CN113328982B - 一种入侵检测方法、装置、设备、介质 - Google Patents
一种入侵检测方法、装置、设备、介质 Download PDFInfo
- Publication number
- CN113328982B CN113328982B CN202010731140.1A CN202010731140A CN113328982B CN 113328982 B CN113328982 B CN 113328982B CN 202010731140 A CN202010731140 A CN 202010731140A CN 113328982 B CN113328982 B CN 113328982B
- Authority
- CN
- China
- Prior art keywords
- data packet
- target network
- bypass
- network data
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种入侵检测方法、装置、设备、介质,该方法包括:获取目标网络数据包;对所述目标网络数据包中的绕过类型进行识别;如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。这样可以降低检测过程中的性能损耗,并提高检测过程中的吞吐量。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种入侵检测方法、装置、设备、介质。
背景技术
绕过(evasion),也即绕过技术,又称为逃逸、穿透。网络数据包中附加特定的绕过方法,改变网络数据包中入侵流量的原始特征,使IPS(Intrusion Prevention System,入侵防御系统)或IDS(Intrusion Detection System,入侵检测系统)无法正确识别并阻断变形后的入侵流量,为便于后续描述,将IPS或IDS简称为IDPS(Intrusion Detection/Prevention System,入侵检测/防御系统)。例如,协议层的IP(Internet Protocol,网际互联协议)分片、TCP(Transmission Control Protocol,传输控制协议)分段以及各种加密、混淆、编码等方法。具体的,例如,一个SQL注入漏洞攻击原始特征为“id=1and 1=1&ussid”,经过绕过编码后变为“id=1%20and%201=1&ussid”,可以使得IDPS无法检测出攻击。
绕过会使得网络安全受到极大的威胁,绕过技术可以让IDPS的防御能力失效,是攻击者最常用的攻击手段之一,因此防绕过是IDPS面临的最重要的安全对抗问题之一。防绕过方法是通过绕过解码,也即还原数据包中入侵流量的原始特征的方法,所述绕过解码泛指所有的反绕过方法,例如IP分片重组、TCP分段重组、解密、反混淆、编码解码等。但是利用绕过解码方法来检测网络数据包中的绕过会存在以下问题,对于一些类型的绕过来说直接解码需要损耗的性能太高,例如,在html(Hyper Text Markup Language,超级文本传输协议)的内容中随机填充空字符,使得入侵原始特征“abc”被填充为“a bc”,对应的绕过解码方法,需要遍历所有相应的html网页,并且删除其中的空字符,然而,几乎99%的html网页是不存在入侵流量的,但也要进行绕过解码处理,所以极大的增加了网络数据包处理量,增加了性能损耗,降低吞吐量。
发明内容
有鉴于此,本申请的目的在于提供一种入侵检测方法、装置、设备、介质,能够降低检测过程中的性能损耗,并提高检测过程中的吞吐量。其具体方案如下:
第一方面,本申请公开了一种入侵检测方法,包括:
获取目标网络数据包;
对所述目标网络数据包中的绕过类型进行识别;
如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据;
如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
可选地,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为可解码绕过,则对所述目标网络数据包中的绕过进行解码,得到解码后数据包;
对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据。
可选地,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为不可解码绕过,则将所述目标网络数据包中的数据与预先建立的绕过入侵特征库进行匹配,以确定出所述目标网络数据包中是否存在入侵数据。
可选地,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
若所述目标网络数据包为网络体系结构中的应用层的数据包,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
若所述目标网络数据包为非网络体系结构中的应用层的数据包,则对所述目标网络数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。
可选地,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为可解码绕过,则对所述目标网络数据包中的绕过进行解码,得到解码后数据包;
若所述解码后数据包为网络体系结构中的应用层的数据包,则对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据;
若所述解码后数据包为非网络体系结构中的应用层的数据包,则对所述解码后数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。
可选地,所述对所述目标网络数据包中的绕过类型进行识别,包括:
对所述目标网络数据包进行解析;
将解析后目标网络数据包与预设绕过识别特征库进行匹配;
如果解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,则将匹配上的绕过识别特征对应的绕过类型确定为所述目标网络数据包中的绕过类型。
可选地,所述将解析后目标网络数据包与预设绕过识别特征库进行匹配之后,还包括:
如果解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,且匹配上的绕过识别特征对应的绕过类型包括可解码绕过和不可解码绕过,则将所述目标网络数据包中的绕过类型确定为不可解码绕过。
第二方面,本申请公开了一种入侵检测装置,包括:
数据包获取模块,用于获取目标网络数据包;
绕过类型识别模块,用于对所述目标网络数据包中的绕过类型进行识别;
第一检测模块,用于在识别出所述目标网络数据包中包括绕过时,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据;
第二检测模块,用于在识别出所述目标网络数据包中不包括绕过时,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
第三方面,本申请公开了一种入侵检测设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的入侵检测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的入侵检测方法。
可见,本申请先获取目标网络数据包,然后对所述目标网络数据包中的绕过类型进行识别,如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。这样先对获取到的网络数据包进行绕过类型识别,然后根据识别的结果进行具体的处理,如果网络数据包中不包括绕过就可以直接进行一般的入侵检测,如果网络数据包中包括绕过,就可以根据具体的绕过类型进行绕过入侵检测,降低检测过程中的性能损耗,并提高检测过程中的吞吐量。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种入侵检测方法流程图;
图2为本申请公开的一种具体的入侵检测方法流程图;
图3为本申请公开的一种具体的入侵检测方法流程图;
图4为本申请公开的一种入侵检测装置结构示意图;
图5为本申请公开的一种入侵检测设备结构图;
图6为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,本申请实施例公开了一种入侵检测方法,该方法包括:
步骤S11:获取目标网络数据包。
在具体的实施过程中,需要先获取目标网络数据包,其中,所述目标网络数据包为需要进行入侵检测的网络数据包,网络数据包(Network Packet),又称为网络报文,为计算机网络中传输的数据单位,遵循TCP/IP协议。
步骤S12:对所述目标网络数据包中的绕过类型进行识别。
在获取到所述目标网络数据包之后,还需要对所述目标网络数据包中的绕过进行识别,其中,绕过也即绕过技术,又称为逃逸、穿透,在网络数据包中附加特定的绕过方法,改变网络数据包中入侵流量的原始特征,使IDPS无法正确识别并阻断变形后的入侵流量。例如,协议层的IP分片、TCP分段以及各种加密、混淆、编码等方法,所述IP分片为TCP/IP协议栈中IP层协议使用的数据包切分技术,正常情况下当网络数据包长度大于IP层数据负载容量大小时,IP层协议会将原始数据包切分为多个满足负载大小的数据包,以此将入侵特征切分到不同数据包,从而绕过检测。所述TCP分段为TCP/IP协议栈中TCP层协议使用的数据包切分技术,原理同所述IP分片。其中,所述绕过类型包括可解码绕过和不可解码绕过,所述可解码绕过是指网络数据包中使用的绕过技术可被解码,还原原始数据包;所述不可解码绕过为网络数据包中使用的绕过技术无法解码还原或者解码性能损耗较大而不进行解码。
步骤S13:如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据。
对所述目标数据包进行绕过类型识别之后,还需要根据识别结果进行具体的操作,具体的,就是如果所述目标网络数据包中包括绕过,则根据所述网络数据包中的绕过类型对所述目标数据包进行相应的处理操作,这样可以确定出所述目标网络数据包中是否存在入侵数据。
步骤S14:如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
在对所述目标网络数据包的绕过类型进行识别之后,识别的结果还包括所述目标网络数据包中不包括绕过,也即如果所述目标网络数据包中不包括绕过,则可以直接对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。对于90%的网络数据包来说是不存在绕过技术的,所以先对网络数据包进行绕过类型的识别可以节省这90%的网络数据包绕过处理计算成本,极大的提高了性能。
可见,本申请先获取目标网络数据包,然后对所述目标网络数据包中的绕过类型进行识别,如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。这样先对获取到的网络数据包进行绕过类型识别,然后根据识别的结果进行具体的处理,如果网络数据包中不包括绕过就可以直接进行一般的入侵检测,如果网络数据包中包括绕过,就可以根据具体的绕过类型进行绕过入侵检测,降低检测过程中的性能损耗,并提高检测过程中的吞吐量。
参见图2所示,本申请实施例公开了一种具体的入侵检测方法,该方法包括:
步骤S21:获取目标网络数据包。
步骤S22:对所述目标网络数据包进行解析。
在获取到所述目标网络数据包之后,还需要对所述目标网络数据包中的绕过进行识别。具体的,可以对所述目标网络数据包中的协议进行解析,也即,可以利用不同的协议预处理器对所述目标网络数据包中的协议进行解析,其中,预处理器(Preprocessor),用于对网络数据包进行协议解析、重组等预处理,根据协议类型不同,存在不同预处理器,例如IP层预处理器、TCP预处理器、HTTP预处理器等。
步骤S23:将解析后目标网络数据包与预设绕过识别特征库进行匹配。
在对所述目标网络数据包进行解析之后,还需要将解析后目标数据包与预设绕过识别特征库进行匹配,以便确定所述目标数据包中是否包括绕过或者包括的绕过类型。其中,所述预设绕过识别特征库中包括多个绕过识别特征,并且所述预设绕过识别特征库中还可以保存每个绕过识别特征分别对应相应的绕过类型,其中,所述绕过类型包括可解码绕过和不可解码绕过。具体的,所述预设绕过识别特征库可以由启发式的绕过识别特征组成,也即所述预设绕过识别特征库在初始特征配置后,其中的绕过识别特征可以启发式自由组合。所述预设绕过识别特征库中的绕过特征包括但不限于IP层的分片乱序特征、HMTL中的UTF-32编码特征,其中,所述IP层的分片乱序特征属于可解码,所述UTF-32编码特征属于不解码,UTF-32编码为一种字符编码方法,每个字符都使用4字节,因为通常情况下,应用层数据负载常用的编码方式为UTF-8或者UTF-16,所以在攻击者使用UTF-32编码方式时,入侵特征变为UTF-32编码,就会使得相关的入侵检测设备无法理解数据内容,从而绕过检测。
步骤S24:如果解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,则将匹配上的绕过识别特征对应的绕过类型确定为所述目标网络数据包中的绕过类型。
在将所述解析后目标网络数据包与预设绕过识别特征库进行匹配之后,如果所述解析后目标网络数据包与所述预设绕过识别特征库中的绕过识别特征匹配上,则将匹配上的绕过识别特征对应的绕过类型确定为所述目标网络数据包中的绕过类型。
在具体的实施过程中,如果解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,且匹配上的绕过识别特征对应的绕过类型包括可解码绕过和不可解码绕过,则将所述目标网络数据包中的绕过类型确定为不可解码绕过。也即,将解析后目标网络数据包与预设绕过识别特征库进行匹配时,匹配上的绕过识别特征的数量会大于1,这时如果匹配上的绕过识别特征对应的绕过类型包括可解码绕过和不可解码绕过,则将所述目标网络数据包中的绕过类型确定为不可解码绕过,这样可以节约解码所需要消耗的性能,提高检测效率。
在所述解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上之后,初步得到所述目标网络数据包中的绕过类型,还可以由人工确认所述绕过类型是否为所述目标网络数据包的最终绕过类型,并在人工确认之后,再进行相应的处理。
步骤S25:根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据。
在对所述目标网络数据包中的绕过类型进行识别之后,如果所述目标中包括绕过,则需要根据绕过的类型进行相应的处理,以检测所述目标网络数据包中是否存在入侵数据。
在具体的实施过程中,如果所述目标网络数据包中的绕过为可解码绕过,则先对所述目标网络数据包中的绕过进行解码,以便得到解码后数据包,再对所述解码后数据包进行入侵检测,这样就可以确定出所述目标数据包中是否可以存在入侵数据。例如,如果所述目标网络数据包中包括的绕过为IP分片,则所述目标网络数据包中包括的绕过类型为可解码绕过,需要先对相关的数据进行重组,得到解码后数据包,再进行入侵检测。
在具体的实施过程中,所述解码后数据包可能并不是网络体系结构中的应用层上的数据包,所以在对所述解码后数据包进行入侵检测之前,可以先判断所述解码后数据包是否为应用层的数据包;如果所述解码后数据包为网络体系结构中的应用层的数据包,则对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据;若所述解码后数据包为非网络体系结构中的应用层的数据包,则对所述解码后数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤,直到所述目标数据包为网络体系结构中的应用层的数据包。其中,所述网络体系结构可以为OSI模型(Open System Interconnection Reference Model,开放式系统互联通信参考模型)中的网络体系结构。
具体的,对所述解码后数据包进行处理,得到网络体系结构中上一层的网络数据包。可以是将所述解码后数据包解封装,也即将所述解码后数据包中的一些报头去掉,得到网络体系结构中上一层的网络数据包。例如,当所述解码后数据包为传输层的数据包,则解析后数据包的传输层报头去掉,得到会话层的网络数据包。所述对所述解码后数据包进行处理,还可以是对数据进行解密操作。具体处理可以根据实际获取到的目标网络数据包确定。
这样可以使得最终的入侵检测为对应用层数据进行的入侵检测,以便于对所述目标数据包中实际传输的数据进行检测,排除由于在传输过程中的正常数据处理引起的误判,提高检测正确率。
具体的,如果所述目标网络数据包中的绕过类型为不可解码绕过,则将所述目标网络数据包中的数据与预先建立的绕过入侵特征库进行匹配,以确定出所述目标网络数据包中是否存在入侵数据。如果在预先建立的绕过入侵特征库中命中,则所述目标网络数据包中存在入侵数据。在将所述目标网络数据包中的数据与预先建立的绕过入侵特征库进行匹配之前,还包括:获取用户收集的绕过入侵特征,并利用所述绕过入侵特征建立所述绕过入侵特征库;和/或,获取开源绕过入侵特征,并利用所述开源绕过入侵特征建立所述绕过入侵特征库。所述绕过入侵特征库中包括需要检测的入侵特征。
相应的,所述将所述目标网络数据包中的数据与预先建立的绕过入侵特征库进行匹配之后,如果所述目标网络数据包中的数据与预先建立的绕过入侵特征库不匹配,则可以输出提示信息,以指示用户进行确认。
步骤S26:如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
在对所述目标网络数据包中的绕过类型进行识别之后,如果所述目标网络数据包中不包括绕过,则可以直接对所述目标网络数据包进行入侵检测,以便确定出所述目标网络数据包中是否存在入侵数据。
在第一种具体的实施过程中,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:利用预设入侵特征库对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。也即,将所述目标网络数据包与预设入侵特征库进行匹配,如果在所述预设入侵特征库中命中,则所述目标网络数据包中存在入侵数据。
在第二种具体的实施过程中,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:利用预设异常检测算法对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。也即,利用预设异常检测算法对所述目标网络数据包进行处理,如果检测到异常,则所述目标网络数据包中存在入侵数据。
在具体的实施过程中,所述对所述目标网络数据包进行入侵检测之前,可以先判断所述目标数据包是否为网络体系结构中的应用层的数据包,若所述目标网络数据包为网络体系结构中的应用层的数据包,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;若所述目标网络数据包为非网络体系结构中的应用层的数据包,则对所述目标网络数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。直到所述目标数据包为网络体系结构中的应用层的数据包。
在具体的实施过程中,若无法识别所述目标网络数据包的绕过类型,则输出人工确认提醒信息;根据人工确认结果,更新所述预设绕过识别特征库。
参见图3所示,为一种入侵检测方法流程图。先对待检测网络数据包进行绕过类型识别,得到待检测网络数据包的绕过类型,如果待检测网络数据包中不包括绕过,则直接对待检测网络数据包进行入侵检测,以便判断待检测网络数据包中是否存在入侵,如果待检测网络数据包中的绕过为可解码的绕过类型,则先进行绕过解码,再对解码后的数据包进行入侵检测,确定出待检测数据包中是否存在入侵,如果待检测网络数据包中的绕过为不可解码的绕过类型,则直接进行绕过规则匹配,确定出待检测数据包中是否存在入侵,也即直接将待检测网络数据包与绕过入侵特征进行匹配,以确定出待检测数据包中是否存在入侵。
目前现有技术对于一些类型的绕过来说解码无法还原原始特征,例如,HTML绕过中的JavaScript混淆,在混淆过程中,部分JavaScript代码被重新编码,无法还原原始特征,即使解码,也无法还原原始特征,极大地降低了检测率。本申请能够基于绕过类型进行自适应调整,在绕过类型为不可解码绕过时,采用绕过入侵特征库进行入侵检测,从而提高了检测准确率。
参见图4所示,本申请实施例公开了一种入侵检测装置,包括:
数据包获取模块11,用于获取目标网络数据包;
绕过类型识别模块12,用于对所述目标网络数据包中的绕过类型进行识别;
第一检测模块13,用于在识别出所述目标网络数据包中包括绕过时,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据;
第二检测模块14,用于在识别出所述目标网络数据包中不包括绕过时,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
可见,本申请先获取目标网络数据包,然后对所述目标网络数据包中的绕过类型进行识别,如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。这样先对获取到的网络数据包进行绕过类型识别,然后根据识别的结果进行具体的处理,如果网络数据包中不包括绕过就可以直接进行一般的入侵检测,如果网络数据包中包括绕过,就可以根据具体的绕过类型进行绕过入侵检测,降低检测过程中的性能损耗,并提高检测过程中的吞吐量。
具体的,所述第一检测模块13,包括:
解码单元,用于在所述目标网络数据包中的绕过类型为可解码绕过时,则对所述目标网络数据包中的绕过进行解码,得到解码后数据包;
检测单元,用于对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据。
具体的,所述第一检测模块13,包括:
特征匹配单元,用于在所述目标网络数据包中的绕过类型为不可解码绕过时,则将所述目标网络数据包中的数据与预先建立的绕过入侵特征库进行匹配,以确定出所述目标网络数据包中是否存在入侵数据。
进一步的,所述第二检测模块14,具体用于:
在所述目标网络数据包为网络体系结构中的应用层的数据包时,对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
在所述目标网络数据包为非网络体系结构中的应用层的数据包时,对所述目标网络数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。
进一步的,所述第一检测模块13,具体用于:
在所述目标网络数据包中的绕过类型为可解码绕过时,则对所述目标网络数据包中的绕过进行解码,得到解码后数据包;
在所述解码后数据包为网络体系结构中的应用层的数据包时,对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据;
在所述解码后数据包为非网络体系结构中的应用层的数据包时,对所述解码后数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。
所述绕过类型识别模块12,包括:
解析单元,用于对所述目标网络数据包进行解析;
匹配单元,用于将解析后目标网络数据包与预设绕过识别特征库进行匹配;
绕过类型确定单元,用于在解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上时,则将匹配上的绕过识别特征对应的绕过类型确定为所述目标网络数据包中的绕过类型。
进一步的,所述绕过类型确定单元,具体用于:
在解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,且匹配上的绕过识别特征对应的绕过类型包括可解码绕过和不可解码绕过时,则将所述目标网络数据包中的绕过类型确定为不可解码绕过。
进一步的,参见图5所示,本申请实施例还公开了一种入侵检测设备,包括:处理器21和存储器22。
其中,所述存储器22,用于存储计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例中公开的入侵检测方法。
其中,关于上述入侵检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,参见图6所示,为本申请实施例提供的一种电子设备20的结构示意图,该电子设备20具体可以包括但不限于平板电脑、笔记本电脑或台式电脑等。
通常,本实施例中的电子设备20除包括前述实施例中公开的处理器21和存储器22外,还可包括有显示屏23、输入输出接口24、通信接口25、传感器26、电源27以及通信总线28。
其中,处理器21可以包括一个或多个处理核心,比如四核心处理器、八核心处理器等。处理器21可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array,现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(central processing unit,中应处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以集成有GPU(graphics processing unit,图像处理器),GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中,处理器21可以包括AI(artificialintelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器22可以包括一个或多个计算机可读存储介质,计算机可读存储介质可以是非暂态的。存储器22还可以包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器22至少用于存储以下计算机程序221,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例中公开的入侵检测方法步骤。
本技术领域人员可以理解,图6中示出的结构并不构成对电子设备20的限定,可以包括比图示更多或更少的组件。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述任一实施例中公开的入侵检测方法。
其中,关于上述入侵检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种入侵检测方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (8)
1.一种入侵检测方法,其特征在于,包括:
获取目标网络数据包;
对所述目标网络数据包中的绕过类型进行识别;
如果识别出所述目标网络数据包中包括绕过,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据;
如果识别出所述目标网络数据包中不包括绕过,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
所述对所述目标网络数据包中的绕过类型进行识别,包括:
对所述目标网络数据包进行解析;
将解析后目标网络数据包与预设绕过识别特征库进行匹配;
如果解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,则将匹配上的绕过识别特征对应的绕过类型确定为所述目标网络数据包中的绕过类型;
所述将解析后目标网络数据包与预设绕过识别特征库进行匹配之后,还包括:
如果解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,且匹配上的绕过识别特征对应的绕过类型包括可解码绕过和不可解码绕过,则将所述目标网络数据包中的绕过类型确定为不可解码绕过;其中,所述不可解码绕过为网络数据包中使用的绕过技术无法被解码还原或解码性能损耗大而不进行解码,所述可解码绕过为网络数据包中使用的绕过技术可被解码。
2.根据权利要求1所述的入侵检测方法,其特征在于,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为可解码绕过,则对所述目标网络数据包中的绕过进行解码,得到解码后数据包;
对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据。
3.根据权利要求1所述的入侵检测方法,其特征在于,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为不可解码绕过,则将所述目标网络数据包中的数据与预先建立的绕过入侵特征库进行匹配,以确定出所述目标网络数据包中是否存在入侵数据。
4.根据权利要求1所述的入侵检测方法,其特征在于,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
若所述目标网络数据包为网络体系结构中的应用层的数据包,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
若所述目标网络数据包为网络体系结构中的非应用层的数据包,则对所述目标网络数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。
5.根据权利要求4所述的入侵检测方法,其特征在于,所述根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据,包括:
如果所述目标网络数据包中的绕过类型为可解码绕过,则对所述目标网络数据包中的绕过进行解码,得到解码后数据包;
若所述解码后数据包为网络体系结构中的应用层的数据包,则对所述解码后数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据;
若所述解码后数据包为网络体系结构中的非应用层的数据包,则对所述解码后数据包进行处理,得到网络体系结构中上一层的网络数据包,并将该网络数据包重新作为所述目标网络数据包,返回执行所述对所述目标网络数据包中的绕过类型进行识别的步骤以及后续步骤。
6.一种入侵检测装置,其特征在于,包括:
数据包获取模块,用于获取目标网络数据包;
绕过类型识别模块,用于对所述目标网络数据包中的绕过类型进行识别;
第一检测模块,用于在识别出所述目标网络数据包中包括绕过时,则根据所述目标网络数据包中的绕过类型对所述目标网络数据包进行相应的处理操作,以检测所述目标网络数据包中是否存在入侵数据;
第二检测模块,用于在识别出所述目标网络数据包中不包括绕过时,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
所述绕过类型识别模块,包括:
解析单元,用于对所述目标网络数据包进行解析;
匹配单元,用于将解析后目标网络数据包与预设绕过识别特征库进行匹配;
绕过类型确定单元,用于在解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上时,则将匹配上的绕过识别特征对应的绕过类型确定为所述目标网络数据包中的绕过类型;
所述绕过类型确定单元,具体用于:
在解析后目标网络数据包与预设绕过识别特征库中的绕过识别特征匹配上,且匹配上的绕过识别特征对应的绕过类型包括可解码绕过和不可解码绕过时,则将所述目标网络数据包中的绕过类型确定为不可解码绕过;其中,所述不可解码绕过为网络数据包中使用的绕过技术无法被解码还原或解码性能损耗大而不进行解码,所述可解码绕过为网络数据包中使用的绕过技术可被解码。
7.一种入侵检测设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至5任一项所述的入侵检测方法。
8.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的入侵检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010731140.1A CN113328982B (zh) | 2020-07-27 | 2020-07-27 | 一种入侵检测方法、装置、设备、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010731140.1A CN113328982B (zh) | 2020-07-27 | 2020-07-27 | 一种入侵检测方法、装置、设备、介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113328982A CN113328982A (zh) | 2021-08-31 |
| CN113328982B true CN113328982B (zh) | 2022-04-29 |
Family
ID=77413035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010731140.1A Active CN113328982B (zh) | 2020-07-27 | 2020-07-27 | 一种入侵检测方法、装置、设备、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113328982B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900339A (zh) * | 2022-04-20 | 2022-08-12 | 北京持安科技有限公司 | 入侵检测方法、系统、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833263A (zh) * | 2012-09-07 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 入侵检测和防护的方法及设备 |
| CN102938771A (zh) * | 2012-12-05 | 2013-02-20 | 山东中创软件商用中间件股份有限公司 | 一种网络应用防火墙的方法和系统 |
| CN106161479A (zh) * | 2016-09-21 | 2016-11-23 | 杭州迪普科技有限公司 | 一种支持特征跨包的编码攻击检测方法和装置 |
| CN106888211A (zh) * | 2017-03-10 | 2017-06-23 | 北京安赛创想科技有限公司 | 一种网络攻击的检测方法及装置 |
| CN110958252A (zh) * | 2019-12-05 | 2020-04-03 | 深信服科技股份有限公司 | 一种网络安全设备及其网络攻击检测方法、装置和介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8763121B2 (en) * | 2011-01-20 | 2014-06-24 | F-Secure Corporation | Mitigating multiple advanced evasion technique attacks |
-
2020
- 2020-07-27 CN CN202010731140.1A patent/CN113328982B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833263A (zh) * | 2012-09-07 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 入侵检测和防护的方法及设备 |
| CN102938771A (zh) * | 2012-12-05 | 2013-02-20 | 山东中创软件商用中间件股份有限公司 | 一种网络应用防火墙的方法和系统 |
| CN106161479A (zh) * | 2016-09-21 | 2016-11-23 | 杭州迪普科技有限公司 | 一种支持特征跨包的编码攻击检测方法和装置 |
| CN106888211A (zh) * | 2017-03-10 | 2017-06-23 | 北京安赛创想科技有限公司 | 一种网络攻击的检测方法及装置 |
| CN110958252A (zh) * | 2019-12-05 | 2020-04-03 | 深信服科技股份有限公司 | 一种网络安全设备及其网络攻击检测方法、装置和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113328982A (zh) | 2021-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101811325B1 (ko) | 네트워크 환경에서의 악성 스크립트 언어 코드의 검출 | |
| CN106470214B (zh) | 攻击检测方法和装置 | |
| US20110219446A1 (en) | Input parameter filtering for web application security | |
| CN106161479B (zh) | 一种支持特征跨包的编码攻击检测方法和装置 | |
| CN107463844B (zh) | Web木马检测方法及系统 | |
| CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| US9838418B1 (en) | Detecting malware in mixed content files | |
| CN111628990A (zh) | 识别攻击的方法、装置和服务器 | |
| CN104766013A (zh) | 一种基于跳表的跨站脚本攻击防御方法 | |
| CN113141331A (zh) | 一种xss攻击检测方法、装置、设备及介质 | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN113055399A (zh) | 注入攻击的攻击成功检测方法、系统及相关装置 | |
| CN113472803A (zh) | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 | |
| CN113328982B (zh) | 一种入侵检测方法、装置、设备、介质 | |
| CN113472791A (zh) | 一种攻击检测方法、装置、电子设备及可读存储介质 | |
| KR101228900B1 (ko) | 비 pe파일의 악성 컨텐츠 포함 여부를 판단하는 방법 및 시스템 | |
| CN112351002A (zh) | 一种报文检测方法、装置及设备 | |
| CN113965333A (zh) | 一种目标流量检测方法、装置、设备及可读存储介质 | |
| CN110933094A (zh) | 一种网络安全设备及其smb漏洞检测方法、装置和介质 | |
| CN112953957B (zh) | 一种入侵防御方法、系统及相关设备 | |
| CN112202717B (zh) | 一种http请求的处理方法、装置、服务器及存储介质 | |
| CN109218284B (zh) | Xss漏洞检测方法及装置、计算机设备及可读介质 | |
| CN113297577A (zh) | 一种请求处理方法、装置、电子设备及可读存储介质 | |
| CN114024651A (zh) | 一种编码类型识别方法、装置、设备及可读存储介质 | |
| CN107577941A (zh) | 拦截编码绕过的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |