[發(fā)明專利]一種基于IPS設備的攻擊檢測方法及IPS設備有效
| 申請?zhí)枺?/td> | 201010176876.3 | 申請日: | 2010-05-20 |
| 公開(公告)號: | CN101834760A | 公開(公告)日: | 2010-09-15 |
| 發(fā)明(設計)人: | 雷公武 | 申請(專利權)人: | 杭州華三通信技術有限公司 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L29/06;H04L12/56 |
| 代理公司: | 北京鑫媛睿博知識產權代理有限公司 11297 | 代理人: | 龔家驊 |
| 地址: | 310053 浙江省杭州市高新技術產業(yè)*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 ips 設備 攻擊 檢測 方法 | ||
技術領域
本發(fā)明涉及通信領域的網絡管理技術,尤其涉及一種基于IPS設備的攻擊檢測方法及IPS設備。
背景技術
對網絡中的流量進行攻擊檢測,是IPS(入侵保護系統(tǒng))設備的主要職責,而對于現(xiàn)有的的IPS設備來說,大都是依靠模式匹配來檢測攻擊,因此,內置在IPS設備里的檢測規(guī)則就是IPS設備的核心。為了應對隨之增加的網絡病毒和網絡攻擊事件,IPS設備內置的檢測規(guī)則也越來越多,導致IPS設備檢測的負荷也越來越重。
圖1示出了IPS設備的攻擊檢測的基本架構。其中,攻擊特征庫11包含成千上萬的攻擊檢測規(guī)則,當用戶選擇攻擊檢測規(guī)則后,檢測規(guī)則配置單元12將用戶所選擇的檢測規(guī)則下發(fā)到攻擊檢測引擎13,攻擊檢測引擎13中的協(xié)議識別單元131對網絡報文進行模式匹配,攻擊檢測單元132根據(jù)配置的檢測規(guī)則進行攻擊確認,最終由攻擊響應單元133根據(jù)攻擊檢測單元132的檢測結果對攻擊報文采取相應的動作。
如果IPS內置的檢測規(guī)則過多,過于復雜,就會因IPS設備需要進行大量的模式匹配處理,而導致網絡處理性能低下,如果檢測規(guī)則過少,又會導致網絡病毒或者攻擊無法檢測。因此,如何在不影響IPS病毒或者攻擊檢測能力的前提下,提高IPS的網絡處理性能是IPS設備一直需要追尋的目標,即:IPS設備應該在不影響網絡流量的情況下,檢測和防范攻擊。
現(xiàn)有IPS設備大多都有上千條檢測規(guī)則,多的可達上萬條檢測規(guī)則。對于眾多的檢測規(guī)則,IPS設備一般會按攻擊的類型、攻擊的級別、攻擊基于的協(xié)議或者攻擊基于的服務等進行一一分類。當用戶使用時,可以根據(jù)規(guī)則的分類,選擇某一類或者幾類檢測規(guī)則,或者選擇所有的攻擊檢測規(guī)則。IPS設備就會根據(jù)用戶的選擇啟用選中的檢測規(guī)則,對網絡的流量進行攻擊檢測。
當然,一般的IPS設備會內置一些缺省的策略,該策略中默認啟用一些檢測規(guī)則,這樣用戶也可以不用自己選擇啟用的檢測規(guī)則,而是直接利用系統(tǒng)默認的配置啟用相應的檢測規(guī)則。
發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術至少存在以下問題:
按照目前IPS設備采用的規(guī)則分類方式,對于用戶來說,其使用是比較困難的。一般的用戶對攻擊檢測并不是很清楚,對于攻擊的分類、攻擊的驗證級別以及攻擊基于的協(xié)議等,也許根本不了解,或者了解不多,面對成千上萬的攻擊檢測規(guī)則,很難選擇出合適的攻擊檢測規(guī)則。為了達到IPS設備的最佳檢測效果,很多用戶可能會將所有的檢測規(guī)則都配置上,這樣就能檢測“所有”的攻擊或者病毒,那么IPS設備就會由于檢測規(guī)則過多而導致性能下降或者設備的內存空間占用過大,影響網絡的使用。可見,由于現(xiàn)有IPS設備的檢測規(guī)則設置技術存在的上述問題,會給IPS設備的處理性能造成影響,且影響攻擊檢測效率。
比如:用戶的實際網絡中可能都是windows系統(tǒng),那么針對其他的操作系統(tǒng)的攻擊規(guī)則,就可以不啟用,也不需要檢測,或者IPS設備僅僅保護郵件服務器,那么針對Web服務器的攻擊規(guī)則也不需要啟用。類似這種不確定的網絡情況,僅靠內置的缺省策略,或者靠用戶設置的不太合理的檢測策略,會導致攻擊檢測效果和IPS設備性能不能兼顧。
發(fā)明內容
本發(fā)明提供了一種基于IPS設備的攻擊檢測方法及IPS設備,用以解決現(xiàn)有IPS設備的檢測規(guī)則設置方式導致的攻擊檢測效果差的問題。
本發(fā)明提供的基于IPS設備的攻擊檢測方法,應用于入侵保護系統(tǒng)IPS設備,所述IPS設備中配置有保護對象標識與檢測規(guī)則標識的對應關系,該方法包括:
獲取需要檢測的保護對象的標識;
根據(jù)IPS設備中配置的所述對應關系,獲取與所述需要檢測的保護對象的標識對應的檢測規(guī)則標識;
根據(jù)獲取到的檢測規(guī)則標識,配置對應的檢測規(guī)則。
根據(jù)本發(fā)明的上述方法,所述獲取需要檢測的保護對象標識,包括以下之一或任意組合:
接收用戶提交的保護對象描述信息,根據(jù)該保護對象描述信息獲取對應的保護對象標識;
通過對經過IPS設備的網絡報文進行識別,確定出保護對象信息,并根據(jù)確定出的保護對象信息獲取對應的保護對象標識;
通過對IPS設備所保護的網段進行掃描,獲取保護對象信息,并根據(jù)獲取到的保護對象信息獲取對應的保護對象標識;
接收設備客戶端上報的信息,根據(jù)該信息確定該設備客戶端所具有的保護對象,并根據(jù)該保護對象獲取對應的保護對象標識。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于杭州華三通信技術有限公司,未經杭州華三通信技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010176876.3/2.html,轉載請聲明來源鉆瓜專利網。
