技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，尤其涉及一種特征碼驗(yàn)證平臺(tái)裝置及特征碼驗(yàn)證方法。

背景技術(shù)

入侵檢測(cè)/防御系統(tǒng)(Intrusion?Detection?Systems/Intrusion?Prevention?System，IDS/IPS)是目前主要的企業(yè)級(jí)信息安全防護(hù)系統(tǒng)之一，在保證企業(yè)網(wǎng)絡(luò)安全、監(jiān)視網(wǎng)絡(luò)狀態(tài)、發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊企圖并告警方面發(fā)揮了重要的作用。入侵檢測(cè)/防御系統(tǒng)通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行檢測(cè)和分析，參照自身特征碼(Signature)和規(guī)則庫，來發(fā)現(xiàn)網(wǎng)絡(luò)各種行為，并對(duì)特定行為采取預(yù)定義動(dòng)作，以保護(hù)網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

作為入侵檢測(cè)/防御系統(tǒng)的核心之一，特征碼和規(guī)則庫扮演著重要角色。好的特征碼和規(guī)則庫不僅可以識(shí)別大部分的已知威脅和漏洞，甚至可以對(duì)部分未知安全漏洞和威脅能進(jìn)行提前預(yù)警。而一個(gè)設(shè)計(jì)的較差的特征碼和規(guī)則庫則可能對(duì)當(dāng)前網(wǎng)絡(luò)產(chǎn)生較大的影響，輕則產(chǎn)生大量的虛警信息，重則可能導(dǎo)致當(dāng)前網(wǎng)絡(luò)的阻塞和癱瘓。

由于各種新的病毒、漏洞及威脅層出不窮，這要求入侵檢測(cè)/防御系統(tǒng)廠商能及時(shí)、快速的更新其特征碼和規(guī)則庫，以保持其對(duì)最新的安全威脅的識(shí)別能力，特征碼和規(guī)則庫的更新速度也能從一定程度上反映出一個(gè)入侵檢測(cè)/防御系統(tǒng)廠商的技術(shù)實(shí)力及水平。

現(xiàn)有的對(duì)于特征碼的驗(yàn)證方式，主要是通過在被測(cè)試的入侵IDS/IPS設(shè)備上部署特征碼規(guī)則來進(jìn)行，具體過程如下：當(dāng)某應(yīng)用或協(xié)議的特定的特征碼提取開發(fā)完成后，技術(shù)人員將對(duì)應(yīng)的特征碼編譯進(jìn)入侵IDS/IPS的主特征庫中(該特征碼在主特征庫中以特征碼規(guī)則的形式存在)，并根據(jù)主特征庫中該特征碼規(guī)則特定的觸發(fā)條件來搭建一個(gè)針對(duì)性的網(wǎng)絡(luò)環(huán)境，通過入侵IDS/IPS對(duì)該特定數(shù)據(jù)流或包的相應(yīng)動(dòng)作，比如日志、丟包等操作的來驗(yàn)證特征碼規(guī)則的有效性和正確性，即驗(yàn)證了特征碼的有效性和正確性。

這種方式需要在真實(shí)的IDS/IPS設(shè)備上完成特征碼規(guī)則的驗(yàn)證，并且由專業(yè)的技術(shù)人員將特征碼編譯進(jìn)主特征庫，并需要按照待驗(yàn)證的特征碼的觸發(fā)條件來搭建對(duì)應(yīng)的測(cè)試網(wǎng)絡(luò)環(huán)境，完成測(cè)試需要配置真實(shí)的IDS/IPS設(shè)備和相關(guān)技術(shù)人員，并且從特征碼提取到驗(yàn)證完畢的時(shí)間跨度較變大，測(cè)試效率較低。另外，該方法無法針對(duì)某一特定應(yīng)用程序的數(shù)據(jù)來進(jìn)行精確的監(jiān)控，由于IPS/IDS設(shè)備是對(duì)整個(gè)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)來進(jìn)行分析，無法對(duì)某主機(jī)中特定的應(yīng)用程序的數(shù)據(jù)來進(jìn)行針對(duì)性的特征碼驗(yàn)證。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種特征碼驗(yàn)證平臺(tái)裝置及特征碼驗(yàn)證方法，用以實(shí)現(xiàn)特征碼的自動(dòng)驗(yàn)證，解決現(xiàn)有特征碼驗(yàn)證效率較低的問題。

基于上述問題，本發(fā)明實(shí)施例提供的一種特征碼驗(yàn)證平臺(tái)裝置，包括：

數(shù)據(jù)包攔截模塊，用于對(duì)測(cè)試主機(jī)中各應(yīng)用程序和/或各協(xié)議層通信的數(shù)據(jù)包進(jìn)行攔截；

規(guī)則驗(yàn)證模塊，用于按照設(shè)定的驗(yàn)證策略，對(duì)攔截的數(shù)據(jù)包中需要使用特征碼進(jìn)行監(jiān)控的應(yīng)用程序和/或協(xié)議層的數(shù)據(jù)包，執(zhí)行所述驗(yàn)證策略設(shè)定的操作，并生成該操作對(duì)應(yīng)的日志；

日志處理模塊，用于對(duì)各操作對(duì)應(yīng)的日志分別進(jìn)行處理并輸出，以確定所述待測(cè)特征碼是否有效。

本發(fā)明實(shí)施例提供的一種特征碼驗(yàn)證方法，包括：

對(duì)測(cè)試主機(jī)中各應(yīng)用程序和/或各協(xié)議層通信的數(shù)據(jù)包進(jìn)行攔截；

按照設(shè)定的驗(yàn)證策略，對(duì)攔截的數(shù)據(jù)包中需要使用特征碼進(jìn)行監(jiān)控的應(yīng)用程序和/或協(xié)議層的數(shù)據(jù)包，執(zhí)行所述驗(yàn)證策略設(shè)定的操作，并生成該操作對(duì)應(yīng)的日志；

對(duì)各操作對(duì)應(yīng)的日志分別進(jìn)行處理并輸出，以確定所述待測(cè)特征碼是否有效。

本發(fā)明實(shí)施例的有益效果包括：

本發(fā)明實(shí)施例提供的特征碼驗(yàn)證平臺(tái)裝置及特征碼驗(yàn)證方法，對(duì)測(cè)試主機(jī)中的各應(yīng)用程序和/或各協(xié)議層的通信的數(shù)據(jù)包進(jìn)行攔截，然后對(duì)攔截的數(shù)據(jù)包中符合待測(cè)特征碼的數(shù)據(jù)包，按照設(shè)定的驗(yàn)證策略執(zhí)行對(duì)應(yīng)的操作，并生成日志并輸出，輸出的日志，可以作為判斷待測(cè)特征碼是否有效的依據(jù)，本發(fā)明實(shí)施例并未使用實(shí)際的IPS/IDS規(guī)則驗(yàn)證設(shè)備，也不需要按照現(xiàn)有技術(shù)那樣，將特征碼進(jìn)行編譯進(jìn)入主特征庫，并根據(jù)主特征庫中該特征碼規(guī)則特定的觸發(fā)條件搭建針對(duì)性的網(wǎng)絡(luò)環(huán)境，本發(fā)明實(shí)施例利用測(cè)試主機(jī)中的特征碼驗(yàn)證平臺(tái)裝置，直接對(duì)符合特征碼的數(shù)據(jù)包進(jìn)行匹配，自動(dòng)執(zhí)行預(yù)設(shè)的各種操作并輸出日志，大大簡(jiǎn)化了特征碼的驗(yàn)證過程，顯著地提高特征碼驗(yàn)證的效率，同時(shí)由于不需要使用實(shí)際的IPS/IDS規(guī)則驗(yàn)證設(shè)備以及搭建實(shí)際的網(wǎng)絡(luò)環(huán)境，可以降低特征碼驗(yàn)證的成本。

附圖說明