CN109802965A - 一种自定义ips特征文件导入方法及装置 - Google Patents
一种自定义ips特征文件导入方法及装置 Download PDFInfo
- Publication number
- CN109802965A CN109802965A CN201910068196.0A CN201910068196A CN109802965A CN 109802965 A CN109802965 A CN 109802965A CN 201910068196 A CN201910068196 A CN 201910068196A CN 109802965 A CN109802965 A CN 109802965A
- Authority
- CN
- China
- Prior art keywords
- ips
- customized
- tag file
- device identification
- virtual unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明实施例提供了一种自定义IPS特征文件导入方法及装置,其中,自定义IPS特征文件导入方法应用于网络设备上的任一虚拟设备,网络设备上创建了多个虚拟设备,该方法包括:获取待导入的自定义IPS特征文件及该自定义IPS特征文件导入的目的虚拟设备的设备标识;若自定义IPS特征文件导入的目的虚拟设备的设备标识包括虚拟设备自身的设备标识,则导入该自定义IPS特征文件;根据除虚拟设备自身以外的其他各目的虚拟设备的设备标识,将自定义IPS特征文件发送至其他各目的虚拟设备,以使其他各目的虚拟设备导入该自定义IPS特征文件。通过本方案,可以提高自定义IPS特征文件的导入效率。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种自定义IPS特征文件导入方法及装置。
背景技术
IPS(Intrusion Prevention System,入侵防御系统)技术是一种可以对应用层攻击进行检测并防御的安全防御技术。网络设备通过采用IPS技术,可以将接收到的报文与本设备上IPS特征文件中的规则特征进行匹配来实时检测入侵行为,若该报文命中某一规则特征,则会按照对应的执行动作对该报文进行处理,实现保护企业信息系统和网络免遭攻击的目的。
目前,网络设备可以支持两种类型的IPS特征文件:预定义IPS特征文件和自定义IPS特征文件。预定义IPS特征文件为系统预先定义的特征文件,通常为开发人员在进行IPS开发时统一定义的标准的IPS特征文件,预定义IPS特征文件可以通过固定的途径下载并定期更新;自定义IPS特征文件可由用户自行定义,具有更为灵活、及时的特点。自定义IPS特征文件存储在自定义特征库中,可由用户根据实际需求进行定义、修改。
由于网络设备接收到的报文往往是多种多样的,为了对不同的报文进行区别处理,网络设备上对应创建有多个独立的虚拟设备,例如管理防火墙或虚拟防火墙等。各虚拟设备需要以遍历的方式,从自定义特征库中查找各自需要导入的自定义IPS特征文件进行导入。
然而,由于不同的虚拟设备可能会导入相同的自定义IPS特征文件,对于需要导入相同的自定义IPS特征文件的虚拟设备,都需要以遍历的方式,去自定义特征库中查找同一个自定义IPS特征文件,导致自定义IPS特征文件的导入过程非常繁琐、效率极低。
发明内容
本发明实施例的目的在于提供一种自定义IPS特征文件导入方法及装置,以提高自定义IPS特征文件的导入效率。具体技术方案如下:
第一方面,本发明实施例提供了一种自定义IPS特征文件导入方法,应用于网络设备上的任一虚拟设备,所述网络设备上创建了多个虚拟设备,所述方法包括:
获取待导入的自定义IPS特征文件及所述自定义IPS特征文件导入的目的虚拟设备的设备标识;
若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述待导入的自定义IPS特征文件;
根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备导入所述自定义IPS特征文件。
第二方面,本发明实施例提供了一种自定义IPS特征文件导入装置,应用于网络设备上的任一虚拟设备,所述网络设备上创建了多个虚拟设备,所述装置包括:
获取模块,用于获取待导入的自定义IPS特征文件及所述自定义IPS特征文件导入的目的虚拟设备的设备标识;
导入模块,用于若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件;
发送模块,用于根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备导入所述自定义IPS特征文件。
第三方面,本发明实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行本发明实施例第一方面所述的方法步骤。
第四方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,执行本发明实施例第一方面所述的方法步骤。
本发明实施例提供的一种自定义IPS特征文件导入方法及装置,网络设备上的任一虚拟设备获取待导入的自定义IPS特征文件及该自定义IPS特征文件导入的目的虚拟设备的设备标识,若该自定义IPS特征文件导入的目的虚拟设备的设备标识包括该虚拟设备自身的设备标识,则导入该自定义IPS特征文件,该虚拟设备可以根据除其自身以外的其他各目的虚拟设备的设备标识,将待导入的自定义IPS特征文件发送至其他各目的虚拟设备,使得其他各目的虚拟设备可以导入该自定义IPS特征文件。对于多个虚拟设备需要导入相同的自定义IPS特征文件的情况,如果一个虚拟设备获取到该自定义IPS特征文件,该虚拟设备就可以根据获取到的该自定义IPS特征文件导入的目的虚拟设备的设备标识,将该自定义IPS特征文件发送至其他各目的虚拟设备进行导入,其他目的虚拟设备再不需要去自定义特征库中遍历查找该自定义IPS特征文件,简化了自定义IPS特征文件的导入过程,从而提高了自定义IPS特征文件的导入效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的自定义IPS特征文件导入方法的流程示意图;
图2为本发明实施例的自定义IPS特征文件中变化的规则特征命中后的同步过程的流程示意图;
图3为本发明实施例的应用场景示意图;
图4为本发明另一实施例的自定义IPS特征文件导入方法的流程示意图;
图5为本发明实施例的自定义IPS特征文件导入装置的结构示意图;
图6为本发明实施例的网络设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高自定义IPS特征文件的导入效率,本发明实施例提供了一种自定义IPS特征文件导入方法、装置、网络设备及机器可读存储介质。下面,首先对本发明实施例所提供的自定义IPS特征文件导入方法进行介绍。
本发明实施例所提供的自定义IPS特征文件导入方法可以应用于网络设备,具体由网络设备上的任一虚拟设备实现。在一个示例中,网络设备上创建了多个用户context,不同的用户context之间是相对独立的虚拟设备,具体的,用户context可以是管理防火墙或虚拟防火墙等。当网络设备上创建了多个虚拟设备时,网络设备会将网络设备上的端口划分给创建的虚拟设备,若网络设备从某一端口接收到报文,网络设备可以通过确定该端口所属的虚拟设备来确定是哪一个虚拟设备接收到此报文,例如,网络设备创建了虚拟设备1和2,并将端口1分配给虚拟设备1,将端口2分配给虚拟设备2,若从端口1接收到报文,则网络设备可以确定虚拟设备1接收到此报文。
实现本发明实施例所提供的自定义IPS特征文件导入方法的方式可以为网络设备上的软件、硬件电路和逻辑电路中的至少一种方式。
如图1所示,本发明实施例所提供的一种自定义IPS特征文件导入方法,可以包括如下步骤:
S101,获取待导入的自定义IPS特征文件及该自定义IPS特征文件导入的目的虚拟设备的设备标识。
自定义IPS特征文件为用户根据实际需求定义的IPS特征文件,自定义IPS特征文件可以理解为多个规则特征的集合,规则特征即为报文在到达虚拟设备时所需要匹配的特征,例如报文的源IP地址、报文类型、报文长度等等。自定义IPS特征文件可以在用户定义好后存储在自定义特征库中,也可以在用户定义好后直接发送给需要导入的虚拟设备。因此,虚拟设备获取待导入的自定义IPS特征文件的方式,可以是从自定义特征库中读取,也可以是直接接收用户输入。
用户在输入自定义IPS特征文件时,或者在设置自定义特征库时,会在网络设备上,手动输入自定义IPS特征文件需要导入到的目的虚拟设备的设备标识,虚拟设备可以直接识别到用户输入的设备标识,设备标识具体可以为设备的名称、识别码、序列号、IP地址等唯一表示虚拟设备的标识信息。
可选的,获取自定义IPS特征文件导入的目的虚拟设备的设备标识的步骤,具体可以为:获取设备标识序列,其中,设备标识序列包括自定义IPS特征文件导入的各目的虚拟设备的设备标识。
用户在输入自定义IPS特征文件需要导入到多个目的虚拟设备的设备标识时,可以按照序列的形式输入这些虚拟设备的设备标识,以此来限定各虚拟设备导入自定义IPS特征文件的顺序。用户还可以在网络设备上乱序地输入各虚拟设备的设备标识,由网络设备按照一定的规则,对设备标识进行排序,生成一个设备标识序列,由各虚拟设备获取该设备标识序列。
S102,若待导入的自定义IPS特征文件导入的目的虚拟设备的设备标识包括虚拟设备自身的设备标识,则导入该自定义IPS特征文件。
虚拟设备在获取到待导入的自定义IPS特征文件时,首先判断自身是否为需要导入该自定义IPS特征文件的虚拟设备,如果是,则可以直接导入该自定义IPS特征文件,并进行规则特征的编译,基于编译的结果完善特征库,使得网络设备可以基于特征库进行安全检测。
可选的,S102具体可以包括:判断虚拟设备自身的设备标识是否排在设备标识序列中的首位;若是,则导入自定义IPS特征文件。
虚拟设备获取到的可以是设备标识序列,设备标识序列中包括了各虚拟设备的设备标识组成的序列,该序列的顺序决定了虚拟设备导入自定义IPS特征文件的顺序。虚拟设备在获取到设备标识序列后,可以判断自身的设备标识是否排在该设备标识序列的首位,如果在首位,则说明该虚拟设备需要优先导入自定义IPS特征文件,并向其他虚拟设备同步该自定义IPS特征文件。如果没有在首位,则会接收排在首位的虚拟设备发送的数据报文,该数据报文中携带有排在首位的虚拟设备导入的自定义IPS特征文件,解析该数据报文,则可以获取该自定义IPS特征文件。
当然,虚拟设备还可以是获取到用户输入或者网络设备指定的执行指令,用户或者网络设备指定某一个虚拟设备导入自定义IPS特征文件,则会向该虚拟设备发送执行指令,该虚拟设备导入自定义IPS特征文件后,再将该自定义IPS特征文件同步给其它虚拟设备。
可选的,在S102之后,本发明实施例所提供的自定义IPS特征文件导入方法,还可以执行如下步骤:
根据自定义IPS特征文件导入的目的虚拟设备的设备标识,判断该自定义IPS特征文件是否仅导入虚拟设备自身;
若否,则记录该自定义IPS特征文件导入的各目的虚拟设备的设备标识与该自定义IPS特征文件的文件标识的对应关系,并生成包括该对应关系的特征信息列表。
在获取到待导入的自定义IPS特征文件并完成对该自定义IPS特征文件的导入之后,可以对该自定义IPS特征文件是否仅导入虚拟设备自身进行判断,也就是判断用户是否仅仅配置了本虚拟设备的设备标识与该自定义IPS特征文件对应。
如果自定义IPS特征文件导入的目的虚拟设备的设备标识仅为该虚拟设备自身的设备标识,则说明该自定义IPS特征文件不需要导入其他虚拟设备,可以确定完成了该自定义IPS特征文件的规则编译;如果自定义IPS特征文件导入的目的虚拟设备的设备标识除了包括该虚拟设备自身的设备标识以外,还包括其他目的虚拟设备的设备标识,则说明该自定义IPS特征文件还需要导入其他目的虚拟设备,则可以相应的生成一个特征信息列表。
由于一个虚拟设备导入的自定义IPS特征文件的数目可能为多个,并且一个自定义IPS特征文件可能会导入不同的虚拟设备,为了便于数据管理,可以利用特征信息列表对自定义IPS特征文件导入的各目的虚拟设备的设备标识和该自定义IPS特征文件的文件标识的对应关系进行记录。设备标识可以为虚拟设备的名称、序列号、编码、IP地址等唯一表示一个虚拟设备的标识信息;文件标识可以为文件名称、文件编码等唯一表示一个自定义IPS特征文件的标识信息。
S103,根据除该虚拟设备自身以外的其他各目的虚拟设备的设备标识,将待导入的自定义IPS特征文件发送至其他各目的虚拟设备,以使其他各目的虚拟设备导入该自定义IPS特征文件。
虚拟设备可以根据设备标识来确定需要导入该自定义IPS特征文件的其他各目的虚拟设备,虚拟设备可以通过TCP协议定义的格式,将待导入的自定义IPS特征文件封装成数据报文,并将数据报文透传给其他各目的虚拟设备。其他各目的虚拟设备收到数据报文后,通过对数据报文进行解析、导入,并实现对规则特征的编译。
例如,对于自定义IPS特征文件1,用户在配置时,会设置需要导入自定义IPS特征文件1的虚拟设备A、虚拟设备B和虚拟设备C。虚拟设备A在获取到自定义IPS特征文件1时,可以知道自定义IPS特征文件1还需要导入虚拟设备B和虚拟设备C,则虚拟设备A可以将自定义IPS特征文件1封装成数据报文,并将该数据报文发送至虚拟设备B和虚拟设备C,虚拟设备B和虚拟设备C在接收到该数据报文后解析该数据报文,以获取自定义IPS特征文件1,然后可以各自导入自定义IPS特征文件1,并完成规则编译。
由于与自定义IPS特征文件对应的其他各虚拟设备的设备标识可以存储在特征信息列表中,因此,可选的,S103具体可以为:
根据特征信息列表中与待导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将该自定义IPS特征文件发送至其他各目的虚拟设备。特征信息列表给出了自定义IPS特征文件与需要导入的除本虚拟设备以外的其他各目的虚拟设备的设备标识的对应关系。
以网络设备中创建了5个虚拟设备为例,假设网络设备设定了由设备标识为1的虚拟设备导入文件标识为a.rules的自定义IPS特征文件,且要求其他虚拟设备2、3、4、5都需要导入该自定义IPS特征文件。则虚拟设备1获取到自定义IPS特征文件a.rules以及该自定义IPS特征文件导入的目的虚拟设备的设备标识1、2、3、4、5,虚拟设备1识别到其自身的设备标识1排在设备标识序列的首位,则虚拟设备1优先导入自定义IPS特征文件a.rules,由于虚拟设备1能够识别出自定义IPS特征文件a.rules导入的目的虚拟设备的设备标识为1、2、3、4,说明虚拟设备2、3、4、5也需要导入自定义IPS特征文件a.rules,因此,虚拟设备1将设备标识1、2、3、4、5和自定义IPS特征文件的文件标识a.rules的对应关系记录在特征信息列表中,如表1所示。
表1
虚拟设备1通过TCP协议定义的格式,将自定义IPS特征文件a.rules封装成数据报文,然后将封装好的数据报文发送给表1所示的设备标识对应的其他虚拟设备2、3、4、5。待虚拟设备2、3、4和5收到数据报文后进行解析,各自完成自定义IPS特征文件导入和规则编译,且在编译完成后返回编译完成指令。如果虚拟设备2、3、4和5中,有些虚拟设备在虚拟设备1发送自定义IPS特征文件之前已经导入过该自定义IPS特征文件,则会识别到虚拟设备1发送来的自定义IPS特征文件与已导入的自定义IPS特征文件重复,拒绝又一次导入该自定义IPS特征文件。
应用本实施例,网络设备上的任一虚拟设备获取待导入的自定义IPS特征文件及该自定义IPS特征文件导入的目的虚拟设备的设备标识,若该自定义IPS特征文件导入的目的虚拟设备的设备标识包括该虚拟设备自身的设备标识,则导入该自定义IPS特征文件,该虚拟设备可以根据除其自身以外的其他各目的虚拟设备的设备标识,将待导入的自定义IPS特征文件发送至其他各目的虚拟设备,使得其他各目的虚拟设备可以导入该自定义IPS特征文件。对于多个虚拟设备需要导入相同的自定义IPS特征文件的情况,如果一个虚拟设备获取到该自定义IPS特征文件,该虚拟设备就可以根据获取到的该自定义IPS特征文件导入的目的虚拟设备的设备标识,将该自定义IPS特征文件发送至其他各目的虚拟设备进行导入,其他目的虚拟设备再不需要去自定义特征库中遍历查找该自定义IPS特征文件,简化了自定义IPS特征文件的导入过程,从而提高了自定义IPS特征文件的导入效率。并且在多虚拟设备的环境下,既保证了各虚拟设备自定义IPS特征文件的独立性,又可自动完善各虚拟设备自定义IPS特征文件。
在网络设备运行过程当中,用户可能会对某一个虚拟设备的自定义IPS特征文件进行修改,例如替换、删除或者修改自定义IPS特征文件中的规则特征,也有可能利用一个新的自定义IPS特征文件替换掉原来已导入的自定义IPS特征文件,其实质是已导入的自定义IPS特征文件中某一些规则特征发生了变化,如果按照全部覆盖的方式对自定义IPS特征文件进行同步,同步的数据量较大。基于此,可以对发生变化的规则特征进行同步,减少每次同步的数据量,提高规则特征同步的效率。如图2所示,具体的,自定义IPS特征文件中变化的规则特征命中后的同步过程可以包括如下步骤。
S201,统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征。
虚拟设备可以实时地监测到已导入的自定义IPS特征中是否有规则特征命中,虚拟设备可以周期性的统计命中的各规则特征,这里不对统计命中的各规则特征的周期做特殊限定,可自由设定。
可选的,在S201之后,本发明实施例所提供的自定义IPS特征文件导入方法还可以执行如下步骤:
将命中的各规则特征存储于特征信息列表中,其中,特征信息列表包括目的虚拟设备的设备标识、自定义IPS特征文件的文件标识、命中的规则特征和该规则特征的可信度的对应关系。
在图1所示实施例中,各虚拟设备可以维护一个特征信息列表,该特征信息列表除了包括表1所示的目的虚拟设备的设备标识和自定义IPS特征文件的文件标识的对应关系以外,还可以包括对应的命中的规则特征以及规则特征的可信度。那么,在本虚拟设备检测到命中已导入的自定义IPS特征文件中的某一规则特征后,可以将命中的规则特征存储在特征信息列表的与本虚拟设备的设备标识对应的对应关系中。规则特征命中是指所接收到的报文的特征能够匹配上规则特征。
S202,判断命中的各规则特征是否满足预设可信度条件。
在预设周期内统计到已导入的自定义IPS特征文件中命中的规则特征后,可以对规则特征的可信度进行判断,可信度为该规则特征能够作为阻断恶意攻击的报文的可信程度。例如,可信度判断可以包括:是否在预设周期内命中、命中是否是非误报、命中后的执行动作是否为阻断等等,若均为是,则认为可信度较高。相应的可以设置一个可信度条件,来确定某一规则特征的可信度大小,例如,在规则特征满足预设周期内命中、命中非误报且命中后的执行动作为阻断类执行动作,则认为该规则特征的满足预设可信度条件,该规则特征的可信度增加。
规则特征命中后的执行动作可以包括如下几种:
重置:通过发送TCP reset(重置)报文端口TCP连接;
重定向:将报文重定向到指定的Web(网页)页面上;
源阻断:阻断报文,并将报文的源IP地址加入IP黑名单;
丢弃:丢弃报文;
放行:允许报文通过;
捕获:捕获报文;
生成日志:针对报文生成日志信息。
阻断类的执行动作主要包括上述的重定向、源阻断、丢弃。
可选的,预设可信度条件可以包括:规则特征在预设周期内命中、规则特征的命中非误报以及规则特征命中后的执行动作为阻断类执行动作。
S203,在命中的各规则特征中,针对满足预设可信度条件的各第一规则特征,根据已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将各第一规则特征发送至其他各目的虚拟设备,以使其他各目的虚拟设备在确定自身原有的各规则特征中不存在各第一规则特征时,添加各第一规则特征。
针对命中的各规则特征中满足上述预设可信度条件的各第一规则特征,虚拟设备可以通过TCP协议定义的格式,将各第一规则特征封装成数据报文,然后将封装的数据报文发送至其他各目的虚拟设备。其他各目的虚拟设备在接收到数据报文后,对数据报文进行解析,得到各第一规则特征,将各第一规则特征与原有的各规则特征进行比较,如果原有的规则特征中不存在各第一规则特征,则其他各目的虚拟设备可以以增量的方式,在原有的规则特征不变的基础上,添加各第一规则特征。不论第一规则特征是新增的规则特征还是修改的规则特征,均会与原有的规则特征不同,则均可以以增量的方式,在原有的规则特征不变的基础上进行添加。
可选的,在执行S203之前,本发明实施例所提供的自定义IPS特征文件导入方法还可以执行如下步骤:
将特征信息列表中满足预设可信度条件的各第一规则特征的可信度设置为预设可信度标识。
相应的,S203具体可以为:
根据特征信息列表中与已导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将可信度为预设可信度标识的各第一规则特征发送至其他各目的虚拟设备。
在命中的规则特征满足预设可信度条件时,可以设置该规则特征的可信度为预设可信度标识,例如可以将该规则特征的可信度设置为1,否则,如果命中的规则特征不满足预设可信度条件,可以将该规则特征的可信度设置为0。
在特征信息列表中可以携带规则特征的可信度,则特征信息列表可以如表2所示。
表2
设备标识 | 文件标识 | 命中的规则特征 | 可信度 |
1 | a.rules | ABC | 1/0 |
2 | a.rules | ||
3 | a.rules | ||
4 | a.rules | ||
5 | a.rules |
表2中标识设备标识为1的虚拟设备上导入了文件标识为a.rules的自定义IPS特征文件,且该自定义IPS特征文件的规则特征ABC命中,如果规则特征ABC满足预设可信度条件,则表2中的可信度为1,如果规则特征ABC不满足预设可信度条件,则表2中的可信度为0。
如表2所示,如果特征信息列表中可信度为1,则说明规则特征ABC作为阻断恶意攻击的报文的规则特征的可信程度较高。虚拟设备1通过TCP协议定义的格式,将规则特征ABC发送至虚拟设备2、3、4和5,虚拟设备2、3、4、5对接收到的报文进行解析,得到规则特征ABC,并判断自身原有的各规则特征中是否存在规则特征ABC,如果不存在,则虚拟设备2、3、4和5可以直接在原有的规则特征的基础上添加规则特征ABC。
对于规则特征的删除的情况,虚拟设备可以根据特征信息列表,直接向与规则特征发生变化的自定义IPS特征文件的文件标识对应的其他各虚拟设备发送一通知报文,用来通知其他各虚拟设备有哪个规则特征需要删除,其他各虚拟设备在收到该通知报文后,可以将该规则特征删除。
可选的,在执行S203之后,本发明实施例所提供的自定义IPS特征文件导入方法还可以执行如下步骤:
接收其他各目的虚拟设备在对各第一规则特征编译完成后回复的编译完成指令;
删除特征信息列表中的各第一规则特征。
其他各目的虚拟设备在接收到各第一规则特征之后,可以对各第一规则特征进行重新编译,并且在重新编译后,向发送第一规则特征的虚拟设备回复编译完成指令,该虚拟设备在接收到编译完成指令之后,确定其他各虚拟设备均已完成对各第一规则特征的编译,则可以删除掉特征信息列表中的各第一规则特征,并且重新计时,判断预设周期内是否有规则特征命中。
如果特征信息列表中的规则特征不是新增的或者修改的规则特征,即命中的是原有的规则特征,由于命中的规则特征并无更新,可以不进行规则特征的发送、添加的步骤。
应用本实施例,一个虚拟设备在统计出已导入的自定义IPS特征文件中命中的规则特征满足预设可信度条件时,可以将命中的规则特征发送至其他与已导入的自定义IPS特征文件对应的各目的虚拟设备,使得其他各目的虚拟设备在确定该规则特征为更新的规则特征时,可以添加该规则特征。本实施例能够在一个虚拟设备已导入的自定义IPS特征文件中更新的规则特征命中的情况下,可以实现其他各目的虚拟设备的自动更新本虚拟设备的规则特征,不需要各自独立导入自定义IPS特征文件,而是通过数据传输的方式实现新增或者修改的规则特征的添加,提高了自定义IPS特征文件更新的效率。
为了便于理解,下面以一个具体的应用场景为例,对本发明实施例所提供的自定义IPS特征文件导入方法进行介绍。应用场景如图3所示,网络设备310中包括四个虚拟设备context(虚拟设备311、虚拟设备312、虚拟设备313和虚拟设备314),用户在输入自定义IPS特征文件a.rules时,同时设置了需要导入自定义IPS特征文件a.rules的虚拟设备(虚拟设备311、虚拟设备312、虚拟设备313及虚拟设备314)及设备标识:311、312、313及314。网络设备上预先设置了虚拟设备311为第一个导入特征文件的设备,因此,虚拟设备311会优先获取到自定义IPS特征文件a.rules,则相应的,如图4所示,在虚拟设备311上会执行如下步骤。
S401,虚拟设备311获取自定义IPS特征文件a.rules以及该自定义IPS特征文件需要导入的目的虚拟设备的设备标识311、312、313及314。
S402,虚拟设备311导入自定义IPS特征文件a.rules。
S403,虚拟设备311记录自定义IPS特征文件a.rules导入的各目的虚拟设备的设备标识311、312、313、314与自定义IPS特征文件a.rules的对应关系,生成特征信息列表。
由于虚拟设备311在获取到自定义IPS特征文件a.rules需要导入的目的虚拟设备的设备标识时,可以识别到设备标识不仅包括311一个,因此,可以生成如表3所示的特征信息列表。
表3
设备标识 | 文件标识 |
311 | a.rules |
312 | a.rules |
313 | a.rules |
314 | a.rules |
S404,虚拟设备311根据特征信息列表,确定需要导入自定义IPS特征文件a.rules的虚拟设备还有虚拟设备312、虚拟设备313及虚拟设备314,则通过TCP协议定义的格式,将自定义IPS特征文件a.rules封装成数据报文,发送至虚拟设备312、虚拟设备313和虚拟设备314。
S405,虚拟设备312、虚拟设备313和虚拟设备314分别对接收的数据报文进行解析,并对自定义IPS特征文件a.rules的规则特征进行编译,在编译完成之后分别向虚拟设备311发送编译完成指令。
S406,虚拟设备311、虚拟设备312、虚拟设备313和虚拟设备314各自统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征,并将命中的各规则特征存储于特征信息列表中。
每个虚拟设备都已存在自定义的IPS特征文件,各虚拟设备上有流量经过后会命中自定义IPS特征文件中的规则特征,将命中的规则特征存储于各自的特征信息列表中。例如,虚拟设备311在一个周期内命中了规则特征ABC,则相应的存储在如表4所示的特征信息列表中。
表4
设备标识 | 文件标识 | 命中的规则特征 | 可信度 |
311 | a.rules | ABC | |
312 | a.rules | ||
313 | a.rules | ||
314 | a.rules |
S407,虚拟设备311判断命中的规则特征ABC同时满足预设周期内规则命中、非误报、命中后执行动作为阻断类这3个条件,故将规则特征ABC对应的可信度设置为1。
因此,可以将表4中规则特征ABC对应的可信度置为1,得到表5。
表5
设备标识 | 文件标识 | 命中的规则特征 | 可信度 |
311 | a.rules | ABC | 1 |
312 | a.rules | ||
313 | a.rules | ||
314 | a.rules |
S408,虚拟设备311通过TCP协议定义的格式,将规则特征ABC封装成数据报文,发送至虚拟设备312、虚拟设备313和虚拟设备314。
S409,虚拟设备312、虚拟设备313和虚拟设备314将规则特征ABC与原有的各规则特征进行比较,确定原有的各规则特征中不存在规则特征ABC,则在原有的规则特征不变的基础上添加规则特征ABC。
S410,虚拟设备312、虚拟设备313和虚拟设备314对添加的规则特征ABC进行编译,并在编译结束后,向虚拟设备311发送编译完成指令。
S411,虚拟设备311在接收到虚拟设备312、虚拟设备313和虚拟设备314发送的编译完成指令之后,删除特征信息列表中的规则特征ABC。
应用本方案,对于多个虚拟设备需要导入相同的自定义IPS特征文件的情况,如果一个虚拟设备获取到该自定义IPS特征文件,该虚拟设备就可以根据获取到的该自定义IPS特征文件导入的目的虚拟设备的设备标识,将该自定义IPS特征文件发送至其他各目的虚拟设备进行导入,其他目的虚拟设备再不需要去自定义特征库中遍历查找该自定义IPS特征文件,简化了自定义IPS特征文件的导入过程,从而提高了自定义IPS特征文件的导入效率。并且,一个虚拟设备在统计出已导入的自定义IPS特征文件中命中的规则特征满足预设可信度条件时,可以将命中的规则特征发送至其他与已导入的自定义IPS特征文件对应的各目的虚拟设备,使得其他各目的虚拟设备在确定该规则特征为更新的规则特征时,可以添加该规则特征。本实施例能够在一个虚拟设备已导入的自定义IPS特征文件中更新的规则特征命中的情况下,可以实现其他各目的虚拟设备的自动更新本虚拟设备的规则特征,不需要各自独立导入自定义IPS特征文件,而是通过数据传输的方式实现新增或者修改的规则特征的添加,提高了自定义IPS特征文件更新的效率
相应于上述方法实施例,本发明实施例提供了一种自定义IPS特征文件导入装置,如图5所示,该装置应用于网络设备上的任一虚拟设备,所述网络设备上创建了多个虚拟设备,该装置可以包括:
获取模块510,用于获取待导入的自定义IPS特征文件及所述自定义IPS特征文件导入的目的虚拟设备的设备标识;
导入模块520,用于若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件;
发送模块530,用于根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备导入所述自定义IPS特征文件。
可选的,所述获取模块510,具体可以用于:
获取设备标识序列,所述设备标识序列包括所述自定义IPS特征文件导入的各目的虚拟设备的设备标识;
所述导入模块520,具体可以用于:
判断所述虚拟设备自身的设备标识是否排在所述设备标识序列中的首位;
若是,则导入所述自定义IPS特征文件。
可选的,所述装置还可以包括:
判断模块,用于根据所述自定义IPS特征文件导入的目的虚拟设备的设备标识,判断所述自定义IPS特征文件是否仅导入所述虚拟设备自身;
生成模块,用于若所述判断模块的判断结果为否,则记录所述自定义IPS特征文件导入的各目的虚拟设备的设备标识与所述自定义IPS特征文件的文件标识的对应关系,并生成包括所述对应关系的特征信息列表;
所述发送模块530,具体可以用于:
根据所述特征信息列表中与所述自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备。
可选的,所述装置还可以包括:
统计模块,用于统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征;
判断模块,用于判断所述各规则特征是否满足预设可信度条件;
所述发送模块530,还可以用于针对满足所述预设可信度条件的各第一规则特征,根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备在确定自身原有的各规则特征中不存在所述各第一规则特征时,添加所述各第一规则特征。
可选的,所述装置还可以包括:
存储模块,用于将所述各规则特征存储于特征信息列表中,所述特征信息列表包括目的虚拟设备的设备标识、自定义IPS特征文件的文件标识、命中的规则特征和所述规则特征的可信度的对应关系;
设置模块,用于将所述特征信息列表中满足所述预设可信度条件的各第一规则特征的可信度设置为预设可信度标识;
所述发送模块530,具体可以用于:
根据所述特征信息列表中与所述已导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将可信度为所述预设可信度标识的各第一规则特征发送至所述其他各目的虚拟设备。
可选的,所述装置还可以包括:
接收模块,用于接收所述其他各目的虚拟设备在对所述各第一规则特征编译完成后回复的编译完成指令;
删除模块,用于删除所述特征信息列表中的所述各第一规则特征。
可选的,所述预设可信度条件,包括:所述规则特征在预设周期内命中、所述规则特征的命中非误报以及所述规则特征命中后的执行动作为阻断类执行动作。
应用本实施例,网络设备上的任一虚拟设备获取待导入的自定义IPS特征文件及该自定义IPS特征文件导入的目的虚拟设备的设备标识,若该自定义IPS特征文件导入的目的虚拟设备的设备标识包括该虚拟设备自身的设备标识,则导入该自定义IPS特征文件,该虚拟设备可以根据除其自身以外的其他各目的虚拟设备的设备标识,将待导入的自定义IPS特征文件发送至其他各目的虚拟设备,使得其他各目的虚拟设备可以导入该自定义IPS特征文件。对于多个虚拟设备需要导入相同的自定义IPS特征文件的情况,如果一个虚拟设备获取到该自定义IPS特征文件,该虚拟设备就可以根据获取到的该自定义IPS特征文件导入的目的虚拟设备的设备标识,将该自定义IPS特征文件发送至其他各目的虚拟设备进行导入,其他目的虚拟设备再不需要去自定义特征库中遍历查找该自定义IPS特征文件,简化了自定义IPS特征文件的导入过程,从而提高了自定义IPS特征文件的导入效率。
本发明实施例还提供了一种网络设备,如图6所示,包括处理器601和机器可读存储介质602,所述机器可读存储介质602存储有能够被所述处理器601执行的机器可执行指令,所述处理器601被所述机器可执行指令促使:执行本发明实施例所提供的自定义IPS特征文件导入方法的步骤。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
机器可读存储介质602与处理器601之间可以通过有线连接或者无线连接的方式进行数据传输,并且各虚拟设备之间以及网络设备与其他的设备之间可以通过有线通信接口或者无线通信接口进行通信。图4所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。
本实施例中,处理器601通过读取机器可读存储介质602中存储的机器可执行指令,被机器可执行指令促使能够实现:网络设备上的任一虚拟设备获取待导入的自定义IPS特征文件及该自定义IPS特征文件导入的目的虚拟设备的设备标识,若该自定义IPS特征文件导入的目的虚拟设备的设备标识包括该虚拟设备自身的设备标识,则导入该自定义IPS特征文件,该虚拟设备可以根据除其自身以外的其他各目的虚拟设备的设备标识,将待导入的自定义IPS特征文件发送至其他各目的虚拟设备,使得其他各目的虚拟设备可以导入该自定义IPS特征文件。对于多个虚拟设备需要导入相同的自定义IPS特征文件的情况,如果一个虚拟设备获取到该自定义IPS特征文件,该虚拟设备就可以根据获取到的该自定义IPS特征文件导入的目的虚拟设备的设备标识,将该自定义IPS特征文件发送至其他各目的虚拟设备进行导入,其他目的虚拟设备再不需要去自定义特征库中遍历查找该自定义IPS特征文件,简化了自定义IPS特征文件的导入过程,从而提高了自定义IPS特征文件的导入效率网络设备。
另外,本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,执行本发明实施例所提供的自定义IPS特征文件导入方法的步骤。
本实施例中,机器可读存储介质在运行时执行本发明实施例所提供的自定义IPS特征文件导入方法的机器可执行指令,因此能够实现:网络设备上的任一虚拟设备获取待导入的自定义IPS特征文件及该自定义IPS特征文件导入的目的虚拟设备的设备标识,若该自定义IPS特征文件导入的目的虚拟设备的设备标识包括该虚拟设备自身的设备标识,则导入该自定义IPS特征文件,该虚拟设备可以根据除其自身以外的其他各目的虚拟设备的设备标识,将待导入的自定义IPS特征文件发送至其他各目的虚拟设备,使得其他各目的虚拟设备可以导入该自定义IPS特征文件。对于多个虚拟设备需要导入相同的自定义IPS特征文件的情况,如果一个虚拟设备获取到该自定义IPS特征文件,该虚拟设备就可以根据获取到的该自定义IPS特征文件导入的目的虚拟设备的设备标识,将该自定义IPS特征文件发送至其他各目的虚拟设备进行导入,其他目的虚拟设备再不需要去自定义特征库中遍历查找该自定义IPS特征文件,简化了自定义IPS特征文件的导入过程,从而提高了自定义IPS特征文件的导入效率网络设备。
对于网络设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、网络设备及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种自定义IPS特征文件导入方法,其特征在于,应用于网络设备上的任一虚拟设备,所述网络设备上创建了多个虚拟设备,所述方法包括:
获取待导入的自定义入侵防御系统IPS特征文件及所述自定义IPS特征文件导入的目的虚拟设备的设备标识;
若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件;
根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备导入所述自定义IPS特征文件。
2.根据权利要求1所述的方法,其特征在于,所述获取所述自定义IPS特征文件导入的目的虚拟设备的设备标识,包括:
获取设备标识序列,所述设备标识序列包括所述自定义IPS特征文件导入的各目的虚拟设备的设备标识;
所述若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件,包括:
判断所述虚拟设备自身的设备标识是否排在所述设备标识序列中的首位;
若是,则导入所述自定义IPS特征文件。
3.根据权利要求1所述的方法,其特征在于,在所述导入所述自定义IPS特征文件之后,所述方法还包括:
根据所述自定义IPS特征文件导入的目的虚拟设备的设备标识,判断所述自定义IPS特征文件是否仅导入所述虚拟设备自身;
若否,则记录所述自定义IPS特征文件导入的各目的虚拟设备的设备标识与所述自定义IPS特征文件的文件标识的对应关系,并生成包括所述对应关系的特征信息列表;
所述根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,包括:
根据所述特征信息列表中与所述自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征;
判断所述各规则特征是否满足预设可信度条件;
针对满足所述预设可信度条件的各第一规则特征,根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备在确定自身原有的各规则特征中不存在所述各第一规则特征时,添加所述各第一规则特征。
5.根据权利要求4所述的方法,其特征在于,在所述统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征之后,所述方法还包括:
将所述各规则特征存储于特征信息列表中,所述特征信息列表包括目的虚拟设备的设备标识、自定义IPS特征文件的文件标识、命中的规则特征和所述规则特征的可信度的对应关系;
在所述根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备之前,所述方法还包括:
将所述特征信息列表中满足所述预设可信度条件的各第一规则特征的可信度设置为预设可信度标识;
所述根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备,包括:
根据所述特征信息列表中与所述已导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将可信度为所述预设可信度标识的各第一规则特征发送至所述其他各目的虚拟设备。
6.根据权利要求5所述的方法,其特征在于,在所述根据所述特征信息列表中与所述已导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将可信度为所述预设可信度标识的各第一规则特征发送至所述其他各目的虚拟设备之后,所述方法还包括:
接收所述其他各目的虚拟设备在对所述各第一规则特征编译完成后回复的编译完成指令;
删除所述特征信息列表中的所述各第一规则特征。
7.根据权利要求4-6任一项所述的方法,其特征在于,所述预设可信度条件,包括:所述规则特征在预设周期内命中、所述规则特征的命中非误报以及所述规则特征命中后的执行动作为阻断类执行动作。
8.一种自定义IPS特征文件导入装置,其特征在于,应用于网络设备上的任一虚拟设备,所述网络设备上创建了多个虚拟设备,所述装置包括:
获取模块,用于获取待导入的自定义IPS特征文件及所述自定义IPS特征文件导入的目的虚拟设备的设备标识;
导入模块,用于若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件;
发送模块,用于根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备导入所述自定义IPS特征文件。
9.根据权利要求8所述的装置,其特征在于,所述获取模块,具体用于:
获取设备标识序列,所述设备标识序列包括所述自定义IPS特征文件导入的各目的虚拟设备的设备标识;
所述导入模块,具体用于:
判断所述虚拟设备自身的设备标识是否排在所述设备标识序列中的首位;
若是,则导入所述自定义IPS特征文件。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
判断模块,用于根据所述自定义IPS特征文件导入的目的虚拟设备的设备标识,判断所述自定义IPS特征文件是否仅导入所述虚拟设备自身;
生成模块,用于若所述判断模块的判断结果为否,则记录所述自定义IPS特征文件导入的各目的虚拟设备的设备标识与所述自定义IPS特征文件的文件标识的对应关系,并生成包括所述对应关系的特征信息列表;
所述发送模块,具体用于:
根据所述特征信息列表中与所述自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括:
统计模块,用于统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征;
判断模块,用于判断所述各规则特征是否满足预设可信度条件;
所述发送模块,还用于针对满足所述预设可信度条件的各第一规则特征,根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备在确定自身原有的各规则特征中不存在所述各第一规则特征时,添加所述各第一规则特征。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
存储模块,用于将所述各规则特征存储于特征信息列表中,所述特征信息列表包括目的虚拟设备的设备标识、自定义IPS特征文件的文件标识、命中的规则特征和所述规则特征的可信度的对应关系;
设置模块,用于将所述特征信息列表中满足所述预设可信度条件的各第一规则特征的可信度设置为预设可信度标识;
所述发送模块,具体用于:
根据所述特征信息列表中与所述已导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将可信度为所述预设可信度标识的各第一规则特征发送至所述其他各目的虚拟设备。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述其他各目的虚拟设备在对所述各第一规则特征编译完成后回复的编译完成指令;
删除模块,用于删除所述特征信息列表中的所述各第一规则特征。
14.根据权利要求11-13任一项所述的装置,其特征在于,所述预设可信度条件,包括:所述规则特征在预设周期内命中、所述规则特征的命中非误报以及所述规则特征命中后的执行动作为阻断类执行动作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910068196.0A CN109802965B (zh) | 2019-01-24 | 2019-01-24 | 一种自定义ips特征文件导入方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910068196.0A CN109802965B (zh) | 2019-01-24 | 2019-01-24 | 一种自定义ips特征文件导入方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109802965A true CN109802965A (zh) | 2019-05-24 |
CN109802965B CN109802965B (zh) | 2022-09-20 |
Family
ID=66560289
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910068196.0A Active CN109802965B (zh) | 2019-01-24 | 2019-01-24 | 一种自定义ips特征文件导入方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109802965B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112115656A (zh) * | 2020-09-23 | 2020-12-22 | 恒为科技(上海)股份有限公司 | 一种快速设置内存条约束的方法及装置 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571738A (zh) * | 2010-12-08 | 2012-07-11 | 中国电信股份有限公司 | 基于虚拟局域网交换的入侵防御方法与系统 |
CN103795602A (zh) * | 2012-10-30 | 2014-05-14 | 华为技术有限公司 | 虚拟网络的网络策略配置方法及装置 |
US20150281285A1 (en) * | 2012-04-30 | 2015-10-01 | Palo Alto Networks, Inc. | Deploying policy configuration across multiple security devices through hierarchical configuration templates |
CN105634829A (zh) * | 2016-03-08 | 2016-06-01 | 浙江安正科技股份有限公司 | 一种网络设备管理方法 |
CN106161399A (zh) * | 2015-04-21 | 2016-11-23 | 杭州华三通信技术有限公司 | 一种安全服务交付方法及系统 |
CN107547504A (zh) * | 2017-06-16 | 2018-01-05 | 新华三信息安全技术有限公司 | 入侵防御方法及装置 |
CN107547566A (zh) * | 2017-09-29 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种处理业务报文的方法及装置 |
CN107872456A (zh) * | 2017-11-09 | 2018-04-03 | 深圳市利谱信息技术有限公司 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
CN108259209A (zh) * | 2017-02-28 | 2018-07-06 | 新华三技术有限公司 | 网络设备配置方法和装置 |
-
2019
- 2019-01-24 CN CN201910068196.0A patent/CN109802965B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571738A (zh) * | 2010-12-08 | 2012-07-11 | 中国电信股份有限公司 | 基于虚拟局域网交换的入侵防御方法与系统 |
US20150281285A1 (en) * | 2012-04-30 | 2015-10-01 | Palo Alto Networks, Inc. | Deploying policy configuration across multiple security devices through hierarchical configuration templates |
CN103795602A (zh) * | 2012-10-30 | 2014-05-14 | 华为技术有限公司 | 虚拟网络的网络策略配置方法及装置 |
CN106161399A (zh) * | 2015-04-21 | 2016-11-23 | 杭州华三通信技术有限公司 | 一种安全服务交付方法及系统 |
CN105634829A (zh) * | 2016-03-08 | 2016-06-01 | 浙江安正科技股份有限公司 | 一种网络设备管理方法 |
CN108259209A (zh) * | 2017-02-28 | 2018-07-06 | 新华三技术有限公司 | 网络设备配置方法和装置 |
CN107547504A (zh) * | 2017-06-16 | 2018-01-05 | 新华三信息安全技术有限公司 | 入侵防御方法及装置 |
CN107547566A (zh) * | 2017-09-29 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种处理业务报文的方法及装置 |
CN107872456A (zh) * | 2017-11-09 | 2018-04-03 | 深圳市利谱信息技术有限公司 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112115656A (zh) * | 2020-09-23 | 2020-12-22 | 恒为科技(上海)股份有限公司 | 一种快速设置内存条约束的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109802965B (zh) | 2022-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3297213B1 (en) | Method and apparatus for identifying application information in network traffic | |
CN106464577B (zh) | 网络系统、控制装置、通信装置以及通信控制方法 | |
CN103905447B (zh) | 业务链路选择控制方法以及设备 | |
CN106209506B (zh) | 一种虚拟化深度包检测流量分析方法及系统 | |
CN104301436B (zh) | 待显示内容推送、订阅、更新方法及其相应的装置 | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
CN109688097A (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
CN104348677A (zh) | 一种深度报文检测方法、设备及协处理器 | |
CN107040863A (zh) | 实时业务推荐方法及系统 | |
JP2005135381A (ja) | クライアントベースのウェブクローリングのためのシステムおよび方法 | |
CN105306465A (zh) | 网站安全访问实现方法及装置 | |
CN109525587A (zh) | 一种数据包的识别方法及装置 | |
CN109271793A (zh) | 物联网云平台设备类别识别方法及系统 | |
CN102724079A (zh) | 一种以太网设备辅助配置的方法及系统 | |
CN104869155A (zh) | 数据审计方法及装置 | |
CN104717120A (zh) | 确定信息发送时间的方法和装置 | |
CN109688094B (zh) | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 | |
CN108512898A (zh) | 文件推送方法、装置、计算机设备和存储介质 | |
CN106789227A (zh) | 一种上网行为分析方法及上网行为分析装置 | |
CN104462242B (zh) | 网页回流量统计方法及装置 | |
CN106599120A (zh) | 基于流处理框架的数据处理方法及装置 | |
CN104717102A (zh) | 流量统计方法、装置以及nat网关设备 | |
CN109802965A (zh) | 一种自定义ips特征文件导入方法及装置 | |
CN102413197A (zh) | 访问统计处理方法及装置 | |
CN110308901A (zh) | 处理前端页面中数据变量方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |