[发明专利]网络安全检测方法、装置、设备及存储介质

说明书

本发明公开了一种网络安全检测方法、装置、设备及存储介质。其中，该方法包括：获取待处理数据包；基于规则中的应用指纹关键字，调用应用识别插件对所述待处理数据包进行应用识别；基于所述应用识别的结果，对所述待处理数据包进行规则匹配；基于所述待处理数据包的规则匹配的结果进行响应。本发明实施例既减少了基于应用层协议的应用的网络攻击的漏报，提高了检测的准确率，又能有效降低规则库中规则的维护难度，提高了对待处理数据包进行应用识别的效率，从而可以提高网络攻击的检测效率。

技术领域

本发明涉及网络安全领域，尤其涉及一种网络安全检测方法、装置、设备及存储介质。

背景技术

为了满足网络安全需求，往往通过网络入侵检测系统(Network IntrusionDetection System，简称为IDS)或者网络入侵防御系统(Network Intrusion PreventionSystem，简称为IPS)来对网络中的恶意流量进行监测和响应。

为实现对网络攻击的有效检测，通常需要为IDS或者IPS开发用于检测已知攻击模式的规则(也被称为“签名”)。于是，为了保护某个类型应用的漏洞，并防御对应的一系列利用漏洞的攻击模式，往往需要开发一定数量的与前述攻击模式对应的规则。

随着网络技术的发展，越来越多的应用都是基于TCP(传输控制协议)的上层协议，如HTTP(超文本传输协议)，且大量的基于应用层协议的服务、组件、中间件等应用的漏洞被网络流量利用。

相关技术中，在针对某种类型的应用的漏洞编写防御恶意流量的规则的时候，为避免误判，往往需要在规则中补充大量和协议特征有关的规则检测字段，从而提高规则检测的准确率。然而，随着需要保护的应用的数量不断增多，此类包含协议特征相关的规则检测字段的规则数目也不断增加，导致此类规则的维护难度增大，且不同应用间重复性规则的不断增加，亦会增加规则检测引擎的运行开销和性能损失。

发明内容

有鉴于此，本发明实施例提供了一种网络安全检测方法、装置、设备及存储介质，旨在能检测基于应用层协议的应用的网络攻击的同时，有效降低规则的维护难度，并提高网络攻击的检测效率。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种网络安全检测方法，包括：

获取待处理数据包；

基于规则中的应用指纹关键字，调用应用识别插件对所述待处理数据包进行应用识别；

基于所述应用识别的结果，对所述待处理数据包进行规则匹配；

基于所述待处理数据包的规则匹配的结果进行响应。

本发明实施例还提供了一种网络安全检测装置，包括：

获取模块，用于获取待处理数据包；

应用识别模块，用于基于规则中的应用指纹关键字，调用应用识别插件对所述待处理数据包进行应用识别；

规则检测模块，用于基于所述应用识别的结果，对所述待处理数据包进行规则匹配；

响应模块，用于基于所述待处理数据包的规则匹配的结果进行响应。

本发明实施例又提供了一种网络安全检测设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行本发明任一实施例所述方法的步骤。

本发明实施例还提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本发明任一实施例所述方法的步骤。