本發明實施例提供一種畸形數據包檢測方法及裝置，所述畸形數據包檢測方法由于對網絡數據包進行了協議解析檢測、協議規范約束檢測和基于歷史合法流量數據的現場規范約束檢測這三重檢測，因此，可以有效避免針對特定數據包基于黑名單命中低效的問題，從而提高畸形數據包檢測的效率。需要說明的是，本發明實施例在進行畸形數據包檢測時，不但利用了協議規范約束對畸形數據包進行檢測，而且還充分利用了目標網絡的歷史合法流量數據，對畸形數據包進行現場規范約束檢測，從而能夠有效提高畸形數據包的檢測效率和檢測準確度。本發明實施例提供的畸形數據包檢測方法尤其適用于網絡數據包的內容周期性強、特征顯著的工控網絡。

技術領域

本發明涉及計算機技術領域，尤其涉及一種畸形數據包檢測方法及裝置。

背景技術

隨著信息技術的飛速發展，工控網絡面臨著越來越多的風險。例如，在工控網絡環境中(主要指運行環境)，基于Fuzz技術產生的畸形流量會對工控設備產生不可預期的嚴重后果，例如丟失重要數據，按照非預期的方式進行工作，甚至導致宕機。由于這種畸形數據包沒有特定的規律，導致傳統基于黑名單的IPS/IDS方法在檢測畸形數據包方面的效果較差。

鑒于此，如何對網絡進行異常檢測成為目前急需解決的一項技術問題。

發明內容

針對現有技術中的問題，本發明實施例提供一種畸形數據包檢測方法及裝置。

第一方面，本發明實施例提供了一種畸形數據包檢測方法，包括：

捕獲目標網絡的網絡數據包；

對所述網絡數據包進行協議識別，獲取所述網絡數據包的協議類型；

根據所述網絡數據包的協議類型對所述網絡數據包進行協議解析；

若協議解析失敗，則確定所述網絡數據包為畸形數據包并進行告警；若協議解析成功，則根據與所述協議類型對應的協議規范判斷協議解析結果是否滿足協議規范約束，若不滿足協議規范約束，則確定所述網絡數據包為畸形數據包并進行告警；若滿足協議規范約束，則根據與目標網絡對應的歷史合法流量數據判斷協議解析結果是否滿足現場規范約束；若協議解析結果不滿足現場規范約束，則確定所述網絡數據包為畸形數據包并進行告警。

進一步地，所述對所述網絡數據包進行協議識別，獲取所述網絡數據包的協議類型，具體包括：

確定所述網絡數據包對應的協議端口；

根據協議端口確定與所述協議端口對應的協議類型集合；

根據所述歷史合法流量數據確定與所述協議端口對應的歷史協議類型；

從所述協議類型集合中選擇所述歷史協議類型作為所述網絡數據包的協議類型。

進一步地，所述根據與所述協議類型對應的協議規范判斷協議解析結果是否滿足協議規范約束，具體包括：

若與所述協議類型對應的協議規范中約束了協議中預設字段的取值約束條件，則判斷所述協議解析結果中與所述預設字段對應的字段解析結果是否滿足所述取值約束條件，若滿足，則確定協議解析結果滿足協議規范約束，若不滿足，則確定協議解析結果不滿足協議規范約束。

進一步地，所述根據與目標網絡對應的歷史合法流量數據判斷協議解析結果是否滿足現場規范約束具體包括：

根據與目標網絡對應的歷史合法流量數據進行基于功能碼、關鍵事件和點表的安全隱患判斷，判斷協議解析結果是否滿足現場規范約束。

進一步地，所述畸形數據包檢測方法還包括：

若判斷獲知滿足現場規范約束，則將所述網絡數據包加入至所述歷史合法流量數據中。

進一步地，所述畸形數據包檢測方法還包括：