CN102694820A - 签名规则的处理方法、服务器及入侵防御系统 - Google Patents
签名规则的处理方法、服务器及入侵防御系统 Download PDFInfo
- Publication number
- CN102694820A CN102694820A CN2012101943526A CN201210194352A CN102694820A CN 102694820 A CN102694820 A CN 102694820A CN 2012101943526 A CN2012101943526 A CN 2012101943526A CN 201210194352 A CN201210194352 A CN 201210194352A CN 102694820 A CN102694820 A CN 102694820A
- Authority
- CN
- China
- Prior art keywords
- safety means
- signature
- signature rule
- rule
- lastest imformation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例公开了一种签名规则的处理方法、服务器及入侵防御系统,所述方法包括:云服务器通过将与其连接的各个安全设备的签名规则使用状态信息和云服务器发布的最新签名规则集合进行关联分析,获取最活跃的威胁签名规则标识码ID列表,并根据最活跃的威胁签名规则标识码ID列表生成更新信息后,云服务器将更新信息发送给各个安全设备进行签名规则的更新。本发明适用于网络安全系统领域。
Description
技术领域
本发明涉及网络安全系统领域,特别涉及一种签名规则的处理方法、服务器及入侵防御系统。
背景技术
随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的威胁越来越多,从而造成了网络资源滥用,网络瘫痪,用户私密数据泄漏等问题的出现。为了提供有效的网络安全保护,防止网络内部和外部的攻击,需要在网络中部署安全设备,如IPS(Intrusion Prevention System,入侵防御系统),防火墙等。
当前的安全设备主要采用签名特征扫描的方法检测网络攻击,病毒,蠕虫,恶意软件等。研究人员通过分析漏洞,病毒,蠕虫,恶意软件等的签名特征,提取特征生成签名特征库并发布,安全设备根据部署场景及自身资源配置加载签名规则,并根据加载的签名规则,进行扫描检测,完成网络攻击,病毒,蠕虫,恶意软件等的检测,并对检测到的攻击,病毒,蠕虫,恶意软件等进行阻断,清洗或告警等动作。
然而,现有技术中,一方面,由于CPU(Central Processing Unit,中央处理器)资源的限制以及不同的部署场景,安全设备不加载所有的签名规则,而是根据配置部分的加载签名规则,并且签名的规则的配置完全由操作员根据经验决定。另一方面,不同区域不同行业内的不同安全设备加载的签名规则存在差异,当出现问题时,只有加载了对应签名规则的安全设备才受保护,没有加载的安全设备不受保护,因此现有技术中的安全设备的保护能力还不理想。
发明内容
本发明实施例提供一种签名规则的处理方法、服务器及入侵防御系统,实现了安全设备之间进行签名规则信息共享,提升了安全设备的保护能力。
本发明实施例提供一种签名规则的处理方法,包括:
云服务器接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息,所述签名规则使用状态信息用于表示所述各个安全设备的签名规则在整个网络的使用状态;
所述云服务器将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表;
所述云服务器根据所述最活跃的威胁签名规则标识码ID列表,生成与所述各个安全设备分别对应的更新信息;
所述云服务器将所述更新信息分别发送给所述各个安全设备,以使所述各个安全设备根据所述更新信息分别进行签名规则的更新。
本发明实施例还提供一种服务器,包括:
接收单元,用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息,以及将所述各个安全设备的签名规则使用状态信息传输给分析获取单元,其中,所述签名规则使用状态信息用于表示所述各个安全设备的签名规则在整个网络的使用状态;
分析获取单元,用于从所述接收单元接收所述各个安全设备的签名规则使用状态信息,将所述各个安全设备的签名规则使用状态信息和最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表,以及将所述最活跃的威胁签名规则标识码ID列表发送给生成单元;
生成单元,用于从所述分析获取单元接收所述最活跃的威胁签名规则标识码ID列表,根据所述最活跃的威胁签名规则标识码ID列表生成与所述各个安全设备分别对应的更新信息,以及将所述更新信息传输给第一发送单元;
第一发送单元,用于从所述生成单元接收所述更新信息,将所述更新信息分别发送给与所述更新信息分别对应的所述各个安全设备,以使所述各个安全设备根据所述更新信息进行签名规则的更新。
本发明实施例还提供一种入侵防御系统,包括:云服务器和与所述云服务器通信连接的至少一个安全设备,其中,
所述云服务器,用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息;将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表;根据所述最活跃的威胁签名规则标识码ID列表,生成与所述各个安全设备分别对应的更新信息;将所述更新信息分别发送给所述各个安全设备;
所述安全设备,用于向所述云服务器发送自身对应的签名规则使用状态信息,所述签名规则使用状态信息用于表示所述安全设备的签名规则在整个网络的使用状态;在接收到所述云服务器发送的更新信息后,根据所述更新信息进行签名规则的更新。
本发明实施例提供的签名规则的处理方法、服务器及入侵防御系统,云服务器通过将与其连接的各个安全设备的签名规则使用状态信息和云服务器发布的最新签名规则集合进行关联分析,获取最活跃的威胁签名规则标识码I D列表,并根据最活跃的威胁签名规则标识码ID列表生成更新信息后,云服务器将更新信息发送给各个安全设备进行签名规则的更新。本发明实施例通过云服务器为安全设备提供实时签名规则更新信息,实现了安全设备之间进行签名规则信息共享的同时,提升了安全设备的保护能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种签名规则的处理方法流程图;
图2为本发明实施例提供的一种服务器的结构示意图;
图3为本发明实施例提供的另一种签名规则的处理方法流程图;
图4为本发明实施例提供的一种安全设备的结构示意图;
图5为本发明实施例提供的系统组网结构图;
图6为本发明实施例提供的入侵防御系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
本实施例提供一种签名规则的处理方法,如图1所示,所述方法包括:
101、云服务器接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息。
其中,所述签名规则使用状态信息可以包括签名规则的标志码ID,签名规则在单位时间的命中次数,签名规则最后一次命中时间,签名规则的严重等级,签名规则的区域号,签名规则对应的安全设备所属行业号等信息。
进一步地,云服务器还可以接收与其连接的各个安全设备发送的各个安全设备的配置数据。
102、所述云服务器将所述各个安全设备的签名规则使用状态信息和最新签名规则集合进行关联分析,获取最活跃的威胁签名规则标识码ID列表。
其中,所述活跃的判断标准具体可以根据当前网络中当前时间段内签名规则的命中次数或签名规则出现的频率等因素来判断。
具体地,云服务器进行关联分析的方式可以有多种,其中一种可以为云服务器根据签名规则使用状态信息获取安全设备中启用的频率比较高的第一威胁签名规则ID集合,并且根据签名规则使用状态信息获取实际网络流量命中较多的第二威胁签名规则ID集合;再根据最新签名规则集合获取危险系数较高的第三威胁签名规则ID集合,云服务器取第一、第二和第三威胁签名规则ID集合的并集,得到一个第四威胁签名规则ID集合,然后将所述第四威胁签名规则ID集合与所述最新签名规则集合的交集中的各个签名规则作为最活跃的威胁签名规则,并生成最活跃的威胁签名规则标识码ID列表。
103、云服务器根据所述最活跃的威胁签名规则标识码ID列表,生成与所述各个安全设备分别对应的更新信息。
其中,所述更新信息包括需要进行更新的安全设备ID、所述安全设备名称、所述安全设备地址、所述安全设备需要更改的配置、所述安全设备需要更新的签名规则ID集合列表或签名规则集合。当更新信息为安全设备需要更新的签名规则ID集合列表时,所述安全设备从云服务器中下载与所述签名规则ID集合对应的签名规则集合并进行更新。当更新信息中为安全设备需要更新的签名规则集合时,所述安全设备直接根据更新信息进行签名规则更新。
优选地,云服务器还可以接收到与其连接的各个安全设备发送的各个安全设备的配置数据,此时,所述云服务器首先分别根据所述各个安全设备的配置数据得到所述各个安全设备已加载的签名规则列表,并根据所述各个安全设备已加载的签名规则列表与所述最活跃的威胁签名规则标识码ID列表,将所述各个安全设备中,没有包含所述最活跃的威胁签名规则ID列表中的所有签名规则的安全设备确定为需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息。
例如,有一个威胁T大量爆发时,A区安全设备加载了此威胁对应的签名规则,B区安全设备没有加载此威胁的签名规则。云服务器根据A区安全设备上报的签名规则使用状态信息,判定T是大量爆发的威胁,则向B区安全设备发送更新信息,B区安全设备收到更新消息后,即时更新,即时保护B区安全,从而实现了签名规则在不同设备、不同地区间的共享。
可替换地,当所述云服务器判断各个安全设备中存在配置不正确的安全设备时,所述云服务器生成与所述配置不正确的安全设备对应的所述更新信息。其中,安全设备配置不正确可能是由于配置冲突、配置遗漏或者配置不合理引起的,例如,一个安全设备运行的是Linux(操作系统)下的数据库应用,下面这些配置方式都是错误的:只配置了数据库中低威胁的签名规则没有配置高威胁的签名规则;或者配置的签名规则在最新的签名规则集合中已经失效;或者只配置了数据库的签名规则没有配置Linux的签名规则;配置的是Windows(操作系统)下的数据库的签名规则。
104、云服务器将所述更新信息分别发送给所述各个安全设备。
进一步地,以使所述各个安全设备根据所述更新信息进行签名规则的更新。
所述云服务器可以自动发送更新信息给安全设备,以使得安全信息自行进行更新,也可以通过电子邮件、短信等形式通知技术人员,由人工进行安全设备配置和签名规则特征库更新。
本发明实施例提供的方法具体可以应用在互联网安全保护中,具体的系统组网结构图如图5所示,系统组网中可以包括安全设备,管理安全设备的操作管理平台,云服务器中心。其中,云服务器中心具体可以包括接收集群服务器、签名库发布服务器、统计分析服务器、同步更新通知服务器、数据库。
具体地,操作管理平台为安全设备配置加载规则和配置需要加载的签名规则集合,安全设备通过内置的代理向云服务器中心中的接收集群服务器上报安全设备的最新配置数据和签名规则的使用状态信息,统计分析服务器根据签名规则的使用状态信息和签名库发布服务器发布的最新签名特征库进行关联分析后,获取最活跃的威胁签名规则ID列表,并且根据分析每个安全设备的配置数据是否全部包含了最活跃的威胁签名规则ID列表,向同步更新通知服务器发送需要进行更新的安全设备的更新信息,以使得同步更新通知服务器向安全设备发送更新信息,其中,签名规则的使用状态信息和安全设备的配置数据都可以存储在数据库中。
本实施例提供一种服务器,如图2所示,所述装置的实体可以为云服务器,所述装置包括:接收单元21、分析获取单元22、生成单元23、第一发送单元24、第二发送单元25。
接收单元21,可以用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息,以及将所述各个安全设备的签名规则使用状态信息传输给分析获取单元22。
其中,所述签名规则使用状态信息可以包括签名规则的标志码ID,签名规则在单位时间的命中次数,签名规则最后一次命中时间,签名规则的严重等级,签名规则的区域号,签名规则对应的安全设备所属行业号等信息。所述签名规则使用状态信息用于表示所述各个安全设备的签名规则的使用状态。
所述接收单元21、还可以用于接收所述与其连接的各个安全设备分别发送的所述各个安全设备的配置数据,并将所述各个安全设备的配置数据传输给所述生成单元23。
分析获取单元22,可以用于从所述接收单元21接收所述各个安全设备的签名规则使用状态信息,将所述各个安全设备的签名规则使用状态信息和最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表,以及将所述最活跃的威胁签名规则标识码ID列表发送给生成单元23。
所述分析获取单元22具体可以包括:获取模块2201、生成模块2202、删除模块2203。
获取模块2201,可以用于根据所述各个安全设备的签名规则使用状态信息获取所述各个安全设备中启用频率大于预设频率的第一威胁签名规则ID集合,并且根据所述签名规则使用状态信息获取网络流量中命中次数大于预设次数的第二威胁签名规则ID集合,以及根据所述最新签名规则集合获取危险系数大于预设阀值的第三威胁签名规则ID集合。
生成模块2202,可以用于将所述获取模块2201发送的所述第一威胁签名规则ID集合、所述第二威胁签名规则ID集合、所述第三威胁签名规则ID集合求并集,得到第四威胁签名规则ID集合,以及将所述第四威胁签名规则ID集合传输给删除模块2203。
删除模块2203,可以用于接收所述生成模块2202发送的所述第四威胁签名规则ID集合,并将所述第四威胁签名规则ID集合与所述最新签名规则集合的交集中的签名规则作为最活跃的威胁签名规则,并生成最活跃的威胁签名规则标识码ID列表。
生成单元23,可以用于从所述分析获取单元22接收所述最活跃的威胁签名规则标识码ID列表,根据所述最活跃的威胁签名规则标识码ID列表生成与所述各个安全设备分别对应的更新信息,以及将所述更新信息传输给第一发送单元24。
所述生成单元23,具体可以用于接收所述接收单元21发送的所述各个安全设备的配置信息,分别根据所述各个安全设备的配置数据得到所述各个安全设备已加载的签名规则列表,并通过对比所述各个安全设备已加载的签名规则列表与所述最活跃的威胁签名规则标识码ID列表,确定出需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息,以及将所述更新信息传输给第二发送单元25。
第一发送单元24,可以用于从所述生成单元23接收所述更新信息,将所述更新信息分别发送给与所述更新信息分别对应的所述各个安全设备,以使所述各个安全设备根据所述更新信息进行签名规则的更新。
第二发送单元25,可以用于从所述生成单元23接收所述更新信息,并将所述更新信息发送给所述需要进行签名规则更新的安全设备,以使所述需要进行签名规则更新的安全设备根据所述更新信息分别进行签名规则的更新。
本实施例提供另一种签名规则的处理方法,如图3所示,所述方法包括:
301、与云服务器连接的安全设备向云服务器发送所述安全设备对应的签名规则使用状态信息。
其中,所述签名规则使用状态信息可以包括签名规则的标志码ID,签名规则在单位时间的命中次数,签名规则最后一次命中时间,签名规则的严重等级,签名规则的区域号,签名规则对应的安全设备所属行业号等信息。
优选地,所述安全设备还可以向所述云服务器发送所述安全设备的配置数据,以使所述云服务器根据所述安全设备的配置数据和所述最活跃的威胁签名规则标识码ID列表,确定出需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息。
进一步地,以使得所述云服务器根据所述安全设备对应的所述签名规则使用状态信息和所述云服务器发布的最新签名规则集合,获取最活跃的威胁签名规则标识码ID列表后,生成与所述安全设备对应的更新信息,其中,所述签名规则使用状态信息用于表示所述安全设备的签名规则在整个网络的使用状态。
302、所述安全设备接收所述云服务器发送的与所述安全设备对应的所述更新信息,并根据所述更新信息进行签名规则的更新。
其中,所述更新信息包括需要进行更新的安全设备ID、安全设备名称、安全设备地址、安全设备需要更改的配置、安全设备需要更新的签名规则ID集合列表或签名规则集合。
本实施例提供一种安全设备,所述装置的实体可以为网络安全设备,如图4所示,所述装置包括:发送单元41、接收单元42。
发送单元41,可以用于向云服务器发送签名规则使用状态信息。
其中,所述签名规则使用状态信息可以包括签名规则的标志码ID,签名规则在单位时间的命中次数,签名规则最后一次命中时间,签名规则的严重等级,签名规则的区域号,签名规则对应的安全设备所属行业号等信息。
进一步地,以使得所述云服务器根据所述签名规则使用状态信息和配置数据,生成更新信息,其中,所述签名规则使用状态信息用于表示签名规则的使用状态。
所述发送单元41,还可以用于向所述云服务器发送安全设备的配置数据,以使所述云服务器根据安全设备的配置数据和所述最活跃的威胁签名规则标识码ID列表,确定出需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息。
接收单元42,可以用于接收所述云服务器发送的所述更新信息,并根据所述更新信息进行签名规则的更新。
其中,所述更新信息包括需要进行更新的安全设备ID、安全设备名称、安全设备地址、安全设备需要更改的配置、安全设备需要更新的签名规则ID集合列表或签名规则集合。
本实施例还提供一种安全设备入侵防御系统,如图6所示,包括:云服务器61和与所述云服务器通信连接的至少一个安全设备62。
所述云服务器61,用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息;将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表;根据所述最活跃的威胁签名规则标识码ID列表,生成与所述各个安全设备分别对应的更新信息;将所述更新信息分别发送给所述各个安全设备。
所述安全设备62,用于向所述云服务器61发送自身对应的签名规则使用状态信息,所述签名规则使用状态信息用于表示所述安全设备的签名规则在整个网络的使用状态;在接收到所述云服务器61发送的更新信息后,根据所述更新信息进行签名规则的更新。
本发明实施例提供的签名规则的处理方法、服务器及入侵防御系统,云服务器通过将与其连接的各个安全设备的签名规则使用状态信息和云服务器发布的最新签名规则集合进行关联分析,获取最活跃的威胁签名规则标识码ID列表,并根据最活跃的威胁签名规则标识码ID列表生成更新信息后,云服务器将更新信息发送给各个安全设备进行签名规则的更新。本发明实施例通过云服务器为安全设备提供实时签名规则更新信息,实现了安全设备之间进行签名规则信息共享的同时,提升了安全设备的保护能力。
本发明实施例提供的服务器可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的签名规则的处理方法、服务器及入侵防御系统可以适用于网络安全系统领域,但不仅限于此。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种签名规则的处理方法,其特征在于,包括:
云服务器接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息,所述签名规则使用状态信息用于表示所述各个安全设备的签名规则在整个网络的使用状态;
所述云服务器将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表;
所述云服务器根据所述最活跃的威胁签名规则标识码ID列表,生成与所述各个安全设备分别对应的更新信息;
所述云服务器将所述更新信息分别发送给所述各个安全设备,以使所述各个安全设备根据所述更新信息分别进行签名规则的更新。
2.根据权利要求1所述的签名规则的处理方法,其特征在于,所述云服务器将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表,具体包括:
所述云服务器根据所述各个安全设备的签名规则使用状态信息获取所述各个安全设备中启用频率大于预设频率的第一威胁签名规则ID集合,并且根据所述签名规则使用状态信息获取网络流量中命中次数大于预设次数的第二威胁签名规则ID集合,以及根据所述最新签名规则集合获取危险系数大于预设阈值的第三威胁签名规则ID集合;
所述云服务器将所述第一威胁签名规则ID集合、第二威胁签名规则ID集合、第三威胁签名规则ID集合求并集,得到第四威胁签名规则ID集合;
所述云服务器将所述第四威胁签名规则ID集合与所述最新签名规则集合的交集中的各个签名规则作为最活跃的威胁签名规则,并生成最活跃的威胁签名规则标识码ID列表。
3.根据权利要求1或2所述的签名规则的处理方法,其特征在于,所述更新信息包括需要进行更新的安全设备ID、安全设备名称、安全设备地址、安全设备需要更改的配置、安全设备需要更新的签名规则ID集合列表、签名规则集合。
4.根据权利要求1-3任一项所述的签名规则的处理方法,其特征在于,还包括:
所述云服务器接收所述与其连接的各个安全设备分别发送的所述各个安全设备的配置数据,所述各个安全设备的配置数据用于表示所述各个安全设备的签名规则加载信息;
相应地,所述云服务器根据所述最活跃的威胁签名规则标识码ID列表,生成与所述各个安全设备分别对应的更新信息,具体包括:
所述云服务器分别根据所述各个安全设备的配置数据得到所述各个安全设备已加载的签名规则列表,并通过对比所述各个安全设备已加载的签名规则列表与所述最活跃的威胁签名规则标识码ID列表,确定出需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息;
所述云服务器将所述更新信息发送给所述需要进行签名规则更新的安全设备,以使所述需要进行签名规则更新的安全设备根据所述更新信息分别进行签名规则的更新。
5.根据权利要求4所述的签名规则的处理方法,其特征在于,所述云服务器通过对比所述各个安全设备已加载的签名规则列表与所述最活跃的威胁签名规则标识码ID列表,确定出需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息,具体包括:
所述云服务器根据所述各个安全设备已加载的签名规则列表与所述最活跃的威胁签名规则标识码ID列表,将所述各个安全设备中,没有包含所述最活跃的威胁签名规则ID列表中的所有签名规则的安全设备确定为需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息。
6.一种服务器,其特征在于,包括:
接收单元,用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息,以及将所述各个安全设备的签名规则使用状态信息传输给分析获取单元,其中,所述签名规则使用状态信息用于表示所述各个安全设备的签名规则在整个网络的使用状态;
分析获取单元,用于从所述接收单元接收所述各个安全设备的签名规则使用状态信息,将所述各个安全设备的签名规则使用状态信息和最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表,以及将所述最活跃的威胁签名规则标识码ID列表发送给生成单元;
生成单元,用于从所述分析获取单元接收所述最活跃的威胁签名规则标识码ID列表,根据所述最活跃的威胁签名规则标识码ID列表生成与所述各个安全设备分别对应的更新信息,以及将所述更新信息传输给第一发送单元;
第一发送单元,用于从所述生成单元接收所述更新信息,将所述更新信息分别发送给与所述更新信息分别对应的所述各个安全设备,以使所述各个安全设备根据所述更新信息进行签名规则的更新。
7.根据权利要求6所述的服务器,其特征在于,所述分析获取单元包括:
获取模块,用于根据所述各个安全设备的签名规则使用状态信息获取所述各个安全设备中启用频率大于预设频率的第一威胁签名规则ID集合,并且根据所述签名规则使用状态信息获取网络流量中命中次数大于预设次数的第二威胁签名规则ID集合,以及根据所述最新签名规则集合获取危险系数大于预设阈值的第三威胁签名规则ID集合;
生成模块,用于将所述获取模块发送的所述第一威胁签名规则ID集合、所述第二威胁签名规则ID集合、所述第三威胁签名规则ID集合求并集,得到第四威胁签名规则ID集合,以及将所述第四威胁签名规则ID集合传输给删除模块;
删除模块,用于接收所述生成模块发送的所述第四威胁签名规则ID集合,并将所述第四威胁签名规则ID集合与所述最新签名规则集合的交集中的签名规则作为最活跃的威胁签名规则,并生成最活跃的威胁签名规则标识码ID列表。
8.根据权利要求6或7所述的服务器,其特征在于,所述更新信息包括需要进行更新的安全设备ID、安全设备名称、安全设备地址、安全设备需要更改的配置、安全设备需要更新的签名规则ID集合列表、签名规则集合。
9.根据权利要求6-8任一项所述的服务器,其特征在于,
所述接收单元还用于,接收所述与其连接的各个安全设备分别发送的所述各个安全设备的配置数据,并将所述各个安全设备的配置数据传输给所述生成单元,其中,所述各个安全设备的配置数据用于表示所述各个安全设备的签名规则配置信息;
相应地,所述生成单元,具体用于接收所述接收单元发送的所述各个安全设备的配置信息,分别根据所述各个安全设备的配置数据得到所述各个安全设备已加载的签名规则列表,并通过对比所述各个安全设备已加载的签名规则列表与所述最活跃的威胁签名规则标识码ID列表,确定出需要进行签名规则更新的安全设备,并生成与所述需要进行签名规则更新的安全设备对应的更新信息,以及将所述更新信息传输给第二发送单元;
第二发送单元,用于从所述生成单元接收所述更新信息,并将所述更新信息发送给所述需要进行签名规则更新的安全设备,以使所述需要进行签名规则更新的安全设备根据所述更新信息分别进行签名规则的更新。
10.一种入侵防御系统,其特征在于,包括:云服务器和与所述云服务器通信连接的至少一个安全设备,其中,
所述云服务器,用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息;将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后,获取最活跃的威胁签名规则标识码ID列表;根据所述最活跃的威胁签名规则标识码ID列表,生成与所述各个安全设备分别对应的更新信息;将所述更新信息分别发送给所述各个安全设备;
所述安全设备,用于向所述云服务器发送自身对应的签名规则使用状态信息,所述签名规则使用状态信息用于表示所述安全设备的签名规则在整个网络的使用状态;在接收到所述云服务器发送的更新信息后,根据所述更新信息进行签名规则的更新。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210194352.6A CN102694820B (zh) | 2012-06-13 | 2012-06-13 | 签名规则的处理方法、服务器及入侵防御系统 |
| EP13805129.7A EP2835948B1 (en) | 2012-06-13 | 2013-01-14 | Method for processing a signature rule, server and intrusion prevention system |
| PCT/CN2013/070435 WO2013185483A1 (zh) | 2012-06-13 | 2013-01-14 | 签名规则的处理方法、服务器及入侵防御系统 |
| US14/548,112 US9479528B2 (en) | 2012-06-13 | 2014-11-19 | Signature rule processing method, server, and intrusion prevention system |
| US15/299,785 US9948667B2 (en) | 2012-06-13 | 2016-10-21 | Signature rule processing method, server, and intrusion prevention system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210194352.6A CN102694820B (zh) | 2012-06-13 | 2012-06-13 | 签名规则的处理方法、服务器及入侵防御系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102694820A true CN102694820A (zh) | 2012-09-26 |
| CN102694820B CN102694820B (zh) | 2015-01-21 |
Family
ID=46860106
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210194352.6A Active CN102694820B (zh) | 2012-06-13 | 2012-06-13 | 签名规则的处理方法、服务器及入侵防御系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9479528B2 (zh) |
| EP (1) | EP2835948B1 (zh) |
| CN (1) | CN102694820B (zh) |
| WO (1) | WO2013185483A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013185483A1 (zh) * | 2012-06-13 | 2013-12-19 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
| CN106789860A (zh) * | 2016-03-02 | 2017-05-31 | 新华三技术有限公司 | 一种签名规则加载方法及装置 |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
| CN110505190A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 微分段的部署方法、安全设备、存储介质及装置 |
| CN113839911A (zh) * | 2020-06-24 | 2021-12-24 | 中创为(成都)量子通信技术有限公司 | 一种用于ips高效、灵活的检测规则管理方法及设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10257223B2 (en) * | 2015-12-21 | 2019-04-09 | Nagravision S.A. | Secured home network |
| US10242187B1 (en) * | 2016-09-14 | 2019-03-26 | Symantec Corporation | Systems and methods for providing integrated security management |
| US10291646B2 (en) | 2016-10-03 | 2019-05-14 | Telepathy Labs, Inc. | System and method for audio fingerprinting for attack detection |
| US10868836B1 (en) * | 2017-06-07 | 2020-12-15 | Amazon Technologies, Inc. | Dynamic security policy management |
| US10581859B2 (en) | 2017-08-07 | 2020-03-03 | International Business Machines Corporation | Detection and prevention of attempts to access sensitive information in real-time |
| US10904274B2 (en) * | 2018-03-08 | 2021-01-26 | Zscaler, Inc. | Signature pattern matching testing framework |
| US11095670B2 (en) * | 2018-07-09 | 2021-08-17 | Cisco Technology, Inc. | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane |
| US20220337604A1 (en) * | 2019-09-24 | 2022-10-20 | Pribit Technology, Inc. | System And Method For Secure Network Access Of Terminal |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011046356A2 (ko) * | 2009-10-12 | 2011-04-21 | 삼성에스디에스 주식회사 | 안티 멀웨어 서비스 방법 |
| CN102037471A (zh) * | 2008-05-21 | 2011-04-27 | 赛门铁克公司 | 具有使用网络询问的最优定义分发的集中式扫描器数据库 |
| CN102413019A (zh) * | 2011-12-21 | 2012-04-11 | 广东宏海讯科科技发展有限公司 | 一种基于云计算的网络实时监控系统方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6035423A (en) | 1997-12-31 | 2000-03-07 | Network Associates, Inc. | Method and system for providing automated updating and upgrading of antivirus applications using a computer network |
| US6484315B1 (en) | 1999-02-01 | 2002-11-19 | Cisco Technology, Inc. | Method and system for dynamically distributing updates in a network |
| WO2001084775A2 (en) | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | System and method for managing security events on a network |
| JP2002318634A (ja) * | 2001-04-20 | 2002-10-31 | Hitachi Ltd | 電子署名検証方法及びシステム、並びに電子署名検証プログラム及びこのプログラムを記録した記録媒体 |
| US6596981B1 (en) | 2002-01-14 | 2003-07-22 | Texas Advanced Optoelectronic Solutions, Inc. | Method and apparatus for optical detector with special discrimination |
| US7376969B1 (en) | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
| CA2541156C (en) * | 2003-10-03 | 2012-02-28 | Enterasys Networks, Inc. | System and method for dynamic distribution of intrusion signatures |
| JP4845467B2 (ja) * | 2004-11-08 | 2011-12-28 | 株式会社エヌ・ティ・ティ・ドコモ | デバイス管理装置、デバイス及びデバイス管理方法 |
| US7934253B2 (en) * | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
| US8099774B2 (en) * | 2006-10-30 | 2012-01-17 | Microsoft Corporation | Dynamic updating of firewall parameters |
| CN101895521B (zh) * | 2009-05-22 | 2013-09-04 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| US8719939B2 (en) * | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
| US8875292B1 (en) * | 2010-04-05 | 2014-10-28 | Symantec Corporation | Systems and methods for managing malware signatures |
| CN101827104B (zh) * | 2010-04-27 | 2013-01-02 | 南京邮电大学 | 一种基于多反病毒引擎的网络病毒联合防御方法 |
| PL2635992T4 (pl) * | 2010-11-03 | 2017-09-29 | Virginia Tech Intellectual Properties, Inc. | Używanie wyznaczania energetycznego odcisku palca (pfp, power fingerprinting) do monitorowania integralności i zwiększania bezpieczeństwa systemów komputerowych |
| CN102111420A (zh) * | 2011-03-16 | 2011-06-29 | 上海电机学院 | 基于动态云火墙联动的智能nips架构 |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
| CN102694820B (zh) * | 2012-06-13 | 2015-01-21 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
-
2012
- 2012-06-13 CN CN201210194352.6A patent/CN102694820B/zh active Active
-
2013
- 2013-01-14 WO PCT/CN2013/070435 patent/WO2013185483A1/zh active Application Filing
- 2013-01-14 EP EP13805129.7A patent/EP2835948B1/en active Active
-
2014
- 2014-11-19 US US14/548,112 patent/US9479528B2/en active Active
-
2016
- 2016-10-21 US US15/299,785 patent/US9948667B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102037471A (zh) * | 2008-05-21 | 2011-04-27 | 赛门铁克公司 | 具有使用网络询问的最优定义分发的集中式扫描器数据库 |
| WO2011046356A2 (ko) * | 2009-10-12 | 2011-04-21 | 삼성에스디에스 주식회사 | 안티 멀웨어 서비스 방법 |
| CN102413019A (zh) * | 2011-12-21 | 2012-04-11 | 广东宏海讯科科技发展有限公司 | 一种基于云计算的网络实时监控系统方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013185483A1 (zh) * | 2012-06-13 | 2013-12-19 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
| US9479528B2 (en) | 2012-06-13 | 2016-10-25 | Huawei Technologies Co., Ltd. | Signature rule processing method, server, and intrusion prevention system |
| US9948667B2 (en) | 2012-06-13 | 2018-04-17 | Huawei Technologies Co., Ltd. | Signature rule processing method, server, and intrusion prevention system |
| CN106789860A (zh) * | 2016-03-02 | 2017-05-31 | 新华三技术有限公司 | 一种签名规则加载方法及装置 |
| CN106789860B (zh) * | 2016-03-02 | 2021-02-05 | 新华三技术有限公司 | 一种签名规则加载方法及装置 |
| US11831493B2 (en) | 2016-03-02 | 2023-11-28 | New H3C Technologies Co., Ltd. | Signature rule loading |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
| CN110505190A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 微分段的部署方法、安全设备、存储介质及装置 |
| CN113839911A (zh) * | 2020-06-24 | 2021-12-24 | 中创为(成都)量子通信技术有限公司 | 一种用于ips高效、灵活的检测规则管理方法及设备 |
| CN113839911B (zh) * | 2020-06-24 | 2024-02-02 | 中创为(成都)量子通信技术有限公司 | 一种用于ips的检测规则管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2835948A1 (en) | 2015-02-11 |
| WO2013185483A1 (zh) | 2013-12-19 |
| US20170041336A1 (en) | 2017-02-09 |
| EP2835948A4 (en) | 2015-04-22 |
| EP2835948B1 (en) | 2016-07-20 |
| US20150074756A1 (en) | 2015-03-12 |
| US9479528B2 (en) | 2016-10-25 |
| CN102694820B (zh) | 2015-01-21 |
| US9948667B2 (en) | 2018-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102694820A (zh) | 签名规则的处理方法、服务器及入侵防御系统 | |
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| CN110719291A (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN103782303A (zh) | 对于恶意过程的基于非签名的检测的系统和方法 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN104246785A (zh) | 用于移动应用声誉的众包的系统和方法 | |
| CN104221024A (zh) | 统一扫描引擎 | |
| CN102231745A (zh) | 一种网络应用的安全系统及方法 | |
| CN103136255B (zh) | 信息管理的方法和装置 | |
| CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN107277080A (zh) | 一种基于安全即服务的互联网风险管理方法及系统 | |
| CN112685682A (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110188538A (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN114900333B (zh) | 一种多区域安全防护方法、装置、设备及可读存储介质 | |
| CA3150278A1 (en) | THREAT MITIGATION SYSTEM AND METHOD | |
| CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN108322460B (zh) | 一种业务系统流量监测系统 | |
| CN110266719A (zh) | 安全策略下发方法、装置、设备及介质 | |
| CN116436689A (zh) | 漏洞处理方法、装置、存储介质及电子设备 | |
| Desmet et al. | Premadoma: An operational solution to prevent malicious domain name registrations in the. eu tld | |
| CN110224975A (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| Leitner et al. | Situational Awareness for Strategic Decision Making on a National Level |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |