CN102457415B - Ips检测处理方法、网络安全设备和系统 - Google Patents

Ips检测处理方法、网络安全设备和系统 Download PDF

Info

Publication number
CN102457415B
CN102457415B CN201110443289.0A CN201110443289A CN102457415B CN 102457415 B CN102457415 B CN 102457415B CN 201110443289 A CN201110443289 A CN 201110443289A CN 102457415 B CN102457415 B CN 102457415B
Authority
CN
China
Prior art keywords
flow
ips
server
client
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110443289.0A
Other languages
English (en)
Other versions
CN102457415A (zh
Inventor
薛智慧
蒋武
李世光
万时光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Symantec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Symantec Technologies Co Ltd filed Critical Huawei Symantec Technologies Co Ltd
Priority to CN201110443289.0A priority Critical patent/CN102457415B/zh
Publication of CN102457415A publication Critical patent/CN102457415A/zh
Priority to EP12863309.6A priority patent/EP2747345B1/en
Priority to PCT/CN2012/081547 priority patent/WO2013097493A1/zh
Priority to US14/317,278 priority patent/US9380067B2/en
Application granted granted Critical
Publication of CN102457415B publication Critical patent/CN102457415B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供一种IPS检测处理方法、网络安全设备和系统。方法,包括:确定内网设备是客户端还是服务器;若为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。本发明实施例,网络安全设备可以确定内网设备是客户端还是服务器,并根据确定结果对IPS签名规则库进行简化,根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。

Description

IPS检测处理方法、网络安全设备和系统
技术领域
本发明实施例涉及入侵防御系统(Intrusion Prevention System,以下简称:IPS)检测技术,尤其涉及一种IPS检测处理方法、网络安全设备和系统。
背景技术
IPS是一种防御网络流量威胁的系统,其可以对网络中的威胁,例如蠕虫、木马、僵尸、系统漏洞等进行准确识别和防御。该IPS可以被部署在防火墙等设备上,从而为对客户端或者服务器的安全进行防御。
具体来说,在现有的IPS设备上保存有一签名规则库,该签名规则库中存储有预先对网络中的威胁流量进行分析后提取的特征信息,该特征信息即为签名规则。在进行IPS防御时,IPS设备可以将签名规则库中的所有签名规则编译成一个状态机,该IPS设备在对网络流量进行检测时,该IPS设备可以将该网络流量的特征与状态机中的各状态进行比较,从而确定该网络流量是否是威胁流量,进而对其防御对象的安全进行防御。
但是,随着威胁流量的特征信息不断增加,签名规则库中存储的签名规则的数量也不断增加,导致生成的状态机较为庞大,进而导致对网络流量进行IPS检测时的检测效率降低。
发明内容
本发明实施例提供一种IPS检测处理方法、网络安全设备和系统,以提高IPS检测时的检测效率。
本发明实施例提供一种IPS检测处理方法,包括:
网络安全设备确定内网设备是客户端还是服务器,所述网络安全设备部署于内网设备和外网设备之间,用于保护内网设备的安全;
若为客户端,则所述网络安全设备将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;
所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。
本发明实施例提供一种网络安全设备,部署于内网设备和外网设备之间,用于保护内网设备的安全,所述网络安全设备包括:
确定模块,用于确定内网设备是客户端还是服务器;
规则库处理模块,用于若所述确定模块确定为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若所述确定模块确定为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;
流量检测模块,用于根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。
本发明实施例提供一种网络安全系统,包括:客户端、服务器和与所述客户端和服务器连接的网络安全设备,其中,所述网络安全设备采用上述的网络安全设备。
本发明实施例,网络安全设备可以确定其所保护的内网设备是客户端还是服务器,并且可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明IPS检测处理方法实施例一的流程图;
图2为本发明IPS检测处理方法实施例二的流程图;
图3为本发明IPS检测处理方法实施例三的流程图;
图4为本发明IPS检测处理方法实施例四的流程图;
图5为本发明网络安全设备实施例一的结构示意图;
图6为本发明网络安全设备实施例二的结构示意图;
图7为本发明网络安全设备实施例四的结构示意图;
图8为本发明网络安全系统实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明IPS检测处理方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、确定内网设备是客户端还是服务器。
网络安全设备,例如防火墙,可以确定内网设备是客户端还是服务器。
具体来说,网络安全设备一般是针对内网设备进行IPS检测的。但是,在现有技术中,网络安全设备在出厂时,并不区分其所需保护的内网设备是客户端还是服务器,因此,其内部预设的IPS签名规则库中包含的签名规则既有针对客户端的、又有针对服务器的,因此,对于内网设备为客户端的情况来说,现有的IPS签名规则库中与服务器对应的签名规则是冗余的,而对于内网设备为服务器的情况来看,现有的IPS签名规则库中与客户端对应的签名规则是冗余的。基于现有这种庞大的IPS签名规则库,其生成的状态机中的状态也相应地存在冗余,因此,在将流量的特征信息与状态机中的各状态进行比较时,其比较效率较低,也即IPS检测效率较低。
为此,本实施例中,网络安全设备在部署好后,需要区分其所保护的内网设备是客户端还是服务器,以便于后续对IPS签名规则库中与客户端对应的IPS签名规则库以及与服务器对应的IPS签名规则库进行区分处理。而网络安全设备确定内网设备是客户端还是服务器的具体实现方案可以灵活设计。举例来说,在网络安全设备部署好后,该网络安全设备可以通过其中设定的标识信息来确定目前的部署场景是内网设备为客户端或者服务器等。或者,网络安全设备可以通过测试,确定内网设备为客户端或服务器,例如网络安全设备尝试向内网设备发送各种服务请求消息,若能得到响应消息,则确定内网设备为服务器,否则为客户端;此外网络安全设备还可以通过发送网管命令,根据反馈的信息确定内网设备为客户端或服务器。本实施例并不对网络安全设备如何区分内网设备是客户端还是服务器的具体实现方案进行限定。
步骤102、若为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库。
网络安全设备在确定内网设备为客户端时,可以将现有的IPS签名规则库简化为与客户端对应的IPS签名规则库,而对于IPS签名规则库中与服务器对应的签名规则来说,既可以采用删除的处理方式,又可以采用去激活的处理方式,而去激活方式相对于删除方式来说,该网络安全设备后续还可以通过激活方式,部署在内网设备为服务器的场景。
网络安全设备在确定内网设备为服务器时,可以将现有的IPS签名规则库简化为与服务器对应的IPS签名规则库,而对于IPS签名规则库中与客户端对应的签名规则来说,则既可以采用删除的处理方式,又可以采用去激活的处理方式,而去激活方式相对于删除方式来说,该网络安全设备后续还可以通过激活方式,部署在内网设备为客户端的场景。
步骤103、根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。
相对于现有网络安全设备采用IPS签名规则库中全部签名规则生成状态机来说,本实施例中,网络安全设备可以采用简化处理后的IPS签名规则库中的签名规则生成状态机。具体来说,如果内网设备为客户端,则网络安全设备可以采用与客户端对应的IPS签名规则库中的签名规则生成状态机,而如果内网设备为服务器,则网络安全设备可以采用与服务器对应的IPS签名规则库中的签名规则生成状态机。由此可知,网络安全设备采用本实施例的方法生成的状态机去除了现有技术中冗余的状态。
在网络安全设备对流经该网络安全设备的流量进行IPS检测时,可以采用去除了冗余状态的状态机进行IPS检测,即将流量的特征信息与去除了冗余状态的状态机中各状态进行比较,其比较效率提高,IPS检测效率也相应提高。
本实施例,网络安全设备可以确定其所保护的内网设备是客户端还是服务器,并且可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
由于客户端通过网络安全设备流向服务器的流量与服务器通过网络安全设备流向客户端的流量,在流量特征上存在一定区别,因此,在具体实现图1所示实施例一时,网络安全设备可以采用流经该网络安全设备的流量信息作为参考,确定内网设备是客户端还是服务器。具体来说,图1所示步骤101可以具体为对流经的流量信息进行统计处理,获取流量特征信息;根据所述流量特征信息,确定内网设备是客户端还是服务器。
图2为本发明IPS检测处理方法实施例二的流程图,如图2所示,本实施例的方法可以包括:
步骤201、根据安全区域配置信息,确定内网接口和外网接口。
具体来说,网络安全设备,例如防火墙等,其默认存在以下几个安全域:本地域(以下简称:Local域)、信任域(以下简称:Trust域)、非信任域(以下简称:UnTrust域)、隔离区域(以下简称:DMZ域)。一般来说,安全级别需求较高的区域可以部署在Trust域,安全级别需求较低的区域可以部署在UnTrust域。内网的安全级别需求较高,因此,内网设备需要部署在Trust域,而外网设备则可以部署在UnTrust域,这些部署信息均可以在用户进行网络部署时记录在该网络安全设备的安全区域配置信息中。举例来说,该网络安全设备具有两个接口,即接口1和接口2,而根据该网络安全设备中存储的安全区域配置信息,该网络安全设备可以获知,接口1被配置为Trust域,而接口2被配置为UnTrust域,则该网络安全设备可以获知接口1为内网接口,接口2为外网接口。
步骤202、对从内网接口流入并从外网接口流出的流量进行统计处理,并对从外网接口流入并从内网接口流出的流量进行统计处理,获取流量特征信息。
网络安全设备在确定接口1为内网接口,接口2为外网接口后,可以对从接口1流入并从接口2流出的流量,即内网设备发送给外网设备的流量进行统计处理,并且还可以对从接口2流入并从接口1流出的流量,即外网设备发送给内网设备的流量进行统计处理,从而可以获取流经该网络安全设备的全部流量的流量特征信息。
需要说明的是,本领域技术人员可以根据需求自行设定统计时长,本实施例不做限定。
步骤203、根据该流量特征信息,判断内网设备是客户端还是服务器,若是客户端,则执行步骤204,若是服务器则执行步骤205。
网络安全设备在获取该流量特征信息后,则可以根据该流量特征信息判断内网设备是客户端还是服务器,也即该网络安全设备所需保护的设备是客户端还是服务器。该流量特征信息可以包括流量的大小、流量的协议类型、流量流经的端口等,本实施例不做限定。
具体来说,由于从客户端发送给服务器的流量与从服务器发送给客户端的流量,在流量的大小、流量的协议类型、流量流经的端口等特征上存在差别,例如,一般来说,从客户端发送给服务器的流量的大小大于从服务器发送给客户端的流量的大小,而且从客户端流出的流量的协议类型与从服务器流出的流量的协议类型之间也可能存在差异。因此,本实施例中,网络安全设备既可以单独采用上述特征信息进行判断,也可以结合全部特征信息进行判断,显然,结合全部特征信息进行判断的准确率相对较高。
步骤204、将IPS签名规则库中与服务器对应的签名规则设为去激活状态,执行步骤206。
如果网络安全设备在步骤203确定内网设备为客户端,则网络安全设备可以将其IPS签名规则库中与服务器对应的签名规则设为去激活状态,从而只保留与客户端对应的签名规则为激活状态。
步骤205、将IPS签名规则库中与客户端对应的签名规则设为去激活状态,执行步骤207。
如果网络安全设备在步骤203确定内网设备为服务器,则网络安全设备可以将其IPS签名规则库中与客户端对应的签名规则设为去激活状态,从而只保留与服务器对应的签名规则为激活状态。
步骤206、根据与客户端对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤207、根据与服务器对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤206和步骤207的实现过程在前述图1所示实施例中已经详细说明,此处不再赘述。
本实施例,网络安全设备可以采用安全区域配置信息确定内网接口和外网接口,并进一步通过流经的流量的特征信息确定内网设备是客户端还是服务器,从而可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
下面采用两个具体的实施例对本发明的技术方案进行详细说明。
图3为本发明IPS检测处理方法实施例三的流程图,如图3所示,本实施例对图2所示方法实施例中的步骤203进行了细化,本实施例的方法可以包括:
步骤301、根据安全区域配置信息,确定内网接口和外网接口。
步骤302、对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2。
步骤303、判断流量P1是否大于流量P2,若是,则执行步骤304,否则执行步骤305。
步骤304、确定内网设备为客户端,并将IPS签名规则库中与服务器对应的签名规则设为去激活状态,执行步骤306。
步骤305、确定内网设备为服务器,并将IPS签名规则库中与客户端对应的签名规则设为去激活状态,执行步骤307。
一般来说,服务器不会主动发起流量发送的行为,因此,从客户端到服务器的流量大于从服务器到客户端的流量。因此,如果网络安全设备的统计结果是P1>P2,则可以确定内网设备为客户端,如果P1≤P2,则可以确定内网设备为服务器。
步骤306、根据与客户端对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤307、根据与服务器对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
本实施例,网络安全设备可以采用安全区域配置信息确定内网接口和外网接口,并进一步判断从内网流向外网的流量与从外网流向内网的流量之间的大小,从而确定内网设备是客户端还是服务器,进而可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
图4为本发明IPS检测处理方法实施例四的流程图,如图4所示,本实施例对图2所示方法实施例中的步骤203进行了细化,本实施例的方法可以包括:
步骤401、根据安全区域配置信息,确定内网接口和外网接口。
步骤402、对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据协议特征库中存储的协议特征信息或者流量端口号确定流量P1的协议类型和流量P2的协议类型。
步骤403、判断流量P1是否大于流量P2,若是,则执行步骤404,否则执行步骤405。
步骤404、若流量P2的协议类型为与服务器对应的协议类型,则确定内网设备为客户端,执行步骤406。
步骤405、若流量P1的协议类型为与服务器对应的协议类型,则确定内网设备为服务器,执行步骤407。
具体来说,服务器与客户端在支持的协议类型上存在一定区别。以文件传输协议(File Transfer Protocol,以下简称:FTP)来说,服务器除FTP报文之外一般不会主动发送报文,因此在流量P1大于流量P2的情况下,如果流量P2的协议类型为FTP,则可以确定外网设备为服务器,内网设备为客户端。在P2大于P1的情况下,如果流量P1的协议类型仅为FTP,则可以确定内网设备为服务器,外网设备为客户端。
在具体实现时,有些应用协议还可以使用默认的端口号,例如,超文本传输协议(HyperText Transfer Protocol,以下简称:HTTP)采用的端口号为80,FTP采用的端口号为21,因此,网络安全设备可以根据流量的端口号来确定该流量对应的协议类型,而有些应用协议可以不使用默认端口,对于这种情况就需要协议特征库来识别流量的协议类型。
步骤406、将IPS签名规则库中与服务器对应的签名规则设为去激活状态,执行步骤408。
步骤407、将IPS签名规则库中与客户端对应的签名规则设为去激活状态,执行步骤409。
步骤408、根据与客户端对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
步骤409、根据与服务器对应的IPS签名规则库中的签名规则生成状态机,并应用该状态机,对流经的流量进行IPS检测。
本实施例,网络安全设备可以采用安全区域配置信息确定内网接口和外网接口,并进一步通过判断从内网流向外网的流量与从外网流向内网的流量之间的大小以及流量的协议类型,来确定内网设备是客户端还是服务器,进而可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
图5为本发明网络安全设备实施例一的结构示意图,如图5所示,本实施例的设备可以包括:确定模块11、规则库处理模块12以及流量检测模块13,其中,确定模块11,用于确定内网设备是客户端还是服务器;规则库处理模块12,用于若确定模块11确定为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若确定模块12确定为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;流量检测模块13,用于根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。
本实施例的网络安全设备,用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本发明网络安全设备实施例二的结构示意图,如图6所示,本实施例的设备在图5所示设备结构的基础上,进一步地,还包括:接口确定模块14,确定模块11可以包括:流量统计单元111和确定单元112,其中,接口确定模块14,用于根据安全区域配置信息,确定内网接口和外网接口;流量统计单元111,用于对流经的流量信息进行统计处理,获取流量特征信息,具体来说,该流量统计单元111,具体用于对从所述内网接口流入并从所述外网接口流出的流量进行统计处理,并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理;确定单元112,用于根据流量统计单元111获得的流量特征信息,确定所述内网设备是客户端还是服务器。规则库处理模块12,具体用于将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态,或者将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。
本实施例的网络安全设备,用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明网络安全设备实施例三中,其可以采用图6所示设备结构,本实施例在图6所示网络安全设备实施例二的基础上,流量统计单元111具体用于对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2;确定单元112,具体用于若所述流量P1大于所述流量P2,则确定所述内网设备为客户端,若所述流量P2小于等于所述流量P1,则确定所述内网设备为服务器。
本实施例的网络安全设备,用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明网络安全设备实施例四的结构示意图,如图7所示,本实施例的设备在图6所示设备结构的基础上,进一步地,还包括:协议特征库15,用于存储各协议的协议特征信息;流量统计单元111,具体用于对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据所述协议特征库中存储的协议特征信息或者流量端口号确定所述流量P1的协议类型和所述流量P2的协议类型;确定单元112,具体用于若所述流量P1大于所述流量P2且所述流量P2的协议类型为文件传输协议,则确定所述内网设备为客户端,若所述流量P1小于等于所述流量P2且所述流量P1的协议类型为文件传输协议,则确定所述内网设备为服务器。
本实施例的网络安全设备,用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明网络安全系统实施例的结构示意图,如图8所示,本实施例的系统可以包括:客户端1、服务器2和与客户端1和服务器2连接的网络安全设备3,其中,该网络安全设备3可以采用上述网络安全设备实施例一~实施例四的结构,其对应地用于执行图1~图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (13)

1.一种入侵防御系统IPS检测处理方法,其特征在于,包括:
网络安全设备确定内网设备是客户端还是服务器,所述网络安全设备部署于内网设备和外网设备之间,用于保护内网设备的安全;
若为客户端,则所述网络安全设备将IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将IPS签名规则库简化为与所述服务器对应的IPS签名规则库;
所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成去除冗余状态的状态机,并应用所述状态机,对流经的流量进行IPS检测。
2.根据权利要求1所述的方法,其特征在于,所述确定内网设备是客户端还是服务器,包括:
所述网络安全设备对流经的流量信息进行统计处理,获取流量特征信息;
根据所述流量特征信息,确定所述内网设备是客户端还是服务器。
3.根据权利要求2所述的方法,其特征在于,所述对流经的流量信息进行统计处理之前,还包括:
根据所述网络安全设备的安全区域配置信息,确定内网接口和外网接口;
所述对流经的流量信息进行统计处理,包括:
对从所述内网接口流入并从所述外网接口流出的流量进行统计处理,并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。
4.根据权利要求2或3所述的方法,其特征在于,所述流量特征信息,包括:从内网流向外网的流量P1以及从外网流向内网的流量P2;
所述根据所述流量特征信息,确定所述内网设备是客户端还是服务器,包括:
若所述流量P1大于所述流量P2,则确定所述内网设备为客户端,若所述流量P1小于等于所述流量P2,则确定所述内网设备为服务器。
5.根据权利要求2或3所述的方法,其特征在于,所述获取流量特征信息,包括:
获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据协议特征库中存储的协议特征信息或者流量端口号确定所述流量P1的协议类型和所述流量P2的协议类型;
所述根据所述流量特征信息,确定所述内网设备是客户端还是服务器,包括:
若所述流量P1大于所述流量P2且所述流量P2的协议类型为与服务器对应的协议类型,则确定所述内网设备为客户端,若所述流量P1小于等于所述流量P2且所述流量P1的协议类型为与服务器对应的协议类型,则确定所述内网设备为服务器。
6.根据权利要求1~3中任一项所述的方法,其特征在于,所述将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,包括:
将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态;
所述将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库,包括:
将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。
7.一种网络安全设备,部署于内网设备和外网设备之间,用于保护内网设备的安全,其特征在于,所述网络安全设备包括:
确定模块,用于确定内网设备是客户端还是服务器;
规则库处理模块,用于若所述确定模块确定为客户端,则将IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若所述确定模块确定为服务器,则将IPS签名规则库简化为与所述服务器对应的IPS签名规则库;
流量检测模块,用于根据简化处理后的IPS签名规则库中的签名规则生成去除冗余状态的状态机,并应用所述状态机,对流经的流量进行IPS检测。
8.根据权利要求7所述的设备,其特征在于,所述确定模块,包括:
流量统计单元,用于对流经的流量信息进行统计处理,获取流量特征信息;
确定单元,用于根据所述流量统计单元获得的流量特征信息,确定所述内网设备是客户端还是服务器。
9.根据权利要求8所述的设备,其特征在于,还包括:
接口确定模块,用于根据安全区域配置信息,确定内网接口和外网接口;
所述流量统计单元,具体用于对从所述内网接口流入并从所述外网接口流出的流量进行统计处理,并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。
10.根据权利要求8或9所述的设备,其特征在于,所述流量统计单元具体用于对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2;
所述确定单元,具体用于若所述流量P1大于所述流量P2,则确定所述内网设备为客户端,若所述流量P1小于等于所述流量P2,则确定所述内网设备为服务器。
11.根据权利要求8或9所述的设备,其特征在于,还包括:
协议特征库,用于存储各协议的协议特征信息;
所述流量统计单元,具体用于对流经的流量信息进行统计处理,获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据所述协议特征库中存储的协议特征信息或者流量端口号确定所述流量P1的协议类型和所述流量P2的协议类型;
所述确定单元,具体用于若所述流量P1大于所述流量P2且所述流量P2的协议类型为文件传输协议,则确定所述内网设备为客户端,若所述流量P1小于等于所述流量P2且所述流量P1的协议类型为文件传输协议,则确定所述内网设备为服务器。
12.根据权利要求7~9中任一项所述的设备,其特征在于,所述规则库处理模块,具体用于将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态,或者将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。
13.一种网络安全系统,包括:客户端、服务器和与所述客户端和服务器连接的网络安全设备,其特征在于,所述网络安全设备采用权利要求7~12中任一项所述的网络安全设备。
CN201110443289.0A 2011-12-27 2011-12-27 Ips检测处理方法、网络安全设备和系统 Active CN102457415B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201110443289.0A CN102457415B (zh) 2011-12-27 2011-12-27 Ips检测处理方法、网络安全设备和系统
EP12863309.6A EP2747345B1 (en) 2011-12-27 2012-09-18 Ips detection processing method, network security device and system
PCT/CN2012/081547 WO2013097493A1 (zh) 2011-12-27 2012-09-18 Ips检测处理方法、网络安全设备和系统
US14/317,278 US9380067B2 (en) 2011-12-27 2014-06-27 IPS detection processing method, network security device, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110443289.0A CN102457415B (zh) 2011-12-27 2011-12-27 Ips检测处理方法、网络安全设备和系统

Publications (2)

Publication Number Publication Date
CN102457415A CN102457415A (zh) 2012-05-16
CN102457415B true CN102457415B (zh) 2015-08-19

Family

ID=46040111

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110443289.0A Active CN102457415B (zh) 2011-12-27 2011-12-27 Ips检测处理方法、网络安全设备和系统

Country Status (4)

Country Link
US (1) US9380067B2 (zh)
EP (1) EP2747345B1 (zh)
CN (1) CN102457415B (zh)
WO (1) WO2013097493A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457415B (zh) 2011-12-27 2015-08-19 华为数字技术(成都)有限公司 Ips检测处理方法、网络安全设备和系统
CN106789860B (zh) 2016-03-02 2021-02-05 新华三技术有限公司 一种签名规则加载方法及装置
US10491400B2 (en) * 2016-08-23 2019-11-26 Solarflare Communications, Inc. System and apparatus for providing network security
CN106375330B (zh) * 2016-09-21 2020-01-17 东软集团股份有限公司 数据检测的方法及装置
CN109753518A (zh) * 2018-12-28 2019-05-14 成都九洲电子信息系统股份有限公司 基于规则数据的数据深度威胁检测系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101695031A (zh) * 2009-10-27 2010-04-14 成都市华为赛门铁克科技有限公司 入侵防御系统的升级方法和装置
CN101707601A (zh) * 2009-11-23 2010-05-12 成都市华为赛门铁克科技有限公司 入侵防御检测方法、装置和网关设备

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6415321B1 (en) * 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
US7058821B1 (en) * 2001-01-17 2006-06-06 Ipolicy Networks, Inc. System and method for detection of intrusion attacks on packets transmitted on a network
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7664963B2 (en) * 2002-11-04 2010-02-16 Riverbed Technology, Inc. Data collectors in connection-based intrusion detection
US7949732B1 (en) * 2003-05-12 2011-05-24 Sourcefire, Inc. Systems and methods for determining characteristics of a network and enforcing policy
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
CN1317855C (zh) 2003-09-16 2007-05-23 联想(北京)有限公司 一种入侵检测系统及其入侵检测方法
GB2422507A (en) * 2005-01-21 2006-07-26 3Com Corp An intrusion detection system using a plurality of finite state machines
US7624084B2 (en) * 2006-10-09 2009-11-24 Radware, Ltd. Method of generating anomaly pattern for HTTP flood protection
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
US8448249B1 (en) * 2007-07-31 2013-05-21 Hewlett-Packard Development Company, L.P. Methods and systems for using lambda transitions for processing regular expressions in intrusion-prevention systems
US10091229B2 (en) * 2008-01-09 2018-10-02 Masergy Communications, Inc. Systems and methods of network security and threat management
KR101005856B1 (ko) * 2008-11-17 2011-01-05 한국과학기술원 전송 계층에서 트래픽을 분류하는 방법 및 장치
US20100192225A1 (en) * 2009-01-28 2010-07-29 Juniper Networks, Inc. Efficient application identification with network devices
US7944822B1 (en) * 2009-07-10 2011-05-17 Narus, Inc. System and method for identifying network applications
US8180916B1 (en) * 2009-07-17 2012-05-15 Narus, Inc. System and method for identifying network applications based on packet content signatures
CN101778012A (zh) 2009-12-30 2010-07-14 北京天融信科技有限公司 一种采用amp架构提升ips检测性能的方法
CN101834760B (zh) 2010-05-20 2013-01-30 杭州华三通信技术有限公司 一种基于ips设备的攻击检测方法及ips设备
CN102457415B (zh) * 2011-12-27 2015-08-19 华为数字技术(成都)有限公司 Ips检测处理方法、网络安全设备和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101695031A (zh) * 2009-10-27 2010-04-14 成都市华为赛门铁克科技有限公司 入侵防御系统的升级方法和装置
CN101707601A (zh) * 2009-11-23 2010-05-12 成都市华为赛门铁克科技有限公司 入侵防御检测方法、装置和网关设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于入侵防御系统的完备化规则库;王杰等;《计算机工程与应用》;20090930(第9期);第88-91页 *

Also Published As

Publication number Publication date
US20140317718A1 (en) 2014-10-23
EP2747345A1 (en) 2014-06-25
WO2013097493A1 (zh) 2013-07-04
EP2747345A4 (en) 2014-12-03
CN102457415A (zh) 2012-05-16
EP2747345B1 (en) 2016-08-03
US9380067B2 (en) 2016-06-28

Similar Documents

Publication Publication Date Title
CN102457415B (zh) Ips检测处理方法、网络安全设备和系统
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN103139184B (zh) 智能网络防火墙设备及网络攻击防护方法
CA2543291C (en) Method and system for addressing intrusion attacks on a computer system
KR101534192B1 (ko) 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법
EP2785009A1 (en) Method and apparatus for detecting a multi-stage event
EP2785008A1 (en) Method and apparatus for detecting a multi-stage event
CN102497362A (zh) 异常网络流量的攻击源追踪方法及装置
CN109845227B (zh) 用于网络安全的方法和系统
CN103888480B (zh) 基于云监测的网络信息安全性鉴定方法及云端设备
CN103634268A (zh) 安全控制方法及装置
CN110868418A (zh) 一种威胁情报生成方法、装置
CN110602135A (zh) 网络攻击处理方法、装置以及电子设备
US20150026806A1 (en) Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack
CN108183884B (zh) 一种网络攻击判定方法及装置
CN107944307B (zh) 一种计算机安全防护管理系统
CN109409113A (zh) 一种电网数据安全防护方法和分布式电网数据安全防护系统
Lee et al. Multi-stage intrusion detection system using hidden markov model algorithm
CN103824017A (zh) 监控恶意程序的方法和监控平台
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
CN106209867B (zh) 一种高级威胁防御方法及系统
CN109005181A (zh) 一种dns放大攻击的检测方法、系统及相关组件
CN108322460B (zh) 一种业务系统流量监测系统
KR101721035B1 (ko) 차량 침입 탐지 장치 및 방법
CN103619012A (zh) 一种移动互联网安全评估的方法、系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd.

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD.

C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220804

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd.

Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China

Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.