[发明专利]基于对象分析的攻击识别方法及装置

说明书

本发明公开了一种基于对象分析的攻击识别方法及装置。其中的方法包括：构建特征库，所述特征库包括多条特征表达式，每条特征表达式具有对象的属性；构建多模库，所述多模库包括多条关键字，每条关键字具有对象的属性；所述多模库中的关键字与所述特征库中的一条或多条特征表达式具有映射关系，具有映射关系的关键字与特征表达式具有相同的属性；基于所述特征库及所述多模库，对解析消息后获得的对象的数据进行匹配，确定是否存在攻击。本发明基于对象进行有针对性的过滤，且通过多模库与特征库结合的方式，可以将大部分安全数据进行过滤，而不需要对大部分数据进行繁琐的字符匹配，从而显著提高检测效率。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于对象分析的攻击识别方法及装置。

背景技术

网络攻击，是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。攻击分为主动攻击和被动攻击。主动攻击是指包含攻击者访问所需要信息的故意行为。被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会察觉到。被动攻击包括：1、窃听：包括键击记录、网络监听、非法访问数据、获取密码文件；2、欺骗：包括获取口令、恶意代码、网络欺骗；3、拒绝服务：包括导致异常型、资源耗尽型、欺骗型；4、数据驱动攻击：包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。

现有攻击的一种识别方案是基于正则表示进行的。基于正则表达式的攻击识别方案的一般步骤为：针对攻击构造关键字符；构造正则表达式；判断是否有与正则表达式匹配得的数据，如果有，则确定存在攻击。正则表达式是基于字符的逻辑过滤，检测效率低。以对http请求消息进行攻击检测为例，是对所有包含的字符进行正则表达式匹配，随着攻击特征以及数据请求量两方面增长，造成特征库特别庞大，而正则表达式匹配性能并非线性增长，而是n*n的增长关系，效率会降到很低。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于对象分析的攻击识别方法及装置。

依据本发明的一个方面，提供一种基于对象分析的攻击识别方法，其特征在于，包括：构建特征库，所述特征库包括多条特征表达式，每条特征表达式具有对象的属性；构建多模库，所述多模库包括多条关键字，每条关键字具有对象的属性；所述多模库中的关键字与所述特征库中的一条或多条特征表达式具有映射关系，具有映射关系的关键字与特征表达式具有相同的属性；基于所述特征库及所述多模库，对解析消息后获得的对象的数据进行匹配，确定是否存在攻击。

优选的，所述基于所述特征库及所述多模库，对解析消息后获得的对象的数据进行匹配，确定是否存在攻击包括：对获取的消息进行协议分析，解析获得一个或多个对象的数据；针对所述对象的数据，利用多模库进行多模匹配，如果匹配到针对该对象的关键字，则进行后续步骤，否则确定不存在攻击；从特征库中匹配是否存在针对该对象的、与匹配的关键字具有映射关系的特征表达式，如果没有匹配到特征表达式，则确定不存在攻击，否则进行后续步骤；基于所述针对该对象的、与匹配的关键字对应的特征表达式，对该对象的数据进行规则匹配，如果匹配成功，则确定存在攻击，否则确定不存在攻击。

优选的，所述多模库根据所述特征库构建，每一条关键字代表一个模式。

优选的，确定一条关键字是否为针对所述对象的关键字的方式为：确定该关键字的属性是否为所述对象；确定一条特征表达式是否为针对所述对象的特征表达式的方式为：确定该特征表达式的属性是否为所述对象。

优选的，在构建所述特征库过程中，基于攻击的类型，按照主类、子类和规则的方式组织所述多条特征表达式；在构架所述多模库过程中，基于攻击的类型，按照主类、子类和规则的方式组织所述多条关键字。

优选的，所述消息为应用层协议消息；所述应用层协议包括TFTP、HTTP、SNMP、FTP、SMTP、DNS或Telnet协议。