技術(shù)領(lǐng)域

本發(fā)明屬于計算機網(wǎng)絡(luò)通信安全領(lǐng)域，尤其涉及一種入侵防御系統(tǒng)的引擎檢測數(shù)據(jù)更新方法及裝置。

背景技術(shù)

隨著電腦的廣泛應(yīng)用和網(wǎng)絡(luò)的不斷普及，來自網(wǎng)絡(luò)內(nèi)部和外部的危險和犯罪也日益增多。如今，不僅病毒數(shù)量劇增，質(zhì)量提高，而且通過網(wǎng)絡(luò)快速傳播，在短短的幾小時內(nèi)就能傳遍全世界。有的病毒還會在傳播過程中改變形態(tài)，使防毒軟件失效。傳統(tǒng)防火墻加入侵檢測系統(tǒng)(Intrusion?Detection?Systems，簡稱IDS)的技術(shù)已經(jīng)無法應(yīng)對一些新的網(wǎng)絡(luò)威脅。在這種情況下，入侵防御系統(tǒng)(Intrusion?Prevention?System，簡稱IPS)技術(shù)應(yīng)運而生，IPS可以深度感知并主動檢測流經(jīng)該IPS的報文，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網(wǎng)絡(luò)帶寬資源。

入侵防御系統(tǒng)主要有兩個部分組成：檢測引擎和規(guī)則庫，前者是報文深度檢測的框架流程，后者被解析加載生成引擎檢測數(shù)據(jù)，作為插件嵌入檢測引擎中。入侵防御系統(tǒng)的攻擊事件識別率取決于規(guī)則庫的完備性，規(guī)則庫根據(jù)新漏洞的出現(xiàn)需要不定期更新升級。目前的入侵防護系統(tǒng)在引擎檢測數(shù)據(jù)更新時，需要在入侵防御系統(tǒng)的引擎檢測數(shù)據(jù)更新過程中暫停報文通過檢測引擎，等引擎檢測數(shù)據(jù)更新完成后，再開啟引擎檢測功能，這將使設(shè)備在這段時間處于無防御狀態(tài)，有可能在引擎檢測數(shù)據(jù)更新期間放過攻擊事件，造成入侵攻擊。

發(fā)明內(nèi)容

為解決入侵防御系統(tǒng)的引擎檢測數(shù)據(jù)更新過程中需要暫停報文通過檢測引擎有可能造成病毒攻擊的問題，本發(fā)明提供了一種入侵防御系統(tǒng)的引擎檢測數(shù)據(jù)更新方法，所述方法包括：

對入侵防御系統(tǒng)更新后的規(guī)則庫進行解析，在內(nèi)存中生成新的引擎檢測數(shù)據(jù)；

將指向原引擎檢測數(shù)據(jù)的全局指針修改為指向所述新的引擎檢測數(shù)據(jù)，使得檢測引擎采用所述新的引擎檢測數(shù)據(jù)。

其中，將指向原引擎檢測數(shù)據(jù)的全局指針修改為指向所述新的引擎檢測數(shù)據(jù)后，還包括：

釋放所述原引擎檢測數(shù)據(jù)。

其中，將指向原引擎檢測數(shù)據(jù)的全局指針修改為指向所述新的引擎檢測數(shù)據(jù)后，還包括：

先等待預(yù)設(shè)時間，再釋放所述原引擎檢測數(shù)據(jù)。

其中，在內(nèi)存中生成新的引擎檢測數(shù)據(jù)后，還包括：

通過第一指針指向所述新的引擎檢測數(shù)據(jù)；

將指向原引擎檢測數(shù)據(jù)的全局指針修改為指向所述新的引擎檢測數(shù)據(jù)具體包括：

將所述第一指針的值賦給所述全局指針。

其中，將所述第一指針的值賦給所述全局指針前，還包括：

將所述全局指針的值賦給第二指針；

釋放所述原引擎檢測數(shù)據(jù)具體包括：

釋放所述第二指針?biāo)赶虻刂分械臄?shù)據(jù)。

本發(fā)明還公開了一種入侵防御系統(tǒng)的引擎檢測數(shù)據(jù)更新裝置，所述裝置包括：

解析生成模塊，用于對入侵防御系統(tǒng)更新后的規(guī)則庫進行解析，在內(nèi)存中生成新的引擎檢測數(shù)據(jù)；

指向修改模塊，用于將指向原引擎檢測數(shù)據(jù)的全局指針修改為指向所述新的引擎檢測數(shù)據(jù)，使得檢測引擎采用所述新的引擎檢測數(shù)據(jù)。

其中，所述指向修改模塊，還用于釋放所述原引擎檢測數(shù)據(jù)。

其中，所述指向修改模塊，還用于先等待預(yù)設(shè)時間，再釋放所述原引擎檢測數(shù)據(jù)。

其中，所述解析生成模塊，還用于通過第一指針指向所述新的引擎檢測數(shù)據(jù)；

所述指向修改模塊包括：

指針賦值子模塊，用于將所述第一指針的值賦給所述全局指針。

其中，所述解析生成模塊，還用于將所述全局指針的值賦給第二指針；

所述指向修改模塊包括：

地址釋放子模塊，用于釋放所述第二指針?biāo)赶虻刂分械臄?shù)據(jù)。

本發(fā)明先在內(nèi)存中生成新的引擎檢測數(shù)據(jù)，然后直接將指向原引擎檢測數(shù)據(jù)的全局指針修改為指向所述新的引擎檢測數(shù)據(jù)，便可實現(xiàn)通過檢測引擎的報文所采用的是新的引擎檢測數(shù)據(jù)，從而實現(xiàn)了引擎檢測數(shù)據(jù)更新的無縫切換，避免了入侵防御系統(tǒng)的引擎檢測數(shù)據(jù)更新過程中需要暫停報文通過檢測引擎，從而有效防止病毒攻擊。

附圖說明

通過參考附圖會更加清楚的理解本發(fā)明的特征和優(yōu)點，附圖是示意性的而不應(yīng)理解為對本發(fā)明進行任何限制，在附圖中：

圖1是本發(fā)明一種實施方式的引擎檢測數(shù)據(jù)更新方法的流程圖；

圖2是本發(fā)明一種實施例的全局指針切換之前指向示意圖；

圖3是本發(fā)明一種實施例的全局指針切換之后指向示意圖；

圖4是本發(fā)明一種實施方式的引擎檢測數(shù)據(jù)更新裝置的結(jié)構(gòu)框圖