一种特征规则开启方法及装置制造方法及图纸

本申请实施例提供了一种特征规则开启方法及装置，方法包括：安全设备接收流量，若流量与该安全设备已开启的特征规则均不匹配，将流量镜像至流量学习设备；流量学习设备从该流量学习设备已开启的特征规则中检测与流量匹配的第一特征规则，向安全设备下发的针对第一特征规则的开启指令，开启指令用于指示安全设备开启第一特征规则；安全设备接收开启指令，根据开启指令开启第一特征规则。应用本申请实施例，降低了对正常业务的处理的影响，提高了网络的安全性。

【技术实现步骤摘要】
一种特征规则开启方法及装置
本申请涉及网络安全
，特别是涉及一种特征规则开启方法及装置。
技术介绍
随着网络技术的发展，网络应用及操作系统的种类越来越多，且网络应用及操作系统的更新速度越来越快，这导致系统漏洞的数量越来越多。为了预防通过系统漏洞产生的各种攻击流量，提高网络的安全性，安全设备，例如DPI(DeepPacketInspection，深度包检测)设备上配置的与攻击流量匹配的特征规则越来越多，这些特征规则用于检测攻击流量。随着安全设备上配置的特征规则的增多，若直接开启配置的所有特征规则，将使得安全设备的业务处理性能下降，影响正常业务的处理；若开启部分的特征规则，则可能导致部分攻击流量无法检测出，降低了网络的安全性。
技术实现思路
本申请实施例的目的在于提供一种特征规则开启方法及装置，以降低对正常业务的处理的影响，提高网络的安全性。具体技术方案如下：一方面，本申请实施例提供了一种特征规则开启方法，应用于安全设备，所述方法包括：接收流量；若所述流量与所述安全设备已开启的特征规则均不匹配，将所述流量镜像至流量学习设备，以使所述流量学习设备从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；接收所述流量学习设备下发的针对所述第一特征规则的开启指令；根据所述开启指令开启所述第一特征规则。二方面，本申请实施例提供了一种特征规则开启方法，应用于流量学习设备，所述方法包括：接收安全设备镜像的流量；从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；向所述安全设备下发针对所述第一特征规则的开启指令；所述开启指令用于指示所述安全设备开启所述第一特征规则。三方面，本申请实施例提供了一种特征规则开启装置，应用于安全设备，所述装置包括：第一接收单元，用于接收流量；镜像单元，用于若所述流量与所述安全设备已开启的特征规则均不匹配，将所述流量镜像至流量学习设备，以使所述流量学习设备从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；第二接收单元，用于接收所述流量学习设备下发的针对所述第一特征规则的开启指令；开启单元，用于根据所述开启指令开启所述第一特征规则。四方面，本申请实施例提供了一种特征规则开启装置，应用于流量学习设备，所述装置包括：接收单元，用于接收安全设备镜像的流量；检测单元，用于从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；下发单元，用于向所述安全设备下发针对所述第一特征规则的开启指令；所述开启指令用于指示所述安全设备开启所述第一特征规则。五方面，本申请实施例提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述应用于安全设备的特征规则开启方法步骤。六方面，本申请实施例提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述应用于流量学习设备的特征规则开启方法步骤。七方面，本申请实施例提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现上述应用于安全设备的特征规则开启方法步骤。八方面，本申请实施例提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现上述应用于流量学习设备的特征规则开启方法步骤。本申请实施例中，安全设备上开启了部分的特征规则，降低了对正常业务的处理的影响；当安全设备接收到的流量与安全设备已开启的部分的特征规则均不匹配时，也就是，安全设备上未开启该流量对应的特征规则，将流量镜像至流量学习设备；流量学习设备上开启了许多的特征规则，当流量学习设备接收到安全设备镜像的流量时，从已开启的特征规则中检测流量匹配的第一特征规则，向安全设备下发针对第一特征规则的开启指令；安全设备接收到开启指令后，根据开启指令开启第一特征规则，这样，安全设备就可以根据第一特征规则检测出相应的攻击流量，避免了因开启部分特征规则导致部分攻击流量无法检测出的问题，提高了网络的安全性。当然，实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为一种组网示意图；图2为本申请实施例提供的一种组网示意图；图3为本申请实施例提供的特征规则开启方法的第一种流程示意图；图4为本申请实施例提供的特征规则开启方法的第二种流程示意图；图5为本申请实施例提供的特征规则开启装置的第一种结构示意图；图6为本申请实施例提供的特征规则开启装置的第二种结构示意图；图7为本申请实施例提供的电子设备的第一种结构示意图；图8为本申请实施例提供的电子设备的第二种结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。为便于理解，下面对本申请实施例中出现的词语进行解释。特征规则：包括特征与对流量的处理操作的对应关系；若流量与一特征规则中的特征匹配，则该流量与该特征规则匹配。目前，如图1所示组网，包括客户端101、安全设备102和服务器103；为了预防通过系统漏洞产生的各种攻击流量，提高网络的安全性，安全设备102上配置了大量与攻击流量匹配的特征规则，若直接将配置的大量特征规则均开启，将使得安全设备102的业务处理性能下降，影响正常业务的处理；若开启部分的特征规则，则可能导致部分攻击流量无法检测出，降低了网络的安全性。为了降低对正常业务的处理的影响，提高网络的安全性，本申请实施例中，如图2所示的组网，除包括客户端101、安全设备102和服务器103外，还包括一台与安全设备102连接的流量学习设备104；流量学习设备104上开启了大量的特征规则，安全设备102上开启了部分的特征规则，安全设备102上开启的特征规则较少，降低了对正常业务的处理的影响；当安全设备102接收到的流量无法匹配到开启的特征规则时，再由流量学习设备104下发开启指令，开启流量对应的特征规则，避免了因开启部分特征规则导致部分攻击流量无法检测出的问题，提高了网络的安全性。参考图3，图3为本申请实施例提供的特征规则开启方法的第一种流程示意图，应用于安全设备，该方法包括：S301：接收流量；S302：若流量与安全设备已开启的特征规则均不匹配，将流量镜像至流量学习设备；为了降低对正常业务的处理的影响，安全设备上配置的大量特征规则中仅开启了小部分特征规则，或未开启所有特征规则，当安全设备接收到的流量与该安全设备已开启的特征规则均不匹配时，为了提高网络的安全性，将该流量镜像至流量学习设备，即复制该流量，并将复制的流量本文档来自技高网...

【技术保护点】
一种特征规则开启方法，其特征在于，应用于安全设备，所述方法包括：接收流量；若所述流量与所述安全设备已开启的特征规则均不匹配，将所述流量镜像至流量学习设备，以使所述流量学习设备从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；接收所述流量学习设备下发的针对所述第一特征规则的开启指令；根据所述开启指令开启所述第一特征规则。

【技术特征摘要】
1.一种特征规则开启方法，其特征在于，应用于安全设备，所述方法包括：接收流量；若所述流量与所述安全设备已开启的特征规则均不匹配，将所述流量镜像至流量学习设备，以使所述流量学习设备从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；接收所述流量学习设备下发的针对所述第一特征规则的开启指令；根据所述开启指令开启所述第一特征规则。2.根据权利要求1所述的方法，其特征在于，所述若所述流量与所述安全设备已开启的特征规则均不匹配，将所述流量镜像至流量学习设备的步骤，包括：若所述流量与所述安全设备已开启的特征规则均不匹配，检测预先存储的访问控制表项ACL中是否存在与所述流量匹配的第一ACL；若检测到所述第一ACL且所述第一ACL指示将所述流量镜像至流量学习设备，则将所述流量镜像至流量学习设备。3.根据权利要求1所述的方法，其特征在于，在根据所述开启指令开启所述第一特征规则之后，所述方法还包括：接收所述流量学习设备下发的针对所述第一特征规则的关闭指令；根据所述关闭指令关闭所述第一特征规则。4.根据权利要求1所述的方法，其特征在于，在根据所述开启指令开启所述第一特征规则之后，所述方法还包括：为所述第一特征规则配置老化时间；若在所述老化时间超时前接收到与所述第一特征规则匹配的其他流量，重置所述老化时间；若在所述老化时间超时后未接收到与所述第一特征规则匹配的其他流量，关闭所述第一特征规则。5.根据权利要求4所述的方法，其特征在于，在为所述第一特征规则配置老化时间之后，所述方法还包括：统计接收与所述第一特征规则匹配的流量的频率；当所述频率大于频率阈值时，删除所述第一特征规则的所述老化时间。6.一种特征规则开启方法，其特征在于，应用于流量学习设备，所述方法包括：接收安全设备镜像的流量；从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；向所述安全设备下发针对所述第一特征规则的开启指令；所述开启指令用于指示所述安全设备开启所述第一特征规则。7.根据权利要求6所述的方法，其特征在于，在向安全设备下发针对所述第一特征规则的开启指令之后，所述方法还包括：为所述第一特征规则配置老化时间；当所述老化时间超时时，向所述安全设备下发针对所述第一特征规则的关闭指令；所述关闭指令用于指示所述安全设备关闭所述第一特征规则。8.一种特征规则开启装置，其特征在于，应用于安全设备，所述装置包括：第一接收单元，用于接收流量；镜像单元，用于若所述流量与所述安全设备已开启的特征规则均不匹配，将所述流量镜像至流量学习设备，以使所述流量学习设备从所述流量学习设备已开启的特征规则中检测与所述流量匹配的第一特征规则；第二接收单元，用于接收所述流量学习设备下发的针对所述第一特征规则的开启指令；开启单元，用于根据所述开启指令开启所述第一特征规则。9.根据权利要求8所述的装置，其特征在于，所述镜像单...

【专利技术属性】
技术研发人员：岳炳词，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽,34