CN101834760B - 一种基于ips设备的攻击检测方法及ips设备 - Google Patents
一种基于ips设备的攻击检测方法及ips设备 Download PDFInfo
- Publication number
- CN101834760B CN101834760B CN 201010176876 CN201010176876A CN101834760B CN 101834760 B CN101834760 B CN 101834760B CN 201010176876 CN201010176876 CN 201010176876 CN 201010176876 A CN201010176876 A CN 201010176876A CN 101834760 B CN101834760 B CN 101834760B
- Authority
- CN
- China
- Prior art keywords
- protection
- sign
- detection rule
- rule
- ips
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种基于IPS设备的攻击检测方法及IPS设备,本发明公开的IPS设备包括:用于根据配置的检测规则进行攻击检测的攻击检测引擎,用于存储检测规则的攻击特征库,还包括:对应关系存储单元,用于存储保护对象标识与检测规则标识的对应关系信息;检测规则配置单元,分别与所述对应关系存储单元、所述攻击特征库和所述攻击检测引擎连接,用于根据所述对应关系存储单元存储的对应关系信息,获取与需要检测的保护对象标识对应的检测规则标识;根据所述攻击特征库获取与该检测规则标识对应的检测规则,并将获取到的检测规则配置到所述攻击检测引擎。采用本发明,可提高检测规则配置的合理性,并且可以兼顾IPS设备的检测效率和性能。
Description
技术领域
本发明涉及通信领域的网络管理技术,尤其涉及一种基于IPS设备的攻击检测方法及IPS设备。
背景技术
对网络中的流量进行攻击检测,是IPS(入侵保护系统)设备的主要职责,而对于现有的的IPS设备来说,大都是依靠模式匹配来检测攻击,因此,内置在IPS设备里的检测规则就是IPS设备的核心。为了应对随之增加的网络病毒和网络攻击事件,IPS设备内置的检测规则也越来越多,导致IPS设备检测的负荷也越来越重。
图1示出了IPS设备的攻击检测的基本架构。其中,攻击特征库11包含成千上万的攻击检测规则,当用户选择攻击检测规则后,检测规则配置单元12将用户所选择的检测规则下发到攻击检测引擎13,攻击检测引擎13中的协议识别单元131对网络报文进行模式匹配,攻击检测单元132根据配置的检测规则进行攻击确认,最终由攻击响应单元133根据攻击检测单元132的检测结果对攻击报文采取相应的动作。
如果IPS内置的检测规则过多,过于复杂,就会因IPS设备需要进行大量的模式匹配处理,而导致网络处理性能低下,如果检测规则过少,又会导致网络病毒或者攻击无法检测。因此,如何在不影响IPS病毒或者攻击检测能力的前提下,提高IPS的网络处理性能是IPS设备一直需要追寻的目标,即:IPS设备应该在不影响网络流量的情况下,检测和防范攻击。
现有IPS设备大多都有上千条检测规则,多的可达上万条检测规则。对于众多的检测规则,IPS设备一般会按攻击的类型、攻击的级别、攻击基于的 协议或者攻击基于的服务等进行一一分类。当用户使用时,可以根据规则的分类,选择某一类或者几类检测规则,或者选择所有的攻击检测规则。IPS设备就会根据用户的选择启用选中的检测规则,对网络的流量进行攻击检测。
当然,一般的IPS设备会内置一些缺省的策略,该策略中默认启用一些检测规则,这样用户也可以不用自己选择启用的检测规则,而是直接利用系统默认的配置启用相应的检测规则。
发明人在实现本发明的过程中,发现现有技术至少存在以下问题:
按照目前IPS设备采用的规则分类方式,对于用户来说,其使用是比较困难的。一般的用户对攻击检测并不是很清楚,对于攻击的分类、攻击的验证级别以及攻击基于的协议等,也许根本不了解,或者了解不多,面对成千上万的攻击检测规则,很难选择出合适的攻击检测规则。为了达到IPS设备的最佳检测效果,很多用户可能会将所有的检测规则都配置上,这样就能检测“所有”的攻击或者病毒,那么IPS设备就会由于检测规则过多而导致性能下降或者设备的内存空间占用过大,影响网络的使用。可见,由于现有IPS设备的检测规则设置技术存在的上述问题,会给IPS设备的处理性能造成影响,且影响攻击检测效率。
比如:用户的实际网络中可能都是windows系统,那么针对其他的操作系统的攻击规则,就可以不启用,也不需要检测,或者IPS设备仅仅保护邮件服务器,那么针对Web服务器的攻击规则也不需要启用。类似这种不确定的网络情况,仅靠内置的缺省策略,或者靠用户设置的不太合理的检测策略,会导致攻击检测效果和IPS设备性能不能兼顾。
发明内容
本发明提供了一种基于IPS设备的攻击检测方法及IPS设备,用以解决现有IPS设备的检测规则设置方式导致的攻击检测效果差的问题。
本发明提供的基于IPS设备的攻击检测方法,应用于入侵保护系统IPS设备,所述IPS设备中配置有保护对象标识与检测规则标识的对应关系,该方法包括:
获取需要检测的保护对象的标识;
根据IPS设备中配置的所述对应关系,获取与所述需要检测的保护对象的标识对应的检测规则标识;
根据获取到的检测规则标识,配置对应的检测规则;
根据本发明的上述方法,所述获取需要检测的保护对象标识,包括以下之一或任意组合:
接收用户提交的保护对象描述信息,根据该保护对象描述信息获取对应的保护对象标识;
通过对经过IPS设备的网络报文进行识别,确定出保护对象信息,并根据确定出的保护对象信息获取对应的保护对象标识;
通过对IPS设备所保护的网段进行扫描,获取保护对象信息,并根据获取到的保护对象信息获取对应的保护对象标识;
接收设备客户端上报的信息,根据该信息确定该设备客户端所具有的保护对象,并根据该保护对象获取对应的保护对象标识。
上述方法中,保护对象标识包括第一级标识以及该第一级标识下的各级子标识;当获取到的所述需要检测的保护对象的标识为其下包括有子标识的保护对象标识时,所获取到的对应的检测规则标识包括:该获取到的保护对象标识其下的子标识所对应的检测规则标识。
本发明提供的IPS设备,包括:用于根据配置的检测规则进行攻击检测的攻击检测引擎,以及用于存储检测规则的攻击特征库,还包括:
对应关系存储单元,用于存储保护对象标识与检测规则标识的对应关系信息;
检测规则配置单元,分别与所述对应关系存储单元、所述攻击特征库和所述攻击检测引擎连接,用于根据所述对应关系存储单元存储的对应关系信息,获取与需要检测的保护对象标识对应的检测规则标识;根据所述攻击特征库获取与该检测规则标识对应的检测规则,并将获取到的检测规则配置到所述攻击检测引擎;
所述IPS设备,其特征在于,还包括以下单元之一或任意单元组合:
用户接口单元,与所述检测规则配置单元连接,用于接收用户提交的保护对象描述信息,根据预先配置的保护对象描述信息与保护对象标识的对应关系,获取与用户提交的保护对象描述信息对应的保护对象标识,并将该保护对象标识发送给所述检测规则配置单元;
保护对象识别单元,与所述检测规则配置单元连接,用于通过对经过IPS设备的网络报文进行识别,确定出该报文对应的保护对象,以及确定出该保护对象的标识,并将确定出的保护对象标识发送给所述检测规则配置单元;
网络扫描单元,与所述检测规则配置单元连接,用于对该IPS设备所保护的网段进行扫描,获取保护对象信息,根据该保护对象信息获取对应的保护对象标识,并将获取到的保护对象标识发送给所述检测规则配置单元;
信息收集单元,与所述检测规则配置单元连接,用于接收各设备客户端上报的信息,根据接收到的信息确定各设备所具有的保护对象,并获取对应的保护对象标识,将获取到的保护对象标识发送给检测规则配置单元。
所述保护对象识别单元具体用于,根据网络报文的协议类型,确定该协议类型对应的保护对象;或者,根据网络报文中的特定字段,确定该字段所对应的保护对象。
所述网络扫描单元具体用于,根据扫描到的主机设备开启的端口,确定该端口对应的保护对象;或者,根据扫描到的设备版本信息,确定针对该设备的版本对应的保护对象。
所述网络扫描单元具体用于,根据设定周期对其所保护的网段进行扫描。
上述IPS设备中,所述对应关系存储单元存储的保护对象标识包括第一级标识以及该第一级标识下的各级子标识;所述检测规则配置单元具体用于,当获取到的所述需要检测的保护对象的标识为其下包括有子标识的保护对象标识时,所获取到的对应的检测规则标识包括:该获取到的保护对象标识其下的子标识所对应的检测规则标识。
本发明的有益技术效果包括:
本发明通过预先配置保护对象标识与检测规则标识的对应关系,然后在获取到需要保护的保护对象的标识后,确定与其对应的检测规则标识,再根据该检测规则标识获取对应的检测规则进行配置,从而提供了一种基于保护对象进行监测规则配置的技术方案。通过保护对象引导进行监测规则配置,可以有针对性的进行监测规则配置,从而一方面提高了检测规则配置的合理性,另一方面兼顾了IPS设备的检测效率和性能。
附图说明
图1为现有技术中的IPS设备的攻击检测的基本架构示意图;
图2为本发明实施例中基于IPS设备的攻击检测流程示意图;
图3为本发明实施例提供的IPS设备的结构示意图之一;
图4为本发明实施例提供的IPS设备的结构示意图之二;
图5为本发明实施例提供的IPS设备的结构示意图之三;
图6为本发明实施例提供的IPS设备的结构示意图之四。
具体实施方式
为了解决现有技术存在的上述问题,本发明实施例提出了一种基于IPS设备的攻击检测技术方案。在本发明实施例中,基于保护对象分类来配置检测规则,通过从保护对象的角度引导用户进行IPS检测规则配置,从而使用 户可以较为合理地配置IPS检测规则,进而可以在保证攻击检测效果的同时使IPS设备的性能得到兼顾。
下面结合本发明的实施例中的附图,对本发明的实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明的实施例保护的范围。
本发明实施例中,引入了保护对象(Protected Object),并提供基于保护对象设置检测规则的检测规则配置方法。
保护对象(Protected Object)即为IPS设备保护的实体,多个保护对象可组成一个保护对象策略(Protected Object Policy),该策略中包含适用该保护对象的攻击检测规则。
根据实际网络中的应用,保护对象具体的分类可包括:
根据操作系统类型分类,具体分类可包括:Windows、Linux、Novell、Sun Solaris、Unix、Mac OS、Multi OS、other(其他)等;
根据网络设备类型分类,具体分类可包括:Cisco、Juniper、Nortel、Dlink、Linksys、HP、Nokia、Other(其他)等;
根据办公软件类型分类,具体分类可包括:Microsoft Office、WPS、Adobe Acrobat、Other(其他)等;
根据WEB服务器类型分类,具体分类可包括:Apache、IIS、AIX、WebLogic、Tomcat、Resin、Other(其他)等;
根据FTP(File Transfer Protocol,文件传输协议)服务器类型分类,具体分类可包括:Serv-U、WU-FTPD、WS_FTP、NetTerm FTP、3CDeamon、ProFTPD、Other(其他)等;
根据DNS(Domain Name System,域名系统)服务器类型分类,具体分 类可包括:Bind、Other(其他)等;
根据数据库类型分类,具体分类可包括:Mysql、MS-SQL、Oracle、Sybase、DB2、ACCESS、Infomix、PostgreSQL、SQLite、Other(其他)等;
根据Web应用程序类型分类,具体分类可包括:PHP、JSP、ASP、perl、c、Other(其他)等;
根据应用软件类型分类,具体分类可包括:IM、Download、Game、Media Player、Security、Backup、mail client、other(其他)等;
根据邮件服务器类型分类,具体分类可包括:SendMail、Lotus Notes、foxmail、MS Exchange、iPlanet、IPSwitch、Other(其他)等;
根据浏览器类型分类,具体分类可包括:Internet Explorer、Mozila Firefox、Netscape、Maxthon、Tencent Traveler、Other(其他)等。
按照上述保护对象的分类,根据保护对象大类(如上述的操作系统、网络设备等)和子类(如操作系统中的Windows、Linux等)的分类方式,对其进行编码。本发明实施例可以采用如下模式进行编码:type-subtype-secsubtype,比如:表示操作系统中的windows系统类型,可以利用1-1表示,如果再区分Windows98、Windows2000、WindowsXP等,可以继续追加,用1-1-1来表示,其中,第一个1表示操作系统对象,第二个1表示操作系统对象中的windows对象,第三个1表示windows对象中的windows98对象,以此类推。
保护对象属性还存在一种包容关系,大类包容子类(或子对象),比如:1-1类型包含1-1-1、1-1-2、1-1-3等。
根据以上保护对象的定义,本发明实施例提供了几种IPS设备的检测规则配置方案。其中,每一条检测规则,可以属于上述保护对象中的一类或者多类,并可通过检测规则的标识(或编码)与保护对象的标识(或编码)进行关联,以体现保护对象与检测规则的对应关系。比如:某条检测规则适用于Windows98系统,也适用于Windows2000系统,那么该条检测规则对应的 保护对象为:1-1-1(windows98对象的编号)和1-1-2(Windows2000对象的编号);再比如,某条检测规则适用于各种版本的windows系统,那么该条检测规则可对应于1-1(windows对象的编号,该对象包容有其下的子对象,如windows98对象、Windows2000对象等),即,与1-1对应的检测规则应该包括针对windows保护对象下的所有子类(或子对象)的检测规则。
本发明实施例提供的IPS设备的检测规则配置方案中,可预先将保护对象与检测规则的对应关系信息存储在IPS设备中,当IPS设备获取到需要检测的保护对象的标识时,可根据存储的该对应关系信息获取到对应的检测规则标识,并将该检测规则标识或者将对应的检测规则配置到该IPS设备的攻击检测引擎中,这样,当启动攻击检测引擎时,就可以根据其中配置的检测规则进行攻击检测。当然,也可以将保护对象的标识配置到攻击检测引擎中,这样,当启动攻击检测引擎时,就可以根据其中配置的保护对象标识获取对应的检测规则,并根据获取到的检测规则进行攻击检测。
下面结合图2所示的IPS设备,对本发明实施例提供的检测规则配置过程和攻击检测过程进行详细描述。
参见图2,为本发明的一个实施例提供的IPS设备的结构示意图。如图所示,该IPS设备可包括:攻击特征库21、检测规则配置单元22、攻击检测引擎23,还包括对应关系存储单元24。其中:
攻击特征库21,主要用于存储攻击检测规则;
对应关系存储单元24,用于存储保护对象标识(或编号)与检测规则标识(或编号)的对应关系;
检测规则配置单元22,主要用于接收保护对象的信息(如前述的保护对象标识或编号),并通过查询对应关系存储单元24中存储的对应关系,找到与接收到的保护对象标识对应的检测规则标识;然后,检测规则配置单元22根据找到的检测规则标识从攻击特征库21中获取对应的检测规则,并将检测 规则配置到攻击检测引擎23中;
攻击检测引擎23,主要用于在被启动时,根据其中配置的检测规则进行攻击检测。
其中,攻击检测引擎23的功能和攻击检测处理方式可与如图1所示的攻击检测引擎相同或相似,具体的,攻击检测引擎23中可包括协议识别单元231、攻击检测单元232和攻击响应单元233;其中:
协议识别单元231,主要用于对网络报文进行协议识别和协议处理,如进行模式匹配;
攻击检测单元232,主要用于根据攻击检测引擎23中配置的检测规则,对协议识别单元231处理后的报文进行攻击检测;
攻击响应单元233,主要用于根据攻击检测单元232的检测结果,对攻击报文采取相应的处理操作。
本发明实施例中,提供了以下几种检测规则的配置方式:
方式一:用户指定保护对象
针对该种方式,可在图2所示的IPS设备的基础上增加用户接口单元25,如图3所示,该用户接口模块单元25与检测规则配置单元22连接。该用户接口单元25可提供与用户的交互界面,并能够接收用户通过该交互界面所提交的保护对象信息(如保护对象标识),然后将接收到的保护对象标识提交给检测规则配置单元22,后续的规则配置处理过程以及攻击检测过程可如前所述,在此不再赘述。
通常情况下,提供给用户的交互界面上显示出保护对象的描述信息,如保护对象的名称(如Windows2000),用户在选择保护对象描述信息并提交后,用户接口单元25可根据用户提交的保护对象描述信息获取对应的保护对象标识(保护对象描述信息和保护对象标识的对应关系可预先存储在IPS设备中),然后将保护对象标识发送给检测规则配置单元22。
采用该方式,用户在使用IPS设备时,可根据实际的网络情况,选择IPS设备保护的对象,比如:其网络中都是windows系统,那么就只需选择windows保护对象,其他的操作系统不选择,这样就可以减少启用的检测规则数目,从而使IPS设备在有针对性的进行攻击检测的同时,能够有更好的处理性能。
方式二:IPS设备自学习
针对该种方式,可在如图2所示的IPS设备中增加保护对象识别单元26,如图4所示,该保护对象识别单元26与检测规则配置单元22连接。该保护对象识别单元26可对经过该IPS设备的网络报文进行识别,确定出该报文所对应的保护对象(比如:可以根据网络报文的协议类型来识别,如果该报文为HTTP(HyperText Transfer Protocol,超文本传输协议)报文,那么就可以启用Web相关的保护对象,此外,还可以从HTTP请求报文中的user-agent字段获知客户端浏览器的类型,如,是IE浏览器还是FireFoxe浏览器,从HTTP回应报文中的server字段可以获知Web服务器的类型,如,是IIS服务还是Apache服务,从而决定启用相应的浏览器对象、Web服务器对象;同样,如果该报文为FTP报文,则可以启用FTP服务相关的保护对象,从FTP报文中还可以获知FTP服务器的类型,进而启用相关的保护对象。以上策略信息(即根据报文协议或类型确定对应保护对象的策略信息)可预先配置到IPS设备上。
然后,IPS设备将确定出的保护对象信息(如保护对象标识)发送给规则配置单元22,规则配置单元22可根据该保护对象标识获取对应的检测规则并配置到攻击检测引擎23,从而在攻击检测引擎23启动后,根据配置的检测规则进行攻击检测。其中,规则配置单元22的检测规则配置过程,以及攻击检测引擎23的攻击检测过程,与前述相应处理过程相同或相似,在此不再赘述。
由于在实际网络中,接入的设备会时常变化,为了避免由于网络中设备的变化而实时更新IPS设备的检测规则,采用该种方式,可以让IPS设备通过 自己学习网络中的流量,根据网络流量的的报文类型或者协议类型识别网络中的保护对象,从而自动启用相关的保护对象所对应的攻击检测规则,实现对网络的保护。
方式三:IPS设备扫描网络识别保护对象
针对该种方式,可在如图2所示的IPS设备中增加网络扫描单元27,如图5所示,该网络扫描单元27与检测规则配置单元22连接。该网络扫描单元27可以对该IPS设备所处的网段进行扫描,获取保护对象的信息。比如:根据端口进行扫描,如果网络中有的主机开启80/8080/8088等端口,那么该网络中就可能存在Web服务器,如果开启21端口,那么该网络中就可能存在FTP服务器;对于这些服务器还可以扫描出来其版本类型,如,是IIS Web服务器还是Apache Web服务器等;或者根据ping命令的TTL返回值判断网络中的主机是Linux系统还是Windows系统,从而可以根据以上网络扫描得到的结果确定需要保护的对象。以上策略信息(即根据网络扫描结果确定对应保护对象的策略信息)可预先配置到IPS设备上。
然后,IPS设备将获取到的保护对象信息发送给检测规则配置单元22。后续检测规则配置单元22的检测规则配置操作,以及攻击检测引擎23的攻击检测处理过程,可与前述相应的处理过程相同或相似,在此不再赘述。
采用该种方式,IPS设备可以通过扫描网络的方法来实现。在使用IPS设备时,先让IPS设备对保护的网段进行扫描,获取保护对象的信息,然后启用对应的检测规则,避免用户的干预。
较佳地,为了适应网络的动态变化,IPS设备上的网络扫描单元27可以定时启用,根据最新的网络情况,实时更新下发的检测规则。
方式四:与客户端检测软件联动
如果网络中的设备安装了客户端软件或其他类似的能够收集客户端相关信息的软件,比如:H3C的智能客户端软件,那么IPS设备可以与客户端软 件或其他类似的客户端软件联动以确定需要保护的对象。具体的,客户端软件可以向IPS设备反馈该客户端所在设备安装的操作系统、软件、补丁等信息,从而使IPS设备能够根据接收到的信息确定出保护对象,并根据确定出的保护对象获取对应的检测规则并配置到攻击检测引擎中。IPS设备可通过常规接口单元接收客户端软件等软件上报的信息,并提交给该IPS设备的检测规则配置单元22。后续检测规则配置单元22的检测规则配置操作,以及攻击检测引擎23的攻击检测处理过程,可与前述相应的处理过程相同或相似,在此不再赘述。
如图6所示,IPS设备也可通过新增加信息收集单元28来接收各设备客户端上报的信息,并进行处理,如根据客户端上报的信息确定各设备所具有的保护对象,获取对应的保护对象标识,然后发送给检测规则配置单元22。
采用该种方式,基于客户端软件的优势,可比IPS设备自学习和网络扫描的方式获取的保护对象信息更加全面。IPS设备根据客户端软件反馈的保护对象信息,精准的下发攻击检测规则,使得IPS设备以最少的检测代价,检测最多的攻击。
需要说明的是,以上各种检测规则配置方式可相互组合使用,相应的可在如图2所示的IPS设备中,根据需要增加用户接口单元25、保护对象识别单元26、网络扫描单元27、信息收集单元28中的一个或多个。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (7)
1.一种检测规则配置方法,应用于入侵保护系统IPS设备,所述IPS设备中配置有保护对象标识与检测规则标识的对应关系,其特征在于,包括:
获取需要检测的保护对象的标识;
根据IPS设备中配置的所述对应关系,获取与所述需要检测的保护对象的标识对应的检测规则标识;
根据获取到的检测规则标识,配置对应的检测规则;
其中,所述获取需要检测的保护对象标识,包括以下之一或任意组合:
接收用户提交的保护对象描述信息,根据该保护对象描述信息获取对应的保护对象标识;
通过对经过IPS设备的网络报文进行识别,确定出保护对象信息,并根据确定出的保护对象信息获取对应的保护对象标识;
通过对IPS设备所保护的网段进行扫描,获取保护对象信息,并根据获取到的保护对象信息获取对应的保护对象标识;
接收设备客户端上报的信息,根据该信息确定该设备客户端所具有的保护对象,并根据该保护对象获取对应的保护对象标识。
2.如权利要求1所述的方法,其特征在于,保护对象标识包括第一级标识以及该第一级标识下的各级子标识;
当获取到的所述需要检测的保护对象的标识为其下包括有子标识的保护对象标识时,所获取到的对应的检测规则标识包括:该获取到的保护对象标识其下的子标识所对应的检测规则标识。
3.一种IPS设备,包括:用于根据配置的检测规则进行攻击检测的攻击检测引擎,以及用于存储检测规则的攻击特征库,其特征在于,还包括:
对应关系存储单元,用于存储保护对象标识与检测规则标识的对应关系信息;
检测规则配置单元,分别与所述对应关系存储单元、所述攻击特征库和所述攻击检测引擎连接,用于根据所述对应关系存储单元存储的对应关系信息,获取与需要检测的保护对象标识对应的检测规则标识;根据所述攻击特征库获取与该检测规则标识对应的检测规则,并将获取到的检测规则配置到所述攻击检测引擎;
所述IPS设备,其特征在于,还包括以下单元之一或任意单元组合:
用户接口单元,与所述检测规则配置单元连接,用于接收用户提交的保护对象描述信息,根据预先配置的保护对象描述信息与保护对象标识的对应关系,获取与用户提交的保护对象描述信息对应的保护对象标识,并将该保护对象标识发送给所述检测规则配置单元;
保护对象识别单元,与所述检测规则配置单元连接,用于通过对经过IPS设备的网络报文进行识别,确定出该报文对应的保护对象,以及确定出该保护对象的标识,并将确定出的保护对象标识发送给所述检测规则配置单元;
网络扫描单元,与所述检测规则配置单元连接,用于对该IPS设备所保护的网段进行扫描,获取保护对象信息,根据该保护对象信息获取对应的保护对象标识,并将获取到的保护对象标识发送给所述检测规则配置单元;
信息收集单元,与所述检测规则配置单元连接,用于接收各设备客户端上报的信息,根据接收到的信息确定各设备所具有的保护对象,并获取对应的保护对象标识,将获取到的保护对象标识发送给检测规则配置单元。
4.如权利要求3所述的IPS设备,其特征在于,所述保护对象识别单元具体用于,根据网络报文的协议类型,确定该协议类型对应的保护对象;或者,根据网络报文中的特定字段,确定该字段所对应的保护对象。
5.如权利要求3所述的IPS设备,其特征在于,所述网络扫描单元具体用于,根据扫描到的主机设备开启的端口,确定该端口对应的保护对象;或者,根据扫描到的设备版本信息,确定针对该设备的版本对应的保护对象。
6.如权利要求3所述的IPS设备,其特征在于,所述网络扫描单元具体用于,根据设定周期对其所保护的网段进行扫描。
7.如权利要求3-6任一项所述的IPS设备,其特征在于,所述对应关系存储单元存储的保护对象标识包括第一级标识以及该第一级标识下的各级子标识;
所述检测规则配置单元具体用于,当获取到的所述需要检测的保护对象的标识为其下包括有子标识的保护对象标识时,所获取到的对应的检测规则标识包括:该获取到的保护对象标识其下的子标识所对应的检测规则标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010176876 CN101834760B (zh) | 2010-05-20 | 2010-05-20 | 一种基于ips设备的攻击检测方法及ips设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010176876 CN101834760B (zh) | 2010-05-20 | 2010-05-20 | 一种基于ips设备的攻击检测方法及ips设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101834760A CN101834760A (zh) | 2010-09-15 |
| CN101834760B true CN101834760B (zh) | 2013-01-30 |
Family
ID=42718696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010176876 Active CN101834760B (zh) | 2010-05-20 | 2010-05-20 | 一种基于ips设备的攻击检测方法及ips设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101834760B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457415B (zh) | 2011-12-27 | 2015-08-19 | 华为数字技术(成都)有限公司 | Ips检测处理方法、网络安全设备和系统 |
| CN102932370B (zh) * | 2012-11-20 | 2015-11-25 | 华为技术有限公司 | 一种安全扫描方法、设备及系统 |
| CN104184726A (zh) * | 2014-07-25 | 2014-12-03 | 汉柏科技有限公司 | 一种基于协议识别防止ips漏报的方法与装置 |
| CN105592049B (zh) * | 2015-09-07 | 2019-01-25 | 新华三技术有限公司 | 一种攻击防御规则的开启方法和装置 |
| CN105959290A (zh) * | 2016-06-06 | 2016-09-21 | 杭州迪普科技有限公司 | 攻击报文的检测方法及装置 |
| CN107659540B (zh) * | 2016-07-25 | 2021-01-26 | 中兴通讯股份有限公司 | 动态行为分析方法、装置、系统及设备 |
| CN107580005A (zh) * | 2017-11-01 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 网站防护方法、装置、网站防护设备及可读存储介质 |
| CN110839088A (zh) * | 2018-08-16 | 2020-02-25 | 深信服科技股份有限公司 | 一种被虚拟货币挖矿的检测方法、系统、装置及存储介质 |
| JP7176455B2 (ja) | 2019-03-28 | 2022-11-22 | オムロン株式会社 | 監視システム、設定装置および監視方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094234A (zh) * | 2007-07-20 | 2007-12-26 | 北京启明星辰信息技术有限公司 | 一种基于行为特征的p2p协议精确识别方法及系统 |
| CN101399710B (zh) * | 2007-09-29 | 2011-06-22 | 北京启明星辰信息技术股份有限公司 | 一种协议格式异常检测方法及系统 |
-
2010
- 2010-05-20 CN CN 201010176876 patent/CN101834760B/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
| CN105119783B (zh) * | 2015-09-30 | 2020-01-31 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101834760A (zh) | 2010-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101834760B (zh) | 一种基于ips设备的攻击检测方法及ips设备 | |
| US11381984B2 (en) | Device classification based on rank | |
| US11550560B2 (en) | Enhanced device updating | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US10348749B2 (en) | Method and apparatus for detecting port scans in a network | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| US8458301B1 (en) | Automated configuration of network devices administered by policy enforcement | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| CN111478920A (zh) | 一种隐蔽信道通信检测方法、装置及设备 | |
| CN109274637A (zh) | 确定分布式拒绝服务攻击的系统和方法 | |
| CN108183950A (zh) | 一种网络设备建立连接的方法及装置 | |
| CN103313429A (zh) | 一种识别伪造wifi热点的处理方法 | |
| CN105530138A (zh) | 一种数据监控方法及装置 | |
| CN112270346A (zh) | 基于半监督学习的物联网设备识别方法及装置 | |
| CN109729176A (zh) | 网络请求方法及装置 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| CN112528296B (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
| CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
| CN108040124B (zh) | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 | |
| CN105959292A (zh) | 设备使用权限的识别方法、管理服务器及系统 | |
| CN109889619B (zh) | 基于区块链的异常域名监测方法及装置 | |
| CN113810381A (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| CN107743113A (zh) | 一种网站攻击的检测方法及系统 | |
| CN112565203A (zh) | 一种集中管理平台 | |
| US20230370482A1 (en) | Method for identifying successful attack and protection device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |