕过IPS导致的网络安全问题,需要将RPC协议数据进行存储。
S102、判断待检测的RPC协议数据中是否包含分片数据;
申请人注意到,如果攻击方将RPC协议数据进行分片,攻击特征就会被割裂,导致Snort(入侵检测)规则检出失败绕过IPS(Intrusion Prevention System,入侵防御系统)。
为了解决上述数据分片绕过问题,本发明实施例中的IPS可以解析待检测的RPC协议数据,然后判断存储的RPC协议数据中是否包含分片数据。如果不包含分片数据,可以执行其它操作,例如可以直接将存储的RPC协议数据发送至入侵检测系统,通过预设的Snort规则进行匹配检测。如果包含分片数据,则进入下一步。
其中,分片数据可以依据报文中标记字段进行识别。如图2所示的请求方向(入参调用)的RPC协议的一个报文数据,Last Fragment字段作为标记字段,若Last Fragment字段标记为0,表示当前数据为分片数据,Last Fragment 标记为1表示为分片结束,有多少个分片数据就会有多少个报文的Last Fragment标记为0,直到最后一个分片传输结束时,分片标记为1。
S103、将分片数据汇总之后发送至入侵检测系统进行检测。
当待检测的RPC协议数据中包含分片数据时,IPS可以将分片数据汇总之后,将完整数据发送至入侵检测系统进行检测。例如,可以根据PRC调用的服务的唯一编号下的所有分片数据汇总,汇总之后的完整数据发送至入侵检测系统,该入侵检测系统中包含多个预设的Snort规则,通过预设的Snort 规则进行匹配检测。具体的Snort规则可以根据实际业务需求进行合理的设置,具体此处不做限定。
本发明实施例中,入侵防御系统可以存储待检测的RPC协议数据,判断存储的RPC协议数据中是否包含分片数据,若包含分片数据,则将分片数据汇总之后发送至入侵检测系统进行检测。相对于相关技术,将分片数据进行汇总,防止基于RPC协议的分片数据割裂攻击特征而绕过防御检测提高了网络安全性。
实际应用中,如果攻击方使用父子连接变更不同的端口,那么端口限定的Snort规则就无法检出攻击数据。有必要对上述实施例进行进一步改进,请参阅图3,本发明实施例中一种入侵防御方法的另一个实施例可包括:
S301、根据预设的规则判断待检测应用层协议数据是否为RPC协议数据;
入侵防御过程中,不同协议数据的类型的检测方式不同,需要进行分类处理。在接收待检测的应用层协议数据之后,需要根据预设的规则识别待检测应用层协议数据的协议类型是否为RPC协议数据。例如可以根据报文中协议类型字段进行识别,具体的协议类型识别方式可以参照相关技术,此处不做限定。
可选的,当判定待检测应用层协议数据的协议类型之后,可以为待检测的应用层协议数据添加流量标签,以指示待检测的应用层协议数据的协议种类。
S302、读取待检测应用层协议数据的四元组数据;
RPC协议在执行过程中,一般是父连接协商出来的可变端口,然后使用子连接进行的(如文件操作),而RPC协议本身也很难通过特征识别出子连接。若根据预设规则初步判断待检测应用层协议数据不是RPC协议数据时,还需要进一步判断当前数据是否为父子连接中的子连接。本实施例中,IPS可以读取待检测应用层协议数据的四元组数据,以进行进一步判断。其中,四元组数据当前待检测应用层协议数据所在连接的源地址、目的地址、目的端口、协议号。
S303、判断预设关联表中是否存在四元组数据关联的五元组数据;
RPC协议的子连接中可以解析得到四元组数据,往往无法得知完整的五元组数据。本实施例中,可以预先将识别的到的父子连接中的四元组数据(子连接中解析)与五元组数据(父连接中解析)建立关联关系,当获取到四元组数据之后,可以判断预设关联表中是否存在四元组数据关联的五元组数据。
可选的,作为一种可能的实施方式,本发明实施例中建立预设关联表的步骤可以包括:
判断当前存储的RPC协议数据是否包含服务调用指令数据(例如portmap 服务调用指令);若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,子连接的目的端口号为目标四元组数据中的目的端口。
可选的,为了节约存储空间,提高查找的速度,还可以计算目标四元组数据与当前数据连接的五元组数据的哈希表;将目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
S304、根据四元组数据的父连接上记录的流量标签判断待检测应用层协议数据是否为RPC协议数据;
若映射到四元组数据关联的五元组数据,则可以确定存在父子连接,进而根据四元组数据关联的五元组数据对应的连接即为父连接,根据父连接上记录的流量标签判断待检测应用层协议数据是否为RPC协议数据。若无法映射到四元组数据关联的五元组数据,可以执行其它步骤。
S305、存储待检测的RPC协议数据;
S306、判断存储的RPC协议数据中是否包含分片数据;
S307、将分片数据汇总之后发送至入侵检测系统进行检测。
本实施例中的S305至S307中描述的内容与上述图1中的S101至S103 中描述的内容类似,此处不再赘述。
为了便于理解,请参阅图4,下面将结合具体的应用实施例对本发明实施例中的入侵防御方法进行描述。具体可以包括如下步骤:
步骤1:应用识别;
入侵防御过程中,不同协议数据的类型的检测方式不同,需要进行分类处理。在进行基于RPC协议的入侵防御时,需要根据预设的规则识别待检测应用层协议数据的协议类型是否为RPC协议数据。例如可以根据报文中协议类型字段进行识别,具体的识别规则可以参照相关技术,此处不做限定。
当判定待检测应用层协议数据的协议类型之后,可以为待检测的应用层协议数据添加流量标签,以指示待检测的应用层协议数据的协议种类。
步骤2:判断是否为RPC协议;
在进行初步协议类型识别之后,可以判断当前应用层协议数据是否为 RPC协议数据。若是RPC协议数据,则可以对数据进行缓存,并进入步骤3 以进行检测。若不是RPC协议数据,则可以进入步骤5
步骤3:判断是否为分片;
判断缓存的数据是否为分片数据,若是分片数据,则跳入A分支。若不是分片数据或者分片数据解析完成,则跳入主分支步骤4;
A分支:判断是否解析完。若缓存的数据中分片数据并没有存储完整,即解析没有完成,则需要继续进行缓存并解析,直到解析完成,送入Snort引擎做检测。
步骤4:Snort引擎检测;
当RPC协议数据不是分片数据或者分片数据解析完成,可以送入Snort 引擎做检测,以判断是否为网络攻击。若不是网络攻击,可以跳入B分支,若是网络攻击,则检出;
B分支:判断当前存储的RPC协议数据是否包含portmap服务调用指令数据;若包含portmap服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;将目标四元组数据hash(当前连接的源地址、目的地址、目的端口(新解析的子连接端口)、协议号)与当前数据连接的五元组数据hash表(源地址、目的地址、源端口、目的端口、协议号)的关联关系记录在预设关联表中,其中,子连接的目的端口号为目标四元组数据中的目的端口。
步骤5:读取四元组hash表;
本实施例中,预先将识别到的父子连接中的四元组hash(子连接)与五元组hash(父连接)的关联关系写入关联表,通过使用四元组hash表、五元组hash表的关联的方式,来识别数据流量的应用协议类型。
步骤6:判断是否存在hash;
可以判断关联表中是否存在当前识别到的四元组hash,若存在,则可以确定存在子连接。进而可以读取关联表中的五元组hash表对应的父连接的流量标签,根据流量标签确定待检测的应用层协议数据是否为RPC协议数据。若判定是RPC协议数据,则可以进行数据缓存,并跳入步骤3。
请参阅图5,本发明实施例还提供了一种入侵防御系统,可包括:
获取模块501,用于获取待检测的RPC协议数据;
第一处理模块502,用于判断所述待检测的RPC协议数据中是否包含分片数据;
汇总模块503,若包含分片数据,则将分片数据汇总;
发送模块504,用于将汇总后的分片数据发送至入侵检测系统进行检测。
可选的,作为一种可能的实施方式,本发明实施例中的获取模块还可以包括:
接收单元,用于接收待检测的应用层协议数据;
判断单元,用于根据预设的规则判断所述待检测应用层协议数据是否为 RPC协议数据,若是,则存储待检测的RPC协议数据。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御系统还可以包括:
第二处理模块,读取所述待检测应用层协议数据的四元组数据;
第三处理模块,用于判断预设关联表中是否存在所述四元组数据关联的五元组数据,若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御系统还可以包括:
第四处理模块,用于判断当前存储的RPC协议数据是否包含服务调用指令数据,若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
记录模块,用于将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。
可选的,作为一种可能的实施方式,本发明实施例中的记录模块还可以包括:
计算单元,计算单元计算目标四元组数据与当前数据连接的五元组数据的哈希表;
记录单元,用于将目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御系统还可以包括:
标记模块,当判定待检测应用层协议数据的协议类型之后,为待检测的应用层协议数据添加流量标签,以指示待检测的应用层协议数据的协议种类。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
上面从模块化功能实体的角度对本发明实施例中的入侵防御系统进行了描述,请参阅图6,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置1可以包括存储器11、处理器12和输入输出总线13。处理器11执行计算机程序时实现上述图1所示的入侵防御方法实施例中的步骤,例如图1所示的步骤101至103。或者,处理器执行计算机程序时实现上述各装置实施例中各模块或单元的功能。
本发明的一些实施例中,处理器具体用于实现如下步骤:
获取待检测的RPC协议数据;
判断待检测的RPC协议数据中是否包含分片数据;
若包含分片数据,则将分片数据汇总;
将汇总后的分片数据发送至入侵检测系统进行检测。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
接收待检测的应用层协议数据;
根据预设的规则判断待检测应用层协议数据是否为RPC协议数据,若是,则存储待检测的RPC协议数据。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
读取待检测应用层协议数据的四元组数据;
判断预设关联表中是否存在四元组数据关联的五元组数据;
若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为四元组数据的父连接,并根据四元组数据的父连接上记录的流量标签判断待检测应用层协议数据是否为RPC协议数据。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断当前存储的RPC协议数据是否包含服务调用指令数据;
若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,子连接的目的端口号为目标四元组数据中的目的端口。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
计算目标四元组数据与当前数据连接的五元组数据的哈希表;
将目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
当判定待检测应用层协议数据的协议类型之后,为待检测的应用层协议数据添加流量标签,以指示待检测的应用层协议数据的协议种类。
其中,存储器11至少包括一种类型的可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是计算机装置1的内部存储单元,例如该计算机装置1的硬盘。存储器11在另一些实施例中也可以是计算机装置1的外部存储设备,例如计算机装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器11还可以既包括计算机装置1 的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于计算机装置1的应用软件及各类数据,例如计算机程序01的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器 11中存储的程序代码或处理数据,例如执行计算机程序01等。
该输入输出总线13可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。
进一步地,计算机装置还可以包括有线或无线网络接口14,网络接口14 可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该计算机装置1与其他电子设备之间建立通信连接。
可选地,该计算机装置1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的,用户接口还可以包括标准的有线接口、无线接口。可选的,在一些实施例中,显示器可以是LED 显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在计算机装置1中处理的信息以及用于显示可视化的用户界面。
图6仅示出了具有组件11-14以及计算机程序01的计算机装置1,本领域技术人员可以理解的是,图6示出的结构并不构成对计算机装置1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,可以实现如下步骤:
获取待检测的RPC协议数据;
判断待检测的RPC协议数据中是否包含分片数据;
若包含分片数据,则将分片数据汇总;
将汇总后的分片数据发送至入侵检测系统进行检测。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
接收待检测的应用层协议数据;
根据预设的规则判断待检测应用层协议数据是否为RPC协议数据,若是,则存储待检测的RPC协议数据。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
读取待检测应用层协议数据的四元组数据;
判断预设关联表中是否存在四元组数据关联的五元组数据;
若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为四元组数据的父连接,并根据四元组数据的父连接上记录的流量标签判断待检测应用层协议数据是否为RPC协议数据。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断当前存储的RPC协议数据是否包含服务调用指令数据;
若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,子连接的目的端口号为目标四元组数据中的目的端口。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
计算目标四元组数据与当前数据连接的五元组数据的哈希表;
将目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
当判定待检测应用层协议数据的协议类型之后,为待检测的应用层协议数据添加流量标签,以指示待检测的应用层协议数据的协议种类。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式用于防御基于RPC协议绕过IPS的攻击,提高了网络的安全性。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式用于防御基于RPC协议绕过IPS的攻击,提高了网络的安全性。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种入侵防御方法,其特征在于,包括:
接收待检测的应用层协议数据;
若根据预设的规则判断所述待检测应用层协议数据为RPC协议数据,则存储待检测的RPC协议数据;
若根据预设的规则判断待检测应用层协议数据不是RPC协议数据,读取所述待检测应用层协议数据的四元组数据;判断预设关联表中是否存在所述四元组数据关联的五元组数据;若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据;若是,则存储待检测的RPC协议数据;
判断所述待检测的RPC协议数据中是否包含分片数据;
若包含分片数据,则将分片数据汇总;
将汇总后的分片数据发送至入侵检测系统进行检测。
2.根据权利要求1所述的方法,其特征在于,还包括:
判断当前存储的RPC协议数据是否包含服务调用指令数据;
若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。
3.根据权利要求2所述的方法,其特征在于,所述将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,包括:
计算目标四元组数据与当前数据连接的五元组数据的哈希表;
将所述目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
4.根据权利要求1或2所述的方法,其特征在于,还包括:
当判定待检测应用层协议数据的协议类型之后,为所述待检测的应用层协议数据添加流量标签,以指示所述待检测的应用层协议数据的协议种类。
5.一种入侵防御系统,其特征在于,包括:
接收单元,用于接收待检测的应用层协议数据;
判断单元,用于若根据预设的规则判断所述待检测应用层协议数据为RPC协议数据,则存储待检测的RPC协议数据;
第二处理模块,用于若根据预设的规则判断所述待检测应用层协议数据不为RPC协议数据,则读取所述待检测应用层协议数据的四元组数据;
第三处理模块,用于判断预设关联表中是否存在所述四元组数据关联的五元组数据,若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据;
第一处理模块,用于判断所述待检测的RPC协议数据中是否包含分片数据;
汇总模块,若包含分片数据,则将分片数据汇总;
发送模块,用于将汇总后的分片数据发送至入侵检测系统进行检测。
6.一种计算机装置,其特征在于,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至4中任意一项所述方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至4中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011424263.7A CN112600816B (zh) | 2020-12-08 | 2020-12-08 | 一种入侵防御方法、系统及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011424263.7A CN112600816B (zh) | 2020-12-08 | 2020-12-08 | 一种入侵防御方法、系统及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112600816A CN112600816A (zh) | 2021-04-02 |
| CN112600816B true CN112600816B (zh) | 2022-09-30 |
Family
ID=75188848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011424263.7A Active CN112600816B (zh) | 2020-12-08 | 2020-12-08 | 一种入侵防御方法、系统及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112600816B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595661A (zh) * | 2013-11-28 | 2014-02-19 | 杭州华三通信技术有限公司 | 一种报文分片重组方法及装置 |
| CN108683689A (zh) * | 2018-08-01 | 2018-10-19 | 公安部第三研究所 | 实现nids和nips入侵检测功能的改进测试系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7602731B2 (en) * | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
| US9729509B2 (en) * | 2013-03-23 | 2017-08-08 | Fortinet, Inc. | System and method for integrated header, state, rate and content anomaly prevention for session initiation protocol |
-
2020
- 2020-12-08 CN CN202011424263.7A patent/CN112600816B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595661A (zh) * | 2013-11-28 | 2014-02-19 | 杭州华三通信技术有限公司 | 一种报文分片重组方法及装置 |
| CN108683689A (zh) * | 2018-08-01 | 2018-10-19 | 公安部第三研究所 | 实现nids和nips入侵检测功能的改进测试系统及方法 |
Non-Patent Citations (3)
| Title |
|---|
| 协议分析与深度包检测相结合的入侵防御系统;於时才等;《微计算机信息》;20090725;第25卷(第21期);正文第4.2节 * |
| 基于多核的入侵防御系统的研究;杨伟;《中国优秀硕士学位论文全文数据库信息科技辑》;20091115(第11期);摘要、第2章第1段至第5章最后一段 * |
| 高效IP分片重组的设计与实现;王永等;《微处理机》;20081015(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112600816A (zh) | 2021-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100862187B1 (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| CN107786564B (zh) | 基于威胁情报的攻击检测方法、系统及电子设备 | |
| CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
| CN112887405B (zh) | 一种入侵防御方法、系统及相关设备 | |
| CN104580133A (zh) | 恶意程序防护方法与系统及其过滤表格更新方法 | |
| RU2653241C1 (ru) | Обнаружение угрозы нулевого дня с использованием сопоставления ведущего приложения/программы с пользовательским агентом | |
| CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| US20160134658A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| KR20170122548A (ko) | 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치 | |
| CN103067384A (zh) | 威胁处理方法及系统、联动客户端、安全设备及主机 | |
| CN112822204A (zh) | 一种nat的检测方法、装置、设备及介质 | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| CN113472798B (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
| US20150222648A1 (en) | Apparatus for analyzing the attack feature dna and method thereof | |
| CN112600816B (zh) | 一种入侵防御方法、系统及相关设备 | |
| CN112202717A (zh) | 一种http请求的处理方法、装置、服务器及存储介质 | |
| CN112953957B (zh) | 一种入侵防御方法、系统及相关设备 | |
| US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| US10783244B2 (en) | Information processing system, information processing method, and program | |
| CN112565290B (zh) | 一种入侵防御方法、系统及相关设备 | |
| KR101041997B1 (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 | |
| KR101053470B1 (ko) | 유해 트래픽 제어 및 해킹을 차단하는 장치 및 방법 | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |