具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明IPS检测处理方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、确定内网设备是客户端还是服务器。
网络安全设备,例如防火墙,可以确定内网设备是客户端还是服务器。
具体来说,网络安全设备一般是针对内网设备进行IPS检测的。但是,在现有技术中,网络安全设备在出厂时,并不区分其所需保护的内网设备是客户端还是服务器,因此,其内部预设的IPS签名规则库中包含的签名规则既有针对客户端的、又有针对服务器的,因此,对于内网设备为客户端的情况来说,现有的IPS签名规则库中与服务器对应的签名规则是冗余的,而对于内网设备为服务器的情况来看,现有的IPS签名规则库中与客户端对应的签名规则是冗余的。基于现有这种庞大的IPS签名规则库,其生成的状态机中的状态也相应地存在冗余,因此,在将流量的特征信息与状态机中的各状态进行比较时,其比较效率较低,也即IPS检测效率较低。
为此,本实施例中,网络安全设备在部署好后,需要区分其所保护的内网设备是客户端还是服务器,以便于后续对IPS签名规则库中与客户端对应的IPS签名规则库以及与服务器对应的IPS签名规则库进行区分处理。而网络安全设备确定内网设备是客户端还是服务器的具体实现方案可以灵活设计。举例来说,在网络安全设备部署好后,该网络安全设备可以通过其中设定的标识信息来确定目前的部署场景是内网设备为客户端或者服务器等。或者,网络安全设备可以通过测试,确定内网设备为客户端或服务器,例如网络安全设备尝试向内网设备发送各种服务请求消息,若能得到响应消息,则确定内网设备为服务器,否则为客户端;此外网络安全设备还可以通过发送网管命令,根据反馈的信息确定内网设备为客户端或服务器。本实施例并不对网络安全设备如何区分内网设备是客户端还是服务器的具体实现方案进行限定。
步骤102、若为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库。
网络安全设备在确定内网设备为客户端时,可以将现有的IPS签名规则库简化为与客户端对应的IPS签名规则库,而对于IPS签名规则库中与服务器对应的签名规则来说,既可以采用删除的处理方式,又可以采用去激活的处理方式,而去激活方式相对于删除方式来说,该网络安全设备后续还可以通过激活方式,部署在内网设备为服务器的场景。
网络安全设备在确定内网设备为服务器时,可以将现有的IPS签名规则库简化为与服务器对应的IPS签名规则库,而对于IPS签名规则库中与客户端对应的签名规则来说,则既可以采用删除的处理方式,又可以采用去激活的处理方式,而去激活方式相对于删除方式来说,该网络安全设备后续还可以通过激活方式,部署在内网设备为客户端的场景。
步骤103、根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。
相对于现有网络安全设备采用IPS签名规则库中全部签名规则生成状态机来说,本实施例中,网络安全设备可以采用简化处理后的IPS签名规则库中的签名规则生成状态机。具体来说,如果内网设备为客户端,则网络安全设备可以采用与客户端对应的IPS签名规则库中的签名规则生成状态机,而如果内网设备为服务器,则网络安全设备可以采用与服务器对应的IPS签名规则库中的签名规则生成状态机。由此可知,网络安全设备采用本实施例的方法生成的状态机去除了现有技术中冗余的状态。
在网络安全设备对流经该网络安全设备的流量进行IPS检测时,可以采用去除了冗余状态的状态机进行IPS检测,即将流量的特征信息与去除了冗余状态的状态机中各状态进行比较,其比较效率提高,IPS检测效率也相应提高。
本实施例,网络安全设备可以确定其所保护的内网设备是客户端还是服务器,并且可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
由于客户端通过网络安全设备流向服务器的流量与服务器通过网络安全设备流向客户端的流量,在流量特征上存在一定区别,因此,在具体实现图1所示实施例一时,网络安全设备可以采用流经该网络安全设备的流量信息作为参考,确定内网设备是客户端还是服务器。具体来说,图1所示步骤101可以具体为对流经的流量信息进行统计处理,获取流量特征信息;根据所述流量特征信息,确定内网设备是客户端还是服务器。
图2为本发明IPS检测处理方法实施例二的流程图,如图2所示,本实施例的方法可以包括:
步骤201、根据安全区域配置信息,确定内网接口和外网接口。
具体来说,网络安全设备,例如防火墙等,其默认存在以下几个安全域:本地域(以下简称:Local域)、信任域(以下简称:Trust域)、非信任域(以下简称:UnTrust域)、隔离区域(以下简称:DMZ域)。一般来说,安全级别需求较高的区域可以部署在Trust域,安全级别需求较低的区域可以部署在UnTrust域。内网的安全级别需求较高,因此,内网设备需要部署在Trust域,而外网设备则可以部署在UnTrust域,这些部署信息均可以在用户进行网络部署时记录在该网络安全设备的安全区域配置信息中。举例来说,该网络安全设备具有两个接口,即接口1和接口2,而根据该网络安全设备中存储的安全区域配置信息,该网络安全设备可以获知,接口1被配置为Trust域,而接口2被配置为UnTrust域,则该网络安全设备可以获知接口1为内网接口,接口2为外网接口。
步骤202、对从内网接口流入并从外网接口流出的流量进行统计处理,并对从外网接口流入并从内网接口流出的流量进行统计处理,获取流量特征信息。
网络安全设备在确定接口1为内网接口,接口2为外网接口后,可以对从接口1流入并从接口2流出的流量,即内网设备发送给外网设备的流量进行统计处理,并且还可以对从接口2流入并从接口1流出的流量,即外网设备发送给内网设备的流量进行统计处理,从而可以获取流经该网络安全设备的全部流量的流量特征信息。
需要说明的是,本领域技术人员可以根据需求自行设定统计时长,本实施例不做限定。
步骤203、根据该流量特征信息,判断内网设备是客户端还是服务器,若是客户端,则执行步骤204,若是服务器则执行步骤205。
网络安全设备在获取该流量特征信息后,则可以根据该流量特征信息判断内网设备是客户端还是服务器,也即该网络安全设备所需保护的设备是客户端还是服务器。该流量特征信息可以包括流量的大小、流量的协议类型、流量流经的端口等,本实施例不做限定。
具体来说,由于从客户端发送给服务器的流量与从服务器发送给客户端的流量,在流量的大小、流量的协议类型、流量流经的端口等特征上存在差别,例如,一般来说,从客户端发送给服务器的流量的大小大于从服务器发送给客户端的流量的大小,而且从客户端流出的流量的协议类型与从服务器流出的流量的协议类型之间也可能存在差异。因此,本实施例中,网络安全设备既可以单独采用上述特征信息进行判断,也可以结合全部特征信息进行判断,显然,结合全部特征信息进行判断的准确率相对较高。
步骤204、将IPS签名规则库中与服务器对应的签名规则设为去激活状态,执行步骤206。
如果网络安全设备在步骤203确定内网设备为客户端,则网络安全设备可以将其IPS签名规则库中与服务器对应的签名规则设为去激活状态,从而只保留与客户端对应的签名规则为激活状态。
步骤205、将IPS签名规则库中与客户端对应的签名规则设为去激活状态,执行步骤207。
如果网络安全设备在步骤203确定内网设备为服务器,则网络安全设备可以将其IPS签名规则库中与客户端对应的签名规则设为去激活状态,从而只保留与服务器对应的签名规则为激活状态。
步骤206、根据与客户端对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤207、根据与服务器对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤206和步骤207的实现过程在前述图1所示实施例中已经详细说明,此处不再赘述。
本实施例,网络安全设备可以采用安全区域配置信息确定内网接口和外网接口,并进一步通过流经的流量的特征信息确定内网设备是客户端还是服务器,从而可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
下面采用两个具体的实施例对本发明的技术方案进行详细说明。
图3为本发明IPS检测处理方法实施例三的流程图,如图3所示,本实施例对图2所示方法实施例中的步骤203进行了细化,本实施例的方法可以包括:
步骤301、根据安全区域配置信息,确定内网接口和外网接口。
步骤302、对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2。
步骤303、判断流量P1是否大于流量P2,若是,则执行步骤304,否则执行步骤305。
步骤304、确定内网设备为客户端,并将IPS签名规则库中与服务器对应的签名规则设为去激活状态,执行步骤306。
步骤305、确定内网设备为服务器,并将IPS签名规则库中与客户端对应的签名规则设为去激活状态,执行步骤307。
一般来说,服务器不会主动发起流量发送的行为,因此,从客户端到服务器的流量大于从服务器到客户端的流量。因此,如果网络安全设备的统计结果是P1>P2,则可以确定内网设备为客户端,如果P1≤P2,则可以确定内网设备为服务器。
步骤306、根据与客户端对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤307、根据与服务器对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
本实施例,网络安全设备可以采用安全区域配置信息确定内网接口和外网接口,并进一步判断从内网流向外网的流量与从外网流向内网的流量之间的大小,从而确定内网设备是客户端还是服务器,进而可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
图4为本发明IPS检测处理方法实施例四的流程图,如图4所示,本实施例对图2所示方法实施例中的步骤203进行了细化,本实施例的方法可以包括:
步骤401、根据安全区域配置信息,确定内网接口和外网接口。
步骤402、对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据协议特征库中存储的协议特征信息或者流量端口号确定流量P1的协议类型和流量P2的协议类型。
步骤403、判断流量P1是否大于流量P2,若是,则执行步骤404,否则执行步骤405。
步骤404、若流量P2的协议类型为与服务器对应的协议类型,则确定内网设备为客户端,执行步骤406。
步骤405、若流量P1的协议类型为与服务器对应的协议类型,则确定内网设备为服务器,执行步骤407。
具体来说,服务器与客户端在支持的协议类型上存在一定区别。以文件传输协议(File Transfer Protocol,以下简称:FTP)来说,服务器除FTP报文之外一般不会主动发送报文,因此在流量P1大于流量P2的情况下,如果流量P2的协议类型为FTP,则可以确定外网设备为服务器,内网设备为客户端。在P2大于P1的情况下,如果流量P1的协议类型仅为FTP,则可以确定内网设备为服务器,外网设备为客户端。
在具体实现时,有些应用协议还可以使用默认的端口号,例如,超文本传输协议(HyperText Transfer Protocol,以下简称:HTTP)采用的端口号为80,FTP采用的端口号为21,因此,网络安全设备可以根据流量的端口号来确定该流量对应的协议类型,而有些应用协议可以不使用默认端口,对于这种情况就需要协议特征库来识别流量的协议类型。
步骤406、将IPS签名规则库中与服务器对应的签名规则设为去激活状态,执行步骤408。
步骤407、将IPS签名规则库中与客户端对应的签名规则设为去激活状态,执行步骤409。
步骤408、根据与客户端对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤409、根据与服务器对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
本实施例,网络安全设备可以采用安全区域配置信息确定内网接口和外网接口,并进一步通过判断从内网流向外网的流量与从外网流向内网的流量之间的大小以及流量的协议类型,来确定内网设备是客户端还是服务器,进而可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
图5为本发明网络安全设备实施例一的结构示意图,如图5所示,本实施例的设备可以包括:确定模块11、规则库处理模块12以及流量检测模块13,其中,确定模块11,用于确定内网设备是客户端还是服务器;规则库处理模块12,用于若确定模块11确定为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若确定模块12确定为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;流量检测模块13,用于根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。
本实施例的网络安全设备,用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本发明网络安全设备实施例二的结构示意图,如图6所示,本实施例的设备在图5所示设备结构的基础上,进一步地,还包括:接口确定模块14,确定模块11可以包括:流量统计单元111和确定单元112,其中,接口确定模块14,用于根据安全区域配置信息,确定内网接口和外网接口;流量统计单元111,用于对流经的流量信息进行统计处理,获取流量特征信息,具体来说,该流量统计单元111,具体用于对从所述内网接口流入并从所述外网接口流出的流量进行统计处理,并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理;确定单元112,用于根据流量统计单元111获得的流量特征信息,确定所述内网设备是客户端还是服务器。规则库处理模块12,具体用于将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态,或者将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。
本实施例的网络安全设备,用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明网络安全设备实施例三中,其可以采用图6所示设备结构,本实施例在图6所示网络安全设备实施例二的基础上,流量统计单元111具体用于对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2;确定单元112,具体用于若所述流量P1大于所述流量P2,则确定所述内网设备为客户端,若所述流量P2小于等于所述流量P1,则确定所述内网设备为服务器。
本实施例的网络安全设备,用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明网络安全设备实施例四的结构示意图,如图7所示,本实施例的设备在图6所示设备结构的基础上,进一步地,还包括:协议特征库15,用于存储各协议的协议特征信息;流量统计单元111,具体用于对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据所述协议特征库中存储的协议特征信息或者流量端口号确定所述流量P1的协议类型和所述流量P2的协议类型;确定单元112,具体用于若所述流量P1大于所述流量P2且所述流量P2的协议类型为文件传输协议,则确定所述内网设备为客户端,若所述流量P1小于等于所述流量P2且所述流量P1的协议类型为文件传输协议,则确定所述内网设备为服务器。
本实施例的网络安全设备,用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明网络安全系统实施例的结构示意图,如图8所示,本实施例的系统可以包括:客户端1、服务器2和与客户端1和服务器2连接的网络安全设备3,其中,该网络安全设备3可以采用上述网络安全设备实施例一~实施例四的结构,其对应地用于执行图1~图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。