[发明专利]一种特征码验证平台装置及特征码验证方法

说明书

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种特征码验证平台装置及特征码验证方法。

背景技术

入侵检测/防御系统(Intrusion Detection Systems/Intrusion Prevention System，IDS/IPS)是目前主要的企业级信息安全防护系统之一，在保证企业网络安全、监视网络状态、发现各种网络攻击企图并告警方面发挥了重要的作用。入侵检测/防御系统通过对网络数据流量进行检测和分析，参照自身特征码(Signature)和规则库，来发现网络各种行为，并对特定行为采取预定义动作，以保护网络系统资源的机密性、完整性和可用性。

作为入侵检测/防御系统的核心之一，特征码和规则库扮演着重要角色。好的特征码和规则库不仅可以识别大部分的已知威胁和漏洞，甚至可以对部分未知安全漏洞和威胁能进行提前预警。而一个设计的较差的特征码和规则库则可能对当前网络产生较大的影响，轻则产生大量的虚警信息，重则可能导致当前网络的阻塞和瘫痪。

由于各种新的病毒、漏洞及威胁层出不穷，这要求入侵检测/防御系统厂商能及时、快速的更新其特征码和规则库，以保持其对最新的安全威胁的识别能力，特征码和规则库的更新速度也能从一定程度上反映出一个入侵检测/防御系统厂商的技术实力及水平。

现有的对于特征码的验证方式，主要是通过在被测试的入侵IDS/IPS设备上部署特征码规则来进行，具体过程如下：当某应用或协议的特定的特征码提取开发完成后，技术人员将对应的特征码编译进入侵IDS/IPS的主特征库中(该特征码在主特征库中以特征码规则的形式存在)，并根据主特征库中该特征码规则特定的触发条件来搭建一个针对性的网络环境，通过入侵IDS/IPS对该特定数据流或包的相应动作，比如日志、丢包等操作的来验证特征码规则的有效性和正确性，即验证了特征码的有效性和正确性。

这种方式需要在真实的IDS/IPS设备上完成特征码规则的验证，并且由专业的技术人员将特征码编译进主特征库，并需要按照待验证的特征码的触发条件来搭建对应的测试网络环境，完成测试需要配置真实的IDS/IPS设备和相关技术人员，并且从特征码提取到验证完毕的时间跨度较变大，测试效率较低。另外，该方法无法针对某一特定应用程序的数据来进行精确的监控，由于IPS/IDS设备是对整个流经网络的数据来进行分析，无法对某主机中特定的应用程序的数据来进行针对性的特征码验证。

发明内容

本发明实施例提供了一种特征码验证平台装置及特征码验证方法，用以实现特征码的自动验证，解决现有特征码验证效率较低的问题。

基于上述问题，本发明实施例提供的一种特征码验证平台装置，包括：

数据包拦截模块，用于对测试主机中各应用程序和/或各协议层通信的数据包进行拦截；

规则验证模块，用于按照设定的验证策略，对拦截的数据包中需要使用特征码进行监控的应用程序和/或协议层的数据包，执行所述验证策略设定的操作，并生成该操作对应的日志；

日志处理模块，用于对各操作对应的日志分别进行处理并输出，以确定所述待测特征码是否有效。

本发明实施例提供的一种特征码验证方法，包括：

对测试主机中各应用程序和/或各协议层通信的数据包进行拦截；

按照设定的验证策略，对拦截的数据包中需要使用特征码进行监控的应用程序和/或协议层的数据包，执行所述验证策略设定的操作，并生成该操作对应的日志；

对各操作对应的日志分别进行处理并输出，以确定所述待测特征码是否有效。

本发明实施例的有益效果包括：

本发明实施例提供的特征码验证平台装置及特征码验证方法，对测试主机中的各应用程序和/或各协议层的通信的数据包进行拦截，然后对拦截的数据包中符合待测特征码的数据包，按照设定的验证策略执行对应的操作，并生成日志并输出，输出的日志，可以作为判断待测特征码是否有效的依据，本发明实施例并未使用实际的IPS/IDS规则验证设备，也不需要按照现有技术那样，将特征码进行编译进入主特征库，并根据主特征库中该特征码规则特定的触发条件搭建针对性的网络环境，本发明实施例利用测试主机中的特征码验证平台装置，直接对符合特征码的数据包进行匹配，自动执行预设的各种操作并输出日志，大大简化了特征码的验证过程，显著地提高特征码验证的效率，同时由于不需要使用实际的IPS/IDS规则验证设备以及搭建实际的网络环境，可以降低特征码验证的成本。

附图说明