[发明专利]一种攻击报文的检测方法及装置

说明书

本申请提供一种攻击报文的检测方法及装置。一种攻击报文的检测方法，所述方法应用于入侵防御系统IPS设备，包括：识别所获取的网络流量的协议类型；基于协议类型对所述网络流量进行分流，所述分流为一次分流或二次分流；针对分流后的网络流量分别进行攻击特征检测，以确定所述网络流量中是否存在攻击报文。本申请可实现对网络流量的分流检测，从而可提高对攻击报文的检测效率及检测结果的准确度。

技术领域

本申请涉及计算机技术领域，尤其涉及一种攻击报文的检测方法及装置。

背景技术

随着网络的飞速发展，以蠕虫、木马等为代表的网络攻击层出不穷，给网络用户带来极大的安全隐患。目前，通常采用在网络中部署入侵防御系统(IPS，IntrusionPrevention System)对流经的网络流量进行检测，以实现对网络攻击的防御。

现有技术中，针对流经的网络流量，IPS通常不对网络流量进行分流，而是将流经的网络流量均与同一攻击特征库进行匹配，以确定上述网络流量中是否存在攻击报文的。

一方面，由于检测深度的限制，IPS通常不会对流经的所有网络流量都进行检测，由此可能导致一部分网络应用仍会遭受到攻击。另一方面，上述方法会使得IPS的攻击特征库中预存的攻击特征的数量较多，再加之有些攻击特征较为复杂，网络流量与上述预存的攻击特征进行匹配时将会非常耗时，从而可能影响IPS的检测速度。

发明内容

有鉴于此，本申请提供一种攻击报文的检测方法及装置，以实现对网络流量的分流检测，从而提高对攻击报文的检测效率及检测结果的准确度。

具体地，本申请是通过如下技术方案实现的：

一种攻击报文的检测方法，所述方法应用于入侵防御系统IPS设备，包括：

识别所获取的网络流量的协议类型；

基于协议类型对所述网络流量进行分流，所述分流为一次分流或二次分流；

针对分流后的网络流量分别进行攻击特征检测，以确定所述网络流量中是否存在攻击报文。

一种攻击报文的检测装置，所述装置应用于入侵防御系统IPS设备，包括：

识别模块，用于识别所获取的网络流量的协议类型；

分流模块，用于基于协议类型对所述网络流量进行分流，所述分流为一次分流或二次分流；

检测模块，用于针对分流后的网络流量分别进行攻击特征检测，以确定所述网络流量中是否存在攻击报文。

在本申请中，IPS通过识别所获取的网络流量的协议类型，并可基于协议类型对上述网络流量进行一次分流或二次分流，之后可针对分流后的上述网络流量分别进行攻击特征检测，以确定出上述网络流量是否存在攻击报文。与现有技术相比，本申请的技术方案，一方面，可对获取的网络流量分流进行攻击特征检测，从而可提高检测效率；另一方面，可对上述网络流量有针对性的进行攻击特征的检测，从而可实现更为精细的检测，提高检测结果的准确度。

附图说明

图1是本申请一示例性实施例示出的一种攻击报文的检测方法流程图；

图2是本申请一示例性实施例示出的一种IPS设备的硬件结构图；

图3是本申请一示例性实施例示出的一种攻击报文的检测装置的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。