[发明专利]一种防止unicode编码绕过的检测方法和装置在审
| 申请号: | 202210188175.4 | 申请日: | 2022-02-28 |
| 公开(公告)号: | CN114584362A | 公开(公告)日: | 2022-06-03 |
| 发明(设计)人: | 陈泉清;吴璠;柴忠;姚雪岩 | 申请(专利权)人: | 北京启明星辰信息安全技术有限公司;北京网御星云信息技术有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L69/06;G06F21/56;G06F21/60 |
| 代理公司: | 北京安信方达知识产权代理有限公司 11262 | 代理人: | 陶丽;栗若木 |
| 地址: | 100193 北京市海淀区东北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 防止 unicode 编码 绕过 检测 方法 装置 | ||
一种防止unicode编码绕过的检测方法和装置,方法包括:根据预先定义的规则获取匹配数据区;判断该匹配数据区是否存在预先设置的第一关键字;当该匹配数据区包括第一关键字时,对该匹配数据区进行unicode解码还原得到目标匹配数据区;在该目标匹配数据区检测攻击特征行为。
技术领域
本文涉及信息安全技术领域,尤指一种防止unicode编码绕过的检测方法和装置。
背景技术
现有技术中,通过对攻击行为所对应的网络报文特征进行unicode编码,是攻击者常用的躲避入侵检测的手段;这主要是因为规则定义人员难以按照常规的方法对unicode编码后的网络报文特征进行完全枚举。当前对攻击防止检测绕过的方法主要是针对数据分片或分段的检测,但该类方法并不能解决应用层数据通过unicode编码手段绕过入侵检测的攻击行为问题。
发明内容
本申请提供了一种防止unicode编码绕过的检测方法,该方法对unicode编码变形的攻击特征序列进行unicode解码还原后,再进行攻击特征行为检测,有效地解决了通过unicode编码手段绕过入侵检测的攻击行为问题。
本申请提供了一种防止unicode编码绕过的检测方法,方法包括:
根据预先定义的规则获取匹配数据区;
判断该匹配数据区是否存在预先设置的第一关键字;
当该匹配数据区包括第一关键字时,对该匹配数据区进行unicode解码还原得到目标匹配数据区;
在该目标匹配数据区检测攻击特征行为。
一种示例性的实施例中,所述预先定义的规则包括:unicode编码前的攻击特征序列和unicode_decode解码模板。
一种示例性的实施例中,所述对该匹配数据区进行unicode解码还原得到目标匹配数据区,包括:
根据预先定义的规则中的unicode_decode解码模板对匹配数据区进行unicode解码还原;
把unicode解码还原后的数据区作为目标匹配数据区。
一种示例性的实施例中,所述unicode_decode解码模板包括:第一关键字unicode_decode和第二关键字unicode_data;
其中,第一关键字unicode_decode用于指示对指定的匹配数据区进行unicode解码操作,第二关键字unicode_data是与第一关键字unicode_decode配合使用的字符。
一种示例性的实施例中,所述判断该匹配数据区是否存在预先设置的第一关键字后,方法还包括:
当该匹配数据区未包括unicode_decode第一关键字时,将所获取的匹配数据区作为目标匹配数据区。
一种示例性的实施例中,在该目标匹配数据区检测攻击特征行为后,方法还包括:
判断是否对攻击特征行为匹配成功;
如果匹配成功,则把匹配成功的规则封装告警事件日志上报。
本申请还提供了一种防止unicode编码绕过的检测装置,包括:存储器和处理器;所述存储器,用于保存用于防止unicode编码绕过的检测的程序;
所述处理器,用于读取执行所述用于防止unicode编码绕过的检测的程序,执行如下操作:
根据预先定义的规则获取匹配数据区;
判断该匹配数据区是否存在预先设置的第一关键字;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京启明星辰信息安全技术有限公司;北京网御星云信息技术有限公司,未经北京启明星辰信息安全技术有限公司;北京网御星云信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210188175.4/2.html,转载请声明来源钻瓜专利网。
