CN110430170B - 一种入侵防护方法和*** - Google Patents

一种入侵防护方法和*** Download PDF

Info

Publication number
CN110430170B
CN110430170B CN201910642100.7A CN201910642100A CN110430170B CN 110430170 B CN110430170 B CN 110430170B CN 201910642100 A CN201910642100 A CN 201910642100A CN 110430170 B CN110430170 B CN 110430170B
Authority
CN
China
Prior art keywords
message
unit
intrusion
request
message flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910642100.7A
Other languages
English (en)
Other versions
CN110430170A (zh
Inventor
安柯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yovole Computer Network Co ltd
Original Assignee
Shanghai Yovole Computer Network Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yovole Computer Network Co ltd filed Critical Shanghai Yovole Computer Network Co ltd
Priority to CN201910642100.7A priority Critical patent/CN110430170B/zh
Publication of CN110430170A publication Critical patent/CN110430170A/zh
Application granted granted Critical
Publication of CN110430170B publication Critical patent/CN110430170B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种入侵防护方法和***,入侵防护***包括:报文地址分析单元,分析和提取报文的源IP地址;报文流长度分析单元,分析和提取报文所请求的事项和报文流的长度,报文变量分析单元,提取和分析报文中所含有的变量,请求行为分析单元,记录报文的请求频率,入侵表记录单元,记录发生过的入侵报文的特征,查询单元,将源IP地址、报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,待观察表单元,接收查询单元发送来的可疑报文流,虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为。本发明能够更准确的判断报文的安全性,更好的保护计算机和网络***。

Description

一种入侵防护方法和***
技术领域
本发明涉及一种入侵防护方法,本发明还涉及入侵防护***,属于网络安全领域。
背景技术
计算机***和互联网的入侵防护,一直是数据安全的核心问题。以往的入侵防护方法,通常是采用对IP地址进行识别的防护,或者采用病毒库进行防护。然而,IP地址伪装的技术也在不断提高,病毒库也只能基于过往已有的病毒进行防护。当发生可疑入侵的行为时,现有的防护方法,往往只能发出警报,由人工干预,进行处理。这样不仅效率低,而且人工处理的漏检率也比较高。当信息量较大时,就无法应对了。
发明内容
本发明的目的在于提供一种入侵防护方法和***,以对可疑的入侵行为进行更有效的分辨。
本发明采用了如下技术方案:
本发明提供一种入侵防护***,其特征在于,包括:报文地址分析单元,分析和提取报文的源IP地址;报文流长度分析单元,分析和提取报文所请求的事项和报文流的长度,报文变量分析单元,提取和分析报文中所含有的变量,请求行为分析单元,记录报文的请求频率,入侵表记录单元,记录发生过的入侵报文的特征,查询单元,将源IP地址、报文所请求的事项和报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,待观察表单元,接收查询单元发送来的可疑报文流,虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为。
进一步,本发明的入侵防护***,还包括:信任表记录单元,记录信任的报文的源IP地址。
进一步,本发明的入侵防护***,还具有这样的特征:入侵表记录单元,记录的特征包括:入侵报文的源IP地址、报文所请求的事项和对应的报文流的长度,记录入侵报文的请求事项和对应所使用的变量。
本发明还提供一种入侵防护方法,运行在所述的入侵防护***中,其特征在于,包括:
步骤一:报文地址分析单元对报文的源IP地址进行分析,报文流长度分析单元对报文所请求的事项和报文流的长度进行分析和提取,
报文变量分析单元对报文中所含有的变量进行提取和分析,
请求行为分析单元对报文中所包含的请求频率进行记录和分析,
步骤二:查询单元在入侵表记录单元中,对步骤一中得到的报文流源IP地址进行查询,如果查询结果为“有”,则将此报文流加入到待观察表单元,如果查询结果为“无”,则对步骤一中得到的请求的事项和报文流的长度进行查询,如果查询结果为“不匹配”,则将此报文流加入到待观察表单元,如果查询结果为“匹配”,则对步骤一得到的报文中所含有的变量进行查询和分析,若变量与修改IP地址相关,或者与扫描服务器端口相关,则将此报文流加入到待观察表单元,若不相关,则对步骤一中得到的报文中所包含的请求频率进行分析,若请求频率大于预定值时,则将此报文流加入到待观察表单元,若请求中不包含获取入侵相关的信息,则放行此报文流;
步骤三:待观察表单元收到来自查询单元的报文流后,将其发送到虚拟运行单元中进行运行,虚拟运行单元监测报文流是否有入侵行为,若“有”则阻止此报文流,若“无”则在正常***中执行此报文流。
进一步,本发明的入侵防护方法,还具有这样的特征:请求行为分析单元,当报文流的请求行为一次要求过多的权限时,将此报文流加入到待观察列表。
进一步,本发明的入侵防护方法,还具有这样的特征:请求行为分析单元,当报文流的请求行为涉及篡改关键信息时,将此报文流加入到待观察列表。
进一步,本发明的入侵防护方法,还具有这样的特征:当报文流的长度和与之匹配的请求的事项所记录的标准长度相比,大于等于标准长度的30%时,判断为“不匹配”,否则判断为“匹配”。
进一步,本发明的入侵防护方法,还具有这样的特征:其中,所述虚拟运行单元是正常***的备份,但其中的数据量是正常***的百分之一至十分之一,并且关键数据均为虚拟数据。
发明的有益效果
本发明的入侵防护方法和***,由于对报文的多种特征进行分析,因此能够更准确的判断报文的安全性,更好的保护计算机和网络***。
附图说明
图1是本发明的入侵防护***的结构示意框图;
图2是本发明的入侵防护方法的流程图。
具体实施方式
以下结合附图来进一步说明本发明的具体实施方式。
入侵防护***,其特征在于,包括:
报文地址分析单元11,分析和提取报文的源IP地址;
报文流长度分析单元12,分析和提取报文所请求的事项和报文流的长度,
报文变量分析单元13,提取和分析报文中所含有的变量,
请求行为分析单元14,记录报文的请求频率,
入侵表记录单元15,记录发生过的入侵报文的特征,
查询单元16,将源IP地址、报文所请求的事项和报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,
待观察表单元,接收查询单元发送来的可疑报文流,
虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为。
入侵表记录单元15,记录的特征包括:入侵报文的源IP地址、报文所请求的事项和对应的报文流的长度,记录入侵报文的请求事项和对应所使用的变量。
在一些实施方式中,还包括:信任表记录单元17,记录信任的报文的源IP地址。
基于上述入侵防护***,以下介绍入侵防护方法,如图2所示,包括如下步骤:
步骤S1:报文地址分析单元11对报文的源IP地址进行分析,
步骤S2:报文流长度分析单元12对报文所请求的事项和报文流的长度进行分析和提取,
步骤S3:报文变量分析单元13对报文中所含有的变量进行提取和分析,
步骤S4:请求行为分析单元14对报文中所包含的请求频率进行记录和分析,
步骤S1至S4通常按从S1至S4的顺序执行,
步骤S5:查询单元在入侵表记录单元中,对步骤一中得到的报文流源IP地址进行查询,如果查询结果为“有”,则进行步骤S6将此报文流加入到待观察表单元,如果查询结果为“无”,则对步骤一中得到的请求的事项和报文流的长度进行查询,如果查询结果为“不匹配”,则进行步骤S6将此报文流加入到待观察表单元,如果查询结果为“匹配”,则对步骤一得到的报文中所含有的变量进行查询和分析,若变量与修改IP地址相关,或者与扫描服务器端口相关,则进行步骤S6将此报文流加入到待观察表单元,若不相关,则对步骤一中得到的报文中所包含的请求频率进行分析,若请求频率大于预定值时,则进行步骤S6将此报文流加入到待观察表单元,若请求中不包含获取入侵相关的信息,则放行此报文流;
在一些实施方式中,查询单元还可以在信任表记录单元17中,对步骤一中得到的报文流源IP地址进行查询,若此地址存在于信任表之中,则无需进行后续的查询步骤。此时可以不在入侵表记录单元中进行查询。
步骤S7:待观察表单元收到来自查询单元的报文流后,将其发送到虚拟运行单元中进行运行,虚拟运行单元监测报文流是否有入侵行为,若“有”则阻止此报文流,若“无”则在正常***中执行此报文流。
步骤S8:在报文流运行的过程中,虚拟运行单元监测其是滞有入侵行为,若“有”则进入步骤S9阻止此报文流;若“无”则在正常***中执行此报文流。
在一些实施方式中,步骤S5中,请求行为分析单元14还会在报文流的请求行为一次要求过多的权限时,将此报文流加入到待观察列表。
在一些实施方式中,步骤S5中,请求行为分析单元14还会在报文流的请求行为涉及篡改关键信息时,将此报文流加入到待观察列表。
报文流长度分析单元12在报文流的长度和与之匹配的请求的事项所记录的标准长度相比时,判断标准如下:当报文流的长度大于等于标准长度的30%时,判断为“不匹配”,否则判断为“匹配”。
虚拟运行单元是正常***的备份,但其中的数据量是正常***的百分之一至十分之一,并且关键数据均为虚拟数据。

Claims (1)

1.一种入侵防护***,其特征在于,包括:
报文地址分析单元,分析和提取报文的源IP地址;
报文流长度分析单元,分析和提取报文所请求的事项和报文流的长度,
报文变量分析单元,提取和分析报文中所含有的变量,
请求行为分析单元,记录报文的请求频率,
入侵表记录单元,记录发生过的入侵报文的特征,
查询单元,将源IP地址、报文所请求的事项和报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询,
待观察表单元,接收查询单元发送来的可疑报文流,
虚拟运行单元,接收来自待观察表单元的可疑报文流并进行虚拟运行,监测可疑报文流的行为;
信任表记录单元,记录信任的报文的源IP地址;
其中,入侵表记录单元,记录的特征包括:入侵报文的源IP地址、报文所请求的事项和对应的报文流的长度,记录入侵报文的请求事项和对应所使用的变量;查询单元在信任表记录单元中,对得到的报文流源IP地址进行查询,若所述报文流源IP地址存在于信任表之中,则无需进行后续的查询步骤;此时不在入侵表记录单元中进行查询;
在所述入侵防护***中,运行入侵防护方法,包括:
步骤一:报文地址分析单元对报文的源IP地址进行分析,
报文流长度分析单元对报文所请求的事项和报文流的长度进行分析和提取,
报文变量分析单元对报文中所含有的变量进行提取和分析,
请求行为分析单元对报文中所包含的请求频率进行记录和分析,
步骤二:查询单元在入侵表记录单元中,对步骤一中得到的报文流源IP地址进行查询,如果查询结果为“有”,则将此报文流加入到待观察表单元,如果查询结果为“无”,则对步骤一中得到的请求的事项和报文流的长度进行查询,如果查询结果为“不匹配”,则将此报文流加入到待观察表单元,如果查询结果为“匹配”,则对步骤一得到的报文中所含有的变量进行查询和分析,若变量与修改IP地址相关,或者与扫描服务器端口相关,则将此报文流加入到待观察表单元,若不相关,则对步骤一中得到的报文中所包含的请求频率进行分析,若请求频率大于预定值时,则将此报文流加入到待观察表单元,若请求中不包含获取入侵相关的信息,则放行此报文流;
步骤三:待观察表单元收到来自查询单元的报文流后,将其发送到虚拟运行单元中进行运行,虚拟运行单元监测报文流是否有入侵行为,若“有”则阻止此报文流,若“无”则在正常***中执行此报文流;
请求行为分析单元,当报文流的请求行为一次要求过多的权限时,将此报文流加入到待观察列表;
请求行为分析单元,当报文流的请求行为涉及篡改关键信息时,将此报文流加入到待观察列表;
当报文流的长度和与之匹配的请求的事项所记录的标准长度相比,大于等于标准长度的30%时,判断为“不匹配”,否则判断为“匹配”;
所述虚拟运行单元是正常***的备份,但其中的数据量是正常***的百分之一至十分之一,并且关键数据均为虚拟数据。
CN201910642100.7A 2019-07-16 2019-07-16 一种入侵防护方法和*** Active CN110430170B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910642100.7A CN110430170B (zh) 2019-07-16 2019-07-16 一种入侵防护方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910642100.7A CN110430170B (zh) 2019-07-16 2019-07-16 一种入侵防护方法和***

Publications (2)

Publication Number Publication Date
CN110430170A CN110430170A (zh) 2019-11-08
CN110430170B true CN110430170B (zh) 2021-08-06

Family

ID=68409747

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910642100.7A Active CN110430170B (zh) 2019-07-16 2019-07-16 一种入侵防护方法和***

Country Status (1)

Country Link
CN (1) CN110430170B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106254353A (zh) * 2016-08-05 2016-12-21 杭州迪普科技有限公司 入侵防护策略的更新方法及装置
CN106385413A (zh) * 2016-09-12 2017-02-08 杭州迪普科技有限公司 入侵报文流的处理方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7904942B2 (en) * 2008-02-22 2011-03-08 Inventec Corporation Method of updating intrusion detection rules through link data packet

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106254353A (zh) * 2016-08-05 2016-12-21 杭州迪普科技有限公司 入侵防护策略的更新方法及装置
CN106385413A (zh) * 2016-09-12 2017-02-08 杭州迪普科技有限公司 入侵报文流的处理方法及装置

Also Published As

Publication number Publication date
CN110430170A (zh) 2019-11-08

Similar Documents

Publication Publication Date Title
US20200026594A1 (en) System and method for real-time detection of anomalies in database usage
KR101327317B1 (ko) Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7870598B2 (en) Policy specification framework for insider intrusions
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN110300100A (zh) 日志审计的关联分析方法与***
JP5144488B2 (ja) 情報処理システムおよびプログラム
KR20000072707A (ko) 실시간 침입탐지 및 해킹 자동 차단 방법
JP5066544B2 (ja) インシデント監視装置,方法,プログラム
CN112134877A (zh) 网络威胁检测方法、装置、设备及存储介质
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
EP3272097B1 (en) Forensic analysis
CN107426196B (zh) 一种识别web入侵的方法及***
CN113596028A (zh) 一种网络异常行为的处置方法及装置
CN113364745A (zh) 一种日志收集与分析处理方法
CN112668005A (zh) webshell文件的检测方法及装置
KR102295488B1 (ko) 위험 분석을 위한 보안요소 지수화 시스템 및 방법
CN114257403B (zh) 误报检测方法、设备及可读存储介质
CN114157501B (zh) 一种基于天睿数据库的参数解析方法及装置
CN110430170B (zh) 一种入侵防护方法和***
CN115086081B (zh) 一种蜜罐防逃逸方法及***
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム
CN115473675A (zh) 一种网络安全态势感知方法、装置、电子设备及介质
CN114186278A (zh) 数据库异常操作识别方法、装置与电子设备
US7774844B1 (en) Intrusion detection through storage monitoring

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20191108

Assignee: Shanghai Ziyun Network Technology Co.,Ltd.

Assignor: SHANGHAI YOVOLE COMPUTER NETWORK Co.,Ltd.

Contract record no.: X2022310000134

Denomination of invention: An Intrusion Prevention Method and System

Granted publication date: 20210806

License type: Common License

Record date: 20220926