【技术实现步骤摘要】
入侵防御处理方法及装置
本专利技术涉及网络安全
,尤其涉及一种入侵防御处理方法及装置。
技术介绍
入侵预防系统(Intrusion-preventionsystem,简称IPS)能够监视网络或网络设备的网络数据传输行为,即时中断、调整或隔离一些不正常的网络数据。目前的终端IPS的作用是检测进出本机的报文,对恶意报文进行拦截告警。具体实现上是在内核HOOK里将报文劫持,并copy给应用层的IPS引擎进行处理,IPS引擎对报文进行解码、预处理、规则匹配等处理后,最终根据匹配结果通知内核将报文丢弃或继续处理。Bypass是在IPS引擎成为瓶颈时保持网速稳定的一种技术。其思想是将超过引擎处理能力的报文直接放行。目前的Bypass技术方案为:IPS引擎和内核之间分配固定大小的共享内存来作为报文队列,内核每收到一个包首先检测队列是否满,满了就将报文直接Bypass掉,假如没满就将报文拷贝到共享队列上,应用层IPS引擎逐个对队列上的包进行检测。目前的Bypass技术方案存在如下问题:目前的Bypass为基于共享内存尺...
【技术保护点】
1.一种入侵防御处理方法,其特征在于,包括:/n根据当前网络流量状况确定入侵防御系统IPS旁路阈值;/n根据IPS旁路阈值对主机中的报文进行IPS处理。/n
【技术特征摘要】
1.一种入侵防御处理方法,其特征在于,包括:
根据当前网络流量状况确定入侵防御系统IPS旁路阈值;
根据IPS旁路阈值对主机中的报文进行IPS处理。
2.根据权利要求1所述的入侵防御处理方法,其特征在于,所述根据当前网络流量状况确定入侵防御系统IPS旁路阈值,具体包括:
获取当前主机每秒新建连接数;
根据每秒新建连接数查询映射表获取IPS处理能力值;
根据所述IPS处理能力值确定IPS旁路阈值;
其中,所述映射表中存储有每秒新建连接数与IPS处理能力值之间的对应关系。
3.根据权利要求1所述的入侵防御处理方法,其特征在于,所述根据当前网络流量状况确定入侵防御系统IPS旁路阈值,具体包括:
判断当前主机是否存在经过重传且连接失败的连接数,若存在,查询映射表中的最低IPS处理能力值,并根据所述最低IPS处理能力值确定IPS旁路阈值;
若不存在经过重传且连接失败的连接数,则查询映射表中当前每秒新建连接数所对应的IPS旁路阈值;
其中,所述映射表中存储有每秒新建连接数与IPS处理能力值之间的对应关系。
4.根据权利要求2所述的入侵防御处理方法,其特征在于,在根据每秒新建连接数查询映射表获取入侵防御系统IPS处理能力值之前,所述方法还包括:
在IPS的推荐配置下,测试在每秒新建各种连接数的情况下,以不发生网络卡顿或连接失败为前提,IPS能够处理的最大连接数量,将最大连接数量作为对应新建连接数下的IPS处理能力值;
根据各连接数与对应的IPS处理能力值建立所述映射表。
5.根据权利...
【专利技术属性】
技术研发人员:戈龙颜,刘浩,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。