CN114338106B - 网络传输协议入侵检测方法、系统、电子设备和存储介质 - Google Patents
网络传输协议入侵检测方法、系统、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114338106B CN114338106B CN202111545953.2A CN202111545953A CN114338106B CN 114338106 B CN114338106 B CN 114338106B CN 202111545953 A CN202111545953 A CN 202111545953A CN 114338106 B CN114338106 B CN 114338106B
- Authority
- CN
- China
- Prior art keywords
- communication data
- intrusion detection
- detected
- network transmission
- transmission protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络传输协议入侵检测方法及系统,方法包括:判断待检测通信数据是否是基于第一网络传输协议传输的;若是,则在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测。所述系统执行所述方法。本发明通过在对通信数据进行网络传输协议入侵检测前进行筛选,减少进入入侵检测流程的数据流,从而降低了运算量,提升了对通信数据的网络传输协议入侵检测的检测效率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络传输协议入侵检测方法、系统、电子设备和存储介质。
背景技术
现有技术中主流的基于网络传输协议的通信数据的入侵检测引擎检测匹配流程如图1所示。当有通信数据经过入侵检测引擎时,会依次进行如下步骤扫描检测:
第一层:协议筛选模块,基于协议对通信数据的负载中提取到的规则进行筛选,其中,协议可以具体包括传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(User Datagram Protocol,UDP)、网际互连协议(Internet Protocol,IP)以及互联网控制报文协议(Internet Control Message Protocol,ICMP)四种协议。
第二层:会话筛选模块,根据协议筛选模块筛选出的规则的的端口信息(包括源端口、目的端口以及通用端口),筛选出可能会需要进行匹配的规则。
第三层:快速筛选模块,通过多模匹配算法从会话筛选模块筛选出的规则中筛选出可能命中的规则进入下一步的匹配过程。
第四层:规则匹配模块,对层层筛选出来的通信数据和规则进行匹配,确定是否命中一条或者多条规则,若命中则根据策略采取相应的动作,如丢弃,拦截等。
工作流程如下:
图1仅是TCP协议的示例,其他协议类似,通信数据采集后会通过应用层协议预处理器经过协议解析,解码等工作,根据协议要求还原成不同协议的结构化数据,这部分数据(虚线)和待检测通信数据(实线)都会进入第一层,筛选出所有的TCP协议相关的规则。
进入第二层,在第一层筛选的规则中继续筛选出符合会话(端口、方向)要求的规则。这两层的筛选过程无需区分待检测数据和处理后的数据,所以使用待检测通信数据或处理后通信数据都可以完成。
进入第三层的数据在使用方法上就存在一定的区别,一般来说,进入筛选的数据应当是协议处理过的通信数据,现有技术中的设计方案中,两种数据都要经过第三层和第四层进行筛选和匹配,增加了运算量。
通过快速筛选层的两种数据和可能匹配的规则在第四层进行逐一匹配,最终确定是否命中,增加了性能的消耗,浪费系统资源,同时匹配检测的效率低下。
发明内容
本发明提供的网络传输协议入侵检测方法及系统,用于解决现有技术中存在的上述问题,通过在对通信数据进行网络传输协议入侵检测前进行筛选,减少进入入侵检测流程的数据流,从而降低了运算量,提升了对通信数据的网络传输协议入侵检测的检测效率。
本发明提供的一种网络传输协议入侵检测方法,包括:
判断待检测通信数据是否是基于第一网络传输协议传输的;
若是,则在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;
若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测。
根据本发明提供的一种网络传输协议入侵检测方法,所述在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测,包括:
判断存储解码后的附件的内存块是否为空;
若否,则确定所述附件正确解码,并基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;
若是,则判断所述待检测通信数据的大小是否大于所述第一网络传输协议的命令行最大长度;
若小于所述命令行最大长度,则对所述待检测通信数据进行网络传输协议入侵检测;
若大于所述命令行最大长度,则不对所述解码后的附件进行网络传输协议入侵检测。
根据本发明提供的一种网络传输协议入侵检测方法,所述在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测之前,还包括:
判断所述待检测通信数据中是否携带有所述附件;
若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测。
根据本发明提供的一种网络传输协议入侵检测方法,所述基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测,包括:
基于多模匹配模块,对所述待检测通信数据进行筛选,以确定所述待检测通信数据中最可能潜在命中的目标规则;
根据所述目标规则,对所述待检测通信数据进行网络传输协议入侵检测。
根据本发明提供的一种网络传输协议入侵检测方法,所述第一网络传输协议至少包括如下任一种:
简单邮件传输协议SMTP、交互式邮件访问协议IMAP以及邮局协议POP。
根据本发明提供的一种网络传输协议入侵检测方法,在所述判断待检测通信数据是否是基于第一网络传输协议传输的之前,还包括:
根据协议筛选模块,分别对待检测通信数据负载中的规则以及预处理后的待检测通信数据负载的规则进行筛选,以确定符合目标网络传输协议的第一规则;
根据会话筛选模块对所述第一规则进行筛选,以确定符合目标端口信息的第二规则;
根据第一通信数据和第二通信数据,确定所述待检测通信数据;
其中,所述预处理后的待检测通信数据是根据预设应用层协议预处理器处理对所述待检测通信数据进行预处理后确定的;
所述第一通信数据是根据负载有所述第二规则的待检测通信数据确定的;
所述第二通信数据是根据负载有所述第二规则的预处理后的待检测通信数据确定的。
本发明还提供一种网络传输协议入侵检测系统,包括:数据判断模块、第一检测模块以及第二检测模块;
所述数据判断模块,用于判断待检测通信数据是否是基于第一网络传输协议传输的;
所述第一检测模块,用于若是,则在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;
所述第二检测模块,用于若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述网络传输协议入侵检测方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述网络传输协议入侵检测方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述网络传输协议入侵检测方法的步骤。
本发明提供的网络传输协议入侵检测方法及系统,通过在对通信数据进行网络传输协议入侵检测前进行筛选,减少进入入侵检测流程的数据流,从而降低了运算量,提升了对通信数据的网络传输协议入侵检测的检测效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术提供的网络传输协议入侵检测方法的流程示意图;
图2是本发明提供的网络传输协议入侵检测方法的流程示意图之一;
图3是本发明提供的网络传输协议入侵检测方法的流程示意图之二;
图4是本发明提供的网络传输协议入侵检测系统的结构示意图;
图5是本发明提供的电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
网络安全产品对数据流的扫描匹配效率一直是网络安全产品关注的焦点。随着网络流量的大幅度提高,网络安全产品为了保证尽可能检测安全威胁的同时保证网络高速运行,必须不断提升硬件产品的规格。本发明从软件方面入手,针对邮件协议的特点,找到影响性能的关键点,通过改造网络数据在检测引擎中的流向,减少进入匹配流程的数据量,从而降低运算量,提升检测引擎的检测效率,具体实现如下:
图2是本发明提供的网络传输协议入侵检测方法的流程示意图,如图2所示,方法包括:
S1、判断待检测通信数据是否是基于第一网络传输协议传输的;
S2、若是,则在待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测;
S3、若否,则基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测。
需要说明的是,上述方法的执行主体可以是计算机设备。
可选地,首先对待检测的通信数据的网络传输协议进行判断,以对基于不同网络传输协议的待检测通信数据分别进行网络传输协议入侵检测。
若判断待检测的通信数据是基于第一网络传输协议进行传输的,则判断待检测的通信数据中携带的附件是否正确解码,若待检测的通信数据中携带的附件正确解码,则基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测,其中,第一网络传输协议可以为邮件传输协议。
若对待检测的通信数据的网络传输协议进行判断后,确定待检测的通信数据的网络传输协议并不是第一网络传输协议,则直接基于预设入侵检测流程,对待检测的通信数据进行网络传输协议入侵检测。
本发明提供的网络传输协议入侵检测方法,通过在对通信数据进行网络传输协议入侵检测前进行筛选,减少进入入侵检测流程的数据流,从而降低了运算量,提升了对通信数据的网络传输协议入侵检测的检测效率。
进一步地,在一个实施例中,步骤S2中的在待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测,可以具体包括:
S21、判断存储解码后的附件的内存块是否为空;
S22、若否,则确定附件正确解码,并基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测;
S23、若是,则判断待检测通信数据的大小是否大于第一网络传输协议的命令行最大长度;
S24、若小于命令行最大长度,则对待检测通信数据进行网络传输协议入侵检测;
S25、若大于命令行最大长度,则不对解码后的附件进行网络传输协议入侵检测。
可选地,在确定待检测的通信数据是基于第一网络传输协议传输的情况下,判断待检测的通信数据中携带的附件是否正确解码,具体地:
基于第一网络传输协议的待检测通信数据中的附件数据如果被应用层协议预处理器解码之后,会被存储在特定的内存块中,基于此,通过判断存储解码附件的内存块是否为空;
若存储解码附件的内存块非空,则确定附件正确解码,并基于预设入侵检测流程,对待检测通信数据(包括其携带的附件)进行网络传输协议入侵检测;
若存储解码附件的内存块为空,则判断待检测通信数据的大小是否大于第一网络传输协议的命令行最大长度,如果大于第一网络传输协议的命令行最大长度,则认为是原始待检测通信数据,并终止检测,并且不对解码后的附件进行网络传输协议入侵检测;如果小于第一网络传输协议的命令行最大长度,则对待检测通信数据进行网络传输协议入侵检测。
例如,当第一网络传输协议为邮件传输协议时,例如简单邮件传输协议(SimpleMail Transfer Protocol,SMTP),当待检测的通信数据的命令行最大长度大于512字符长度时,则为了避免重复检测,同一数据流只检测解码的附件数据,原始的待检测通信数据不再检测。
本发明提供的网络传输协议入侵检测方法,通过对基于第一网络传输协议的通信数据中携带的附件进行检测,并附件正确解码时,基于预设的入侵检测流程进行网络传输协议入侵检测,对于未正确解码的附件,则不进行网络传输协议入侵检测,减少了资源的浪费,同时提升了对通信数据的网络传输协议入侵检测的检测效率。
进一步地,在一个实施例中,在待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测之前,还可以具体包括:
步骤1、判断待检测通信数据中是否携带有附件;
步骤2、若否,则基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测。
可选地,如图3所示,对待检测的通信数据的网络传输协议进行判断,以对基于不同网络传输协议的待检测通信数据分别进行网络传输协议入侵检测。
若确定待检测的通信数据是基于第一网络传输协议进行传输的,对待检测的通信数据中是否携带有附件进行检测,若判断待检测的通信数据中未携带附件,则直接基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测。
本发明提供的网络传输协议入侵检测方法,通过对基于第一网络传输协议的通信数据中携带的附件进行检测,并在其未携带附件时,直接进行网络传输协议的入侵检测,减少了资源的浪费。
进一步地,在一个实施例中,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测,可以具体包括:
步骤3、基于多模匹配模块,对待检测通信数据进行筛选,以确定待检测通信数据中最可能潜在命中的目标规则;
步骤4、根据目标规则,对待检测通信数据进行网络传输协议入侵检测。
可选地,基于多模匹配模块,通过多模匹配算法对待检测通信数据进行筛选,具体地:针对有content(可能是字符串,也可能是十六进制)的规则,进入该层的数据使用特定的算法如ac(Aho-Corasick)或者ac-bnfa(Aho-Corasick Binary NFA)匹配算法与规则中最长的content或者指定的content内容进行匹配,以确定待检测通信数据中最可能潜在命中的目标规则,将匹配上的目标规则,进入第四层筛选;
基于规则匹配模块,对筛选出来的待检测的通信数据和目标规则基于规则选项和规则头检测匹配,具体地,使用单模匹配bm算法或者Hyperscan算法进行匹配,确定是否命中一条或者多条规则,若命中则根据策略采取相应的动作,如丢弃,拦截等。
本发明提供的网络传输协议入侵检测方法,通过基于多模匹配模块进一步筛选出待检测的通信数据最可能命中的规则,大大减少了后续规则匹配需要扫描的规则数量,从而极大降低了引擎的压力,提升了入侵检测的效率。
进一步地,在一个实施例中,第一网络传输协议至少包括如下任一种:
简单邮件传输协议SMTP、交互式邮件访问协议IMAP以及邮局协议POP。
进一步地,在一个实施例中,在步骤S1之前还可以具体包括:
S01、根据协议筛选模块,分别对待检测通信数据负载中的规则以及预处理后的待检测通信数据负载的规则进行筛选,以确定符合目标网络传输协议的第一规则;
S02、根据会话筛选模块对第一规则进行筛选,以确定符合目标端口信息的第二规则;
S03、根据第一通信数据和第二通信数据,确定待检测通信数据;
其中,预处理后的待检测通信数据是根据预设应用层协议预处理器处理对待检测通信数据进行预处理后确定的;
第一通信数据是根据负载有第二规则的待检测通信数据确定的;
第二通信数据是根据负载有第二规则的预处理后的待检测通信数据确定的。
可选地,邮件传输协议是用户相互沟通的一种重要手段,也是网络攻击的重要载体之一。在现实环境中,传输的附件经常会携带木马等恶意软件,是网络安全产品检测的重点。这些附件都需要经过base64、quoted-printable、uuencode等不同编码式进行编码后才能进行传输。相同的数据使用不同的编码方式会形成不同的特征,无法用统一的规则进行检测,只有对解码后的数据进行检测才有意义。
其中,邮件传输协议包括:简单邮件传输协议SMTP、交互式邮件访问协议IMAP以及邮局协议POP,其中,SMTP是由源地址到目的地址传送邮件的一组规则,用来控制信件的中转方式;IMAP规定怎样将计算机连接到Internet的邮件服务器和下载电子邮件的电子协议;IMAP是一个应用层协议,邮件客户端可以通过这种IMAP协议从邮件服务器上获取邮件的信息,下载邮件等。
对于基于邮件传输协议(例如简单邮件传输协议SMTP、交互式邮件访问协议IMAP以及邮局协议POP)的待检测通信数据的入侵检测过程具体如下:
参见图3,以目标网络传输协议为TCP协议的为例,UDP、ICMP和IP协议类似,待检测的通信数据会通过应用层协议预处理器经过协议解析,解码等工作,根据协议要求还原成不同协议的结构化数据,这部分经应用层协议预处理器处理后的数据(虚线)和原始的待检测通信数据(实线)都会进入第一层(协议筛选模块),筛选出所有的TCP协议相关的第一规则。
进入第二层,在第一层筛选的第一规则中继续筛选出符合会话筛选模块(TCP端口和方向)要求的第二规则。这两层的筛选过程无需区分待检测通信数据和经应用层协议预处理器处理后的待检测通信数据,所以使用待检测通信数据和经应用层协议预处理器处理后的待检测通信数据都可以完成。例如,IMAP使用的TCP端口为143,SMTP使用的TCP端口为25,POP使用的TCP端口为110。
对于入侵检测引擎,当规则库数量达到一定规模后,某个协议、某个方向、某个端口下的规则数量规模可能会很大,这时当大量的通信数据通过入侵检测引擎时,若直接扫描符合该数据协议、端口信息的所有规则,会给引擎造成巨大的压力。正是上述原因,增加了快速筛选层。快速筛选层可以进一步筛选出通信数据最可能命中的规则,大大减少了第四层需要扫描的规则数量,从而极大降低了引擎的压力。
一般情况下,进入快速筛选层的数据包括被应用层协议预处理器处理过的数据和原始数据。这种处理方式设计的初衷是为了保证能对通信数据进行完整检测,防止各种逃逸行为,但这样也会造成快速筛选层重复扫描同一个会话的数据,不仅造成重复计算,也可能造成一定概率情况下部分不符合要求的规则被选中。
针对邮件传输协议数据,第三层及第四层仅仅需要经应用层协议预处理器处理后的待检测通信数据,原始待检测的通信数据过这两层没有实际意义,只能空耗系统资源。
在不修改第三、四层设计逻辑的前提下,在第二层和第三层之间增加了邮件传输协议的判断逻辑,可以过滤出有效的邮件传输协议附件信息,避免第三层和第四层引擎扫描原始的基于邮件传输协议的待检测通信数据。
经过实际测试,对邮件传输协议的通信数据的入侵检测的运行效果明显得到了提升。
测试方法:
攻击样本的选取:选取BreakPoints公司的BPS测试仪中strike all分类中三个SMTP协议的攻击流作为测试样本。
入侵检测引擎使用的规则库的选取:规则库容量4000条以上,可以针对strikeall分类攻击实现79.8%的识别率。
测试样本1的测试结果:
采用如图1所示的入侵检测流程对测试样本1进行入侵检测的性能统计如表1所示:
表1
采用如图3所示的入侵检测流程对测试样本1进行入侵检测的性能统计如表2所示:
表2
| Id | 规则编号 | 检测次数 | 命中次数 | 报警次数 | 检测时间ms |
| 1 | 26965 | 2 | 0 | 0 | 0.4 |
| 2 | 25702 | 2 | 0 | 0 | 3.4 |
| 3 | 23610 | 4 | 0 | 0 | 7.2 |
| 4 | 24162 | 1 | 0 | 0 | 2.3 |
| 5 | 22089 | 2 | 0 | 0 | 10.2 |
| 6 | 22759 | 2 | 0 | 0 | 10.4 |
| 7 | 22280 | 2 | 0 | 0 | 10.8 |
| 8 | 26065 | 1 | 1 | 1 | 38.6 |
采用如图1所示的入侵检测流程对测试样本2进行入侵检测的性能统计如表3所示:
表3
采用如图3所示的入侵检测流程对测试样本2进行入侵检测的性能统计如表4所示:
表4
采用如图1所示的入侵检测流程对测试样本3进行入侵检测的性能统计如表5所示:
表5
采用如图3所示的入侵检测流程对测试样本3进行入侵检测的性能统计如表6所示:
表6
| Id | 规则编号 | 检测次数 | 命中次数 | 报警次数 | 检测时间ms |
| 1 | 26962 | 1 | 0 | 0 | 165.5 |
| 2 | 20494 | 1 | 0 | 0 | 21.5 |
| 3 | 20818 | 1 | 0 | 0 | 11.5 |
| 4 | 20081 | 1 | 1 | 1 | 9.4 |
| 5 | 22280 | 2 | 0 | 0 | 10.4 |
| 6 | 22089 | 2 | 0 | 0 | 8.6 |
| 7 | 25759 | 2 | 0 | 0 | 7.4 |
| 8 | 23610 | 4 | 0 | 0 | 7.2 |
| 9 | 25702 | 2 | 0 | 0 | 3.6 |
| 10 | 24162 | 4 | 0 | 0 | 4.0 |
| 11 | 26965 | 4 | 0 | 0 | 0.4 |
| 12 | 25055 | 5 | 0 | 0 | 0.5 |
通过对采用图1和图3所示的入侵检测流程对测试样本1-3的入侵检测汇总如表7所示:
表7
如表7所示,本发明提供的网络传输协议入侵检测方法的快速匹配筛选出需要进行匹配的规则数量明显减少了,使后续的运算量大大减少,针对某条测试样本扫描消耗的时间明显减少(扫描中可能使用多线程技术,消耗时间为所有线程消耗时间的总和),引擎性能明显提高。
本发明提供的网络传输协议入侵检测方法,通过在对通信数据进行网络传输协议(如邮件传输协议)入侵检测前进行筛选,减少进入邮件传输协议入侵检测流程的数据流,从而降低了运算量,提升了对通信数据的邮件传输协议入侵检测的检测效率。
下面对本发明提供的网络传输协议入侵检测系统进行描述,下文描述的网络传输协议入侵检测系统与上文描述的网络传输协议入侵检测方法可相互对应参照。
图4是本发明提供的网络传输协议入侵检测系统的结构示意图,如图4所示,包括:
数据判断模块410、第一检测模块411以及第二检测模块412;
数据判断模块410,用于判断待检测通信数据是否是基于第一网络传输协议传输的;
第一检测模块411,用于若是,则在待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测;
第二检测模块412,用于若否,则基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测。
本发明提供的网络传输协议入侵检测系统,通过在对通信数据进行网络传输协议入侵检测前进行筛选,减少进入入侵检测流程的数据流,从而降低了运算量,提升了对通信数据的网络传输协议入侵检测的检测效率。
图5是本发明提供的一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(communication interface)511、存储器(memory)512和总线(bus)513,其中,处理器510,通信接口511,存储器512通过总线513完成相互间的通信。处理器510可以调用存储器512中的逻辑指令,以执行如下方法:
判断待检测通信数据是否是基于第一网络传输协议传输的;
若是,则在待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测;
若否,则基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机电源屏(可以是个人计算机,服务器,或者网络电源屏等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
进一步地,本发明公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的网络传输协议入侵检测方法,例如包括:
判断待检测通信数据是否是基于第一网络传输协议传输的;
若是,则在待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测;
若否,则基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测。
另一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的网络传输协议入侵检测方法,例如包括:
判断待检测通信数据是否是基于第一网络传输协议传输的;
若是,则在待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测;
若否,则基于预设入侵检测流程,对待检测通信数据进行网络传输协议入侵检测。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机电源屏(可以是个人计算机,服务器,或者网络电源屏等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种网络传输协议入侵检测方法,其特征在于,包括:
判断待检测通信数据是否是基于第一网络传输协议传输的;
若是,则在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测,所述在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测,包括:判断存储解码后的附件的内存块是否为空;若否,则确定所述附件正确解码,并基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;若是,则判断所述待检测通信数据的大小是否大于所述第一网络传输协议的命令行最大长度;若小于所述命令行最大长度,则对所述待检测通信数据进行网络传输协议入侵检测;若大于所述命令行最大长度,则不对所述解码后的附件进行网络传输协议入侵检测;
若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;
所述在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测之前,还包括:
判断所述待检测通信数据中是否携带有所述附件;
若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测。
2.根据权利要求1所述的网络传输协议入侵检测方法,其特征在于,所述基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测,包括:
基于多模匹配模块,对所述待检测通信数据进行筛选,以确定所述待检测通信数据中最可能潜在命中的目标规则;
根据所述目标规则,对所述待检测通信数据进行网络传输协议入侵检测。
3.根据权利要求1所述的网络传输协议入侵检测方法,其特征在于,所述第一网络传输协议至少包括如下任一种:
简单邮件传输协议SMTP、交互式邮件访问协议IMAP以及邮局协议POP。
4.根据权利要求1-3任一项所述的网络传输协议入侵检测方法,其特征在于,在所述判断待检测通信数据是否是基于第一网络传输协议传输的之前,还包括:
根据协议筛选模块,分别对待检测通信数据负载中的规则以及预处理后的待检测通信数据负载的规则进行筛选,以确定符合目标网络传输协议的第一规则;
根据会话筛选模块对所述第一规则进行筛选,以确定符合目标端口信息的第二规则;
根据第一通信数据和第二通信数据,确定所述待检测通信数据;
其中,所述预处理后的待检测通信数据是根据预设应用层协议预处理器处理对所述待检测通信数据进行预处理后确定的;
所述第一通信数据是根据负载有所述第二规则的待检测通信数据确定的;
所述第二通信数据是根据负载有所述第二规则的预处理后的待检测通信数据确定的。
5.一种网络传输协议入侵检测系统,其特征在于,包括:数据判断模块、第一检测模块以及第二检测模块;
所述数据判断模块,用于判断待检测通信数据是否是基于第一网络传输协议传输的;
所述第一检测模块,用于若是,则在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测,所述在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测,包括:判断存储解码后的附件的内存块是否为空;若否,则确定所述附件正确解码,并基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;若是,则判断所述待检测通信数据的大小是否大于所述第一网络传输协议的命令行最大长度;若小于所述命令行最大长度,则对所述待检测通信数据进行网络传输协议入侵检测;若大于所述命令行最大长度,则不对所述解码后的附件进行网络传输协议入侵检测;
所述第二检测模块,用于若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测;
所述在所述待检测通信数据中携带的附件正确解码的情况下,基于预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测之前,还包括:
判断所述待检测通信数据中是否携带有所述附件;
若否,则基于所述预设入侵检测流程,对所述待检测通信数据进行网络传输协议入侵检测。
6.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述网络传输协议入侵检测方法的步骤。
7.一种处理器可读存储介质,其特征在于,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行权利要求1至4任一项所述网络传输协议入侵检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111545953.2A CN114338106B (zh) | 2021-12-16 | 2021-12-16 | 网络传输协议入侵检测方法、系统、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111545953.2A CN114338106B (zh) | 2021-12-16 | 2021-12-16 | 网络传输协议入侵检测方法、系统、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338106A CN114338106A (zh) | 2022-04-12 |
| CN114338106B true CN114338106B (zh) | 2023-02-21 |
Family
ID=81052131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111545953.2A Active CN114338106B (zh) | 2021-12-16 | 2021-12-16 | 网络传输协议入侵检测方法、系统、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338106B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100090892A (ko) * | 2009-02-09 | 2010-08-18 | 한남대학교 산학협력단 | 가상 머신을 이용한 미확인 악성 소프트웨어 침입 탐지방법 |
| CN111131183A (zh) * | 2019-12-05 | 2020-05-08 | 任子行网络技术股份有限公司 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
| CN111191249A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 用于防护设备的防护方法、防护设备和可读存储介质 |
| CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
| CN112887405A (zh) * | 2021-01-26 | 2021-06-01 | 深信服科技股份有限公司 | 一种入侵防御方法、系统及相关设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8407785B2 (en) * | 2005-08-18 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
-
2021
- 2021-12-16 CN CN202111545953.2A patent/CN114338106B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100090892A (ko) * | 2009-02-09 | 2010-08-18 | 한남대학교 산학협력단 | 가상 머신을 이용한 미확인 악성 소프트웨어 침입 탐지방법 |
| CN111131183A (zh) * | 2019-12-05 | 2020-05-08 | 任子行网络技术股份有限公司 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
| CN111191249A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 用于防护设备的防护方法、防护设备和可读存储介质 |
| CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
| CN112887405A (zh) * | 2021-01-26 | 2021-06-01 | 深信服科技股份有限公司 | 一种入侵防御方法、系统及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338106A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8010685B2 (en) | Method and apparatus for content classification | |
| US7596809B2 (en) | System security approaches using multiple processing units | |
| Al-Asli et al. | Review of signature-based techniques in antivirus products | |
| CN107122221B (zh) | 用于正则表达式的编译器 | |
| CN107222491B (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
| CN106470214B (zh) | 攻击检测方法和装置 | |
| CN113259313A (zh) | 一种基于在线训练算法的恶意https流量智能分析方法 | |
| CN106161479B (zh) | 一种支持特征跨包的编码攻击检测方法和装置 | |
| CN112532642B (zh) | 一种基于改进Suricata引擎的工控系统网络入侵检测方法 | |
| CN111049781B (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN113194058B (zh) | Web攻击检测方法、设备、网站应用层防火墙及介质 | |
| CN108399336B (zh) | 一种安卓应用恶意行为的检测方法及装置 | |
| CN111526121A (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| US10291632B2 (en) | Filtering of metadata signatures | |
| GB2436161A (en) | Reducing the load on network traffic virus scanners | |
| CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
| CN113472751A (zh) | 一种基于数据包头的加密流量识别方法及装置 | |
| Weng et al. | Deep packet pre-filtering and finite state encoding for adaptive intrusion detection system | |
| Gupta et al. | A categorical survey of state-of-the-art intrusion detection system-Snort | |
| CN114338106B (zh) | 网络传输协议入侵检测方法、系统、电子设备和存储介质 | |
| Liu et al. | Fast and memory-efficient traffic classification with deep packet inspection in CMP architecture | |
| CN116170227A (zh) | 一种流量异常的检测方法、装置、电子设备及存储介质 | |
| CN115333848A (zh) | 容器云平台网络安全防护方法、装置及电子设备 | |
| US11176251B1 (en) | Determining malware via symbolic function hash analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |