本申请提供了一种IPS特征库升级方法及装置,涉及网络安全技术领域。该方法应用于网络设备中,所述网络设备外挂于交换设备上,用于模拟交换设备所在组网中网络安全设备的防护功能;所述方法,包括:在所述网络设备中配置待更新IPS特征库;利用所述待更新IPS特征库对镜像获取的所述组网中客户端与服务端之间的业务流量进行防护处理,生成安全威胁日志;根据所述安全威胁日志,确认所述待更新IPS特征库是否影响正常的业务流量;当不影响正常的业务流量时,则向所述网络安全设备发送更新通知,以使所述网络安全设备配置所述待更新IPS特征库。库。库。
【技术实现步骤摘要】
一种IPS特征库升级方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种IPS特征库升级方法及装置。
技术介绍
[0002]IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经网络设备的网络流量来实时检测入侵行为,并采用一定的响应动作来阻断入侵行为,以实现保护用户信息系统和网络免遭攻击的目的。而IPS特征库是用来对经过网络设备的应用层流量进行病毒检测和防御的资源库,随着网络攻击不断的变化和发展,需要及时升级防火墙设备中的IPS特征库。
[0003]由于当前新的网络攻击和病毒不断涌现,时而给客户的网络安全造成重大损失。通常的解决方法是及时升级更新网络安全厂商新开发的IPS特征库。而防火墙的IPS特征库升级之后,如果新增的IPS特征对客户业务流量产生业务冲突(IPS新增特征拦截客户不规范业务)或者误报(IPS新增特征误拦截客户正常业务流量)断网,则必须进行IPS特征库的回退操作,即IPS特征库升级失败,只能回退使用原来的老版本IPS特征库。从而导致由于无法升级到新的IPS特征库,而存在无法检测拦截针对新增网络攻击或者病毒的风险,给客户带来了巨大的损失;而且,客户又无法直接判断直接升级新IPS特征库后是否存在这样的风险。
[0004]因此,如何解决IPS特征库升级后而导致的正常业务流量的误拦截问题是值得考虑的技术问题之一。
技术实现思路
[0005]有鉴于此,本申请提供一种IPS特征库升级方法及装置,用以解决IPS特征库升级后而导致的正常业务流量的误拦截问题。
[0006]具体地,本申请是通过如下技术方案实现的:
[0007]根据本申请的第一方面,提供一种IPS特征库升级方法,应用于网络设备中,所述网络设备外挂于交换设备上,用于模拟交换设备所在组网中网络安全设备的防护功能;所述方法,包括:
[0008]在所述网络设备中配置待更新IPS特征库;
[0009]利用所述待更新IPS特征库对镜像获取的所述组网中客户端与服务端之间的业务流量进行防护处理,生成安全威胁日志;
[0010]根据所述安全威胁日志,确认所述待更新IPS特征库是否影响正常的业务流量;
[0011]当不影响正常的业务流量时,则向所述网络安全设备发送更新通知,以使所述网络安全设备配置所述待更新IPS特征库。
[0012]根据本申请的第二方面,提供一种IPS特征库升级装置,设置于网络设备中,所述网络设备外挂于交换设备上,用于模拟交换设备所在组网中网络安全设备的防护功能;所述装置,包括:
[0013]配置模块,用于在所述网络设备中配置待更新IPS特征库;
[0014]防护模块,用于利用所述待更新IPS特征库对镜像获取的所述组网中客户端与服务端之间的业务流量进行防护处理,生成安全威胁日志;
[0015]确认模块,用于根据所述安全威胁日志,确认所述待更新IPS特征库是否影响正常的业务流量;
[0016]发送模块,用于当所述确认模块确认不影响正常的业务流量时,则向所述网络安全设备发送更新通知,以使所述网络安全设备配置所述待更新IPS特征库。
[0017]根据本申请的第三方面,提供一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0018]根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0019]本申请实施例的有益效果:
[0020]本申请实施例提供的IPS特征库升级方法及装置中,外挂于组网的网络设备当在其内配置了待更新IPS特征库后,网络设备可以利用所述待更新IPS特征库对镜像获取的所述组网中客户端与服务端之间的业务流量进行防护处理,生成安全威胁日志;然后根据所述安全威胁日志,确认所述待更新IPS特征库是否影响正常的业务流量;当不影响正常的业务流量时,则向所述网络安全设备发送更新通知,以使所述网络安全设备配置所述待更新IPS特征库。由此一来,既实现了在网络安全设备中升级新的IPS特征库,又能够避免新的IPS特征库在网络安全设备中更新之后拦截正常的业务流量的情况发生。
附图说明
[0021]图1是本申请实施例提供的一种IPS特征库升级方法的流程示意图;
[0022]图2是本申请实施例提供的一种网络设备外挂的组网的组网示意图;
[0023]图3是本申请实施例提供的一种IPS特征库升级装置的结构示意图;
[0024]图4是本申请实施例提供的一种实施IPS特征库升级方法的网络设备的硬件结构示意图。
具体实施方式
[0025]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
[0026]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0027]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这
些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0028]下面对本申请提供的IPS特征库升级方法进行详细地说明。
[0029]参见图1,图1是本申请提供的一种IPS特征库升级方法的流程图,该方法可以应用于网络设备中,该网络设备外挂于交换设备上,用于模拟交换设备所在组网中网络安全设备的防护功能,参考图2所示的组网示意图,该组网包括客户端侧的交换设备1、网络安全设备和服务端侧的交换设备2;该网络设备在实施上述方法时,可包括如下所示步骤:
[0030]S101、在网络设备中配置待更新IPS特征库。
[0031]本步骤中,网络安全设备在升级IPS特征库后,无法明确IPS特征库中新增特征是否会对该局点业务流量产生影响,是否发生正常的业务流量或者特征库自身的一些误报或者误拦截,从而导致客户正常流量业务受到一定程度的影响。有鉴于此,本实施例提出,在网络安全设备所在组网中外挂一台网络设备,然后用该网络设备镜像模拟网络安全设备的安全防护功能本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种IPS特征库升级方法,其特征在于,应用于网络设备中,所述网络设备外挂于交换设备上,用于模拟交换设备所在组网中网络安全设备的防护功能;所述方法,包括:在所述网络设备中配置待更新IPS特征库;利用所述待更新IPS特征库对镜像获取的所述组网中客户端与服务端之间的业务流量进行防护处理,生成安全威胁日志;根据所述安全威胁日志,确认所述待更新IPS特征库是否影响正常的业务流量;当不影响正常的业务流量时,则向所述网络安全设备发送更新通知,以使所述网络安全设备配置所述待更新IPS特征库。2.根据权利要求1所述的方法,其特征在于,当影响正常的业务流量时,则向所述网络安全设备发送提示消息,所述提示消息用于指示所述网络安全设备修改所述待更新IPS特征库中的IPS特征,或者设置白名单,所述白名单用于消除业务冲突或误报。3.根据权利要求1所述的方法,其特征在于,根据所述安全威胁日志,确认所述待更新特征库是否影响正常的业务流量,包括:根据所述安全威胁日志预估所述组网的第一威胁态势情况;获取所述网络设备在配置了所述网络安全设备当前使用的IPS特征库时预估得到的第二威胁态势情况;比对所述第一威胁态势情况与所述第二威胁态势情况,以确认所述待更新特征库是否影响正常的业务流量。4.根据权利要求3所述的方法,其特征在于,比对所述第一威胁态势情况与所述第二威胁态势情况,以确认所述待更新IPS特征库是否影响正常的业务流量,包括:判断所述第一威胁态势情况是否新增了正常的业务流量的拦截信息;若新增了正常的业务流量的拦截信息,则确认所述待更新IPS特征库影响正常的业务流量;若未新增正常的业务流量的拦截信息,则确认所述待更新IPS特征库不影响正常的业务流量。5.根据权利要求3所述的方法,其特征在于,根据所述安全威胁日志预估所述组网的第一威胁态势情况,包括:对所述安全威胁日志进行学习处理,生成节点流量模型、威胁流量模型和正常的业务流量模型;对所述节点流量模型、威胁流量模型和所述业务流量模型进行综合评估处理,生成所述第...
【专利技术属性】
技术研发人员:朱永利,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。