本公开提供一种网络安全管理方法、装置、设备及机器可读存储介质,该方法包括:根据各租户配置的策略,标记开启生效表中将相应的攻击特征;接收待检测报文,检测待检测报文是否命中具有租户开启检测的攻击特征;检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测;根据所述开启了该攻击特征的检测的租户配置的策略。通过本公开的技术方案,统一记录各租户开启检测的攻击特征,根据生效表检测待检测报文是否命中攻击特征、关联的租户是否开启检测相应的攻击特征,从而判断待检测报文是否被放行,无需为每个租户分别加载其开启的攻击特征,避免同一攻击特征被重复加载造成内存空间的浪费。一攻击特征被重复加载造成内存空间的浪费。一攻击特征被重复加载造成内存空间的浪费。
【技术实现步骤摘要】
一种网络安全管理方法、装置、设备及机器可读存储介质
[0001]本公开涉及通信
,尤其是涉及一种网络安全管理方法、装置、设备及机器可读存储介质。
技术介绍
[0002]IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS设备首先升级加载攻击特征库,用户通过配置IPS策略筛选攻击特征并将攻击特征添加到内核的深度报文检测引擎。网络流量进入IPS设备时,其通过AC(Aho
‑
Corasick)算法扫描AC树检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
[0003]vSystem是一种轻量级的虚拟化技术,能将一台物理设备划分为多台相互独立的逻辑设备。每个vSystem相当于一台真实的设备对外服务,拥有独立的接口、VLAN、路由表项、地址范围、策略以及用户/用户组。因此IPS设备能利用vSystem实现多租户的网络隔离。
[0004]在IPS设备支持vSystem实现多租户后,每租户都需要IPS特征库的攻击特征,在租户配置IPS策略功能后筛选加载的特征库的攻击特征,并下发到内核。如果IPS开启多个租户,并且存在部分特征库的攻击特征同时被多个租户配置的IPS策略筛选中,并下到内核。这样一来内核就会存储多份该攻击特征,浪费了设备内存,进而导致设备对数据流的转发性能降低。
技术实现思路
[0005]有鉴于此,本公开提供一种网络安全管理方法、装置及电子设备、机器可读存储介质,以改善上述多租户内存占用大的问题。
[0006]具体地技术方案如下:
[0007]本公开提供了一种网络安全管理方法,应用于网络安全设备,所述网络安全设备具有至少两个租户,所述方法包括:根据各租户配置的IPS策略,标记开启生效表中将相应的攻击特征,其中所述IPS策略包括关联的租户开启的各类型需要检测的攻击特征,所述生效表用于记录各租户开启检测的攻击特征;接收待检测报文,根据生效表,检测待检测报文是否命中具有租户开启检测的攻击特征;根据生效表,检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测;根据所述开启了该攻击特征的检测的租户配置的策略,执行相应的处理动作。
[0008]作为一种技术方案,所述接收待检测报文,根据生效表,检测待检测报文是否命中具有租户开启检测的攻击特征,包括:放行未命中具有租户开启检测的攻击特征的待检测报文。
[0009]作为一种技术方案,所述根据生效表,检测命中具有租户开启的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测,包括:放行所述待检测报文,被放行的待检测报文关联的租户相应攻击特征的检测,其中相应攻击特征是指根据生效表,待检测报
文命中的具有租户开启检测的攻击特征。
[0010]作为一种技术方案,所述根据各租户配置的IPS策略,标记开启生效表中将相应的攻击特征,其中所述IPS策略包括关联的租户开启的各类型需要检测的攻击特征,所述生效表用于记录各租户开启检测的攻击特征,包括:加载具有租户开启检测的攻击特征至内存存储空间。
[0011]本公开同时提供了一种网络安全管理装置,应用于网络安全设备,所述网络安全设备具有至少两个租户,所述装置包括:表项模块,用于根据各租户配置的IPS策略,标记开启生效表中将相应的攻击特征,其中所述IPS策略包括关联的租户开启的各类型需要检测的攻击特征,所述生效表用于记录各租户开启检测的攻击特征;检测模块,用于接收待检测报文,根据生效表,检测待检测报文是否命中具有租户开启检测的攻击特征;匹配模块,用于根据生效表,检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测;处理模块,用于根据所述开启了该攻击特征的检测的租户配置的策略,执行相应的处理动作。
[0012]作为一种技术方案,所述接收待检测报文,根据生效表,检测待检测报文是否命中具有租户开启检测的攻击特征,包括:放行未命中具有租户开启检测的攻击特征的待检测报文。
[0013]作为一种技术方案,所述根据生效表,检测命中具有租户开启的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测,包括:放行所述待检测报文,被放行的待检测报文关联的租户相应攻击特征的检测,其中相应攻击特征是指根据生效表,待检测报文命中的具有租户开启检测的攻击特征。
[0014]作为一种技术方案,所述根据各租户配置的IPS策略,标记开启生效表中将相应的攻击特征,其中所述IPS策略包括关联的租户开启的各类型需要检测的攻击特征,所述生效表用于记录各租户开启检测的攻击特征,包括:加载具有租户开启检测的攻击特征至内存存储空间。
[0015]本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的网络安全管理方法。
[0016]本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的网络安全管理方法。
[0017]本公开提供的上述技术方案至少带来了以下有益效果:
[0018]在生效表中统一记录各租户开启检测的攻击特征,根据生效表检测待检测报文是否命中攻击特征、关联的租户是否开启检测相应的攻击特征,从而判断待检测报文是否被放行,无需为每个租户分别加载其开启的攻击特征,避免同一攻击特征被重复加载造成内存空间的浪费。
附图说明
[0019]为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述
中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
[0020]图1是本公开一种实施方式中的网络安全管理方法的流程图;
[0021]图2是本公开一种实施方式中的网络安全管理装置的结构图;
[0022]图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
[0023]在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
[0024]应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全管理方法,其特征在于,应用于网络安全设备,所述网络安全设备具有至少两个租户,所述方法包括:根据各租户配置的IPS策略,标记开启生效表中将相应的攻击特征,其中所述IPS策略包括关联的租户开启的各类型需要检测的攻击特征,所述生效表用于记录各租户开启检测的攻击特征;接收待检测报文,根据生效表,检测待检测报文是否命中具有租户开启检测的攻击特征;根据生效表,检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测;根据所述开启了该攻击特征的检测的租户配置的策略,执行相应的处理动作。2.根据权利要求1所述的方法,其特征在于,所述接收待检测报文,根据生效表,检测待检测报文是否命中具有租户开启检测的攻击特征,包括:放行未命中具有租户开启检测的攻击特征的待检测报文。3.根据权利要求1所述的方法,其特征在于,所述根据生效表,检测命中具有租户开启的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测,包括:放行所述待检测报文,被放行的待检测报文关联的租户相应攻击特征的检测,其中相应攻击特征是指根据生效表,待检测报文命中的具有租户开启检测的攻击特征。4.根据权利要求1所述的方法,其特征在于,所述根据各租户配置的IPS策略,标记开启生效表中将相应的攻击特征,其中所述IPS策略包括关联的租户开启的各类型需要检测的攻击特征,所述生效表用于记录各租户开启检测的攻击特征,包括:加载具有租户开启检测的攻击特征至内存存储空间。5.一种网络安全管理装置,其特征在于,应用于网络安全设备,所述网络安全设备具有至少两个租户,所述装置包括:表项模块,用于根据各租户配置的IPS策略,标记开启生效表中将相应的攻击特征,其中所述IPS策略包括关联的租户开启的各类型需要检测的攻击特征,所述生效表用于记...
【专利技术属性】
技术研发人员:朱志敏,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。