所述的方法,所述多模库根据所述特征库构建,每一条关键字代表 一个模式。
[0111] A4、如A2所述的方法,
[0112] 确定一条关键字是否为针对所述对象的关键字的方式为:确定该关键字的属性是 否为所述对象;
[0113] 确定一条特征表达式是否为针对所述对象的特征表达式的方式为:确定该特征表 达式的属性是否为所述对象。
[0114] A5、如A1或A2所述的方法,在构建所述特征库过程中,基于攻击的类型,按照主 类、子类和规则的方式组织所述多条特征表达式;在构架所述多模库过程中,基于攻击的类 型,按照主类、子类和规则的方式组织所述多条关键字。
[0115] A6、如A1或A2所述的方法,所述消息为应用层协议消息;所述应用层协议包括 TFTP、HTTP、SNMP、FTP、SMTP、DNS或Telnet协议。
[0116] A7、如A6所述的方法,所述消息是指http协议消息;所述对象是指http协议消息 的预定义字段,包括url、reference、参数、cookie。
[0117] A8、如A1或A2所述的方法,采用多模匹配算法进行所述多模匹配;所述多模匹配 算法为ACBM算法。
[0118] B9、一种基于对象分析的攻击识别装置,包括:
[0119] 消息获取单元,用于获取消息;
[0120] 消息解析单元,用于对获取的消息进行协议分析,解析获得一个或多个对象的数 据;
[0121] 特征库构建单元,用于构建所述特征库,所述特征库包括多条特征表达式,每条特 征表达式具有对象的属性;
[0122] 多模库构建单元,用于构建所述多模库,所述多模库包括多条关键字,每条关键字 具有对象的属性;其中,所述多模库中的关键字与特征库中的一条或多条特征表达式具有 映射关系,具有映射关系的关键字与特征表达式具有相同的属性;
[0123] 匹配单元,用于基于所述特征库及所述多模库,对所述消息解析单元获得的对象 的数据进行匹配,确定是否存在攻击。
[0124]B10、如B9所述的装置,所述匹配单元包括:
[0125] 多模匹配子单元,用于针对所述对象的数据,利用多模库进行多模匹配;
[0126] 映射确定子单元,用于从特征库中匹配是否存在针对该对象的、与匹配的关键字 具有映射关系的特征表达式;
[0127] 规则匹配子单元,用于基于所述针对该对象的、与匹配的关键字对应的特征表达 式,对该对象的数据进行规则匹配;
[0128] 结果确定子单元,用于根据多模匹配子单元、映射确定子单元及规则匹配子单元 的确认结果确定是否存在攻击,其中,如果多模匹配子单元未匹配到针对该对象的关键字、 所述映射确定子单元没有匹配到特征表达式或者所述规则匹配子单元没有匹配成功,则确 定不存在攻击,如果所述规则匹配子单元匹配成功,则确定存在攻击。
[0129]B11、如B9或B10所述的装置,所述多模库根据所述特征库构建,每一条关键字代 表一个模式。
[0130]B12、如B10所述的装置,所述映射确定子单元确定一条关键字是否为针对所述对 象的关键字的方式为:确定该关键字的属性是否为所述对象;
[0131] 所述规则匹配子单元确定一条特征表达式是否为针对所述对象的特征表达式的 方式为:确定该特征表达式的属性是否为所述对象。
[0132]B13、如B9或B10所述的装置,所述特征库构建单元,在构建所述特征库过程中,用 于基于攻击的类型,按照主类、子类和规则的方式组织所述多条特征表达式;所述多模库构 建单元,在构架所述多模库过程中,用于基于攻击的类型,按照主类、子类和规则的方式组 织所述多条关键字。
[0133]B14、如B9或B10所述的装置,所述消息获取单元获取的所述消息为应用层协议消 息;所述应用层协议包括TFTP、HTTP、SNMP、FTP、SMTP、DNS或Telnet协议。
[0134]B15、如B14所述的装置,所述消息获取单元获取的所述消息是指http协议 消息;所述消息解析单元获得的所述对象是指http协议消息的预定义字段,包括url、 reference、参数、cookie。
[0135]B16、如B9或B10所述的装置,所述多模匹配单元采用多模匹配算法进行所述多模 匹配;所述多模匹配算法为ACBM算法。
【主权项】
1. 一种基于对象分析的攻击识别方法,其特征在于,包括: 构建特征库,所述特征库包括多条特征表达式,每条特征表达式具有对象的属性; 构建多模库,所述多模库包括多条关键字,每条关键字具有对象的属性;所述多模库中 的关键字与所述特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字 与特征表达式具有相同的属性; 基于所述特征库及所述多模库,对解析消息后获得的对象的数据进行匹配,确定是否 存在攻击。2. 如权利要求1所述的方法,其特征在于,所述基于所述特征库及所述多模库,对解析 消息后获得的对象的数据进行匹配,确定是否存在攻击包括: 对获取的消息进行协议分析,解析获得一个或多个对象的数据; 针对所述对象的数据,利用多模库进行多模匹配,如果匹配到针对该对象的关键字,则 进行后续步骤,否则确定不存在攻击; 从特征库中匹配是否存在针对该对象的、与匹配的关键字具有映射关系的特征表达 式,如果没有匹配到特征表达式,则确定不存在攻击,否则进行后续步骤; 基于所述针对该对象的、与匹配的关键字对应的特征表达式,对该对象的数据进行规 则匹配,如果匹配成功,则确定存在攻击,否则确定不存在攻击。3. 如权利要求1或2所述的方法,其特征在于,所述多模库根据所述特征库构建,每一 条关键字代表一个模式。4. 如权利要求2所述的方法,其特征在于, 确定一条关键字是否为针对所述对象的关键字的方式为:确定该关键字的属性是否为 所述对象; 确定一条特征表达式是否为针对所述对象的特征表达式的方式为:确定该特征表达式 的属性是否为所述对象。5. 如权利要求1或2所述的方法,其特征在于,在构建所述特征库过程中,基于攻击的 类型,按照主类、子类和规则的方式组织所述多条特征表达式;在构架所述多模库过程中, 基于攻击的类型,按照主类、子类和规则的方式组织所述多条关键字。6. 如权利要求1或2所述的方法,其特征在于,所述消息为应用层协议消息;所述应用 层协议包括 TFTP、HTTP、SNMP、FTP、SMTP、DNS 或 Telnet 协议。7. 如权利要求6所述的方法,其特征在于,所述消息是指http协议消息;所述对象是 指http协议消息的预定义字段,包括url、reference、参数、cookie。8. 如权利要求1或2所述的方法,其特征在于,采用多模匹配算法进行所述多模匹配; 所述多模匹配算法为ACBM算法。9. 一种基于对象分析的攻击识别装置,其特征在于,包括: 消息获取单元,用于获取消息; 消息解析单元,用于对获取的消息进行协议分析,解析获得一个或多个对象的数据; 特征库构建单元,用于构建所述特征库,所述特征库包括多条特征表达式,每条特征表 达式具有对象的属性; 多模库构建单元,用于构建所述多模库,所述多模库包括多条关键字,每条关键字具有 对象的属性;其中,所述多模库中的关键字与特征库中的一条或多条特征表达式具有映射 关系,具有映射关系的关键字与特征表达式具有相同的属性; 匹配单元,用于基于所述特征库及所述多模库,对所述消息解析单元获得的对象的数 据进行匹配,确定是否存在攻击。10.如权利要求9所述的装置,其特征在于,所述匹配单元包括: 多模匹配子单元,用于针对所述对象的数据,利用多模库进行多模匹配; 映射确定子单元,用于从特征库中匹配是否存在针对该对象的、与匹配的关键字具有 映射关系的特征表达式; 规则匹配子单元,用于基于所述针对该对象的、与匹配的关键字对应的特征表达式,对 该对象的数据进行规则匹配; 结果确定子单元,用于根据多模匹配子单元、映射确定子单元及规则匹配子单元的确 认结果确定是否存在攻击,其中,如果多模匹配子单元未匹配到针对该对象的关键字、所述 映射确定子单元没有匹配到特征表达式或者所述规则匹配子单元没有匹配成功,则确定不 存在攻击,如果所述规则匹配子单元匹配成功,则确定存在攻击。
【专利摘要】本发明公开了一种基于对象分析的攻击识别方法及装置。其中的方法包括:构建特征库,所述特征库包括多条特征表达式,每条特征表达式具有对象的属性;构建多模库,所述多模库包括多条关键字,每条关键字具有对象的属性;所述多模库中的关键字与所述特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字与特征表达式具有相同的属性;基于所述特征库及所述多模库,对解析消息后获得的对象的数据进行匹配,确定是否存在攻击。本发明基于对象进行有针对性的过滤,且通过多模库与特征库结合的方式,可以将大部分安全数据进行过滤,而不需要对大部分数据进行繁琐的字符匹配,从而显著提高检测效率。
【IPC分类】H04L29/06
【公开号】CN104954345
【申请号】CN201410126740
【发明人】姚熙
【申请人】北京奇虎科技有限公司, 奇智软件(北京)有限公司
【公开日】2015年9月30日
【申请日】2014年3月31日