The embodiment of the present invention provides a method and device for importing custom IPS feature files, in which the custom IPS feature file importing method is applied to any virtual device on the network device, and a plurality of virtual devices are created on the network device. The method includes acquiring the custom IPS feature file to be imported and the device label of the virtual device for which the custom IPS feature file is imported. Identify: If the device identification of the destination virtual device imported by the custom IPS feature file includes the device identification of the virtual device itself, the custom IPS feature file will be imported. According to the device identification of the virtual device for all purposes other than the virtual device itself, the custom IPS feature file will be sent to other destination virtual devices so that other purpose virtual devices can be imported into the self-defined IPS feature file. Define IPS feature files. Through this scheme, the import efficiency of custom IPS feature files can be improved.
【技术实现步骤摘要】
一种自定义IPS特征文件导入方法及装置
本专利技术涉及网络安全
,特别是涉及一种自定义IPS特征文件导入方法及装置。
技术介绍
IPS(IntrusionPreventionSystem,入侵防御系统)技术是一种可以对应用层攻击进行检测并防御的安全防御技术。网络设备通过采用IPS技术,可以将接收到的报文与本设备上IPS特征文件中的规则特征进行匹配来实时检测入侵行为,若该报文命中某一规则特征,则会按照对应的执行动作对该报文进行处理,实现保护企业信息系统和网络免遭攻击的目的。目前,网络设备可以支持两种类型的IPS特征文件:预定义IPS特征文件和自定义IPS特征文件。预定义IPS特征文件为系统预先定义的特征文件,通常为开发人员在进行IPS开发时统一定义的标准的IPS特征文件,预定义IPS特征文件可以通过固定的途径下载并定期更新;自定义IPS特征文件可由用户自行定义,具有更为灵活、及时的特点。自定义IPS特征文件存储在自定义特征库中,可由用户根据实际需求进行定义、修改。由于网络设备接收到的报文往往是多种多样的,为了对不同的报文进行区别处理,网络设备上对应创建有多个独立的虚拟设备,例如管理防火墙或虚拟防火墙等。各虚拟设备需要以遍历的方式,从自定义特征库中查找各自需要导入的自定义IPS特征文件进行导入。然而,由于不同的虚拟设备可能会导入相同的自定义IPS特征文件,对于需要导入相同的自定义IPS特征文件的虚拟设备,都需要以遍历的方式,去自定义特征库中查找同一个自定义IPS特征文件,导致自定义IPS特征文件的导入过程非常繁琐、效率极低。
技术实现思路
本专利技术实施例的 ...
【技术保护点】
1.一种自定义IPS特征文件导入方法,其特征在于,应用于网络设备上的任一虚拟设备,所述网络设备上创建了多个虚拟设备,所述方法包括:获取待导入的自定义入侵防御系统IPS特征文件及所述自定义IPS特征文件导入的目的虚拟设备的设备标识;若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件;根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备导入所述自定义IPS特征文件。
【技术特征摘要】
1.一种自定义IPS特征文件导入方法,其特征在于,应用于网络设备上的任一虚拟设备,所述网络设备上创建了多个虚拟设备,所述方法包括:获取待导入的自定义入侵防御系统IPS特征文件及所述自定义IPS特征文件导入的目的虚拟设备的设备标识;若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件;根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备导入所述自定义IPS特征文件。2.根据权利要求1所述的方法,其特征在于,所述获取所述自定义IPS特征文件导入的目的虚拟设备的设备标识,包括:获取设备标识序列,所述设备标识序列包括所述自定义IPS特征文件导入的各目的虚拟设备的设备标识;所述若所述自定义IPS特征文件导入的目的虚拟设备的设备标识包括所述虚拟设备自身的设备标识,则导入所述自定义IPS特征文件,包括:判断所述虚拟设备自身的设备标识是否排在所述设备标识序列中的首位;若是,则导入所述自定义IPS特征文件。3.根据权利要求1所述的方法,其特征在于,在所述导入所述自定义IPS特征文件之后,所述方法还包括:根据所述自定义IPS特征文件导入的目的虚拟设备的设备标识,判断所述自定义IPS特征文件是否仅导入所述虚拟设备自身;若否,则记录所述自定义IPS特征文件导入的各目的虚拟设备的设备标识与所述自定义IPS特征文件的文件标识的对应关系,并生成包括所述对应关系的特征信息列表;所述根据除所述虚拟设备自身以外的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备,包括:根据所述特征信息列表中与所述自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将所述自定义IPS特征文件发送至所述其他各目的虚拟设备。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征;判断所述各规则特征是否满足预设可信度条件;针对满足所述预设可信度条件的各第一规则特征,根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备,以使所述其他各目的虚拟设备在确定自身原有的各规则特征中不存在所述各第一规则特征时,添加所述各第一规则特征。5.根据权利要求4所述的方法,其特征在于,在所述统计预设周期内已导入的自定义IPS特征文件中命中的各规则特征之后,所述方法还包括:将所述各规则特征存储于特征信息列表中,所述特征信息列表包括目的虚拟设备的设备标识、自定义IPS特征文件的文件标识、命中的规则特征和所述规则特征的可信度的对应关系;在所述根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备之前,所述方法还包括:将所述特征信息列表中满足所述预设可信度条件的各第一规则特征的可信度设置为预设可信度标识;所述根据所述已导入的自定义IPS特征文件对应的其他各目的虚拟设备的设备标识,将所述各第一规则特征发送至所述其他各目的虚拟设备,包括:根据所述特征信息列表中与所述已导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将可信度为所述预设可信度标识的各第一规则特征发送至所述其他各目的虚拟设备。6.根据权利要求5所述的方法,其特征在于,在所述根据所述特征信息列表中与所述已导入的自定义IPS特征文件的文件标识对应的其他各目的虚拟设备的设备标识,将可信度为所述预设可信度标识的各第一规则特征发送至所述其他各目的虚拟设备之后,所述方法还包括:接收...
【专利技术属性】
技术研发人员:李金英,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。