一种基于响应报文的入侵检测方法和装置与流程
本申请涉及网络通信技术领域,特别涉及一种基于响应报文的入侵检测方法和装置。
背景技术:
随着网络的发展,黑客攻击事件越来越多,黑客的攻击方式也越来越多。为了提供更加安全的网络环境给用户,提高对黑客攻击行为的检测与加强对黑客攻击行为的防御显得至关重要。
技术实现要素:
有鉴于此,本申请提供一种基于响应报文的入侵检测方法和装置,应用于检测设备,用于提高安全防护设备的防护能力。
具体地,本申请是通过如下技术方案实现的:
一种基于响应报文的入侵检测方法,应用于检测设备,所述检测设备与安全防护设备互为镜像;所述安全防护设备与待防护设备相连,用于对所述待防护设备进行安全防护,包括:
从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
一种基于响应报文的入侵检测装置,应用于检测设备,所述检测设备与安全防护设备互为镜像;所述安全防护设备与待防护设备相连,用于对所述待防护设备进行安全防护,包括:
获取单元,用于从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
第一确定单元,用于确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
第二确定单元,用于如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
由于现有技术中,安全防护设备对于无法识别的攻击报文进行了转发,并对待防护设备返回的响应报文不进行检测,因此安全防护设备无法确定待防护设备是否存在漏洞,本申请提供的技术方案中,检测设备就是弥补安全防护设备的缺点,对待防护设备的响应报文进行检测,当待防护设备存在漏洞时,检测设备可以向安全防护设备发送信息,通知安全防护设备,待防护设备存在漏洞,从而使安全防护设备生成对应的防护规则,对待防护设备进行防护。
附图说明
图1为本申请一示例性实施例示出的现有技术中一种入侵检测方法的组网架构图;
图2为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法;
图3为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法的组网架构图;
图4为本申请一种基于响应报文的入侵检测装置所在检测设备的一种硬件结构图;
图5为本申请一示例性实施例示出的一种基于响应报文的入侵检测装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,图1为本申请一示例性实施例示出的现有技术中一种入侵检测方法的组网架构图。
在图1中,客户端所在的终端设备与安全防护设备相连,安全防护设备与待防护设备相连。当客户端发送报文时,该报文会经过安全防护设备的检测。如果该报文检测通过,安全防护设备可以将该报文转发至对应的待防护设备;如果该报文检测未通过,安全防护设备将该报文拦截,不会将该报文转发至对应的待防护设备。
当待防护设备接收到安全防护设备转发的报文时,待防护设备可以对该报文进行处理,然后向安全防护设备发送响应报文。当安全防护设备接收到响应报文时,安全防护设备可以将该响应报文转发至客户端。
其中,安全防护设备对客户端发送的报文进行检测时,通过将该报文与安全防护设备中保存的攻击特征数据库中的攻击特征进行一一匹配,如果该报文命中攻击特征数据库中任一攻击特征,那么安全防护设备可以确定该报文为攻击报文,然后将该报文拦截,不会将该报文转发至对应的待防护设备,即该报文检测通过。
另外,由于待防护设备在安全防护设备的里面,因此安全防护设备对待防护设备发送的响应报文只进行转发,不会再对该响应报文进行解析与检测。
综上所述,现有技术中存在以下问题。
随着技术的发展,新的攻击类型不断出现,黑客可以通过一些编码方式,例如URL(Universal Resource locator,统一资源定位符)编码、空格转化,数据库编码等方式,或者采用安全防护设备数据库中没有的攻击特征的攻击方式,对安全防护设备发送对应的攻击报文,在这样的情况下,由于安全防护设备无法识别出攻击报文,并将攻击报文转发至对应的待防护设备,从而造成待防护设备被黑客攻击成功。
为了解决现有技术中的问题,本申请提供了一种基于响应报文的入侵检测方法,应用于检测设备。通过从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
由于现有技术中,安全防护设备对于无法识别的攻击报文进行了转发,并对待防护设备返回的响应报文不进行检测,因此安全防护设备无法确定待防护设备是否存在漏洞,本申请提供的技术方案中,检测设备就是弥补安全防护设备的缺点,对待防护设备的响应报文进行检测,当待防护设备存在漏洞时,检测设备可以向安全防护设备发送信息,通知安全防护设备,待防护设备存在漏洞,从而使安全防护设备生成对应的防护规则,对待防护设备进行防护。
请参见图2,图2为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法,应用于检测装置,具体执行以下步骤:
步骤201:从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
请参见图3,图3为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法的组网架构图。
在图3中,客户端所在的终端设备与安全防护设备相连,安全防护设备与待防护设备相连,检测设备与安全防护设备互为镜像。其中,所述互为镜像是指安全防护设备将接收到报文均会复制一份,然后转发给检测设备。
在本实施例中,客户端可以向安全防护设备发送报文。当安全防护设备接收到客户端发送的报文时,安全防护设备可以将该报文与保存的攻击特征数据库中的攻击特征进行一一匹配,如果该报文与安全防护设备保存的攻击特征数据库中的任一攻击特征匹配成功,则说明该报文一定为攻击报文。在这样的情况下,安全防护设备可以将该报文拦截,不将该报文进行转发。
如果该报文没有匹配中安全防护设备保存的攻击特征数据库中的任一攻击特征,则该报文会被安全防护设备认为是安全的报文,并将该报文转发至对于对应的待防护设备,在这样的情况下,只能说明该报文可能是安全的报文,也可能是攻击报文,还不能完全确定。
当待防护设备接收到安全防护设备发送的报文时,待防护设备可以对该报文进行处理,然后发送与该报文对应的响应报文至安全防护设备。
当安全防护设备接收到待防护设备发送的响应报文时,安全防护设备可以将该报文转发至客户端,然后将该响应报文复制一份发送至检测设备。
步骤202:确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应。
在示出的一种实施方式中,当检测设备接收到安全防护设备发送的响应报文时,检测设备可以将该响应报文与本设备中预设的错误消息进行匹配。其中,所述预设的错误消息与预设的目标攻击类型对应。如果预设的错误消息为SQL错误消息,那么所述预设的目标攻击类型为SQL注入攻击。如果预设的错误消息为XSS错误消息,那么所述预设的目标攻击类型为XSS攻击。
步骤203:如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
在本申请的实施例中,当检测设备检测到该响应报文中存在预设的错误消息,那么检测设备可确定所述待防护设备遭受到了与该预设的错误消息对应的目标攻击类型的外部攻击。在这样的情况下,检测设备可以对该响应报文进行统计分析,然后检测设备可以判断待防护设备中是否存在与所述目标攻击类型对应的系统漏洞。
具体地,在本申请示出的实施例中,当检测设备确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击时,检测设备可以解析所述响应报文,然后从中获取所述待防护设备针对所述访问客户端的响应时间。然后检测设备可以从本设备中所述待防护设备针对所述访问客户端的上一次的响应时间。
检测设备获取到所述待防护设备针对所述访问客户端的本次的响应时间,以及所述待防护设备针对所述访问客户端的上一次的响应时间后,检测设备可以计算这两个响应时间的时间差。然后,检测设备可以判断计算得到的响应时间差是否超过了预设阈值。
如果所述响应时间差超过了预设阈值,那么检测设备可以确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
此外,在本申请的实施例中,当检测设备确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击时,检测设备可以解析所述响应报文,查找所述响应报文中是否携带对应于所述目标攻击类型的恶意行为特征;
如果查找到所述响应设备中携带了对应于所述目标攻击类型的恶意行为特征,那么检测设备确定所述待防护设备中存在与所述目标攻击类型对应的系统漏洞。
在示出的一种实施方式中,当检测设备确定所述待防护设备中存在与所述目标攻击类型对应的系统漏洞时,检测设备可以向安全防护设备发送对应的通知消息,通知安全防护设备待防护设备存在与所述目标攻击类型对应的系统漏洞。
当安全防护设备接收到检测设备发送的通知消息时,安全防护设备可以获取到所述目标攻击类型。然后管理员可以手动针对所述目标攻击类型添加安全防护规则,也可以安全防护设备根据所述目标攻击类型自动生成对应的安全防护规则,然后安全防护设备可以根据针对所述目标攻击类型的安全防护规则,对待防护设备进行安全防护。
由以上提供的技术方案可见,通过从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
由于现有技术中,安全防护设备对于无法识别的攻击报文进行了转发,并对待防护设备返回的响应报文不进行检测,因此安全防护设备无法确定待防护设备是否存在漏洞,本申请提供的技术方案中,检测设备就是弥补安全防护设备的缺点,对待防护设备的响应报文进行检测,当待防护设备存在漏洞时,检测设备可以向安全防护设备发送信息,通知安全防护设备,待防护设备存在漏洞,从而使安全防护设备生成对应的防护规则,对待防护设备进行防护。
与前述一种基于响应报文的入侵检测方法的实施例相对应,本申请还提供了一种基于响应报文的入侵检测装置的实施例。
本申请一种基于响应报文的入侵检测装置的实施例可以应用在检测设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在检测设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请一种基于响应报文的入侵检测装置所在检测设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的检测设备通常根据该基于响应报文的入侵检测的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5,图5为本申请一示例性实施例示出的一种基于响应报文的入侵检测装置,应用于检测设备,所述装置包括:获取单元510,第一确定单元520,第二确定单元530。
其中,所述获取单元510,用于从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
所述第一确定单元520,用于确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
所述第二确定单元530,用于如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
在本申请中,所述第一确定单元520具体用于:
解析所述响应报文获取所述待防护设备针对所述访问客户端的响应时间;
基于获取到的所述响应时间与所述待防护设备针对所述访问客户端的上一次的响应时间,计算响应时间差;
判断所述响应时间差是否超过预设阈值;
如果所述响应时间差超过预设阈值,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
所述第一确定单元520,进一步用于:
解析所述响应报文,查找所述响应报文中是否携带对应于所述目标攻击类型的恶意行为特征;
如果所述响应消息中存在对应于所述目标攻击类型的恶意行为特征,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
另外,所述装置中还包括:
发送单元,用于当确定所述待防护设备遭受外部攻击,并且存在与所述目标攻击类型对应的系统漏洞时,则向所述安全防护设备发送对应的通知消息,以使安全防护设备生成对应的防护规则针对与所述目标攻击类型对应的外部攻击进行安全防护。
其中,在所述装置中,所述目标攻击类型包括SQL注入攻击以及XSS攻击。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
- 还没有人留言评论。精彩留言会获得点赞!