技術領域

本發明實施例涉及入侵防御系統(Intrusion?Prevention?System，以下簡稱：IPS)檢測技術，尤其涉及一種IPS檢測處理方法、網絡安全設備和系統。

背景技術

IPS是一種防御網絡流量威脅的系統，其可以對網絡中的威脅，例如蠕蟲、木馬、僵尸、系統漏洞等進行準確識別和防御。該IPS可以被部署在防火墻等設備上，從而為對客戶端或者服務器的安全進行防御。

具體來說，在現有的IPS設備上保存有一簽名規則庫，該簽名規則庫中存儲有預先對網絡中的威脅流量進行分析后提取的特征信息，該特征信息即為簽名規則。在進行IPS防御時，IPS設備可以將簽名規則庫中的所有簽名規則編譯成一個狀態機，該IPS設備在對網絡流量進行檢測時，該IPS設備可以將該網絡流量的特征與狀態機中的各狀態進行比較，從而確定該網絡流量是否是威脅流量，進而對其防御對象的安全進行防御。

但是，隨著威脅流量的特征信息不斷增加，簽名規則庫中存儲的簽名規則的數量也不斷增加，導致生成的狀態機較為龐大，進而導致對網絡流量進行IPS檢測時的檢測效率降低。

發明內容

本發明實施例提供一種IPS檢測處理方法、網絡安全設備和系統，以提高IPS檢測時的檢測效率。

本發明實施例提供一種IPS檢測處理方法，包括：

網絡安全設備確定內網設備是客戶端還是服務器，所述網絡安全設備部署于內網設備和外網設備之間，用于保護內網設備的安全；

若為客戶端，則所述網絡安全設備將所述IPS簽名規則庫簡化為與所述客戶端對應的IPS簽名規則庫，或者若為服務器，則將所述IPS簽名規則庫簡化為與所述服務器對應的IPS簽名規則庫；

所述網絡安全設備根據簡化處理后的IPS簽名規則庫中的簽名規則生成狀態機，并應用所述狀態機，對流經的流量進行IPS檢測。

本發明實施例提供一種網絡安全設備，部署于內網設備和外網設備之間，用于保護內網設備的安全，所述網絡安全設備包括：

確定模塊，用于確定內網設備是客戶端還是服務器；

規則庫處理模塊，用于若所述確定模塊確定為客戶端，則將所述IPS簽名規則庫簡化為與所述客戶端對應的IPS簽名規則庫，或者若所述確定模塊確定為服務器，則將所述IPS簽名規則庫簡化為與所述服務器對應的IPS簽名規則庫；

流量檢測模塊，用于根據簡化處理后的IPS簽名規則庫中的簽名規則生成狀態機，并應用所述狀態機，對流經的流量進行IPS檢測。

本發明實施例提供一種網絡安全系統，包括：客戶端、服務器和與所述客戶端和服務器連接的網絡安全設備，其中，所述網絡安全設備采用上述的網絡安全設備。

本發明實施例，網絡安全設備可以確定其所保護的內網設備是客戶端還是服務器，并且可以根據確定結果，對IPS簽名規則庫進行簡化，并且根據簡化后的IPS簽名規則庫生成狀態機，從而在進行IPS檢測時，可以采用去除了冗余狀態后的狀態機進行IPS檢測，從而可以提高IPS檢測效率。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明IPS檢測處理方法實施例一的流程圖；

圖2為本發明IPS檢測處理方法實施例二的流程圖；

圖3為本發明IPS檢測處理方法實施例三的流程圖；

圖4為本發明IPS檢測處理方法實施例四的流程圖；

圖5為本發明網絡安全設備實施例一的結構示意圖；

圖6為本發明網絡安全設備實施例二的結構示意圖；

圖7為本發明網絡安全設備實施例四的結構示意圖；

圖8為本發明網絡安全系統實施例的結構示意圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

圖1為本發明IPS檢測處理方法實施例一的流程圖，如圖1所示，本實施例的方法可以包括：

步驟101、確定內網設備是客戶端還是服務器。