[发明专利]一种基于响应报文的入侵检测方法和装置

说明书

本申请提供一种基于响应报文的入侵检测方法和装置，应用于检测设备。所述方法包括：安全防护设备上获取所述待防护设备返回至访问客户端的响应报文；确定所述响应报文是否匹配预设的错误消息；其中，所述预设的错误消息与预设的目标攻击类型对应；如果所述响应报文匹配预设的错误消息，确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击，并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。采用本申请提供的技术方案，可以提高防护设备的防护能力。

技术领域

本申请涉及网络通信技术领域，特别涉及一种基于响应报文的入侵检测方法和装置。

背景技术

随着网络的发展，黑客攻击事件越来越多，黑客的攻击方式也越来越多。为了提供更加安全的网络环境给用户，提高对黑客攻击行为的检测与加强对黑客攻击行为的防御显得至关重要。

发明内容

有鉴于此，本申请提供一种基于响应报文的入侵检测方法和装置，应用于检测设备，用于提高安全防护设备的防护能力。

具体地，本申请是通过如下技术方案实现的：

一种基于响应报文的入侵检测方法，应用于检测设备，所述检测设备与安全防护设备互为镜像；所述安全防护设备与待防护设备相连，用于对所述待防护设备进行安全防护，包括：

从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文；

确定所述响应报文是否匹配预设的错误消息；其中，所述预设的错误消息与预设的目标攻击类型对应；

如果所述响应报文匹配预设的错误消息，确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击，并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。

一种基于响应报文的入侵检测装置，应用于检测设备，所述检测设备与安全防护设备互为镜像；所述安全防护设备与待防护设备相连，用于对所述待防护设备进行安全防护，包括：

获取单元，用于从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文；

第一确定单元，用于确定所述响应报文是否匹配预设的错误消息；其中，所述预设的错误消息与预设的目标攻击类型对应；

第二确定单元，用于如果所述响应报文匹配预设的错误消息，确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击，并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。

由于现有技术中，安全防护设备对于无法识别的攻击报文进行了转发，并对待防护设备返回的响应报文不进行检测，因此安全防护设备无法确定待防护设备是否存在漏洞，本申请提供的技术方案中，检测设备就是弥补安全防护设备的缺点，对待防护设备的响应报文进行检测，当待防护设备存在漏洞时，检测设备可以向安全防护设备发送信息，通知安全防护设备，待防护设备存在漏洞，从而使安全防护设备生成对应的防护规则，对待防护设备进行防护。

附图说明

图1为本申请一示例性实施例示出的现有技术中一种入侵检测方法的组网架构图；

图2为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法；

图3为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法的组网架构图；

图4为本申请一种基于响应报文的入侵检测装置所在检测设备的一种硬件结构图；

图5为本申请一示例性实施例示出的一种基于响应报文的入侵检测装置。

具体实施方式