报文攻击检测方法以及装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种报文攻击检测方法以及装置。
【背景技术】
[0002]IPS (Intrus1n Prevent1n System,入侵防御系统)为通过检测网络报文,发现网络报文中的异常、攻击载荷,并进行处理的安全软件系统。
[0003]传统的IPS对报文进行检测时,通常仅进行空间维度的特征检测,S卩,提取报文的内容特征,并根据报文的内容特征来判断该报文是否为攻击报文。
[0004]然而,由于攻击载荷类型的多样化,在一些在漏洞攻击(例如2014的OpenSSL高危漏洞CVE-2014-0224)过程中,报文的内容特征并不会产生任何异常,此时,若仍基于空间维度的特征进行检测则无法发现该类攻击载荷,进而降低系统的安全性能。
【发明内容】
[0005]针对现有技术的缺陷,本发明提供了一种报文攻击检测方法以及装置。
[0006]本发明提供一种报文攻击检测方法,应用于入侵防御系统IPS设备,其中该方法包括:
[0007]接收具有类型标识的报文,确定出与所述类型标识对应的时间特征队列;
[0008]提取该报文的行为特征,确定出与所述行为特征对应的报文序号;
[0009]在所述时间特征队列中添加所述报文序号,并生成特征序列;
[0010]根据所述特征序列在预设的时序特征库中进行匹配,并得到匹配结果;
[0011]根据匹配结果对所述报文进行相应处理。
[0012]本发明还提供一种报文攻击检测装置,应用于IPS设备,该装置包括:
[0013]确定单元,用于接收具有类型标识的报文,确定出与所述类型标识对应的时间特征队列;
[0014]提取单元,用于提取该报文的行为特征,确定出与所述行为特征对应的报文序号;
[0015]生成单元,用于在所述时间特征队列中添加所述报文序号,并生成特征序列;
[0016]匹配单元,用于根据所述特征序列在预设的时序特征库中进行匹配,并得到匹配结果;
[0017]处理单元,用于根据匹配结果对所述报文进行相应处理。
[0018]本发明提供的报文攻击检测方法以及装置,在接收的报文具有类型标识时,通过将报文行为特征对应的报文序号添加至与类型标识对应的时间特征队列中,并将时间特征队列中由报文序号生成的特征序列在预设的时序特征库中进行匹配,以进一步检测该报文是否为时序攻击的报文,并对检测出的攻击报文进行相应处理。由此可见,本发明可准确检测出通过时间维度进行攻击的报文,并进行相应地规避处理,进而提高系统的安全性能。
【附图说明】
[0019]图1是本发明实施例中一种报文攻击检测方法流程示意图;
[0020]图2是本发明实施例中协引擎对于报文的处理过程示意图;
[0021]图3是本发明实施例中一种报文攻击检测装置的逻辑结构示意图;
[0022]图4是本发明实施例中报文攻击检测装置所在IPS设备的硬件架构示意图。
【具体实施方式】
[0023]为使本申请的目的,技术方案及优点更加清楚明白,以下参照附图对本申请方案做进一步的详细说明。
[0024]为了解决现有技术中存在的问题,本发明提供了一种报文攻击检测方法以及装置。
[0025]请参考图1,为本发明提供的报文攻击检测方法的处理流程示意图,该报文攻击检测方法可应用于IPS设备。该报文攻击检测方法包括以下步骤:
[0026]步骤101,接收具有类型标识的报文,确定出与所述类型标识对应的时间特征队列;
[0027]本发明实施例中,IPS设备在接收到报文后,为了避免接收的报文发生乱序,可以首先对接收的报文进行保序处理,以使接收的报文顺序为原始的报文发送顺序。例如,可以根据接收的报文的头部信息中携带的报文发送编号对缓冲时间内接收的报文进行排序,之后按照排列的顺序依次对报文进行后续处理。具体对于报文的保序处理可以参考现有技术中对报文保序的处理流程,本发明在此不再赘述。
[0028]之后,基于IPS的特性可以首先通过IPS设备自身的检测引擎对进行保序处理的报文依次进行空间维度的攻击检测。即:获取接收的报文的内容特征,并将该内容特征在预设的空间特征库中进行匹配,得到匹配结果;若根据匹配结果确定该报文为攻击报文,确定出该报文的协议类型,并将与该报文的协议类型对应的类型标识添加至所述报文中。
[0029]具体地,IPS设备预设有空间特征库,该空间特征库内预先存储有基于空间维度的报文攻击所总结的攻击报文的特征信息。
[0030]在IPS设备接收到报文后,检测引擎对该报文进行解析,以获取报文数据部分的内容,并由检测引擎根据预设的规则、或者根据需要提取该报文数据部分的字符串。
[0031]之后,检测引擎将提取的字符串作为报文的内容特征按照预设的多模匹配算法在预设的空间特征库中进行匹配,以确定出该报文是否为通过空间维度进行攻击的报文。
[0032]其中,该预设的多模匹配算法是通过在一个字符串中最快、最优地寻找多个模式字符字串的算法,即:在空间特征库的特征信息中寻找与该关键信息对应的多个模式的特性信息的算法。例如,本发明中提供的多模式匹配算法可以是AC(AHO-CORASICK)算法、WM (WU-MANBER)算法等等。
[0033]本发明实施例中检测引擎根据不同的匹配结果对报文的处理也不相同。例如:
[0034]若匹配结果为根据内容特征在预设的空间特征库中匹配到对应的特征信息,可以说明该报文为空间维度的攻击类报文。那么,在根据内容特征的处理信息确定该报文是空间维度的攻击类报文时,可以丢弃该报文,以避免遭受攻击,或者在丢弃报文后还可以根据需要向管理人员上报告警信息;
[0035]若匹配结果为根据内容特征未在预设的空间特征库中匹配到对应的特征信息,可以确定该报文为非空间维度的攻击类报文,则进一步检测该报文是否是利用时间维度进行攻击的报文。
[0036]假设,预设的空间特征库中总结的攻击报文的特征信息包括:abcdlle ;abcdl2e ;以及abcdl3e。而所提取的报文数据部分的字符串为abcdlle。那么,匹配结果为该报文匹配到该空间特征库中的特征信息,确定该报文为空间维度的攻击报文,可以将该报文丢弃,或者,在丢弃该报文时向管理人员上报告警信息。若提取的报文数据部分的字符串为dbcdlle,那么,匹配结果为该报文未匹配到该空间特征库中的特征信息,则进一步检测该报文是否是利用时间维度进行攻击的报文。
[0037]本发明实施例中,当接收的报文为需要进一步检测是否是利用时间维度攻击的报文时,可以根据该报文的五元组信息中的协议号确定出该报文的协议类型,即检查该报文是何种协议的报文。
[0038]本发明预先针对不同的协议类型设置有不同的类型标识。该类型标识可以使用32位整数来标识,例如,可以预先为SIP(Sess1n Initiat1n Protocol,会话初始协议)设置的对应的类型标识为1、为SAP (Sess1n Announcement Protocol,会话通知协议)设置的对应的类型标识为2、为SSL(Slecure Sockets Layer,安全套接层)协议设置的对应的类型标识为3,为TCP (Transmiss1n Control Protocol,传输控制协议)设置的对应的类型标识为4等。
[0039]那么,在对需要进行标记的报文添加类型标识时,则可以按照预先设置的与各协议对应的类型标识,对报文进行标记。
[0040]本发明实施例中,可以为报文的控制数据结构中增加一个整数域,对于需要进行标记的报文,可以将对应的类型标识添加至该报文控制数据结构的整数域中,以对该报文进行时间维度的攻击检测。
[0041]为了避免攻击者利用时间维度进行的攻击,本发明实施例还可以为具有检测引擎的IPS设备再设置一个协引擎(可以将上述的检测引擎作为主引擎),该协引擎用于对具有类型标识的报文进一步进行时间维度的攻击检测。
[0042]图2为本发明实施例中协引擎对于具有类型标识的报文的处理过程示意图,在协引擎接收到检测引擎发送的报文后,首先解析该报文,检查该报文控制数据结构的整数域中是否具有类型标识,若有,获取报文中携带的类型标识。
[0043]本发明的协引擎还预设有与不同类型标识(协议类型)分别对应的时间特征队列,在获取