CN113904863B - 一种网络入侵检测方法、装置、设备及可读存储介质 - Google Patents
一种网络入侵检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113904863B CN113904863B CN202111241314.7A CN202111241314A CN113904863B CN 113904863 B CN113904863 B CN 113904863B CN 202111241314 A CN202111241314 A CN 202111241314A CN 113904863 B CN113904863 B CN 113904863B
- Authority
- CN
- China
- Prior art keywords
- data packet
- intrusion detection
- target
- rule
- bit mask
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 241
- 238000012216 screening Methods 0.000 claims abstract description 23
- 238000000034 method Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 9
- 230000000694 effects Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 6
- 241001501944 Suricata Species 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络入侵检测方法,包括:对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息;其中,预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码;从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合;获取入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;将通用数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。本发明较大地降低了对检测引擎性能的消耗,提升了网络入侵检测效率,提升了系统安全性。本发明还公开了一种网络入侵检测装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络入侵检测方法、装置、设备及计算机可读存储介质。
背景技术
入侵检测作为网络安全防护的一种重要手段,通常部署在关键网络内部或网络边界处,实时捕获网络内或进出网络的报文数据并进行智能分析,发现可能入侵的行为。Suricata作为一个成熟稳定的实时入侵检测引擎(Intrusion Detection System,IDS),依靠强大的可扩展性的规则和特征语言来分析检测网络流量。
现有技术中,在对接收到的网络数据包进行入侵检测时,需要对众多规则分别进行匹配,且每个规则包含多个待匹配条件,需要进行全部条件的匹配。由于规则数据本身基数就比较大,导致网络入侵检测消耗较多的检测引擎性能,网络入侵检测效率低,威胁系统安全。
综上所述,如何有效地解决网络入侵检测消耗较多的检测引擎性能,网络入侵检测效率低,威胁系统安全等问题,是目前本领域技术人员急需解决的问题。
发明内容
本发明的目的是提供一种网络入侵检测方法,该方法较大地降低了对检测引擎性能的消耗,提升了网络入侵检测效率,提升了系统安全性;本发明的另一目的是提供一种网络入侵检测装置、设备及计算机可读存储介质。
为解决上述技术问题,本发明提供如下技术方案:
一种网络入侵检测方法,包括:
对接收到的目标数据包进行解析,得到所述目标数据包的预设五元组信息和各预设数据包属性信息;其中,所述预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;
根据各所述预设数据包属性信息创建所述目标数据包对应的通用数据包位掩码;
从入侵检测规则库中筛选与所述预设五元组信息匹配的入侵检测规则集合;
获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;
将所述通用数据包位掩码与各所述规则位掩码进行对比,得到网络入侵检测结果。
在本发明的一种具体实施方式中,将所述通用数据包位掩码与所述规则位掩码进行对比,包括:
判断所述协议类型是否为HTTP类型;
若是,则获取所述目标数据包的HTTP头域特征,并根据所述HTTP头域特征创建所述目标数据包对应的HTTP位掩码;
结合所述通用数据包位掩码和所述HTTP位掩码确定所述目标数据包对应的目标数据包位掩码;
将所述目标数据包位掩码与各所述规则位掩码进行对比。
在本发明的一种具体实施方式中,获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码,包括:
从各所述预设数据包属性信息中选取标志数据包属性;
从所述入侵检测规则集合中筛选命中所述标志数据包属性的各入侵检测规则;
获取命中所述标志数据包属性的各所述入侵检测规则分别对应的规则位掩码。
在本发明的一种具体实施方式中,将所述通用数据包位掩码与各所述规则位掩码进行对比,得到网络入侵检测结果,包括:
判断各所述规则位掩码中是否存在与所述通用数据包位掩码匹配的规则位掩码;
若是,则将与所述通用数据包位掩码匹配的规则位掩码对应的入侵检测规则确定为目标入侵检测规则;
将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵。
在本发明的一种具体实施方式中,在将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵之后,还包括:
判断是否存在所述目标网络入侵对应的目标防护策略;
若是,则调用所述目标防护策略进行网络入侵防护操作。
在本发明的一种具体实施方式中,确定不存在所述目标网络入侵对应的目标防护策略时,还包括:
调取预设通用防护策略;
利用所述预设通用防护策略进行网络入侵防护操作。
在本发明的一种具体实施方式中,将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵,包括:
获取所述目标入侵检测规则中各参考数据包属性值;
获取各所述预设数据包属性信息分别对应的目标数据包属性值;
判断各所述目标数据包属性值是否与各所述参考数据包属性值的一致率是否高于预设值;
若是,则将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵。
一种网络入侵检测装置,包括:
数据包解析模块,用于对接收到的目标数据包进行解析,得到所述目标数据包的预设五元组信息和各预设数据包属性信息;其中,所述预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;
通用位掩码创建模块,用于根据各所述预设数据包属性信息创建所述目标数据包对应的通用数据包位掩码;
规则集合筛选模块,用于从入侵检测规则库中筛选与所述预设五元组信息匹配的入侵检测规则集合;
规则位掩码获取模块,用于获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;
入侵检测结果获得模块,用于将所述通用数据包位掩码与各所述规则位掩码进行对比,得到网络入侵检测结果。
一种网络入侵检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前所述网络入侵检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述网络入侵检测方法的步骤。
本发明所提供的网络入侵检测方法,对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息;其中,预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码;从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合;获取入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;将通用数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。
由上述技术方案可知,通过预先设置五元组信息进行初步规则筛选,得到入侵检测规则集合,预先为各入侵检测规则分别创建规则位掩码,并根据解析得到的数据包属性信息为接收到的目标数据包创建通用数据包位掩码,通过将目标数据包的通用数据包位掩码与各入侵检测规则的规则位掩码进行对比,得到网络入侵检测结果。通过比较位掩码进行快速高效的过滤入侵检测规则,较大地降低了对检测引擎性能的消耗,提升了网络入侵检测效率,提升了系统安全性。
相应的,本发明还提供了与上述网络入侵检测方法相对应的网络入侵检测装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中网络入侵检测方法的一种实施流程图;
图2为本发明实施例中网络入侵检测方法的另一种实施流程图;
图3为本发明实施例中网络入侵检测方法的另一种实施流程图;
图4为本发明实施例中一种网络入侵检测装置的结构框图;
图5为本发明实施例中一种网络入侵检测设备的结构框图;
图6为本实施例提供的一种网络入侵检测设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1为本发明实施例中网络入侵检测方法的一种实施流程图,方法可以包括以下步骤:
S101:对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息。
其中,预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型。
入侵检测引擎接收输入网络的目标数据包,目标数据包中包含预设五元组信息和各预设数据包属性信息,其中,预设五元组信息包括源IP(Internet Protocol,网际互连协议)、目的IP、源端口、目的端口以及协议类型。入侵检测引擎对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息。
S102:根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码。
预先设置数据包的通用数据包位掩码模板,如根据何时具有有效载荷、具有流位、具有特殊的标志位等创建通用数据包位掩码模板。入侵检测引擎在解析得到目标数据包的各预设数据包属性信息之后,根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码,如基于通用数据包位掩码模板,根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码。
位掩码在计算机学科及数字逻辑中指的是一串二进制数字,通过与目标数字的按位操作,达到屏蔽指定位而实现需求。
S103:从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合。
预先建立存储有各五元组信息与各入侵检测规则之间的对应关系的入侵检测规则库。入侵检测引擎在解析得到目标数据包的预设五元组信息之后,从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合,入侵检测规则集合包括一个及一个以上的入侵检测规则。
S104:获取入侵检测规则集合中各入侵检测规则分别对应的规则位掩码。
预先为入侵检测规则库中各入侵检测规则分别创建各自对应的规则位掩码。在从入侵检测规则库中筛选得到与预设五元组信息匹配的入侵检测规则集合之后,获取入侵检测规则集合中各入侵检测规则分别对应的规则位掩码。
在规则解析编译完成后,Suricata入侵检测引擎会为每一个规则生成一个特征(Signature)的结构体对象。根据特征对象中的一些检测项来设置通用位掩码,如根据是否需要检测Dsize属性来创建有效负载位掩码,根据是否需要检测Flowbits属性来创建流位掩码,根据是否需要检测TCP数据包中的SYN、RST等标志位来创建TCP位掩码。
S105:将通用数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。
在创建得到目标数据包对应的通用数据包位掩码,并获取到入侵检测规则集合中各入侵检测规则分别对应的规则位掩码之后,将通用数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。如果某入侵检测规则对应的规则位掩码在目标数据包对应的通用数据包位掩码中均存在,则说明目标数据包很可能携带有该入侵检测规则对应的网络入侵的威胁信息,否则忽略此入侵检测规则。通过比较位掩码进行快速高效的过滤规则,减少数据包需要匹配的规则数量,减少检测规则的开销,从而达到提升检测性能的目的,提高入侵检测速度。
由上述技术方案可知,通过预先设置五元组信息进行初步规则筛选,得到入侵检测规则集合,预先为各入侵检测规则分别创建规则位掩码,并根据解析得到的数据包属性信息为接收到的目标数据包创建通用数据包位掩码,通过将目标数据包的通用数据包位掩码与各入侵检测规则的规则位掩码进行对比,得到网络入侵检测结果。通过比较位掩码进行快速高效的过滤入侵检测规则,较大地降低了对检测引擎性能的消耗,提升了网络入侵检测效率,提升了系统安全性。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在下文的改进实施例中不再一一赘述。
参见图2,图2为本发明实施例中网络入侵检测方法的另一种实施流程图,该方法可以包括以下步骤:
S201:对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息。
其中,预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型。
S202:根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码。
S203:从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合。
S204:从各预设数据包属性信息中选取标志数据包属性。
入侵检测引擎在解析得到目标数据包的各预设数据包属性信息之后,各预设数据包属性信息中包含标志数据包属性,如具有特殊的标志位,从各预设数据包属性信息中选取标志数据包属性。
S205:从入侵检测规则集合中筛选命中标志数据包属性的各入侵检测规则。
在从各预设数据包属性信息中选取得到标志数据包属性之后,从入侵检测规则集合中筛选命中标志数据包属性的各入侵检测规则。通过在入侵检测规则集合中,先将标志数据包属性作为规则匹配的一个前提条件,将条件命中的入侵检测规则筛选出来进入后续的全部条件的匹配。从而能够将不必要的入侵检测规则提前剔除,只留下一部分需要进一步检测的入侵检测规则。
S206:获取命中标志数据包属性的各入侵检测规则分别对应的规则位掩码。
在从入侵检测规则集合中筛选得到命中标志数据包属性的各入侵检测规则之后,获取命中标志数据包属性的各入侵检测规则分别对应的规则位掩码。
S207:判断协议类型是否为HTTP类型,若是,则执行步骤S208,若否,则执行步骤S211。
预先对HTTP类型的入侵检测规则,根据特征对象中保存的特征数据,进一步解析其文本类型特征,根据文本类型特征来设置HTTP位掩码。在获取到命中标志数据包属性的各入侵检测规则分别对应的规则位掩码之后,判断协议类型是否为HTTP类型,若是,则执行步骤S208,若否,则执行步骤S211。
S208:获取目标数据包的HTTP头域特征,并根据HTTP头域特征创建目标数据包对应的HTTP位掩码。
当确定协议类型为HTTP类型时,获取目标数据包的HTTP头域特征,并根据HTTP头域特征创建目标数据包对应的HTTP位掩码。例如,若HTTP头域特征中包含Accept文本信息,则设置Accpet位掩码;若HTTP头域特征中包含Host文本信息,则设置Host位掩码;若HTTP头域特征中包含Cookie文本信息,则设置Cookie位掩码,等等。
S209:结合通用数据包位掩码和HTTP位掩码确定目标数据包对应的目标数据包位掩码。
在根据HTTP头域特征创建目标数据包对应的HTTP位掩码之后,结合通用数据包位掩码和HTTP位掩码确定目标数据包对应的目标数据包位掩码,从而使得目标数据包位掩码既包含通用数据包位掩码,也包含HTTP位掩码。
S210:将目标数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。
在确定出目标数据包对应的目标数据包位掩码之后,将目标数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。如果某入侵检测规则对应的规则位掩码在目标数据包对应的目标数据包位掩码中均存在,则说明目标数据包很可能携带有该入侵检测规则对应的网络入侵的威胁信息,否则忽略此入侵检测规则。
S211:将通用数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。
参见图3,图3为本发明实施例中网络入侵检测方法的另一种实施流程图,该方法可以包括以下步骤:
S301:对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息。
其中,预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型。
S302:根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码。
S303:从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合。
S304:从各预设数据包属性信息中选取标志数据包属性。
S305:从入侵检测规则集合中筛选命中标志数据包属性的各入侵检测规则。
S306:获取命中标志数据包属性的各入侵检测规则分别对应的规则位掩码。
S307:判断各规则位掩码中是否存在与通用数据包位掩码匹配的规则位掩码,若是,则执行步骤S308,若否,则输出数据包正常提示信息。
在根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码,并获取到命中标志数据包属性的各入侵检测规则分别对应的规则位掩码之后,判断各规则位掩码中是否存在与通用数据包位掩码匹配的规则位掩码,若是,则执行步骤S308,若否,则输出数据包正常提示信息。
S308:将与通用数据包位掩码匹配的规则位掩码对应的入侵检测规则确定为目标入侵检测规则。
当确定各规则位掩码中存在与通用数据包位掩码匹配的规则位掩码时,将与通用数据包位掩码匹配的规则位掩码对应的入侵检测规则确定为目标入侵检测规则。
S309:获取目标入侵检测规则中各参考数据包属性值。
在将与通用数据包位掩码匹配的规则位掩码对应的入侵检测规则确定为目标入侵检测规则之后,获取目标入侵检测规则中各参考数据包属性值,如当确定目标入侵检测规则中存在有效载荷时,获取目标入侵检测规则对应的有效载荷的数值,以进行进一步规则匹配,提升规则匹配的准确性。
S310:获取各预设数据包属性信息分别对应的目标数据包属性值。
在解析得到目标数据包的各预设数据包属性信息之后,获取各预设数据包属性信息分别对应的目标数据包属性值。承接步骤S309中的举例,获取目标数据包的有效载荷的数值。
S311:判断各目标数据包属性值是否与各参考数据包属性值的一致率是否高于预设值,若是,则执行步骤S312,若否,则输出目标数据包不属于目标入侵检测规则对应的网络入侵的提示信息。
在获取到目标入侵检测规则中各参考数据包属性值,并获取到目标数据包的各预设数据包属性信息分别对应的目标数据包属性值之后,判断各目标数据包属性值是否与各参考数据包属性值的一致率是否高于预设值,若是,则执行步骤S312,若否,则输出目标数据包不属于目标入侵检测规则对应的网络入侵的提示信息。
S312:将目标入侵检测规则对应的网络入侵确定为目标数据包所属的目标网络入侵。
S313:判断是否存在目标网络入侵对应的目标防护策略,若是,则执行步骤S314,若否,则执行步骤S315。
系统中预先部署有不同网络入侵分别对应的入侵防护策略,在将目标入侵检测规则对应的网络入侵确定为目标数据包所属的目标网络入侵之后,判断是否存在目标网络入侵对应的目标防护策略,若是,则执行步骤S314,若否,则执行步骤S315。
S314:调用目标防护策略进行网络入侵防护操作。
当确定存在目标网络入侵对应的目标防护策略时,调用目标防护策略进行网络入侵防护操作,从而使得对存在入侵威胁的目标数据包进行及时识别,提升了系统安全性。
S315:调取预设通用防护策略。
预先设置有通用防护策略,当确定不存在目标网络入侵对应的目标防护策略时,调取预设通用防护策略。
S316:利用预设通用防护策略进行网络入侵防护操作。
在调取到预设通用防护策略之后,利用预设通用防护策略进行网络入侵防护操作,从而在防护策略匹配失败时,也能够对系统进行安全防护。
相应于上面的方法实施例,本发明还提供了一种网络入侵检测装置,下文描述的网络入侵检测装置与上文描述的网络入侵检测方法可相互对应参照。
参见图4,图4为本发明实施例中一种网络入侵检测装置的结构框图,该装置可以包括:
数据包解析模块41,用于对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息;其中,预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;
通用数据包位掩码创建模块42,用于根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码;
规则集合筛选模块43,用于从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合;
规则位掩码获取模块44,用于获取入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;
入侵检测结果获得模块45,用于将通用数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。
由上述技术方案可知,通过预先设置五元组信息进行初步规则筛选,得到入侵检测规则集合,预先为各入侵检测规则分别创建规则位掩码,并根据解析得到的数据包属性信息为接收到的目标数据包创建通用数据包位掩码,通过将目标数据包的通用数据包位掩码与各入侵检测规则的规则位掩码进行对比,得到网络入侵检测结果。通过比较位掩码进行快速高效的过滤入侵检测规则,较大地降低了对检测引擎性能的消耗,提升了网络入侵检测效率,提升了系统安全性。
在本发明的一种具体实施方式中,入侵检测结果获得模块45包括:
第一判断子模块,用于判断协议类型是否为HTTP类型;
HTTP位掩码创建子模块,用于当确定协议类型为HTTP类型时,获取目标数据包的HTTP头域特征,并根据HTTP头域特征创建目标数据包对应的HTTP位掩码;
目标数据包位掩码确定子模块,用于结合通用数据包位掩码和HTTP位掩码确定目标数据包对应的目标数据包位掩码;
位掩码对比子模块,用于将目标数据包位掩码与各规则位掩码进行对比。
在本发明的一种具体实施方式中,规则位掩码获取模块44包括:
标志数据包属性选取子模块,用于从各预设数据包属性信息中选取标志数据包属性;
规则筛选子模块,用于从入侵检测规则集合中筛选命中标志数据包属性的各入侵检测规则;
规则位掩码获取子模块,用于获取命中标志数据包属性的各入侵检测规则分别对应的规则位掩码。
在本发明的一种具体实施方式中,入侵检测结果获得模块45包括:
第二判断子模块,用于判断各规则位掩码中是否存在与通用数据包位掩码匹配的规则位掩码;
目标入侵检测规则确定子模块,用于当确定各规则位掩码中存在与通用数据包位掩码匹配的规则位掩码时,将与通用数据包位掩码匹配的规则位掩码对应的入侵检测规则确定为目标入侵检测规则;
网络入侵确定子模块,用于将目标入侵检测规则对应的网络入侵确定为目标数据包所属的目标网络入侵。
在本发明的一种具体实施方式中,该装置还可以包括:
判断模块,用于在将目标入侵检测规则对应的网络入侵确定为目标数据包所属的目标网络入侵之后,判断是否存在目标网络入侵对应的目标防护策略;
第一网络入侵防护模块,用于当确定存在目标网络入侵对应的目标防护策略时,调用目标防护策略进行网络入侵防护操作。
在本发明的一种具体实施方式中,该装置还可以包括:
通用防护策略调用模块,用于调取预设通用防护策略;
第二网络入侵防护模块,用于利用预设通用防护策略进行网络入侵防护操作。
在本发明的一种具体实施方式中,目标入侵检测规则确定子模块包括:
参考数据包属性值获取单元,用于获取目标入侵检测规则中各参考数据包属性值;
目标数据包属性值获取单元,用于获取各预设数据包属性信息分别对应的目标数据包属性值;
判断单元,用于判断各目标数据包属性值是否与各参考数据包属性值的一致率是否高于预设值;
目标入侵检测规则确定单元,用于当确定各目标数据包属性值与各参考数据包属性值的一致率高于预设值时,将目标入侵检测规则对应的网络入侵确定为目标数据包所属的目标网络入侵。
相应于上面的方法实施例,参见图5,图5为本发明所提供的网络入侵检测设备的示意图,该设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的网络入侵检测方法的步骤。
具体的,请参考图5,图5为本实施例提供的一种网络入侵检测设备的具体结构示意图,该网络入侵检测设备可因配置或性能不同而产生比较大的差异,可以包括处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储器332通信,在网络入侵检测设备301上执行存储器332中的一系列指令操作。
网络入侵检测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的网络入侵检测方法中的步骤可以由网络入侵检测设备的结构实现。
相应于上面的方法实施例,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
对接收到的目标数据包进行解析,得到目标数据包的预设五元组信息和各预设数据包属性信息;其中,预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码;从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合;获取入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;将通用数据包位掩码与各规则位掩码进行对比,得到网络入侵检测结果。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种网络入侵检测方法,其特征在于,包括:
对接收到的目标数据包进行解析,得到所述目标数据包的预设五元组信息和各预设数据包属性信息;其中,所述预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;
基于预设通用数据包位掩码模板,根据各所述预设数据包属性信息创建所述目标数据包对应的通用数据包位掩码;其中,所述预设通用数据包位掩码模板根据数据包何时具有有效载荷、具有流位、具有特殊的标志位创建得到,所述预设通用数据包位掩码模板中包含有效负载位掩码、流位掩码及标志位掩码;各所述预设数据包属性信息包括是否需要检测Dsize属性、是否需检测Flowbits属性及标志数据包属性,所述是否需要检测Dsize属性用于创建所述有效负载位掩码,所述是否需检测Flowbits属性用于创建所述流位掩码,所述标志数据包属性用于创建所述标志位掩码;
从入侵检测规则库中筛选与所述预设五元组信息匹配的入侵检测规则集合;
获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;
将所述通用数据包位掩码与各所述规则位掩码进行对比,得到网络入侵检测结果。
2.根据权利要求1所述的网络入侵检测方法,其特征在于,将所述通用数据包位掩码与所述规则位掩码进行对比,包括:
判断所述协议类型是否为HTTP类型;
若是,则获取所述目标数据包的HTTP头域特征,并根据所述HTTP头域特征创建所述目标数据包对应的HTTP位掩码;
结合所述通用数据包位掩码和所述HTTP位掩码确定所述目标数据包对应的目标数据包位掩码;
将所述目标数据包位掩码与各所述规则位掩码进行对比。
3.根据权利要求1或2所述的网络入侵检测方法,其特征在于,获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码,包括:
从各所述预设数据包属性信息中选取标志数据包属性;
从所述入侵检测规则集合中筛选命中所述标志数据包属性的各入侵检测规则;
获取命中所述标志数据包属性的各所述入侵检测规则分别对应的规则位掩码。
4.根据权利要求1所述的网络入侵检测方法,其特征在于,将所述通用数据包位掩码与各所述规则位掩码进行对比,得到网络入侵检测结果,包括:
判断各所述规则位掩码中是否存在与所述通用数据包位掩码匹配的规则位掩码;
若是,则将与所述通用数据包位掩码匹配的规则位掩码对应的入侵检测规则确定为目标入侵检测规则;
将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵。
5.根据权利要求4所述的网络入侵检测方法,其特征在于,在将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵之后,还包括:
判断是否存在所述目标网络入侵对应的目标防护策略;
若是,则调用所述目标防护策略进行网络入侵防护操作。
6.根据权利要求5所述的网络入侵检测方法,其特征在于,当确定不存在所述目标网络入侵对应的目标防护策略时,还包括:
调取预设通用防护策略;
利用所述预设通用防护策略进行网络入侵防护操作。
7.根据权利要求4所述的网络入侵检测方法,其特征在于,将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵,包括:
获取所述目标入侵检测规则中各参考数据包属性值;
获取各所述预设数据包属性信息分别对应的目标数据包属性值;
判断各所述目标数据包属性值是否与各所述参考数据包属性值的一致率是否高于预设值;
若是,则将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵。
8.一种网络入侵检测装置,其特征在于,包括:
数据包解析模块,用于对接收到的目标数据包进行解析,得到所述目标数据包的预设五元组信息和各预设数据包属性信息;其中,所述预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型;
通用位掩码创建模块,用于基于预设通用数据包位掩码模板,根据各所述预设数据包属性信息创建所述目标数据包对应的通用数据包位掩码;其中,所述预设通用数据包位掩码模板根据数据包何时具有有效载荷、具有流位、具有特殊的标志位创建得到,所述预设通用数据包位掩码模板中包含有效负载位掩码、流位掩码及标志位掩码;各所述预设数据包属性信息包括是否需要检测Dsize属性、是否需检测Flowbits属性及标志数据包属性,所述是否需要检测Dsize属性用于创建所述有效负载位掩码,所述是否需检测Flowbits属性用于创建所述流位掩码,所述标志数据包属性用于创建所述标志位掩码;
规则集合筛选模块,用于从入侵检测规则库中筛选与所述预设五元组信息匹配的入侵检测规则集合;
规则位掩码获取模块,用于获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码;
入侵检测结果获得模块,用于将所述通用数据包位掩码与各所述规则位掩码进行对比,得到网络入侵检测结果。
9.一种网络入侵检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述网络入侵检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络入侵检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241314.7A CN113904863B (zh) | 2021-10-25 | 2021-10-25 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241314.7A CN113904863B (zh) | 2021-10-25 | 2021-10-25 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113904863A CN113904863A (zh) | 2022-01-07 |
CN113904863B true CN113904863B (zh) | 2024-04-26 |
Family
ID=79026579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111241314.7A Active CN113904863B (zh) | 2021-10-25 | 2021-10-25 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113904863B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954200A (zh) * | 2015-06-17 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种网络数据包的多类型规则高速匹配方法及装置 |
CN106657128A (zh) * | 2017-01-05 | 2017-05-10 | 杭州迪普科技股份有限公司 | 基于通配符掩码规则的数据包过滤方法及装置 |
CN111343153A (zh) * | 2020-02-10 | 2020-06-26 | Oppo(重庆)智能科技有限公司 | 数据包检测方法、装置、服务器及存储介质 |
CN112118261A (zh) * | 2020-09-21 | 2020-12-22 | 杭州迪普科技股份有限公司 | 会话违规访问检测方法及装置 |
-
2021
- 2021-10-25 CN CN202111241314.7A patent/CN113904863B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954200A (zh) * | 2015-06-17 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种网络数据包的多类型规则高速匹配方法及装置 |
CN106657128A (zh) * | 2017-01-05 | 2017-05-10 | 杭州迪普科技股份有限公司 | 基于通配符掩码规则的数据包过滤方法及装置 |
CN111343153A (zh) * | 2020-02-10 | 2020-06-26 | Oppo(重庆)智能科技有限公司 | 数据包检测方法、装置、服务器及存储介质 |
CN112118261A (zh) * | 2020-09-21 | 2020-12-22 | 杭州迪普科技股份有限公司 | 会话违规访问检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113904863A (zh) | 2022-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
US9426166B2 (en) | Method and apparatus for processing finite automata | |
US9426165B2 (en) | Method and apparatus for compilation of finite automata | |
CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
JP6055548B2 (ja) | データストリームにおいてデータパターンを検出する装置、方法、及びネットワークサーバ | |
CN112468488A (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
WO2011134739A1 (en) | Method for searching for message sequences, protocol analysis engine and protocol analyzer | |
US11546295B2 (en) | Industrial control system firewall module | |
CN110661680A (zh) | 一种基于正则表达式进行数据流白名单检测的方法及系统 | |
CN112532642B (zh) | 一种基于改进Suricata引擎的工控系统网络入侵检测方法 | |
CN114513340B (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
CN113285916B (zh) | 智能制造系统异常流量检测方法及检测装置 | |
CN113079150B (zh) | 一种电力终端设备入侵检测方法 | |
CN112887274A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
CN113194058A (zh) | Web攻击检测方法、设备、网站应用层防火墙及介质 | |
CN112769833A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
CN113904863B (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
CN113709129A (zh) | 一种基于流量学习的白名单生成方法、装置和系统 | |
CN112822204A (zh) | 一种nat的检测方法、装置、设备及介质 | |
US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN113810342B (zh) | 一种入侵检测方法、装置、设备、介质 | |
CN112640392A (zh) | 一种木马检测方法、装置和设备 | |
CN113381986B (zh) | 网络安全扫描规则集的约减方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |