入侵报文的分流方法及装置的制造方法

文档序号:10597139阅读:349来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
入侵报文的分流方法及装置的制造方法
【专利摘要】本申请提供一种入侵报文的分流方法及装置,所述方法包括:识别接收到的报文中的入侵报文;为识别出的所述入侵报文设置对应的类型标签;基于所述类型标签对所述入侵报文进行分流存储。应用本申请,由于不再需要根据所述报文与预存的入侵规则的匹配结果来检测入侵报文,因此,可以提高检测效率。
【专利说明】
入侵报文的分流方法及装置
技术领域
[0001 ]本申请涉及通信技术领域,尤其涉及入侵报文的分流方法及装置。
【背景技术】
[0002] 随着计算机网络的飞速发展,网络在给人们带来巨大便利的同时也带来了各种安 全问题。IDS(Intrusion Detection Systems,入侵检测系统)是一种动态安全技术,它主动 地收集包括网络数据包、用户活动状态等多方面的信息,然后进行安全性分析,从而及时发 现各种入侵并产生响应。
[0003] 当对接收到的报文进行入侵检测时,IDS设备一般会采用模式匹配技术,即将网络 流量中的报文与预存的入侵规则相匹配。随着网络的发展,预存的入侵规则变的越来越复 杂,报文与预存的入侵规则的匹配时间也越来越长,从而导致IDS设备的检测效率低下。

【发明内容】

[0004] 有鉴于此,本申请提供一种入侵报文的分流方法及装置,来解决现有技术中IDS设 备入侵检测效率低下的问题。
[0005] 具体地,本申请是通过如下技术方案实现的:
[0006] 根据本申请实施例的第一方面,提供一种入侵报文的分流方法,所述方法应用于 入侵检测系统IDS设备上,所述方法包括:
[0007] 识别接收到的报文中的入侵报文;
[0008] 为识别出的所述入侵报文设置对应的类型标签;
[0009] 基于所述类型标签对所述入侵报文进行分流存储。
[0010] 根据本申请实施例的第二方面,提供一种入侵报文的分流装置,所述装置应用于 入侵检测系统IDS设备,所述装置包括:
[0011] 识别单元,用于识别接收到的报文中的入侵报文;
[0012] 设置单元,用于为识别出的所述入侵报文设置对应的类型标签;
[0013] 分流单元,用于基于所述类型标签对所述入侵报文进行分流存储。
[0014] 本申请提供入侵报文的分流方法及装置,接收到报文后,所述IDS设备可以从接收 到的所述报文中识别出入侵报文,然后为所述入侵报文设置对应的类型标签,所述类型标 签设置完成后,所述IDS设备可以基于所述类型标签对所述入侵报文进行分流存储。应用本 实施例,由于不再需要根据所述报文与预存的入侵规则的匹配结果来检测入侵报文,因此, 可以提尚所述IDS设备的检测效率。
【附图说明】
[0015] 此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施 例,并与说明书一起用于解释本申请的原理。
[0016] 图1是应用本申请实施例示出的一种入侵报文的分流的应用场景示意图;
[0017] 图2是本申请入侵报文的分流方法的一个实施例流程图;
[0018] 图3是本申请入侵报文的分流装置所在设备的一种硬件结构图;
[0019] 图4是本申请入侵报文的分流装置的一个实施例框图;
[0020] 图5是本申请入侵报文的分流装置的另一个实施例框图;
[0021]图6是本申请入侵报文的分流装置的另一个实施例框图。
【具体实施方式】
[0022] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及 附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0023] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0024]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这 些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离 本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第 一信息。取决于语境,如在此所使用的词语"如果"可以被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0025]参见图1,为应用本申请实施例示出的一种入侵报文的分流的应用场景示意图。其 中,IDS设备可以是一个网络安全设备或应用软件,可以对网络传输进行即时监控。在发现 可疑传输时,所述IDS设备可以发出警报或采取主动反应措施。
[0026]现有技术中,IDS设备通常采用模式匹配技术检测网络流量中的报文。在进行检测 时,所述IDS设备将监听到的报文与预存的入侵规则即模式匹配序列相比较,并根据比较结 果来判断所述报文是否是正常的网络行为。然而,随着计算机网络的发展,入侵规则变得越 来越复杂,这种检测方式已逐渐无法适应实际的应用场景。
[0027] 例如,有的入侵行为需要经过非常复杂的步骤或较长的过程才能表现其入侵特 性、有的入侵行为需要进行多层协议分析或者有较强的上下文关系才能表现其入侵特性 等,因此入侵规则变的越来越复杂,所述报文与入侵规则的匹配时间也越来越长,导致IDS 设备的检测效率低下。
[0028] 本申请提供入侵报文的分流方法及装置,接收到报文后,所述IDS设备可以从接收 到的所述报文中识别出入侵报文,然后为所述入侵报文设置对应的类型标签,所述类型标 签设置完成后,所述IDS设备可以基于所述类型标签对所述入侵报文进行分流。应用本实施 例,由于不再需要根据所述报文与预存的入侵规则的匹配结果来检测入侵报文,因此,可以 提高所述IDS设备的检测效率。
[0029] 参见图2,是本申请入侵报文的分流方法的一个实施例流程图,该实施例从IDS设 备侧进行描述,包括以下步骤:
[0030] 步骤101 :识别接收到的报文中的入侵报文;
[0031] 在本申请实施例中,所述IDS设备在接收到报文后,可以基于所述报文的报文负载 进行入侵特征检测,来识别接收到的报文中的入侵报文。
[0032] 其中,在识别接收到的报文中的入侵报文时,所述IDS设备可以通过将检测到的所 述报文的入侵特征在预设的入侵特征库中进行匹配来实现。所述入侵特征库中可以包括入 侵特征样本与入侵报文类型的对应关系。当所述IDS设备检测到的所述报文的入侵特征匹 配所述入侵特征库中的任一入侵样本时,则可以确定所述报文为入侵报文,并基于所述对 应关系获取与所述任一入侵特征样本对应的入侵报文类型。
[0033] 在一个示例中,所述报文的报文负载可以包括所述入侵报文的固定特征或者固定 特征的组合等。其中,所述固定特征可以包括入侵位置、入侵负载等。所述入侵特征库可以 包括所述入侵特征样本以及与所述入侵特征样本对应的入侵报文类型。所述入侵特征库可 以定期进行更新。更新周期可以根据用户的需求来设定,如一周。所述更新周期也可以根据 被入侵的程度进行缩短或延长。
[0034] 例如,在一个示例中,假设接收到的报文为URL(Uniform Resource Locator,统一 资源定位符)报文,所述报文的URL地址可以为http://www.mytest ? com/showdetail .asp? id = 4and 1 = 1。所述IDS设备可以对所述报文的报文负载进行入侵特征检测。所述报文的 报文负载可以为6£!'/]^1]\^/(1〇¥111〇&(1.&8卩?七5^61(1 = 4%20&11(1%2〇611((113_11&1116())111'丁?/ 1.1。假设字符串%20and%20为入侵特征,IDS设备可以将检测到的所述报文的报文负载在 预设的入侵特征库中进行匹配,其中,所述入侵特征库中可以包括入侵特征样本与入侵报 文类型的对应关系。
[0035] 在一个示例中,所述入侵特征库可以如下表1所示(表1仅展示出部分所述入侵特 征库的信息):
[0037] 表 1
[0038] 由表1可知,通过遍历所述入侵特征库,将所述报文的报文负载与入侵特征库中的 入侵特征样本进行匹配后,匹配到该报文的报文负载携带入侵特征样本%20and%20,可以 确定该报文为入侵报文,并通过查询入侵特征库中的对应关系,可以得知所述报文的入侵 报文类型为Web类入侵的SQL注入。
[0039] 当然,当无法从接收到的报文的报文负载中获取入侵特征时,可以确定所述接收 到的报文为正常报文。
[0040] 步骤102:为识别出的所述入侵报文设置对应的类型标签;
[0041] 在本申请实施例中,当从接收到的报文中识别出入侵报文后,可以为识别出的所 述入侵报文设置对应的类型标签。
[0042] 由上述实施例可知,接收到报文后,所述IDS设备可以对所述报文进行入侵特征检 测,当从所述报文中检测到入侵特征时,可以确定所述报文为入侵报文。然后,所述IDS设备 可以根据所述检测到的入侵特征与所述入侵特征库的匹配结果来确定所述报文的入侵报 文类型。
[0043] 在本申请实施例中,入侵报文的入侵报文类型可以包括:漏洞利用、恶意代码、信 息收集、协议异常、网络监控以及拒绝服务等。当IDS设备确定接收到的报文为入侵报文,以 及所述入侵报文的入侵报文类型时,可以为所述入侵报文设置类型标签。
[0044] 所述类型标签可以为ToS(Type of Service,服务类型),所述ToS的取值范围可以 为0至255。其中,每个ToS的取值代表的意义可以根据用户的具体需求来设定。所述ToS的取 值可以与入侵报文的入侵报文类型对应,IDS设备可以为每种入侵报文类型的入侵报文设 置不同的ToS值。例如,当所述入侵报文的入侵报文类型为漏洞利用时,IDS设备可以将所述 入侵报文的T0S值设置为1。
[0045] 步骤103:基于所述类型标签对所述入侵报文进行分流存储。
[0046] 在本申请实施例中,为识别出的所述入侵报文设置了对应的类型标签后,可以基 于所述类型标签对所述入侵报文进行分流存储,将所述入侵报文分流到其存储及分析系统 或者预设的统计分析设备进行存储。
[0047] 当所述IDS设备将所述入侵报文分流到其存储及分析系统进行存储时,所述存储 及分析系统可以根据所述类型标签对所述入侵报文进行不同维度的统计分析。
[0048]其中,所述存储及分析系统可以是预设的统计分析设备,当所述IDS设备将所述入 侵报文分流到预设的统计分析设备进行存储时,所述预设的统计分析设备可以根据所述类 型标签对所述入侵报文进行不同维度的统计分析。
[0049] 在针对所述入侵报文进不同维度的统计分析时,可以首先根据所述类型标签对所 述入侵报文进行分类。
[0050] 在一个示例中,所述IDS设备在将所述入侵报文分流到其存储及分析系统或者预 设的统计分析设备进行存储时,可以基于所述入侵报文的类型标签来实现。
[0051 ]例如,当所述入侵报文的类型标签为ToS时,所述IDS设备可以将ToS取值大于100 的入侵报文分流到其存储及分析系统进行存储,然后将接收到的其余的入侵报文分流至预 设的统计分析设备进行存储。
[0052]在分类完成后,可以针对分类后的每一个分类分别设定不同的统计分析策略,然 后基于不同的统计分析策略针对所述分类分别进行统计分析。
[0053]例如,当网络监控类的入侵报文被进一步分类成可疑访问入侵报文类型和事件监 控入侵报文类型时,可以针对可疑访问类型和事件监控类型分别设定统计分析策略,并基 于不同的统计分析策略针对入可疑访问类型和事件监控类型的报文分别进行统计分析。 [0054]在一个示例中,所述入侵报文的入侵报文类型可以被进一步分类,例如,当所述入 侵报文的入侵报文类型为恶意代码时,所述入侵报文类型可以被进一步分类为蠕虫入侵、 木马入侵、病毒入侵、钓鱼入侵或恶意代码;当所述入侵报文的入侵报文类型为拒绝服务 时,所述入侵报文类型可以被进一步分类成泛洪入侵。
[0055]在一个示例中,假设所述IDS设备可以将恶意代码类的报文的ToS值设置为1,则当 所述IDS设备的存储及分析系统或预设的统计分析设备对ToS值为1的入侵报文进行统计分 析时,可以先根据入侵报文的入侵报文类型的分类、入侵报文源IP地址、端口、协议等信息 对ToS值为1的入侵报文做统计。
[0056]在一个示例中,假设针对ToS值为1的入侵报文进行统计的统计表可以如下表2所 示(表2仅展示出部分所述统计表的信息):
[0058] 表2
[0059] 所述IDS设备的存储及分析系统或者预设的统计分析设备可以对同一类型标签的 不同入侵报文类型分类的报文采用不同的统计分析方法。因此,针对如表2所示的ToS的取 值为1的入侵报文构成的统计表,所述IDS设备的存储及分析系统或者预设的统计分析设备 可以得到如下表3和表4所示的分析表(表3和表4仅展示出部分所述分析表的信息):
[0062]表 3
[0063]如表3所不,为针对表2中ToS的取值为1的入侵报文的入侵报文类型的一个分类进 行分析。
[0065]表 4
[0066]如表4所不,为针对表2中ToS的取值为1的入侵报文的入侵报文类型的另一个分类 进行分析。
[0067] 由表3和表4可知,所述IDS设备的存储及分析系统或者预设的统计分析设备可以 对同一类型标签的不同入侵报文类型分类的报文采用不同的统计分析方法。
[0068] 当然,所述IDS设备的存储及分析系统或者预设的统计分析设备可以对不同类型 标签的入侵报文采用不同的分析方法。
[0069] 在一个示例中,假设所述IDS设备可以将网络监控类的报文的ToS值设置为2,则当 所述IDS设备的存储及分析系统或预设的统计分析设备对ToS值为2的入侵报文进行统计分 析时,可以先根据入侵报文的入侵报文类型的分类、入侵报文源IP地址、端口、协议等信息 对ToS值为2的入侵报文做统计。
[0070]在一个示例中,假设针对ToS值为2的入侵报文进行统计的统计表可以如下表5所 示(表5仅展示出部分所述统计表的信息):
[0073] 表 5
[0074] 在一个示例中,所述IDS设备的存储及分析系统或者预设的统计分析设备可以对 不同类型标签的不同入侵报文类型的报文采用不同的统计分析方法。因此,针对表2和表5 所示的统计表,所述IDS设备的存储及分析系统或者预设的统计分析设备可以得到如下表6 和表7所不的分析表(表6和表7仅展不出部分所述分析表的信息):
[0076]表 6
[0077]如表6所不,为针对表2中ToS的取值为1的入侵报文的一个分析表。
[0079]表 7
[0080]如表7所不,为针对表3中ToS的取值为2的入侵报文的一个分析表。
[0081] 由表6和表7可知,所述IDS设备的存储及分析系统或者预设的统计分析设备可以 对不同类型标签的入侵报文采用不同的分析方法。
[0082] 在另一个示例中,所述IDS设备的存储及分析系统或者预设的统计分析设备可以 根据用户的需求对部分或所有的接收到的入侵报文类型的入侵报文进行分析。同样地,可 以假设对如表2和表5所示的入侵报文进行分析。所述IDS设备的存储及分析系统或者预设 的统计分析设备可以得到如下表8、表9和表10所不的分析表(表8、表9和表10仅展不出部分 所述分析表的信息):
[0084]表 8
[0085] 如表8所不,为针对表2和表5中入侵报文的源IP地址的一个分析表。
[0088]如表9所不,为针对表2和表5中入侵报文的入侵报文类型的一个分析表。
[0091 ]如表10所不,为针对表2和表5中入侵报文的入侵报文类型分类的一个分析表。
[0092] 当然,以上所示的分析表也可以对应为分析图,具体可以由用户的具体需求来决 定。
[0093] 在另一个示例中,当所述接收到的报文为正常报文时,可以将所述报文分流到正 常转发途径。
[0094] 本申请提供入侵报文的分流方法及装置,接收到报文后,所述IDS设备可以从接收 到的所述报文中识别出入侵报文,然后为所述入侵报文设置对应的类型标签,所述类型标 签设置完成后,所述IDS设备可以基于所述类型标签对所述入侵报文进行分流。应用本实施 例,由于不再需要根据所述报文与预存的入侵规则的匹配结果来检测入侵报文,因此,可以 提高所述IDS设备的检测效率。
[0095] 下面通过具体实施例对以上实施例进行详细说明:
[0096] 在本申请实施例中,接收到报文后,可以根据所述报文的报文负载进行入侵特征 检测。假设,从所述报文的报文负载中检测到的入侵特征为字符串%20and%20。则可以根 据所述入侵特E%20and%20匹配如表1所示的入侵特征库。由表1可知,当根据%2〇311(1% 20这一入侵特征匹配入侵特征库时,可以确定所述报文为入侵报文,且所述入侵报文的入 侵报文类型为Web类入侵的SQL注入。
[0097] 从接收到的报文中识别出入侵报文后,可以为识别出的所述入侵报文设置对应的 类型标签。所述类型标签可以为ToS。其中,所述ToS的取值可以与所述入侵报文类型相对 应。例如,当所述报文的入侵报文类型为Web类时,可以将其ToS值设置为1。
[0098] 当为所述入侵报文设置完ToS值后,可以将所述入侵报文分流到所述IDS设备的存 储及分析系统或者预设的统计分析设备进行存储。其中,所述存储及分析系统可以是预设 的统计分析设备。
[0099]在一个示例中,所述IDS设备可以将ToS取值小于100的入侵报文分流到其存储及 分析系统进行存储,然后将接收到的其余的入侵报文分流至预设的统计分析设备进行存 储。
[0100] 将所述入侵报文分流存储后,所述存储及分析系统或者预设的统计分析设备可以 对所述入侵报文进行不同维度的统计分析。由于入侵报文的入侵报文类型可以被进一步分 类,因此,所述存储及分析系统或者预设的统计分析设备可以针对入侵报文的入侵报文类 型的每一个分类分别基于不同的统计分析策略进行统计分析,具体可见表3和表4,在此不 再赘述。
[0101] 同样地,所述存储及分析系统或者预设的统计分析设备也可以对不同类型标签的 入侵报文采用不同的分析方法,具体可见表6和表7,在此不再赘述。
[0102] 当然,所述存储及分析系统或者预设的统计分析设备也可以对部分或所有的接收 到的入侵报文类型的入侵报文进行分析,具体可见表8、表9和表10,在此不再赘述。
[0103] 在一个示例中,当无法从接收到的报文的报文负载中获取入侵特征时,可以确定 接收到的报文为正常报文。此时,可以将所述正常报文分流到正常转发途径。
[0104] 本申请提供入侵报文的分流方法及装置,接收到报文后,所述IDS设备可以从接收 到的所述报文中识别出入侵报文,然后为所述入侵报文设置对应的类型标签,所述类型标 签设置完成后,所述IDS设备可以基于所述类型标签对所述入侵报文进行分流。应用本实施 例,由于不再需要根据所述报文与预存的入侵规则的匹配结果来检测入侵报文,因此,可以 提高所述IDS设备的检测效率。
[0105] 与前述入侵报文的分流方法的实施例相对应,本申请还提供了入侵报文的分流装 置的实施例。
[0106] 本申请入侵报文的分流装置的实施例可以应用在IDS设备上。装置实施例可以通 过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑 意义上的装置,是通过其所在IDS设备的处理器将非易失性存储器中对应的计算机程序指 令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请入侵报文的分流装置 所在IDS设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存 储器之外,实施例中装置所在的IDS设备通常还可以包括其他硬件,如负责处理报文的转发 芯片等等。
[0107]请参考图4,为本申请入侵报文的分流装置的一个实施例框图:
[0108] 该装置可以包括:识别单元410、设置单元420以及分流单元430。
[0109] 识别单元410,用于识别接收到的报文中的入侵报文;
[0110] 设置单元420,用于为识别出的所述入侵报文设置对应的类型标签;
[0111] 分流单元430,用于基于所述类型标签对所述入侵报文进行分流存储。
[0112] 在一个可选的实现方式中,所述识别单元410可以具体用于:
[0113] 基于接收到的报文的报文负载进行入侵特征检测;
[0114] 将检测到的入侵特征在预设的入侵特征库中进行匹配;其中,所述入侵特征库中 包括入侵特征样本与入侵报文类型的对应关系;
[0115] 当检测到的入侵特征匹配所述入侵特征库中任一入侵特征样本时,确定所述报文 为入侵报文,并获取与所述任一入侵特征样本对应的入侵报文类型。
[0116] 在一个可选的实现方式中,所述分流单元430可以具体用于:
[0117] 将所述入侵报文分流到所述IDS设备的存储及分析系统或者预设的统计分析设备 进行存储。
[0118] 在一个可选的实现方式中,所述装置还可以包括(如图5所示):
[0119] 统计单元440,用于所述存储及分析系统根据所述类型标签对所述入侵报文进行 不同维度的统计分析;或者,由所述预设的统计分析设备根据所述类型标签对所述入侵报 文进行不同维度的统计分析。
[0120] 在一个可选的实现方式中,所述统计单元440可以具体用于:
[0121 ]根据类型标签对所述入侵报文进行分类;
[0122] 针对分类后的每一个分类分别基于不同的统计分析策略进行统计分析。
[0123] 在一个可选的实现方式中,所述装置还可以包括(如图6所示):
[0124] 转发单元450,用于当所述报文为非入侵报文时,将所述报文分流到正常转发路 径。
[0125] 在一个可选的实现方式中,所述类型标签可以为ToS标签。
[0126] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程,在此不再赘述。
[0127] 对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实 施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件 说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以 不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下,即可以理解并实施。
[0128] 本申请提供入侵报文的分流方法及装置,接收到报文后,所述IDS设备可以从接收 到的所述报文中识别出入侵报文,然后为所述入侵报文设置对应的类型标签,所述类型标 签设置完成后,所述IDS设备可以基于所述类型标签对所述入侵报文进行分流。应用本实施 例,由于不再需要根据所述报文与预存的入侵规则的匹配结果来检测入侵报文,因此,可以 提高所述IDS设备的检测效率。
[0129] 以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
【主权项】
1. 一种入侵报文的分流方法,其特征在于,所述方法应用于入侵检测系统IDS设备上, 所述方法包括: 识别接收到的报文中的入侵报文; 为识别出的所述入侵报文设置对应的类型标签; 基于所述类型标签对所述入侵报文进行分流存储。2. 根据权利要求1所述的方法,其特征在于,所述识别接收到的报文中的入侵报文,包 括: 基于接收到的报文的报文负载进行入侵特征检测; 将检测到的入侵特征在预设的入侵特征库中进行匹配;其中,所述入侵特征库中包括 入侵特征样本与入侵报文类型的对应关系; 当检测到的入侵特征匹配所述入侵特征库中任一入侵特征样本时,确定所述报文为入 侵报文,并获取与所述任一入侵特征样本对应的入侵报文类型。3. 根据权利要求1所述的方法,其特征在于,所述基于所述类型标签对所述入侵报文进 行分流存储,包括: 将所述入侵报文分流到所述IDS设备的存储及分析系统或者预设的统计分析设备进行 存储。4. 根据权利要求3所述的方法,其特征在于,所述方法还包括: 所述存储及分析系统根据所述类型标签对所述入侵报文进行不同维度的统计分析;或 者,由所述预设的统计分析设备根据所述类型标签对所述入侵报文进行不同维度的统计分 析。5. 根据权利要求4所述的方法,其特征在于,所述根据所述类型标签对所述入侵报文进 行不同维度的统计分析,包括: 根据类型标签对所述入侵报文进行分类; 针对分类后的每一个分类分别基于不同的统计分析策略进行统计分析。6. 根据权利要求1所述的方法,其特征在于,所述方法还包括: 当所述报文为非入侵报文时,将所述报文分流到正常转发路径。7. 根据权利要求1所述的方法,其特征在于,所述类型标签为ToS标签。8. -种入侵报文的分流装置,其特征在于,所述装置应用于入侵检测系统IDS设备上, 所述装置包括: 识别单元,用于识别接收到的报文中的入侵报文; 设置单元,用于为识别出的所述入侵报文设置对应的类型标签; 分流单元,用于基于所述类型标签对所述入侵报文进行分流存储。9. 根据权利要求8所述的装置,其特征在于,所述识别单元具体用于: 基于接收到的报文的报文负载进行入侵特征检测; 将检测到的入侵特征在预设的入侵特征库中进行匹配;其中,所述入侵特征库中包括 入侵特征样本与入侵报文类型的对应关系; 当检测到的入侵特征匹配所述入侵特征库中任一入侵特征样本时,确定所述报文为入 侵报文,并获取与所述任一入侵特征样本对应的入侵报文类型。10. 根据权利要求8所述的装置,其特征在于,所述分流单元具体用于: 将所述入侵报文分流到所述IDS设备的存储及分析系统或者预设的统计分析设备进行 存储。11. 根据权利要求10所述的装置,其特征在于,所述装置还包括: 统计单元,用于所述存储及分析系统根据所述类型标签对所述入侵报文进行不同维度 的统计分析;或者,由所述预设的统计分析设备根据所述类型标签对所述入侵报文进行不 同维度的统计分析。12. 根据权利要求11所述的装置,其特征在于,所述统计单元具体用于: 根据类型标签对所述入侵报文进行分类; 针对分类后的每一个分类分别基于不同的统计分析策略进行统计分析。13. 根据权利要求8所述的装置,其特征在于,所述装置还包括: 转发单元,用于当所述报文为非入侵报文时,将所述报文分流到正常转发路径。14. 根据权利要求8所述的装置,其特征在于,所述类型标签为ToS标签。
【文档编号】H04L29/06GK105959255SQ201610011477
【公开日】2016年9月21日
【申请日】2016年1月8日
【发明人】张宁
【申请人】杭州迪普科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张宁;
  • 技术所有人:杭州迪普科技有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
超能分流装置相关技术
电超能分流装置图片相关技术
网络报文分析装置相关技术
风道气体均匀分流装置相关技术
分流装置相关技术
应答器报文读取装置相关技术
国土防线2入侵装置相关技术
入侵检测装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2