技術領域

本發明涉及通信技術，尤其涉及一種生成特征的方法及安全網關設備。

背景技術

安全網關設備，是以保障網絡安全為目的的設備，在企業網中，充分利用公共網絡來構建的私有專用網絡，安全網關設備可以為該網絡提供企業網絡的安全、可靠和可管理環境。安全網關設備具有入侵檢測、入侵防御、防病毒、抗攻擊等特性。

隨著網絡技術的不斷發展，網絡攻擊的目標和方式都在不斷的增加，為了應對攻擊行為的變化，通常廠商采用事先寫好特征，對安全網關設備進行升級特征庫、允許自定義特征等方法進行特征庫升級。升級特征庫可以應對很多已知的攻擊行為，自定義特征可以通過定制特征來解決一些用戶特有的需求。

通過以上描述，不難發現，目前升級特征庫、允許自定義特征等方法進行安全網關升級所使用的特征是事先寫好的，相對固定。隨著攻擊形式的越來越多元化，使用這種固定特征的方式存在一些缺點：不夠靈活，沒有針對性的問題。

發明內容

（一）要解決的技術問題

預先固定設置特征的方式不夠靈活，針對性不強。

（二）技術方案

為解決上述問題，本發明提供一種生成特征的方法，在安全網關設備上設置特征生成條件，以及設置自動生成的攻擊行為特征的特征字段，該方法還包括：

安全網關設備根據預先設置的所述特征生成條件進行實時檢測，判斷當前是否有滿足所述特征生成條件的情況，如果是，則根據預先設置的攻擊行為特征的特征字段，生成特征。

所述在安全網關設備上設置特征生成條件包括：

根據報文中指定字段的信息在安全網關設備上設置特征生成條件；或者，

根據指定行為的發生頻率在安全網關設備上設置特征生成條件；或者，

根據高層協議的指定字段在安全網關設備上設置特征生成條件。

當根據報文中指定字段的信息在安全網關設備上設置特征生成條件時，所述判斷當前是否有滿足所述特征生成條件的情況包括：判斷當前接收到的報文中是否包括所述指定字段，或者，判斷當前接收到的報文中的指定字段是否被修改，如果是，則確定當前有滿足所述特征生成條件的情況；

當根據指定行為的發生頻率在安全網關設備上設置特征生成條件時，所述判斷當前是否有滿足所述特征生成條件的情況包括：判斷當前是否發生了所述指定行為，且所述指定行為已經發生的頻率是否達到預定值，如果均是，則確定當前有滿足所述特征生成條件的情況；

當根據高層協議的指定字段在安全網關設備上設置特征生成條件時，所述判斷當前是否有滿足所述特征生成條件的情況包括：對當前接收到的報文進行協議解析，根據解析的結果與所述高層協議的指定字段進行匹配，如果報文中通用字段的值等于預先設置的指定值，則確定當前有滿足所述特征生成條件的情況。

設置的所述特征生成條件與所述攻擊行為特征的特征字段相同或部分相同或不同。

該方法進一步包括：將生成的特征提供給用戶，接收用戶修改的特征。

針對不同的網絡，在安全網關設備上設置不同的特征生成條件，以及設置不同的自動生成的攻擊行為特征的特征字段

安全網關設備，包括：

設置模塊，用于設置特征生成條件，以及設置自動生成的攻擊行為特征的特征字段；

檢測模塊，用于根據所述設置模塊設置的所述特征生成條件進行檢測，判斷當前是否有滿足所述特征生成條件的情況，如果是，則觸發生成模塊；

生成模塊，用于在被觸發后，根據所述設置模塊設置的攻擊行為特征的特征字段，生成特征。

所述設置模塊包括：

第一設置子模塊，根據報文中指定字段的信息設置特征生成條件；或者，

第二設置子模塊，根據指定行為的發生頻率設置特征生成條件；

或者，

第三設置子模塊，根據高層協議的指定字段設置特征生成條件。

所述檢測模塊包括：

第一檢測子模塊，根據第一設置子模塊的設置，判斷當前接收到的報文中是否包括所述指定字段，或者，判斷當前接收到的報文中的指定字段是否被修改，如果是，則觸發生成模塊；

或者，

第二檢測子模塊，根據第二設置子模塊的設置，判斷當前是否發生了所述指定行為，且所述指定行為已經發生的頻率是否達到預定值，如果均是，則觸發生成模塊；

或者，

第三檢測子模塊，根據第三設置子模塊的設置，對當前接收到的報文進行協議解析，根據解析的結果與所述高層協議的指定字段進行匹配，如果報文中通用字段的值等于預先設置的指定值，則觸發生成模塊。