【技术实现步骤摘要】
本专利技术实施例涉及入侵防御系统(Intrusion Prevention System,以下简称:IPS)检测技术,尤其涉及一种IPS检测处理方法、网络安全设备和系统。
技术介绍
IPS是一种防御网络流量威胁的系统,其可以对网络中的威胁,例如蠕虫、木马、僵尸、系统漏洞等进行准确识别和防御。该IPS可以被部署在防火墙等设备上,从而为对客户端或者服务器的安全进行防御。具体来说,在现有的IPS设备上保存有一签名规则库,该签名规则库中存储有预先对网络中的威胁流量进行分析后提取的特征信息,该特征信息即为签名规则。在进行IPS防御时,IPS设备可以将签名规则库中的所有签名规则编译成一个状态机,该IPS设备在对网络流量进行检测时,该IPS设备可以将该网络流量的特征与状态机中的各状态进行比较,从而确定该网络流量是否是威胁流量,进而对其防御对象的安全进行防御。但是,随着威胁流量的特征信息不断增加,签名规则库中存储的签名规则的数量也不断增加,导致生成的状态机较为庞大,进而导致对网络流量进行IPS检测时的检测效率降低。
技术实现思路
本专利技术实施例提供一种IPS检测处理方法、网络安全设备和系统,以提高IPS检测时的检测效率。本专利技术实施例提供一种IPS检测处理方法,包括:网络安全设备确定内网设备是客户端还是服务器,所述网络安全设备部署于内网设备和外网设备之间,用于保护内网设备的安全;若为客户端,则所述 ...
【技术保护点】
【技术特征摘要】
1.一种入侵防御系统IPS检测处理方法,其特征在于,包括:
网络安全设备确定内网设备是客户端还是服务器,所述网络安全设备部
署于内网设备和外网设备之间,用于保护内网设备的安全;
若为客户端,则所述网络安全设备将所述IPS签名规则库简化为与所述
客户端对应的IPS签名规则库,或者若为服务器,则将所述IPS签名规则库
简化为与所述服务器对应的IPS签名规则库;
所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成
状态机,并应用所述状态机,对流经的流量进行IPS检测。
2.根据权利要求1所述的方法,其特征在于,所述确定内网设备是客户
端还是服务器,包括:
所述网络安全设备对流经的流量信息进行统计处理,获取流量特征信息;
根据所述流量特征信息,确定所述内网设备是客户端还是服务器。
3.根据权利要求2所述的方法,其特征在于,所述对流经的流量信息进
行统计处理之前,还包括:
根据所述网络安全设备的安全区域配置信息,确定内网接口和外网接口;
所述对流经的流量信息进行统计处理,包括:
对从所述内网接口流入并从所述外网接口流出的流量进行统计处理,并
对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。
4.根据权利要求2或3所述的方法,其特征在于,所述流量特征信息,
包括:从内网流向外网的流量P1以及从外网流向内网的流量P2;
所述根据所述流量特征信息,确定所述内网设备是客户端还是服务器,
包括:
若所述流量P1大于所述流量P2,则确定所述内网设备为客户端,若所
述流量P1小于等于所述流量P2,则确定所述内网设备为服务器。
5.根据权利要求2或3所述的方法,其特征在于,所述获取流量特征信
息,包括:
获取从内网流向外网的流量P1以及从外网流向内网的流量P2,并根据
协议特征库中存储的协议特征信息或者流量端口号确定所述流量P1的协议
类型和所述流量P2的协议类型;
所述根据所述流量特征信息,确定所述内网设备是客户端还是服务器,
包括:
若所述流量P1大于所述流量P2且所述流量P2的协议类型为与服务器对
应的协议类型,则确定所述内网设备为客户端,若所述流量P1小于等于所述
流量P2且所述流量P1的协议类型为与服务器对应的协议类型,则确定所述
内网设备为服务器。
6.根据权利要求1~3中任一项所述的方法,其特征在于,所述将所述IPS
签名规则库简化为与所述客户端对应的IPS签名规则库,包括:
将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态;
所述将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库,
包括:
将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。
7.一种网络安全设备,...
【专利技术属性】
技术研发人员:薛智慧,蒋武,李世光,万时光,
申请(专利权)人:成都市华为赛门铁克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。