本发明专利技术提供了一种数据的处理方法及装置,其中,该方法包括:将相关技术中的IPS的规则库依据规则类型至少分为两类,使用两类规则分别匹配IPS接收到的数据,即分开判断是否阻断所述数据的转发,是否只发出告警信息,采用上述方式,避免了相关技术中使用IPS规则库中的大量规则判断会影响转发性能的问题,可以快速调用两类规则,单独使用每类规则进行判断时,工作量大幅减少,在IPS处理能力有限的情况下,可以使用每条规则充分检验每条数据,提升了判断的准确度。
Data Processing Method and Device
【技术实现步骤摘要】
数据的处理方法及装置
本专利技术涉及通信领域,具体而言,涉及一种数据的处理方法及装置。
技术介绍
在相关技术中,入侵防护系统(IntrusionPreventionSystem,简称IPS)是互联网常用的安全设备,能够提供对网络提供主动防护服务,对网络流量进行深度检测,对其中的攻击性网络流量和入侵活动拦截,从而避免攻击造成的损失。IPS是通过将设备直接嵌入到网络流量中,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,或者所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉,从而消除对网络和设备的攻击和威胁。IPS可以独立部署在网络流量路径中,也可以集成在防火墙等网络设备中,嵌入到网络流量路径中。图1是根据相关技术中的IPS的典型部署方式示意图,如图1所示,根据IPS保护的范围,将网络分为外部网络和内部网络,比如在典型的政企网应用场景中,内部网络指政府或企业的内部局域网,外部网络指互联网。在内部网络和外部网络之间,通常会部署防火墙,作为内部网络和外部网络的分界点。IPS独立部署时,一般部署在内部网络防火墙之后,位于内部、外部之间网络流量的必经之路上,也可以作为组件集成在防火墙内。当发现恶意网络流量,根据入侵类型和策略,采用报警向告警中心发送入侵事件日志,或者阻断数据流(如丢弃数据包、复位数据连接等处理方式),并同时向告警中心发送入侵事件日志。在相关技术中,IPS的规则库是长期对入侵行为分析跟踪的结果,随着网络入侵行为的不断增加,规则库的条目数量不断增加,一般商用IPS规则库的条目数量都万条以上,这样直接带来以下问题:规则条目数量大,对引擎匹配算法要求高,匹配/遍历时间长,增加数据包的传输延时,影响业务体验,同时由于需要数据包在内存中缓存时间长,直接限制了设备的最大吞吐量。针对相关技术中使用IPS规则库中的大量规则判断会影响转发性能的问题,目前还没有有效的解决方案。
技术实现思路
本专利技术实施例提供了一种数据的处理方法及装置,以至少解决相关技术中使用IPS规则库中的大量规则判断会影响转发性能的问题。根据本专利技术的一个实施例,提供了一种数据的处理方法,包括:入侵防护系统IPS接收待通过的数据;依据第一类规则和/或第二类规则匹配所述数据,其中,所述第一类规则包括阻断数据转发的规则,所述第二类规则包括执行数据告警的规则;依据是否匹配的结果处理所述数据。根据本专利技术的另一个实施例,还提供了一种数据的处理装置,包括:接收模块,用于接收待通过的数据;匹配模块,用于依据第一类规则和/或第二类规则匹配所述数据,其中,所述第一类规则包括阻断数据转发的规则,所述第二类规则包括执行数据告警的规则;处理模块,用于依据是否匹配的结果处理所述数据。根据本专利技术的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本专利技术的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本专利技术,将相关技术中的IPS的规则库依据规则类型至少分为两类,使用两类规则分别匹配IPS接收到的数据,即分开判断是否阻断该数据的转发,是否只发出告警信息,采用上述方式,避免了相关技术中使用IPS规则库中的大量规则判断会影响转发性能的问题,可以快速调用两类规则,单独使用每类规则进行判断时,避免规则数量较大的第二规则判断对转发性能的影响。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据相关技术中的IPS的典型部署方式示意图;图2是根据本专利技术实施例的数据的处理方法的流程图;图3是根据相关技术中IPS内部结构示意图;图4是根据具体实施例1的IPS实施方式一的内部结构示意图;图5是根据具体实施例2的规则库分离后IPS实施方式二内部结构示意图;图6是根据具体实施例3的规则库分离后IPS设备分离部署的示意图。具体实施方式下文中将参考附图并结合实施例来详细说明本专利技术。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。本申请文件可以应用于图1中所述的场景,即IPS两侧连接内网外网,在两个网络中转发数据。实施例一在本实施例中提供了一种运行于如1所示网络架构的数据的处理方法,图2是根据本专利技术实施例的数据的处理方法的流程图,如图2所示,该流程包括如下步骤:步骤S202,入侵防护系统IPS接收待通过的数据;步骤S204,依据第一类规则和/或第二类规则匹配该数据,其中,该第一类规则包括阻断数据转发的规则,该第二类规则包括执行数据告警的规则;步骤S206,依据是否匹配的结果处理该数据。通过上述步骤,将相关技术中的IPS的规则库依据规则类型至少分为两类,使用两类规则分别匹配IPS接收到的数据,即分开判断是否阻断该数据的转发,是否只发出告警信息,采用上述方式,避免了相关技术中使用IPS规则库中的大量规则判断会影响转发性能的问题,可以快速调用两类规则,单独使用每类规则进行判断时,避免规则数量较大的第二规则判断对转发性能的影响。可选地,依据第一类规则和/或第二类规则匹配该数据,包括:依据该第一类规则确定是否阻断转发该数据;在确定阻断转发该数据的情况下,阻断该数据的转发;在确定转发该数据的情况下,转发该数据至该IPS的输出接口。需要补充的是,此处即指出可以优先使用第一类规则匹配该数据,即先判断是否阻断数据的转发,如果确定阻断,则不继续转发数据。如果不阻断数据的转发,则优先转发该数据,然后使用告警规则进行匹配,从而节省了数据通过IPS的时间。可选地,在确定转发该数据之后,该方法还包括:依据该第二类规则确定是否对该数据进行告警,其中,在确定对该数据进行告警的情况下,发出第一告警信息。可选地,在确定阻断转发该数据的情况下,该方法还包括:发出第二告警信息。即阻断数据的转发的同时,也可以发出第二告警信息,用于通知有入侵且进行对入侵进行阻断操作。可选地,依据第一类规则和/或第二类规则匹配该数据之前,该方法还包括:分别从预设位置获取该第一类规则和第二类规则,其中,该第一类规则设置在该IPS的主工作区;该第二类规则设置在该IPS的辅工作区。需要补充的是,此处意在说明第一类规则和第二类规则可以存放在不同位置,第一类规则较为重要,可以存放在IPS工作的主要区域,便于快速调用。而第二类规则可以放于其他辅助区域,可以在确定不阻断数据转发之后,复制数据发送至其他辅助区域,使用第二类规则进行匹配,此时已经不对IPS转发数据形成实际的压力。可选地,该第一类规则包括以下规则至少之一:丢弃数据的规则;复位连接的规则。即第一类规则是用于检测较为严重的数据问题的,例如携带病毒等情况。下面结合本专利技术优选实施例进行说明图3是根据相关技术中IPS内部结构示意图,如图3所示本文档来自技高网...
【技术保护点】
1.一种数据的处理方法,其特征在于,包括:入侵防护系统IPS接收待通过的数据;依据第一类规则和/或第二类规则匹配所述数据,其中,所述第一类规则包括阻断数据转发的规则,所述第二类规则包括执行数据告警的规则;依据是否匹配的结果处理所述数据。
【技术特征摘要】
1.一种数据的处理方法,其特征在于,包括:入侵防护系统IPS接收待通过的数据;依据第一类规则和/或第二类规则匹配所述数据,其中,所述第一类规则包括阻断数据转发的规则,所述第二类规则包括执行数据告警的规则;依据是否匹配的结果处理所述数据。2.根据权利要求1所述的方法,其特征在于,依据第一类规则和/或第二类规则匹配所述数据,包括:依据所述第一类规则确定是否阻断转发所述数据;在确定阻断转发所述数据的情况下,阻断所述数据的转发;在确定转发所述数据的情况下,转发所述数据至所述IPS的输出接口。3.根据权利要求2所述的方法,其特征在于,在确定转发所述数据之后,所述方法还包括:依据所述第二类规则确定是否对所述数据进行告警,其中,在确定对所述数据进行告警的情况下,发出第一告警信息。4.根据权利要求2所述的方法,其特征在于,在确定阻断转发所述数据的情况下,所述方法还包括:发出第二告警信息。5.根据权利要求1所述的方法,其特征在于,依据第一类规则和/或第二类规则匹配所述数据之前,所述方法还包括:分别从预设位置获取所述第一类规则和第二类规则,其中,所述第一类规则设置在所述...
【专利技术属性】
技术研发人员:谢大雄,郝振武,荆泉霖,邵勇,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。