【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种攻击规则的关闭方法和装置。
技术介绍
IPS(IntrusionPreventionSystem,入侵检测系统)设备一般部署在大中型企业的网络出口、企业内部网络、或数据中心的出口,用于对外网访问内网的报文进行检测,以实现保护内部网络安全的目的,对内网访问外网的报文进行检测,以实现企业敏感信息的控制。IPS设备内配置了包含攻击规则的特征库,针对待检测的报文,IPS设备依次检查该报文是否匹配到特征库的攻击规则,如果是,则基于该攻击规则对应的策略对报文进行处理,如丢弃处理。随着攻击手段越来越复杂和多样化,各大厂商的IPS设备的特征库中包含的攻击规则也越来越多,而且这些攻击规则是全部开启的。IPS设备需要依次检查报文是否匹配到特征库中的每个攻击规则,工作量非常大,IPS设备的处理性能降低,甚至会导致IPS设备死机,影响IPS设备的正常使用。
技术实现思路
本专利技术提供一种攻击规则的关闭方法,针对已经开启的每个攻击规则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述方法包括:安全网关设备在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数;所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;如果是,则所述安全网关设备关闭所述攻击规则。本专利 ...
【技术保护点】
一种攻击规则的关闭方法,其特征在于,针对已经开启的每个攻击规则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述方法包括:安全网关设备在预设统计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数;所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;如果是,则所述安全网关设备关闭所述攻击规则。
【技术特征摘要】
1.一种攻击规则的关闭方法,其特征在于,针对已经开启的每个攻击规
则,所述攻击规则包括粗略匹配特征和精确匹配特征,所述方法包括:
安全网关设备在预设统计周期内,获得所述粗略匹配特征的命中次数、所
述精确匹配特征的命中次数、所述攻击规则的命中次数;
所述安全网关设备利用所述粗略匹配特征的命中次数、所述精确匹配特征
的命中次数、所述攻击规则的命中次数,判断是否关闭所述攻击规则;
如果是,则所述安全网关设备关闭所述攻击规则。
2.根据权利要求1所述的方法,其特征在于,所述安全网关设备在预设统
计周期内,获得所述粗略匹配特征的命中次数、所述精确匹配特征的命中次
数、所述攻击规则的命中次数的过程,包括:
所述安全网关设备在所述预设统计周期内接收报文;
所述安全网关设备判断所述报文是否匹配到所述粗略匹配特征;如果匹配
到所述粗略匹配特征,则所述安全网关设备将所述粗略匹配特征的命中次数加
1,并判断所述报文是否匹配到所述精确匹配特征;如果匹配到所述精确匹配
特征,则所述安全网关设备将所述精确匹配特征的命中次数加1,并判断所述
报文是否匹配到所述攻击规则,如果匹配到所述攻击规则,则将所述攻击规则
的命中次数加1;
在所述预设统计周期结束时,所述安全网关设备获得所述粗略匹配特征的
命中次数、所述精确匹配特征的命中次数、所述攻击规则的命中次数。
3.根据权利要求1所述的方法,其特征在于,所述安全网关设备利用所述
粗略匹配特征的命中次数、所述精确匹配特征的命中次数、所述攻击规则的命
中次数,判断是否关闭所述攻击规则的过程,包括:
当所述粗略匹配特征的命中次数大于等于预设第一数值,且所述精确匹配
特征的命中次数大于等于预设第二数值,且所述攻击规则的命中次数等于预设
第三数值时,所述安全网关设备确定关闭所述攻击规则;其中,所述预设第一
\t数值大于所述预设第二数值,所述预设第二数值大于等于所述预设第三数值。
4.根据权利要求1所述的方法,其特征在于,所述安全网关设备关闭所述
攻击规则包括:
所述安全网关设备在预设第一时间内关闭所述攻击规则,且不再开启所述
攻击规则;或者,
所述安全网关设备在延迟预设第二时间后,如果查询到所述攻击规则的命
中次数等于预设第三数值,则在预设第一时间内关闭所述攻击规则,且不再开
启所述攻击规则;或者,
所述安全网关设备判断所述攻击规则被连续关闭的次数是否达到N次;如
果否,则在预设第一时间内关闭所述攻击规则,且在预设第三时间后,打开所
述攻击规则,返回执行在预设统计周期内,获得所述粗略匹配特征的命中次
数、所述精确匹配特征的命中次数、所述攻击规则的命中次数的过程;如果是,
则在预设第一时间内关闭所述攻击规则,且不再开启所述攻击规则。...
【专利技术属性】
技术研发人员:梁力文,孙松儿,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。