CN111163101B - 入侵防御规则动态调整方法、装置,电子设备和存储介质 - Google Patents
入侵防御规则动态调整方法、装置,电子设备和存储介质 Download PDFInfo
- Publication number
- CN111163101B CN111163101B CN201911419068.2A CN201911419068A CN111163101B CN 111163101 B CN111163101 B CN 111163101B CN 201911419068 A CN201911419068 A CN 201911419068A CN 111163101 B CN111163101 B CN 111163101B
- Authority
- CN
- China
- Prior art keywords
- service port
- opened
- tcp
- host
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000002265 prevention Effects 0.000 title claims abstract description 46
- 238000004590 computer program Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 17
- 238000004891 communication Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种入侵防御规则动态调整方法及装置,所述方法包括:获取主机当前开启的网络服务端口,根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则。本发明实施例由于根据主机当前开启的网络服务端口以及根据每种网络服务端口下开启的子服务端口,加载与开启的子服务端口匹配的IPS防护规则,从而能够只加载跟主机当前开启的网络服务匹配的IPS防护规则,而不必加载全部的IPS防护规则,从而可以解决IPS进程启动慢以及启动持续占用CPU内存高的问题,进而可以加快数据包匹配速度。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种入侵防御规则动态调整方法及装置。
背景技术
入侵预防系统(Intrusion-prevention system,简称IPS)通过检测数据报文,发现数据报文中的异常和攻击载荷,以对数据报文进行处理。
当前市场上的IPS功能一直存在这样一个重大缺陷:
就是IPS在加载规则时完全不经过过滤,加载大量无用的规则,进而导致进程启动慢、启动时持续占用CPU高的缺陷。
发明内容
针对现有技术中的问题,本发明实施例提供一种入侵防御规则动态调整方法及装置。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种入侵防御规则动态调整方法,包括:
获取主机当前开启的网络服务端口;
根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则。
进一步地,所述获取主机当前开启的网络服务端口,具体包括:
获取主机当前开启的TCP服务端口;
相应地,根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则,具体包括:
根据主机当前开启的TCP服务端口,获取每种TCP服务端口下开启的 HTTP服务端口;
根据每种TCP服务端口下开启的HTTP服务端口,将IPS配置文件中的 HTTP服务端口列表调整为每种TCP服务端口下开启的HTTP服务端口;
根据所述IPS配置文件中的HTTP服务端口加载相应的HTTP服务防护规则。
进一步地,所述获取主机当前开启的TCP服务端口,具体包括:
读取主机系统的/proc/net/tcp虚拟文件,获取主机当前开启的TCP服务端口;
或,
使用netstat–anoltp命令获取主机当前开启的TCP服务端口。
进一步地,所述获取每种TCP服务端口下开启的HTTP服务端口,具体包括:
向每种TCP服务端口下的所有HTTP端口均发送TCP网络连接和HTTP 请求;
根据接收到的HTTP应答消息,获取每种TCP服务端口下开启的HTTP 服务端口。
第二方面,本发明实施例还提供了一种入侵防御规则动态调整装置,包括:
获取模块,用于获取主机当前开启的网络服务端口;
加载模块,用于根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则。
进一步地,所述获取模块,具体用于:
获取主机当前开启的TCP服务端口;
相应地,所述加载模块,具体用于:
根据主机当前开启的TCP服务端口,获取每种TCP服务端口下开启的HTTP服务端口;
根据每种TCP服务端口下开启的HTTP服务端口,将IPS配置文件中的 HTTP服务端口列表调整为每种TCP服务端口下开启的HTTP服务端口;
根据所述IPS配置文件中的HTTP服务端口加载相应的HTTP服务防护规则。
进一步地,所述获取模块在获取主机当前开启的TCP服务端口时,具体用于:
读取主机系统的/proc/net/tcp虚拟文件,获取主机当前开启的TCP服务端口;
或,
使用netstat–anoltp命令获取主机当前开启的TCP服务端口。
进一步地,所述加载模块在获取每种TCP服务端口下开启的HTTP服务端口时,具体用于:
向每种TCP服务端口下的所有HTTP端口均发送TCP网络连接和HTTP 请求;
根据接收到的HTTP应答消息,获取每种TCP服务端口下开启的HTTP 服务端口。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述入侵防御规则动态调整方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述入侵防御规则动态调整方法的步骤。
由上面技术方案可知,本发明实施例提供的入侵防御规则动态调整方法及装置,由于根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则,从而本发明实施例只加载跟主机当前开启的网络服务相关的IPS防护规则,而不必加载全部的IPS 防护规则,从而可以解决IPS进程启动慢以及启动持续占用CPU内存高的问题,进而可以加快数据包匹配速度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的入侵防御规则动态调整方法的流程图;
图2为本发明一实施例提供的入侵防御规则动态调整方法的实现过程示意图;
图3为本发明一实施例提供的入侵防御规则动态调整装置的结构示意图;
图4为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
正如背景技术部分所述,当前市场上的IPS功能一直存在这样一个重大缺陷:IPS在加载规则时完全不经过过滤,加载了大量无用的规则,进程启动慢、启动时持续占用CPU高。比如,当前主机上即使没有启动HTTP服务,仍然加载大量的HTTP服务器防护规则,这完全是没有必要的。针对该问题,本发明实施例提供了一种入侵防御规则动态调整方法及装置,本发明实施例增加了主机服务自动判断机制,根据当前主机开启的服务,对加载的规则进行自动判断并过滤,以解决IPS进程启动慢和启动持续占用CPU内存高的问题。下面将通过具体实施例对本发明提供的入侵防御规则动态调整方法及装置进行详细说明。
图1示出了本发明实施例提供的入侵防御规则动态调整方法的流程图。如图1所示,本发明实施例提供的入侵防御规则动态调整方法包括如下步骤:
步骤101:获取主机当前开启的网络服务端口;
在本步骤中,主机在进行数据传输时可能用到的网络服务有多种类型。例如,基于传输层协议TCP的HTTP服务有很多种类型,然而并不是在每次数据传输过程中,每种类型的HTTP服务都会用到。如果在进行某次数据传输任务时,假设某些HTTP服务不会用到,主机就不会开启相应的 HTTP服务。相对应地,由于某些HTTP服务不会用到,因此,IPS设备在进行IPS防护时,就无需加载与这些HTTP服务对应的防护规则,这样处理,可以避免加载大量无用的规则,从而可以大大降低IPS加载防护规则的加载量和加载时间,进而可以避免导致进程启动慢以及启动时持续占用CPU高的问题。又如,在某次数据传输时,无需用到任何HTTP服务,因此主机就不会开启相应的HTTP服务,那么后续IPS设备在进行IPS防护时,就无需加载与任何HTTP服务对应的防护规则,从而避免加载大量无用的HTTP服务防护规则,从而可以有效降低IPS防护规则加载时间。
步骤102:根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则。
在本步骤中,根据主机当前开启的网络服务,确定入侵防御系统IPS加载的防护规则是指:根据主机当前开启的网络服务,确定IPS需要加载的防护规则为与主机当前开启的网络服务匹配的防护规则,从而可以将与主机当前未开启的网络服务匹配的防护规则过滤掉,不加载与主机当前未开启的网络服务匹配的防护规则,从而可以减小IPS防护规则的加载量,缩短IPS防护规则加载时间。
举例来说,假设主机在进行数据传输时可能用到的网络服务有A、B、C、D、E、F、G、H、I、J和K共11种服务,然而主机当前在进行数据传输时开启的网络服务只有A和B,则IPS设备在加载IPS防护规则时,就只需加载与主机当前开启的网络服务A和B相关的防护规则,而无需加载与网络C、 D、E、F、G、H、I、J和K相关的防护规则,从而可以减小IPS防护规则的加载量,缩短IPS防护规则加载时间,且不会影响数据传输过程中的安全性。此外,由于只加载了与网络服务A和B相关的防护规则,因此,在进行数据包的安全检查时,只需利用已加载的与网络服务A和B相关的防护规则对数据包进行安全规则匹配,而无需利用所有的网络服务的防护规则对数据包进行安全规则匹配,从而可以加快数据包的匹配速度。
由上面技术方案可知,本发明实施例提供的入侵防御规则动态调整方法,由于根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则,从而使得本实施例只加载跟主机当前开启的网络服务匹配的IPS防护规则,而不必加载全部的IPS防护规则,从而可以解决IPS进程启动慢以及启动持续占用CPU内存高的问题,进而可以加快数据包匹配速度。
进一步地,基于上述实施例的内容,在本实施例中,所述步骤101获取主机当前开启的网络服务端口,具体包括:
获取主机当前开启的TCP服务端口;
相应地,所述步骤102根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则,具体包括:
根据主机当前开启的TCP服务端口,获取每种TCP服务端口下开启的 HTTP服务端口;
根据每种TCP服务端口下开启的HTTP服务端口,将IPS配置文件中的 HTTP服务端口列表调整为每种TCP服务端口下开启的HTTP服务端口;
根据所述IPS配置文件中的HTTP服务端口加载相应的HTTP服务防护规则。
在本实施例中,对TCP服务端口和HTTP服务端口进行了优化,这是因为TCP建立的是可靠的连接,涉及到具体的服务端口号,而UDP是不可靠的连接,通信时不需要建立连接,ICMP是网络层协议,不存在端口,因此,相对于UDP和ICMP,本实施例针对可以通过端口号进行规则筛选过滤的 TCP服务端口和HTTP服务端口进行了优化。具体地,本实施例首先判断主机当前是否开启TCP服务,若是,则根据主机当前开启的TCP服务端口,获取每种TCP服务端口下开启的HTTP服务端口,然后根据每种TCP服务端口下开启的HTTP服务端口,将IPS配置文件中的HTTP服务端口列表调整为每种TCP服务端口下开启的HTTP服务端口,也即将IPS配置文件中的HTTP 服务端口列表中的其他当前未开启的HTTP服务端口过滤掉,只保留当前开启的HTTP服务端口,从而IPS设备在根据IPS配置文件加载IPS防护规则时,可以按照IPS配置文件中的HTTP服务端口列表,只加载与当前开启着的网络服务匹配的防护规则,而不用加载所有的防护规则,从而可以大大缩短IPS防护规则的加载时间。
下面结合图2所示的处理过程对本实施例提供的入侵防御规则动态调整方法进行解释说明。
在本实施例中,如图2所示,本实施例提供的入侵防御规则动态调整方法,可以通过如下方式实现:
S1、获取主机TCP端口;
S2、探测HTTP端口;
S3、判断TCP端口和HTTP端口是否有变化,若有,则执行S4,否则,执行S6;
S4、修改IPS配置文件中HTTP端口;
S5、根据当前开启的TCP和HTTP端口号过滤不必要的规则;
S6、结束。
在本实施例中,由于可以根据主机当前开启的网络服务滤除不需要加载的防护规则,只加载需要当前开启着的网络服务需要的防护规则,从而不但可以缩短IPS防护规则的加载时间,而且由于只加载了当前开启着的网络服务需要的防护规则,因此,在利用防护规则对数据包进行安全检查时,也能够提升数据包匹配速度,提高安全防护效率。
进一步地,基于上述实施例的内容,在本实施例中,所述获取主机当前开启的TCP服务端口,具体包括:
读取主机系统的/proc/net/tcp虚拟文件,获取主机当前开启的TCP服务端口;
或,
使用netstat–anoltp命令获取主机当前开启的TCP服务端口。
在本实施例中,获取主机当前开启的TCP端口可以读取系统/proc/net/tcp 虚拟文件,也可以使用netstat–anoltp命令获取,这两种获取方式均简单有效,可以根据需要选择其中之一获取主机当前开启的TCP端口。
进一步地,基于上述实施例的内容,在本实施例中,所述获取每种TCP 服务端口下开启的HTTP服务端口,具体包括:
向每种TCP服务端口下的所有HTTP端口均发送TCP网络连接和HTTP 请求;
根据接收到的HTTP应答消息,获取每种TCP服务端口下开启的HTTP 服务端口。
在本实施例中,在获取每种TCP服务端口下开启的HTTP服务端口时,可以采用如下处理方式:向此端口发起一个tcp网络连接,随后向此端口发送一个HTTP请求,根据HTTP协议,发送的数据如下4部分(注意最后要有一个空行):
>HEAD/HTTP/1.1
>Host:127.0.0.1:8080
>Accept:*/*
>
如果此端口为HTTP服务端口,则按HTTP协议应收到以“HTTP”字符串开始的如下内容:
>HTTP/1.1 200OK
由此可判断此端口是否为开启的HTTP服务端口。
进一步地,基于上述实施例的内容,在本实施例中,所述入侵防御规则动态调整方法,还包括:
利用IPS加载的防护规则对主机进行IPS防护。
在本实施例中,由于可以根据主机当前开启的网络服务滤除不需要加载的防护规则,只加载需要当前开启着的网络服务需要的防护规则,从而不但可以缩短IPS防护规则的加载时间,而且由于只加载了当前开启着的网络服务需要的防护规则,因此,在利用防护规则对数据包进行安全检查时,也能够提升数据包匹配速度,提高安全防护效率。
由上面技术方案可知,本发明实施例提供的入侵防御规则动态调整方法,由于根据主机当前开启的网络服务确定入侵防御系统IPS加载的防护规则,从而能够只加载跟主机当前开启的网络服务相关的IPS防护规则,而不必加载全部的IPS防护规则,从而可以解决IPS进程启动慢以及启动持续占用CPU 内存高的问题,进而可以加快数据包匹配速度。
图3示出了本发明实施例提供的入侵防御规则动态调整装置的结构示意图。如图3所示,本发明实施例提供的入侵防御规则动态调整装置包括:获取模块21和加载模块22,其中:
获取模块21,用于获取主机当前开启的网络服务端口;
加载模块22,用于根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则。
进一步地,基于上述实施例的内容,在本实施例中,所述获取模块21,具体用于:
获取主机当前开启的TCP服务端口;
相应地,所述加载模块22,具体用于:
根据主机当前开启的TCP服务端口,获取每种TCP服务端口下开启的 HTTP服务端口;
根据每种TCP服务端口下开启的HTTP服务端口,将IPS配置文件中的HTTP服务端口列表调整为每种TCP服务端口下开启的HTTP服务端口;
根据所述IPS配置文件中的HTTP服务端口加载相应的HTTP服务防护规则。
进一步地,基于上述实施例的内容,在本实施例中,所述获取模块21在获取主机当前开启的TCP服务端口时,具体用于:
读取主机系统的/proc/net/tcp虚拟文件,获取主机当前开启的TCP服务端口;
或,
使用netstat–anoltp命令获取主机当前开启的TCP服务端口。
进一步地,基于上述实施例的内容,在本实施例中,所述加载模块22在获取每种TCP服务端口下开启的HTTP服务端口时,具体用于:
向每种TCP服务端口下的所有HTTP端口均发送TCP网络连接和HTTP 请求;
根据接收到的HTTP应答消息,获取每种TCP服务端口下开启的HTTP 服务端口。
进一步地,基于上述实施例的内容,在本实施例中,所述入侵防御规则动态调整装置,还包括:
防护模块,用于利用IPS加载的防护规则对主机进行IPS防护。
在本实施例中,需要说明的是,本发明实施例的装置中的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
由于本发明实施例提供的入侵防御规则动态调整装置,可以用于执行上述实施例所述的入侵防御规则动态调整方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图 4,所述电子设备具体包括如下内容:处理器401、存储器402、通信接口403 和通信总线404;
其中,所述处理器401、存储器402、通信接口403通过所述通信总线404完成相互间的通信;
所述处理器401用于调用所述存储器402中的计算机程序,所述处理器执行所述计算机程序时实现上述入侵防御规则动态调整方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:获取主机当前开启的网络服务端口;根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述入侵防御规则动态调整方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:获取主机当前开启的网络服务端口;根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的IPS防护规则。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等) 执行各个实施例或者实施例的某些部分所述的入侵防御规则动态调整方法。
此外,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
此外,在本发明中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种入侵防御规则动态调整方法,其特征在于,包括:
获取主机当前开启的网络服务端口;
根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的入侵预防系统防护规则;
所述获取主机当前开启的网络服务端口,具体包括:
获取主机当前开启的TCP服务端口;
相应地,根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的入侵预防系统防护规则,具体包括:
根据主机当前开启的TCP服务端口,获取每种TCP服务端口下开启的HTTP服务端口;
根据每种TCP服务端口下开启的HTTP服务端口,将入侵预防系统配置文件中的HTTP服务端口列表调整为每种TCP服务端口下开启的HTTP服务端口;
根据所述入侵预防系统配置文件中的HTTP服务端口加载相应的HTTP服务防护规则。
2.根据权利要求1所述的入侵防御规则动态调整方法,其特征在于,所述获取主机当前开启的TCP服务端口,具体包括:
读取主机系统的/proc/net/tcp虚拟文件,获取主机当前开启的TCP服务端口;
或,
使用netstat –anoltp命令获取主机当前开启的TCP服务端口。
3.根据权利要求1所述的入侵防御规则动态调整方法,其特征在于,所述获取每种TCP服务端口下开启的HTTP服务端口,具体包括:
向每种TCP服务端口下的所有HTTP端口均发送TCP网络连接和HTTP请求;
根据接收到的HTTP应答消息,获取每种TCP服务端口下开启的HTTP服务端口。
4.一种入侵防御规则动态调整装置,其特征在于,包括:
获取模块,用于获取主机当前开启的网络服务端口;
加载模块,用于根据主机当前开启的网络服务端口,获取每种网络服务端口下开启的子服务端口,并根据每种网络服务端口下开启的子服务端口,加载与所述开启的子服务端口匹配的入侵预防系统防护规则;
所述获取模块,具体用于:
获取主机当前开启的TCP服务端口;
相应地,所述加载模块,具体用于:
根据主机当前开启的TCP服务端口,获取每种TCP服务端口下开启的HTTP服务端口;
根据每种TCP服务端口下开启的HTTP服务端口,将入侵预防系统配置文件中的HTTP服务端口列表调整为每种TCP服务端口下开启的HTTP服务端口;
根据所述入侵预防系统配置文件中的HTTP服务端口加载相应的HTTP服务防护规则。
5.根据权利要求4所述的入侵防御规则动态调整装置,其特征在于,所述获取模块在获取主机当前开启的TCP服务端口时,具体用于:
读取主机系统的/proc/net/tcp虚拟文件,获取主机当前开启的TCP服务端口;
或,
使用netstat –anoltp命令获取主机当前开启的TCP服务端口。
6.根据权利要求4所述的入侵防御规则动态调整装置,其特征在于,所述加载模块在获取每种TCP服务端口下开启的HTTP服务端口时,具体用于:
向每种TCP服务端口下的所有HTTP端口均发送TCP网络连接和HTTP请求;
根据接收到的HTTP应答消息,获取每种TCP服务端口下开启的HTTP服务端口。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述入侵防御规则动态调整方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至3任一项所述入侵防御规则动态调整方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911419068.2A CN111163101B (zh) | 2019-12-31 | 2019-12-31 | 入侵防御规则动态调整方法、装置,电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911419068.2A CN111163101B (zh) | 2019-12-31 | 2019-12-31 | 入侵防御规则动态调整方法、装置,电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111163101A CN111163101A (zh) | 2020-05-15 |
| CN111163101B true CN111163101B (zh) | 2022-04-15 |
Family
ID=70560524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911419068.2A Active CN111163101B (zh) | 2019-12-31 | 2019-12-31 | 入侵防御规则动态调整方法、装置,电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111163101B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592049A (zh) * | 2015-09-07 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种攻击防御规则的开启方法和装置 |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| WO2017069736A1 (en) * | 2015-10-20 | 2017-04-27 | Hewlett Packard Enterprise Development Lp | Sdn controller assisted intrusion prevention systems |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
-
2019
- 2019-12-31 CN CN201911419068.2A patent/CN111163101B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592049A (zh) * | 2015-09-07 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种攻击防御规则的开启方法和装置 |
| WO2017069736A1 (en) * | 2015-10-20 | 2017-04-27 | Hewlett Packard Enterprise Development Lp | Sdn controller assisted intrusion prevention systems |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111163101A (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10454953B1 (en) | System and method for separated packet processing and static analysis | |
| US9948662B2 (en) | Providing security in a communication network | |
| US9325731B2 (en) | Identification of and countermeasures against forged websites | |
| JP6458135B2 (ja) | ブランドの不正使用を処理するためのシステム及び方法 | |
| WO2021194645A1 (en) | Reverse proxy servers for implementing application layer-based and transport layer-based security rules | |
| CN113746782B (zh) | 报文处理方法、装置及相关设备 | |
| CN110995873A (zh) | 网关服务业务接口发现方法、系统、电子设备及存储介质 | |
| Park et al. | Analysis of slow read DoS attack | |
| CN109450766B (zh) | 一种工作区级vpn的访问处理方法及装置 | |
| CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
| US8701196B2 (en) | System, method and computer program product for obtaining a reputation associated with a file | |
| CN108833450A (zh) | 一种实现服务器防攻击方法及装置 | |
| US8272041B2 (en) | Firewall control via process interrogation | |
| CN103067384A (zh) | 威胁处理方法及系统、联动客户端、安全设备及主机 | |
| CN111163101B (zh) | 入侵防御规则动态调整方法、装置,电子设备和存储介质 | |
| CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
| US20240015138A1 (en) | Communication device and non-transitory computer-readable recording medium storing computer readable instructions for communication device | |
| US8745691B1 (en) | System, method, and computer program product for preventing communication of data over a network connection | |
| CN110855796A (zh) | 一种云平台web防护方法、系统、设备及计算机介质 | |
| CN109829303A (zh) | 一种基于系统文件的内网云查杀方法、控制台及客户端 | |
| CN106936718B (zh) | PPPoE报文传输方法和PPPoE服务器 | |
| CN109862035A (zh) | 游戏app账号验证方法及设备 | |
| CN106470252B (zh) | 应用程序查询ip地址的方法及通信终端 | |
| US20230006967A1 (en) | Machine learning capable mac filtering for enforcing edge security over mac randomization in wlan networks | |
| US20060107322A1 (en) | Outgoing connection attempt limiting to slow down spreading of viruses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB03 | Change of inventor or designer information |
Inventor after: Lu Linsheng Inventor after: Wang Baogang Inventor after: Liu Hao Inventor before: Lu Linsheng Inventor before: Wang Baogang |
|
| CB03 | Change of inventor or designer information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |