CN113765852B - 数据包的检测方法、系统、存储介质和计算设备 - Google Patents
数据包的检测方法、系统、存储介质和计算设备 Download PDFInfo
- Publication number
- CN113765852B CN113765852B CN202010495628.9A CN202010495628A CN113765852B CN 113765852 B CN113765852 B CN 113765852B CN 202010495628 A CN202010495628 A CN 202010495628A CN 113765852 B CN113765852 B CN 113765852B
- Authority
- CN
- China
- Prior art keywords
- data packet
- detection
- detected
- code
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请提供一种数据包的检测方法,包括:获取待检测数据包;根据所述待检测数据包的特征信息对所述待检测数据包分类;根据所述待检测数据包的分类对所述待检测数据包执行对应的模式检测。本申请在获取待检测数据包后,先对待检测数据包进行分类,使得待检测数据包可以根据其类别采用对应的模式检测,解决了部分漏洞因为模式匹配漏洞检测能力有限的问题,提高了网络入侵检测能力,降低了入侵检测的性能耗损,有效提高终端设备的网络防御能力。本申请还提供一种检测系统、计算机可读存储介质和计算设备,具有上述有益效果。
Description
技术领域
本申请涉及网络安全领域,特别涉及一种数据包的检测方法、系统、存储介质和计算设备。
背景技术
通过漏洞进行攻击是入侵最常用的方式之一,因此检测漏洞攻击数据包是入侵防御系统最重要的能力之一。漏洞检测经常被用于安全防护领域。相关技术中的漏洞攻击数据包检测主要的检测技术有两种:一种采用模式匹配检测,另一种采用代码匹配检测。但模式匹配检测能力较差,无法防御部分漏洞。而代码检测对于设备性能损耗较大,不利于长期使用。
因此,如何提高数据包的检测能力是本领域技术人员亟需解决的技术问题。
发明内容
本申请的目的是提供一种数据包的检测方法、检测系统、计算机可读存储介质和计算设备,能够提高数据包的检测能力。
为解决上述技术问题,本申请提供一种数据包的检测方法,具体技术方案如下:
获取待检测数据包;
根据所述待检测数据包的特征信息对所述待检测数据包分类;
根据所述待检测数据包的分类对所述待检测数据包执行对应的模式检测。
可选的,根据所述待检测数据包的特征信息将所述待检测数据包分类包括:
根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包和/或代码检测类数据包;
则根据分类后的待检测数据包执行对应的模式检测包括:
对所述模式检测类数据包执行模式匹配检测;
对所述代码检测类数据包执行代码匹配检测。
可选的,根据所述待检测数据包的特征信息将所述待检测数据包分类包括:
根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包、代码检测类数据包和未知类数据包;
则根据分类后的待检测数据包执行对应的模式检测包括:
对所述模式检测类数据包执行模式匹配检测;
对所述代码检测类数据包执行代码匹配检测;
对所述未知类数据包进行模式匹配检测和代码匹配检测。
可选的,对所述未知类数据包进行模式匹配检测和代码匹配检测之后,还包括:
将所述未知类数据包的模式特征添加至所述模式匹配检测的模式特征数据库;
和/或,
将所述未知类数据包的代码文件添加至所述代码匹配检测的代码数据库。
可选的,对所述模式检测类数据包执行模式匹配检测包括:
利用模式特征数据库对所述模式检测类数据包进行多模匹配或单模匹配;
若采用所述单模匹配,对所述模式检测类数据包进行字符检测;
若采用所述多模匹配,构建AC自动机,并利用所述AC自动机对所述模式检测类数据包进行模式串检测;
若模式检测类数据包包含异常字符串或异常正则表达式,将所述模式检测类数据包作为恶意数据包。
可选的,对所述代码检测类数据包执行代码匹配检测包括:
调用代码数据库中的代码文件对所述代码检测类数据包进行逻辑检测;
判断所述代码检测类数据包是否符合漏洞攻击逻辑;
若是,将所述代码检测类数据包作为恶意数据包;
若否,将所述代码检测类数据包作为正常数据包。
本申请还提供一种数据包的检测系统,包括:
获取模块,用于获取待检测数据包;
分类模块,用于根据所述待检测数据包的特征信息对所述待检测数据包分类;
检测模块,用于根据所述待检测数据包的分类对所述待检测数据包执行对应的模式检测。
可选的,所述分类模块包括:
第一分类单元,用于根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包和/或代码检测类数据包;
则所述检测模块包括:
第一检测单元,用于将所述模式检测类数据包执行模式匹配检测;
第二检测单元,用于对所述代码检测类数据包执行代码匹配检测。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的检测方法的步骤。
本申请还提供一种计算设备,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如上所述的检测方法的步骤。
本申请提供一种数据包的检测方法,包括:获取待检测数据包;根据所述待检测数据包的特征信息对所述待检测数据包分类;根据所述待检测数据包的分类对所述待检测数据包执行对应的模式检测。
本申请在获取待检测数据包后,先对待检测数据包进行分类,使得待检测数据包可以根据其类别采用对应的模式检测,解决了部分漏洞因为模式匹配漏洞检测能力有限的问题,提高了网络入侵检测能力,降低了入侵检测的性能耗损,有效提高终端设备的网络防御能力。
本申请还提供一种检测系统、计算机可读存储介质和计算设备,具有上述有益效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种数据包的检测方法的流程图;
图2为本申请实施例所提供的一种数据包的检测过程示意图;
图3为本申请实施例所提供的另一种数据包的检测过程示意图:
图4为本申请实施例所提供的一种数据包的检测系统结构示意图;
图5为本申请实施例所提供的一种计算设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前对于漏洞的检测方式主要包含模式匹配和漏洞匹配两种。基于模式匹配的方法进行检测中,如通过字符串或者正则表达式的方法描述漏洞特征,使用模式匹配进行检测。若在数据包中检测出攻击特征的字符串或正则表达式,则认为该数据包正在利用漏洞攻击。该方法性能损耗低,但存在某些漏洞特征无法描述的缺点,因而无法防御某些漏洞。例如:存在一个缓冲区溢出漏洞,该漏洞的特征是两个字段解析出来对于的两个数字相乘是否会溢出变成负数,通过这个负数完成偏移计算是否会溢出缓冲区。若要防御该漏洞则需要进行复杂的逻辑判断和数学计算,而基于模式匹配的方法只能完成简单固定的匹配,因此无法完成该漏洞的防御。
基于代码匹配的方法进行检测中,通过代码语言所具有的图灵完备性,使用逻辑判断,数学计算等方法描述漏洞特征。通过代码语言对数据包进行分析判断,若该数据包符合攻击特征,则认为该数据包正在利用漏洞进行攻击。该方法能准确的描述漏洞特征,但频繁调用代码文件用于入侵检测会造成性能损耗较大的问题。同时代码编写需要考虑复杂度的因素,当复杂度过高时,对性能损耗影响较大。
为了解决上述两种检测方式的缺陷,本申请在此提供一种数据包的检测方法。
参见图1,图1为本申请实施例所提供的一种数据包的检测方法的流程图,该方法包括:
S101:获取待检测数据包;
S102:根据所述待检测数据包的特征信息对所述待检测数据包分类;
S103:根据所述待检测数据包的分类对所述待检测数据包执行对应的模式检测。
首先获取待检测数据包。在检测过程中,可以将所有进入网络的数据包均视为待检测数据包,或者将特定来源的数据包作为待检测数据包。
获取待检测数据包后,对待检测数据包进行分类。在进行分类时,可以按照各数据包的特征信息确定其所属类别。特征信息指的是待检测数据包的漏洞特征,包括但不限定于漏洞特征的文件格式或内容类型等。以文件格式为例,PDF类型的待检测数据包适用于代码匹配类检测,而TXT类型的待检测数据包适用于模式匹配类检测。如某些文件类的一些漏洞的特征无法使用模式匹配检测,而某些协议类漏洞可以使用通过模式匹配描述特征。将两者分开处理可以减少不必要的匹配,降低性能损耗。由于代码匹配需要较多的时间,而大部分数据包都可以通过模式匹配进行检测。通过分类过滤可以过滤掉大量无需要代码匹配的数据包,降低性能损耗。
需要注意的是,步骤S101中的待检测数据包可以为一个,也可以为多个,即本实施例对于数据包的获取方式不作任何具体限定。其可以针对待检测数据包逐一获取,也可以直接获取一次入侵过程的所有数据包并作为待检测数据包。
在此对于如何根据待检测数据包的特征信息分类不作具体限定,参见图2,图2为本申请实施例所提供的一种数据包的检测过程示意图,在步骤S102的第一种优选实施例中,可以将待检测数据包直接分为模式检测类数据包和/或代码检测类数据包。采用此种分类方式时,对于任何一个待检测数据包,其或是模式检测类数据包,或是代码检测类数据包。此时需要将待检测数据包分为模式检测类数据包和代码检测类数据包两类。对应的,执行步骤S103时,对模式检测类数据包执行模式匹配检测,对代码检测类数据包执行代码匹配检测。
参见图3,图3为本申请实施例所提供的另一种数据包的检测过程示意图,在步骤S102的第二种优选实施例中,可以根据待检测数据包的特征信息将待检测数据包分为模式检测类数据包、代码检测类数据包和未知类数据包。由于并非所有数据包均可以在分类时确认其适用于何种检测方式,因此对于难以直接根据特征信息判定其所属类别的待检测数据包归为未知类数据包。则对应的,执行步骤S103时,对模式检测类数据包执行模式匹配检测,对代码检测类数据包执行代码匹配检测,对未知类数据包进行模式匹配检测和代码匹配检测。需要注意的是,由于代码匹配检测的检测能力较强,同时其对于设备性能占用较高,因此对于未知类数据包采用模式匹配检测和代码匹配检测相结合时,通常先利用模式匹配检测,若模式匹配检测未显示异常,再利用代码匹配进行检测。若模式匹配检测可以直接确定未知类数据包异常,可以不进行代码匹配检测。
在上述实施例的基础上,本领域技术人员还可以将待检测数据包按照不同类别的特征信息从而采用其他的分类方式,但在不脱离本申请对于待检测数据包分类思想及原理的基础上,均应在本申请的保护范围内。
此外,本实施例对于待检测数据包的检测结果及后续处理方式不作限定。若是检测到恶意数据包,可以对其进行阻断或者隔离,终止其数据传递过程,并记录其入侵行为,能够保护网络免遭攻击和入侵。
本实施例在获取待检测数据包后,先对待检测数据包进行分类,使得待检测数据包可以根据其类别采用对应的模式检测,解决了部分漏洞因为模式匹配漏洞检测能力有限的问题,提高了网络入侵检测能力,降低了入侵检测的性能耗损,有效提高终端设备的网络防御能力。
在上述实施例的基础上,下文针对模式匹配检测和代码匹配检测进行具体描述:
对于模式匹配检测,利用模式特征数据库对模式检测类数据包进行多模匹配或单模匹配。
若采用单模匹配,对模式检测类数据包进行字符检测。
若采用多模匹配,构建AC自动机,并利用AC自动机对模式检测类数据包进行模式串检测。
需要说明的是,选择采用单模匹配还是多模匹配可以由本领域技术人员进行设定,在此不做具体限定。通常,可以根据所检测的字符串或者正则表达式数量决定采用单模匹配或是多模匹配。当需要检测的模式串有多个时,若采用单模匹配,需要针对每个模式串对模式检测类数据包检测一次,将耗费大量时间,此时优选采用多模匹配。常见的单模匹配算法包括BF(BruteForce)暴力匹配算法以及RK(Rabin-Karp)算法,多模匹配时可以采用AC自动机算法,即构建AC自动机进行模式串检测,当然还可以采用字典树检测算法等其他多模式匹配算法,在此不一一举例限定。
无论是单模匹配还是多模匹配,若检测到模式检测类数据包包含异常字符串或异常正则表达式,将模式检测类数据包作为恶意数据包。当然,若未检测出异常字符串或异常正则表达式,视该模式检测类数据包正常。
对于代码匹配检测,可以调用代码数据库中的代码文件对代码检测类数据包进行逻辑检测。具体的,可以先配置每个漏洞对应的代码文件。该代码文件通常来自于代码数据库,当然,也可以使用通用编程语言(如C语言)或者脚本语言(如lua)编写对应的代码文件。此后即可利用代码文件对于代码检测类数据包进行解析,对代码检测类数据包进行数据提取和逻辑计算,旨在判断其逻辑是否符合漏洞攻击逻辑,因此需要判断代码检测类数据包是否符合漏洞攻击逻辑,若符合,将代码检测类数据包作为恶意数据包,否则将代码检测类数据包作为正常数据包。
本实施例旨在对于上述实施例中模式匹配检测和代码匹配检测作进一步描述,本领域技术人员还可以在本实施例的基础上改进得到其他模式匹配检测方法或者代码匹配检测方法,均应在本申请的保护范围内。
在上述步骤S102的第二种优选实施例中,若将待检测数据包分为模式检测类数据包、代码检测类数据包和未知类数据包三类,那么执行对未知类数据包进行模式匹配检测和代码匹配检测之后,还可以将未知类数据包的模式特征添加至模式匹配检测的模式特征数据库,或者将未知类数据包的代码文件添加至代码匹配检测的代码数据库,或者未知类数据包的模式特征添加至模式特征数据库并将代码文件添加至代码数据库。本实施例通过将未知类数据包进行检测后得到的模式特征或者代码文件加入对应的数据库,使得数据包的检测具备扩展性,可以通过在模式特征数据库添加模式特征或者在代码数据库中添加代码特征,及时更新检测数据库。随着漏洞的不断增加,不会因检测数据库的滞后性降低防御性能,进一步提高对于数据包的检测能力,从而有效实现网络入侵防御。同时,容易理解的是,由于针对此类未知类数据包的模式特征或代码文件已经添加至对应的检测数据库,在下一次对此类未知类数据包分类时,可以直接根据本次检测结果将其归入模式检测类数据包或者代码检测类数据包,而无需再划分为未知类数据包,使得此后检测此类待检测数据包时具备明确的检测方式,能够进一步提高数据包的检测效率,降低设备的性能损坏。
当然,在本实施例的基础上,本领域技术人员还可以从其他来源获取新漏洞的代码文件或者模式特征,并添加至相应的检测数据库中,也应在本申请的保护范围内。例如根据网络上最新公开的漏洞特征及其代码文件或者模式特征等对检测数据库进行扩展等。
下面对本申请实施例提供的一种数据包的检测系统进行介绍,下文描述的检测系统与上文描述的数据包的检测方法可相互对应参照。
参见图4,图4为本申请实施例所提供的一种数据包的检测系统结构示意图,本申请还提供一种数据包的检测系统,包括:
获取模块100,用于获取待检测数据包;
分类模块200,用于根据所述待检测数据包的特征信息对所述待检测数据包分类;
检测模块300,用于根据所述待检测数据包的分类对所述待检测数据包执行对应的模式检测。
在上述实施例的基础上,作为优选的实施例,所述分类模块200可以包括:
第一分类单元,用于根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包和/或代码检测类数据包;
则所述检测模块300包括:
第一检测单元,用于将所述模式检测类数据包执行模式匹配检测;
第二检测单元,用于对所述代码检测类数据包执行代码匹配检测。
在上述实施例的基础上,作为优选的实施例,所述分类模块200可以包括:
第二分类单元,用于根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包、代码检测类数据包和未知类数据包;
则所述检测模块300包括:
第一检测单元,用于将所述模式检测类数据包执行模式匹配检测;
第二检测单元,用于对所述代码检测类数据包执行代码匹配检测;
第三检测单元,用于对所述未知类数据包进行模式匹配检测和代码匹配检测。
在上述实施例的基础上,作为优选的实施例,该检测系统还可以包括:
扩展模块,用于将所述未知类数据包的模式特征添加至所述模式匹配检测的模式特征数据库,和/或,将所述未知类数据包的代码文件添加至所述代码匹配检测的代码数据库。
在上述实施例的基础上,作为优选的实施例,所述第一检测单元具体为利用模式特征数据库对所述模式检测类数据包进行多模匹配或单模匹配的单元;
所述第一检测单元包括:
单模匹配子单元,用于对所述模式检测类数据包进行字符检测;
多模匹配子单元,用于构建AC自动机,并利用所述AC自动机对所述模式检测类数据包进行模式串检测;
检测子单元,用于模式检测类数据包包含异常字符串或异常正则表达式时,将所述模式检测类数据包作为恶意数据包。
在上述实施例的基础上,作为优选的实施例,所述第二检测单元为用于调用代码数据库中的代码文件对所述代码检测类数据包进行逻辑检测的单元;
所述第二检测单元可以包括:
判断子单元,用于判断所述代码检测类数据包是否符合漏洞攻击逻辑;
第一检测子单元,用于所述判断子单元判断结果为是时,将所述代码检测类数据包作为恶意数据包;
第二检测子单元,用于所述判断子单元判断结果为否时,将所述代码检测类数据包作为正常数据包。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的数据包的检测方法的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种计算设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的数据包的检测方法的步骤。当然所述计算设备还可以包括各种网络接口,电源等组件。请参见图5,图5为本申请实施例所提供的一种计算设备的结构示意图,本实施例的计算设备可以包括:处理器2101和存储器2102。
可选的,该计算设备还可以包括通信接口2103、输入单元2104和显示器2105和通信总线2106。
处理器2101、存储器2102、通信接口2103、输入单元2104、显示器2105、均通过通信总线2106完成相互间的通信。
在本申请实施例中,该处理器2101,可以为中央处理器(CentralProcessingUnit,CPU),特定应用集成电路,数字信号处理器、现成可编程门阵列或者其他可编程逻辑器件等。
该处理器可以调用存储器2102中存储的程序。具体的,处理器可以执行上文的实施例中计算设备所执行的操作。
存储器2102中用于存放一个或者一个以上程序,程序可以包括程序代码,所述程序代码包括计算机操作指令,在本申请实施例中,该存储器中至少存储有用于实现以下功能的程序:
获取待检测数据包;
根据所述待检测数据包的特征信息对所述待检测数据包分类;
根据所述待检测数据包的分类对所述待检测数据包执行对应的模式检测。
在一种可能的实现方式中,该存储器2102可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、以及至少一个功能(比如话题检测功能等)所需的应用程序等;存储数据区可存储根据计算机的使用过程中所创建的数据。
此外,存储器2102可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
该通信接口2103可以为通信模块的接口,如GSM模块的接口。
本申请还可以包括显示器2105和输入单元2104等等。
图5所示的计算设备的结构并不构成对本申请实施例中计算设备的限定,在实际应用中计算设备可以包括比图5所示的更多或更少的部件,或者组合某些部件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言,由于其与实施例提供的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种数据包的检测方法,其特征在于,包括:
获取待检测数据包;
根据所述待检测数据包的特征信息对所述待检测数据包分类;所述特征信息包括漏洞特征的文件格式或所述漏洞特征的内容类型;
根据所述待检测数据包的分类对所述待检测数据包执行对应的检测;
其中,根据所述待检测数据包的特征信息将所述待检测数据包分类包括:
根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包和/或代码检测类数据包;
则所述根据所述待检测数据包的分类对所述待检测数据包执行对应的检测包括:
对所述模式检测类数据包执行模式匹配检测;
对所述代码检测类数据包执行代码匹配检测。
2.根据权利要求1所述的检测方法,其特征在于,根据所述待检测数据包的特征信息将所述待检测数据包分类包括:
根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包、代码检测类数据包和未知类数据包;
则所述根据所述待检测数据包的分类对所述待检测数据包执行对应的检测包括:
对所述模式检测类数据包执行模式匹配检测;
对所述代码检测类数据包执行代码匹配检测;
对所述未知类数据包进行模式匹配检测和代码匹配检测。
3.根据权利要求2所述的检测方法,其特征在于,对所述未知类数据包进行模式匹配检测和代码匹配检测之后,还包括:
将所述未知类数据包的模式特征添加至所述模式匹配检测的模式特征数据库,
和/或,
将所述未知类数据包的代码文件添加至所述代码匹配检测的代码数据库。
4.根据权利要求1或2所述的检测方法,其特征在于,对所述模式检测类数据包执行模式匹配检测包括:
利用模式特征数据库对所述模式检测类数据包进行多模匹配或单模匹配;
若采用所述单模匹配,对所述模式检测类数据包进行字符检测;
若采用所述多模匹配,构建AC自动机,并利用所述AC自动机对所述模式检测类数据包进行模式串检测;
若模式检测类数据包包含异常字符串或异常正则表达式,将所述模式检测类数据包作为恶意数据包。
5.根据权利要求1或2所述的检测方法,其特征在于,对所述代码检测类数据包执行代码匹配检测包括:
调用代码数据库中的代码文件对所述代码检测类数据包进行逻辑检测;
判断所述代码检测类数据包是否符合漏洞攻击逻辑;
若是,将所述代码检测类数据包作为恶意数据包;
若否,将所述代码检测类数据包作为正常数据包。
6.一种数据包的检测系统,其特征在于,包括:
获取模块,用于获取待检测数据包;
分类模块,用于根据所述待检测数据包的特征信息对所述待检测数据包分类;所述特征信息包括漏洞特征的文件格式或所述漏洞特征的内容类型;
检测模块,用于根据所述待检测数据包的分类对所述待检测数据包执行对应的检测;
其中,所述分类模块包括:
第一分类单元,用于根据所述待检测数据包的特征信息将所述待检测数据包分为模式检测类数据包和/或代码检测类数据包;
则所述检测模块包括:
第一检测单元,用于将所述模式检测类数据包执行模式匹配检测;
第二检测单元,用于对所述代码检测类数据包执行代码匹配检测。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的检测方法的步骤。
8.一种计算设备,其特征在于,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1-5任一项所述的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010495628.9A CN113765852B (zh) | 2020-06-03 | 2020-06-03 | 数据包的检测方法、系统、存储介质和计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010495628.9A CN113765852B (zh) | 2020-06-03 | 2020-06-03 | 数据包的检测方法、系统、存储介质和计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113765852A CN113765852A (zh) | 2021-12-07 |
| CN113765852B true CN113765852B (zh) | 2023-05-12 |
Family
ID=78783309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010495628.9A Active CN113765852B (zh) | 2020-06-03 | 2020-06-03 | 数据包的检测方法、系统、存储介质和计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765852B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| CN103475653A (zh) * | 2013-09-05 | 2013-12-25 | 北京科能腾达信息技术股份有限公司 | 网络数据包的检测方法 |
| CN104298923A (zh) * | 2014-09-28 | 2015-01-21 | 北京奇虎科技有限公司 | 漏洞类型识别方法以及装置 |
| KR101491101B1 (ko) * | 2013-09-04 | 2015-02-10 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
| CN107426049A (zh) * | 2017-05-16 | 2017-12-01 | 国家计算机网络与信息安全管理中心 | 一种网络流量精确检测方法、设备及存储介质 |
| CN108737367A (zh) * | 2018-04-02 | 2018-11-02 | 中国科学院信息工程研究所 | 一种视频监控网络的异常检测方法及系统 |
| CN109858248A (zh) * | 2018-12-26 | 2019-06-07 | 中国科学院信息工程研究所 | 恶意Word文档检测方法和装置 |
| CN109948334A (zh) * | 2019-03-26 | 2019-06-28 | 深信服科技股份有限公司 | 一种漏洞检测方法、系统及电子设备和存储介质 |
| CN110377977A (zh) * | 2019-06-28 | 2019-10-25 | 南方电网科学研究院有限责任公司 | 敏感信息泄露的检测方法、装置及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017050346A1 (en) * | 2015-09-21 | 2017-03-30 | Lantiq Beteiligungs-GmbH & Co. KG | Intrusion prevention |
-
2020
- 2020-06-03 CN CN202010495628.9A patent/CN113765852B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| KR101491101B1 (ko) * | 2013-09-04 | 2015-02-10 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
| CN103475653A (zh) * | 2013-09-05 | 2013-12-25 | 北京科能腾达信息技术股份有限公司 | 网络数据包的检测方法 |
| CN104298923A (zh) * | 2014-09-28 | 2015-01-21 | 北京奇虎科技有限公司 | 漏洞类型识别方法以及装置 |
| CN107426049A (zh) * | 2017-05-16 | 2017-12-01 | 国家计算机网络与信息安全管理中心 | 一种网络流量精确检测方法、设备及存储介质 |
| CN108737367A (zh) * | 2018-04-02 | 2018-11-02 | 中国科学院信息工程研究所 | 一种视频监控网络的异常检测方法及系统 |
| CN109858248A (zh) * | 2018-12-26 | 2019-06-07 | 中国科学院信息工程研究所 | 恶意Word文档检测方法和装置 |
| CN109948334A (zh) * | 2019-03-26 | 2019-06-28 | 深信服科技股份有限公司 | 一种漏洞检测方法、系统及电子设备和存储介质 |
| CN110377977A (zh) * | 2019-06-28 | 2019-10-25 | 南方电网科学研究院有限责任公司 | 敏感信息泄露的检测方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113765852A (zh) | 2021-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111917740B (zh) | 一种异常流量告警日志检测方法、装置、设备及介质 | |
| CN112003870A (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
| US20040205411A1 (en) | Method of detecting malicious scripts using code insertion technique | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| CN109344611B (zh) | 应用的访问控制方法、终端设备及介质 | |
| KR102462128B1 (ko) | 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법 | |
| CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
| US20170372069A1 (en) | Information processing method and server, and computer storage medium | |
| CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
| US10623426B1 (en) | Building a ground truth dataset for a machine learning-based security application | |
| CN114598512A (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| CN116204882A (zh) | 基于异构图的Android恶意软件检测方法及装置 | |
| US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
| CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN113765852B (zh) | 数据包的检测方法、系统、存储介质和计算设备 | |
| CN112711760A (zh) | 检测智能合约恶意消除重入影响漏洞的检测方法和装置 | |
| CN109255238B (zh) | 终端威胁检测与响应方法及引擎 | |
| CN116821903A (zh) | 检测规则确定及恶意二进制文件检测方法、设备及介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN115470489A (zh) | 检测模型训练方法、检测方法、设备以及计算机可读介质 | |
| CN113688240A (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
| JP7140268B2 (ja) | 警告装置、制御方法、及びプログラム | |
| CN113810342A (zh) | 一种入侵检测方法、装置、设备、介质 | |
| CN113836534B (zh) | 一种病毒家族识别方法、系统、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |