[go: up one dir, main page]

CN115603985A - 入侵检测方法及电子设备、存储介质 - Google Patents

入侵检测方法及电子设备、存储介质 Download PDF

Info

Publication number
CN115603985A
CN115603985A CN202211216784.2A CN202211216784A CN115603985A CN 115603985 A CN115603985 A CN 115603985A CN 202211216784 A CN202211216784 A CN 202211216784A CN 115603985 A CN115603985 A CN 115603985A
Authority
CN
China
Prior art keywords
xdp
program
intrusion detection
detection module
blacklist
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211216784.2A
Other languages
English (en)
Other versions
CN115603985B (zh
Inventor
崔圳
纪建芳
范雪俭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211216784.2A priority Critical patent/CN115603985B/zh
Publication of CN115603985A publication Critical patent/CN115603985A/zh
Application granted granted Critical
Publication of CN115603985B publication Critical patent/CN115603985B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种入侵检测方法及电子设备、存储介质,方法包括:网卡驱动接收到数据包,调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块;所述入侵检测模块对所述数据包进行检测,获得与检测结果对应的处理动作;所述XDP程序获取所述入侵检测模块返回的处理动作,并根据所述处理动作对所述数据包进行处理。本申请方案,方案入侵检测模块部署于应用层,只需解析关键字段进行检测,因此极大提高了对数据包的检测速率。相比相关技术而言,本申请方案通过应用层的入侵检测系统,在数据包进入协议栈之前对数据包进行检测,在部署难度较低的情况下实现了入侵检测。

Description

入侵检测方法及电子设备、存储介质
技术领域
本申请涉及通信安全技术领域,特别涉及一种入侵检测方法及电子设备、计算机可读存储介质。
背景技术
网络安全在互联网通信无处不在的今天显得尤为重要。对外提供互联网服务的企业可以通过入侵防御系统(Intrusion Prevention System,IPS)识别恶意流量,并拦截此类恶意流量进入企业网络。一般,可将IPS功能部署在入栈流量方向,以监控并检查入栈流量中是否存在漏洞和漏洞利用程序,如果检测到威胁,则按照安全防御策略采取适当的措施,比如:阻止访问、隔离主机或阻止访问外部网站以避免引入潜在威胁等。参见图1,为相关技术中入侵检测方法的架构示意图。如图1所示,在相关技术中,入侵检测系统部署于安全主机内核层的网络协议栈,安全设备的网卡接收到报文后,将报文传递至网络协议栈。网络协议栈对报文解析后方可发送到应用层的应用当中,因此,部署在网络协议栈的入侵检测系统可以对报文进行安全检测。
然而,网络协议栈的功能丰富且实现复杂,入侵检测系统需要对报文在链路层、网络层、传输层和应用层的信息进行安全检测,因此需要在协议栈中多个位置进行部署,实现较为复杂。
发明内容
本申请实施例的目的在于提供一种入侵检测方法及电子设备、计算机可读存储介质,在部署难度较低的情况下实现入侵检测。
一方面,本申请提供了一种入侵检测方法,包括:
网卡驱动接收到数据包,调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块;
所述入侵检测模块对所述数据包进行检测,获得与检测结果对应的处理动作;
所述XDP程序获取所述入侵检测模块返回的处理动作,并根据所述处理动作对所述数据包进行处理。
通过上述措施,极大提高了对数据包的检测速率。相比相关技术而言,本申请方案通过应用层的入侵检测系统,在数据包进入协议栈之前对数据包进行检测,在部署难度较低的情况下实现了入侵检测。
在一实施例中,所述XDP程序包括XDP过滤程序和XDP报文处理程序,所述XDP过滤程序用于过滤出待检测的数据包,所述XDP报文处理程序用于提交数据包和处理数据包;
所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块,包括:
调用XDP网络钩子上的XDP过滤程序,通过所述XDP过滤程序对所述数据包进行过滤,得到待检测的数据包;
调用XDP网络钩子上的XDP报文处理程序,通过所述XDP报文处理程序将待检测的数据包提交到入侵检测模块。
通过上述措施,可以对威胁较大的数据包进行针对性检测,从而降低入侵检测模块的计算量,提高整体检测效率。
在一实施例中,在所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块之前,所述方法还包括:
所述入侵检测模块解析预设过滤规则文件,获得过滤规则;其中,所述过滤规则用于过滤出待检测的数据包;
所述入侵检测模块为所述过滤规则生成所述XDP过滤程序,并将携带所述过滤规则的XDP过滤程序写入所述XDP网络钩子。
通过上述措施,后续可以通过XDP网络钩子上的XDP过滤程序过滤出待检测的数据包,从而减少入侵检测模块的计算量。
在一实施例中,所述XDP程序包括XDP白名单程序和XDP报文处理程序,所述XDP白名单程序用于通过可信流量的数据包,所述XDP报文处理程序用于提交数据包和处理数据包;
所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块,包括:
调用XDP网络钩子上的XDP白名单程序,通过所述XDP白名单程序检查命中白名单的数据包,并将命中白名单的数据包提交至协议栈;
调用XDP网络钩子上的XDP报文处理程序,通过所述XDP报文处理程序将未命中白名单的数据包提交至入侵检测模块。
通过上述措施,可以设置白名单对可信流量进行免检处理,从而降低入侵检测模块的计算量,并提高数据包的整体处理效率。
在一实施例中,在所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块之前,所述方法还包括:
所述入侵检测模块解析预设白名单文件,获得白名单;
所述入侵检测模块为所述白名单生成所述XDP白名单程序,并将携带所述白名单的XDP白名单程序写入所述XDP网络钩子。
通过上述措施,后续可以通过XDP网络钩子上的XDP白名单程序直接通过可信流量的数据包,从而减少入侵检测模块的计算量。
在一实施例中,所述XDP程序包括XDP黑名单程序和XDP报文处理程序,所述XDP黑名单程序用于阻断异常流量的数据包,所述XDP报文处理程序用于提交数据包和处理数据包;
所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块,包括:
调用XDP网络钩子上的XDP黑名单程序,通过所述XDP黑名单程序检查命中黑名单的数据包,并丢弃命中黑名单的数据包;
调用XDP网络钩子上的XDP报文处理程序,通过所述XDP报文处理程序将未命中黑名单的数据包提交至入侵检测模块。
通过上述措施,可以设置黑名单对异常流量在网卡驱动层面进行阻断,从而降低了入侵检测模块的计算量,并提高了数据包的整体处理效率。
在一实施例中,在所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块之前,所述方法还包括:
所述入侵检测模块解析预设黑名单文件,获得黑名单;
所述入侵检测模块为所述黑名单生成所述XDP黑名单程序,并将携带所述黑名单的XDP黑名称程序写入所述XDP网络钩子。
通过上述措施,后续可以通过XDP网络钩子上的XDP黑名单程序直接丢弃异常流量的数据包,从而减少入侵检测模块的计算量。
在一实施例中,在所述将携带所述黑名单的XDP黑名称程序写入所述XDP网络钩子之后,所述方法还包括:
所述入侵检测模块根据指定时间段的历史检测结果,确定若干异常流量,并为所述若干异常流量生成黑名单;
所述入侵检测模块将生成的黑名单下发至所述XDP黑名单程序。
通过上述措施,可以动态更新XDP黑名单程序的黑名单,使得XDP黑名单程序可以根据最新的黑名单丢弃异常流量的数据包。
另一方面,本申请提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述入侵检测方法。
此外,本申请提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成上述入侵检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍。
图1为相关技术中入侵检测方法的架构示意图;
图2为本申请一实施例提供的电子设备的结构示意图;
图3为本申请一实施例提供的入侵检测方法的流程示意图;
图4为本申请一实施例提供的入侵检测方法的架构示意图;
图5为本申请另一实施例提供的入侵检测方法的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如图2所示,本实施例提供一种电子设备1,包括:至少一个处理器11和存储器12,图2中以一个处理器11为例。处理器11和存储器12通过总线10连接,存储器12存储有可被处理器11执行的指令,指令被处理器11执行,以使电子设备1可执行下述的实施例中方法的全部或部分流程。在一实施例中,电子设备1可以是服务器的安全设备(比如:防火墙)或服务器或车载网关,用于执行入侵检测方法。为便于描述,下文以电子设备为执行主体。
存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
本申请还提供了一种计算机可读存储介质,存储介质存储有计算机程序,计算机程序可由处理器11执行以完成本申请提供的入侵检测方法。
参见图3,为本申请一实施例提供的入侵检测方法的流程示意图,如图3所示,该方法可以包括以下步骤310-步骤330。
步骤310:网卡驱动接收到数据包,调用XDP网络钩子上的XDP程序,通过XDP程序将数据包提交到入侵检测模块。
电子设备的网卡接收到外部网络发送的数据包之后,可以将数据包提交至网卡驱动。网卡驱动上设置XDP(eXpress Data Path,快速路径程序)网络钩子(hook),且XDP网络钩子上设有XDP程序。
网卡驱动在接收数据包之后,可以调用XDP程序处理数据包。XDP程序可以通过XDP_REDIRECT机制将数据包转发至应用层的入侵检测模块。
参见图4,为本申请一实施例提供的入侵检测方法的架构示意图,如图4所示,入侵检测模块位于应用层,而非协议栈中。入侵检测模块可以通过一个AF_XDP类型的socket对XDP程序进行监听,从而接收XDP程序所转发的数据包。
步骤320:入侵检测模块对数据包进行检测,获得与检测结果对应的处理动作。
入侵检测模块在接收到数据包之后,可以对数据包进行协议解析,从数据包中提取多种关键字段,比如,链路层的MAC(Media Access Control Address,媒体存取控制位址)地址;网络层的IP(Internet Protocol Address,互联网协议地址)地址、FLAG、分片等信息;传输层的端口、标志位等信息和应用层的报文数据等信息。
入侵检测模块可以依据提取出的关键字段、以及数据包的上下文信息,进行多种异常类型的安全检测。示例性的,异常类型可以包括ARP(Address Resolution Protocol,地址解析协议)欺骗、数据包分片攻击、泛洪攻击等。经过检测之后,可以确定数据包是否属于异常流量。一方面,如果数据包属于异常流量,可以确定处理动作为丢弃(XDP_DROP)。另一方面,如果数据包属于正常流量,可以确定处理动作为转发(XDP_PASS)。
入侵检测模块在获得处理动作后,可以向XDP程序返回处理动作。
步骤330:XDP程序获取入侵检测模块返回的处理动作,并根据处理动作对数据包进行处理。
XDP程序获得处理动作,从而对数据包进行处理。一方面,处理动作为丢弃,可以丢弃数据包。另一方面,处理动作为转发,可以将数据包提交至协议栈,使得数据包从协议栈传递至应用层的其它应用来处理。
由于协议栈对数据包的关注度比较多,解析比较复杂,部署于协议栈的入侵检测模块需耗费更多时间对数据包进行检测。而本申请方案入侵检测模块部署于应用层,只需解析关键字段进行检测,因此极大提高了对数据包的检测速率。相比相关技术而言,本申请方案通过应用层的入侵检测系统,在数据包进入协议栈之前对数据包进行检测,在部署难度较低的情况下实现了入侵检测。此外,由于入侵检测模块无需因不同系统或不同版本内核进行定制更改,可移植性较高,移植过程只需在目标设备上进行简单的配置按照即可实现入侵检测防御功能。
参见图5,为本申请另一实施例提供的入侵检测方法的流程示意图,如图5所示,网络数据包进入网卡后,网卡驱动中XDP程序可以将数据包提交至入侵检测模块(入侵进程引擎)。入侵检测模块对数据包进程是否存在异常,并向XDP程序返回与检测结果对应的处理动作。XDP程序根据处理动作确定是否丢弃数据包,并以此对数据包进行处理。
在一实施例中,XDP程序包括XDP过滤程序和XDP报文处理程序。其中,XDP过滤程序用于过滤出待检测的数据包,XDP报文处理程序用于提交数据包和处理数据包。
在调用XDP程序,通过XDP程序将数据包提交到入侵检测模块时,网卡驱动可以调用XDP过滤程序和XDP报文处理程序。
XDP过滤程序可以依据过滤规则对数据包进行过滤,得到待检测的数据包。这里,过滤规则用于过滤出可能存在威胁的数据包,过滤规则可以是以IP、MAC、协议、端口等一种或多种字段所确定的规则。
在过滤出待检测的数据包之后,XDP报文处理程序可以将待检测的数据包提交到入侵检测模块。对于被滤除的数据包,可以认为是不存在威胁的数据包,XDP报文处理程序可以将这部分数据包提交至协议栈。
在该实施例中,后续XDP报文处理程序可以从入侵检测模块接收处理动作,进而对数据包进行处理。
通过上述措施,可以对威胁较大的数据包进行针对性检测,从而降低入侵检测模块的计算量,提高整体检测效率。
在一实施例中,在通过XDP程序将数据包提交到入侵检测模块之前,入侵检测模块可以在XDP网络钩子上写入XDP报文处理程序,使得后续网卡驱动所接收的数据包可以经由XDP报文处理程序提交至入侵检测模块。
在一实施例中,在通过XDP程序将数据包提交到入侵检测模块之前,入侵检测模块可以解析预设过滤规则文件,获得过滤规则。其中,过滤规则文件记录至少一条用户配置的过滤规则;过滤规则用于过滤出待检测的数据包。
入侵检测模块可以为过滤规则生成XDP过滤程序,该XDP过滤程序用于执行过滤规则。入侵检测模块可以将携带过滤规则的XDP过滤程序写入XDP网络钩子。写入到XDP网络钩子的XDP过滤程序的处理顺序早于XDP报文处理程序。
通过上述措施,后续可以通过XDP网络钩子上的XDP过滤程序过滤出待检测的数据包,从而减少入侵检测模块的计算量。
在一实施例中,XDP程序包括XDP白名单程序和XDP报文处理程序。其中,XDP白名单程序用于通过可信流量的数据包,可信流量即为无需检测的流量。XDP报文处理程序用于提交数据包和处理数据包。
在调用XDP程序,通过XDP程序将数据包提交到入侵检测模块时,网卡驱动可以调用XDP白名单程序和XDP报文处理程序。
XDP白名单程序可以检查数据包是否命中白名单,这里,白名单用于记录可信流量。XDP白名单程序可以从数据包中提取IP、MAC、协议、端口等一种或多种字段的信息,判断提取出的信息是否命中白名单。一方面,数据包命中白名单,XDP白名单程序可以将命中白名单的数据包直接提交至协议栈。另一方面,数据包未命中白名单,XDP报文处理程序可以将未命中白名单的数据包提交至入侵检测模块。
通过上述措施,可以设置白名单对可信流量进行免检处理,从而降低入侵检测模块的计算量,并提高数据包的整体处理效率。
在一实施例中,在通过XDP程序将数据包提交到入侵检测模块之前,入侵检测模块可以解析预设白名单文件,获得白名单。其中,白名单文件记录至少一条用户配置的白名单。白名单通过IP、MAC、协议、端口等一种或多种字段的信息指示可信流量。
入侵检测模块可以为白名单生成XDP白名单程序,该XDP白名单程序用于滤除可信流量的数据包。入侵检测模块可以将携带白名单的XDP白名单程序写入XDP网络钩子。写入XDP网络钩子的XDP白名单程序的处理顺序早于XDP报文处理程序。
通过上述措施,后续可以通过XDP网络钩子上的XDP白名单程序直接通过可信流量的数据包,从而减少入侵检测模块的计算量。
在一实施例中,XDP程序包括XDP黑名单程序和XDP报文处理程序。其中,XDP黑名单程序用于阻断异常流量的数据包。XDP报文处理程序用于提交数据包和处理数据包。
在调用XDP程序,通过XDP程序将数据包提交到入侵检测模块时,网卡驱动可以调用XDP黑名单程序和XDP报文处理程序。
XDP黑名单程序可以检查数据包是否命中黑名单,这里,黑名单用于记录异常流量。XDP黑名单程序可以从数据包中提取IP、MAC、协议、端口等一种或多种字段的信息,判断提取出的信息是否命中黑名单。一方面,数据包命中黑名单,XDP黑名单程序可以将命中黑名单的数据包直接丢弃。另一方面,数据包未命中黑名单,XDP报文处理程序可以将未命中黑名单的数据包提交至入侵检测模块。
通过上述措施,可以设置黑名单对异常流量在网卡驱动层面进行阻断,从而降低了入侵检测模块的计算量,并提高了数据包的整体处理效率。
在一实施例中,在通过XDP程序将数据包提交到入侵检测模块之前,入侵检测模块可以解析预设黑名单文件,获得黑名单。其中,黑名单文件记录至少一条用户配置的黑名单。黑名单通过IP、MAC、协议、端口等一种或多种字段的信息指示异常流量。
入侵检测模块可以为黑名单生成XDP黑名单程序,该XDP黑名单程序用于滤除异常流量的数据包。入侵检测模块可以将携带黑名单的XDP黑名称程序写入XDP网络钩子。写入XDP网络钩子的XDP黑名称程序的处理顺序早于XDP报文处理程序。
通过上述措施,后续可以通过XDP网络钩子上的XDP黑名单程序直接丢弃异常流量的数据包,从而减少入侵检测模块的计算量。
在一实施例中,入侵检测模块在XDP网络钩子写入XDP黑名单程序之后,可以动态更新XDP黑名单程序中的黑名单。
入侵检测模块可以根据指定时间段的历史检测结果,确定若干异常流量。这里,指定时间段可以根据需要进行配置,示例性的,指定时间段可以生成黑名单之前的一个月。入侵检测模块可以从历史检测结果中确定频繁出现的异常流量。示例性的,入侵检测模块可以通过出现次数、出现频率等维度的评估指标,确定频繁出现的异常流量。入侵检测模块可以为筛选出的异常流量,生成黑名单。
进一步的,入侵检测模块可以将动态生成的黑名单下发至XDP黑名单程序,使得XDP黑名单程序可以根据更新后的黑名单滤除异常流量的数据包。入侵检测模块可以定时更新XDP黑名单程序的黑名单,从而使得XDP黑名单程序可以根据最新的黑名单丢弃异常流量的数据包。
在一实施例中,XDP程序中可以包括XDP报文处理程序,以及XDP白名单程序、XDP黑名称程序和XDP过滤程序中一种或多种的组合,从而在将数据包提交至入侵检测模块之前,更细致地筛选出需要检测的数据包,降低入侵检测模块的计算量,提高电子设备的整体工作效率。
本申请方案的部署较为简单,可以在电子设备上使用iplink命令开启网卡中的XDP属性,并在应用层部署入侵检测模块。通过命令行启动入侵检测模块,并指定预设过滤规则文件、预设白名单文件、预设黑名单文件的存储路径。入侵检测模块可以读取相应文件,解析并生成XDP程序写入到XDP网络钩子,从而在后续接收XDP程序所提交的数据包进行检测。
本申请实现的灵活性较高,入侵检测模块部署在应用层,对于规则更新、软件更新等情况只需更换相应的文件或者安装新版本应用程序即可,无需修改内核代码并重新编译。

Claims (10)

1.一种入侵检测方法,其特征在于,包括:
网卡驱动接收到数据包,调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块;
所述入侵检测模块对所述数据包进行检测,获得与检测结果对应的处理动作;
所述XDP程序获取所述入侵检测模块返回的处理动作,并根据所述处理动作对所述数据包进行处理。
2.根据权利要求1所述的方法,其特征在于,所述XDP程序包括XDP过滤程序和XDP报文处理程序,所述XDP过滤程序用于过滤出待检测的数据包,所述XDP报文处理程序用于提交数据包和处理数据包;
所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块,包括:
调用XDP网络钩子上的XDP过滤程序,通过所述XDP过滤程序对所述数据包进行过滤,得到待检测的数据包;
调用XDP网络钩子上的XDP报文处理程序,通过所述XDP报文处理程序将待检测的数据包提交到入侵检测模块。
3.根据权利要求2所述的方法,其特征在于,在所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块之前,所述方法还包括:
所述入侵检测模块解析预设过滤规则文件,获得过滤规则;其中,所述过滤规则用于过滤出待检测的数据包;
所述入侵检测模块为所述过滤规则生成所述XDP过滤程序,并将携带所述过滤规则的XDP过滤程序写入所述XDP网络钩子。
4.根据权利要求1所述的方法,其特征在于,所述XDP程序包括XDP白名单程序和XDP报文处理程序,所述XDP白名单程序用于通过可信流量的数据包,所述XDP报文处理程序用于提交数据包和处理数据包;
所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块,包括:
调用XDP网络钩子上的XDP白名单程序,通过所述XDP白名单程序检查命中白名单的数据包,并将命中白名单的数据包提交至协议栈;
调用XDP网络钩子上的XDP报文处理程序,通过所述XDP报文处理程序将未命中白名单的数据包提交至入侵检测模块。
5.根据权利要求4所述的方法,其特征在于,在所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块之前,所述方法还包括:
所述入侵检测模块解析预设白名单文件,获得白名单;
所述入侵检测模块为所述白名单生成所述XDP白名单程序,并将携带所述白名单的XDP白名单程序写入所述XDP网络钩子。
6.根据权利要求1所述的方法,其特征在于,所述XDP程序包括XDP黑名单程序和XDP报文处理程序,所述XDP黑名单程序用于阻断异常流量的数据包,所述XDP报文处理程序用于提交数据包和处理数据包;
所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块,包括:
调用XDP网络钩子上的XDP黑名单程序,通过所述XDP黑名单程序检查命中黑名单的数据包,并丢弃命中黑名单的数据包;
调用XDP网络钩子上的XDP报文处理程序,通过所述XDP报文处理程序将未命中黑名单的数据包提交至入侵检测模块。
7.根据权利要求6所述的方法,其特征在于,在所述调用XDP网络钩子上的XDP程序,通过所述XDP程序将所述数据包提交到入侵检测模块之前,所述方法还包括:
所述入侵检测模块解析预设黑名单文件,获得黑名单;
所述入侵检测模块为所述黑名单生成所述XDP黑名单程序,并将携带所述黑名单的XDP黑名称程序写入所述XDP网络钩子。
8.根据权利要求7所述的方法,其特征在于,在所述将携带所述黑名单的XDP黑名称程序写入所述XDP网络钩子之后,所述方法还包括:
所述入侵检测模块根据指定时间段的历史检测结果,确定若干异常流量,并为所述若干异常流量生成黑名单;
所述入侵检测模块将生成的黑名单下发至所述XDP黑名单程序。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-8任意一项所述的入侵检测方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成权利要求1-8任意一项所述的入侵检测方法。
CN202211216784.2A 2022-09-30 2022-09-30 入侵检测方法及电子设备、存储介质 Active CN115603985B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211216784.2A CN115603985B (zh) 2022-09-30 2022-09-30 入侵检测方法及电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211216784.2A CN115603985B (zh) 2022-09-30 2022-09-30 入侵检测方法及电子设备、存储介质

Publications (2)

Publication Number Publication Date
CN115603985A true CN115603985A (zh) 2023-01-13
CN115603985B CN115603985B (zh) 2026-01-23

Family

ID=84844477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211216784.2A Active CN115603985B (zh) 2022-09-30 2022-09-30 入侵检测方法及电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN115603985B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115883255A (zh) * 2023-02-02 2023-03-31 中信证券股份有限公司 数据过滤方法、设备以及计算机可读介质
CN118646564A (zh) * 2024-06-04 2024-09-13 浪潮云信息技术股份公司 一种实现信创操作系统网络安全提升的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1581768A (zh) * 2003-08-04 2005-02-16 联想(北京)有限公司 一种入侵检测方法
US20190394230A1 (en) * 2019-07-30 2019-12-26 Lg Electronics Inc. Security method for vehicle network, firewall for the same, and computer-readable recording medium recording the same
CN111008117A (zh) * 2019-11-29 2020-04-14 苏州浪潮智能科技有限公司 一种XDP_log分析方法及系统
CN111800401A (zh) * 2020-06-28 2020-10-20 腾讯科技(深圳)有限公司 业务报文的防护方法、装置、系统和计算机设备
CN113992428A (zh) * 2021-11-29 2022-01-28 北京天融信网络安全技术有限公司 容器环境下的入侵防御方法及装置、电子设备、存储介质
CN114006839A (zh) * 2021-09-27 2022-02-01 中盈优创资讯科技有限公司 一种基于eBPF的流量采集方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1581768A (zh) * 2003-08-04 2005-02-16 联想(北京)有限公司 一种入侵检测方法
US20190394230A1 (en) * 2019-07-30 2019-12-26 Lg Electronics Inc. Security method for vehicle network, firewall for the same, and computer-readable recording medium recording the same
CN111008117A (zh) * 2019-11-29 2020-04-14 苏州浪潮智能科技有限公司 一种XDP_log分析方法及系统
CN111800401A (zh) * 2020-06-28 2020-10-20 腾讯科技(深圳)有限公司 业务报文的防护方法、装置、系统和计算机设备
CN114006839A (zh) * 2021-09-27 2022-02-01 中盈优创资讯科技有限公司 一种基于eBPF的流量采集方法及装置
CN113992428A (zh) * 2021-11-29 2022-01-28 北京天融信网络安全技术有限公司 容器环境下的入侵防御方法及装置、电子设备、存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115883255A (zh) * 2023-02-02 2023-03-31 中信证券股份有限公司 数据过滤方法、设备以及计算机可读介质
CN118646564A (zh) * 2024-06-04 2024-09-13 浪潮云信息技术股份公司 一种实现信创操作系统网络安全提升的方法

Also Published As

Publication number Publication date
CN115603985B (zh) 2026-01-23

Similar Documents

Publication Publication Date Title
US11070571B2 (en) Cloud-based gateway security scanning
US11089057B1 (en) System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits
JP6894003B2 (ja) Apt攻撃に対する防御
US10057284B2 (en) Security threat detection
US7904942B2 (en) Method of updating intrusion detection rules through link data packet
KR102222377B1 (ko) 위협 대응 자동화 방법
US8316446B1 (en) Methods and apparatus for blocking unwanted software downloads
Binde et al. Assessing outbound traffic to uncover advanced persistent threat
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
JP2012014320A (ja) 感染検査システム及び感染検査方法及び記録媒体及びプログラム
JP2004537105A (ja) 状態参照モニタ
US20090178140A1 (en) Network intrusion detection system
EP3509001B1 (en) Method and apparatus for detecting zombie feature
US10291632B2 (en) Filtering of metadata signatures
CN113810408B (zh) 网络攻击组织的探测方法、装置、设备及可读存储介质
CN110099044A (zh) 云主机安全检测系统及方法
CN115603985B (zh) 入侵检测方法及电子设备、存储介质
CN112953957A (zh) 一种入侵防御方法、系统及相关设备
CN112565259A (zh) 过滤dns隧道木马通信数据的方法及装置
CN107547504B (zh) 入侵防御方法及装置
CN112039846B (zh) 请求处理方法与安全防护系统
CN114301689B (zh) 校园网络安全防护方法、装置、计算设备及存储介质
CN113709130A (zh) 基于蜜罐系统的风险识别方法及装置
CN113132305A (zh) 邮件威胁检测方法、装置、计算设备及计算机存储介质
CN115622754B (zh) 一种检测并防止mqtt漏洞的方法、系统和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant