CN105592049A - 一种攻击防御规则的开启方法和装置 - Google Patents

一种攻击防御规则的开启方法和装置 Download PDF

Info

Publication number
CN105592049A
CN105592049A CN201510562585.0A CN201510562585A CN105592049A CN 105592049 A CN105592049 A CN 105592049A CN 201510562585 A CN201510562585 A CN 201510562585A CN 105592049 A CN105592049 A CN 105592049A
Authority
CN
China
Prior art keywords
rule
information
business software
service node
leak
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510562585.0A
Other languages
English (en)
Other versions
CN105592049B (zh
Inventor
石岩
梁力文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201510562585.0A priority Critical patent/CN105592049B/zh
Publication of CN105592049A publication Critical patent/CN105592049A/zh
Application granted granted Critical
Publication of CN105592049B publication Critical patent/CN105592049B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种攻击防御规则的开启方法和装置,该方法包括:获得业务节点的地址信息,利用所述地址信息查询信息列表;如果所述信息列表中没有所述地址信息对应的记录,获得所述业务节点的规则开启参考信息,在所述信息列表中记录所述地址信息与规则开启参考信息之间的对应关系;生成包括所述规则开启参考信息的IPS部署策略,将所述IPS部署策略发送给IPS设备;IPS设备开启所述规则开启参考信息对应的攻击防御规则。通过本发明的技术方案,减少用户开启的工作量,避免消耗大量的人力和时间。

Description

一种攻击防御规则的开启方法和装置
技术领域
本发明涉及通信技术领域,尤其是一种攻击防御规则的开启方法和装置。
背景技术
IPS(IntrusionPreventionSystem,入侵防御系统)设备通过检测数据报文,发现数据报文中的异常和攻击载荷,以对数据报文进行处理。目前,IPS设备中存在大量攻击防御规则,用户需要根据网络部署情况,为不同的业务节点开启不同的攻击防御规则。例如,用户为业务节点A开启攻击防御规则1-攻击防御规则10,为业务节点B开启攻击防御规则5-攻击防御规则15。针对访问业务节点A的数据报文,IPS设备基于开启的攻击防御规则1-攻击防御规则10对该数据报文进行处理。针对访问业务节点B的数据报文,IPS设备基于开启的攻击防御规则5-攻击防御规则15对该数据报文进行处理。
当网络中存在大量业务节点时,需要在IPS设备中,手工为每个业务节点开启攻击防御规则,用户工作量非常大,而且需要消耗大量的人力和时间。
发明内容
本发明提供一种攻击防御规则的开启方法,所述方法包括以下步骤:
获得业务节点的地址信息,并利用所述地址信息查询预先配置的信息列表;其中,所述信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系;
如果所述信息列表中没有所述地址信息对应的记录,则获得所述业务节点的规则开启参考信息,并在所述信息列表中记录所述地址信息与所述规则开启参考信息之间的对应关系;
生成包括所述规则开启参考信息的入侵防御系统IPS部署策略,并将所述IPS部署策略发送给IPS设备,以使所述IPS设备开启所述IPS部署策略中携带的所述规则开启参考信息对应的攻击防御规则。
本发明提供一种攻击防御规则的开启装置,具体包括:
查询模块,用于获得业务节点的地址信息,并利用所述地址信息查询预先配置的信息列表;其中,所述信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系;
获得模块,用于当所述信息列表中没有所述地址信息对应的记录时,则获得所述业务节点的规则开启参考信息,并在所述信息列表中记录所述地址信息与所述规则开启参考信息之间的对应关系;
生成模块,用于生成包括所述规则开启参考信息的IPS部署策略;
发送模块,用于将所述IPS部署策略发送给IPS设备,以使IPS设备开启所述IPS部署策略中携带的规则开启参考信息对应的攻击防御规则。
基于上述技术方案,本发明实施例中,可以基于业务节点的规则开启参考信息生成IPS部署策略,并将IPS部署策略发送给IPS设备,以使IPS设备开启规则开启参考信息对应的攻击防御规则,从而可以自动开启针对业务节点的攻击防御规则,而不需要用户手工为每个业务节点开启相应的攻击防御规则,减少用户开启的工作量,避免消耗大量的人力和时间。
附图说明
图1是本发明实施例的应用场景示意图;
图2是本发明一种实施方式中攻击防御规则的开启方法的流程图;
图3是本发明一种实施方式中智能策略生成器的逻辑结构图;
图4是本发明一种实施方式中攻击防御规则的开启装置的逻辑结构图。
具体实施方式
针对现有技术中存在的问题,本发明实施例中提出了一种攻击防御规则的开启方法,以图1为本发明实施例的应用场景示意图,该方法可以应用于包括智能策略生成器、IPS设备和多个业务节点的系统中。各业务节点用于为用户设备提供相应的业务,如为用户设备提供SSH(SecureShell,安全外壳)业务。IPS设备通过配置的大量攻击防御规则,检测用户设备发送给业务节点的数据报文中是否存在异常或攻击载荷,在数据报文中存在异常或攻击载荷时,拒绝将数据报文发送给业务节点,在数据报文中不存在异常或攻击载荷时,允许将数据报文发送给业务节点,以为业务节点提供安全保护。
本发明实施例中,智能策略生成器可以为独立的设备,也可以作为功能单元部署在IPS设备上。进一步的,IPS设备的数量可以为一个或者多个。当IPS设备的数量为一个时,则智能策略生成器可以为IPS设备上的功能单元,或者为与IPS设备连接的独立设备。当IPS设备的数量为多个时,则可以将智能策略生成器作为功能单元部署在每个IPS设备上,或者,只部署一个独立的智能策略生成器,且该智能策略生成器与每个IPS设备连接。在图1中,以智能策略生成器作为独立的设备,并与IPS设备连接为例。
如图2所示,该攻击防御规则的开启方法包括以下步骤:
步骤201,智能策略生成器获得业务节点的地址信息,并利用该地址信息查询预先配置的信息列表。其中,该信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系。
本发明实施例中,该地址信息具体包括但不限于IP地址。智能策略生成器获得业务节点的地址信息的过程,具体包括但不限于如下方式:智能策略生成器接收来自IPS设备的数据报文,并提取该数据报文的目的IP地址,并将目的IP地址作为业务节点的IP地址。或者,智能策略生成器接收用户配置的计划任务信息,该计划任务信息中包括业务节点的IP地址;智能策略生成器从计划任务信息中提取业务节点的IP地址。
其中,在用户设备访问业务节点的过程中,用户设备会向业务节点发送数据报文,该数据报文的目的IP地址为业务节点的IP地址。IPS设备在收到来自用户设备的数据报文后,将数据报文复制一份,将复制的数据报文发送给智能策略生成器。智能策略生成器在收到来自IPS设备的数据报文后,可以将数据报文的目的IP地址作为业务节点的IP地址。
另外,当需要开启针对某个业务节点的攻击防御规则时,用户根据实际需要,可以主动在智能策略生成器上配置包括该业务节点的IP地址的计划任务信息,智能策略生成器可以从计划任务信息中提取业务节点的IP地址。
在实际应用中,业务节点的地址信息除了包括IP地址外,还可以包括业务端口。智能策略生成器可以提取数据报文的目的端口,并将目的端口作为业务节点的业务端口。或者,计划任务信息中还可以包括业务节点的业务端口,智能策略生成器从计划任务信息中提取业务节点的业务端口。
为了方便描述,以业务节点的地址信息为IP地址为例进行说明。
本发明实施例中,会在智能策略生成器中预先配置信息列表,该信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系。如果信息列表记录了某业务节点的地址信息,则表示IPS设备已经针对该业务节点开启攻击防御规则。如果信息列表没有记录某业务节点的地址信息,则表示IPS设备还没有针对该业务节点开启攻击防御规则。
步骤202,如果信息列表中没有业务节点的地址信息对应的记录,则智能策略生成器获得该业务节点的规则开启参考信息,并在信息列表中记录该业务节点的地址信息与规则开启参考信息之间的对应关系。
步骤203,智能策略生成器生成包括该业务节点的规则开启参考信息的IPS部署策略,并将该IPS部署策略发送给IPS设备。
其中,在智能策略生成器利用业务节点的地址信息查询预先配置的信息列表之后,如果信息列表中没有业务节点的地址信息对应的记录,则表示IPS设备还没有针对该业务节点开启攻击防御规则,因此,智能策略生成器获得该业务节点的规则开启参考信息,生成包括该业务节点的规则开启参考信息的IPS部署策略,并将该IPS部署策略发送给IPS设备,以使IPS设备针对该业务节点开启相应的攻击防御规则。如果信息列表中记录了业务节点的地址信息对应的记录,则表示IPS设备已经针对该业务节点开启攻击防御规则,因此,智能策略生成器不需要向IPS设备发送IPS部署策略,结束处理流程。
考虑到一种异常情况,IPS设备在针对业务节点开启了攻击防御规则之后,由于异常重启或者用户命令等原因,IPS设备将针对该业务节点开启的攻击防御规则关闭。基于此,智能策略生成器在利用业务节点的地址信息查询预先配置的信息列表之后,如果信息列表中有该地址信息对应的记录,为了避免IPS设备已经将针对该业务节点开启的攻击防御规则关闭,从而导致针对该业务节点的攻击防御规则一直处于关闭状态,本发明实施例中,智能策略生成器向IPS设备发送携带地址信息的第一查询请求消息,该第一查询请求消息用于查询是否已经开启针对该地址信息对应的业务节点的攻击防御规则。IPS设备在接收到第一查询请求消息之后,查询是否已经开启针对该地址信息对应的业务节点的攻击防御规则,如果是,则通过第一查询响应消息返回携带已经开启针对该地址信息对应的业务节点的攻击防御规则的信息,如果否,则通过第一查询响应消息返回携带没有开启针对该地址信息对应的业务节点的攻击防御规则的信息。进一步的,智能策略生成器接收IPS设备返回的第一查询响应消息,如果第一查询响应消息中携带没有开启针对该地址信息对应的业务节点的攻击防御规则的信息,则从信息列表中直接获得该地址信息对应的规则开启参考信息,生成包括该规则开启参考信息的IPS部署策略,并将该IPS部署策略发送给IPS设备。如果第一查询响应消息中携带已经开启针对该地址信息对应的业务节点的攻击防御规则的信息,则智能策略生成器不再需要向IPS设备发送IPS部署策略,结束处理流程。
本发明实施例中,规则开启参考信息具体包括但不限于以下之一或者任意组合:操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞。其中,操作系统类型为业务节点的操作系统类型,如Windows系统、Linux系统等。操作系统版本为业务节点使用的操作系统的版本,如版本Win10、WinXP等。开放端口为业务节点支持业务对应的业务端口,如支持SMTP(SimpleMailTransferProtocol,简单邮件传输协议)业务时,业务端口为端口25,支持HTTP(HyperTextTransferProtocol,超文本传输协议)业务时,业务端口为端口80,支持SSH业务时,业务端口为端口22,即开放端口包括端口25、端口80和端口22。业务软件类型为业务节点支持业务对应的软件类型,如支持SMTP业务时,则业务软件类型为SMTP软件,支持HTTP业务时,则业务软件类型为HTTP软件,支持SSH业务时,则业务软件类型为SSH软件。业务软件版本为业务节点使用的业务软件的版本,如SMTP软件的版本6,HTTP软件的版本5,SSH软件的版本7。业务软件漏洞是业务节点使用的业务软件的漏洞信息。业务软件疑似漏洞是业务节点使用的业务软件的疑似漏洞信息。
本发明实施例中,当规则开启参考信息具体包括开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种时,智能策略生成器获得业务节点的规则开启参考信息的过程,具体包括但不限于:智能策略生成器向IPS设备发送用于查询业务节点的规则开启参考信息的第二查询请求消息,并接收IPS设备返回的第二查询响应消息,第二查询响应消息中携带了业务节点的开放端口、业务软件类型、业务软件版本;智能策略生成器利用业务软件类型和业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞。或者,当规则开启参考信息具体包括操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种时,智能策略生成器获得业务节点的规则开启参考信息的过程,具体包括但不限于:智能策略生成器向业务节点发送用于查询业务节点的规则开启参考信息的第三查询请求消息,并接收业务节点返回的第三查询响应消息,第三查询响应消息中携带了业务节点的操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本;智能策略生成器利用业务软件类型和业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞。
其中,IPS设备上会记录业务节点的地址信息、开放端口、业务软件类型、业务软件版本之间的对应关系,IPS设备在接收到来自智能策略生成器的携带地址信息的第二查询请求消息(用于查询业务节点的规则开启参考信息)之后,会利用该地址信息查询地址信息、开放端口、业务软件类型、业务软件版本之间的对应关系,得到该地址信息对应的开放端口、业务软件类型、业务软件版本,并通过第二查询响应消息将开放端口、业务软件类型、业务软件版本发送给智能策略生成器。之后,由智能策略生成器从第二查询响应消息中获得业务节点的开放端口、业务软件类型、业务软件版本。
其中,业务节点上会维护本业务节点的操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本等信息,业务节点在接收到来自智能策略生成器的第三查询请求消息(用于查询业务节点的规则开启参考信息)之后,可以直接获得本业务节点的操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本,并通过第三查询响应消息将操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本发送给智能策略生成器。之后,由智能策略生成器从第三查询响应消息中获得业务节点的操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本。
其中,智能策略生成器上会预先配置漏洞列表,该漏洞列表内预先配置了业务软件类型、业务软件版本、业务软件漏洞以及业务软件疑似漏洞之间的对应关系。基于此,智能策略生成器在得到业务软件类型和业务软件版本之后,可以利用业务软件类型和业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞。例如,漏洞列表内记录了SSH软件、SSH软件版本7、业务软件漏洞1、业务软件疑似漏洞1之间的对应关系时,则智能策略生成器在得到业务软件类型为SSH软件,业务软件版本为SSH软件版本7后,得到对应的业务软件漏洞1和业务软件疑似漏洞1。
本发明实施例中,智能策略生成器在得到业务节点的规则开启参考信息后,可以生成该业务节点的IPS部署策略,并将该IPS部署策略发送给IPS设备,该IPS部署策略包括该业务节点的地址信息和规则开启参考信息。
步骤204,IPS设备在接收到IPS部署策略后,针对该IPS部署策略中携带的地址信息,开启该IPS部署策略中携带的规则开启参考信息对应的攻击防御规则。
例如,当IPS部署策略中携带了地址信息1时,如果规则开启参考信息为Windows系统,则针对地址信息1,开启所有针对Windows系统的攻击防御规则。如果规则开启参考信息为Windows系统、Win10,则针对地址信息1,开启所有针对Windows系统的版本Win10的攻击防御规则。如果规则开启参考信息为端口25、端口80和端口22,则针对地址信息1,开启所有针对端口25、端口80和端口22的攻击防御规则。如果规则开启参考信息为SSH软件时,则针对地址信息1,开启所有针对SSH软件的攻击防御规则。如果规则开启参考信息为SSH软件、SSH软件版本7时,则针对地址信息1,开启所有针对SSH软件的版本7的攻击防御规则。如果规则开启参考信息为SSH软件、SSH软件版本7、业务软件漏洞1和/或业务软件疑似漏洞1时,则针对地址信息1,开启所有针对SSH软件的版本7的业务软件漏洞1和/或业务软件疑似漏洞1的攻击防御规则。
基于上述技术方案,本发明实施例中,智能策略生成器可以基于业务节点的规则开启参考信息生成IPS部署策略,并将IPS部署策略发送给IPS设备,以使IPS设备开启IPS部署策略中携带的规则开启参考信息对应的攻击防御规则,从而可以自动开启针对业务节点的攻击防御规则,而不需要用户手工为每个业务节点开启相应的攻击防御规则,减少用户开启的工作量,避免消耗大量的人力和时间。
本发明提出的攻击防御规则的开启装置,可以应用在智能策略生成器中,该攻击防御规则的开启装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的智能策略生成器的处理器,将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本发明提出的攻击防御规则的开启装置所在的智能策略生成器的一种硬件结构图,除了图3所示的处理器、网络接口、内存以及非易失性存储器外,智能策略生成器还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲,该智能策略生成器还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种攻击防御规则的开启装置,所述攻击防御规则的开启装置应用在智能策略生成器上,如图4所示,所述攻击防御规则的开启装置具体包括:
查询模块11,用于获得业务节点的地址信息,并利用所述地址信息查询预先配置的信息列表;其中,所述信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系;
获得模块12,用于当所述信息列表中没有所述地址信息对应的记录时,则获得所述业务节点的规则开启参考信息,并在所述信息列表中记录所述地址信息与所述规则开启参考信息之间的对应关系;
生成模块13,用于生成包括所述规则开启参考信息的IPS部署策略;
发送模块14,用于将所述IPS部署策略发送给IPS设备,以使IPS设备开启所述IPS部署策略中携带的规则开启参考信息对应的攻击防御规则。
所述地址信息具体包括IP地址,所述查询模块11,具体用于在获得所述业务节点的地址信息的过程中,接收来自所述IPS设备的数据报文,并提取所述数据报文的目的IP地址作为所述业务节点的IP地址;或者,
接收用户配置的计划任务信息,所述计划任务信息中包括业务节点的IP地址,并从所述计划任务信息中提取所述业务节点的IP地址。
所述获得模块12,进一步用于在所述查询模块11利用所述地址信息查询预先配置的信息列表之后,如果所述信息列表中有所述地址信息对应的记录,则向所述IPS设备发送第一查询请求消息,所述第一查询请求消息用于查询是否已经开启针对所述地址信息对应的业务节点的攻击防御规则;接收所述IPS设备返回的第一查询响应消息,如果所述第一查询响应消息中携带没有开启针对所述地址信息对应的业务节点的攻击防御规则的信息,则从所述信息列表中获得所述地址信息对应的规则开启参考信息。
所述规则开启参考信息具体包括开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种;
所述获得模块12,具体用于在获得所述业务节点的规则开启参考信息的过程中,向所述IPS设备发送用于查询所述业务节点的规则开启参考信息的第二查询请求消息,并接收所述IPS设备返回的第二查询响应消息,所述第二查询响应消息中携带了所述业务节点的开放端口、业务软件类型、业务软件版本;利用所述业务软件类型和业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞;
其中,所述漏洞列表内预先配置了业务软件类型、业务软件版本、业务软件漏洞以及业务软件疑似漏洞之间的对应关系。
所述规则开启参考信息具体包括操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种;
所述获得模块12,具体用于在获得业务节点的规则开启参考信息的过程中,向所述业务节点发送用于查询所述业务节点的规则开启参考信息的第三查询请求消息,接收所述业务节点返回的第三查询响应消息,所述第三查询响应消息中携带了所述业务节点的操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本;利用所述业务软件类型和所述业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞;
其中,所述漏洞列表内预先配置了业务软件类型、业务软件版本、业务软件漏洞以及业务软件疑似漏洞之间的对应关系。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (10)

1.一种攻击防御规则的开启方法,其特征在于,所述方法包括以下步骤:
获得业务节点的地址信息,并利用所述地址信息查询预先配置的信息列表;其中,所述信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系;
如果所述信息列表中没有所述地址信息对应的记录,则获得所述业务节点的规则开启参考信息,并在所述信息列表中记录所述地址信息与所述规则开启参考信息之间的对应关系;
生成包括所述规则开启参考信息的入侵防御系统IPS部署策略,并将所述IPS部署策略发送给IPS设备,以使所述IPS设备开启所述IPS部署策略中携带的所述规则开启参考信息对应的攻击防御规则。
2.根据权利要求1所述的方法,其特征在于,所述地址信息具体包括IP地址,所述获得业务节点的地址信息的过程,具体包括:
接收来自所述IPS设备的数据报文,并提取所述数据报文的目的IP地址作为所述业务节点的IP地址;或者,
接收用户配置的计划任务信息,所述计划任务信息中包括业务节点的IP地址,并从所述计划任务信息中提取所述业务节点的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述利用所述地址信息查询预先配置的信息列表之后,所述方法进一步包括:
如果所述信息列表中有所述地址信息对应的记录,则向所述IPS设备发送第一查询请求消息,所述第一查询请求消息用于查询是否已经开启针对所述地址信息对应的业务节点的攻击防御规则;
接收IPS设备返回的第一查询响应消息,如果所述第一查询响应消息中携带没有开启针对所述地址信息对应的业务节点的攻击防御规则的信息,则从信息列表中获得所述地址信息对应的规则开启参考信息,生成包括所述规则开启参考信息的IPS部署策略,并将IPS部署策略发送给IPS设备。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述规则开启参考信息具体包括开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种,所述获得所述业务节点的规则开启参考信息的过程,具体包括:
向所述IPS设备发送用于查询所述业务节点的规则开启参考信息的第二查询请求消息,并接收所述IPS设备返回的第二查询响应消息,所述第二查询响应消息中携带了所述业务节点的开放端口、业务软件类型、业务软件版本;利用所述业务软件类型和业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞;
其中,所述漏洞列表内预先配置了业务软件类型、业务软件版本、业务软件漏洞以及业务软件疑似漏洞之间的对应关系。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述规则开启参考信息具体包括操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种,所述获得所述业务节点的规则开启参考信息的过程,具体包括:
向所述业务节点发送用于查询所述业务节点的规则开启参考信息的第三查询请求消息,接收所述业务节点返回的第三查询响应消息,所述第三查询响应消息中携带了所述业务节点的操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本;利用所述业务软件类型和所述业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞;
其中,所述漏洞列表内预先配置了业务软件类型、业务软件版本、业务软件漏洞以及业务软件疑似漏洞之间的对应关系。
6.一种攻击防御规则的开启装置,其特征在于,具体包括:
查询模块,用于获得业务节点的地址信息,并利用所述地址信息查询预先配置的信息列表;其中,所述信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系;
获得模块,用于当所述信息列表中没有所述地址信息对应的记录时,则获得所述业务节点的规则开启参考信息,并在所述信息列表中记录所述地址信息与所述规则开启参考信息之间的对应关系;
生成模块,用于生成包括所述规则开启参考信息的入侵防御系统IPS部署策略;
发送模块,用于将所述IPS部署策略发送给IPS设备,以使IPS设备开启所述IPS部署策略中携带的规则开启参考信息对应的攻击防御规则。
7.根据权利要求6所述的装置,其特征在于,
所述地址信息具体包括IP地址,所述查询模块,具体用于在获得所述业务节点的地址信息的过程中,接收来自所述IPS设备的数据报文,并提取所述数据报文的目的IP地址作为所述业务节点的IP地址;或者,
接收用户配置的计划任务信息,所述计划任务信息中包括业务节点的IP地址,并从所述计划任务信息中提取所述业务节点的IP地址。
8.根据权利要求6所述的装置,其特征在于,
所述获得模块,进一步用于在所述查询模块利用所述地址信息查询预先配置的信息列表之后,如果所述信息列表中有所述地址信息对应的记录,则向所述IPS设备发送第一查询请求消息,所述第一查询请求消息用于查询是否已经开启针对所述地址信息对应的业务节点的攻击防御规则;接收所述IPS设备返回的第一查询响应消息,如果所述第一查询响应消息中携带没有开启针对所述地址信息对应的业务节点的攻击防御规则的信息,则从所述信息列表中获得所述地址信息对应的规则开启参考信息。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述规则开启参考信息具体包括开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种;
所述获得模块,具体用于在获得所述业务节点的规则开启参考信息的过程中,向所述IPS设备发送用于查询所述业务节点的规则开启参考信息的第二查询请求消息,并接收所述IPS设备返回的第二查询响应消息,所述第二查询响应消息中携带了所述业务节点的开放端口、业务软件类型、业务软件版本;利用所述业务软件类型和业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞;
其中,所述漏洞列表内预先配置了业务软件类型、业务软件版本、业务软件漏洞以及业务软件疑似漏洞之间的对应关系。
10.根据权利要求6-8任一项所述的装置,其特征在于,所述规则开启参考信息具体包括操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本、业务软件漏洞、业务软件疑似漏洞中的一种或者几种;
所述获得模块,具体用于在获得业务节点的规则开启参考信息的过程中,向所述业务节点发送用于查询所述业务节点的规则开启参考信息的第三查询请求消息,接收所述业务节点返回的第三查询响应消息,所述第三查询响应消息中携带了所述业务节点的操作系统类型、操作系统版本、开放端口、业务软件类型、业务软件版本;利用所述业务软件类型和所述业务软件版本查询预先配置的漏洞列表,得到对应的业务软件漏洞和业务软件疑似漏洞;
其中,所述漏洞列表内预先配置了业务软件类型、业务软件版本、业务软件漏洞以及业务软件疑似漏洞之间的对应关系。
CN201510562585.0A 2015-09-07 2015-09-07 一种攻击防御规则的开启方法和装置 Active CN105592049B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510562585.0A CN105592049B (zh) 2015-09-07 2015-09-07 一种攻击防御规则的开启方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510562585.0A CN105592049B (zh) 2015-09-07 2015-09-07 一种攻击防御规则的开启方法和装置

Publications (2)

Publication Number Publication Date
CN105592049A true CN105592049A (zh) 2016-05-18
CN105592049B CN105592049B (zh) 2019-01-25

Family

ID=55931266

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510562585.0A Active CN105592049B (zh) 2015-09-07 2015-09-07 一种攻击防御规则的开启方法和装置

Country Status (1)

Country Link
CN (1) CN105592049B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111163101A (zh) * 2019-12-31 2020-05-15 奇安信科技集团股份有限公司 入侵防御规则动态调整方法及装置
CN112702300A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种安全漏洞的防御方法和设备
CN113051571A (zh) * 2019-12-27 2021-06-29 中国移动通信集团湖南有限公司 一种误报漏洞的检测方法、装置及计算机设备
CN114422180A (zh) * 2021-12-07 2022-04-29 深信服科技股份有限公司 数据安全检测方法、装置及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582900A (zh) * 2009-06-24 2009-11-18 成都市华为赛门铁克科技有限公司 防火墙安全策略配置方法及管理装置
CN101834760A (zh) * 2010-05-20 2010-09-15 杭州华三通信技术有限公司 一种基于ips设备的攻击检测方法及ips设备
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台
CN103973702A (zh) * 2014-05-23 2014-08-06 浪潮电子信息产业股份有限公司 基于改进的粒子群算法的信息安全防御规则智能部署方法
CN104883348A (zh) * 2014-09-28 2015-09-02 宁波匡恩网络科技有限公司 一种网络安全规则自动化部署方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582900A (zh) * 2009-06-24 2009-11-18 成都市华为赛门铁克科技有限公司 防火墙安全策略配置方法及管理装置
CN101834760A (zh) * 2010-05-20 2010-09-15 杭州华三通信技术有限公司 一种基于ips设备的攻击检测方法及ips设备
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台
CN103973702A (zh) * 2014-05-23 2014-08-06 浪潮电子信息产业股份有限公司 基于改进的粒子群算法的信息安全防御规则智能部署方法
CN104883348A (zh) * 2014-09-28 2015-09-02 宁波匡恩网络科技有限公司 一种网络安全规则自动化部署方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112702300A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种安全漏洞的防御方法和设备
CN113051571A (zh) * 2019-12-27 2021-06-29 中国移动通信集团湖南有限公司 一种误报漏洞的检测方法、装置及计算机设备
CN111163101A (zh) * 2019-12-31 2020-05-15 奇安信科技集团股份有限公司 入侵防御规则动态调整方法及装置
CN111163101B (zh) * 2019-12-31 2022-04-15 奇安信科技集团股份有限公司 入侵防御规则动态调整方法、装置,电子设备和存储介质
CN114422180A (zh) * 2021-12-07 2022-04-29 深信服科技股份有限公司 数据安全检测方法、装置及存储介质
CN114422180B (zh) * 2021-12-07 2024-05-28 深信服科技股份有限公司 数据安全检测方法、装置及存储介质

Also Published As

Publication number Publication date
CN105592049B (zh) 2019-01-25

Similar Documents

Publication Publication Date Title
US10356044B2 (en) Security information and event management
US9602530B2 (en) System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US7552126B2 (en) Access record gateway
US11159376B2 (en) System and method for network infrastructure analysis and convergence
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
US11361027B2 (en) Historical state management in databases
CN105592049A (zh) 一种攻击防御规则的开启方法和装置
US9553891B1 (en) Device blocking tool
WO2018161503A1 (zh) 一种异常检测方法、网络硬盘录像机nvr及视频服务器
US11979384B2 (en) Dynamic proxy response from application container
CN108028835B (zh) 自动配置服务器和服务器执行的方法
US10462134B2 (en) Network device removal for access control and information security
WO2018161302A1 (zh) 数据处理方法、装置和系统
US20180375867A1 (en) Untrusted Network Device Identification and Removal For Access Control and Information Security
US10972470B2 (en) Network device isolation for access control and information security
JP6340358B2 (ja) 情報漏洩防止システム及び方法
CN115668879A (zh) 使用制造方使用描述文件信号传递IoT设备通信配置的方法和系统
WO2016197782A2 (zh) 一种服务端口管理的方法、装置和计算机可读存储介质
US10567379B2 (en) Network switch port access control and information security
US10511493B1 (en) Apparatus and method for managing digital identities
KR101910788B1 (ko) 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법
EP3205068B1 (fr) Procede d'ajustement dynamique d'un niveau de verbosite d'un composant d'un reseau de communications
CN103856489A (zh) 一种防止重放攻击的实现方法和设备
EP3503494B1 (en) Security system and security method for a data network and for terminal devices connected to the data network
MX2007012292A (es) Metodo de autentificacion y unidad de autentificacion.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant