[发明专利]攻击数据的安全隔离方法、装置、计算机设备及存储设备

说明书

本发明提供一种攻击数据的安全隔离方法、装置、计算机设备及计算机存储介质，所述方法包含以下步骤：获取按照预设协议传输的待测数据包，根据所述预设协议为所述待测数据包设置优先级；基于所述优先级对所述待测数据包执行解析，根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包；对所述攻击数据包进行隔离。本发明根据不同的协议为待测数据包设置优先级，按照优先级的顺序对待测数据包进行检测，同时兼顾数据包检测的完整性与及时性。

技术领域

本发明涉及安全检测技术领域，特别涉及一种攻击数据的安全隔离方法、装置、计算机设备及存储设备。

背景技术

隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道。隐蔽信道在公开信道的掩盖下，采用特殊的编码方式，传输非法或私密的信息而不被人发现。

例如，许多防火墙和网络系统认为PING包是良性网络流量，并允许其顺利地通过，其实现思想是使用ICMP协议的回应应答报文(type0)和ICMP协议的回应请求报文(type8)的数据字段来建立一个双向的命令通道。但实际上该路径存在一定的风险，黑客能通过ICMP协议的缺陷，将需要窃取的数据分片封装到ICMP协议的payload中，通过不断的发送ping包窃取信息。

同样原理，黑客也可以利用DNS协议和HTTP协议的缺陷，将需要窃取的数据分片封装到DNS协议或者HTTP协议的Payload中，通过不断发送DNS请求或者HTTP请求，窃取信息。

基于上述几种协议的隐蔽信道是安全通信过程中的重大威胁。现有技术在检测上述隐蔽信道中的攻击数据时，处理方式比较单一，难以全面完整地监测到所有攻击数据。同时由于DNS请求和HTTP请求的高发生频率，利用现有技术对DNS请求和HTTP请求进行实时监测将会消耗大量的系统资源，严重影响计算机设备的正常运行。

因此，如何提供一种覆盖范围广、识别准确率高并且不影响系统运行性能的攻击检测方案，成为本领域技术人员亟待解决的问题。

发明内容

本发明的目的是提供一种攻击数据的安全隔离方法、装置、计算机设备及存储设备，以解决现有技术中存在的问题。

为实现上述目的，本发明提供一种攻击数据的安全隔离方法，包含以下步骤：

获取按照预设协议传输的待测数据包，根据所述预设协议为所述待测数据包设置优先级；

基于所述优先级对所述待测数据包执行解析，根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包；

对所述攻击数据包进行隔离。

根据本发明提供的攻击数据的安全隔离方法，其中，所述获取按照预设协议传输的待测数据包，根据所述预设协议为所述待测数据包设置优先级的步骤包括：

获取不同时间段内按照预设协议传输的待测数据包，将属于不同时间段的待测数据包分别存储到不同的缓存空间；

为每个缓存空间内的待测数据包分别设置优先级，所述优先级与所述预设协议相关联。

根据本发明提供的攻击数据的安全隔离方法，其中，所述基于所述优先级对所述待测数据包执行解析，根据解析结果从所述待测数据包中确定出具有安全隐患的攻击数据包的步骤包括：

按照所述优先级依次解析每个缓存空间内的待测数据包；

从所述待测数据包中确定出与所述预设协议的标准报文格式不符的可疑数据包；

从所述可疑数据包中确定出具有安全隐患的攻击数据包。

根据本发明提供的攻击数据的安全隔离方法，其中，所述从所述可疑数据包中确定出具有安全隐患的攻击数据包的步骤包括：