一种攻击检测规则的开启方法和设备技术

本发明专利技术公开了一种攻击检测规则的开启方法和设备，该方法包括：当有流量匹配到当前已经开启的攻击检测规则时，网络设备判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集；如果有，则网络设备获得所述触发开启规则集中的规则标识；当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时，所述网络设备开启所述规则标识对应的攻击检测规则，并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态。本发明专利技术实施例中，可以使网络设备的开销与安全性尽量达到平衡。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其是一种攻击检测规则的开启方法和设备。
技术介绍
随着用户对网络安全技术和网络安全产品认知的提升，用户越来越看重网络设备 所支持的攻击检测规则的数量，而且随着每年新增漏洞数量的稳步增长，网络设备所支持 的攻击检测规则的数量也爆发式增加。基于此，如果在网络设备上直接开启所有的攻击检 测规则，则会导致开启大量的攻击检测规则，而且网络设备需要处理的攻击检测规则很多， 其必然导致网络设备的处理性能下降。如果只在网络设备上开启少量的攻击检测规则，则 会降低攻击检测规则的利用率，甚至会导致部分攻击被网络设备漏报，影响安全性。
技术实现思路
本专利技术实施例提供一种攻击检测规则的开启方法，所述方法包括以下步骤：当有 流量匹配到当前已经开启的攻击检测规则时，网络设备判断所述当前已经开启的攻击检测 规则是否有对应的触发开启规则集； 如果有，则所述网络设备获得所述触发开启规则集中的规则标识； 当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识 对应的攻击检测规则的智能状态为未设置状态或者关闭状态时，所述网络设备开启所述规 则标识对应的攻击检测规则，并将所述规则标识对应的攻击检测规则的智能状态修改为开 启状态。 所述方法进一步包括： 当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识 对应的攻击检测规则的智能状态为开启状态时，所述网络设备将所述规则标识对应的攻击 检测规则的开启时间更新为当前时间。 所述方法进一步包括：在所述网络设备将所述规则标识对应的攻击检测规则的智 能状态修改为开启状态之后，所述网络设备将所述规则标识对应的攻击检测规则的开启时 间设置为当前时间。 所述方法进一步包括： 当所述网络设备利用所述规则标识对应的攻击检测规则的开启时间确定所述规 则标识对应的攻击检测规则已经达到老化时间时，则所述网络设备关闭所述规则标识对应 的攻击检测规则，并将所述规则标识对应的攻击检测规则的智能状态由开启状态修改为关 闭状态，并清除所述开启时间。 当攻击检测规则的默认状态为开启状态时，则不允许关闭所述攻击检测规则；当 攻击检测规则的默认状态为关闭状态时，则不允许开启所述攻击检测规则。 本专利技术实施例提供一种网络设备，所述网络设备具体包括： 判断模块，用于当有流量匹配到当前已经开启的攻击检测规则时，判断所述当前 已经开启的攻击检测规则是否有对应的触发开启规则集； 获得模块，用于当所述当前已经开启的攻击检测规则有对应的触发开启规则集 时，则获得所述触发开启规则集中的规则标识； 处理模块，用于当所述规则标识对应的攻击检测规则的默认状态为未设置状态且 所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时，则开启所述 规则标识对应的攻击检测规则，并将所述规则标识对应的攻击检测规则的智能状态修改为 开启状态。 所述处理模块，还用于当所述规则标识对应的攻击检测规则的默认状态为未设置 状态且所述规则标识对应的攻击检测规则的智能状态为开启状态时，将所述规则标识对应 的攻击检测规则的开启时间更新为当前时间。 所述处理模块，还用于在将所述规则标识对应的攻击检测规则的智能状态修改为 开启状态之后，将所述规则标识对应的攻击检测规则的开启时间设置为当前时间。 所述处理模块，进一步用于当利用所述规则标识对应的攻击检测规则的开启时间 确定所述规则标识对应的攻击检测规则已经达到老化时间时，则关闭所述规则标识对应的 攻击检测规则，并将所述规则标识对应的攻击检测规则的智能状态由开启状态修改为关闭 状态，并清除所述开启时间。 当攻击检测规则的默认状态为开启状态时，则不允许关闭所述攻击检测规则；当 攻击检测规则的默认状态为关闭状态时，则不允许开启所述攻击检测规则。 基于上述技术方案，本专利技术实施例中，基于当前已经开启的攻击检测规则的流量 匹配情况决定是否开启其它攻击检测规则，从而实时智能调节攻击检测规则的开启数量， 通过智能开启技术，可以提高网络设备上的攻击检测规则的数量，在漏报可控的条件下减 少攻击检测规则的开启数量，从而使网络设备的开销与安全性尽量达到平衡。【附图说明】 图1是本专利技术实施例提供的一种攻击检测规则的开启方法流程示意图； 图2是本专利技术实施例提供的一种网络设备的结构示意图。【具体实施方式】 针对现有技术中存在的问题，本专利技术实施例提供一种攻击检测规则的开启方法， 通过实时智能调节攻击检测规则的开启数量，在漏报可控的条件下减少攻击检测规则的开 启数量。本专利技术实施例中，网络设备上会预先配置攻击检测规则表，并为攻击检测规则配置 触发开启规则集，该触发开启规则集内的攻击检测规则与对应的攻击检测规则是同攻击类 型的攻击检测规则或者相关联的攻击检测规则，例如，均是用于检测跨站脚本攻击的攻击 检测规则。 本专利技术实施例中，攻击检测规则表中包括多个攻击检测规则的信息，各攻击检测 规则的信息具体包括但不限于以下之一或者任意组合：规则标识、中文名称、触发开启规则 集标识、默认状态、智能状态、开启时间。 其中，默认状态包括开启状态、关闭状态和未设置状态，智能状态包括开启状态、 关闭状态和未设置状态，且默认状态的优先级高于智能状态的优先级。基于此，当攻击检测 规则的默认状态为开启状态时，则网络设备开启默认状态为开启状态的攻击检测规则；当 攻击检测规则的默认状态为关闭状态时，则网络设备拒绝开启默认状态为关闭状态的攻击 检测规则。因此，当攻击检测规则的默认状态为开启状态时，则不允许关闭该攻击检测规 贝IJ;当攻击检测规则的默认状态为关闭状态时，则不允许开启该攻击检测规则。 本专利技术实施例中，当攻击检测规则的默认当前第1页1 2 本文档来自技高网...

【技术保护点】
一种攻击检测规则的开启方法，其特征在于，所述方法包括以下步骤：当有流量匹配到当前已经开启的攻击检测规则时，网络设备判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集；如果有，则所述网络设备获得所述触发开启规则集中的规则标识；当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时，所述网络设备开启所述规则标识对应的攻击检测规则，并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态。

【技术特征摘要】

【专利技术属性】
技术研发人员：张惊申，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33