一種基于協議識別防止ips漏報的方法與裝置制造方法
【專利摘要】本發明涉及一種基于協議識別防止IPS漏報的方法，包括：S1：預先建立多個傳統協議與端口號的映射表；S2：當報文經過協議識別模塊時，協議識別模塊對報文所屬的協議進行識別；S3：通過查找映射表，獲得報文的協議對應的端口號；S4：遍歷端口號所對應的端口組中的多模匹配狀態機進行IPS檢測。本發明通過基于協議識別避免IPS漏報的方法，能有效的避免通過修改報文端口來逃避IPS網關設備檢測的方法。本發明還公開了一種基于協議識別防止IPS漏報的裝置。
【專利說明】一種基于協議識別防止IPS漏報的方法與裝置

【技術領域】
[0001]本發明涉及計算機安全【技術領域】，尤其涉及一種基于協議識別防止IPS漏報的方法與裝置。

【背景技術】
[0002]目前，大多數IPS產品都是以端口來劃分規則集，將含有相同端口信息的所有規則解析到該端口對應的端口組結構中，該結構通常包含有該端口組所對應規則集的RTN(規則樹節點)、0ΤΝ(選項樹節點)以及多模匹配狀態機。端口組結構數據需要設備初始化期間創建。檢測報文時，通過報文的端口信息，即源端口、目的端口將其定位的端口組，然后遍歷該端口組的多模狀態機，從而確定是否觸發了規則事件。
[0003]但這種基于端口組的檢測框架機制由于將規則集通過端口劃分成很多小的規則集合，能顯著提高檢測效率，但其有一個致命的缺陷，例如，報文的端口信息被人為的修改，那么報文將被定位的其它端口組上去做檢測，也就逃避了 IPS規則的檢測。


【發明內容】

[0004]本發明所要解決的技術問題是，針對現有技術的不足，如何通過協議識別防止IPS漏報的關鍵問題。
[0005]為此目的，本發明提出了一種基于協議識別防止IPS漏報的方法，包括具體以下步驟:
[0006]S1:預先建立多個傳統協議與端口號的映射表；
[0007]S2:當報文經過協議識別模塊時，所述協議識別模塊對所述報文所屬的協議進行識別；
[0008]S3:通過查找所述映射表，獲得所述報文所述的協議對應的端口號；
[0009]S4:遍歷所述端口號所對應的端口組中的多模匹配狀態機進行IPS檢測。
[0010]具體地，所述多個傳統協議包括:HTTP協議、FTP協議和SMTP協議。
[0011]具體地，所述映射表包含兩個元素的值對:協議和端口號，其中，所述協議與端口號為多個，所述協議與端口號為對應。
[0012]為此目的，本發明還提出了一種基于協議識別防止IPS漏報的裝置，包括:
[0013]映射表建立模塊，用于預先建立多個傳統協議與端口號的映射表；
[0014]識別模塊，用于當報文經過協議識別模塊時，所述協議識別模塊對所述報文所屬的協議進行識別；
[0015]端口號獲取模塊，用于通過查找所述映射表，獲得所述報文所述的協議對應的端□號；
[0016]檢測模塊，用于遍歷所述端口號所對應的端口組中的多模匹配狀態機進行IPS檢測。
[0017]具體地，所述多個傳統協議包括:HTTP協議、FTP協議和SMTP協議。
[0018]具體地，所述映射表包含兩個元素的值對:協議和端口號，其中，所述協議與端口號為多個，所述協議與端口號為對應。
[0019]本發明所公開的一種基于協議識別防止IPS漏報的方法，首先需要協議識別模塊的支持，協議識別模塊能有效的識別出各種傳統協議，然后預先建立各傳統協議與端口號的映射表，此時的報文，即被修改了端口信息的報文經過協議識別模塊，其所屬協議被正確地識別出來，然后查找協議端口映射表，得到校正的端口號，最后遍歷該端口號所對應端口組中的多模匹配狀態機。本發明通過與協議識別功能的聯動，有效的防止了通過修改端口信息來逃避IPS檢測的攻擊。本發明還公開了一種基于協議識別防止IPS漏報的裝置。

【專利附圖】

【附圖說明】
[0020]通過參考附圖會更加清楚的理解本發明的特征和優點，附圖是示意性的而不應理解為對本發明進行任何限制，在附圖中:
[0021]圖1示出了本發明實施例中的一種基于協議識別防止IPS漏報的方法的步驟流程圖；
[0022]圖2示出本發明實施例中的一種基于協議識別防止IPS漏報的方法部署示意圖；
[0023]圖3示出了本發明實施例中的一種基于協議識別防止IPS漏報的裝置的結構圖。

【具體實施方式】
[0024]下面將結合附圖對本發明的實施例進行詳細描述。
[0025]如圖1所示，本發明提供了一種基于協議識別防止IPS漏報的方法，包括具體以下步驟:
[0026]步驟S1:預先建立多個傳統協議與端口號的映射表，其中，多個傳統協議包括:HTTP協議、FTP協議和SMTP協議，且映射表包含兩個元素的值對:協議和端口號，其中，協議與端口號為多個，協議與端口號為對應。
[0027]步驟S2:當報文經過協議識別模塊時，協議識別模塊對報文所屬的協議進行識別。
[0028]步驟S3:通過查找映射表，獲得報文的協議對應的端口號。
[0029]步驟S4:遍歷端口號所對應的端口組中的多模匹配狀態機進行IPS檢測。
[0030]為了更好的理解與應用本發明提出的一種基于協議識別防止IPS漏報的方法，進行如下示例，且本發明不局限于如下示例。
[0031]如圖2所示，本發明在原有的基于端口的IPS檢測框架下，通過協議識別功能將其報文定位到正確的端口組中，該方法能有效的防止通過修改報文端口信息的方法來逃避檢測的攻擊。
[0032]具體地，報文經過網關設備，首先通過協議識別模塊將其所屬協議識別出來，所識別出來的協議通常是傳統協議。例如，HTTP協議、FTP協議以及SMTP協議。
[0033]進一步地，網關設備預先定義維護了一份協議端口映射表，該表的每項主要包含兩個元素的值對:協議和端口號，例如，HTTP協議對應的端口 80，SMTP協議對應的端口 25，報文經過上述步驟后定位的協議作為協議端口映射表的輸入參數，查找該協議對應的正確端口，如果報文的端口協議被修改，則其報文的端口與映射出的正確端口不一致。
[0034]更進一步地，上述步驟查找出的端口叫做校驗端口，通過校驗端口，定位到該校驗端口所對應的端口組中，該端口組信息是一端口劃分的規則集信息，規則的RTN、OTN集合數據塊、多模匹配狀態機。例如，80端口組，包含了端口為80的所有規則信息，報文匹配該端口組的多模匹配狀態機，如果匹配成功，通過RTN、OTN確定是哪條規則觸發的事件，即最終完成了與協議識別的聯動，報文被定向到正確的端口組中，然后進行基于端口組的IPS事件匹配。該發明有效的防止了通過修改報文端口來逃避IPS檢測的攻擊，具有較高的識別性與安全性。
[0035]如圖3所示，本發明提供了一種基于協議識別防止IPS漏報的裝置10，包括:映射表建立模塊101、識別模塊102、端口號獲取模塊103以及檢測模塊104。
[0036]具體地，映射表建立模塊101用于預先建立多個傳統協議與端口號的映射表,其中，多個傳統協議包括=HTTP協議、FTP協議和SMTP協議，且映射表包含兩個元素的值對:協議和端口號，其中，協議與端口號為多個，協議與端口號為對應；識別模塊102用于當報文經過協議識別模塊時，協議識別模塊對報文所屬的協議進行識別；端口號獲取模塊103用于通過查找映射表，獲得報文的協議對應的端口號；檢測模塊104用于遍歷端口號所對應的端口組中的多模匹配狀態機進行IPS檢測。
[0037]本發明所公開的一種基于協議識別防止IPS漏報的方法，首先需要協議識別模塊的支持，協議識別模塊能有效的識別出各種傳統協議，其中這些傳統協議都有公認的端口號，然后預先建立各傳統協議與端口號的映射表，此時的報文，即被修改了端口信息的報文經過協議識別模塊，其所屬協議被正確地識別出來，然后查找協議端口映射表，得到校正的端口號，最后遍歷該端口號所對應端口組中的多模匹配狀態機。本發明通過與協議識別功能的聯動，有效的防止了通過修改端口信息來逃避IPS檢測的攻擊。本發明還公開了一種基于協議識別防止IPS漏報的裝置。
[0038]以上實施方式僅用于說明本發明，而并非對本發明的限制，有關【技術領域】的普通技術人員，在不脫離本發明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬于本發明的范疇，本發明的專利保護范圍應由權利要求限定。
[0039]雖然結合附圖描述了本發明的實施方式，但是本領域技術人員可以在不脫離本發明的精神和范圍的情況下做出各種修改和變型，這樣的修改和變型均落入由所附權利要求所限定的范圍之內。
【權利要求】
1.一種基于協議識別防止IPS漏報的方法，其特征在于，包括具體以下步驟: S1:預先建立多個傳統協議與端口號的映射表；52:當報文經過協議識別模塊時，所述協議識別模塊對所述報文所屬的協議進行識別； 53:通過查找所述映射表，獲得所述報文所述的協議對應的端口號； 54:遍歷所述端口號所對應的端口組中的多模匹配狀態機進行IPS檢測。
2.如權利要求1所述的方法，其特征在于，所述多個傳統協議包括=HTTP協議、FTP協議和SMTP協議。
3.如權利要求1所述的方法，其特征在于，所述映射表包含兩個元素的值對:協議和端口號，其中，所述協議與端口號為多個，所述協議與端口號為 對應。
4.一種基于協議識別防止IPS漏報的裝置，其特征在于，包括: 映射表建立模塊，用于預先建立多個傳統協議與端口號的映射表； 識別模塊，用于當報文經過協議識別模塊時，所述協議識別模塊對所述報文所屬的協議進行識別； 端口號獲取模塊，用于通過查找所述映射表，獲得所述報文所述的協議對應的端口號; 檢測模塊，用于遍歷所述端口號所對應的端口組中的多模匹配狀態機進行IPS檢測。
5.如權利要求4所述的裝置，其特征在于，所述多個傳統協議包括:HTTP協議、FTP協議和SMTP協議。
6.如權利要求4所述的裝置，其特征在于，所述映射表包含兩個元素的值對:協議和端口號，其中，所述協議與端口號為多個，所述協議與端口號為 對應。
【文檔編號】H04L29/06GK104184726SQ201410369879
【公開日】2014年12月3日 申請日期:2014年7月25日 優先權日:2014年7月25日
【發明者】胡波 申請人:漢柏科技有限公司