[发明专利]一种入侵防御方法、系统及相关设备

说明书

本发明实施例提供了一种入侵防御方法、系统及相关设备，用于实现待检测流量数据的多维度检测，提高网络的安全性。本发明实施例方法包括：基于至少两层通信协议解析待检测流量数据，得到各个通信协议层对应的报文数据；将解析得到的报文数据分别与各自所属的通信协议层对应的弱特征数据库进行匹配；根据匹配结果计算各个通信协议层的风险值；根据各个通信协议层的风险值判断所述待检测流量数据是否存在安全风险。

技术领域

本发明涉及入侵防御技术领域，尤其涉及一种入侵防御方法、系统及相关设备。

背景技术

目前业内的IPS(Intrusion Prevention System，入侵防御系统)引擎针对网络通信协议数据的检测方式比较单一，往往是通过提取网络通信协议对应的单一维度的攻击特征来定制Snort(入侵检测)规则进行拦截。

一般一条Snort规则只从单一维度的漏洞进行分析，而网络通信协议数据的特征往往分布在多个维度，如果恶意报文某一维度的特征发生绕过变形，非常容易绕过Snort规则拦截。

为提高网络通信协议数据的检测准确性，有必要提出新的入侵防御方法。

发明内容

本发明实施例提供了一种入侵防御方法、系统及相关设备，用于实现待检测流量数据的多维度检测，提高网络的安全性。

本发明实施例第一方面提供了一种入侵防御方法，可包括：

基于至少两层通信协议解析待检测流量数据，得到各个通信协议层对应的报文数据；

将解析得到的报文数据分别与各自所属的通信协议层对应的弱特征数据库进行匹配；

根据匹配结果计算各个通信协议层的风险值；

根据各个通信协议层的风险值判断所述待检测流量数据是否存在安全风险。

可选的，作为一种可能的实施方式，本发明实施例中，所述根据匹配结果计算各个通信协议层的风险值，可包括：

计算每个通信协议层对应的报文数据匹配成功的所有弱特征的权重累计值作为风险值。

可选的，作为一种可能的实施方式，本发明实施例中，所述根据各个通信协议层对应的检测结果判断所述待检测流量数据是否存在安全风险，可包括：

判断是否存在目标通信协议层，所述目标通信协议层对应的报文数据的风险值超过检出阈值；

若存在目标通信协议层，则判定所述待检测流量数据存在安全风险。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法还可以包括：

判断所述待检测流量数据匹配成功的弱特征是否包含预设组合，若包含，则判定所述待检测流量数据存在安全风险。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法还可以包括：

判断各个通信协议层对应的报文数据的风险值是否均大于各自的预设阈值，若均大于，则判定所述待检测流量数据存在安全风险。

可选的，作为一种可能的实施方式，本发明实施例中，所述至少两层通信协议包括网际互连协议IP协议、传输控制协议TCP协议以及应用程序协议中的两种或三种。

可选的，作为一种可能的实施方式，本发明实施例中，所述基于至少两层通信协议解析待检测流量数据，可包括：

依次解析IP协议层数据报文、TCP协议层数据报文、HTTP协议头部数据报文以及HTTP协议有效载荷。

本发明实施例第二方面提供了一种入侵防御系统，可包括：