專利名稱:入侵防御檢測方法����、裝置和網(wǎng)關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別是涉及一種入侵防御檢測方法���、裝置和網(wǎng)關(guān)設(shè)備��。
背景技術(shù):
隨著網(wǎng)絡(luò)攻擊的迅猛增多���,作為檢測和阻止網(wǎng)絡(luò)病毒入侵行為的入侵防御系統(tǒng)(Intrusion Prevention System, IPS)也隨之出現(xiàn),其中����,IPS可為網(wǎng)絡(luò)中的設(shè)備提供一種主動的、實時的防護���,其一般是通過對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)報文進行檢測����,阻止惡意的入侵行為,預(yù)先對攻擊性的流量進行自動攔截�����,保證網(wǎng)絡(luò)的安全性�。 IPS—般串聯(lián)在網(wǎng)絡(luò)中的鏈路中,實時檢測和阻斷網(wǎng)絡(luò)中的攻擊行為���,IPS對網(wǎng)絡(luò)中的惡意數(shù)據(jù)報文進行檢測時���,主要通過特征匹配來實現(xiàn)入侵行為的檢測,其是將已知的入侵行為表達為一種特征�����,利用該特征對網(wǎng)絡(luò)中的數(shù)據(jù)報文進行匹配來發(fā)現(xiàn)該已知的入侵行為�����。 一般而言��,一種入侵行為攻擊的特征可以定義為一條或一組規(guī)則�,根據(jù)已知的攻擊的入侵行為���,可提取出已知攻擊的所有檢測規(guī)則,并將所有已知的攻擊的檢測規(guī)則聚集形成一個檢測規(guī)則庫����,同時將該規(guī)則檢測庫內(nèi)的各檢測規(guī)則編譯成狀態(tài)機,當(dāng)對網(wǎng)絡(luò)中的數(shù)據(jù)報文進行檢測時�����,可將該數(shù)據(jù)報文進入狀態(tài)機中進行特征匹配��,識別出攻擊行為��,并對識別出的攻擊行為進行阻斷����。 在實現(xiàn)本發(fā)明的過程中發(fā)明人發(fā)現(xiàn)現(xiàn)有IPS檢測中����,是將檢測規(guī)則庫中的所有檢測規(guī)則編譯成狀態(tài)機,對數(shù)據(jù)報文進行檢測時���,數(shù)據(jù)報文進入該狀態(tài)機中需要對所有檢測規(guī)則進行特征匹配�����。但是���,由于特征匹配需要消耗大量的資源����,因此��,當(dāng)對狀態(tài)機中的所有檢測規(guī)則進行特征匹配時����,會占用大量的資源,降低了網(wǎng)絡(luò)的性能�,導(dǎo)致入侵行為檢測速度慢,效率低����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種入侵防御檢測方法、裝置和網(wǎng)關(guān)設(shè)備�����,可提高入侵行為檢測的效率�,降低檢測時資源的占用率��。 為實現(xiàn)上述目的��,本發(fā)明實施例提供了一種入侵防御檢測方法���,包括
根據(jù)獲得的報文采用的報文類型,調(diào)整狀態(tài)機中的檢測規(guī)則�;
利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測。
此外���,本發(fā)明實施例還提供了一種入侵防御檢測裝置��,包括 狀態(tài)機調(diào)整模塊,用于根據(jù)獲得的報文采用的報文類型�����,調(diào)整狀態(tài)機中的檢測規(guī)則�����; 入侵檢測模塊�����,用于利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測。 本發(fā)明實施例還提供了一種網(wǎng)關(guān)設(shè)備��,包括報文接收裝置�����,以及上述的入侵防御
檢測裝置����,其中, 所述報文接收裝置�,用于采集網(wǎng)絡(luò)中的報文; 所述入侵防御檢測裝置�����,用于獲得所述報文采用的報文類型�����,調(diào)整狀態(tài)機中的檢測規(guī)則�,并利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測。 本發(fā)明實施例通過根據(jù)當(dāng)前網(wǎng)絡(luò)報文的報文類型�����,實時對狀態(tài)機中的檢測規(guī)則進行調(diào)整,使得對報文進行入侵行為檢測時�����,不需要對檢測規(guī)則庫中的所有檢測規(guī)則進行特征匹配��,只需要對部分有用的檢測規(guī)則進行特征匹配���,因此���,可有效減少報文特征匹配的檢測規(guī)則的數(shù)量,有效地提高了入侵行為的檢測效率����,降低了入侵行為檢測時資源占用率,有效提高了網(wǎng)絡(luò)的整體性能����。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹����,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例���,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖�����。
J方法實施例一的流程示意圖J方法實施例二的流程示意圖J方法實施例三的流程示意圖J裝置實施例一的結(jié)構(gòu)示意5為本發(fā)明入侵防御檢測裝置實施例二中狀態(tài)機調(diào)整模塊的結(jié)構(gòu)示意6為本發(fā)明入侵防御檢測裝置實施例二中第一調(diào)整單元的結(jié)構(gòu)示意圖���;圖7為本發(fā)明網(wǎng)關(guān)設(shè)備實施例的結(jié)構(gòu)示意圖。
圖1為本發(fā)明入侵防御檢效圖2為本發(fā)明入侵防御檢效圖3為本發(fā)明入侵防御檢效圖4為本發(fā)明入侵防御檢效
具體實施例方式
為使本發(fā)明實施例的目的���、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合本發(fā)明實施例
中的附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述���,顯然���,所描述的實施例是
本發(fā)明一部分實施例����,而不是全部的實施例��?�;诒景l(fā)明中的實施例�����,本領(lǐng)域普通技術(shù)人員
在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍�����。
圖1為本發(fā)明入侵防御檢測方法實施例一的流程示意圖。本實施例方法包括以下
步驟 步驟101���、根據(jù)獲得的報文采用的報文類型��,調(diào)整狀態(tài)機中的檢測規(guī)則�; 步驟102、利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測��。 本實施例可應(yīng)用于IPS中對入侵行為進行檢測�,且在對入侵行為進行檢測時,可
根據(jù)當(dāng)前網(wǎng)絡(luò)中獲取的報文的類型��,實時對狀態(tài)機中的檢測規(guī)則進行調(diào)整����,例如,根據(jù)從當(dāng)
前網(wǎng)絡(luò)中獲取的報文采用的報文類型���,可從檢測規(guī)則庫中調(diào)用采用同樣報文類型的檢測規(guī)
則��,并生成狀態(tài)機����,利用生成的狀態(tài)機對當(dāng)前網(wǎng)絡(luò)中的報文進行入侵行為的檢測����,這樣,在
利用調(diào)整后的狀態(tài)機對報文進行入侵行為檢測時,狀態(tài)機中的檢測規(guī)則是對待檢測的報文
有用的檢測規(guī)則��,使得報文只需要對有用的檢測規(guī)則進行特征匹配��,相對于現(xiàn)有技術(shù)對檢
測規(guī)則庫中的所有報文進行特征匹配��,本實施例中報文進行特征匹配的檢測規(guī)則數(shù)量少����,
而且可保證報文檢測的準確性。此外����,若一定時間內(nèi)當(dāng)前網(wǎng)絡(luò)中未發(fā)現(xiàn)采用有與狀態(tài)機中
的檢測規(guī)則采用的報文類型相同的報文,也可將狀態(tài)機中采用該種報文類型的檢測規(guī)則刪
除��,減少不必要的檢測規(guī)則����,提高檢測效率。
綜上�,本發(fā)明實施例的入侵防御方法通過根據(jù)當(dāng)前網(wǎng)絡(luò)報文的報文類型,實時對狀態(tài)機中的檢測規(guī)則進行調(diào)整����,使得對報文進行入侵行為檢測時�����,不需要對檢測規(guī)則庫中的所有檢測規(guī)則進行特征匹配,只需要對部分有用的檢測規(guī)則進行特征匹配�,因此,可有效減少報文特征匹配的檢測規(guī)則的數(shù)量��,有效地提高了入侵行為的檢測效率�����,降低了入侵行為檢測時資源占用率����,有效提高了網(wǎng)絡(luò)的整體性能。 圖2為本發(fā)明入侵防御檢測方法實施例二的流程示意圖���。本實施例方法中���,在入侵行為檢測前,首先根據(jù)檢測規(guī)則庫中的各檢測規(guī)則采用的規(guī)則類型建立規(guī)則類型表�����,該規(guī)則類型表可包括規(guī)則項,每個規(guī)則項包括規(guī)則類型和老化時間���。其中��,本實施例建立的規(guī)則類型表為協(xié)議表�,規(guī)則類型表中的規(guī)則項為協(xié)議項���,規(guī)則類型表中的規(guī)則項包括的規(guī)則類型為協(xié)議類型����,即該協(xié)議表包括協(xié)議項��,協(xié)議項包括協(xié)議類型和老化時間����,具體地,可將檢測規(guī)則庫中檢測規(guī)則采用的協(xié)議類型組成該協(xié)議表���,協(xié)議表中的各協(xié)議類型即為該檢測規(guī)則庫中檢測規(guī)則采用的協(xié)議類型的集合���。此外,該協(xié)議表建立時���,各協(xié)議項的老化時間可
設(shè)置為o���。本實施例可根據(jù)當(dāng)前的網(wǎng)絡(luò)中報文采用的報文類型����,對該協(xié)議表中各協(xié)議項的老
化時間進行實時更新���,并根據(jù)各協(xié)議項的老化時間的動態(tài)變化調(diào)整狀態(tài)機中的檢測規(guī)則,其中�����,狀態(tài)機中包括老化時間不為0的協(xié)議項的協(xié)議類型對應(yīng)的檢測規(guī)則�。
具體地,如圖2所示����,本實施例方法可包括以下步驟
步驟201 、識別報文采用的協(xié)議類型��。 本步驟中�����,可從當(dāng)前的網(wǎng)絡(luò)中實時采集報文,并對采集到的報文進行解析����,識別出
報文所采用的協(xié)議類型,如HTTP協(xié)議���、SMTP協(xié)議��、P0P3協(xié)議或FTP協(xié)議等�。 步驟202���、將協(xié)議表中與所述報文采用的協(xié)議類型匹配的協(xié)議項的老化時間設(shè)置
為預(yù)設(shè)老化時間���。 本步驟中,根據(jù)步驟201中識別出的報文采用的協(xié)議類型�����,可在協(xié)議表中查找與該報文采用的協(xié)議類型相同的協(xié)議類型對應(yīng)的協(xié)議項��,找到該匹配的協(xié)議項后將該協(xié)議項的老化時間設(shè)置為預(yù)設(shè)老化時間����,對該協(xié)議表進行更新�����。其中���,所述的預(yù)設(shè)老化時間可根據(jù)實際需要而設(shè)定,如可設(shè)定為86400s等�����。 步驟203���、將檢測規(guī)則庫中與所述協(xié)議項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中。
對采集的報文進行入侵行為檢測時���,狀態(tài)機中需要存在采用與報文的協(xié)議類型相同檢測規(guī)則���,才能準確地檢測該報文進行入侵檢測,因此��,本步驟中��,可將檢測規(guī)則庫中與該規(guī)則項對應(yīng)的檢測規(guī)則添加的狀態(tài)機中�,以準確地對報文進行入侵行為檢測�����。
具體地���,在一種情況下,可以只將檢測規(guī)則庫中與協(xié)議項對應(yīng)且該協(xié)議項的初始老化時間為0的檢測規(guī)則添加到狀態(tài)機中���。當(dāng)識別到報文的類型時���,將協(xié)議表中相應(yīng)協(xié)議項的老化時間設(shè)置為預(yù)設(shè)老化時間,若協(xié)議表中的該協(xié)議項的初始老化時間為0���,即如果該協(xié)議項的老化時間是從0設(shè)置為預(yù)設(shè)老化時間的�����,說明此時狀態(tài)機中不包含采用該協(xié)議項的協(xié)議類型的檢測規(guī)則��,而對采集到的報文進行檢測時需要采用這種協(xié)議類型檢測規(guī)則����,因此,可將檢測規(guī)則庫中采用該種協(xié)議類型的檢測規(guī)則添加到狀態(tài)機中��,對狀態(tài)機進行更新��。在另一種情況下�����,若與該協(xié)議類型對應(yīng)的協(xié)議項的初始老化時間不為0����,即協(xié)議表中的該協(xié)議項的老化時間是從非0設(shè)置為預(yù)設(shè)老化時間,說明狀態(tài)機中已包含采用該協(xié)議項的協(xié)議類型的檢測規(guī)則�,此時,可不用再將該檢測規(guī)則重復(fù)添加到狀態(tài)機中即可實現(xiàn)對報文的檢測����。當(dāng)然����,可以理解的是,上述兩種情況可以同時存在��,則對應(yīng)的處理方法可以同時使用�����。需要說明的是,這里所說的初始老化時間是指協(xié)議類型表中的協(xié)議項在被設(shè)置為預(yù)設(shè)老化時間之前的老化時間����。 步驟204、利用調(diào)整后的狀態(tài)機對報文進行檢測��。 具體的���,狀態(tài)機是由各種檢測規(guī)則編譯而成��,在對報文進行入侵行為檢測時��,可將報文與狀態(tài)機中的各檢測規(guī)則進行特征匹配�����,若特征匹配成功���,說明報文為入侵行為的報文,屬于惡意報文����,可通知相應(yīng)的處理裝置對報文進行處理。本實施例中,由于調(diào)整后的狀態(tài)機中的只包括與待檢測報文的協(xié)議類型對應(yīng)的協(xié)議類型的檢測規(guī)則���,因此�,在對報文進行入侵行為檢測時����,只需要將該報文與該部分的檢測規(guī)則進行特征匹配,有效減少了與報文進行特征匹配的檢測規(guī)則的數(shù)量����,可快速地檢測該報文是否為惡意報文,入侵行為的檢測準確可靠�����。
此外���,本實施例還可包括 步驟205�����、當(dāng)協(xié)議表中的協(xié)議項的老化時間減少為0時,還可從狀態(tài)機中刪除與該協(xié)議項對應(yīng)的檢測規(guī)則�。 本實施例中,當(dāng)協(xié)議項的老化時間減少為O,此時���,采用該協(xié)議類型的檢測規(guī)則對當(dāng)前網(wǎng)絡(luò)中的報文的入侵行為檢測是無效地�,因此�,可將采用該協(xié)議類型的檢測規(guī)則從狀態(tài)機中刪除,更新狀態(tài)機�����,以減少對當(dāng)前網(wǎng)絡(luò)中的報文進行檢測時特征匹配的數(shù)量�,提高入侵行為檢測的效率。 本實施例通過檢測采集的報文的協(xié)議類型����,對狀態(tài)機進行實時更新,使得狀態(tài)機中包含與當(dāng)前網(wǎng)絡(luò)的報文的協(xié)議類型對應(yīng)的檢測規(guī)則����,使得對報文進行入侵行為檢測時,只需與部分有用的檢測規(guī)則進行特征匹配����,因此,可有效減少報文特征匹配的檢測規(guī)則的數(shù)量���,有效地提高了入侵行為的檢測效率��,降低了入侵行為檢測時資源占用率��,有效提高了網(wǎng)絡(luò)的整體性能�。 圖3為本發(fā)明入侵防御檢測方法實施例三的流程示意圖。與上述圖2所示技術(shù)方案不同的是��,本實施例在進行入侵行為檢測前建立的是操作系統(tǒng)類型表����,其是根據(jù)檢測規(guī)則庫中各檢測規(guī)則采用的操作系統(tǒng)類型而建立,每個操作系統(tǒng)類型表包括不同的操作系統(tǒng)項����,每個操作系統(tǒng)項包括操作系統(tǒng)類型和老化時間,且在該操作系統(tǒng)表建立時����,可將各操作
系統(tǒng)項的老化時間設(shè)置為o。本實施例可根據(jù)當(dāng)前網(wǎng)絡(luò)中報文采用的操作系統(tǒng)類型����,對操作
系統(tǒng)表中的各操作系統(tǒng)項的老化時間進行實時更新�,并根據(jù)各操作系統(tǒng)項的老化時間的變化調(diào)整狀態(tài)機中的檢測規(guī)則����,其中���,狀態(tài)機中包括老化時間不為0的操作系統(tǒng)項的操作系統(tǒng)類型對應(yīng)的檢測規(guī)則�。 具體地�����,如圖3所示����,本實施例方法可包括以下步驟
步驟301、識別報文采用的操作系統(tǒng)類型���。 本步驟中�,可從當(dāng)前的網(wǎng)絡(luò)中實時采集報文���,并對采集到的報文進行解析��,識別出報文所采用的操作系統(tǒng)類型����,如Windows操作系統(tǒng)、Li皿x操作系統(tǒng)��、Netware操作系統(tǒng)或Solaris操作系統(tǒng)等�����。由于網(wǎng)絡(luò)中的報文可能采用不同的操作系統(tǒng)形成��,因此�,通過對報文進行解析可獲取各報文采用的操作系統(tǒng)類型。 步驟302����、將操作系統(tǒng)表中與所述報文采用的操作系統(tǒng)類型匹配的操作系統(tǒng)項的老化時間設(shè)置為預(yù)設(shè)老化時間。 本步驟中��,根據(jù)步驟301中識別出的報文采用的操作系統(tǒng)類型����,可在操作系統(tǒng)表中查找與該報文采用的操作系統(tǒng)類型對應(yīng)的操作系統(tǒng)項,找到該匹配的操作系統(tǒng)項后將該操作系統(tǒng)項的老化時間設(shè)置為預(yù)設(shè)老化時間�����,對該操作系統(tǒng)表進行更新��。其中,所述的預(yù)設(shè)老化時間可根據(jù)實際需要而設(shè)定���,如可設(shè)定為86400s等。 步驟303�����、將檢測規(guī)則庫中與所述規(guī)則項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中���。
對采集的報文進行入侵行為檢測時���,狀態(tài)機中需要存在采用與報文的操作系統(tǒng)相同檢測規(guī)則,才能準確地檢測該報文進行入侵檢測�����,因此��,本步驟中���,可將檢測規(guī)則庫中與該操作系統(tǒng)項對應(yīng)的檢測規(guī)則添加的狀態(tài)機中�,以準確地對報文進行入侵行為檢測�����。
具體地,在一種情況下��,可以只將檢測規(guī)則庫中與操作系統(tǒng)項對應(yīng)且該操作系統(tǒng)項的初始老化時間為0的檢測規(guī)則添加到狀態(tài)機中�。當(dāng)識別到報文的操作系統(tǒng)類型時,將操作系統(tǒng)表中相應(yīng)操作系統(tǒng)項的老化時間設(shè)置為預(yù)設(shè)老化時間時�����,若操作系統(tǒng)表中的該操作系統(tǒng)項的初始老化時間為0�,即如果該操作系統(tǒng)項的老化時間是從0設(shè)置為預(yù)設(shè)老化時間的,說明此時狀態(tài)機中不包含采用該操作系統(tǒng)項的操作系統(tǒng)類型的檢測規(guī)則�,而對采集到的報文進行檢測時正需要采用這種操作系統(tǒng)類型的檢測規(guī)則,因此�����,可將檢測規(guī)則庫中采用該種操作系統(tǒng)類型的檢測規(guī)則添加到狀態(tài)機中�����,對狀態(tài)機進行更新�����。在另一種情況下,若與該操作系統(tǒng)類型的初始老化時間不為0��,即操作系統(tǒng)項的老化時間是從非0設(shè)置為預(yù)設(shè)老化時間��,說明狀態(tài)機中已包含采用該操作系統(tǒng)項的操作系統(tǒng)類型的檢測規(guī)則���,此時,可不用再將該檢測規(guī)則重復(fù)添加到狀態(tài)機中即可實現(xiàn)對報文的檢測���。當(dāng)然�����,可以理解的是��,上述兩種情況可以同時存在��,則對應(yīng)的處理方法可以同時使用��。需要說明的是���,這里所說的初始老化時間是指操作系統(tǒng)表中的操作系統(tǒng)項在被設(shè)置為預(yù)設(shè)老化時間之前的老化時間。
步驟304、利用調(diào)整后的狀態(tài)機對報文進行檢測���。 由于調(diào)整后的狀態(tài)機中的檢測規(guī)則包括報文采用的操作系統(tǒng)類型的檢測規(guī)則�����,因此�,在對報文進行入侵行為檢測時����,可快速的檢測報文是否為惡意報文,入侵行為的檢測準
確可靠��。
此外���,本實施例還可包括 步驟305�����、當(dāng)操作系統(tǒng)表中的操作系統(tǒng)項的老化時間減少為0時�����,還可從狀態(tài)機中刪除與該操作系統(tǒng)項對應(yīng)的檢測規(guī)則���。 本實施例中�,當(dāng)操作系統(tǒng)項的老化時間減少為O���,此時�����,采用該操作系統(tǒng)類型的檢測規(guī)則對當(dāng)前網(wǎng)絡(luò)中的報文的入侵行為檢測是無效地��,因此���,可將采用該操作系統(tǒng)類型的檢測規(guī)則從狀態(tài)機中刪除�,更新狀態(tài)機,以減少對當(dāng)前網(wǎng)絡(luò)中的報文進行檢測時特征匹配的數(shù)量����,提高入侵行為檢測的效率。 本實施例通過根據(jù)采集的報文的操作系統(tǒng)類型��,對狀態(tài)機進行實時更新����,使得狀態(tài)機中包含與當(dāng)前網(wǎng)絡(luò)的報文的操作系統(tǒng)類型對應(yīng)的檢測規(guī)則,使得對報文進行入侵行為檢測時,僅只對部分有用的檢測規(guī)則進行特征匹配��,因此��,可有效減少報文特征匹配的檢測規(guī)則的數(shù)量�����,有效地提高了入侵行為的檢測效率�����,降低了入侵行為檢測時資源占用率��,有效提高了網(wǎng)絡(luò)的整體性能����。 圖4為本發(fā)明入侵防御檢測裝置實施例一的結(jié)構(gòu)示意圖。本實施例裝置包括狀態(tài)機調(diào)整模塊1和入侵檢測模塊2����,其中 狀態(tài)機調(diào)整模塊l,用于根據(jù)獲得的報文的類型�����,調(diào)整狀態(tài)機中的檢測規(guī)則;
入侵檢測模塊2�,用于利用調(diào)整后的狀態(tài)機對所述報文進行入侵防御檢測。
本發(fā)明實施例可應(yīng)用于IPS中對入侵行為進行檢測���,具體地���,其檢測過程可參照上述本發(fā)明入侵行為檢測方法實施例的步驟來實現(xiàn),在此不再贅述�����。 本發(fā)明實施例通過根據(jù)當(dāng)前網(wǎng)絡(luò)報文的報文類型�,實時對狀態(tài)機中的檢測規(guī)則進行調(diào)整,使得對報文進行入侵行為檢測時�����,不需要對檢測規(guī)則庫中的所有檢測規(guī)則進行特征匹配�,只需要對部分有用的檢測規(guī)則進行特征匹配���,因此�,可有效減少報文特征匹配的檢測規(guī)則的數(shù)量�����,有效地提高了入侵行為的檢測效率,降低了入侵行為檢測時資源占用率����,有效提高了網(wǎng)絡(luò)的整體性能。 圖5為本發(fā)明入侵防御檢測裝置實施例二中狀態(tài)機調(diào)整模塊的結(jié)構(gòu)示意圖����。在上述圖4所示技術(shù)方案的基礎(chǔ)上,如圖5所示�����,本實施例中的狀態(tài)機調(diào)整模塊可包括報文識別單元11����、時間設(shè)置單元12和第一調(diào)整單元13,其中
報文識別單元ll�,用于識別報文采用的報文類型; 時間設(shè)置單元12����,用于將規(guī)則類型表中與所述報文類型匹配的規(guī)則項的老化時間設(shè)置為預(yù)設(shè)老化時間,其中����,所述規(guī)則類型表中的規(guī)則項包括規(guī)則類型和老化時間����,所述規(guī)則類型與報文類型相對應(yīng)��; 第一調(diào)整單元13����,用于將檢測規(guī)則庫中與所述規(guī)則項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中。 圖6為本發(fā)明入侵防御檢測裝置實施例二中第一調(diào)整單元的一個結(jié)構(gòu)示意圖�。如圖6所示,本實施例第一調(diào)整單元13可包括檢測子單元131和添加子單元132�,其中
檢測子單元131,用于檢測所述規(guī)則項的初始老化時間是否為0 ;
添加子單元132����,用于若所述規(guī)則項的初始老化時間為O,則將檢測規(guī)則庫中與所述規(guī)則項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中���。 此外,如圖5所示����,本實施例狀態(tài)機調(diào)整模塊還可包括第二調(diào)整單元14����,用于當(dāng)所述規(guī)則類型表中的規(guī)則項的老化時間減少為0時����,從所述狀態(tài)機中刪除與所述規(guī)則項對應(yīng)的檢測規(guī)則。 實際應(yīng)用中���,所述的規(guī)則類型表可以為協(xié)議表或操作系統(tǒng)表�����,具體地���,本實施中,可將所述檢測規(guī)則庫中檢測規(guī)則采用的規(guī)則類型組成所述規(guī)則類型表���,該規(guī)則類型表中可包括各種規(guī)則項����,每個規(guī)則項可包括規(guī)則類型和老化時間����。 圖7為本發(fā)明網(wǎng)關(guān)設(shè)備實施例的結(jié)構(gòu)示意圖�����。如圖7所示����,本實施例網(wǎng)關(guān)設(shè)備包括報文接收裝置10和入侵防御檢測裝置20�,其中
報文接收裝置IO,用于采集網(wǎng)絡(luò)中的報文�����; 入侵防御檢測裝置20��,用于獲得所述報文采用的報文類型��,調(diào)整狀態(tài)機中的檢測規(guī)則��,并利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測�。 本實施例中,所述的入侵防御檢測裝置20可以具有與上述實施例所述的入侵防御檢測裝置相同的結(jié)構(gòu)和功能���,具體可參考上述入侵防御檢測裝置實施例中的說明���,在此不再贅述�。 本發(fā)明實施例網(wǎng)關(guān)設(shè)備可根據(jù)當(dāng)前網(wǎng)絡(luò)報文的報文類型,實時對狀態(tài)機中的檢測規(guī)則進行調(diào)整�,使得對報文進行入侵行為檢測時�����,不需要對檢測規(guī)則庫中的所有檢測規(guī)則進行特征匹配��,只需要對部分有用的檢測規(guī)則進行特征匹配��,因此�,可有效減少報文特征匹配的檢測規(guī)則的數(shù)量�,有效地提高了入侵行為的檢測效率,降低了入侵行為檢測時資源占用率�����,有效提高了網(wǎng)絡(luò)的整體性能���。 本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程����,是可以 通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于計算機可讀取存儲介質(zhì) 中�,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程����。其中,所述的存儲介質(zhì)可為 磁碟��、光盤�、只讀存儲記憶體(Read-OnlyMemory, ROM)或隨機存儲記憶體(Random Access Memory,廳)等�����。 最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進行限制��, 盡管參照較佳實施例對本發(fā)明進行了詳細的說明�����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依 然可以對本發(fā)明的技術(shù)方案進行修改或者等同替換�,而這些修改或者等同替換亦不能使修 改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的精神和范圍。
權(quán)利要求
一種入侵防御檢測方法�����,其特征在于,包括根據(jù)獲得的報文采用的報文類型���,調(diào)整狀態(tài)機中的檢測規(guī)則�;利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測��。
2. 根據(jù)權(quán)利要求1所述的入侵防御檢測方法��,其特征在于�����,所述根據(jù)獲得的報文采用 的報文類型��,調(diào)整狀態(tài)機中的檢測規(guī)則包括識別報文采用的報文類型����;將規(guī)則類型表中與所述報文類型匹配的規(guī)則項的老化時間設(shè)置為預(yù)設(shè)老化時間�,其 中,所述規(guī)則類型表包括不同的規(guī)則項�����,每個規(guī)則項均包括規(guī)則類型和老化時間�����,所述規(guī)則 類型與報文類型相對應(yīng);將檢測規(guī)則庫中與所述規(guī)則項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中���。
3. 根據(jù)權(quán)利要求2所述的入侵防御檢測方法�����,其特征在于�����,所述將檢測規(guī)則庫中與所 述規(guī)則項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中包括若所述規(guī)則項的初始老化時間為0�����,則將檢測規(guī)則庫中與所述規(guī)則項對應(yīng)的檢測規(guī)則 添加到狀態(tài)機中���。
4. 根據(jù)權(quán)利要求2所述的入侵防御檢測方法,其特征在于�����,還包括 當(dāng)所述規(guī)則類型表中的規(guī)則項的老化時間減少為0時�,從所述狀態(tài)機中刪除與所述規(guī)則項對應(yīng)的檢測規(guī)則��。
5. 根據(jù)權(quán)利要求2所述的入侵防御檢測方法��,其特征在于�����,還包括所述檢測規(guī)則庫中添加有新的規(guī)則類型的檢測規(guī)則時�,將所述新的規(guī)則類型加入到所 述規(guī)則類型表中設(shè)置新的規(guī)則項��。
6. 根據(jù)權(quán)利要求2 5任一所述的入侵防御檢測方法�,其特征在于�,所述識別報文采用 的報文類型包括識別報文采用的協(xié)議類型;所述規(guī)則類型表包括協(xié)議表�,所述規(guī)則項包括協(xié)議項,所述規(guī)則類型包括協(xié)議類型��; 或者���,所述識別報文采用的報文類型包括識別報文采用的操作系統(tǒng)類型��; 所述規(guī)則類型表包括操作系統(tǒng)表���,所述規(guī)則項包括操作系統(tǒng)項���,所述規(guī)則類型包括操 作系統(tǒng)類型。
7. —種入侵防御檢測裝置�,其特征在于,包括狀態(tài)機調(diào)整模塊���,用于根據(jù)獲得的報文采用的報文類型�����,調(diào)整狀態(tài)機中的檢測規(guī)則�; 入侵檢測模塊����,用于利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測。
8. 根據(jù)權(quán)利要求7所述的入侵防御檢測裝置����,其特征在于,所述狀態(tài)機調(diào)整模塊包括 報文識別單元���,用于識別報文采用的報文類型�;時間設(shè)置單元�����,用于將規(guī)則類型表中與所述報文類型匹配的規(guī)則項的老化時間設(shè)置為 預(yù)設(shè)老化時間,其中����,所述規(guī)則類型表中的規(guī)則項包括規(guī)則類型和老化時間,所述規(guī)則類型 與報文類型相對應(yīng)�;第一調(diào)整單元,用于將檢測規(guī)則庫中與所述規(guī)則項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中�����。
9. 根據(jù)權(quán)利要求8所述的入侵防御檢測裝置���,其特征在于,所述第一調(diào)整單元包括 檢測子單元�,用于檢測所述規(guī)則項的初始老化時間是否為0 ;添加子單元,用于若所述規(guī)則項的初始老化時間為O����,則將檢測規(guī)則庫中與所述規(guī)則項對應(yīng)的檢測規(guī)則添加到狀態(tài)機中。
10. 根據(jù)權(quán)利要求8所述的入侵防御檢測裝置���,其特征在于��,所述狀態(tài)機調(diào)整模塊還包括第二調(diào)整單元���,用于當(dāng)所述規(guī)則類型表中的規(guī)則項的老化時間減少為0時�����,從所述狀 態(tài)機中刪除與所述規(guī)則項對應(yīng)的檢測規(guī)則�����。
11. 一種網(wǎng)關(guān)設(shè)備��,其特征在于��,包括報文接收裝置����,以及權(quán)利要求7 IO任意一項所 述的入侵防御檢測裝置�����,其中�,所述報文接收裝置,用于采集網(wǎng)絡(luò)中的報文;所述入侵防御檢測裝置���,用于獲得所述報文采用的報文類型�����,調(diào)整狀態(tài)機中的檢測規(guī) 則��,并利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測����。
全文摘要
本發(fā)明公開了一種入侵防御檢測方法����、裝置和網(wǎng)關(guān)設(shè)備。該方法包括根據(jù)獲得的報文采用的報文類型�����,調(diào)整狀態(tài)機中的檢測規(guī)則����;利用調(diào)整后的狀態(tài)機對所述報文進行入侵行為檢測�����。本發(fā)明實施例可根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)調(diào)整狀態(tài)機中的規(guī)則,使得根據(jù)調(diào)整后的狀態(tài)機對報文進行檢測時�����,可有效減少報文特征匹配的檢測規(guī)則的數(shù)量�,提高報文檢測效率,減少入侵行為檢測的資源占用率��。
文檔編號H04L9/00GK101707601SQ200910221968
公開日2010年5月12日 申請日期2009年11月23日 優(yōu)先權(quán)日2009年11月23日
發(fā)明者鄧麗華 申請人:成都市華為賽門鐵克科技有限公司