[发明专利]网络攻击抓包方法及装置

说明书

本申请提出网络攻击抓包方法及装置。方法包括：当设备确定数据流命中攻击规则时，判断该攻击规则是否配置了抓包策略且该抓包策略开启，若是，则根据该抓包策略判断第一阶段是否需要抓包，若需要，则对该数据流进行连续抓包，当连续抓包次数达到预设第一阈值时，根据该抓包策略，判断是否需要进行第二阶段抓包，若需要进行，则继续对该数据流进行间断性抓包。本申请实现了有选择性地抓包，减少了对设备资源的消耗。

技术领域

本申请涉及攻击防范技术领域，尤其涉及网络攻击抓包方法及装置。

背景技术

如何快速准确地处理用户上报的IPS(Intrusion Prevention System，入侵防御系统)、IDS(Intrusion Detection System，入侵检测系统)等安全设备检测出的攻击事件(或者叫攻击日志)一直是个困扰各个安全厂商的难题。因为虽然这些安全设备一般都带有抓包功能，可以配置在检测到特定攻击时进行抓包，但是客户在使用过程中由于缺乏经验或者出于性能的考虑没有开启抓包功能，或者只针对部分攻击开启了抓包功能，这将导致检测到的大量攻击事件没有实时抓取到相关数据包。当客户对某些攻击事件或者攻击日志有疑问需要厂商详细说明或者分析时，厂商安全研究人员往往由于缺少实时数据包而很难处理。

现有的安全设备抓包技术主要是基于设备检测的规则库提供统一的抓包功能，并由客户自行配置。例如目前设备上使用的规则库一共有1000条攻击规则，用户针对这1000条规则分别配置在规则命中时是否实时进行抓包。

现有技术主要存在两个问题：

第一，开启实时抓包时对设备性能有一定影响，尤其是一些频繁命中的规则开启实时抓包后设备会进行大量的抓包，这将给设备性能造成较大的影响。而如果只配置针对部分规则开启抓包，则会导致未开启抓包功能的规则无法实时抓包，一旦客户对该规则的命中事件有疑问需要确认是否是攻击时厂商会很难处理。

第二，现有的抓包功能比较粗犷，一旦开启抓包除非客户人为关闭抓包功能，否则一旦有开启了抓包功能的规则被命中，设备就会进行无条件抓包。这样极可能会有大量重复抓包，既给设备在性能上带来了影响，也给数据包分析人员带来了诸多不便。比如将所有SQL(Structured Query Language，结构化查询语言)注入或者扫描探测的规则开启抓包功能，此时如果有一个恶意攻击者采用相关攻击或者扫描工具对服务器进行了扫描，则设备可能会抓取到几千甚至上万个SQL注入或者扫描探测的报文。这将对分析攻击报文造成不便。

发明内容

本申请实施例提供网络攻击抓包方法及装置。

本申请的技术方案是这样实现的：

一种网络攻击抓包方法，该方法包括：

当设备确定数据流命中攻击规则时，判断该攻击规则是否配置了抓包策略且该抓包策略开启，若是，则根据该抓包策略判断第一阶段是否需要抓包，若需要，则对该数据流进行连续抓包，当连续抓包次数达到预设第一阈值时，根据该抓包策略，判断是否需要进行第二阶段抓包，若需要进行，则继续对该数据流进行间断性抓包。

一种网络攻击抓包装置，该装置包括：

命中检测模块：当接收到数据流时，检测数据流是否命中攻击规则；

抓包模块：当命中检测模块检测到数据流命中攻击规则时，判断该攻击规则是否配置了抓包策略且该抓包策略开启，若是，则根据该抓包策略判断第一阶段是否需要抓包，若需要，则对该数据流进行连续抓包，当连续抓包次数达到预设第一阈值时，根据该抓包策略，判断是否需要进行第二阶段抓包，若需要进行，则继续对该数据流进行间断性抓包。