技術領域

本發明涉及互聯網，尤其涉及一種生成攻擊特征庫的方法、防范網絡攻擊的方法以及用于防范網絡攻擊的裝置。

背景技術

談到安全網絡，一般分為三個層面，即設備安全、網絡安全、業務安全。其中設備安全是構建安全網絡的基礎，因此如何保證網絡設備尤其是重要節點的網絡設備(如路由器和交換機)安全是業界需要重點解決的問題。

對于服務器等關鍵設備防護，很自然地想到防火墻，一般在設備網絡接口上串接一臺防火墻可以有效保證設備的安全。但是對于路由器等設備的防護則比較難，因為路由器特別是高端路由器接口密度高、流量大，因此，無法使用外置防火墻對路由器本身進行攻擊防護。因此，對于路由器的防護一般有下面兩種技術。

現有技術的解決方案是將IPS(Intrusion?Prevention?System，入侵防御系統)/IDS(Intrusion?Detection?System，入侵檢測系統)系統全部集成到系統內，由系統CPU進行實時防攻擊處理。IPS規則庫是對網絡上已有的各種攻擊特征的總結。隨著時間的推移，攻擊越來越多，IPS規則庫也越來越大，系統處理負擔(資源及性能消耗)也越來越重，所以IPS規則庫一般較大，且處理過程復雜，對于CPU性能要求較高，而一般普通的CPU處理性能較低，因此，通常在企業級的中低端路由器上使用。如果應用在基于分布式架構的高端路由器上，會占用太多的資源和CPU性能，效果較差。

發明內容

本發明實施例所要解決的技術問題在于，提供一種防范網絡攻擊的方法及裝置，可在不占用太多的資源和CPU性能的前提下，能對系統實施有效的實時防護，提高整個系統的防范能力。

為了解決上述技術問題，本發明實施例提供了一種生成攻擊特征庫的方法，包括：

將報文上送至主控CP的同時將所述報文緩存至待分析隊列；

當主控CP發生主備異常倒換時根據IPS規則庫判斷所述待分析隊列中緩存的上送報文是否含有攻擊特征，判斷為是時，提取所述報文的攻擊特征保存至攻擊特征庫。

還提供了一種防范網絡攻擊的方法，包括：

根據攻擊特征庫判斷需上送至主控CP的報文中是否包含有所述攻擊特征庫中的攻擊特征，判斷為是時，根據所述攻擊特征對所述報文進行相應的防攻擊處理；當判斷否時，將所述報文上送至主控CP并緩存至待分析隊列。

相應地，本發明實施例還提供了一種防范網絡攻擊的裝置，包括：

接收單元，用于接收需上送至主控CP的報文；

隊列單元，用于存儲所述接收單元接收到的所述需上送至主控CP的報文；

攻擊特征庫，用于存儲攻擊特征及對應所述攻擊特征的初始統計數據及老化間隔；

檢測單元，用于根據IPS規則庫判斷所述隊列單元中緩存的上送報文是否含有攻擊特征，判斷為是時，提取所述報文的攻擊特征保存至攻擊特征庫，和/或根據所述攻擊規則庫中存儲的攻擊規則判斷所述接收單元接收的報文是否含有攻擊特征，判斷為是時，根據攻擊特征對該攻擊報文進行相應的防攻擊處理當判斷否時，將所述報文上送至主控CP并緩存至所述隊列單元。

實施本發明實施例，具有如下有益效果：能夠從龐大的IPS規則庫中提取出已發生的攻擊特征形成攻擊特征庫，從而能夠對后續的同類型攻擊實施有效的實時防范，在保證系統性能的同時，可以取得較好的防范效果。

附圖說明

圖1是本發明實施例的整體結構示意圖；

圖2是本發明實施例中檢測單元的結構示意圖；

圖3是本發明實施例中生成攻擊特征庫的流程示意圖；

圖4是本發明實施例中防范網絡攻擊的流程示意圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚，下面將結合附圖對本發明作進一步地詳細描述。