一种基于协议识别防止ips漏报的方法与装置制造方法
【专利摘要】本发明涉及一种基于协议识别防止IPS漏报的方法,包括:S1:预先建立多个传统协议与端口号的映射表;S2:当报文经过协议识别模块时,协议识别模块对报文所属的协议进行识别;S3:通过查找映射表,获得报文的协议对应的端口号;S4:遍历端口号所对应的端口组中的多模匹配状态机进行IPS检测。本发明通过基于协议识别避免IPS漏报的方法,能有效的避免通过修改报文端口来逃避IPS网关设备检测的方法。本发明还公开了一种基于协议识别防止IPS漏报的装置。
【专利说明】一种基于协议识别防止IPS漏报的方法与装置
【技术领域】
[0001]本发明涉及计算机安全【技术领域】,尤其涉及一种基于协议识别防止IPS漏报的方法与装置。
【背景技术】
[0002]目前,大多数IPS产品都是以端口来划分规则集,将含有相同端口信息的所有规则解析到该端口对应的端口组结构中,该结构通常包含有该端口组所对应规则集的RTN(规则树节点)、0ΤΝ(选项树节点)以及多模匹配状态机。端口组结构数据需要设备初始化期间创建。检测报文时,通过报文的端口信息,即源端口、目的端口将其定位的端口组,然后遍历该端口组的多模状态机,从而确定是否触发了规则事件。
[0003]但这种基于端口组的检测框架机制由于将规则集通过端口划分成很多小的规则集合,能显著提高检测效率,但其有一个致命的缺陷,例如,报文的端口信息被人为的修改,那么报文将被定位的其它端口组上去做检测,也就逃避了 IPS规则的检测。
【发明内容】
[0004]本发明所要解决的技术问题是,针对现有技术的不足,如何通过协议识别防止IPS漏报的关键问题。
[0005]为此目的,本发明提出了一种基于协议识别防止IPS漏报的方法,包括具体以下步骤:
[0006]S1:预先建立多个传统协议与端口号的映射表;
[0007]S2:当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别;
[0008]S3:通过查找所述映射表,获得所述报文所述的协议对应的端口号;
[0009]S4:遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
[0010]具体地,所述多个传统协议包括:HTTP协议、FTP协议和SMTP协议。
[0011]具体地,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为对应。
[0012]为此目的,本发明还提出了一种基于协议识别防止IPS漏报的装置,包括:
[0013]映射表建立模块,用于预先建立多个传统协议与端口号的映射表;
[0014]识别模块,用于当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别;
[0015]端口号获取模块,用于通过查找所述映射表,获得所述报文所述的协议对应的端□号;
[0016]检测模块,用于遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
[0017]具体地,所述多个传统协议包括:HTTP协议、FTP协议和SMTP协议。
[0018]具体地,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为对应。
[0019]本发明所公开的一种基于协议识别防止IPS漏报的方法,首先需要协议识别模块的支持,协议识别模块能有效的识别出各种传统协议,然后预先建立各传统协议与端口号的映射表,此时的报文,即被修改了端口信息的报文经过协议识别模块,其所属协议被正确地识别出来,然后查找协议端口映射表,得到校正的端口号,最后遍历该端口号所对应端口组中的多模匹配状态机。本发明通过与协议识别功能的联动,有效的防止了通过修改端口信息来逃避IPS检测的攻击。本发明还公开了一种基于协议识别防止IPS漏报的装置。
【专利附图】
【附图说明】
[0020]通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
[0021]图1示出了本发明实施例中的一种基于协议识别防止IPS漏报的方法的步骤流程图;
[0022]图2示出本发明实施例中的一种基于协议识别防止IPS漏报的方法部署示意图;
[0023]图3示出了本发明实施例中的一种基于协议识别防止IPS漏报的装置的结构图。
【具体实施方式】
[0024]下面将结合附图对本发明的实施例进行详细描述。
[0025]如图1所示,本发明提供了一种基于协议识别防止IPS漏报的方法,包括具体以下步骤:
[0026]步骤S1:预先建立多个传统协议与端口号的映射表,其中,多个传统协议包括:HTTP协议、FTP协议和SMTP协议,且映射表包含两个元素的值对:协议和端口号,其中,协议与端口号为多个,协议与端口号为对应。
[0027]步骤S2:当报文经过协议识别模块时,协议识别模块对报文所属的协议进行识别。
[0028]步骤S3:通过查找映射表,获得报文的协议对应的端口号。
[0029]步骤S4:遍历端口号所对应的端口组中的多模匹配状态机进行IPS检测。
[0030]为了更好的理解与应用本发明提出的一种基于协议识别防止IPS漏报的方法,进行如下示例,且本发明不局限于如下示例。
[0031]如图2所示,本发明在原有的基于端口的IPS检测框架下,通过协议识别功能将其报文定位到正确的端口组中,该方法能有效的防止通过修改报文端口信息的方法来逃避检测的攻击。
[0032]具体地,报文经过网关设备,首先通过协议识别模块将其所属协议识别出来,所识别出来的协议通常是传统协议。例如,HTTP协议、FTP协议以及SMTP协议。
[0033]进一步地,网关设备预先定义维护了一份协议端口映射表,该表的每项主要包含两个元素的值对:协议和端口号,例如,HTTP协议对应的端口 80,SMTP协议对应的端口 25,报文经过上述步骤后定位的协议作为协议端口映射表的输入参数,查找该协议对应的正确端口,如果报文的端口协议被修改,则其报文的端口与映射出的正确端口不一致。
[0034]更进一步地,上述步骤查找出的端口叫做校验端口,通过校验端口,定位到该校验端口所对应的端口组中,该端口组信息是一端口划分的规则集信息,规则的RTN、OTN集合数据块、多模匹配状态机。例如,80端口组,包含了端口为80的所有规则信息,报文匹配该端口组的多模匹配状态机,如果匹配成功,通过RTN、OTN确定是哪条规则触发的事件,即最终完成了与协议识别的联动,报文被定向到正确的端口组中,然后进行基于端口组的IPS事件匹配。该发明有效的防止了通过修改报文端口来逃避IPS检测的攻击,具有较高的识别性与安全性。
[0035]如图3所示,本发明提供了一种基于协议识别防止IPS漏报的装置10,包括:映射表建立模块101、识别模块102、端口号获取模块103以及检测模块104。
[0036]具体地,映射表建立模块101用于预先建立多个传统协议与端口号的映射表,其中,多个传统协议包括=HTTP协议、FTP协议和SMTP协议,且映射表包含两个元素的值对:协议和端口号,其中,协议与端口号为多个,协议与端口号为对应;识别模块102用于当报文经过协议识别模块时,协议识别模块对报文所属的协议进行识别;端口号获取模块103用于通过查找映射表,获得报文的协议对应的端口号;检测模块104用于遍历端口号所对应的端口组中的多模匹配状态机进行IPS检测。
[0037]本发明所公开的一种基于协议识别防止IPS漏报的方法,首先需要协议识别模块的支持,协议识别模块能有效的识别出各种传统协议,其中这些传统协议都有公认的端口号,然后预先建立各传统协议与端口号的映射表,此时的报文,即被修改了端口信息的报文经过协议识别模块,其所属协议被正确地识别出来,然后查找协议端口映射表,得到校正的端口号,最后遍历该端口号所对应端口组中的多模匹配状态机。本发明通过与协议识别功能的联动,有效的防止了通过修改端口信息来逃避IPS检测的攻击。本发明还公开了一种基于协议识别防止IPS漏报的装置。
[0038]以上实施方式仅用于说明本发明,而并非对本发明的限制,有关【技术领域】的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
[0039]虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
【权利要求】
1.一种基于协议识别防止IPS漏报的方法,其特征在于,包括具体以下步骤: S1:预先建立多个传统协议与端口号的映射表;52:当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别; 53:通过查找所述映射表,获得所述报文所述的协议对应的端口号; 54:遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
2.如权利要求1所述的方法,其特征在于,所述多个传统协议包括=HTTP协议、FTP协议和SMTP协议。
3.如权利要求1所述的方法,其特征在于,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为 对应。
4.一种基于协议识别防止IPS漏报的装置,其特征在于,包括: 映射表建立模块,用于预先建立多个传统协议与端口号的映射表; 识别模块,用于当报文经过协议识别模块时,所述协议识别模块对所述报文所属的协议进行识别; 端口号获取模块,用于通过查找所述映射表,获得所述报文所述的协议对应的端口号; 检测模块,用于遍历所述端口号所对应的端口组中的多模匹配状态机进行IPS检测。
5.如权利要求4所述的装置,其特征在于,所述多个传统协议包括:HTTP协议、FTP协议和SMTP协议。
6.如权利要求4所述的装置,其特征在于,所述映射表包含两个元素的值对:协议和端口号,其中,所述协议与端口号为多个,所述协议与端口号为 对应。
【文档编号】H04L29/06GK104184726SQ201410369879
【公开日】2014年12月3日 申请日期:2014年7月25日 优先权日:2014年7月25日
【发明者】胡波 申请人:汉柏科技有限公司