CN112953957B - 一种入侵防御方法、***及相关设备 - Google Patents
一种入侵防御方法、***及相关设备 Download PDFInfo
- Publication number
- CN112953957B CN112953957B CN202110251899.4A CN202110251899A CN112953957B CN 112953957 B CN112953957 B CN 112953957B CN 202110251899 A CN202110251899 A CN 202110251899A CN 112953957 B CN112953957 B CN 112953957B
- Authority
- CN
- China
- Prior art keywords
- protocol
- data
- ftp
- header data
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种入侵防御方法、***及相关设备,用于防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。本发明实施例方法包括:存储待检测的应用层协议数据的协议头部数据;当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
Description
技术领域
本发明涉及入侵防御技术领域,尤其涉及一种入侵防御方法、***及相关设备。
背景技术
FTP(File Transfer Protocoll,文件传输协议)是基于TCP协议上开发的一种应用层协议。FTP协议的作用就是把文件管理功能集中于某一服务器中,其是承载这类传输服务的载体,给各节点提供文件上传、文件下载服务的能力。
由于FTP协议的广泛应用,基于FTP协议发起恶意攻击的行为也越来越多,目前市面上的IPS(Intrusion Prevention System,入侵防御***)防御此类攻击一般是使用预设规则对异常特征进行匹配而实现的拦截。
现有方案中,实际上这类规则为了避免大规模误报,一般写的比较保守。如果攻击者把异常特征稍加调整,就可以绕过IPS拦截。
发明内容
本发明实施例提供了一种入侵防御方法、***及相关设备,用于防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。
本发明实施例第一方面提供了一种入侵防御方法,可包括:
存储待检测的应用层协议数据的协议头部数据;
当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;
若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御方法,还可以包括:
判断存储的所述协议头部数据中是否包含远程终端协议操作码,若包含,则剔除所述远程终端协议操作码。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御方法,还可以包括:
判断存储的所述协议头部数据中是否包含多个连续空格字符,若包含,则删除所述多个连续空格字符。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御方法,在将解析之后的目标数据进行安全检测之前,还可以包括:
判断所述目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御方法,在判定所述协议头部数据包含FTP协议特征字段之后,还可以包括:
为所述待检测的应用层协议数据添加FTP标签,以指示所述待检测的应用层协议数据的协议种类。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御方法,还可以包括:
当所述协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将所述待检测的应用层协议数据进行安全检测。
本发明实施例第二方面提供了一种入侵防御***,可包括:
缓存模块,用于存储待检测的应用层协议数据的协议头部数据;
第一处理模块,当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;
第二处理模块,若包含FTP协议特征字段,则对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第三处理模块,判断存储的所述协议头部数据中是否包含远程终端协议操作码,若包含,则剔除所述远程终端协议操作码。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第四处理模块,判断存储的所述协议头部数据中是否包含多个连续空格字符,若包含,则删除所述多个连续空格字符。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第五处理模块,在将解析之后的目标数据进行安全检测之前,判断所述目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
添加模块,在判定所述协议头部数据包含FTP协议特征字段之后,为所述待检测的应用层协议数据添加FTP标签,以指示所述待检测的应用层协议数据的协议种类。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第六处理模块,当所述协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将所述待检测的应用层协议数据进行安全检测。
本发明实施例第三方面提供了一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
本发明实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,入侵防御***可以存储待检测的应用层协议数据的协议头部数据,当存储的协议头部数据的大小不小于第一阈值时,判断协议头部数据是否包含FTP协议特征字段,若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。相对于相关技术,本发明实施例可以防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。
附图说明
图1为本发明实施例中一种入侵防御方法的一个实施例示意图;
图2为本发明实施例中一种入侵防御方法的另一个实施例示意图;
图3为本发明实施例中一种入侵防御方法的一个具体应用实施例示意图;
图4为本发明实施例中一种入侵防御***的一个实施例示意图;
图5为本发明实施例中一种计算机装置的一个实施例示意图。
具体实施方式
本发明实施例提供了一种入侵防御方法、***及相关设备,用于防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例涉及绕过技术,其中绕过技术通常是指黑客使用某种手段逃逸防火墙现有的检测手段,从而渗透到靶机内部的技术。由于FTP协议的广泛应用,基于FTP协议绕过IPS(Intrusion Prevention System,入侵防御***)发起恶意攻击的行为也越来越多。有鉴于此,本发明实施例提出一种入侵防御方法,解决基于FTP协议绕过IPS的问题。
为了便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中一种入侵防御方法的一个实施例可包括:
S101、存储待检测的应用层协议数据的协议头部数据;
实际应用中,申请人注意到由于FTP是基于TCP协议实现的应用层协议,而TCP有重组功能,因此协议数据分片传输是被允许的。但是对于IPS(入侵检测***)而言,一般为了性能考虑,在设备未识别出来FTP应用的时候,不会对数据进行存储。因此,如果对FTP头部特征字段进行分片传输时,就会导致应用识别失败,导致绕过IPS***检测。
例如,IPS需要识别“USER”这4个完整字节才能判断这是个FTP协议。那么如果对方传输两个报文,一个为“U”,另一个为“SER”,此时IPS就很有可能不会触发FTP头部特征字段“USER”对应的检测规则,进而导致绕过IPS的检测。
本发明实施例中,为了防止FTP头部特征字段分片传输导致绕过检测,可以对待检测的应用层协议数据的协议头部数据进行存储,将可能的分片数据存储在一起进行检测识别。
S102、当存储的协议头部数据的大小不小于第一阈值时,判断协议头部数据是否包含FTP协议特征字段;
在获取到待检测的应用层协议数据之后,IPS需要确定待检测的应用层协议数据的协议类型,并根据协议类型进行分类处理。为此,当存储的协议头部数据的大小不小于第一阈值时,IPS可以判断协议头部数据是否包含FTP协议特征字段。具体的第一阈值可以根据业务需求进行合理的设置,具体此处不做限定。例如,FTP协议特征字段最小为4个字节,优选的,第一阈值可以设置为4个字节。
进一步的,当协议头部数据不包含FTP协议特征字段时,可以执行其它操作。例如,IPS可以判断存储的协议头部数据大小是否不小于16字节,若不小于,则可以将待检测的应用层协议数据进行安全检测。
S103、若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
当存储的协议头部数据中,包含FTP协议特征字段,则对待检测的应用层协议数据按照所遵循的协议进行解析,并将解析之后的目标数据进行安全检测。例如,IPS可以调用预设的Snort(入侵检测)规则进行检测,具体的Snort规则可以根据实际业务需求进行合理的设置,此处不做限定。
本发明实施例中,入侵防御***可以存储待检测的应用层协议数据的协议头部数据,当存储的协议头部数据的大小不小于第一阈值时,判断协议头部数据是否包含FTP协议特征字段,若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。相对于相关技术,本发明实施例可以防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。
在上述实施例的基础上,申请人还注意到其他基于FTP协议绕过IPS的方式,例如,基于远程终端协议操作码(Telnet opcode)绕过的方式、基于间隔符绕过的方式。
具体来说,FTP是基于Telnet协议上开发的一类协议,与Telnet通用21端口进行命令传输。Telnet协议的控制功能一般是通过传输一种叫做“Telnet opcode”的方式来对目标主机进行控制。这个Telnet opcode由两个字符组成:第一个字符是0xFF,表示这是操作码;第二个是任意0~255的字符0x??(0xFF0x??),表示操作类型(如中断)。目前很多的IPS引擎,要么是不支持这种解析,要么只是利用社区发布的Snort规则来识别这种绕过,局限性非常大。比如,正常的FTP协议,一般是“USER”,表示传输用户名。异常的FTP协议,可以写成“U\xFF\x0dS\xFF\x0dE\xFF\x0dR”。如果规则匹配的是“USER”字样,通过这种方式就能绕过IPS的检测规则。
基于间隔符绕过的方式是指,使用空格这种方式绕过IPS的检测规则。例如,在应用识别的时候把“USER”的识别,改成“\x20\x20USER”的方式(\x20为空格),这种写法在FTP服务器中是可以被识别出来的。然而,IPS未必会识别出原有的FTP协议特征字段,导致FTP协议未能被识别出来从而无法拦截。
为了解决上述任一绕过问题,请参阅图2,在上述图1所示的实施例的基础上,本发明实施例中一种入侵防御方法的另一个实施例可包括:
S201、存储待检测的应用层协议数据的协议头部数据;
本实施例中的步骤201中描述的内容与上述图1中步骤101中描述的内容类似,具体此处不做赘述。
S202、当存储的协议头部数据的大小不小于第一阈值时,判断存储的协议头部数据中是否包含远程终端协议操作码,若包含,则剔除远程终端协议操作码;
可选的,为了解决上述远程终端协议操作码(Telnet opcode)绕过问题,本发明实施例中,当存储的协议头部数据的大小不小于第一阈值时,IPS可以判断存储的协议头部数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
S203、当存储的协议头部数据的大小不小于第一阈值时,判断存储的协议头部数据中是否包含多个连续空格字符,若包含,则删除多个连续空格字符;
可选的,为了解决上述间隔符绕过的问题,本发明实施例中,当存储的协议头部数据的大小不小于第一阈值时,IPS可以判断存储的协议头部数据中是否包含多个连续空格字符,若包含,则删除多个连续空格字符。
S204、判断协议头部数据是否包含FTP协议特征字段;
在上述步骤203和/或204的基础上,IPS可以判断协议头部数据是否包含FTP协议特征字段。具体的第一阈值可以根据业务需求进行合理的设置,具体此处不做限定。例如,FTP协议特征字段最小为4个字节,优选的,第一阈值可以设置为4个字节。
进一步的,当协议头部数据不包含FTP协议特征字段时,可以执行其它操作。例如,IPS可以判断存储的协议头部数据大小是否不小于16字节,若不小于,则可以将待检测的应用层协议数据进行安全检测。
S205、若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
当存储的协议头部数据中,包含FTP协议特征字段,则对待检测的应用层协议数据按照所遵循的协议进行解析,并将解析之后的目标数据进行安全检测。例如,IPS可以调用预设的Snort(入侵检测)规则进行检测,具体的Snort规则可以根据实际业务需求进行合理的设置,此处不做限定。
可选的,为了防止解析之后的有效数据中出现远程终端协议操作码(Telnetopcode)绕过,作为一种可能的实施方式,在将解析之后的目标数据进行安全检测之前,方法还可以包括:判断目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
可选的,为了进一步提高网络攻击的检出率,当协议头部数据不包含FTP协议特征字段时,IPS可以判断存储的协议头部数据大小是否不小于16字节,若不小于16字节,则将待检测的应用层协议数据进行安全检测。
可以理解的是,在本申请的各种实施例中,上述各步骤的序号的大小并不意味着执行顺序的先后,各步骤的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
为了便于理解,请参阅图3,下面将结合具体的应用实施例对本发明实施例中的入侵防御方法进行描述。本实施例要解决的是FTP的控制连接中的IPS绕过问题,不涉及数据连接。绕过方式总共有两三种:①Telnet opcode绕过;②间隔符绕过;③头部切片绕过。
具体可以包括如下步骤:
步骤1:判断待检测的应用层协议数据是否为FTP协议;
在接收到待检测的应用层协议数据之后,可以根据现有方式判断是否为FTP协议,若是,则直接进入FTP解析器。如果不是,则跳入步骤2;
步骤2:缓存头部数据;
如果现有方式检测不出是否为FTP协议,可以对待检测的应用层协议数据的头部数据进行缓存,以进一步检测。
步骤3:判断缓存的头部数据的字节是否不小于4个字节;
由于FTP特征字段最少4个字节,如果大于4个字节,跳入步骤4,否则,放行。
步骤4:剔除缓存中Telnet opcode,并剔除头部的连续空格字符;
步骤5:判断是否有“USER”、“PASS”等FTP头部特征字段;
剔除Telnet opcode以及头部的连续空格字符之后,可以判断剩余有效数据是否有“USER”、“PASS”等FTP特征字段,若有,则打上标签FTP解析进入FTP解析器。若无,进入分支:头部缓存数据小于16字节,报文放行;头部缓存大于等于16字节,送入Snort引擎检测;
步骤6:FTP解析相关数据,解析完之后把缓存的有效数据部分进行telnet opcode的剔除操作;
步骤7:把剔除telnet opcode的内容送入Snort做检测。
本实施中,在未识别出协议类型之前缓存一定数量的头部信息用于识别FTP协议,在协议头部数据或者协议有效数据中识别出来特定的绕过特征后,采取特征剔除的操作,把原本真实的数据给暴露到Snort引擎中,从而使得通防规则能识别出来,可以防御基于FTP协议绕过IPS的攻击,提高了网络的安全性。
请参阅图4,本发明实施例还提供一种入侵防御***,可包括:
缓存模块401,用于存储待检测的应用层协议数据的协议头部数据;
第一处理模块402,当存储的协议头部数据的大小不小于第一阈值时,判断协议头部数据是否包含FTP协议特征字段;
第二处理模块403,若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第三处理模块,判断存储的协议头部数据中是否包含远程终端协议操作码,若包含,则剔除远程终端协议操作码。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第四处理模块,判断存储的协议头部数据中是否包含多个连续空格字符,若包含,则删除多个连续空格字符。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第五处理模块,在将解析之后的目标数据进行安全检测之前,判断目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
添加模块,在判定协议头部数据包含FTP协议特征字段之后,为待检测的应用层协议数据添加FTP标签,以指示待检测的应用层协议数据的协议种类。
可选的,作为一种可能的实施方式,本发明实施例中的入侵防御***还可以包括:
第六处理模块,当协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将待检测的应用层协议数据进行安全检测。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
上面从模块化功能实体的角度对本发明实施例中的入侵防御***进行了描述,请参阅图5,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置1可以包括存储器11、处理器12和输入输出总线13。处理器11执行计算机程序时实现上述图1所示的入侵防御方法实施例中的步骤,例如图1所示的步骤101至103。或者,处理器执行计算机程序时实现上述各装置实施例中各模块或单元的功能。
本发明的一些实施例中,处理器具体用于实现如下步骤:
存储待检测的应用层协议数据的协议头部数据;
当存储的协议头部数据的大小不小于第一阈值时,判断协议头部数据是否包含FTP协议特征字段;
若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断存储的协议头部数据中是否包含远程终端协议操作码,若包含,则剔除远程终端协议操作码。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断存储的协议头部数据中是否包含多个连续空格字符,若包含,则删除多个连续空格字符。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
为待检测的应用层协议数据添加FTP标签,以指示待检测的应用层协议数据的协议种类。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
当协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将待检测的应用层协议数据进行安全检测。
其中,存储器11至少包括一种类型的可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是计算机装置1的内部存储单元,例如该计算机装置1的硬盘。存储器11在另一些实施例中也可以是计算机装置1的外部存储设备,例如计算机装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器11还可以既包括计算机装置1的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于计算机装置1的应用软件及各类数据,例如计算机程序01的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器11中存储的程序代码或处理数据,例如执行计算机程序01等。
该输入输出总线13可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。
进一步地,计算机装置还可以包括有线或无线网络接口14,网络接口14可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该计算机装置1与其他电子设备之间建立通信连接。
可选地,该计算机装置1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的,用户接口还可以包括标准的有线接口、无线接口。可选的,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在计算机装置1中处理的信息以及用于显示可视化的用户界面。
图5仅示出了具有组件11-14以及计算机程序01的计算机装置1,本领域技术人员可以理解的是,图5示出的结构并不构成对计算机装置1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,可以实现如下步骤:
存储待检测的应用层协议数据的协议头部数据;
当存储的协议头部数据的大小不小于第一阈值时,判断协议头部数据是否包含FTP协议特征字段;
若包含FTP协议特征字段,则对待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断存储的协议头部数据中是否包含远程终端协议操作码,若包含,则剔除远程终端协议操作码。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断存储的协议头部数据中是否包含多个连续空格字符,若包含,则删除多个连续空格字符。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
判断目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
为待检测的应用层协议数据添加FTP标签,以指示待检测的应用层协议数据的协议种类。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
当协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将待检测的应用层协议数据进行安全检测。
在本申请所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种入侵防御方法,其特征在于,包括:
存储待检测的应用层协议数据的协议头部数据;
当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;
若包含FTP协议特征字段,则为所述待检测的应用层协议数据添加FTP标签,以指示所述待检测的应用层协议数据的协议种类,利用所述FTP标签对应的解析器对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
2.根据权利要求1所述的方法,其特征在于,还包括:
判断存储的所述协议头部数据中是否包含远程终端协议操作码,若包含,则剔除所述远程终端协议操作码。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
判断存储的所述协议头部数据中是否包含多个连续空格字符,若包含,则删除所述多个连续空格字符。
4.根据权利要求3所述的方法,其特征在于,在将解析之后的目标数据进行安全检测之前,所述方法还包括:
判断所述目标数据中是否包含远程终端协议操作码,若包含,则剔除对应的远程终端协议操作码。
5.根据权利要求4所述的方法,其特征在于,还包括:
当所述协议头部数据不包含FTP协议特征字段时,判断存储的协议头部数据大小是否不小于16字节,若不小于,则将所述待检测的应用层协议数据进行安全检测。
6.一种入侵防御***,其特征在于,包括:
缓存模块,用于存储待检测的应用层协议数据的协议头部数据;
第一处理模块,当存储的所述协议头部数据的大小不小于第一阈值时,判断所述协议头部数据是否包含FTP协议特征字段;
添加模块,在判定协议头部数据包含FTP协议特征字段之后,为待检测的应用层协议数据添加FTP标签,以指示待检测的应用层协议数据的协议种类;
第二处理模块,若包含FTP协议特征字段,则利用所述FTP标签对应的解析器对所述待检测的应用层协议数据进行解析,并将解析之后的目标数据进行安全检测。
7.根据权利要求6所述的***,其特征在于,还包括:
第三处理模块,判断存储的所述协议头部数据中是否包含远程终端协议操作码,若包含,则剔除所述远程终端协议操作码。
8.一种计算机装置,其特征在于,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至5中任意一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至5中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110251899.4A CN112953957B (zh) | 2021-03-08 | 2021-03-08 | 一种入侵防御方法、***及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110251899.4A CN112953957B (zh) | 2021-03-08 | 2021-03-08 | 一种入侵防御方法、***及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112953957A CN112953957A (zh) | 2021-06-11 |
| CN112953957B true CN112953957B (zh) | 2022-11-22 |
Family
ID=76228876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110251899.4A Active CN112953957B (zh) | 2021-03-08 | 2021-03-08 | 一种入侵防御方法、***及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112953957B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114666424B (zh) * | 2022-03-24 | 2024-03-08 | 卡斯柯信号(成都)有限公司 | 一种可配置的铁路信号通信数据解析方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8607346B1 (en) * | 2010-09-27 | 2013-12-10 | Juniper Networks, Inc. | Dynamic resilience for intrusion detection and prevention systems |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426000A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种通用协议解析方法及*** |
| CN111526121B (zh) * | 2020-03-24 | 2022-03-04 | 杭州迪普科技股份有限公司 | 入侵防御方法、装置、电子设备及计算机可读介质 |
-
2021
- 2021-03-08 CN CN202110251899.4A patent/CN112953957B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8607346B1 (en) * | 2010-09-27 | 2013-12-10 | Juniper Networks, Inc. | Dynamic resilience for intrusion detection and prevention systems |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112953957A (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| US8805995B1 (en) | Capturing data relating to a threat | |
| KR100862187B1 (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US7320142B1 (en) | Method and system for configurable network intrusion detection | |
| CN113472721B (zh) | 一种网络攻击检测方法及装置 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN112887405B (zh) | 一种入侵防御方法、***及相关设备 | |
| CN106470214B (zh) | 攻击检测方法和装置 | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| CN109600362B (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
| CN110311925B (zh) | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 | |
| CN107122657B (zh) | 一种防御sql注入攻击的数据库代理装置 | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| CN114598512A (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| CN112953957B (zh) | 一种入侵防御方法、***及相关设备 | |
| US20200213355A1 (en) | Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN115017502A (zh) | 一种流量处理方法、及防护*** | |
| CN112202717A (zh) | 一种http请求的处理方法、装置、服务器及存储介质 | |
| CN115022034B (zh) | 攻击报文识别方法、装置、设备和介质 | |
| CN112035831A (zh) | 一种数据处理方法、装置、服务器及存储介质 | |
| CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
| JP2004054330A (ja) | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |