数据检测的方法及装置与流程

本发明涉及互联网技术领域，尤其涉及一种数据检测的方法及装置。

背景技术：

互联网已经成为许多企业组织日常运营中重要组成部分，但是互联网的风险很高，存在受到恶意攻击等安全问题，因此如何解决互联网安全问题是至关重要。防火墙是一种被广泛应用的保证互联网安全的安全系统，但是，防火墙无法检测深层的入侵威胁。作为防火墙安全系统的补充，出现了入侵预防系统(intrusionpreventionsystem，ips)，它是一种能够检测深层入侵威胁并对其进行防御的安全系统。

ips一般部署于网络的进出口处，即在数据转发的路径上。ips包括两种部署模式，在线部署模式以及旁路部署模式。在线部署模式是通过串联的方式将ips接入网络，可以对经过ips的每个数据包进行深度检测，并对检测过程中发现的恶意行为进行防御，比如丢弃恶意数据包、切断应用会话等；旁路部署模式是ips通过一条线接入网络，这条线通常接入交换机，使ips通过交换机接入网络，旁路部署模式的ips检测的是由交换机镜像后的数据包，当发现恶意行为时，进行记录、报警等措施。

在实际应用中，由于在线部署模式是ips直接串联在网络中对数据包进行检测并进行防御，因此若发生检测的失误，很可能会对原本的网络间数据的交互造成影响；而旁路部署模式不是直接串联在网络中，即时发生检测的失误，也不会影响网络间数据的交互。所以，在ips的试运行阶段，为了降低原本网络间数据交互的影响，通常会先使用旁路模式部署ips作为过渡，当试运行阶段的ips检测的准确度稳定之后，再使用在线部署模式将ips部署在网络进出口。因为需要先后使用两种模式的ips所以通常需要开发在线部署模式的ips以及旁路部署模式的ips两套系统，由于两种部署模式的差异性，对应的数据包检测模式也存在较大的差异性，因此分别开发两套系统的开发成本较大。

技术实现要素：

鉴于上述问题，本发明实提供一种数据检测的方法及装置，用以解决现有的开发两套不同部署模式的ips的开发成本较大的问题。

一方面，本发明提供了一种数据检测的方法，包括：

获取数据包入口接口所属的安全域的工作模式属性，所述工作模式属性包括在线工作模式和旁路工作模式，所述数据包入口接口为入侵预防系统ips接收数据包的网口；

当接收到数据包后，根据对应的安全域的工作模式属性确定数据包的检测流程；

若工作模式属性为在线工作模式，则执行在线检测流程；

若工作模式属性为旁路工作模式，则执行旁路检测流程。

另一方面，本发明提供了一种数据检测的装置，包括：

属性获取单元，用于获取数据包入口接口所属的安全域的工作模式属性，所述工作模式属性包括在线工作模式和旁路工作模式，所述数据包入口接口为入侵预防系统ips接收数据包的网口；

流程确定单元，用于当接收到数据包后，根据对应的安全域的工作模式属性确定数据包的检测流程；

第一执行单元，用于若工作模式属性为在线工作模式，则执行在线检测流程；

第二执行单元，用于若工作模式属性为旁路工作模式，则执行旁路检测流程。

本发明提供的数据检测的方法及装置，能够首先获取数据包入口接口所属的安全域的工作模式属性，工作模式属性包括在线工作模式和旁路工作模式；其次，根据数据包对应的安全域的工作模式属性确定数据包的检测流程；若工作模式属性为在线工作模式，则执行在线检测流程；若工作模式属性为旁路工作模式，则执行旁路检测流程。与现有技术相比，本发明的数据包检测流程可以由数据包对应的安全域的工作模式属性控制，一套ips既可以支持在线检测模式也可以支持旁路检测模式，因此实现了一套ips既可以以在线模式部署，也可以以旁路模式部署，相对于现有的开发两套不同部署模式的ips大大降低了开发的成本。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种数据检测的方法流程图；

图2示出了本发明实施例提供的一种数据检测的装置的组成框图；

图3示出了本发明实施例提供的另一种数据检测的装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为解决现有的开发两套不同部署模式的ips开发成本较大的问题，本发明实施例提供了一种数据检测的方法，如图1所示，该方法包括：

101、获取数据包入口接口所属的安全域的工作模式属性。

在获取数据包入口接口所属的安全域的工作模式属性之前，需要先进行安全域的划分，不同的计算机终端通过不同的接口与ips相连，因此通常根据计算机终端对应的用户的等级进行安全域的划分，比如可以分为员工安全域、老板安全域等，老板安全域的检测等级更高，员工安全域的检测等级较低。不同的检测等级对应不同深度的数据包检测策略，因此通常需要安全域的划分。其中计算机终端接入ips的接口即数据包入口接口，本实施例中入口接口为ips接收数据包的网口。

安全域的工作模式属性包括在线工作模式和旁路工作模式，不同的工作模式属性是由用户在创建安全域时自由选择的。

102、根据对应的安全域的工作模式属性确定数据包的检测流程。

不同的工作模式属性对应不同的数据包检测流程，因此ips在接收到数据包之后，需要根据对应的安全域的工作模式属性选择对应的检测流程进行数据包的检测。

103、若工作模式属性为在线工作模式，则执行在线检测流程。

需要说明的是，ips中只包含一个完整的数据包检测流程，而对于在线检测流程以及后续的旁路检测流程是由完整的数据包检测流程中全部或者部分环节组成的检测流程。其中完整的数据包检测流程包括以下环节：数据包检查、会话管理、规则控制、路由、协议检查、数据流重组、攻击检测、日志收集、数据包发出，其中所有环节是按照前述的排列顺序执行的。

具体的，本实施例中，在线检测流程为由完整的数据包检测流程中全部的环节组成的。

104、若工作模式属性为旁路工作模式，则执行旁路检测流程。

本实施例中，旁路检测模由完整的ips数据包检测流程中部分环节组成的，其中部分环节为除与数据包发出相关的环节之外的检测环节。

需要说明的是，旁路工作模式对应的是ips的旁路部署模式，旁路部署模式只有接收数据包的入口没有发出数据包的出口，因此执行旁路检测流程时，不执行与数据包发出环节相关的检测环节。

进一步的，由于可以为安全域选择不同的工作模式属性，不同的安全域可能对应不同的工作模式属性，因此本实施例中一套ips可以实现同时执行在线检测流程和旁路部署流程。

本发明实施例提供的数据检测的方法，能够首先获取数据包入口接口所属的安全域的工作模式属性，工作模式属性包括在线工作模式和旁路工作模式；其次，根据数据包对应的安全域的工作模式属性确定数据包的检测流程；若工作模式属性为在线工作模式，则执行在线检测流程；若工作模式属性为旁路工作模式，则执行旁路检测流程。与现有技术相比，本发明实施例的数据包检测流程可以由数据包对应的安全域的工作模式属性控制，一套ips既可以支持在线检测模式也可以支持旁路检测模式，因此实现了一套ips既可以以在线模式部署，也可以以旁路模式部署，相对于现有的开发两套不同部署模式的ips大大降低了开发的成本。

进一步的，对图1所示的数据检测的方法进行细化及扩展，具体的细化及扩展如下所述：

通常在线检测流程中需要确定数据包的入口接口以及数据包的出口接口，而旁路检测流程中只需要确定数据包的入口接口。在本实施例中由于旁路检测流程与在线检测流程公用一个完整的数据包检测流程，因此为了同时满足两种检测流程的需求以及保证出口接口的复用性，所以在执行旁路检测流程时将数据包的出口接口设置为入口接口，使数据包的出口接口与数据包的入口接口一致，这样既可以保证旁路检测流程下数据包不发出的需求，也不影响在线检测流程下数据包出口接口的确定。具体的，在线检测流程中，数据包的出口接口可以通过路由环节确定。通过路由环节确定出口接口的方式包括两种：第一种方式，通过路由环节中路由功能程序、邻居功能程序确定数据包的出口接口；第二种方式，通过路由环节中包含的二层交换机地址表cam表确定，cam表中记录了数据包对应的物理地址(mediaaccesscontrol，mac)地址与数据包出口接口之间的对应关系，因此可以通过查询cam表确定数据包的出口接口。

进一步的，旁路检测流程中除了不执行与数据包发出相关的检测环节之外，在执行协议检查环节时，由于旁路检测流程不能接收到所有数据包，即可能获取不到完整会话的交互过程，因此无法执行协议检查环节中的传输控制协议(transmissioncontrolprotocol，tcp)状态机检查。

进一步的，对于旁路检测流程只执行完整的ips数据包检测流程中部分环节的实现过程为：在执行与数据包发出相关的检测环节之前，判断数据包对应的安全域的工作模式属性；若安全域的工作模式属性为旁路工作模式，则执行与该数据包发出相关的检测环节的下一环节。同样的，对于不执行协议检查环节中的tcp状态机检查的实现方式为：在执行tcp状态机检查之前，判断数据包对应的安全域的工作模式属性；若安全域的工作模式属性为旁路工作模式，则跳过tcp状态机检查执行下一个检查。

进一步的，在执行攻击检测环节时，通常需要判断数据包的方向，数据包的方向表示数据包发送的方向是客户端或服务器，因为同一个计算机终端既可以作为客户端也可以作为服务器，而不同的数据包方向对应不同的攻击检测策略，不同的攻击检测策略也是根据用户的设置进行配置的，比如有的用户只设置了服务器攻击检测，这种情况下对于数据包方向为客户端方向的数据包则不进行攻击检测，只对数据包方向为服务器方向的数据包进行攻击检测。在现有技术中，在线部署模式的ips中对应的数据包检测流程下的数据包的方向通常会根据数据包的入口和数据包的出口来确定数据包的方向，而本实施例中在线检测流程与旁路检测流程公用一个完整的数据包检测流程，并且旁路检测流程中数据包入口接口和出口接口为同一接口，因此无法使用现有技术中的数据包方向的确定方式。本发明实施例是根据数据包对应的会话五元组来唯一确定数据包的方向，因为一个会话五元组可以确定一个会话，确定一个会话即可以确定对应的数据包方向，其中会话五元组包括数据包对应的源网间协议(internetprotocol，ip)地址、源端口、目的ip地址、目的端口、传输层协议。需要说明的是，会话五元组的获取是在会话管理环节获取的，在会话管理环节获取之后进行保存，当需要执行攻击检测时再进行调用。

进一步的，在实际应用中，对于需要先后通过旁路部署模式以及在线部署模式两种部署模式进行ips部署的需求，由于旁路部署模式对应的旁路检测流程与在线部署模式对应的在线检测流程共同使用一个数据包检测流程，因此两种部署模式的性能差别不大。而现有技术中，两种ips部署模式分别进行独立开发和设计，因此ips的性能可能会有较大差别，在由旁路部署模式改为在线部署模式进行ips部署之后，还需要进行不断的调试。综上，使用旁路检测流程与在线检测流程共同使用一个数据包检测流程的数据包检测方式，还可以减少后期的调试工作，提高了工作效率。

进一步的，作为对上述各实施例的实现，本发明实施例的另一实施例还提供了一种数据检测的装置，用于实现上述图1所述的方法。如图2所示，该装置包括：属性获取单元21、流程确定单元22、第一执行单元23以及第二执行单元24。

属性获取单元21，用于获取数据包入口接口所属的安全域的工作模式属性，工作模式属性包括在线工作模式和旁路工作模式，数据包入口接口为入侵预防系统ips接收数据包的网口。

在获取数据包入口接口所属的安全域的工作模式属性之前，需要先进行安全域的划分，不同的计算机终端通过不同的接口与ips相连，因此通常根据计算机终端对应的用户的等级进行安全域的划分，比如可以分为员工安全域、老板安全域等，老板安全域的检测等级更高，员工安全域的检测等级较低。不同的检测等级对应不同深度的数据包检测策略，因此通常需要安全域的划分。其中计算机终端接入ips的接口即数据包入口接口，本实施例中入口接口为ips接收数据包的网口。

安全域的工作模式属性包括在线工作模式和旁路工作模式，不同的工作模式属性是由用户在创建安全域时自由选择的。

流程确定单元22，用于当接收到数据包后，根据对应的安全域的工作模式属性确定数据包的检测流程。

不同的工作模式属性对应不同的数据包检测流程，因此ips在接收到数据包之后，需要根据对应的安全域的工作模式属性选择对应的检测流程进行数据包的检测。

第一执行单元23，用于若工作模式属性为在线工作模式，则执行在线检测流程。

需要说明的是，ips中只包含一个完整的数据包检测流程，而对于在线检测流程以及后续的旁路检测流程是由完整的数据包检测流程中全部或者部分环节组成的检测流程。其中完整的数据包检测流程包括以下环节：数据包检查、会话管理、规则控制、路由、协议检查、数据流重组、攻击检测、日志收集、数据包发出，其中所有环节是按照前述的排列顺序执行的。

具体的，本实施例中，在线检测流程为由完整的数据包检测流程中全部的环节组成的。

第二执行单元24，用于若工作模式属性为旁路工作模式，则执行旁路检测流程。

本实施例中，旁路检测模由完整的ips数据包检测流程中部分环节组成的，其中部分环节为除与数据包发出相关的环节之外的检测环节。

进一步的，如图3所示，第二执行单元24包括：

判断模块241，用于在执行与数据包发出相关的环节之前，判断数据包对应的安全域的工作模式属性，与数据包发出相关的环节包括路由环节以及数据包发出环节；

执行模块242，用于若工作模式属性为旁路工作模式，则执行与数据包发出相关的环节的下一环节。

进一步的，如图3所示，装置进一步包括：

旁路出口设置单元25，用于在执行旁路检测流程时，将出口接口设置为入口接口；

在线出口确定单元26，用于在执行在线检测流程时，根据路由方式或者查询二层交换机地址表cam表的方式确定数据包的出口接口，以使数据包从出口接口发出。

通常在线检测流程中需要确定数据包的入口接口以及数据包的出口接口，而旁路检测流程中只需要确定数据包的入口接口。在本实施例中由于旁路检测流程与在线检测流程公用一个完整的数据包检测流程，因此为了同时满足两种检测流程的需求以及保证出口接口的复用性，所以在执行旁路检测流程时将数据包的出口接口设置为入口接口，使数据包的出口接口与数据包的入口接口一致，这样既可以保证旁路检测流程下数据包不发出的需求，也不影响在线检测流程下数据包出口接口的确定。具体的，在线检测流程中，数据包的出口接口可以通过路由环节确定。通过路由环节确定出口接口的方式包括两种：第一种方式，通过路由环节中路由功能程序、邻居功能程序确定数据包的出口接口；第二种方式，通过路由环节中包含的二层交换机地址表cam表确定，cam表中记录了数据包对应的mac地址与数据包出口接口之间的对应关系，因此可以通过查询cam表确定数据包的出口接口。

进一步的，如图3所示，装置进一步包括：

五元组获取单元27，用于获取数据包对应的会话五元组，会话五元组包括源ip地址、源端口、目的ip地址、目的端口、传输层协议；

方向确定单元28，用于在执行攻击检测环节时，根据数据包对应的会话五元组确定数据包的方向，数据包的方向表示数据包发送的方向是客户端或服务器；

策略确定单元29，用于根据数据包的方向确定攻击检测环节中的攻击检测策略。

在执行攻击检测环节时，通常需要判断数据包的方向，数据包的方向表示数据包发送的方向是客户端或服务器，因为同一个计算机终端既可以作为客户端也可以作为服务器，而不同的数据包方向对应不同的攻击检测策略，不同的攻击检测策略也是根据用户的设置进行配置的，比如有的用户只设置了服务器攻击检测，这种情况下对于数据包方向为客户端方向的数据包则不进行攻击检测，只对数据包方向为服务器方向的数据包进行攻击检测。在现有技术中，在线部署模式的ips中对应的数据包检测流程下的数据包的方向通常会根据数据包的入口和数据包的出口来确定数据包的方向，而本实施例中在线检测流程与旁路检测流程公用一个完整的数据包检测流程，并且旁路检测流程中数据包入口接口和出口接口为同一接口，因此无法使用现有技术中的数据包方向的确定方式。本发明实施例是根据数据包对应的会话五元组来唯一确定数据包的方向，因为一个会话五元组可以确定一个会话，确定一个会话即可以确定对应的数据包方向，其中会话五元组包括数据包对应的源ip地址、源端口、目的ip地址、目的端口、传输层协议。需要说明的是，会话五元组的获取是在会话管理环节获取的，在会话管理环节获取之后进行保存，当需要执行攻击检测时再进行调用。

进一步的，如图3所示，第二执行单元24包括：

判断模块241，还用于在执行协议检查环节中的传输控制协议tcp状态机检查之前，判断数据包对应的安全域的工作模式属性；

执行模块242，还用于若工作模式属性为旁路工作模式，则不执行tcp状态机检查。

旁路检测流程中除了不执行与数据包发出相关的检测环节之外，在执行协议检查环节时，由于旁路检测流程不能接收到所有数据包，即可能获取不到完整会话的交互过程，因此无法执行协议检查环节中的tcp状态机检查。

本发明实施例提供的数据检测的装置，能够首先获取数据包入口接口所属的安全域的工作模式属性，工作模式属性包括在线工作模式和旁路工作模式；其次，根据数据包对应的安全域的工作模式属性确定数据包的检测流程；若工作模式属性为在线工作模式，则执行在线检测流程；若工作模式属性为旁路工作模式，则执行旁路检测流程。与现有技术相比，本发明实施例的数据包检测流程可以由数据包对应的安全域的工作模式属性控制，一套ips既可以支持在线检测模式也可以支持旁路检测模式，因此实现了一套ips既可以以在线模式部署，也可以以旁路模式部署，相对于现有的开发两套不同部署模式的ips大大降低了开发的成本。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的发明名称(如数据检测的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。