[发明专利]一种入侵防御方法、系统及相关设备有效
申请号: | 202011424263.7 | 申请日: | 2020-12-08 |
公开(公告)号: | CN112600816B | 公开(公告)日: | 2022-09-30 |
发明(设计)人: | 冯学大 | 申请(专利权)人: | 深信服科技股份有限公司 |
主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L67/133 |
代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 王兆林 |
地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 入侵 防御 方法 系统 相关 设备 | ||
1.一种入侵防御方法,其特征在于,包括:
接收待检测的应用层协议数据;
若根据预设的规则判断所述待检测应用层协议数据为RPC协议数据,则存储待检测的RPC协议数据;
若根据预设的规则判断待检测应用层协议数据不是RPC协议数据,读取所述待检测应用层协议数据的四元组数据;判断预设关联表中是否存在所述四元组数据关联的五元组数据;若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据;若是,则存储待检测的RPC协议数据;
判断所述待检测的RPC协议数据中是否包含分片数据;
若包含分片数据,则将分片数据汇总;
将汇总后的分片数据发送至入侵检测系统进行检测。
2.根据权利要求1所述的方法,其特征在于,还包括:
判断当前存储的RPC协议数据是否包含服务调用指令数据;
若包含服务调用指令数据,则从当前存储的RPC协议数据中解析出子连接的目的端口号;
将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,其中,所述子连接的目的端口号为目标四元组数据中的目的端口。
3.根据权利要求2所述的方法,其特征在于,所述将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中,包括:
计算目标四元组数据与当前数据连接的五元组数据的哈希表;
将所述目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。
4.根据权利要求1或2所述的方法,其特征在于,还包括:
当判定待检测应用层协议数据的协议类型之后,为所述待检测的应用层协议数据添加流量标签,以指示所述待检测的应用层协议数据的协议种类。
5.一种入侵防御系统,其特征在于,包括:
接收单元,用于接收待检测的应用层协议数据;
判断单元,用于若根据预设的规则判断所述待检测应用层协议数据为RPC协议数据,则存储待检测的RPC协议数据;
第二处理模块,用于若根据预设的规则判断所述待检测应用层协议数据不为RPC协议数据,则读取所述待检测应用层协议数据的四元组数据;
第三处理模块,用于判断预设关联表中是否存在所述四元组数据关联的五元组数据,若存在关联的五元组数据,则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接,并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据;
第一处理模块,用于判断所述待检测的RPC协议数据中是否包含分片数据;
汇总模块,若包含分片数据,则将分片数据汇总;
发送模块,用于将汇总后的分片数据发送至入侵检测系统进行检测。
6.一种计算机装置,其特征在于,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至4中任意一项所述方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至4中任意一项所述方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011424263.7/1.html,转载请声明来源钻瓜专利网。