入侵報文的防護方法及裝置與流程

2023-06-02 00:59:01 1

本申請涉及通信
技術領域：
，尤其涉及一種入侵報文的防護方法及裝置。
背景技術：
：隨著計算機網絡的飛速發展，網絡在帶給人們巨大便利的同時也帶來了各種安全問題。IPS(IntrusionPreventionSystem，入侵防護系統)是一種能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全技術，它能夠中斷、調整或隔離一些異常或具有傷害性的網絡資料傳輸行為。相關技術中，當接收到報文時，IPS可以依賴入侵特徵庫對該報文進行檢測和防護，即可以通過將該報文與入侵特徵庫中預存的入侵規則做匹配來檢測和防護該報文。由於入侵特徵庫中的入侵規則一般為已經被發現或公布了的入侵規則，因此根據入侵特徵庫對報文進行檢測和防護的方法存在滯後性，無法檢測出未知的入侵，更無法防護未知的入侵。技術實現要素：有鑑於此，本申請提供一種入侵報文的防護方法及裝置，來解決相關技術中無法防護未知入侵的問題。具體地，本申請是通過如下技術方案實現的：根據本申請實施例的第一方面，提供一種入侵報文的防護方法，所述方法應用於網絡設備，所述網絡設備與入侵防護系統IPS設備和伺服器相連，所述網絡設備上預置了與所述伺服器上的系統互為鏡像的若干模擬系統，所述方法包括：接收所述IPS設備發送的由所述IPS設備完成初步過濾的報文；在接收到所述IPS設備發送的報文後，監測所述若干模擬系統的運行狀態；當所述若干模擬系統中任一模擬系統出現狀態異常時，阻斷導致該模擬系統出現狀態異常的報文。可選的，所述阻斷導致該模擬系統出現異常的報文包括：獲取導致該模擬系統出現狀態異常的報文的報文屬性特徵；丟棄符合所述報文屬性特徵的報文。可選的，所述方法還包括：將導致該模擬系統出現異常的報文作為入侵樣本進行記錄；針對所述入侵樣本進行分析獲取報文入侵特徵；將所述報文入侵特徵實時更新至所述IPS設備的入侵特徵庫中。可選的，所述方法還包括：當所述若干模擬模塊均未出現狀態異常時，將所述報文轉發至所述伺服器；或者，將所述報文返回至所述IPS設備，以由所述IPS設備將所述報文轉發至所述伺服器。可選的，所述方法還包括：當所述若干模擬系統中任一模擬系統出現異常時，立即重啟該模擬系統。根據本申請實施例的第二方面，提供一種入侵報文的防護裝置，所述裝置應用於網絡設備，所述網絡設備與入侵防護系統IPS設備和伺服器相連，所述網絡設備上預置了與所述伺服器上的系統互為鏡像的若干模擬系統，所述裝置包括：接收單元，用於接收所述IPS設備發送的由所述IPS設備完成初步過濾的報文；監測單元，用於在接收到所述IPS設備發送的報文後，監測所述若干模擬系統的運行狀態；阻斷單元，用於當所述若干模擬系統中任一模擬系統出現狀態異常時，阻斷導致該模擬系統出現狀態異常的報文。可選的，所述阻斷單元具體用於：獲取導致該模擬系統出現狀態異常的報文的報文屬性特徵；丟棄符合所述報文屬性特徵的報文。可選的，所述裝置還包括：記錄單元，用於將導致該模擬系統出現異常的報文作為入侵樣本進行記錄；分析單元，用於針對所述入侵樣本進行分析獲取報文入侵特徵；更新單元，用於將所述報文入侵特徵實時更新至所述IPS設備的入侵特徵庫中。可選的，所述裝置還包括：轉發單元，用於當所述若干模擬模塊均未出現狀態異常時，將所述報文轉發至所述伺服器；或者，將所述報文返回至所述IPS設備，以由所述IPS設備將所述報文轉發至所述伺服器。可選的，所述裝置還包括：重啟單元，用於當所述若干模擬系統中任一模擬系統出現異常時，立即重啟該模擬系統。在本申請中，網絡設備可以接收與其相連的IPS設備發送的由該IPS設備完成初步過濾的報文，並在完成該報文的接收後，監測預設的與伺服器上的系統互為鏡像的若干模擬系統的運行狀態，當該若干模擬系統中任一模擬系統出現狀態異常時，網絡設備可以阻斷導致該模擬系統出現狀態異常的報文。在本申請中，由於預設的模擬系統為與伺服器上的系統互為鏡像的模擬系統，因此，當接收到導致預設的模擬系統出現狀態異常的報文時，可以確定該報文會同樣導致伺服器上對應的系統出現狀態異常。故，應用本申請可以通過阻斷上述導致預設的模擬系統出現狀態異常的報文來防護未知的入侵。附圖說明圖1是應用相關技術的一個應用場景圖；圖2是本申請示出的一種入侵報文的防護方法的實施例流程圖；圖3是本申請示出的報文的分析圖；圖4是入侵報文的防護方法的一個應用場景圖；圖5是入侵報文的防護方法的另一個應用場景圖；圖6是本申請入侵報文的防護裝置所在設備的一種硬體結構圖；圖7是本申請入侵報文的防護裝置的一個實施例框圖。具體實施方式這裡將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術語是僅僅出於描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數形式的「一種」、「所述」和「該」也旨在包括多數形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語「和/或」是指並包含一個或多個相關聯的列出項目的任何或所有可能組合。應當理解，儘管在本申請可能採用術語第一、第二、第三等來描述各種信息，但這些信息不應限於這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離本申請範圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決於語境，如在此所使用的詞語「如果」可以被解釋成為「在……時」或「當……時」或「響應於確定」。參見圖1，為應用相關技術的一個應用場景圖。圖1中，IPS(IntrusionPreventionSystem，入侵防護系統)設備可以位於客戶端和伺服器之間，並對客戶端發送至伺服器的報文進行檢測和防護。其中，IPS設備上可以預設入侵特徵庫，當IPS設備對報文進行檢測時，可以基於該報文的特徵與入侵特徵庫中的入侵特徵的匹配結果來確定該報文是否為入侵報文，並在該報文為入侵報文時，對該報文進行阻斷。然而，入侵特徵庫中的入侵特徵一般為已知的入侵行為的特徵，當某一入侵行為因存在時間較短等原因還未被識別為入侵行為時，入侵特徵庫中不會包含該入侵特徵。此時，當IPS設備基於入侵特徵庫對該入侵報文進行檢測時，會因為未在入侵特徵庫中匹配到該入侵報文的特徵而確定該入侵報文為正常報文，並放行該入侵報文至伺服器，從而導致伺服器出現異常。有鑑於此，本申請提供一種入侵報文的防護方法，來解決相關技術無法防護未知入侵的問題。在本申請中，網絡設備可以接收與其相連的IPS設備發送的由該IPS設備完成初步過濾的報文，並在完成該報文的接收後，監測預設的與伺服器上的系統互為鏡像的若干模擬系統的運行狀態，當該若干模擬系統中任一模擬系統出現狀態異常時，網絡設備可以阻斷導致該模擬系統出現狀態異常的報文。在本申請中，由於預設的模擬系統為與伺服器上的系統互為鏡像的模擬系統，因此，當接收到導致預設的模擬系統出現狀態異常的報文時，可以確定該報文會同樣導致伺服器上對應的系統出現狀態異常。故，應用本申請可以通過阻斷上述導致預設的模擬系統出現狀態異常的報文來防護未知的入侵，從而可以解決相關技術無法防護未知入侵的問題。參見圖2，是本申請示出的一種入侵報文的防護方法的實施例流程圖，該方法應用於網絡設備，包括以下步驟：步驟201：接收所述IPS設備發送的由所述IPS設備完成初步過濾的報文。在本申請中，上述網絡設備可以與IPS設備和伺服器相連，其中，該網絡設備可以通過IPS設備與伺服器相連或位於IPS設備與伺服器之間。該網絡設備上可以預置與伺服器上的系統互為鏡像的若干模擬系統，當該網絡設備接收到會導致該若干模擬系統中的任一模擬系統出現狀態異常的報文時，可以確定該報文為入侵報文，且當伺服器接收該報文時，該報文會導致伺服器上對應的系統出現狀態異常。在本申請中，當IPS設備接收到報文時，IPS設備可以先基於入侵特徵庫對該報文進行檢測，以完成對發送至該網絡設備的報文的初步過濾。其中，關於IPS設備基於入侵特徵庫對報文進行檢測的技術為現有技術，因此，本申請在此不再贅述。在完成對報文的初步過濾後，上述網絡設備可以接收到IPS設備發送的由該IPS設備完成初步過濾的報文。步驟202：在接收到所述IPS設備發送的報文後，監測所述若干模擬系統的運行狀態。在本申請中，上述網絡設備在接收到IPS設備發送的報文後，可以監測預設的若干模擬系統的運行狀態。在示出的一個實施例中，上述網絡設備在接收到IPS設備發送的報文後，可以根據預設的規則將該報文分發至若干模擬系統中的某一模擬系統中。其中，該預設的規則可以為網絡設備默認的規則，如根據模擬系統的編號按照從小到大的順序分發，並在某一編號的模擬系統出現異常時，將該報文分發至下一編號的模擬系統；當然，上述預設的規則也可以由用戶根據實際情況進行自定義設置，本申請對上述預設的規則不做限制，理論上只要滿足將完成初步過濾的報文分發至上述若干模擬系統中某一運行正常的模擬系統即可。將上述報文分發至若干模擬系統中的某一模擬系統後，網絡設備可以檢測若干模擬系統的運行狀態。步驟203：當所述若干模擬系統中任一模擬系統出現狀態異常時，阻斷導致該模擬系統出現狀態異常的報文。當網絡設備檢測到若干模擬系統中的任一模擬系統出現狀態異常時，可以確定導致該模擬系統出現狀態異常的報文為入侵報文，此時網絡設備可以對該報文進行阻斷。在一個實施例中，網絡設備在對上述入侵報文進行阻斷的過程中，可以先獲取該報文的報文屬性特徵，其中，該報文屬性特徵可以包括五元組信息，即該報文的源IP位址、目的IP位址、源埠、目的埠以及傳輸協議。在獲取該報文的報文屬性特徵後，網絡設備可以丟棄後續符合該報文屬性特徵的報文。在示出的一個實施例中，可以假設上述導致某一模擬系統出現狀態異常的報文的報文屬性特徵如表1所示：源IP位址目的IP位址源埠目的埠傳輸協議192.11.12.3192.11.31.22349TCP表1由表1可知，當網絡設備後續接收到源IP位址為192.11.12.3、目的IP位址為192.11.31.2、源埠為23、目的埠為49且傳輸協議為TCP(TransmissionControlProtocol，傳輸控制協議)的報文時，可以丟棄該報文。在獲取上述入侵報文的報文屬性特徵後，網絡設備可以將該入侵報文作為入侵樣本進行記錄，然後，網絡設備可以通過對該入侵樣本的分析獲取報文入侵特徵，並將該報文入侵特徵實時更新至IPS設備的入侵特徵庫中。需要說明的是，在本申請中，網絡設備在將上述入侵報文作為入侵樣本進行記錄後，也可以由安全分析人員或相關人員來完成對該入侵樣本的分析以及報文入侵特徵的獲取，然後，安全分析人員或相關人員可以將獲取的入侵特徵實時更新至IPS設備的入侵特徵庫中。在示出的一個實施例中，請參見圖3，為本申請示出的報文的分析圖。可以假設如圖3所示的報文在被網絡設備分發至某一模擬系統時，可以導致該模擬系統出現藍屏重啟的異常情況。網絡設備在監測到該異常情況後，可以將該報文作為入侵樣本進行存儲。然後，網絡設備或安全分析人員可以對該報文進行分析，並可以在分析後發現該報文的頭部中的Range:bytes＝0-18446744073709551615會導致上述模擬系統內核錯誤，從而使得上述模擬系統出現藍屏重啟的情況。然後，網絡設備或安全分析人員可以將「18446744073709551615」作為報文入侵特徵，並將該報文入侵特徵實時更新至IPS設備的入侵特徵庫中。需要說明的是，在本申請中，當上述若干模擬系統出現狀態異常時，網絡設備可以重啟該出現狀態異常的模擬系統，並在該模擬系統重啟後，將該模擬系統恢復至初始狀態。在本申請中，當網絡設備預設的模擬系統未因分發的報文出現狀態異常時，可以確定該報文不為入侵報文，此時，可以將該報文轉發至伺服器；或者，將該報文返回至IPS設備，以由IPS設備將該報文轉發至伺服器。在示出的一個實施例中，網絡設備可以位於IPS設備與伺服器之間。如圖4所示，為入侵報文的防護方法的一個應用場景圖。網絡設備在接收到IPS設備發送的報文後，可以將報文分發至預設的某一模擬系統，然後，網絡設備可以將未使該模擬系統出現狀態異常的報文發送至伺服器。在示出的另一個實施例中，網絡設備可以與IPS設備相連，並通過IPS設備與伺服器相連。如圖5所示，為入侵報文的防護方法的另一個應用場景圖。網絡設備在接收到IPS設備發送的報文後，可以將報文分發至預設的某一模擬系統，然後，網絡設備可以將未使該模擬系統出現狀態異常的報文發送至IPS設備，並由IPS設備將該報文轉發至伺服器。在本申請中，網絡設備可以接收與其相連的IPS設備發送的由該IPS設備完成初步過濾的報文，並在完成該報文的接收後，監測預設的與伺服器上的系統互為鏡像的若干模擬系統的運行狀態，當該若干模擬系統中任一模擬系統出現狀態異常時，網絡設備可以阻斷導致該模擬系統出現狀態異常的報文。在本申請中，由於預設的模擬系統為與伺服器上的系統互為鏡像的模擬系統，因此，當接收到導致預設的模擬系統出現狀態異常的報文時，可以確定該報文會同樣導致伺服器上對應的系統出現狀態異常。故，應用本申請可以通過阻斷上述導致預設的模擬系統出現狀態異常的報文來防護未知的入侵。與前述入侵報文的防護方法的實施例相對應，本申請還提供了入侵報文的防護裝置的實施例。本申請入侵報文的防護裝置的實施例可以應用在網絡設備上。裝置實施例可以通過軟體實現，也可以通過硬體或者軟硬體結合的方式實現。以軟體實現為例，作為一個邏輯意義上的裝置，是通過其所在設備的處理器將非易失性存儲器中對應的電腦程式指令讀取到內存中運行形成的。從硬體層面而言，如圖6所示，為本申請入侵報文的防護裝置所在設備的一種硬體結構圖，除了圖6所示的處理器、內存、網絡接口、以及非易失性存儲器之外，實施例中裝置所在的網絡設備通常還可以包括其他硬體，如負責處理報文的轉發晶片等等。請參考圖7，為本申請入侵報文的防護裝置的一個實施例框圖：接收單元710，用於接收所述IPS設備發送的由所述IPS設備完成初步過濾的報文；監測單元720，用於在接收到所述IPS設備發送的報文後，監測所述若干模擬系統的運行狀態；阻斷單元730，用於當所述若干模擬系統中任一模擬系統出現狀態異常時，阻斷導致該模擬系統出現狀態異常的報文。在一個可選的實現方式中，所述阻斷單元730可以具體用於：獲取導致該模擬系統出現狀態異常的報文的報文屬性特徵；丟棄符合所述報文屬性特徵的報文。在一個可選的實現方式中，所述裝置還可以包括(圖7中未示出)：記錄單元，用於將導致該模擬系統出現異常的報文作為入侵樣本進行記錄；分析單元，用於針對所述入侵樣本進行分析獲取報文入侵特徵；更新單元，用於將所述報文入侵特徵實時更新至所述IPS設備的入侵特徵庫中。在一個可選的實現方式中，所述裝置還可以包括(圖7中未示出)：轉發單元，用於當所述若干模擬模塊均未出現狀態異常時，將所述報文轉發至所述伺服器；或者，將所述報文返回至所述IPS設備，以由所述IPS設備將所述報文轉發至所述伺服器。在一個可選的實現方式中，所述裝置還可以包括(圖7中未示出)：重啟單元，用於當所述若干模擬系統中任一模擬系統出現異常時，立即重啟該模擬系統。在本申請中，網絡設備可以接收與其相連的IPS設備發送的由該IPS設備完成初步過濾的報文，並在完成該報文的接收後，監測預設的與伺服器上的系統互為鏡像的若干模擬系統的運行狀態，當該若干模擬系統中任一模擬系統出現狀態異常時，網絡設備可以阻斷導致該模擬系統出現狀態異常的報文。在本申請中，由於預設的模擬系統為與伺服器上的系統互為鏡像的模擬系統，因此，當接收到導致預設的模擬系統出現狀態異常的報文時，可以確定該報文會同樣導致伺服器上對應的系統出現狀態異常。故，應用本申請可以通過阻斷上述導致預設的模擬系統出現狀態異常的報文來防護未知的入侵。上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程，在此不再贅述。對於裝置實施例而言，由於其基本對應於方法實施例，所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本申請方案的目的。本領域普通技術人員在不付出創造性勞動的情況下，即可以理解並實施。以上所述僅為本申請的較佳實施例而已，並不用以限制本申請，凡在本申請的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的範圍之內。當前第1頁1&nbsp2&nbsp3&nbsp