CN110430170A - 一种入侵防护方法和*** - Google Patents
一种入侵防护方法和*** Download PDFInfo
- Publication number
- CN110430170A CN110430170A CN201910642100.7A CN201910642100A CN110430170A CN 110430170 A CN110430170 A CN 110430170A CN 201910642100 A CN201910642100 A CN 201910642100A CN 110430170 A CN110430170 A CN 110430170A
- Authority
- CN
- China
- Prior art keywords
- message
- unit
- message flow
- request
- length
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种入侵防护方法和***,入侵防护***包括:报文地址分析单元,分析和提取报文的源IP地址;报文流长度分析单元,分析和提取报文所请求的事项和报文流的长度,报文变量分析单元,提取和分析报文中所含有的变量,请求行为分析单元,记录报文的请求频率,入侵表记录单元,记录发生过的入侵报文的特征,查询单元,将源IP地址、报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,待观察表单元,接收查询单元发送来的可疑报文流,虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为。本发明能够更准确的判断报文的安全性,更好的保护计算机和网络***。
Description
技术领域
本发明涉及一种入侵防护方法,本发明还涉及入侵防护***,属于网络安全领域。
背景技术
计算机***和互联网的入侵防护,一直是数据安全的核心问题。以往的入侵防护方法,通常是采用对IP地址进行识别的防护,或者采用病毒库进行防护。然而,IP地址伪装的技术也在不断提高,病毒库也只能基于过往已有的病毒进行防护。当发生可疑入侵的行为时,现有的防护方法,往往只能发出警报,由人工干预,进行处理。这样不仅效率低,而且人工处理的漏检率也比较高。当信息量较大时,就无法应对了。
发明内容
本发明的目的在于提供一种入侵防护方法和***,以对可疑的入侵行为进行更有效的分辨。
本发明采用了如下技术方案:
本发明提供一种入侵防护***,其特征在于,包括:报文地址分析单元,分析和提取报文的源IP地址;报文流长度分析单元,分析和提取报文所请求的事项和报文流的长度,报文变量分析单元,提取和分析报文中所含有的变量,请求行为分析单元,记录报文的请求频率,入侵表记录单元,记录发生过的入侵报文的特征,查询单元,将源IP地址、报文所请求的事项和报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,待观察表单元,接收查询单元发送来的可疑报文流,虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为。
进一步,本发明的入侵防护***,还包括:信任表记录单元,记录信任的报文的源IP地址。
进一步,本发明的入侵防护***,还具有这样的特征:入侵表记录单元,记录的特征包括:入侵报文的源IP地址、报文所请求的事项和对应的报文流的长度,记录入侵报文的请求事项和对应所使用的变量。
本发明还提供一种入侵防护方法,运行在如权利要求1-3中任意一项所述的入侵防护***中,其特征在于,包括:
步骤一:报文地址分析单元对报文的源IP地址进行分析,报文流长度分析单元对报文所请求的事项和报文流的长度进行分析和提取,
报文变量分析单元对报文中所含有的变量进行提取和分析,
请求行为分析单元对报文中所包含的请求频率进行记录和分析,
步骤二:查询单元在入侵表记录单元中,对步骤一中得到的报文流源IP地址进行查询,如果查询结果为“有”,则将此报文流加入到待观察表单元,如果查询结果为“无”,则对步骤一中得到的请求的事项和报文流的长度进行查询,如果查询结果为“不匹配”,则将此报文流加入到待观察表单元,如果查询结果为“匹配”,则对步骤一得到的报文中所含有的变量进行查询和分析,若变量与修改IP地址相关,或者与扫描服务器端口相关,则将此报文流加入到待观察表单元,若不相关,则对步骤一中得到的报文中所包含的请求频率进行分析,若请求频率大于预定值时,则将此报文流加入到待观察表单元,若请求中不包含获取入侵相关的信息,则放行此报文流;
步骤三:待观察表单元收到来自查询单元的报文流后,将其发送到虚拟运行单元中进行运行,虚拟运行单元监测报文流是否有入侵行为,若“有”则阻止此报文流,若“无”则在正常***中执行此报文流。
进一步,本发明的入侵防护方法,还具有这样的特征:请求行为分析单元,当报文流的请求行为一次要求过多的权限时,将此报文流加入到待观察列表。
进一步,本发明的入侵防护方法,还具有这样的特征:请求行为分析单元,当报文流的请求行为涉及篡改关键信息时,将此报文流加入到待观察列表。
进一步,本发明的入侵防护方法,还具有这样的特征:当报文流的长度和与之匹配的请求的事项所记录的标准长度相比,大于等于标准长度的30%时,判断为“不匹配”,否则判断为“匹配”。
进一步,本发明的入侵防护方法,还具有这样的特征:其中,所述虚拟运行单元是正常***的备份,但其中的数据量是正常***的百分之一至十分之一,并且关键数据均为虚拟数据。
发明的有益效果
本发明的入侵防护方法和***,由于对报文的多种特征进行分析,因此能够更准确的判断报文的安全性,更好的保护计算机和网络***。
附图说明
图1是本发明的入侵防护***的结构示意框图;
图2是本发明的入侵防护方法的流程图。
具体实施方式
以下结合附图来进一步说明本发明的具体实施方式。
入侵防护***,其特征在于,包括:
报文地址分析单元11,分析和提取报文的源IP地址;
报文流长度分析单元12,分析和提取报文所请求的事项和报文流的长度,
报文变量分析单元13,提取和分析报文中所含有的变量,
请求行为分析单元14,记录报文的请求频率,
入侵表记录单元15,记录发生过的入侵报文的特征,
查询单元16,将源IP地址、报文所请求的事项和报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,
待观察表单元,接收查询单元发送来的可疑报文流,
虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为。
入侵表记录单元15,记录的特征包括:入侵报文的源IP地址、报文所请求的事项和对应的报文流的长度,记录入侵报文的请求事项和对应所使用的变量。
在一些实施方式中,还包括:信任表记录单元17,记录信任的报文的源IP地址。
基于上述入侵防护***,以下介绍入侵防护方法,如图2所示,包括如下步骤:
步骤S1:报文地址分析单元11对报文的源IP地址进行分析,
步骤S2:报文流长度分析单元12对报文所请求的事项和报文流的长度进行分析和提取,
步骤S3:报文变量分析单元13对报文中所含有的变量进行提取和分析,
步骤S4:请求行为分析单元14对报文中所包含的请求频率进行记录和分析,
步骤S1至S4通常按从S1至S4的顺序执行,
步骤S5:查询单元在入侵表记录单元中,对步骤一中得到的报文流源IP地址进行查询,如果查询结果为“有”,则进行步骤S6将此报文流加入到待观察表单元,如果查询结果为“无”,则对步骤一中得到的请求的事项和报文流的长度进行查询,如果查询结果为“不匹配”,则进行步骤S6将此报文流加入到待观察表单元,如果查询结果为“匹配”,则对步骤一得到的报文中所含有的变量进行查询和分析,若变量与修改IP地址相关,或者与扫描服务器端口相关,则进行步骤S6将此报文流加入到待观察表单元,若不相关,则对步骤一中得到的报文中所包含的请求频率进行分析,若请求频率大于预定值时,则进行步骤S6将此报文流加入到待观察表单元,若请求中不包含获取入侵相关的信息,则放行此报文流;
在一些实施方式中,查询单元还可以在信任表记录单元17中,对步骤一中得到的报文流源IP地址进行查询,若此地址存在于信任表之中,则无需进行后续的查询步骤。此时可以不在入侵表记录单元中进行查询。
步骤S7:待观察表单元收到来自查询单元的报文流后,将其发送到虚拟运行单元中进行运行,虚拟运行单元监测报文流是否有入侵行为,若“有”则阻止此报文流,若“无”则在正常***中执行此报文流。
步骤S8:在报文流运行的过程中,虚拟运行单元监测其是滞有入侵行为,若“有”则进入步骤S9阻止此报文流;若“无”则在正常***中执行此报文流。
在一些实施方式中,步骤S5中,请求行为分析单元14还会在报文流的请求行为一次要求过多的权限时,将此报文流加入到待观察列表。
在一些实施方式中,步骤S5中,请求行为分析单元14还会在报文流的请求行为涉及篡改关键信息时,将此报文流加入到待观察列表。
报文流长度分析单元12在报文流的长度和与之匹配的请求的事项所记录的标准长度相比时,判断标准如下:当报文流的长度大于等于标准长度的30%时,判断为“不匹配”,否则判断为“匹配”。
虚拟运行单元是正常***的备份,但其中的数据量是正常***的百分之一至十分之一,并且关键数据均为虚拟数据。
Claims (8)
1.一种入侵防护***,其特征在于,包括:
报文地址分析单元,分析和提取报文的源IP地址;
报文流长度分析单元,分析和提取报文所请求的事项和报文流的长度,
报文变量分析单元,提取和分析报文中所含有的变量,
请求行为分析单元,记录报文的请求频率,
入侵表记录单元,记录发生过的入侵报文的特征,
查询单元,将源IP地址、报文所请求的事项和报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,
待观察表单元,接收查询单元发送来的可疑报文流,
虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为。
2.如权利要求1所述的入侵防护***,其特征在于,还包括:
信任表记录单元,记录信任的报文的源IP地址。
3.如权利要求1所述的入侵防护***,其特征在于:
其中,入侵表记录单元,记录的特征包括:入侵报文的源IP地址、报文所请求的事项和对应的报文流的长度,记录入侵报文的请求事项和对应所使用的变量。
4.一种入侵防护方法,运行在如权利要求1-3中任意一项所述的入侵防护***中,其特征在于,包括:
步骤一:报文地址分析单元对报文的源IP地址进行分析,
报文流长度分析单元对报文所请求的事项和报文流的长度进行分析和提取,
报文变量分析单元对报文中所含有的变量进行提取和分析,
请求行为分析单元对报文中所包含的请求频率进行记录和分析,
步骤二:查询单元在入侵表记录单元中,对步骤一中得到的报文流源IP地址进行查询,如果查询结果为“有”,则将此报文流加入到待观察表单元,如果查询结果为“无”,则对步骤一中得到的请求的事项和报文流的长度进行查询,如果查询结果为“不匹配”,则将此报文流加入到待观察表单元,如果查询结果为“匹配”,则对步骤一得到的报文中所含有的变量进行查询和分析,若变量与修改IP地址相关,或者与扫描服务器端口相关,则将此报文流加入到待观察表单元,若不相关,则对步骤一中得到的报文中所包含的请求频率进行分析,若请求频率大于预定值时,则将此报文流加入到待观察表单元,若请求中不包含获取入侵相关的信息,则放行此报文流;
步骤三:待观察表单元收到来自查询单元的报文流后,将其发送到虚拟运行单元中进行运行,虚拟运行单元监测报文流是否有入侵行为,若“有”则阻止此报文流,若“无”则在正常***中执行此报文流。
5.如权利要求4所述的入侵防护方法,其特征在于:
请求行为分析单元,当报文流的请求行为一次要求过多的权限时,将此报文流加入到待观察列表。
6.如权利要求4所述的入侵防护方法,其特征在于:
请求行为分析单元,当报文流的请求行为涉及篡改关键信息时,将此报文流加入到待观察列表。
7.如权利要求4所述的入侵防护方法,其特征在于:
当报文流的长度和与之匹配的请求的事项所记录的标准长度相比,大于等于标准长度的30%时,判断为“不匹配”,否则判断为“匹配”。
8.如权利要求4所述的入侵防护方法,其特征在于:
其中,所述虚拟运行单元是正常***的备份,但其中的数据量是正常***的百分之一至十分之一,并且关键数据均为虚拟数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910642100.7A CN110430170B (zh) | 2019-07-16 | 2019-07-16 | 一种入侵防护方法和*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910642100.7A CN110430170B (zh) | 2019-07-16 | 2019-07-16 | 一种入侵防护方法和*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110430170A true CN110430170A (zh) | 2019-11-08 |
CN110430170B CN110430170B (zh) | 2021-08-06 |
Family
ID=68409747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910642100.7A Active CN110430170B (zh) | 2019-07-16 | 2019-07-16 | 一种入侵防护方法和*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110430170B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090217341A1 (en) * | 2008-02-22 | 2009-08-27 | Inventec Corporation | Method of updating intrusion detection rules through link data packet |
CN106254353A (zh) * | 2016-08-05 | 2016-12-21 | 杭州迪普科技有限公司 | 入侵防护策略的更新方法及装置 |
CN106385413A (zh) * | 2016-09-12 | 2017-02-08 | 杭州迪普科技有限公司 | 入侵报文流的处理方法及装置 |
-
2019
- 2019-07-16 CN CN201910642100.7A patent/CN110430170B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090217341A1 (en) * | 2008-02-22 | 2009-08-27 | Inventec Corporation | Method of updating intrusion detection rules through link data packet |
CN106254353A (zh) * | 2016-08-05 | 2016-12-21 | 杭州迪普科技有限公司 | 入侵防护策略的更新方法及装置 |
CN106385413A (zh) * | 2016-09-12 | 2017-02-08 | 杭州迪普科技有限公司 | 入侵报文流的处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110430170B (zh) | 2021-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
US20080201464A1 (en) | Prevention of fraud in computer network | |
US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
US10574658B2 (en) | Information security apparatus and methods for credential dump authenticity verification | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
US20220006832A1 (en) | System and method for automatic forensic investigation | |
CN110889113A (zh) | 一种日志分析方法、服务器、电子设备及存储介质 | |
CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
CN114244564A (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
CN112668005A (zh) | webshell文件的检测方法及装置 | |
KR100736540B1 (ko) | 웹 서버 위/변조 감시장치 및 그 방법 | |
Caesarano et al. | Network forensics for detecting SQL injection attacks using NIST method | |
CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
CN114338171A (zh) | 一种黑产攻击检测方法和装置 | |
JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
CN110430170A (zh) | 一种入侵防护方法和*** | |
JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
JP5966076B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6007308B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
CN106993005A (zh) | 一种网络服务器的预警方法及*** | |
CN112887288B (zh) | 基于互联网的电商平台入侵检测的前端计算机扫描*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20191108 Assignee: Shanghai Ziyun Network Technology Co.,Ltd. Assignor: SHANGHAI YOVOLE COMPUTER NETWORK Co.,Ltd. Contract record no.: X2022310000134 Denomination of invention: An Intrusion Prevention Method and System Granted publication date: 20210806 License type: Common License Record date: 20220926 |