内网漏洞攻击防御方法及相关装置.pdf

《内网漏洞攻击防御方法及相关装置.pdf》由会员分享，可在线阅读，更多相关《内网漏洞攻击防御方法及相关装置.pdf（30页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010680589.X (22)申请日 2020.07.15 (71)申请人 腾讯科技 （深圳） 有限公司 地址 518064 广东省深圳市南山区高新区 科技中一路腾讯大厦35层 (72)发明人 朱迦南 (74)专利代理机构 深圳市深佳知识产权代理事 务所(普通合伙) 44285 代理人 常忠良 (51)Int.Cl. H04L 29/06(2006.01) G06F 21/57(2013.01) (54)发明名称 一种内网漏洞攻击防御方法及相关装置 (57)摘要 本申请实。

2、施例公开一种内网漏洞攻击防御 方法及相关装置， 在内网中每台内网电子设备的 驱动层部署流量检测模块以执行漏洞攻击检测， 即内网电子设备根据功能配置文件加载对应的 本地规则文件， 若获取到访问数据包， 内网电子 设备调用流量检测模块， 根据本地规则文件确定 访问数据包是否为漏洞攻击数据包。 若是， 阻断 访问数据包从驱动层到达内网电子设备的应用 层， 达到防御漏洞攻击的目的。 在驱动层进行漏 洞攻击检测并对漏洞攻击数据包进行拦截， 提高 漏洞攻击的响应速度。 另外， 漏洞攻击检测分摊 至每台内网电子设备上， 从而降低漏洞攻击检测 的处理压力。 随着处理压力减小， 大大降低了漏 报误报的影响范围，。

3、 保证内网中其他内网电子设 备的正常使用。 权利要求书3页 说明书15页 附图11页 CN 111565202 A 2020.08.21 CN 111565202 A 1.一种内网漏洞攻击防御方法， 其特征在于， 所述内网中包括多台内网电子设备， 每台 所述内网电子设备上的驱动层部署有流量检测模块， 所述方法包括： 所述内网电子设备读取功能配置文件并加载与所述功能配置文件对应的本地规则文 件； 在所述驱动层获取外网电子设备向所述内网电子设备发送的访问数据包； 调用所述驱动层部署的所述流量检测模块， 根据所述本地规则文件在所述驱动层对所 述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的。

4、驱动层确定所述访问数据 包是否为漏洞攻击数据包； 所述内网电子设备在确定所述访问数据包为漏洞攻击数据包时， 对所述访问数据包进 行阻断处理， 以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网 电子设备的应用层。 2.根据权利要求1所述的方法， 其特征在于， 所述调用所述驱动层部署的所述流量检测 模块， 根据所述本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理， 以 在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包， 包括： 调用多模匹配算法确定所述访问数据包是否命中所述本地规则文件中的规则； 若所述访问数据包命中所述本地规则文件中的至少一条规则， 。

5、确定所述访问数据包为 漏洞攻击数据包。 3.根据权利要求1或2所述的方法， 其特征在于， 所述在所述驱动层获取外网电子设备 向所述内网电子设备发送的访问数据包， 包括： 所述内网电子设备通过筛选平台接口接收所述外网电子设备向所述内网电子设备发 送的访问数据包； 根据所述访问数据包所对应的端口标识对所述访问数据包进行过滤， 得到过滤后的所 述访问数据包； 所述调用所述驱动层部署的所述流量检测模块， 根据所述本地规则文件在所述驱动层 对所述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的驱动层确定所述访问 数据包是否为漏洞攻击数据包， 包括： 调用所述驱动层部署的所述流量检测模块， 根据所。

6、述本地规则文件在所述驱动层对过 滤后的所述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的驱动层确定过滤 后的所述访问数据包是否为漏洞攻击数据包。 4.根据权利要求1所述的方法， 其特征在于， 所述方法还包括： 所述内网电子设备对规则运营服务器中的远程规则文件进行更新检测， 以确定所述规 则运营服务器中的远程规则文件是否更新； 若确定所述远程规则文件发生更新， 将所述远程规则文件中的新规则添加至所述本地 规则文件中， 以通过所述远程规则文件更新所述本地规则文件； 调用所述驱动层部署的所述流量检测模块， 根据所述本地规则文件在所述驱动层对所 述访问数据包进行漏洞攻击检测处理， 以在所述内。

7、网电子设备的驱动层确定所述访问数据 包是否为漏洞攻击数据包， 包括： 调用所述驱动层部署的所述流量检测模块， 根据更新后的本地规则文件在所述驱动层 对所述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的驱动层确定所述访问 权利要求书 1/3 页 2 CN 111565202 A 2 数据包是否为漏洞攻击数据包。 5.根据权利要求4所述的方法， 其特征在于， 所述内网电子设备对规则运营服务器中的 远程规则文件进行更新检测， 以确定所述规则运营服务器中的远程规则文件是否更新， 包 括： 所述内网电子设备确定所述本地规则文件的校验值与从所述规则运营服务器获取的 远程规则文件的校验值是否一致；。

8、 若不一致， 确定所述远程规则文件发生更新， 执行将所述远程规则文件中的新规则添 加至所述本地规则文件中， 以通过所述远程规则文件更新所述本地规则文件的步骤。 6.根据权利要求4所述的方法， 其特征在于， 所述内网电子设备对规则运营服务器中的 远程规则文件进行更新检测， 以确定所述规则运营服务器中的远程规则文件是否更新之 前， 所述方法还包括： 根据所述功能配置文件确定网络防御功能是否生效； 若生效， 唤醒定时器， 以根据所述定时器定时执行所述内网电子设备对规则运营服务 器中的远程规则文件进行更新检测， 以确定规则运营服务器中的远程规则文件是否更新的 步骤。 7.根据权利要求1所述的方法， 其。

9、特征在于， 所述方法还包括： 所述内网电子设备在确定所述访问数据包不是漏洞攻击数据包时， 将所述访问数据包 上抛至所述内网电子设备的应用层； 所述内网电子设备在所述应用层对所述访问数据包进行爆破攻击检测处理， 以确定所 述访问数据包是否为爆破攻击数据包； 若确定所述访问数据包为爆破攻击数据包， 判断所述爆破攻击数据包的爆破频率是否 达到预设阈值； 若是， 对所述爆破攻击数据包进行阻断处理， 以阻止所述爆破攻击数据包控制所述内 网电子设备。 8.根据权利要求1所述的方法， 其特征在于， 所述方法还包括： 所述内网电子设备显示弹窗提示， 所述弹窗提示用于提示检测到攻击数据包， 所述弹 窗提示包括所。

10、述访问数据包的攻击信息。 9.一种内网漏洞攻击防御装置， 其特征在于， 所述内网中包括多台内网电子设备， 每台 所述内网电子设备上的驱动层部署有流量检测模块， 所述装置包括加载单元、 获取单元、 确 定单元和阻断单元： 所述加载单元， 用于读取功能配置文件并加载与所述功能配置文件对应的本地规则文 件； 所述获取单元， 用于在所述驱动层获取外网电子设备向所述内网电子设备发送的访问 数据包； 所述确定单元， 用于调用所述驱动层部署的所述流量检测模块， 根据所述本地规则文 件在所述驱动层对所述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的驱动 层确定所述访问数据包是否为漏洞攻击数据包； 所。

11、述阻断单元， 用于在确定所述访问数据包为漏洞攻击数据包时， 对所述访问数据包 进行阻断处理， 以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内 权利要求书 2/3 页 3 CN 111565202 A 3 网电子设备的应用层。 10.根据权利要求9所述的装置， 其特征在于， 所述确定单元， 用于： 调用多模匹配算法确定所述访问数据包是否命中所述本地规则文件中的规则； 若所述访问数据包命中所述本地规则文件中的至少一条规则， 确定所述访问数据包为 漏洞攻击数据包。 11.根据权利要求9或10所述的装置， 其特征在于， 所述获取单元， 用于： 通过筛选平台接口接收所述外网电子设备向所。

12、述内网电子设备发送的访问数据包； 根据所述访问数据包所对应的端口标识对所述访问数据包进行过滤， 得到所述过滤后 的访问数据包； 所述确定单元， 用于： 调用所述驱动层部署的所述流量检测模块， 根据所述本地规则文件在所述驱动层对所 述过滤后的访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的驱动层确定所述 过滤后的访问数据包是否为漏洞攻击数据包。 12.根据权利要求9所述的装置， 其特征在于， 所述装置还包括更新单元： 所述更新单元， 用于对规则运营服务器中的远程规则文件进行更新检测， 以确定所述 规则运营服务器中的远程规则文件是否更新； 若确定所述远程规则文件发生更新， 将所述 远程规则。

13、文件中的新规则添加至所述本地规则文件中， 以通过所述远程规则文件更新所述 本地规则文件； 所述确定单元， 用于： 调用所述驱动层部署的所述流量检测模块， 根据更新后的本地规则文件在所述驱动层 对所述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的驱动层确定所述访问 数据包是否为漏洞攻击数据包。 13.根据权利要求12所述的装置， 其特征在于， 所述更新单元， 用于： 确定所述本地规则文件的校验值与从所述规则运营服务器获取的远程规则文件的校 验值是否一致； 若不一致， 确定所述远程规则文件发生更新， 执行将所述远程规则文件中的新规则添 加至所述本地规则文件中， 以通过所述远程规则文件更新。

14、所述本地规则文件的步骤。 14.一种用于内网漏洞攻击防御的电子设备， 其特征在于， 所述电子设备包括处理器以 及存储器： 所述存储器用于存储程序代码， 并将所述程序代码传输给所述处理器； 所述处理器用于根据所述程序代码中的指令执行权利要求1-8任一项所述的方法。 15.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储程序代 码， 所述程序代码用于执行权利要求1-8任一项所述的方法。 权利要求书 3/3 页 4 CN 111565202 A 4 一种内网漏洞攻击防御方法及相关装置 技术领域 0001 本申请涉及计算机领域， 特别是涉及一种内网漏洞攻击防御方法及相关装置。 背。

15、景技术 0002 随着企业信息化的比例逐年提升， 企业内网安全成了企业信息安全的重要的一 环， 保护数据资产安全具有非常重要的意义。 一旦重要的数据被黑客获取到并进行非法交 易， 将对企业造成巨大的损失。 0003 黑客为获取公司内网的数据， 通常会攻破内网的某一台机器， 再通过漏洞攻击方 式进行内网横向扩散控制更多的机器， 控制了内网机器后， 就可以建立秘密的通道将文件 传输到黑客手上， 甚至是直接加密全盘文件对企业进行勒索 （勒索病毒） 。 因此， 在黑客对内 网进行攻击时， 如何及时的将漏洞攻击手段掐断， 就显得非常重要了。 0004 目前的漏洞攻击防御手段例如入侵防御系统 （Intru。

16、sion Prevention System， IPS） ， 虽然可以弥补入侵检测系统 （intrusion detection system， IDS） 的不足， 实时感知 漏洞攻击， 对攻击数据包进行拦截， 但是IPS处理压力非常大， 容易造成漏报和误报的情况， 并且一旦漏报或误报可能会影响整个企业网络的正常使用。 发明内容 0005 为了解决上述技术问题， 本申请提供了一种内网漏洞攻击防御方法及相关装置， 在每台内网电子设备的驱动层进行漏洞攻击检测， 并从驱动层对漏洞攻击数据包进行拦 截， 提高了漏洞攻击的响应速度。 另外， 对数据包的漏洞攻击检测分摊至每台内网电子设备 上， 从而降低漏。

17、洞攻击检测的处理压力。 随着处理压力减小， 也大大降低了漏报误报的影响 范围， 有效保证了内网中其他内网电子设备的正常使用。 0006 本申请实施例公开了如下技术方案： 第一方面， 本申请实施例提供一种内网漏洞攻击防御方法， 所述内网中包括多台内网 电子设备， 每台所述内网电子设备上的驱动层部署有流量检测模块， 所述方法包括： 所述内网电子设备读取功能配置文件并加载与所述功能配置文件对应的本地规则文 件； 在所述驱动层获取外网电子设备向所述内网电子设备发送的访问数据包； 调用所述驱动层部署的所述流量检测模块， 根据所述本地规则文件在所述驱动层对所 述访问数据包进行漏洞攻击检测处理， 以在所述内。

18、网电子设备的驱动层确定所述访问数据 包是否为漏洞攻击数据包； 所述电子设备在确定所述访问数据包为漏洞攻击数据包时， 对所述访问数据包进行阻 断处理， 以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子 设备的应用层。 0007 第二方面， 本申请实施例提供一种内网漏洞攻击防御装置， 所述内网中包括多台 内网电子设备， 每台所述内网电子设备上的驱动层部署有流量检测模块， 所述装置包括加 说明书 1/15 页 5 CN 111565202 A 5 载单元、 获取单元、 确定单元和阻断单元： 所述加载单元， 用于读取功能配置文件并加载与所述功能配置文件对应的本地规则文 件； 所述。

19、获取单元， 用于在所述驱动层获取外网电子设备向所述内网电子设备发送的访问 数据包； 所述确定单元， 用于调用所述驱动层部署的所述流量检测模块， 根据所述本地规则文 件在所述驱动层对所述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的驱动 层确定所述访问数据包是否为漏洞攻击数据包； 所述阻断单元， 用于在确定所述访问数据包为漏洞攻击数据包时， 对所述访问数据包 进行阻断处理， 以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内 网电子设备的应用层。 0008 第三方面， 本申请实施例提供一种用于内网漏洞攻击防御的电子设备， 所述电子 设备包括处理器以及存储器： 所述存储器用。

20、于存储程序代码， 并将所述程序代码传输给所述处理器； 所述处理器用于根据所述程序代码中的指令执行第一方面所述的方法。 0009 第四方面， 本申请实施例提供一种计算机可读存储介质， 所述计算机可读存储介 质用于存储程序代码， 所述程序代码用于执行第一方面所述的方法。 0010 由上述技术方案可以看出， 为了避免黑客对内网中包括的多台内网电子设备进行 漏洞攻击， 每台内网电子设备的驱动层部署流量检测模块执行漏洞攻击检测， 即内网中每 台内网电子设备可以根据读取的功能配置文件加载对应的本地规则文件， 若内网电子设备 获取到访问数据包， 则可以通过流量检测模块， 根据本地规则文件确定访问数据包是否为。

21、 漏洞攻击数据包。 若确定访问数据包为漏洞攻击数据包， 则阻断访问数据包从驱动层到达 内网电子设备的应用层， 达到防御漏洞攻击的目的。 由于在内网电子设备的驱动层部署流 量检测模块， 在每台内网电子设备的驱动层进行漏洞攻击检测， 并从驱动层对漏洞攻击数 据包进行拦截， 提高了漏洞攻击的响应速度。 另外， 对数据包的漏洞攻击检测分摊至每台内 网电子设备上， 从而降低漏洞攻击检测的处理压力。 同时， 随着处理压力减小， 大大降低了 漏报误报的可能性， 即使出现漏报误报也仅影响当前内网电子设备， 降低漏报误报的影响 范围， 保证内网中其他内网电子设备的正常使用。 附图说明 0011 为了更清楚地说明。

22、本申请实施例或现有技术中的技术方案， 下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本 申请的一些实施例， 对于本领域普通技术成员来讲， 在不付出创造性劳动性的前提下， 还可 以根据这些附图获得其他的附图。 0012 图1为相关技术中一种内网漏洞攻击防御方法的系统架构示意图； 图2为相关技术中另一种内网漏洞攻击防御方法的系统架构示意图； 图3为本申请实施例提供的一种内网漏洞攻击防御方法的系统架构示意图； 图4为本申请实施例提供的一种内网漏洞攻击防御方法的流程图； 图5为本申请实施例提供的另一种内网漏洞攻击防御方法的流程图； 说明书 2/15。

23、 页 6 CN 111565202 A 6 图6为本申请实施例提供的网络防御功能配置界面示意图； 图7为本申请实施例提供的规则运营服务器向内网中的内网电子设备下发漏洞规则库 的系统架构示意图； 图8为本申请实施例提供的确定访问数据包是否为漏洞攻击数据包的流程图； 图9为本申请实施例提供的规则图的数据结构示意图； 图10为本申请实施例提供的弹窗提示的界面示意图； 图11为本申请实施例提供的展示详细攻击信息的界面示意图； 图12为本申请实施例提供的一种确定访问数据包是否为漏洞攻击数据包的方法的流 程图； 图13为本申请实施例提供的另一种内网漏洞攻击防御方法的流程图； 图14为本申请实施例提供的一种。

24、内网漏洞攻击防御装置的结构图； 图15为本申请实施例提供的一种终端设备的结构图； 图16为本申请实施例提供的一种服务器的结构图。 具体实施方式 0013 下面结合附图， 对本申请的实施例进行描述。 0014 为了避免黑客通过漏洞攻击的方式， 控制内网中的内网电子设备， 威胁数据资产 安全， 相关技术中提供了多种漏洞攻击防御方式， 例如图1所示的IDS方式， IDS方式通常是 在内网104的网络路由设备102处通过交换机103做数据包端口镜像， 将内网104与外网101 通信的数据包复制到设备105并转到独立的服务器上进行异步旁路的检测。 IDS方式的缺陷 在于只能异步检测和告警， 而黑客进行漏。

25、洞攻击的数据包一旦发送到目标内网电子设备 上， 目标内网电子设备就很有可能被建立起隐藏通道与外部的黑客进行了文件传输。 0015 另一种方式是图2所示的IPS方式， IPS方式通常是IPS类设备206被串接在主干路 上， 内网202或隔离区 （demilitarized zone， DMZ） 201与外网203通信的数据包通过路由设 备204和防火墙205， 被IPS类设备206接收， IPS类设备206对及时对数据包进行漏洞攻击检 测， 弥补IDS方式的不足， 实时感知漏洞攻击， 对攻击数据包进行拦截。 但是， IPS方式成本很 高， 往往一台IPS类设备需要几十万， 其中还不包括设备的安装。

26、、 运营成本。 此外， IPS类设备 部署在公司的网络进出口， IPS类设备处理压力非常大， 容易造成漏报和误报的情况， 并且 一旦漏报或误报可能会影响整个企业网络的正常使用。 0016 为了解决上述技术问题， 本申请实施例提供一种内网漏洞攻击防御方法， 该方法 在内网中每台内网电子设备的驱动层部署流量检测模块执行漏洞攻击检测， 由于在内网电 子设备的驱动层部署流量检测模块， 在每台内网电子设备的驱动层进行漏洞攻击检测， 并 从驱动层对漏洞攻击数据包进行拦截， 提高了漏洞攻击的响应速度。 另外， 对数据包的漏洞 攻击检测分摊至每台内网电子设备上， 从而降低漏洞攻击检测的处理压力。 同时， 随着。

27、处理 压力减小， 也大大降低了漏报误报的可能性， 即使出现漏报误报也仅影响当前内网电子设 备， 降低漏报误报的影响范围， 保证内网中其他内网电子设备的正常使用。 0017 本申请实施例提供的内网漏洞攻击防御方法由内网中每台内网电子设备本身执 行， 无需额外的检测设备， 降低漏洞攻击检测的成本。 0018 本申请实施例所提供的方法涉及到云技术领域， 例如云安全(Cloud Security) ， 说明书 3/15 页 7 CN 111565202 A 7 云安全是指基于云计算商业模式应用的安全软件、 硬件、 用户、 机构、 安全云平台的总称。 云 安全融合了并行处理、 网格计算、 未知病毒行为判。

28、断等新兴技术和概念， 通过网状的大量客 户端对网络中软件行为的异常监测， 获取互联网中木马、 恶意程序的最新信息， 并发送到服 务端进行自动分析和处理， 再把病毒和木马的解决方案分发到每一个客户端。 0019 本申请实施例所涉及的云安全， 例如包括云计算安全中的云计算机系统安全、 用 户数据的安全存储与隔离、 网络攻击防护等。 0020 参见图3， 图3为本申请实施例提供的内网漏洞攻击防御方法的系统架构示意图。 该系统架构中内网300与外网400之间可以进行通信， 内网300与外网400之间通信的数据包 为访问数据包。 内网300中可以包括多个内网电子设备， 多个内网电子设备可以包括终端设 备。

29、301和服务器302， 服务器302可以是独立的物理服务器， 也可以是多个物理服务器构成的 服务器集群或者分布式系统， 还可以是提供云计算服务的云服务器。 终端设备301可以是智 能手机、 平板电脑、 笔记本电脑、 台式计算机、 智能音箱、 智能手表等， 但并不局限于此。 终端 设备301以及服务器302可以通过有线或无线通信方式进行直接或间接地连接， 本申请在此 不做限制。 0021 外网400中可以包括终端设备401， 终端设备401可以向内网300中的任一内网电子 设备发送访问数据包， 以请求访问该内网电子设备， 实现与内网300的通信。 0022 内网300中每个内网电子设备的驱动层部。

30、署流量检测模块以执行漏洞攻击检测， 内网300中每台内网电子设备上可以存储本地规则文件， 本地规则文件是漏洞攻击检测所 需使用的各种规则， 可以是云上的规则运营服务器下发到各个内网电子设备上的。 0023 内网300中每台内网电子设备可以根据读取的功能配置文件加载对应的本地规则 文件， 功能配置文件是根据后台的功能开关的开启/关闭状态生成的， 可以表征对应的网络 防御功能是否生效， 每个网络防御功能具有对应的规则， 故可以根据功能配置文件加载对 应的本地规则文件。 0024 当内网电子设备在驱动层获取到外网400中的终端设备401 （即外网电子设备） 发 送的访问数据包时， 调用内网电子设备的。

31、流量检测模块， 根据本地规则文件在驱动层对访 问数据包进行漏洞攻击检测处理， 从而确定访问数据包是否为漏洞攻击数据包。 若确定访 问数据包为漏洞攻击数据包， 则对访问数据包进行阻断处理， 以阻止访问数据包从驱动层 到达内网电子设备的应用层， 达到防御漏洞攻击的目的。 0025 本申请实施例提供的内网漏洞攻击防御方法可以有效的为各种企业例如银行、 公 司、 单位、 学校等抵御网络攻击， 保证其数据资产安全。 0026 接下来， 将结合附图， 以企业内网为例对本申请实施例提供的内网漏洞攻击防御 方法进行详细介绍。 0027 参见图4， 图4示出了一种内网漏洞攻击防御方法的流程图， 内网中包括多台内。

32、网 电子设备， 每台内网电子设备上的驱动层部署有流量检测模块， 所述方法包括： S401、 所述内网电子设备读取功能配置文件并加载与功能配置文件对应的本地规则文 件。 0028 在开始执行本申请实施例提供的方法时， 首先响应于用户针对内网电子设备的应 用层的启动操作， 读取功能配置文件 （参见图5中S501所示） ， 功能配置文件是根据后台的功 能开关的开启/关闭状态生成的， 可以表征对应的网络防御功能是否生效， 根据功能配置文 说明书 4/15 页 8 CN 111565202 A 8 件确定网络防御功能是否开启以及具体开启哪些网络防御功能 （参见图5中S502所示） 。 每 个网络防御功能。

33、具有对应的规则， 故可以加载与功能配置文件对应的本地规则文件， 加载 的本地规则文件中包括与开启的网络防御功能对应的规则 （参见图5中S503所示） 。 其中， 功 能配置文件可以用snort.conf文件表示， 本地规则文件可以用.rules文件表示。 0029 若网络防御功能的开关开启， 则表示网络防御功能生效， 则继续执行后续步骤。 否 则， 表示网络防御功能不生效， 则启动消息循环接收模块， 以获取通知消息 （参见图5中 S504） ， 该通知消息用于通知其网络防御功能不生效。 0030 其中， 功能开关的开/关状态是公司内网的安全运营人员登录到后台中心进行配 置的， 即可配置网络防御。

34、功能， 网络防御功能包括防御各种漏洞利用的功能。 如图6所示， 图 6中指示了常见的一些漏洞利用， 例如永恒之蓝漏洞利用攻击、 心脏滴血漏洞利用攻击等 等， 当开启该漏洞利用对应的开关， 即开启了防御该漏洞利用的功能 （即该网络防御功能） 。 其中， 图6中前4个开关的状态表示开关开启， 最后一个开关的状态表示开关关闭。 0031 本地规则文件是漏洞攻击检测所需使用的各种规则， 可以是云上的规则运营服务 器下发到各个内网电子设备上的。 参见图7所示， 规则运营服务器701可以向所有企业对应 的后台中心702下发漏洞规则库， 安全运营人员可登录到后台中心702选择规则项， 再推送 到内网中的各个。

35、终端设备703上。 0032 需要说明的是， 规则运营服务器701可以根据实际情况随时更新漏洞规则库， 例如 一旦有新的病毒被发现， 在云上的规则运营服务器701将对所有的企业下发最新的漏洞规 则库， 安全运营人员可登录到后台中心702选择最新的规则项， 再推送到内网中的各个终端 设备703上。 终端设备703一旦发现规则有更新， 将会读取最新的规则。 0033 S402、 内网电子设备在驱动层获取外网电子设备向内网电子设备发送的访问数据 包。 0034 外网电子设备可能会向内网电子设备发送访问数据包， 以请求访问内网电子设 备。 当外网电子设备发送访问数据包时， 内网中电子设备可以在驱动层获。

36、取该访问数据包， 以在驱动层对访问数据包进行漏洞攻击检测。 0035 由于可能存在很多外网电子设备请求访问内网电子设备， 故内网电子设备接收到 的访问数据包可以包括很多， 有一些访问数据包来自与特定的端口， 并且提前已经知晓该 端口是攻击者例如黑客的终端设备的端口， 在这种情况下， 为了减少漏洞攻击检测过程中 所需检测的访问数据包， 在一些可能的实施例中， 内网电子设备获取访问数据包的方式可 以是， 内网电子设备通过筛选平台 （Windows Filtering Platform， WFP） 接口接收访问数据 包， 接收的访问数据包中包括发送访问数据包的端口标识， 内网电子设备上记录了哪些端 。

37、口是攻击者的终端设备的端口， 因此， 通过WFP的过滤功能， 可以根据访问数据包所对应的 端口标识对访问数据包进行过滤， 得到过滤后的访问数据包。 若该端口标识表示访问数据 包是由攻击者的终端设备的端口发送的， 则过滤该访问数据包， 从而对过滤后的访问数据 包执行S403所述的步骤。 也就是说， 在图8中进入PacketLoop的访问数据包是通过WFP过滤 后得到的。 0036 S403、 内网电子设备调用所述驱动层部署的所述流量检测模块， 根据所述本地规 则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理， 以在所述内网电子设备的 驱动层确定所述访问数据包是否为漏洞攻击数据包。 说明书 。

38、5/15 页 9 CN 111565202 A 9 0037 内网电子设备的驱动层部署有流量检测模块， 在获取到访问数据包后， 可以通过 消息循环接收模块通知流量检测模块启动， 以对访问数据包进行漏洞攻击检测处理， 即内 网电子设备调用驱动层的流量检测模块确定访问数据包是否命中本地规则文件中的规则， 以确定访问数据包是否为漏洞攻击数据包 （参见图5中S505） ， 若是， 则确定该访问数据包为 漏洞攻击数据包。 0038 在一些可能的实施例中， 由于本地规则文件中可能包括很多条规则， 有一些规则 可能比较相似， 例如多条规则之间可能存在相同的部分， 在这种情况为， 为了避免在面对相 似的规则时。

39、， 针对每条规则都重新进行匹配以确定访问数据包是否命中该规则， 提高处理 速度， 基于多模匹配算法的特性， 根据本地规则文件在驱动层对访问数据包进行漏洞攻击 检测处理， 以在内网电子设备的驱动层确定访问数据包是否为漏洞攻击数据包的方式可以 是调用多模匹配算法确定访问数据包是否命中本地规则文件中的规则， 若访问数据包命中 本地规则文件中的至少一条规则， 则确定访问数据包为漏洞攻击数据包。 0039 例如， 本地规则文件中包括三条规则， 第一条规则包括A部分和B部分， 第二条规则 包括A部分和C部分， 第三条规则包括A部分和D部分， 则在确定访问数据包是否命中本地规 则文件中的规则时， 可以将访问。

40、数据包与第一条规则进行匹配， 确定访问数据包是否命中 第一条规则。 之后， 由于第二条规则、 第三条规则与第一条规则具有相同的部分即A部分， 故 针对第二条规则进行匹配时， 可以直接从C部分进行匹配， A部分则直接基于第一条规则的 匹配结果， 从而确定访问数据包是否命中第二条规则。 同理， 针对第三条规则进行匹配时， 可以直接从D部分进行匹配， A部分则直接基于第一条规则的匹配结果， 从而确定访问数据 包是否命中第三条规则。 0040 通过多模匹配算法实现漏洞攻击检测， 可以满足在规则数量庞大的时候， 降低漏 洞攻击检测的计算量， 提高处理速度， 保证终端设备网络正常使用。 0041 需要说明。

41、的是， 从程序执行角度， 内网电子设备调用驱动层部署的流量检测模块， 根据本地规则文件在驱动层对访问数据包进行漏洞攻击检测处理， 以内网电子设备的驱动 层确定访问数据包是否为漏洞攻击数据包的流程图可以参见图8所示。 响应于用户针对内 网电子设备的应用层的启动操作， 读取功能配置文件 （参见图8中S801所示） ， 加载与功能配 置文件对应的本地规则文件 （参见图8中S802所示） 。 一条规则要能被使用， 需要经过规则解 析和规则编译， 故在获取到本地规则文件后， 内网电子设备可以调用规则解析函数对本地 规则文件中的每条规则进行规则解析 （参见图8中S803所示） ， 接着， 调用规则编译函数。

42、对本 地规则文件中的规则解析后的每条规则进行规则编译 （参见图8中S804所示） ， 从而构建规 则图 （PORT_RULE_MAP） 。 其中， 规则解析可以通过ParseRules函数实现， 规则编译可以通过 fpCreateFastPacketDetection函数实现。 图8中S801所示的步骤相当于S501所示， S802所 示的步骤相当于S503所示。 0042 在本实施例中， 传输控制协议 （Transmission Control Protocol， TCP） /用户数据 报协议 （User Datagram Protocol， UDP） /控制报文协议 （Internet C。

43、ontrol Message Protocol， ICMP） /网际互连协议 （Internet Protocol， IP） 协议各有一份PORT_RULE_MAP。 当 外网电子设备发送访问数据包时， 可以通过筛选平台接口接收访问数据包， 以对访问数据 包进行过滤 ， 得到过滤后的 访问数据包（参见图 8中S805所示）， 即进入包循环 （PacketLoop） ， 对过滤后的访问数据包进行数据包解析， 以判断外网电子设备与内网电子 说明书 6/15 页 10 CN 111565202 A 10 设备之间的通信协议 （参见图8中S806所示） ， 然后调用多模匹配算法确定过滤后的访问数 据包。

44、是否命中本地规则文件中的规则， 以确定访问数据包是否为漏洞攻击数据包 （参见图8 中S807所示） ， 其中， 本地规则文件通过规则图形式体现， 通过输出插件输出访问数据包是 否为漏洞攻击数据包的确定结果 （参见图8中S808所示） 。 0043 在一些情况下， 针对一些特殊的漏洞攻击， 可以通过插件的形式进行漏洞攻击检 测， 此时， 可以首先进行预处理插件注册， 然后构建系统可支持的插件， 其可支持的插件例 如可以是frag 3、 httpinspect、 stream 5等， frag 3是对分片进行重组、 httpinspect是进 行地址规格化等功能、 stream 5是基于会话状态的。

45、检测。 接着， 利用插件对访问数据包进行 检测。 0044 需要说明的是， PORT_RULE_MAP的数据结构可以参见图9所示， PORT_RULE_MAP是 65535 （MAX_PORTS） 长度的整形数组， 包括三个数组， 分别是目的端口组合 （通过prmDstPort 表示） 、 源端口组合 （通过prmSrcPort 表示） 和未提供目的端口和源端口的组合即any- any端口的集合 （通过prmGeneric 表示） 。 0045 在利用本地规则文件时， 首先通过全局的SnortConf函数保存当前所有规则， 访问 数据包需要经过SnortConf再进行匹配。 结合上文提到的.r。

46、ules文件， 每条规则会提供匹配 的目的端口、 源端口， 规则加载时填充到prmDstPort 、 prmSrcPort ， 如果没提供端口则 写到prmGeneric 。 0046 PORT_RULE_MAP由端口组 （PORT_GROUP） 结构组成， PORT_GROUP结构保存着本地规 则文件中每条规则的详细信息， 每一个PORT_GROUP都对应着这个端口需要匹配的规则函 数、 规则内容、 流量偏移等信息。 规则函数、 规则链等信息是通过指针指向规则节点 （RULE_ NODE） 。 而每一个PORT_GROUP都可以有不同的匹配预设算法， 保存在模式匹配 （MPSE） 结构 中。。

47、 ACSM_STRUCT2是用于保存匹配详细内容的结构， 匹配详细内容例如包括匹配字符串、 长 度、 偏移等。 其中， 图9中实心的菱形加箭头表示组合关系， 即整体和部分之间的关系， 箭头 指向被组合的整体， 例如端口组可以组成规则图； 空心的菱形加箭头表示聚合关系， 即集体 和个体的关系， 箭头指向被聚合的集体， 例如， MPSE五种类型聚合成MPSE结构。 0047 基于PORT_RULE_MAP的数据结构， 访问数据包进入PacketLoop之后， 判断是什么协 议， 根据协议再寻找具体的端口组 （PORT_GROUP） 。 找到端口组后， 找到访问数据包匹配的端 口对应的RULE_NO。

48、DE， 最后选用对应的函数进行多模匹配等。 0048 S404、 所述内网电子设备在确定所述访问数据包为漏洞攻击数据包时， 对所述访 问数据包进行阻断处理， 以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到 达所述内网电子设备的应用层。 0049 若在内网电子设备的驱动层确定访问数据包为漏洞攻击数据包， 则对所述访问数 据包进行阻断处理， 以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所 述内网电子设备的应用层 （参见图5中S506） 。 0050 因为数据包的漏洞攻击检测是在驱动层进行的， 因此所有数据包可以实现同步的 拦截， 让黑客行为无处遁形。 0051 在一些可能的。

49、实施例中， 内网电子设备可以显示弹窗提示并上报该访问数据包， 以提示用户检测到攻击数据包 （参见图5中S507） ， 该弹窗提示用于提示检测到攻击数据包， 弹窗提示的界面示意图可以参见图10所示， 该弹窗提示中可以包括访问数据包的攻击信 说明书 7/15 页 11 CN 111565202 A 11 息， 该攻击信息可以包括风险描述、 远程地址、 攻击路径、 本地地址等。 0052 当点击图10中所示的 “日志” 时， 可以查看漏洞攻击的详细攻击信息， 例如可以是 攻击方和被攻击方的IP、 端口以及攻击类型 （攻击类型例如包括漏洞攻击和爆破攻击） 等， 参见图11所示。 0053 表1示出了不。

50、同漏洞攻击检测方法所对应的传输速度和中央处理器 （central processing unit， CPU） 占用情况， 其中， 有驱动、 有规则表示在驱动层根据本地规则文件进 行漏洞规则检测。 0054 表1 从表1可以看出， 只有在每条规则都命中的情况下， 传输速度和CPU占用率才会产生影 响， 而正常情况下基本上不会出现每个访问数据包都命中规则的情况， 因此， 本申请实施例 提供的方法可以在保证传输速度的基础上， 实现及时检测漏洞攻击， 且处理压力例如CPU的 占用率较小。 0055 由上述技术方案可以看出， 为了避免黑客对内网中包括的多台内网电子设备进行 漏洞攻击， 每台内网电子设备的。