本发明专利技术公开了一种基于对象分析的攻击识别方法及装置。其中的方法包括:对获取的消息进行协议分析,解析获得一个或多个对象的数据;针对对象的数据,利用多模库进行多模匹配,如果匹配到针对该对象的关键字,则进行后续步骤,否则确定不存在攻击;从特征库中匹配是否存在针对该对象的、与匹配的关键字具有映射关系的特征表达式,如果没有匹配到特征表达式,则确定不存在攻击,否则进行后续步骤;基于针对该对象的、与匹配的关键字对应的特征表达式,对该对象的数据进行规则匹配,如果匹配成功,则确定存在攻击,否则确定不存在攻击。本发明专利技术对于安全数据在第一层次或第二层次即可保证安全过滤,而不必进行繁琐的字符过滤,检测效率有显著提高。
【技术实现步骤摘要】
本专利技术涉及网络安全
,具体涉及一种基于对象分析的攻击识别方法及装置。
技术介绍
网络攻击,是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。攻击分为主动攻击和被动攻击。主动攻击是指包含攻击者访问所需要信息的故意行为。被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会察觉到。被动攻击包括:1、窃听:包括键击记录、网络监听、非法访问数据、获取密码文件;2、欺骗:包括获取口令、恶意代码、网络欺骗;3、拒绝服务:包括导致异常型、资源耗尽型、欺骗型;4、数据驱动攻击:包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。现有攻击的一种识别方案是基于正则表示进行的。基于正则表达式的攻击识别方案的一般步骤为:针对攻击构造关键字符;构造正则表达式;判断是否有与正则表达式匹配得的数据,如果有,则确定存在攻击。正则表达式是基于字符的逻辑过滤,检测效率低。以对http请求消息进行攻击检测为例,是对所有包含的字符进行正则表达式匹配,随着攻击特征以及数据请求量两方面增长,造成特征库特别庞大,而正则表达式匹配性能并非线性增长,而是n*n的增长关系,效率会降到很低。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的基于对象分析的攻击识别方法及装置。依据本专利技术的一个方面,提供一种一种基于对象分析的攻击识别方法,包括:对获取的消息进行协议分析,解析获得一个或多个对象的数据;针对所述对象的数据,利用多模库进行多模匹配,如果匹配到针对该对象的关键字,则进行后续步骤,否则确定不存在攻击;从特征库中匹配是否存在针对该对象的、与匹配的关键字具有映射关系的特征表达式,如果没有匹配到特征表达式,则确定不存在攻击,否则进行后续步骤;基于所述针对该对象的、与匹配的关键字对应的特征表达式,对该对象的数据进行规则匹配,如果匹配成功,则确定存在攻击,否则确定不存在攻击。优选的,还包括:建立特征库和多模库,其中,所述特征库包括多条特征表达式,每条特征表达式具有对象的属性;所述多模库包括多条关键字,每条关键字具有对象的属性。优选的,所述多模库中的关键字与所述特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字与特征表达式具有相同的属性。优选的,所述多模库根据所述特征库构建,每一条关键字代表一个模式。优选的,确定一条关键字是否为针对所述对象的关键字的方式为:确定该关键字的属性是否为所述对象;确定一条特征表达式是否为针对所述对象的特征表达式的方式为:确定该特征表达式的属性是否为所述对象。优选的,在构建所述特征库过程中,基于攻击的类型,按照主类、子类和规则的方式组织所述多条特征表达式;在构架所述多模库过程中,基于攻击的类型,按照主类、子类和规则的方式组织所述多条关键字。优选的,所述消息为应用层协议消息;所述应用层协议包括TFTP、HTTP、SNMP、FTP、SMTP、DNS或Telnet协议。优选的,所述消息是指http协议消息;所述对象是指http协议消息的预定义字段,包括url、reference、参数、cookie。优选的,采用多模匹配算法进行所述多模匹配;所述多模匹配算法为ACBM算法。依据本专利技术的另一个方面,提供一种基于对象分析的攻击识别装置,包括:消息获取单元,用于获取消息;消息解析单元,用于对获取的消息进行协议分析,解析获得一个或多个对象的数据;多模匹配单元,用于针对所述对象的数据,利用多模库进行多模匹配;映射确定单元,用于从特征库中匹配是否存在针对该对象的、与匹配的关键字具有映射关系的特征表达式;规则匹配单元,用于基于所述针对该对象的、与匹配的关键字对应的特征表达式,对该对象的数据进行规则匹配;结果确定单元,用于根据多模匹配单元、映射确定单元及规则匹配单元的确认结果确定是否存在攻击,其中,如果多模匹配单元未匹配到针对该对象的关键字、所述映射确定单元没有匹配到特征表达式或者所述规则匹配单元没有匹配成功,则确定不存在攻击,如果所述规则匹配单元匹配成功,则确定存在攻击。优选的,所述装置还包括:特征库构建单元,用于构建所述特征库;多模库构建单元,用于构建所述多模库;其中,所述特征库包括多条特征表达式,每条特征表达式具有对象的属性;所述多模库包括多条关键字,每条关键字具有对象的属性。优选的,所述多模库中的关键字与特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字与特征表达式具有相同的属性。优选的,所述多模库根据所述特征库构建,每一条关键字代表一个模式。优选的,所述映射确定单元确定一条关键字是否为针对所述对象的关键字的方式为:确定该关键字的属性是否为所述对象;所述规则匹配单元确定一条特征表达式是否为针对所述对象的特征表达式的方式为:确定该特征表达式的属性是否为所述对象。优选的,所述特征库构建单元,在构建所述特征库过程中,用于基于攻击的类型,按照主类、子类和规则的方式组织所述多条特征表达式;所述多模库构建单元,在构架所述多模库过程中,用于基于攻击的类型,按照主类、子类和规则的方式组织所述多条关键字。优选的,所述消息获取单元获取的所述消息为应用层协议消息;所述应用层协议包括TFTP、HTTP、SNMP、FTP、SMTP、DNS或Telnet协议。优选的,所述消息获取单元获取的所述消息是指http协议消息;所述消息解析单元获得的所述对象是指http协议消息的预定义字段,包括url、reference、参数、cookie。优选的,所述多模匹配单元采用多模匹配算法进行所述多模匹配;所述多模匹配算法为ACBM算法。可见,由于本专利技术对数据进行多模过滤、特征过滤及字符匹配三个层次的过滤,对于安全数据在第一层次或第二层次即可保证安全过滤,而不必进行繁琐的字符过滤。在第一层次过滤中,过滤掉所有的安全请求数据;第二层次过滤中,对有嫌疑的数据做一次初步的过滤;第三层次过滤中,消息有攻击行为的可能行就非常大,用特征表达式来确定。采用本专利技术实施例,通过第一层次能够过滤掉绝大部分的数据,第二层次和第三层次过滤中,处理的请求数据大概在很小(据统计约为10%)的比例。也就是,不需要对绝大部分的正常数据进行特征正则表达式匹配处理。由此,检测效率有显著提高。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技本文档来自技高网...
【技术保护点】
一种基于对象分析的攻击识别方法,其特征在于,包括:对获取的消息进行协议分析,解析获得一个或多个对象的数据;针对所述对象的数据,利用多模库进行多模匹配,如果匹配到针对该对象的关键字,则进行后续步骤,否则确定不存在攻击;从特征库中匹配是否存在针对该对象的、与匹配的关键字具有映射关系的特征表达式,如果没有匹配到特征表达式,则确定不存在攻击,否则进行后续步骤;基于所述针对该对象的、与匹配的关键字对应的特征表达式,对该对象的数据进行规则匹配,如果匹配成功,则确定存在攻击,否则确定不存在攻击。
【技术特征摘要】
1.一种基于对象分析的攻击识别方法,其特征在于,包括:
对获取的消息进行协议分析,解析获得一个或多个对象的数据;
针对所述对象的数据,利用多模库进行多模匹配,如果匹配到针对该对
象的关键字,则进行后续步骤,否则确定不存在攻击;
从特征库中匹配是否存在针对该对象的、与匹配的关键字具有映射关系
的特征表达式,如果没有匹配到特征表达式,则确定不存在攻击,否则进行
后续步骤;
基于所述针对该对象的、与匹配的关键字对应的特征表达式,对该对象
的数据进行规则匹配,如果匹配成功,则确定存在攻击,否则确定不存在攻
击。
2.如权利要求1所述的方法,其特征在于,还包括:建立特征库和多模
库,其中,所述特征库包括多条特征表达式,每条特征表达式具有对象的属
性;所述多模库包括多条关键字,每条关键字具有对象的属性。
3.如权利要求2所述的方法,其特征在于,所述多模库中的关键字与所
述特征库中的一条或多条特征表达式具有映射关系,具有映射关系的关键字
与特征表达式具有相同的属性。
4.如权利要求2所述的方法,其特征在于,所述多模库根据所述特征库
构建,每一条关键字代表一个模式。
5.如权利要求2所述的方法,其特征在于,
确定一条关键字是否为针对所述对象的关键字的方式为:确定该关键字
的属性是否为所述对象;
确定一条特征表达式是否为针对所述对象的特征表达式的方式为:确定
该特征表达式的属性是否为所述对象。
6.如权利要求2所述的方法,其特征在于,在构建所述特征库过程中,
基于攻击的类型,按照主类、子类和规则...
【专利技术属性】
技术研发人员:姚熙,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。