亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

入侵報(bào)文的分流方法及裝置的制造方法

文檔序號(hào):10597139閱讀:407來(lái)源:國(guó)知局
入侵報(bào)文的分流方法及裝置的制造方法
【專利摘要】本申請(qǐng)?zhí)峁┮环N入侵報(bào)文的分流方法及裝置,所述方法包括:識(shí)別接收到的報(bào)文中的入侵報(bào)文;為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽;基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。應(yīng)用本申請(qǐng),由于不再需要根據(jù)所述報(bào)文與預(yù)存的入侵規(guī)則的匹配結(jié)果來(lái)檢測(cè)入侵報(bào)文,因此,可以提高檢測(cè)效率。
【專利說(shuō)明】
入侵報(bào)文的分流方法及裝置
技術(shù)領(lǐng)域
[0001 ]本申請(qǐng)涉及通信技術(shù)領(lǐng)域,尤其涉及入侵報(bào)文的分流方法及裝置。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)在給人們帶來(lái)巨大便利的同時(shí)也帶來(lái)了各種安 全問(wèn)題。IDS(Intrusion Detection Systems,入侵檢測(cè)系統(tǒng))是一種動(dòng)態(tài)安全技術(shù),它主動(dòng) 地收集包括網(wǎng)絡(luò)數(shù)據(jù)包、用戶活動(dòng)狀態(tài)等多方面的信息,然后進(jìn)行安全性分析,從而及時(shí)發(fā) 現(xiàn)各種入侵并產(chǎn)生響應(yīng)。
[0003] 當(dāng)對(duì)接收到的報(bào)文進(jìn)行入侵檢測(cè)時(shí),IDS設(shè)備一般會(huì)采用模式匹配技術(shù),即將網(wǎng)絡(luò) 流量中的報(bào)文與預(yù)存的入侵規(guī)則相匹配。隨著網(wǎng)絡(luò)的發(fā)展,預(yù)存的入侵規(guī)則變的越來(lái)越復(fù) 雜,報(bào)文與預(yù)存的入侵規(guī)則的匹配時(shí)間也越來(lái)越長(zhǎng),從而導(dǎo)致IDS設(shè)備的檢測(cè)效率低下。

【發(fā)明內(nèi)容】

[0004] 有鑒于此,本申請(qǐng)?zhí)峁┮环N入侵報(bào)文的分流方法及裝置,來(lái)解決現(xiàn)有技術(shù)中IDS設(shè) 備入侵檢測(cè)效率低下的問(wèn)題。
[0005] 具體地,本申請(qǐng)是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的:
[0006] 根據(jù)本申請(qǐng)實(shí)施例的第一方面,提供一種入侵報(bào)文的分流方法,所述方法應(yīng)用于 入侵檢測(cè)系統(tǒng)IDS設(shè)備上,所述方法包括:
[0007] 識(shí)別接收到的報(bào)文中的入侵報(bào)文;
[0008] 為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽;
[0009] 基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。
[0010] 根據(jù)本申請(qǐng)實(shí)施例的第二方面,提供一種入侵報(bào)文的分流裝置,所述裝置應(yīng)用于 入侵檢測(cè)系統(tǒng)IDS設(shè)備,所述裝置包括:
[0011] 識(shí)別單元,用于識(shí)別接收到的報(bào)文中的入侵報(bào)文;
[0012] 設(shè)置單元,用于為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽;
[0013] 分流單元,用于基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。
[0014] 本申請(qǐng)?zhí)峁┤肭謭?bào)文的分流方法及裝置,接收到報(bào)文后,所述IDS設(shè)備可以從接收 到的所述報(bào)文中識(shí)別出入侵報(bào)文,然后為所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽,所述類型標(biāo) 簽設(shè)置完成后,所述IDS設(shè)備可以基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。應(yīng)用本 實(shí)施例,由于不再需要根據(jù)所述報(bào)文與預(yù)存的入侵規(guī)則的匹配結(jié)果來(lái)檢測(cè)入侵報(bào)文,因此, 可以提尚所述IDS設(shè)備的檢測(cè)效率。
【附圖說(shuō)明】
[0015] 此處的附圖被并入說(shuō)明書(shū)中并構(gòu)成本說(shuō)明書(shū)的一部分,示出了符合本申請(qǐng)的實(shí)施 例,并與說(shuō)明書(shū)一起用于解釋本申請(qǐng)的原理。
[0016] 圖1是應(yīng)用本申請(qǐng)實(shí)施例示出的一種入侵報(bào)文的分流的應(yīng)用場(chǎng)景示意圖;
[0017] 圖2是本申請(qǐng)入侵報(bào)文的分流方法的一個(gè)實(shí)施例流程圖;
[0018] 圖3是本申請(qǐng)入侵報(bào)文的分流裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖;
[0019] 圖4是本申請(qǐng)入侵報(bào)文的分流裝置的一個(gè)實(shí)施例框圖;
[0020] 圖5是本申請(qǐng)入侵報(bào)文的分流裝置的另一個(gè)實(shí)施例框圖;
[0021]圖6是本申請(qǐng)入侵報(bào)文的分流裝置的另一個(gè)實(shí)施例框圖。
【具體實(shí)施方式】
[0022] 這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明,其示例表示在附圖中。下面的描述涉及 附圖時(shí),除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例 中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反,它們僅是與如所附 權(quán)利要求書(shū)中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子。
[0023] 在本申請(qǐng)使用的術(shù)語(yǔ)是僅僅出于描述特定實(shí)施例的目的,而非旨在限制本申請(qǐng)。 在本申請(qǐng)和所附權(quán)利要求書(shū)中所使用的單數(shù)形式的"一種"、"所述"和"該"也旨在包括多數(shù) 形式,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語(yǔ)"和/或"是指并包 含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。
[0024]應(yīng)當(dāng)理解,盡管在本申請(qǐng)可能采用術(shù)語(yǔ)第一、第二、第三等來(lái)描述各種信息,但這 些信息不應(yīng)限于這些術(shù)語(yǔ)。這些術(shù)語(yǔ)僅用來(lái)將同一類型的信息彼此區(qū)分開(kāi)。例如,在不脫離 本申請(qǐng)范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第 一信息。取決于語(yǔ)境,如在此所使用的詞語(yǔ)"如果"可以被解釋成為"在……時(shí)"或"當(dāng)…… 時(shí)"或"響應(yīng)于確定"。
[0025]參見(jiàn)圖1,為應(yīng)用本申請(qǐng)實(shí)施例示出的一種入侵報(bào)文的分流的應(yīng)用場(chǎng)景示意圖。其 中,IDS設(shè)備可以是一個(gè)網(wǎng)絡(luò)安全設(shè)備或應(yīng)用軟件,可以對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)控。在發(fā)現(xiàn) 可疑傳輸時(shí),所述IDS設(shè)備可以發(fā)出警報(bào)或采取主動(dòng)反應(yīng)措施。
[0026]現(xiàn)有技術(shù)中,IDS設(shè)備通常采用模式匹配技術(shù)檢測(cè)網(wǎng)絡(luò)流量中的報(bào)文。在進(jìn)行檢測(cè) 時(shí),所述IDS設(shè)備將監(jiān)聽(tīng)到的報(bào)文與預(yù)存的入侵規(guī)則即模式匹配序列相比較,并根據(jù)比較結(jié) 果來(lái)判斷所述報(bào)文是否是正常的網(wǎng)絡(luò)行為。然而,隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,入侵規(guī)則變得越 來(lái)越復(fù)雜,這種檢測(cè)方式已逐漸無(wú)法適應(yīng)實(shí)際的應(yīng)用場(chǎng)景。
[0027] 例如,有的入侵行為需要經(jīng)過(guò)非常復(fù)雜的步驟或較長(zhǎng)的過(guò)程才能表現(xiàn)其入侵特 性、有的入侵行為需要進(jìn)行多層協(xié)議分析或者有較強(qiáng)的上下文關(guān)系才能表現(xiàn)其入侵特性 等,因此入侵規(guī)則變的越來(lái)越復(fù)雜,所述報(bào)文與入侵規(guī)則的匹配時(shí)間也越來(lái)越長(zhǎng),導(dǎo)致IDS 設(shè)備的檢測(cè)效率低下。
[0028] 本申請(qǐng)?zhí)峁┤肭謭?bào)文的分流方法及裝置,接收到報(bào)文后,所述IDS設(shè)備可以從接收 到的所述報(bào)文中識(shí)別出入侵報(bào)文,然后為所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽,所述類型標(biāo) 簽設(shè)置完成后,所述IDS設(shè)備可以基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流。應(yīng)用本實(shí)施 例,由于不再需要根據(jù)所述報(bào)文與預(yù)存的入侵規(guī)則的匹配結(jié)果來(lái)檢測(cè)入侵報(bào)文,因此,可以 提高所述IDS設(shè)備的檢測(cè)效率。
[0029] 參見(jiàn)圖2,是本申請(qǐng)入侵報(bào)文的分流方法的一個(gè)實(shí)施例流程圖,該實(shí)施例從IDS設(shè) 備側(cè)進(jìn)行描述,包括以下步驟:
[0030] 步驟101 :識(shí)別接收到的報(bào)文中的入侵報(bào)文;
[0031] 在本申請(qǐng)實(shí)施例中,所述IDS設(shè)備在接收到報(bào)文后,可以基于所述報(bào)文的報(bào)文負(fù)載 進(jìn)行入侵特征檢測(cè),來(lái)識(shí)別接收到的報(bào)文中的入侵報(bào)文。
[0032] 其中,在識(shí)別接收到的報(bào)文中的入侵報(bào)文時(shí),所述IDS設(shè)備可以通過(guò)將檢測(cè)到的所 述報(bào)文的入侵特征在預(yù)設(shè)的入侵特征庫(kù)中進(jìn)行匹配來(lái)實(shí)現(xiàn)。所述入侵特征庫(kù)中可以包括入 侵特征樣本與入侵報(bào)文類型的對(duì)應(yīng)關(guān)系。當(dāng)所述IDS設(shè)備檢測(cè)到的所述報(bào)文的入侵特征匹 配所述入侵特征庫(kù)中的任一入侵樣本時(shí),則可以確定所述報(bào)文為入侵報(bào)文,并基于所述對(duì) 應(yīng)關(guān)系獲取與所述任一入侵特征樣本對(duì)應(yīng)的入侵報(bào)文類型。
[0033] 在一個(gè)示例中,所述報(bào)文的報(bào)文負(fù)載可以包括所述入侵報(bào)文的固定特征或者固定 特征的組合等。其中,所述固定特征可以包括入侵位置、入侵負(fù)載等。所述入侵特征庫(kù)可以 包括所述入侵特征樣本以及與所述入侵特征樣本對(duì)應(yīng)的入侵報(bào)文類型。所述入侵特征庫(kù)可 以定期進(jìn)行更新。更新周期可以根據(jù)用戶的需求來(lái)設(shè)定,如一周。所述更新周期也可以根據(jù) 被入侵的程度進(jìn)行縮短或延長(zhǎng)。
[0034] 例如,在一個(gè)示例中,假設(shè)接收到的報(bào)文為URL(Uniform Resource Locator,統(tǒng)一 資源定位符)報(bào)文,所述報(bào)文的URL地址可以為http://www.mytest ? com/showdetail .asp? id = 4and 1 = 1。所述IDS設(shè)備可以對(duì)所述報(bào)文的報(bào)文負(fù)載進(jìn)行入侵特征檢測(cè)。所述報(bào)文的 報(bào)文負(fù)載可以為6£!'/]^1]\^/(1〇¥111〇&(1.&8卩?七5^61(1 = 4%20&11(1%2〇611((113_11&1116())111'???/ 1.1。假設(shè)字符串%20and%20為入侵特征,IDS設(shè)備可以將檢測(cè)到的所述報(bào)文的報(bào)文負(fù)載在 預(yù)設(shè)的入侵特征庫(kù)中進(jìn)行匹配,其中,所述入侵特征庫(kù)中可以包括入侵特征樣本與入侵報(bào) 文類型的對(duì)應(yīng)關(guān)系。
[0035] 在一個(gè)示例中,所述入侵特征庫(kù)可以如下表1所示(表1僅展示出部分所述入侵特 征庫(kù)的信息):
[0037] 表 1
[0038] 由表1可知,通過(guò)遍歷所述入侵特征庫(kù),將所述報(bào)文的報(bào)文負(fù)載與入侵特征庫(kù)中的 入侵特征樣本進(jìn)行匹配后,匹配到該報(bào)文的報(bào)文負(fù)載攜帶入侵特征樣本%20and%20,可以 確定該報(bào)文為入侵報(bào)文,并通過(guò)查詢?nèi)肭痔卣鲙?kù)中的對(duì)應(yīng)關(guān)系,可以得知所述報(bào)文的入侵 報(bào)文類型為Web類入侵的SQL注入。
[0039] 當(dāng)然,當(dāng)無(wú)法從接收到的報(bào)文的報(bào)文負(fù)載中獲取入侵特征時(shí),可以確定所述接收 到的報(bào)文為正常報(bào)文。
[0040] 步驟102:為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽;
[0041] 在本申請(qǐng)實(shí)施例中,當(dāng)從接收到的報(bào)文中識(shí)別出入侵報(bào)文后,可以為識(shí)別出的所 述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽。
[0042] 由上述實(shí)施例可知,接收到報(bào)文后,所述IDS設(shè)備可以對(duì)所述報(bào)文進(jìn)行入侵特征檢 測(cè),當(dāng)從所述報(bào)文中檢測(cè)到入侵特征時(shí),可以確定所述報(bào)文為入侵報(bào)文。然后,所述IDS設(shè)備 可以根據(jù)所述檢測(cè)到的入侵特征與所述入侵特征庫(kù)的匹配結(jié)果來(lái)確定所述報(bào)文的入侵報(bào) 文類型。
[0043] 在本申請(qǐng)實(shí)施例中,入侵報(bào)文的入侵報(bào)文類型可以包括:漏洞利用、惡意代碼、信 息收集、協(xié)議異常、網(wǎng)絡(luò)監(jiān)控以及拒絕服務(wù)等。當(dāng)IDS設(shè)備確定接收到的報(bào)文為入侵報(bào)文,以 及所述入侵報(bào)文的入侵報(bào)文類型時(shí),可以為所述入侵報(bào)文設(shè)置類型標(biāo)簽。
[0044] 所述類型標(biāo)簽可以為ToS(Type of Service,服務(wù)類型),所述ToS的取值范圍可以 為0至255。其中,每個(gè)ToS的取值代表的意義可以根據(jù)用戶的具體需求來(lái)設(shè)定。所述ToS的取 值可以與入侵報(bào)文的入侵報(bào)文類型對(duì)應(yīng),IDS設(shè)備可以為每種入侵報(bào)文類型的入侵報(bào)文設(shè) 置不同的ToS值。例如,當(dāng)所述入侵報(bào)文的入侵報(bào)文類型為漏洞利用時(shí),IDS設(shè)備可以將所述 入侵報(bào)文的T0S值設(shè)置為1。
[0045] 步驟103:基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。
[0046] 在本申請(qǐng)實(shí)施例中,為識(shí)別出的所述入侵報(bào)文設(shè)置了對(duì)應(yīng)的類型標(biāo)簽后,可以基 于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ),將所述入侵報(bào)文分流到其存儲(chǔ)及分析系統(tǒng) 或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行存儲(chǔ)。
[0047] 當(dāng)所述IDS設(shè)備將所述入侵報(bào)文分流到其存儲(chǔ)及分析系統(tǒng)進(jìn)行存儲(chǔ)時(shí),所述存儲(chǔ) 及分析系統(tǒng)可以根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行不同維度的統(tǒng)計(jì)分析。
[0048]其中,所述存儲(chǔ)及分析系統(tǒng)可以是預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備,當(dāng)所述IDS設(shè)備將所述入 侵報(bào)文分流到預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行存儲(chǔ)時(shí),所述預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以根據(jù)所述類 型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行不同維度的統(tǒng)計(jì)分析。
[0049] 在針對(duì)所述入侵報(bào)文進(jìn)不同維度的統(tǒng)計(jì)分析時(shí),可以首先根據(jù)所述類型標(biāo)簽對(duì)所 述入侵報(bào)文進(jìn)行分類。
[0050] 在一個(gè)示例中,所述IDS設(shè)備在將所述入侵報(bào)文分流到其存儲(chǔ)及分析系統(tǒng)或者預(yù) 設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行存儲(chǔ)時(shí),可以基于所述入侵報(bào)文的類型標(biāo)簽來(lái)實(shí)現(xiàn)。
[0051 ]例如,當(dāng)所述入侵報(bào)文的類型標(biāo)簽為ToS時(shí),所述IDS設(shè)備可以將ToS取值大于100 的入侵報(bào)文分流到其存儲(chǔ)及分析系統(tǒng)進(jìn)行存儲(chǔ),然后將接收到的其余的入侵報(bào)文分流至預(yù) 設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行存儲(chǔ)。
[0052]在分類完成后,可以針對(duì)分類后的每一個(gè)分類分別設(shè)定不同的統(tǒng)計(jì)分析策略,然 后基于不同的統(tǒng)計(jì)分析策略針對(duì)所述分類分別進(jìn)行統(tǒng)計(jì)分析。
[0053]例如,當(dāng)網(wǎng)絡(luò)監(jiān)控類的入侵報(bào)文被進(jìn)一步分類成可疑訪問(wèn)入侵報(bào)文類型和事件監(jiān) 控入侵報(bào)文類型時(shí),可以針對(duì)可疑訪問(wèn)類型和事件監(jiān)控類型分別設(shè)定統(tǒng)計(jì)分析策略,并基 于不同的統(tǒng)計(jì)分析策略針對(duì)入可疑訪問(wèn)類型和事件監(jiān)控類型的報(bào)文分別進(jìn)行統(tǒng)計(jì)分析。 [0054]在一個(gè)示例中,所述入侵報(bào)文的入侵報(bào)文類型可以被進(jìn)一步分類,例如,當(dāng)所述入 侵報(bào)文的入侵報(bào)文類型為惡意代碼時(shí),所述入侵報(bào)文類型可以被進(jìn)一步分類為蠕蟲(chóng)入侵、 木馬入侵、病毒入侵、釣魚(yú)入侵或惡意代碼;當(dāng)所述入侵報(bào)文的入侵報(bào)文類型為拒絕服務(wù) 時(shí),所述入侵報(bào)文類型可以被進(jìn)一步分類成泛洪入侵。
[0055]在一個(gè)示例中,假設(shè)所述IDS設(shè)備可以將惡意代碼類的報(bào)文的ToS值設(shè)置為1,則當(dāng) 所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備對(duì)ToS值為1的入侵報(bào)文進(jìn)行統(tǒng)計(jì)分 析時(shí),可以先根據(jù)入侵報(bào)文的入侵報(bào)文類型的分類、入侵報(bào)文源IP地址、端口、協(xié)議等信息 對(duì)ToS值為1的入侵報(bào)文做統(tǒng)計(jì)。
[0056]在一個(gè)示例中,假設(shè)針對(duì)ToS值為1的入侵報(bào)文進(jìn)行統(tǒng)計(jì)的統(tǒng)計(jì)表可以如下表2所 示(表2僅展示出部分所述統(tǒng)計(jì)表的信息):
[0058] 表2
[0059] 所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以對(duì)同一類型標(biāo)簽的 不同入侵報(bào)文類型分類的報(bào)文采用不同的統(tǒng)計(jì)分析方法。因此,針對(duì)如表2所示的ToS的取 值為1的入侵報(bào)文構(gòu)成的統(tǒng)計(jì)表,所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備 可以得到如下表3和表4所示的分析表(表3和表4僅展示出部分所述分析表的信息):
[0062]表 3
[0063]如表3所不,為針對(duì)表2中ToS的取值為1的入侵報(bào)文的入侵報(bào)文類型的一個(gè)分類進(jìn) 行分析。
[0065]表 4
[0066]如表4所不,為針對(duì)表2中ToS的取值為1的入侵報(bào)文的入侵報(bào)文類型的另一個(gè)分類 進(jìn)行分析。
[0067] 由表3和表4可知,所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以 對(duì)同一類型標(biāo)簽的不同入侵報(bào)文類型分類的報(bào)文采用不同的統(tǒng)計(jì)分析方法。
[0068] 當(dāng)然,所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以對(duì)不同類型 標(biāo)簽的入侵報(bào)文采用不同的分析方法。
[0069] 在一個(gè)示例中,假設(shè)所述IDS設(shè)備可以將網(wǎng)絡(luò)監(jiān)控類的報(bào)文的ToS值設(shè)置為2,則當(dāng) 所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備對(duì)ToS值為2的入侵報(bào)文進(jìn)行統(tǒng)計(jì)分 析時(shí),可以先根據(jù)入侵報(bào)文的入侵報(bào)文類型的分類、入侵報(bào)文源IP地址、端口、協(xié)議等信息 對(duì)ToS值為2的入侵報(bào)文做統(tǒng)計(jì)。
[0070]在一個(gè)示例中,假設(shè)針對(duì)ToS值為2的入侵報(bào)文進(jìn)行統(tǒng)計(jì)的統(tǒng)計(jì)表可以如下表5所 示(表5僅展示出部分所述統(tǒng)計(jì)表的信息):
[0073] 表 5
[0074] 在一個(gè)示例中,所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以對(duì) 不同類型標(biāo)簽的不同入侵報(bào)文類型的報(bào)文采用不同的統(tǒng)計(jì)分析方法。因此,針對(duì)表2和表5 所示的統(tǒng)計(jì)表,所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以得到如下表6 和表7所不的分析表(表6和表7僅展不出部分所述分析表的信息):
[0076]表 6
[0077]如表6所不,為針對(duì)表2中ToS的取值為1的入侵報(bào)文的一個(gè)分析表。
[0079]表 7
[0080]如表7所不,為針對(duì)表3中ToS的取值為2的入侵報(bào)文的一個(gè)分析表。
[0081] 由表6和表7可知,所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以 對(duì)不同類型標(biāo)簽的入侵報(bào)文采用不同的分析方法。
[0082] 在另一個(gè)示例中,所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以 根據(jù)用戶的需求對(duì)部分或所有的接收到的入侵報(bào)文類型的入侵報(bào)文進(jìn)行分析。同樣地,可 以假設(shè)對(duì)如表2和表5所示的入侵報(bào)文進(jìn)行分析。所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè) 的統(tǒng)計(jì)分析設(shè)備可以得到如下表8、表9和表10所不的分析表(表8、表9和表10僅展不出部分 所述分析表的信息):
[0084]表 8
[0085] 如表8所不,為針對(duì)表2和表5中入侵報(bào)文的源IP地址的一個(gè)分析表。
[0088]如表9所不,為針對(duì)表2和表5中入侵報(bào)文的入侵報(bào)文類型的一個(gè)分析表。
[0091 ]如表10所不,為針對(duì)表2和表5中入侵報(bào)文的入侵報(bào)文類型分類的一個(gè)分析表。
[0092] 當(dāng)然,以上所示的分析表也可以對(duì)應(yīng)為分析圖,具體可以由用戶的具體需求來(lái)決 定。
[0093] 在另一個(gè)示例中,當(dāng)所述接收到的報(bào)文為正常報(bào)文時(shí),可以將所述報(bào)文分流到正 常轉(zhuǎn)發(fā)途徑。
[0094] 本申請(qǐng)?zhí)峁┤肭謭?bào)文的分流方法及裝置,接收到報(bào)文后,所述IDS設(shè)備可以從接收 到的所述報(bào)文中識(shí)別出入侵報(bào)文,然后為所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽,所述類型標(biāo) 簽設(shè)置完成后,所述IDS設(shè)備可以基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流。應(yīng)用本實(shí)施 例,由于不再需要根據(jù)所述報(bào)文與預(yù)存的入侵規(guī)則的匹配結(jié)果來(lái)檢測(cè)入侵報(bào)文,因此,可以 提高所述IDS設(shè)備的檢測(cè)效率。
[0095] 下面通過(guò)具體實(shí)施例對(duì)以上實(shí)施例進(jìn)行詳細(xì)說(shuō)明:
[0096] 在本申請(qǐng)實(shí)施例中,接收到報(bào)文后,可以根據(jù)所述報(bào)文的報(bào)文負(fù)載進(jìn)行入侵特征 檢測(cè)。假設(shè),從所述報(bào)文的報(bào)文負(fù)載中檢測(cè)到的入侵特征為字符串%20and%20。則可以根 據(jù)所述入侵特E%20and%20匹配如表1所示的入侵特征庫(kù)。由表1可知,當(dāng)根據(jù)%2〇311(1% 20這一入侵特征匹配入侵特征庫(kù)時(shí),可以確定所述報(bào)文為入侵報(bào)文,且所述入侵報(bào)文的入 侵報(bào)文類型為Web類入侵的SQL注入。
[0097] 從接收到的報(bào)文中識(shí)別出入侵報(bào)文后,可以為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的 類型標(biāo)簽。所述類型標(biāo)簽可以為ToS。其中,所述ToS的取值可以與所述入侵報(bào)文類型相對(duì) 應(yīng)。例如,當(dāng)所述報(bào)文的入侵報(bào)文類型為Web類時(shí),可以將其ToS值設(shè)置為1。
[0098] 當(dāng)為所述入侵報(bào)文設(shè)置完ToS值后,可以將所述入侵報(bào)文分流到所述IDS設(shè)備的存 儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行存儲(chǔ)。其中,所述存儲(chǔ)及分析系統(tǒng)可以是預(yù)設(shè) 的統(tǒng)計(jì)分析設(shè)備。
[0099]在一個(gè)示例中,所述IDS設(shè)備可以將ToS取值小于100的入侵報(bào)文分流到其存儲(chǔ)及 分析系統(tǒng)進(jìn)行存儲(chǔ),然后將接收到的其余的入侵報(bào)文分流至預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行存 儲(chǔ)。
[0100] 將所述入侵報(bào)文分流存儲(chǔ)后,所述存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以 對(duì)所述入侵報(bào)文進(jìn)行不同維度的統(tǒng)計(jì)分析。由于入侵報(bào)文的入侵報(bào)文類型可以被進(jìn)一步分 類,因此,所述存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備可以針對(duì)入侵報(bào)文的入侵報(bào)文類 型的每一個(gè)分類分別基于不同的統(tǒng)計(jì)分析策略進(jìn)行統(tǒng)計(jì)分析,具體可見(jiàn)表3和表4,在此不 再贅述。
[0101] 同樣地,所述存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備也可以對(duì)不同類型標(biāo)簽的 入侵報(bào)文采用不同的分析方法,具體可見(jiàn)表6和表7,在此不再贅述。
[0102] 當(dāng)然,所述存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備也可以對(duì)部分或所有的接收 到的入侵報(bào)文類型的入侵報(bào)文進(jìn)行分析,具體可見(jiàn)表8、表9和表10,在此不再贅述。
[0103] 在一個(gè)示例中,當(dāng)無(wú)法從接收到的報(bào)文的報(bào)文負(fù)載中獲取入侵特征時(shí),可以確定 接收到的報(bào)文為正常報(bào)文。此時(shí),可以將所述正常報(bào)文分流到正常轉(zhuǎn)發(fā)途徑。
[0104] 本申請(qǐng)?zhí)峁┤肭謭?bào)文的分流方法及裝置,接收到報(bào)文后,所述IDS設(shè)備可以從接收 到的所述報(bào)文中識(shí)別出入侵報(bào)文,然后為所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽,所述類型標(biāo) 簽設(shè)置完成后,所述IDS設(shè)備可以基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流。應(yīng)用本實(shí)施 例,由于不再需要根據(jù)所述報(bào)文與預(yù)存的入侵規(guī)則的匹配結(jié)果來(lái)檢測(cè)入侵報(bào)文,因此,可以 提高所述IDS設(shè)備的檢測(cè)效率。
[0105] 與前述入侵報(bào)文的分流方法的實(shí)施例相對(duì)應(yīng),本申請(qǐng)還提供了入侵報(bào)文的分流裝 置的實(shí)施例。
[0106] 本申請(qǐng)入侵報(bào)文的分流裝置的實(shí)施例可以應(yīng)用在IDS設(shè)備上。裝置實(shí)施例可以通 過(guò)軟件實(shí)現(xiàn),也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例,作為一個(gè)邏輯 意義上的裝置,是通過(guò)其所在IDS設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指 令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言,如圖3所示,為本申請(qǐng)入侵報(bào)文的分流裝置 所在IDS設(shè)備的一種硬件結(jié)構(gòu)圖,除了圖3所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存 儲(chǔ)器之外,實(shí)施例中裝置所在的IDS設(shè)備通常還可以包括其他硬件,如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā) 芯片等等。
[0107]請(qǐng)參考圖4,為本申請(qǐng)入侵報(bào)文的分流裝置的一個(gè)實(shí)施例框圖:
[0108] 該裝置可以包括:識(shí)別單元410、設(shè)置單元420以及分流單元430。
[0109] 識(shí)別單元410,用于識(shí)別接收到的報(bào)文中的入侵報(bào)文;
[0110] 設(shè)置單元420,用于為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽;
[0111] 分流單元430,用于基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。
[0112] 在一個(gè)可選的實(shí)現(xiàn)方式中,所述識(shí)別單元410可以具體用于:
[0113] 基于接收到的報(bào)文的報(bào)文負(fù)載進(jìn)行入侵特征檢測(cè);
[0114] 將檢測(cè)到的入侵特征在預(yù)設(shè)的入侵特征庫(kù)中進(jìn)行匹配;其中,所述入侵特征庫(kù)中 包括入侵特征樣本與入侵報(bào)文類型的對(duì)應(yīng)關(guān)系;
[0115] 當(dāng)檢測(cè)到的入侵特征匹配所述入侵特征庫(kù)中任一入侵特征樣本時(shí),確定所述報(bào)文 為入侵報(bào)文,并獲取與所述任一入侵特征樣本對(duì)應(yīng)的入侵報(bào)文類型。
[0116] 在一個(gè)可選的實(shí)現(xiàn)方式中,所述分流單元430可以具體用于:
[0117] 將所述入侵報(bào)文分流到所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備 進(jìn)行存儲(chǔ)。
[0118] 在一個(gè)可選的實(shí)現(xiàn)方式中,所述裝置還可以包括(如圖5所示):
[0119] 統(tǒng)計(jì)單元440,用于所述存儲(chǔ)及分析系統(tǒng)根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行 不同維度的統(tǒng)計(jì)分析;或者,由所述預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào) 文進(jìn)行不同維度的統(tǒng)計(jì)分析。
[0120] 在一個(gè)可選的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)單元440可以具體用于:
[0121 ]根據(jù)類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分類;
[0122] 針對(duì)分類后的每一個(gè)分類分別基于不同的統(tǒng)計(jì)分析策略進(jìn)行統(tǒng)計(jì)分析。
[0123] 在一個(gè)可選的實(shí)現(xiàn)方式中,所述裝置還可以包括(如圖6所示):
[0124] 轉(zhuǎn)發(fā)單元450,用于當(dāng)所述報(bào)文為非入侵報(bào)文時(shí),將所述報(bào)文分流到正常轉(zhuǎn)發(fā)路 徑。
[0125] 在一個(gè)可選的實(shí)現(xiàn)方式中,所述類型標(biāo)簽可以為ToS標(biāo)簽。
[0126] 上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過(guò)程具體詳見(jiàn)上述方法中對(duì)應(yīng)步驟的 實(shí)現(xiàn)過(guò)程,在此不再贅述。
[0127] 對(duì)于裝置實(shí)施例而言,由于其基本對(duì)應(yīng)于方法實(shí)施例,所以相關(guān)之處參見(jiàn)方法實(shí) 施例的部分說(shuō)明即可。以上所描述的裝置實(shí)施例僅僅是示意性的,其中所述作為分離部件 說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以 不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的 需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本申請(qǐng)方案的目的。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施。
[0128] 本申請(qǐng)?zhí)峁┤肭謭?bào)文的分流方法及裝置,接收到報(bào)文后,所述IDS設(shè)備可以從接收 到的所述報(bào)文中識(shí)別出入侵報(bào)文,然后為所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽,所述類型標(biāo) 簽設(shè)置完成后,所述IDS設(shè)備可以基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流。應(yīng)用本實(shí)施 例,由于不再需要根據(jù)所述報(bào)文與預(yù)存的入侵規(guī)則的匹配結(jié)果來(lái)檢測(cè)入侵報(bào)文,因此,可以 提高所述IDS設(shè)備的檢測(cè)效率。
[0129] 以上所述僅為本申請(qǐng)的較佳實(shí)施例而已,并不用以限制本申請(qǐng),凡在本申請(qǐng)的精 神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。
【主權(quán)項(xiàng)】
1. 一種入侵報(bào)文的分流方法,其特征在于,所述方法應(yīng)用于入侵檢測(cè)系統(tǒng)IDS設(shè)備上, 所述方法包括: 識(shí)別接收到的報(bào)文中的入侵報(bào)文; 為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽; 基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述識(shí)別接收到的報(bào)文中的入侵報(bào)文,包 括: 基于接收到的報(bào)文的報(bào)文負(fù)載進(jìn)行入侵特征檢測(cè); 將檢測(cè)到的入侵特征在預(yù)設(shè)的入侵特征庫(kù)中進(jìn)行匹配;其中,所述入侵特征庫(kù)中包括 入侵特征樣本與入侵報(bào)文類型的對(duì)應(yīng)關(guān)系; 當(dāng)檢測(cè)到的入侵特征匹配所述入侵特征庫(kù)中任一入侵特征樣本時(shí),確定所述報(bào)文為入 侵報(bào)文,并獲取與所述任一入侵特征樣本對(duì)應(yīng)的入侵報(bào)文類型。3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn) 行分流存儲(chǔ),包括: 將所述入侵報(bào)文分流到所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行 存儲(chǔ)。4. 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括: 所述存儲(chǔ)及分析系統(tǒng)根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行不同維度的統(tǒng)計(jì)分析;或 者,由所述預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行不同維度的統(tǒng)計(jì)分 析。5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,所述根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn) 行不同維度的統(tǒng)計(jì)分析,包括: 根據(jù)類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分類; 針對(duì)分類后的每一個(gè)分類分別基于不同的統(tǒng)計(jì)分析策略進(jìn)行統(tǒng)計(jì)分析。6. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 當(dāng)所述報(bào)文為非入侵報(bào)文時(shí),將所述報(bào)文分流到正常轉(zhuǎn)發(fā)路徑。7. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述類型標(biāo)簽為ToS標(biāo)簽。8. -種入侵報(bào)文的分流裝置,其特征在于,所述裝置應(yīng)用于入侵檢測(cè)系統(tǒng)IDS設(shè)備上, 所述裝置包括: 識(shí)別單元,用于識(shí)別接收到的報(bào)文中的入侵報(bào)文; 設(shè)置單元,用于為識(shí)別出的所述入侵報(bào)文設(shè)置對(duì)應(yīng)的類型標(biāo)簽; 分流單元,用于基于所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分流存儲(chǔ)。9. 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述識(shí)別單元具體用于: 基于接收到的報(bào)文的報(bào)文負(fù)載進(jìn)行入侵特征檢測(cè); 將檢測(cè)到的入侵特征在預(yù)設(shè)的入侵特征庫(kù)中進(jìn)行匹配;其中,所述入侵特征庫(kù)中包括 入侵特征樣本與入侵報(bào)文類型的對(duì)應(yīng)關(guān)系; 當(dāng)檢測(cè)到的入侵特征匹配所述入侵特征庫(kù)中任一入侵特征樣本時(shí),確定所述報(bào)文為入 侵報(bào)文,并獲取與所述任一入侵特征樣本對(duì)應(yīng)的入侵報(bào)文類型。10. 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述分流單元具體用于: 將所述入侵報(bào)文分流到所述IDS設(shè)備的存儲(chǔ)及分析系統(tǒng)或者預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備進(jìn)行 存儲(chǔ)。11. 根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述裝置還包括: 統(tǒng)計(jì)單元,用于所述存儲(chǔ)及分析系統(tǒng)根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行不同維度 的統(tǒng)計(jì)分析;或者,由所述預(yù)設(shè)的統(tǒng)計(jì)分析設(shè)備根據(jù)所述類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行不 同維度的統(tǒng)計(jì)分析。12. 根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述統(tǒng)計(jì)單元具體用于: 根據(jù)類型標(biāo)簽對(duì)所述入侵報(bào)文進(jìn)行分類; 針對(duì)分類后的每一個(gè)分類分別基于不同的統(tǒng)計(jì)分析策略進(jìn)行統(tǒng)計(jì)分析。13. 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述裝置還包括: 轉(zhuǎn)發(fā)單元,用于當(dāng)所述報(bào)文為非入侵報(bào)文時(shí),將所述報(bào)文分流到正常轉(zhuǎn)發(fā)路徑。14. 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述類型標(biāo)簽為ToS標(biāo)簽。
【文檔編號(hào)】H04L29/06GK105959255SQ201610011477
【公開(kāi)日】2016年9月21日
【申請(qǐng)日】2016年1月8日
【發(fā)明人】張寧
【申請(qǐng)人】杭州迪普科技有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1