本發明提供了一種用于IPS高效、靈活的檢測規則管理方法和設備，包括規則管理中心、規則庫服務器和設備端。將檢測規則做三級劃分，分別是規則類、規則集和規則。規則、規則集和規則類都以數據庫的形式存儲，通過數據庫來表示它們之間的關系，是從數據庫加載到檢測引擎。每個IPS設備分配有License，將License劃分為不同的Level，Level數值越小，其優先級越高，可以獲得的規則集越多。通過License可以讓不同類型的IPS獲取到與其相匹配的檢測規則，通過規則管理實現產品License權限與產品功能掛鉤，減少產品運維成本，對于設備端來說只需要做規則的選擇和應用即可，而無需關心規則的來源，也不需要去維護規則，大大降低了IPS設備對規則操作的復雜程度。

技術領域

本發明涉及信息安全技術領域，特別涉及一種用于IPS高效、靈活的檢測規則管理方法及設備。

背景技術

隨著電腦的廣泛應用和網絡的不斷普及，來自網絡內部和外部的危險和犯罪也日益增多。

入侵防御系統(Intrusion Prevention System，簡稱IPS)，是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。為了保護網絡和計算機的安全，入侵防御技術根據預先設定的安全策略，利用各種技術手段采取實時響應和主動阻斷攻擊行為的發生。

在計算機網絡中，入侵防御系統(IPS)一般部署在防火墻與交換機或者被保護的網絡之間，通過對報文進行協議分析、特征匹配等方式，基于檢測規則對流經網絡的報文進行深度檢測，從而判斷是否存在網絡攻擊，一旦發現威脅，系統會發出告警，阻斷攻擊報文并記錄日志，針對檢測報文的一系列檢測規則，亟需發展一種高效靈活的檢測規則管理方法。

發明內容

本發明提供了一種用于IPS高效、靈活的檢測規則管理方法及設備，用于解決IPS設備對規則的操作復雜，產品運維成本高的技術問題。

為實現上述技術目的，本發明使用以下技術方法：

一種用于IPS高效、靈活的檢測規則管理方法及設備，包括規則管理中心、規則庫服務器和設備端。根據異常流量或者攻擊報文的特征形成相應的檢測規則，并且根據特征劃分成不同的規則集。每個IPS設備分配有License，將License劃分為不同的Level，Level數值越小，其優先級越高，可以獲得的規則集越多。

進一步地，所述檢測規則做三級劃分，分別為規則類、規則集和規則。

進一步地，所述規則類、規則集和規則都以數據庫的形式進行存儲和管理，通過數據庫來表示他們之間的關系。

進一步地，所述規則管理中心編輯規則，規定規則級別和規則所屬的規則集，以規則集為單位上傳至規則庫服務器。

進一步地，規則庫服務器以規則集為單位存儲規則，并在該規則集上標識規則級別，用于對接設備License。

進一步地，所述設備端包括規則管理模塊、本地規則庫和規則庫對接模塊，設備端接收規則集，由規則管理模塊將接收到的規則以規則集為單位存儲到本地規則庫。

一種用于IPS高效、靈活的檢測規則管理方法，包括如下步驟：

S₁、規則管理中心編輯規則，設定規則級別和規則所屬的規則集，以規則集為單位上傳到規則庫服務器，如果在已有的規則集上新增或更新規則，則以規則集為單位，只上傳新增或更新的規則；

S₂、規則庫服務器以規則集為單位存儲規則，并在該規則集上標識規則級別，用于對接設備License；

S₃、設備端規則對接模塊定時向規則庫服務器發送心跳，攜帶設備License；