本发明专利技术实施例提供一种IPS检测处理方法、网络安全设备和系统。方法,包括:确定内网设备是客户端还是服务器;若为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。本发明专利技术实施例,网络安全设备可以确定内网设备是客户端还是服务器,并根据确定结果对IPS签名规则库进行简化,根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。
【技术实现步骤摘要】
本专利技术实施例涉及入侵防御系统(Intrusion Prevention System,以下简称:IPS)检测技术,尤其涉及一种IPS检测处理方法、网络安全设备和系统。
技术介绍
IPS是一种防御网络流量威胁的系统,其可以对网络中的威胁,例如蠕虫、木马、僵尸、系统漏洞等进行准确识别和防御。该IPS可以被部署在防火墙等设备上,从而为对客户端或者服务器的安全进行防御。具体来说,在现有的IPS设备上保存有一签名规则库,该签名规则库中存储有预先对网络中的威胁流量进行分析后提取的特征信息,该特征信息即为签名规则。在进行IPS防御时,IPS设备可以将签名规则库中的所有签名规则编译成一个状态机,该IPS设备在对网络流量进行检测时,该IPS设备可以将该网络流量的特征与状态机中的各状态进行比较,从而确定该网络流量是否是威胁流量,进而对其防御对象的安全进行防御。但是,随着威胁流量的特征信息不断增加,签名规则库中存储的签名规则的数量也不断增加,导致生成的状态机较为庞大,进而导致对网络流量进行IPS检测时的检测效率降低。
技术实现思路
本专利技术实施例提供一种IPS检测处理方法、网络安全设备和系统,以提高IPS检测时的检测效率。本专利技术实施例提供一种IPS检测处理方法,包括:网络安全设备确定内网设备是客户端还是服务器,所述网络安全设备部署于内网设备和外网设备之间,用于保护内网设备的安全;若为客户端,则所述网络安全设备将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。本专利技术实施例提供一种网络安全设备,部署于内网设备和外网设备之间,用于保护内网设备的安全,所述网络安全设备包括:确定模块,用于确定内网设备是客户端还是服务器;规则库处理模块,用于若所述确定模块确定为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若所述确定模块确定为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库;流量检测模块,用于根据简化处理后的IPS签名规则库中的签名规则生成状态机,并应用所述状态机,对流经的流量进行IPS检测。本专利技术实施例提供一种网络安全系统,包括:客户端、服务器和与所述客户端和服务器连接的网络安全设备,其中,所述网络安全设备采用上述的网络安全设备。本专利技术实施例,网络安全设备可以确定其所保护的内网设备是客户端还是服务器,并且可以根据确定结果,对IPS签名规则库进行简化,并且根据简化后的IPS签名规则库生成状态机,从而在进行IPS检测时,可以采用去除了冗余状态后的状态机进行IPS检测,从而可以提高IPS检测效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术IPS检测处理方法实施例一的流程图;图2为本专利技术IPS检测处理方法实施例二的流程图;图3为本专利技术IPS检测处理方法实施例三的流程图;图4为本专利技术IPS检测处理方法实施例四的流程图;图5为本专利技术网络安全设备实施例一的结构示意图;图6为本专利技术网络安全设备实施例二的结构示意图;图7为本专利技术网络安全设备实施例四的结构示意图;图8为本专利技术网络安全系统实施例的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术IPS检测处理方法实施例一的流程图,如图1所示,本实施例的方法可以包括:步骤101、确定内网设备是客户端还是服务器。网络安全设备,例如防火墙,可以确定内网设备是客户端还是服务器。具体来说,网络安全设备一般是针对内网设备进行IPS检测的。但是,在现有技术中,网络安全设备在出厂时,并不区分其所需保护的内网设备是客户端还是服务器,因此,其内部预设的IPS签名规则库中包含的签名规则既有针对客户端的、又有针对服务器的,因此,对于内网设备为客户端的情况来说,现有的IPS签名规则库中与服务器对应的签名规则是冗余的,而对于内网设备为服务器的情况来看,现有的IPS签名规则库中与客户端对应的签名规则是冗余的。基于现有这种庞大的IPS签名规则库,其生成的状态机中的状态也相应地存在冗余,因此,在将流量的特征信息与状态机中的各状态进行比较时,其比较效率较低,也即IPS检测效率较低。为此,本实施例中,网络安全设备在部署好后,需要区分其所保护的内网设备是客户端还是服务器,以便于后续对IPS签名规则库中与客户端对应的IPS签名规则库以及与服务器对应的IPS签名规则库进行区分处理。而网络安全设备确定内网设备是客户端还是服务器的具体实现方案可以灵活设计。举例来说,在网络安全设备部署好后,该网络安全设备可以通过其中设定的标识信息来确定目前的部署场景是内网设备为客户端或者服务器等。或者,网络安全设备可以通过测试,确定内网设备为客户端或服务器,例如网络安全设备尝试向内网设备发送各种服务请求消息,若能得到响应消息,则确定内网设备为服务器,否则为客户端;此外网络安全设备还可以通过发送网管命令,根据反馈的信息确定内网设备为客户端或服务器。本实施例并不对网络安全设备如何区分内网设备是客户端还是服务器的具体实现方案进行限定。步骤102、若为客户端,则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库。网络安全设备在确定内网设备为客户端时,可以将现有的IPS签名规则库简化为与客户端对应的IPS签名规则库,而对于IPS签名规则库中与服务器对应的签名规则来说,既可以采用删除的处理方式,又可以采用去激活的处理方式,而去激活方式相对于删除方式来说,该网络安全设备后本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种入侵防御系统IPS检测处理方法,其特征在于,包括:
网络安全设备确定内网设备是客户端还是服务器,所述网络安全设备部
署于内网设备和外网设备之间,用于保护内网设备的安全;
若为客户端,则所述网络安全设备将所述IPS签名规则库简化为与所述
客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库
简化为与所述服务器对应的IPS签名规则库;
所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成
状态机,并应用所述状态机,对流经的流量进行IPS检测。
2.根据权利要求1所述的方法,其特征在于,所述确定内网设备是客户
端还是服务器,包括:
所述网络安全设备对流经的流量信息进行统计处理,获取流量特征信息;
根据所述流量特征信息,确定所述内网设备是客户端还是服务器。
3.根据权利要求2所述的方法,其特征在于,所述对流经的流量信息进
行统计处理之前,还包括:
根据所述网络安全设备的安全区域配置信息,确定内网接口和外网接口;
所述对流经的流量信息进行统计处理,包括:
对从所述内网接口流入并从所述外网接口流出的流量进行统计处理,并
对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。
4.根据权利要求2或3所述的方法,其特征在于,所述流量特征信息,
包括:从内网流向外网的流量P1以及从外网流向内网的流量P2;
所述根据所述流量特征信息,确定所述内网设备是客户端还是服务器,
包括:
若所述流量P1大于所述流量P2,则确定所述内网设备为客户端,若所
述流量P1小于等于所述流量P2,则确定所述内网设备为服务器。
5.根据权利要求2或3所述的方法,其特征在于,所述获取流量特征信
息,包括:
获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据
协议特征库中存储的协议特征信息或者流量端口号确定所述流量P1的协议
类型和所述流量P2的协议类型;
所述根据所述流量特征信息,确定所述内网设备是客户端还是服务器,
包括:
若所述流量P1大于所述流量P2且所述流量P2的协议类型为与服务器对
应的协议类型,则确定所述内网设备为客户端,若所述流量P1小于等于所述
流量P2且所述流量P1的协议类型为与服务器对应的协议类型,则确定所述
内网设备为服务器。
6.根据权利要求1~3中任一项所述的方法,其特征在于,所述将所述IPS
签名规则库简化为与所述客户端对应的IPS签名规则库,包括:
将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态;
所述将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库,
包括:
将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。
7.一种网络安全设备,...
【专利技术属性】
技术研发人员:薛智慧,蒋武,李世光,万时光,
申请(专利权)人:成都市华为赛门铁克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。