一种支持特征跨包的编码攻击检测方法和装置与流程

文档序号:11843062阅读:来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术>一种支持特征跨包的编码攻击检测方法和装置与流程

技术特征:

1.一种支持特征跨包的编码攻击检测方法,应用于IPS设备,其特征在于,包括:

在针对接收到的报文进行解码时,判断与所述报文所在会话对应的结构体中是否存在未解码字符;所述结构体用于存储对应于所述会话的未解码字符、编码方式以及多模式匹配进度;

当所述结构体存在未解码字符时,合并所述未解码字符和所述报文的报文负载;

根据所述结构体中的编码方式,对合并后的所述未解码字符和所述报文的报文负载进行解码处理;

基于预先配置的攻击特征,在所述多模式匹配进度的基础上,基于预设的多模式匹配算法对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配,以确定所述报文是否为攻击报文。

2.根据权利要求1所述的方法,其特征在于,所述方法还包括:

当接收到所述报文时,读取所述报文的编码方式字段;

基于读取到的所述编码方式字段中记录的信息判断所述报文是否经过编码。

3.根据权利要求1所述的方法,其特征在于,在针对接收到的报文进行解码时,判断与所述报文所在会话对应的结构体中是否存在未解码字符,包括:

在针对接收到的报文进行解码时,判断所述报文所在的会话是否存在对应的结构体;

如果所述报文所在的会话不存在所述结构体,为所述报文所在的会话创建所述结构体;

将所述报文的编码方式存储在所述结构体中。

4.根据权利要求3所述的方法,其特征在于,所述方法还包括:

当针对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配后,未查找到完整的攻击特征时,在所述结构体中记录当前的多模式匹配进度,对所述结构体中记录的多模式匹配进度进行更新。

5.根据权利要求1所述的方法,其特征在于,所述方法还包括:

当所述结构体中不存在未解码字符时,根据所述结构体中记录的编码方式,对所述报文的报文负载进行解码处理;

基于预先配置的所述攻击特征,在所述多模式匹配进度的基础上,基于预设的多模式匹配算法对解码后的所述报文的报文负载进行多模式匹配;

当针对解码后的所述报文的报文负载进行多模式匹配后,未查找到完整的攻击特征时,在所述结构体中记录当前的多模式匹配进度,对所述结构体中记录的多模式匹配进度进行更新。

6.根据权利要求1或5所述的方法,其特征在于,所述方法还包括:

当解码处理后仍存在无法解码的字符时,将该字符作为所述未解码字符存储到所述结构体中。

7.根据权利要求1或5所述的方法,其特征在于,所述多模式匹配算法为AC算法。

8.一种支持特征跨包的编码攻击检测装置,应用于IPS设备,其特征在于,包括:

判断单元,用于在针对接收到的报文进行解码时,判断与所述报文所在会话对应的结构体中是否存在未解码字符;所述结构体用于存储对应于所述会话的未解码字符、编码方式以及多模式匹配进度;

合并单元,用于当所述结构体存在未解码字符时,合并所述未解码字符和所述报文的报文负载;

解码单元,用于根据所述结构体中的编码方式,对合并后的所述未解码字符和所述报文的报文负载进行解码处理;

查找单元,用于基于预先配置的攻击特征,在所述多模式匹配进度的基础上,基于预设的多模式匹配算法对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配,以确定所述报文是否为攻击报文。

9.根据权利要求8所述的装置,其特征在于,所述装置还包括:

读取单元,用于当接收到所述报文时,读取所述报文的编码方式字段;

所述判断单元,进一步用于基于读取到的所述编码方式字段中记录的信息判断所述报文是否经过编码。

10.根据权利要求8所述的装置,其特征在于,所述判断单元,进一步用于:

在针对接收到的报文进行解码时,判断所述报文所在的会话是否存在对应的结构体;

如果所述报文所在的会话不存在所述结构体,为所述报文所在的会话创建所述结构体;

将所述报文的编码方式存储在所述结构体中。

11.根据权利要求10所述的装置,其特征在于,所述装置还包括:

存储单元,用于当针对解码后的所述未解码字符和所述报文的报文负载进行多模式匹配后,未查找到完整的攻击特征时,在所述结构体中记录当前的多模式匹配进度,对所述结构体中记录的多模式匹配进度进行更新。

12.根据权利要求8所述的装置,其特征在于,所述装置还包括:

所述解码单元,进一步用于当所述结构体中不存在未解码字符时,根据所述结构体中记录的编码方式,对所述报文的报文负载进行解码处理;

所述查找单元,进一步用于基于预先配置的所述攻击特征,在所述多模式匹配进度的基础上,基于预设的多模式匹配算法对解码后的所述报文的报文负载进行多模式匹配;

所述存储单元,进一步用于当针对解码后的所述报文的报文负载进行多模式匹配后,未查找到完整的攻击特征时,在所述结构体中记录当前的多模式匹配进度,对所述结构体中记录的多模式匹配进度进行更新。

13.根据权利要求8或12所述的装置,其特征在于,所述装置还包括:

所述存储单元,进一步用于当解码处理后仍存在无法解码的字符时,将该字符作为所述未解码字符存储到所述结构体中。

14.根据权利要求8或12所述的装置,其特征在于,所述多模式匹配算法为AC算法。

完整全部详细技术资料下载
当前第2页1 2 3 
    相关技术
    网友询问留言 已有0条留言
    • 还没有人留言评论。精彩留言会获得点赞!
    1
    精彩留言,会给你点赞!
    图像特征检测算法相关技术
    opencv人脸特征点检测相关技术
    特征编码相关技术
    定性特征哑编码相关技术
    稀疏自编码器提取特征相关技术

    使用协议| 关于我们| 联系X技术

    © 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2