[发明专利]一种入侵防御方法、系统及相关设备

说明书

本发明实施例提供了一种入侵防御方法、系统及相关设备，用于防止基于RPC协议的分片数据、父子连接绕过安全检测导致的安全风险，提高了网络的安全性。本发明实施例方法包括：获取待检测的RPC协议数据；判断所述待检测的RPC协议数据中是否包含分片数据；若包含分片数据，则将分片数据汇总；将汇总后的分片数据发送至入侵检测系统进行检测。

技术领域

本发明涉及入侵防御技术领域，尤其涉及一种入侵防御方法、系统及相关设备。

背景技术

RPC(Remote Procedure Call)协议用于远程过程调用。通常支持RPC协议的服务在系统中的权限都是比较大(比如NFS文件服务器)，如果权限被拿下后果不堪设想，所以针对RPC协议数据的安全检测尤为重要。

目前业内的IPS(Intrusion Prevention System，入侵防御系统)引擎针对此类RPC协议数据的检测方式比较单一，往往是通过提取RPC协议对应的攻击特征来定制Snort(入侵检测)规则进行拦截。

基于Snort规则进行入侵检测拦截，对于一般的RPC攻击是非常有效的。但是RPC协议本身存在两类可以使规则失效的方法：1.协议本身支持分片传输；2.RPC存在父子连接，子连接端口可变(跨连接问题)。如果攻击方将RPC 协议数据进行分片，攻击特征就会被割裂，导致Snort规则检出失败。又或者攻击方使用父子连接变更不同的端口，那么端口限定的Snort规则就无法检出攻击数据。

为解决上述任一问题，有必要提出新的入侵防御方法。

发明内容

本发明实施例提供了一种入侵防御方法、系统及相关设备，用于防止基于RPC协议的分片数据、父子连接绕过安全检测导致的安全风险，提高了网络的安全性。

本发明实施例第一方面提供了一种入侵防御方法，可包括：

获取待检测的RPC协议数据；

判断所述待检测的RPC协议数据中是否包含分片数据；

若包含分片数据，则将分片数据汇总；

将汇总后的分片数据发送至入侵检测系统进行检测。

可选的，作为一种可能的实施方式，本发明实施例中获取待检测的RPC 协议数据，可以包括：

接收待检测的应用层协议数据；

根据预设的规则判断所述待检测应用层协议数据是否为RPC协议数据，若是，则存储待检测的RPC协议数据。

可选的，作为一种可能的实施方式，本发明实施例中，若根据预设的规则判断待检测应用层协议数据不是RPC协议数据，还可以包括：

读取所述待检测应用层协议数据的四元组数据；

判断预设关联表中是否存在所述四元组数据关联的五元组数据；

若存在关联的五元组数据，则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接，并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法还可以包括：

判断当前存储的RPC协议数据是否包含服务调用指令数据；

若包含服务调用指令数据，则从当前存储的RPC协议数据中解析出子连接的目的端口号；

将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中，其中，所述子连接的目的端口号为目标四元组数据中的目的端口。