[发明专利]一种攻击报文的检测方法及装置有效
| 申请号: | 201711347521.4 | 申请日: | 2017-12-15 |
| 公开(公告)号: | CN107968791B | 公开(公告)日: | 2021-08-24 |
| 发明(设计)人: | 蔡雨晨 | 申请(专利权)人: | 杭州迪普科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京博思佳知识产权代理有限公司 11415 | 代理人: | 林祥 |
| 地址: | 310051 浙江省杭*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 攻击 报文 检测 方法 装置 | ||
1.一种攻击报文的检测方法,其特征在于,所述方法应用于入侵防御系统IPS设备,包括:
识别所获取的网络流量的协议类型;
基于协议类型对所述网络流量进行一次分流;
针对所述一次分流后的每一协议类型的网络流量,根据预设的配置信息确定每一协议类型的网络流量是否需要进行二次分流;
若是,则识别所述协议类型的网络流量所属的网络应用,并基于网络应用对所述网络流量进行所述二次分流;
针对所述一次分流或二次分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文;
所述针对所述二次分流后的网络流量进行攻击特征检测,包括:
针对所述二次分流后的每一网络应用的网络流量,将该网络应用的网络流量与针对该网络应用的攻击特征库进行匹配;
将匹配到所述攻击特征库中任一攻击特征的报文确定为攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述针对所述一次分流或二次分流后的网络流量分别进行攻击特征的检测,包括:
针对所述一次分流后的每一协议类型的网络流量,将该协议类型的网络流量与针对该协议类型的攻击特征库进行匹配;
将匹配到所述攻击特征库中任一攻击特征的报文确定为攻击报文。
3.根据权利要求1所述的方法,其特征在于,所述识别所获取的网络流量的协议类型,包括:
根据所述网络流量中报文的端口号,识别所述网络流量的协议类型;
或
根据所述网络流量中报文的报文负载,识别所述网络流量的协议类型。
4.一种攻击报文的检测装置,其特征在于,所述装置应用于入侵防御系统IPS设备,包括:
识别模块,用于识别所获取的网络流量的协议类型;
一次分流模块,用于基于协议类型对所述网络流量进行一次分流;
二次分流模块,用于针对所述一次分流后的每一协议类型的网络流量,根据预设的配置信息确定每一协议类型的网络流量是否需要进行二次分流,
若是,则识别所述协议类型的网络流量所属的网络应用,并基于网络应用对所述网络流量进行所述二次分流;
检测模块,用于针对所述一次分流或二次分流后的网络流量分别进行攻击特征检测,以确定所述网络流量中是否存在攻击报文;
所述检测模块,进一步用于:
针对所述二次分流后的每一网络应用的网络流量,将该网络应用的网络流量与针对该网络应用的攻击特征库进行匹配;
将匹配到所述攻击特征库中任一攻击特征的报文确定为攻击报文。
5.根据权利要求4所述的装置,其特征在于,所述检测模块,进一步用于:
针对所述一次分流后的每一协议类型的网络流量,将该协议类型的网络流量与针对该协议类型的攻击特征库进行匹配;
将匹配到所述攻击特征库中任一攻击特征的报文确定为攻击报文。
6.根据权利要求4所述的装置,其特征在于,所述识别模块,进一步用于:
根据所述网络流量中报文的端口号,识别所述网络流量的协议类型;
或
根据所述网络流量中报文的报文负载,识别所述网络流量的协议类型。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州迪普科技股份有限公司,未经杭州迪普科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711347521.4/1.html,转载请声明来源钻瓜专利网。
