CN107547504A - 入侵防御方法及装置 - Google Patents
入侵防御方法及装置 Download PDFInfo
- Publication number
- CN107547504A CN107547504A CN201710457994.3A CN201710457994A CN107547504A CN 107547504 A CN107547504 A CN 107547504A CN 201710457994 A CN201710457994 A CN 201710457994A CN 107547504 A CN107547504 A CN 107547504A
- Authority
- CN
- China
- Prior art keywords
- ips
- state
- predefined
- features
- strategies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种入侵防御方法及装置,其中,该方法包括:从特征库中读取预定义IPS特征配置到内存中,并在内存中对预定义IPS特征添加第一标记,第一标记用于指示预定义IPS特征所属的虚拟逻辑设备上配置的IPS策略;接收用于指示属于该IPS策略的预定义IPS特征的状态的第一用户配置信息;根据第一用户配置信息,记录内存中具有第一标记的预定义IPS特征在该IPS策略中的状态;在该虚拟逻辑设备接收到报文后,若确定该报文匹配该IPS策略,则将该报文与内存中具有第一标记、且在该IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照该报文命中的预定义IPS特征对应的IPS动作,对该报文进行处理。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种入侵防御方法及装置。
背景技术
在日益复杂的网络安全威胁中,诸如蠕虫病毒、垃圾邮件、漏洞等的大多恶意行为都隐藏在数据报文的应用层载荷中,因此,在网络应用和网络威胁都不断高速增长的今天,仅仅依靠网络层和传输层的安全检测技术,已经无法满足日益增长的网络安全要求。
IPS(Intrusion Prevention System,入侵防御系统)技术是一种可以对应用层攻击进行检测并防御的安全防御技术。网络安全设备通过采用IPS技术,可以将接收到的报文与本设备上的IPS特征进行匹配来实时检测入侵行为,若该报文与某一IPS特征匹配,则会按照对应的IPS动作对该报文进行处理来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
目前,网络安全设备可以支持两种类型的IPS特征:预定义IPS特征和自定义IPS特征。其中,预定义IPS特征存放在特征库中,特征库中的预定义IPS特征是预先定义好的,其内容不能被创建、修改和删除,但是,预定义IPS特征对应的IPS动作、以及预定义IPS特征的状态可以被修改。其中,预定义IPS特征的状态可以是enable(有效)或disable(无效)。
现有技术中,当预定义IPS特征100(ID为100的预定义IPS特征)的状态为enable时,网络安全设备接收到报文后,会将该报文与所有预定义IPS特征进行匹配,若命中预定义IPS特征100,则按照对应的IPS动作对该报文进行处理。
反之,当预定义IPS特征100的状态变为disable时,网络安全设备接收到报文后,依然会将该报文与所有预定义IPS特征进行匹配,若命中预定义IPS特征100,则不会按照对应的IPS动作对该报文进行处理。因此,报文命中状态为disable的预定义IPS特征100并没有意义,反而会减低网络安全设备的吞吐量。
发明内容
有鉴于此,本申请提供一种入侵防御方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种入侵防御方法,该方法应用于网络安全设备,网络安全设备上创建了一个以上虚拟逻辑设备,该方法包括:
针对任一虚拟逻辑设备,从特征库中读取预定义IPS特征配置到内存中,并在内存中对预定义IPS特征添加第一标记,第一标记用于指示预定义IPS特征所属的该虚拟逻辑设备上配置的IPS策略;
接收用于指示属于该IPS策略的预定义IPS特征的状态的第一用户配置信息;
根据第一用户配置信息,记录内存中具有第一标记的预定义IPS特征在该IPS策略中的状态;
在该虚拟逻辑设备接收到报文后,若确定该报文匹配该IPS策略,则将该报文与内存中具有第一标记、且在该IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照该报文命中的预定义IPS特征对应的IPS动作,对该报文进行处理。
另一方面,还提供了一种入侵防御装置,该装置应用于网络安全设备,网络安全设备上创建了一个以上虚拟逻辑设备,该装置包括:
配置单元,用于针对任一虚拟逻辑设备,从特征库中读取预定义IPS特征配置到内存中,并在内存中对预定义IPS特征添加第一标记,第一标记用于指示预定义IPS特征所属的该虚拟逻辑设备上配置的IPS策略;
接收单元,用于接收用于指示属于该IPS策略的预定义IPS特征的状态的第一用户配置信息;
记录单元,用于根据接收单元接收到的第一用户配置信息,记录内存中具有第一标记的预定义IPS特征在该IPS策略中的状态;
匹配处理单元,用于在该虚拟逻辑设备接收到报文后,若确定该报文匹配该IPS策略,则将该报文与内存中具有第一标记、且在该IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照该报文命中的预定义IPS特征对应的IPS动作,对该报文进行处理。
通过本申请的以上技术方案,用户可以根据实际需求对虚拟逻辑设备上的IPS策略中的各个预定义IPS特征的状态进行设置,网络安全设备在接收到用于指示属于该IPS策略的预定义IPS特征的状态的用户配置信息后,会在内存中属于该IPS策略的该预定义IPS特征中记录对应于该IPS策略的状态,后续,该虚拟逻辑设备接收到与该IPS策略匹配的报文后,只需将该报文与内存中属于该IPS策略、且对应于该IPS策略的状态为有效的各个预定义IPS特征进行匹配即可,而无需与对应于该IPS策略的状态为无效的预定义IPS特征进行匹配,从而可以提高网络安全设备的吞吐量。通过应用该方法,不同用户可以根据自身的实际需求,对每个虚拟逻辑设备上的每个IPS策略中的每个预定义IPS特征的状态进行设置,一方面可以为用户提供个性化的需求,另一方面,可以实现通过将某些预定义IPS特征的状态修改为disable来提高网络安全设备的吞吐量的目的。
附图说明
图1是本申请实施例示出的入侵防御方法的流程图;
图2是本申请实施例示出的网络安全设备执行的入侵防御方法的具体流程图;
图3是本申请实施例示出的入侵防御装置的一种结构示意图;
图4是本申请实施例示出的入侵防御装置的另一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决现有技术中存在的报文命中状态为disable的预定义IPS特征没有意义,反而会减低网络安全设备的吞吐量的问题,本申请以下实施例中提供了一种入侵防御方法,以及一种可以应用该方法的装置。在本申请实施例中,网络安全设备上可以创建一个或多个虚拟逻辑设备,虚拟逻辑设备具体可以是管理防火墙或虚拟防火墙等。
如图1所示,本申请实施例的入侵防御方法包括以下步骤:
步骤S101,针对任一虚拟逻辑设备,从特征库中读取预定义IPS特征配置到内存中,并在内存中对该预定义IPS特征添加第一标记,第一标记用于指示该预定义IPS特征所属的该虚拟逻辑设备上配置的IPS策略;
具体的,特征库中包括N个预定义IPS特征,其中,N为大于2的正整数。从特征库中读取N个预定义IPS特征,将读出的N个预定义IPS特征配置到内存中,并对配置的每个预定义IPS特征添加第一标记,表示该预定义IPS特征属于该虚拟逻辑设备上的某一IPS策略。
步骤S102,接收用于指示属于该IPS策略的预定义IPS特征的状态的第一用户配置信息;
步骤S103,根据第一用户配置信息,记录内存中具有第一标记的预定义IPS特征在该IPS策略中的状态;
在步骤S102和步骤S103中,当用户将该IPS策略中的预定义IPS特征的状态设置为enable时,网络安全设备会接收到用于指示属于该IPS策略的预定义IPS特征的状态为enable的第一用户配置信息,将内存中具有第一标记的预定义IPS特征在该IPS策略中的状态记录为enable。
或者,当用户将该IPS策略中的预定义IPS特征的状态设置为disable时,网络安全设备会接收到用于指示属于该IPS策略的预定义IPS特征的状态为disable的第一用户配置信息,将内存中具有第一标记的预定义IPS特征在该IPS策略中的状态记录为disable。
在实际实施过程中,每个预定义IPS特征具有一个对应的状态表,在该状态表中记录对应于各个虚拟逻辑设备上的各个IPS策略的状态。由此,在步骤S103中,根据第一用户配置信息,记录内存中具有第一标记的预定义IPS特征在IPS策略中的状态,具体包括:根据第一用户配置信息,在预定义IPS特征的状态表中记录对应于IPS策略的状态;将内存中具有第一标记的预定义IPS特征在IPS策略中的状态,记录为状态表中记录的对应于IPS策略的状态。
步骤S104,在该虚拟逻辑设备接收到报文后,若确定该报文匹配该IPS策略,则将该报文与内存中具有第一标记、且在该IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照该报文命中的预定义IPS特征对应的IPS动作,对该报文进行处理。
在实际实施过程中,当网络安全设备上创建了多个虚拟逻辑设备时,会将网络安全设备上的端口划分给各个虚拟逻辑设备。从某一端口上接收到的报文属于该端口所在虚拟逻辑设备,可以认为是该虚拟逻辑设备接收到的报文。
具体的,在步骤S104中,在该虚拟逻辑设备接收到报文后,若根据该报文的入端口、出端口、源IP地址、目的IP地址等报文参数,确定该报文匹配该IPS策略,则将该报文与内存中具有第一标记、且在该IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照该报文命中的预定义IPS特征对应的IPS动作,对该报文进行处理。其中,IPS动作包括如下几种类型:
重置:通过发送TCP reset(重置)报文断开TCP连接;
重定向:将报文重定向到指定的Web(网页)页面上;
源阻断:阻断报文,并将报文的源IP地址加入IP黑名单;
丢弃:丢弃报文;
放行:允许报文通过;
捕获:捕获报文;
生成日志:针对报文生成日志信息。
本申请上述实施例的方法中,用户可以根据实际需求对虚拟逻辑设备上的IPS策略中的各个预定义IPS特征的状态进行设置,网络安全设备在接收到用于指示属于该IPS策略的预定义IPS特征的状态的用户配置信息后,会在内存中属于该IPS策略的该预定义IPS特征中记录对应于该IPS策略的状态,后续,该虚拟逻辑设备接收到与该IPS策略匹配的报文后,只需将该报文与内存中属于该IPS策略、且对应于该IPS策略的状态为有效的各个预定义IPS特征进行匹配即可,而无需与对应于该IPS策略的状态为无效的预定义IPS特征进行匹配,从而可以提高网络安全设备的吞吐量。通过应用该方法,不同用户可以根据自身的实际需求,对每个虚拟逻辑设备上的每个IPS策略中的每个预定义IPS特征的状态进行设置,一方面可以为用户提供个性化的需求,另一方面,可以实现通过将某些预定义IPS特征的状态修改为disable来提高网络安全设备的吞吐量的目的。
后续,当用户将该IPS策略中的预定义IPS特征的状态由enable修改为disable时,网络安全设备会接收用于指示修改属于该IPS策略的预定义IPS特征的状态为disable的第二用户配置信息,然后,根据第二用户配置信息,在该预定义IPS特征的状态表中,将对应于该IPS策略的状态修改为disable状态,将内存中具有第一标记的预定义IPS特征在该IPS策略中的状态,更新为修改后的状态表中记录的对应于该IPS策略的状态(即disable状态)。
当用户将该IPS策略中的预定义IPS特征的状态由disable修改为enable时,网络安全设备会接收用于指示修改属于该IPS策略的预定义IPS特征的状态为enable的第三用户配置信息,然后,根据第三用户配置信息,在该预定义IPS特征的状态表中,将对应于该IPS策略的状态修改为enable状态,将内存中具有第一标记的预定义IPS特征在该IPS策略中的状态,更新为修改后的状态表中记录的对应于该IPS策略的状态(即enable状态)。
通过上述状态更新操作,用户可以对虚拟逻辑设备上的IPS策略中的各个预定义IPS特征的状态进行修改,以适应实际需求的变化。
另外,在删除该虚拟逻辑设备上配置的该IPS策略时,需要从各个预定义IPS特征的状态表中删除对应于该IPS策略的状态;从内存中删除具有第一标记的预定义IPS特征的第一标记以及在IPS策略中的状态。
下面以一个具体的实例,对上述入侵防御方法进行详细说明。例如,网络安全设备上已经创建了2个虚拟逻辑设备:虚拟逻辑设备1_1和虚拟逻辑设备1_2,这2个虚拟逻辑设备上均配置有3个IPS策略:IPS策略2_1、IPS策略2_2、IPS策略2_3。当在网络安全设备上新创建一个虚拟逻辑设备1_3,并且在该虚拟逻辑设备1_3上配置IPS策略2_1时,如图2所示,需要执行以下步骤:
步骤S201,从特征库中读取预定义IPS特征配置到内存中,并在内存中对预定义IPS特征添加第一标记,用于指示预定义IPS特征属于虚拟逻辑设备1_3上的IPS策略2_1。
由于是首次在虚拟逻辑设备1_3上配置IPS策略,因此,内存中不存在属于虚拟逻辑设备1_3的预定义IPS特征,需要从特征库中读取预定义IPS特征配置到内存中。
假设,特征库中的预定义IPS特征总数为200,则内存中具有第一标记的200个预定义IPS特征如表1-1所示。
表1-1
在实际实施过程中,用户可以针对虚拟逻辑设备1_3上的IPS策略2_1中的每个预定义IPS特征的状态进行设置。假设,用户根据实际需求,对虚拟逻辑设备1_3上的IPS策略2_1中的各个预定义IPS特征的状态进行如下设置:
预定义IPS特征100的状态设置为disable,除预定义IPS特征100以外的其它预定义IPS特征的状态均设置为enable。
步骤S202,接收用于指示属于虚拟逻辑设备1_3上的IPS策略2_1的各个预定义IPS特征的状态的用户配置信息,其中,预定义IPS特征100的状态为disable,除预定义IPS特征100以外的其它预定义IPS特征的状态为enable。
步骤S203,根据接收到的用户配置信息,在其它预定义IPS特征的状态表中记录对应于虚拟逻辑设备1_3上的IPS策略2_1的状态为enable,在预定义IPS特征100的状态表中记录对应于虚拟逻辑设备1_3上的IPS策略2_1的状态为disable。
以预定义IPS特征100为例,该预定义IPS特征100的状态表如表2-1所示:
表2-1
表2-1用于记录对应于各个虚拟逻辑设备上的各个IPS策略的状态。表2-1中的0用于表示状态为disable,1用于表示状态为enable。
步骤S204,将内存中具有第一标记的其它预定义IPS特征在IPS策略2_1中的状态,记录为该其它预定义IPS特征的状态表中记录的对应于IPS策略2_1的状态,将内存中具有第一标记的预定义IPS特征100在IPS策略2_1中的状态,记录为该预定义IPS特征100的状态表中记录的对应于IPS策略2_1的状态。
在执行完步骤S204之后,内存中的表1-1更新为了表1-2。
表1-2
在表1-2中,状态标记位为1表示enable,状态标记位为0表示disable。
步骤S205,在虚拟逻辑设备1_3接收到报文后,根据该报文的入端口、出端口、源IP地址、目的IP地址等报文参数中的一个或多个,确定该报文匹配IPS策略2_1,则将该报文与内存中具有第一标记、且对应于IPS策略2_1的状态标记位为1的各个预定义IPS特征进行匹配,即,与表1-2中的预定义IPS特征0~99、101~199进行匹配,而不会与预定义IPS特征100进行匹配,若匹配结果为命中预定义IPS特征25,则按照与预定义IPS特征25对应的IPS动作对该报文进行处理。
后续,在虚拟逻辑设备1_3上又配置IPS策略2_2时,由于内存中已经存在属于虚拟逻辑设备1_3的预定义IPS特征,因此,直接在内存中如表1-2的各个预定义IPS特征中添加第二标记,用于指示属于虚拟逻辑设备1_3上的IPS策略2_2。后续,执行与步骤S202至步骤S205类似的操作。假设,用户将虚拟逻辑设备1_3上的IPS策略2_2中的所有预定义IPS特征的状态均设置为enable,则此时,预定义IPS特征100的状态表更新为如表2-2所示,内存中的表1-2更新为如表1-3所示。
表2-2
表1-3
后续,若用户需要将虚拟逻辑设备1_3上的IPS策略2_1中的预定义IPS特征100的状态修改为有效,则网络安全设备在接收到用于修改属于虚拟逻辑设备1_3上的IPS策略2_1的预定义IPS特征100的状态为有效的用户配置信息后,会在预定义IPS特征100的状态表中,将对应于虚拟逻辑设备1_3上的IPS策略2_1的状态修改为有效,此时,表2-2更新为表2-3。然后,将表1-3所示的预定义IPS特征100对应于IPS策略2_1的状态标记位更新为1,此时,表1-3更新为表1-4。
表2-3
表1-4
后续,若用户需要将虚拟逻辑设备1_3上的IPS策略2_1中的预定义IPS特征100的状态修改为无效,则网络安全设备在接收到用于修改属于虚拟逻辑设备1_3上的IPS策略2_1的预定义IPS特征100的状态为无效的用户配置信息后,会在预定义IPS特征100的状态表中,将对应于虚拟逻辑设备1_3上的IPS策略2_1的状态修改为无效,此时,表2-4更新为表2-2。然后,将表1-4所示的预定义IPS特征100对应于IPS策略2_1的状态标记位更新为0,此时,表1-4更新为表1-3。
另外,当从虚拟逻辑设备1_3上删除IPS策略2_1时,网络安全设备需要从预定义IPS特征0~199中的每个预定义IPS特征的状态表中,删除对应于虚拟逻辑设备1_3上的IPS策略2_1的状态。以预定义IPS特征100为例,预定义IPS特征100的状态表会更新为如表2-4所示。另外,还需要从内存中如表1-4所示的各个预定义IPS特征中删除第一标记以及对应于IPS策略2_1的状态,此时,表1-4更新为如表1-5所示。
表2-4
表1-5
与前述入侵防御方法的实施例相对应,本申请还提供了入侵防御装置的实施例,该入侵防御装置应用于网络安全设备中。
请参考图3,本申请实施例的入侵防御装置中包括:配置单元301、接收单元302、记录单元303和匹配处理单元304,其中:
配置单元301,用于针对任一虚拟逻辑设备,从特征库中读取预定义IPS特征配置到内存中,并在内存中对预定义IPS特征添加第一标记,第一标记用于指示预定义IPS特征所属的虚拟逻辑设备上配置的IPS策略;
接收单元302,用于接收用于指示属于该IPS策略的预定义IPS特征的状态的第一用户配置信息;
记录单元303,用于根据接收单元302接收到的第一用户配置信息,记录内存中具有第一标记的预定义IPS特征在该IPS策略中的状态;
匹配处理单元304,用于在该虚拟逻辑设备接收到报文后,若确定该报文匹配该IPS策略,则将该报文与内存中具有第一标记、且在该IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照该报文命中的预定义IPS特征对应的IPS动作,对该报文进行处理。
其中,记录单元303具体用于:根据第一用户配置信息,在预定义IPS特征的状态表中记录对应于IPS策略的状态;将内存中具有第一标记的预定义IPS特征在IPS策略中的状态,记录为状态表中记录的对应于IPS策略的状态。
如图4所示,本申请实施例的入侵防御装置中还包括:第一更新单元305,其中:
接收单元302,还用于接收用于指示修改属于该IPS策略的预定义IPS特征的状态为无效的第二用户配置信息;
第一更新单元305,用于根据接收单元302接收到的第二用户配置信息,在预定义IPS特征的状态表中,将对应于该IPS策略的状态修改为无效状态;将内存中具有第一标记的预定义IPS特征在该IPS策略中的状态,更新为修改后的状态表中记录的对应于该IPS策略的状态。
如图4所示,本申请实施例的入侵防御装置中还包括:第二更新单元306,其中:
接收单元302,还用于接收用于指示修改属于该IPS策略的预定义IPS特征的状态为有效的第三用户配置信息;
第二更新单元306,还用于根据接收单元302接收到的第三用户配置信息,在预定义IPS特征的状态表中,将对应于该IPS策略的状态修改为有效状态;将内存中具有第一标记的预定义IPS特征在该IPS策略中的状态,更新为修改后的状态表中记录的对应于该IPS策略的状态。
如图4所示,本申请实施例的入侵防御装置中还包括:
删除单元307,用于删除该虚拟逻辑设备上配置的该IPS策略时,从各个预定义IPS特征的状态表中删除对应于该IPS策略的状态;从内存中删除具有第一标记的预定义IPS特征的第一标记以及在该IPS策略中的状态。
在实际实施过程中,上述第一更新单元305和第二更新单元306可以是独立的两个单元,也可以部署在同一单元中,本申请实施例对此不做限定。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种入侵防御方法,其特征在于,所述方法应用于网络安全设备,所述网络安全设备上创建了一个以上虚拟逻辑设备,所述方法包括:
针对任一虚拟逻辑设备,从特征库中读取预定义入侵防御系统IPS特征配置到内存中,并在内存中对所述预定义IPS特征添加第一标记,所述第一标记用于指示所述预定义IPS特征所属的所述虚拟逻辑设备上配置的IPS策略;
接收用于指示属于所述IPS策略的预定义IPS特征的状态的第一用户配置信息;
根据所述第一用户配置信息,记录所述内存中具有所述第一标记的预定义IPS特征在所述IPS策略中的状态;
在所述虚拟逻辑设备接收到报文后,若确定所述报文匹配所述IPS策略,则将所述报文与所述内存中具有所述第一标记、且在所述IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照所述报文命中的预定义IPS特征对应的IPS动作,对所述报文进行处理。
2.根据权利要求1所述的方法,其特征在于,根据所述第一用户配置信息,记录所述内存中具有所述第一标记的预定义IPS特征在所述IPS策略中的状态,具体包括:
根据所述第一用户配置信息,在所述预定义IPS特征的状态表中记录对应于所述IPS策略的状态;
将所述内存中具有所述第一标记的预定义IPS特征在所述IPS策略中的状态,记录为所述状态表中记录的对应于所述IPS策略的状态。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收用于指示修改属于所述IPS策略的预定义IPS特征的状态为无效的第二用户配置信息;
根据所述第二用户配置信息,在所述预定义IPS特征的状态表中,将对应于所述IPS策略的状态修改为无效状态;
将所述内存中具有所述第一标记的所述预定义IPS特征在所述IPS策略中的状态,更新为修改后的所述状态表中记录的对应于所述IPS策略的状态。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收用于指示修改属于所述IPS策略的预定义IPS特征的状态为有效的第三用户配置信息;
根据所述第三用户配置信息,在所述预定义IPS特征的状态表中,将对应于所述IPS策略的状态修改为有效状态;
将所述内存中具有所述第一标记的所述预定义IPS特征在所述IPS策略中的状态,更新为修改后的所述状态表中记录的对应于所述IPS策略的状态。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
删除所述虚拟逻辑设备上配置的所述IPS策略时,从各个预定义IPS特征的状态表中删除对应于所述IPS策略的状态;
从所述内存中删除具有所述第一标记的所述预定义IPS特征的所述第一标记以及在所述IPS策略中的状态。
6.一种入侵防御装置,其特征在于,所述装置应用于网络安全设备,所述网络安全设备上创建了一个以上虚拟逻辑设备,所述装置包括:
配置单元,用于针对任一虚拟逻辑设备,从特征库中读取预定义入侵防御系统IPS特征配置到内存中,并在内存中对所述预定义IPS特征添加第一标记,所述第一标记用于指示所述预定义IPS特征所属的所述虚拟逻辑设备上配置的IPS策略;
接收单元,用于接收用于指示属于所述IPS策略的预定义IPS特征的状态的第一用户配置信息;
记录单元,用于根据所述接收单元接收到的所述第一用户配置信息,记录所述内存中具有所述第一标记的预定义IPS特征在所述IPS策略中的状态;
匹配处理单元,用于在所述虚拟逻辑设备接收到报文后,若确定所述报文匹配所述IPS策略,则将所述报文与所述内存中具有所述第一标记、且在所述IPS策略中的状态为有效的各个预定义IPS特征进行匹配,并按照所述报文命中的预定义IPS特征对应的IPS动作,对所述报文进行处理。
7.根据权利要求6所述的装置,其特征在于,所述记录单元具体用于:
根据所述第一用户配置信息,在所述预定义IPS特征的状态表中记录对应于所述IPS策略的状态;
将所述内存中具有所述第一标记的预定义IPS特征在所述IPS策略中的状态,记录为所述状态表中记录的对应于所述IPS策略的状态。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:第一更新单元,其中:
所述接收单元,还用于接收用于指示修改属于所述IPS策略的预定义IPS特征的状态为无效的第二用户配置信息;
所述第一更新单元,用于根据所述接收单元接收到的所述第二用户配置信息,在所述预定义IPS特征的状态表中,将对应于所述IPS策略的状态修改为无效状态;将所述内存中具有所述第一标记的所述预定义IPS特征在所述IPS策略中的状态,更新为修改后的所述状态表中记录的对应于所述IPS策略的状态。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:第二更新单元,其中:
所述接收单元,还用于接收用于指示修改属于所述IPS策略的预定义IPS特征的状态为有效的第三用户配置信息;
所述第二更新单元,还用于根据所述接收单元接收到的所述第三用户配置信息,在所述预定义IPS特征的状态表中,将对应于所述IPS策略的状态修改为有效状态;将所述内存中具有所述第一标记的所述预定义IPS特征在所述IPS策略中的状态,更新为修改后的所述状态表中记录的对应于所述IPS策略的状态。
10.根据权利要求6至9中任一项所述的装置,其特征在于,所述装置还包括:
删除单元,用于删除所述虚拟逻辑设备上配置的所述IPS策略时,从各个预定义IPS特征的状态表中删除对应于所述IPS策略的状态;从所述内存中删除具有所述第一标记的所述预定义IPS特征的所述第一标记以及在所述IPS策略中的状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710457994.3A CN107547504B (zh) | 2017-06-16 | 2017-06-16 | 入侵防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710457994.3A CN107547504B (zh) | 2017-06-16 | 2017-06-16 | 入侵防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547504A true CN107547504A (zh) | 2018-01-05 |
| CN107547504B CN107547504B (zh) | 2020-12-04 |
Family
ID=60970903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710457994.3A Active CN107547504B (zh) | 2017-06-16 | 2017-06-16 | 入侵防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547504B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109802965A (zh) * | 2019-01-24 | 2019-05-24 | 新华三信息安全技术有限公司 | 一种自定义ips特征文件导入方法及装置 |
| CN110519273A (zh) * | 2019-08-28 | 2019-11-29 | 杭州迪普科技股份有限公司 | 入侵防御方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1561058A (zh) * | 2004-03-04 | 2005-01-05 | 上海交通大学 | 实现虚拟防火墙多用户教学实验的方法 |
| US20050071644A1 (en) * | 2003-09-26 | 2005-03-31 | Pratyush Moghe | Policy specification framework for insider intrusions |
| CN1968278A (zh) * | 2006-11-24 | 2007-05-23 | 杭州华为三康技术有限公司 | 数据包内容的分析处理方法及系统 |
| CN101151842A (zh) * | 2005-02-11 | 2008-03-26 | 诺基亚公司 | 实现终端点对防火墙特征的协商的方法、装置和计算机程序产品 |
| CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
-
2017
- 2017-06-16 CN CN201710457994.3A patent/CN107547504B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050071644A1 (en) * | 2003-09-26 | 2005-03-31 | Pratyush Moghe | Policy specification framework for insider intrusions |
| CN1561058A (zh) * | 2004-03-04 | 2005-01-05 | 上海交通大学 | 实现虚拟防火墙多用户教学实验的方法 |
| CN101151842A (zh) * | 2005-02-11 | 2008-03-26 | 诺基亚公司 | 实现终端点对防火墙特征的协商的方法、装置和计算机程序产品 |
| CN1968278A (zh) * | 2006-11-24 | 2007-05-23 | 杭州华为三康技术有限公司 | 数据包内容的分析处理方法及系统 |
| CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109802965A (zh) * | 2019-01-24 | 2019-05-24 | 新华三信息安全技术有限公司 | 一种自定义ips特征文件导入方法及装置 |
| CN110519273A (zh) * | 2019-08-28 | 2019-11-29 | 杭州迪普科技股份有限公司 | 入侵防御方法和装置 |
| CN110519273B (zh) * | 2019-08-28 | 2021-11-02 | 杭州迪普科技股份有限公司 | 入侵防御方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547504B (zh) | 2020-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cheng et al. | Enterprise data breach: causes, challenges, prevention, and future directions | |
| CN1291569C (zh) | 一种附网存储设备中用户访问行为的异常检测方法 | |
| TWI627553B (zh) | 於專用電腦網路上對進階持續性威脅攻擊之偵測 | |
| CN101018121B (zh) | 日志的聚合处理方法及聚合处理装置 | |
| EP1320960B1 (en) | System and method for analyzing protocol streams for a security-related event | |
| CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
| CN103620606B (zh) | 存储检测装置、系统及存储检测方法 | |
| US11956208B2 (en) | Graphical representation of security threats in a network | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN108293044A (zh) | 用于经由域名服务流量分析来检测恶意软件感染的系统和方法 | |
| JP5102659B2 (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
| Ahmed et al. | Network traffic pattern analysis using improved information theoretic co-clustering based collective anomaly detection | |
| CN106027520A (zh) | 一种检测处理盗取网站帐号的方法及装置 | |
| CN105391689A (zh) | 网络钓鱼通知服务 | |
| CA2674327A1 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| CN107547504A (zh) | 入侵防御方法及装置 | |
| US20040205354A1 (en) | System and method for detecting malicious applications | |
| CN102301662A (zh) | 媒体访问控制mac地址保护方法和交换机 | |
| CN106022117A (zh) | 防止系统环境变量修改的方法、装置及电子设备 | |
| CN103001937A (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
| WO2023102105A1 (en) | Detecting and mitigating multi-stage email threats | |
| Byeong-Ho | Ubiquitous computing environment threats and defensive measures | |
| Lock | Five steps to beating ransomware's five-minute warning | |
| CN105631317B (zh) | 一种系统调用方法及装置 | |
| CN101662368A (zh) | 一种可对抗木马程式的网络数据过滤装置和相应方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |