一种攻击规则的关闭方法和装置制造方法及图纸

本发明专利技术提供一种攻击规则的关闭方法和装置，该方法包括：安全网关设备获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数；所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数，判断是否关闭所述攻击规则；如果是，则所述安全网关设备关闭所述攻击规则。通过本发明专利技术的技术方案，可以自动关闭攻击规则，减少特征库中开启的攻击规则数量，减少无效匹配过程，减轻安全网关设备的工作量，提升安全网关设备的处理性能。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种攻击规则的关闭方法和装置。
技术介绍
IPS(IntrusionPreventionSystem，入侵检测系统)设备一般部署在大中型企业的网络出口、企业内部网络、或数据中心的出口，用于对外网访问内网的报文进行检测，以实现保护内部网络安全的目的，对内网访问外网的报文进行检测，以实现企业敏感信息的控制。IPS设备内配置了包含攻击规则的特征库，针对待检测的报文，IPS设备依次检查该报文是否匹配到特征库的攻击规则，如果是，则基于该攻击规则对应的策略对报文进行处理，如丢弃处理。随着攻击手段越来越复杂和多样化，各大厂商的IPS设备的特征库中包含的攻击规则也越来越多，而且这些攻击规则是全部开启的。IPS设备需要依次检查报文是否匹配到特征库中的每个攻击规则，工作量非常大，IPS设备的处理性能降低，甚至会导致IPS设备死机，影响IPS设备的正常使用。
技术实现思路
本专利技术提供一种攻击规则的关闭方法，针对已经开启的每个攻击规则，所述攻击规则包括粗略匹配特征和精确匹配特征，所述方法包括：安全网关设备在预设统计周期内，获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数；所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数，判断是否关闭所述攻击规则；如果是，则所述安全网关设备关闭所述攻击规则。本专利技术提供一种攻击规则的关闭装置，所述攻击规则的关闭装置应用在安全网关设备，针对已经开启的每个攻击规则，所述攻击规则包括粗略匹配特征和精确匹配特征，所述攻击规则的关闭装置包括：获得模块，用于在预设统计周期内，获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数；判断模块，用于利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数，判断是否关闭所述攻击规则；关闭模块，用于当判断结果为是时，则关闭所述攻击规则。基于上述技术方案，本专利技术实施例中，在满足用户使用的前提下，安全网关设备可以利用粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数，自动关闭相应的攻击规则，使得特征库包含的所有攻击规则不是全部开启的，减少特征库中开启的攻击规则数量，在依次检查报文是否匹配到特征库中的每个攻击规则时，可以减少无效匹配过程，减轻安全网关设备的工作量，提升安全网关设备的处理性能，且不影响对攻击报文的拦截。附图说明图1是本专利技术一种实施方式中的攻击规则的关闭方法的流程图；图2是本专利技术一种实施方式中的安全网关设备的硬件结构图；图3是本专利技术一种实施方式中的攻击规则的关闭装置的结构图。具体实施方式针对现有技术中存在的问题，本专利技术实施例提出一种攻击规则的关闭方法，可以应用在安全网关设备上，安全网关设备可以为IPS设备、IDS(IntrusionDetectionSystems，入侵检测系统)设备等。在安全网关设备的特征库中包括大量的攻击规则，每个攻击规则均包括粗略匹配特征和精确匹配特征。其中，粗略匹配特征可以包括但不限于：AC(Aho-Corasick，多模式匹配)特征。精确匹配特征可以包括但不限于：选项特征，和/或，PCRE(PerlCompatibleRegularExpressions，正则表达式)特征。其中，该选项特征可以包括但不限于以下之一或者任意组合：协议类型(如HTTP(HyperTextTransferProtocol，超文本传输协议)类型、TCP(TransmissionControlProtocol，传输控制协议)类型等)、报文方向(如客户端发送给服务器的报文方向)、内容偏移等。针对已经开启的每个攻击规则，本专利技术实施例用于判断是否可以关闭该攻击规则，每个攻击规则是否可以被关闭的判断流程相同，为了方便描述，本发明实施例中，以一个攻击规则是否可以被关闭的判断流程为例进行说明。在上述应用场景下，如图1所示，该攻击规则的关闭方法可包括以下步骤：步骤101，安全网关设备在预设统计周期内，获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数。本专利技术实施例中，安全网关设备在预设统计周期内，获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数的过程，可以包括但不限于如下方式：安全网关设备在预设统计周期内接收报文；安全网关设备判断该报文是否匹配到粗略匹配特征；如果匹配到粗略匹配特征，则安全网关设备将粗略匹配特征的命中次数加1，并判断该报文是否匹配到精确匹配特征；如果匹配到精确匹配特征，则安全网关设备将精确匹配特征的命中次数加1，并判断该报文是否匹配到攻击规则，如果匹配到攻击规则，则将攻击规则的命中次数加1。在预设统计周期结束时，安全网关设备获得粗略匹配特征的命中次数、精确匹配特征的命中次数、攻击规则的命中次数。其中，攻击规则的匹配方式主要是以特征字符串的匹配为主，为了提升匹配效率，通常会有一次短关键字的预匹配，该预匹配过程使用的特征为粗略匹配特征(如AC特征)，只有当预匹配成功时，才进行更为复杂和消费性能的二次匹配。该二次匹配过程使用的特征为精确匹配特征(如PCRE特征)，在二次匹配成功时，可以直接确定攻击规则匹配成功或者对报文进行进一步分析，并基于分析结果确定攻击规则是否匹配成功，例如，在二次匹配成功时，根据预设规则对报文进行筛选，确定报文是否为攻击报文，如果是攻击报文，则确定攻击规则匹配成功，否则，确定攻击规则未匹配成功。例如，预设规则可以为指定的源IP地址，当报文的源IP地址为指定的源IP地址时，则报文是攻击报文。又例如，预设规则可以为指定的关键字，当报文的报文内容中包括指定的关键字时，则报文是攻击报文。在实际应用中，由于预匹配过程使用的粗略匹配特征相对简单和短小，因此命中粗略匹配特征的报文数量很多，会有一定程度的误报。由于二次匹配过程使用的精确匹配特征相对复杂，因此命中精确匹配特征的报文数量大幅减小，缩小发现攻击报文的范围。当报文同时匹配粗略匹配特征和精确匹配特征后，可以对报文进行分析，以确定报文是否成功匹配到攻击规则。例如，安全网关设备在预设统计周期内收到报文1-报文10。首先判断报文1是否匹配到攻击规则1的粗略匹配特征，如果没有匹配到，则结束对报文1的匹配过程，如果匹配到，则将攻击规则1的粗略匹配特征的命中次数加1，并判断报文1是否匹配到攻击规则1的精本文档来自技高网...

【技术保护点】
一种攻击规则的关闭方法，其特征在于，针对已经开启的每个攻击规则，所述攻击规则包括粗略匹配特征和精确匹配特征，所述方法包括：安全网关设备在预设统计周期内，获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数；所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数，判断是否关闭所述攻击规则；如果是，则所述安全网关设备关闭所述攻击规则。

【技术特征摘要】
1.一种攻击规则的关闭方法，其特征在于，针对已经开启的每个攻击规
则，所述攻击规则包括粗略匹配特征和精确匹配特征，所述方法包括：
安全网关设备在预设统计周期内，获得所述粗略匹配特征的命中次数、所
述精确匹配特征的命中次数、所述攻击规则的命中次数；
所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征
的命中次数、所述攻击规则的命中次数，判断是否关闭所述攻击规则；
如果是，则所述安全网关设备关闭所述攻击规则。
2.根据权利要求1所述的方法，其特征在于，所述安全网关设备在预设统
计周期内，获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次
数、所述攻击规则的命中次数的过程，包括：
所述安全网关设备在所述预设统计周期内接收报文；
所述安全网关设备判断所述报文是否匹配到所述粗略匹配特征；如果匹配
到所述粗略匹配特征，则所述安全网关设备将所述粗略匹配特征的命中次数加
1，并判断所述报文是否匹配到所述精确匹配特征；如果匹配到所述精确匹配
特征，则所述安全网关设备将所述精确匹配特征的命中次数加1，并判断所述
报文是否匹配到所述攻击规则，如果匹配到所述攻击规则，则将所述攻击规则
的命中次数加1；
在所述预设统计周期结束时，所述安全网关设备获得所述粗略匹配特征的
命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数。
3.根据权利要求1所述的方法，其特征在于，所述安全网关设备利用所述
粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命
中次数，判断是否关闭所述攻击规则的过程，包括：
当所述粗略匹配特征的命中次数大于等于预设第一数值，且所述精确匹配
特征的命中次数大于等于预设第二数值，且所述攻击规则的命中次数等于预设
第三数值时，所述安全网关设备确定关闭所述攻击规则；其中，所述预设第一

\t数值大于所述预设第二数值，所述预设第二数值大于等于所述预设第三数值。
4.根据权利要求1所述的方法，其特征在于，所述安全网关设备关闭所述
攻击规则包括：
所述安全网关设备在预设第一时间内关闭所述攻击规则，且不再开启所述
攻击规则；或者，
所述安全网关设备在延迟预设第二时间后，如果查询到所述攻击规则的命
中次数等于预设第三数值，则在预设第一时间内关闭所述攻击规则，且不再开
启所述攻击规则；或者，
所述安全网关设备判断所述攻击规则被连续关闭的次数是否达到N次；如
果否，则在预设第一时间内关闭所述攻击规则，且在预设第三时间后，打开所
述攻击规则，返回执行在预设统计周期内，获得所述粗略匹配特征的命中次
数、所述精确匹配特征的命中次数、所述攻击规则的命中次数的过程；如果是，
则在预设第一时间内关闭所述攻击规则，且不再开启所述攻击规则。...

【专利技术属性】
技术研发人员：梁力文，孙松儿，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33