入侵防御方法和装置制造方法及图纸

本申请提供一种入侵防御方法及装置，应用于部署IPS的网络设备中，所述方法包括：接收用户输入的各个自定义攻击特征；根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图；接收到待匹配报文后，根据所述攻击特征地图匹配所述待匹配报文；根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。应用本申请的实施例，灵活性较好，入侵防御效率较高，大大提升网络设备的性能。

Intrusion prevention methods and devices

The application provides an intrusion prevention method and device, which is applied to the network equipment deploying IPS. The method includes: receiving each user-defined attack feature inputted by the user; building attack feature map according to each user-defined attack feature and each predefined attack feature; after receiving the message to be matched, matching the message to be matched according to the attack feature map; and The matching result of the security policy set and the message to be matched processes the message to be matched. Applying the embodiment of the application, the flexibility is better, the intrusion prevention efficiency is higher, and the performance of the network device is greatly improved.

【技术实现步骤摘要】
入侵防御方法和装置
本申请涉及网络通信
，特别设计一种入侵防御方法和装置。
技术介绍
当今时代，网络技术不断发展，网络环境日益复杂。为了保护网络内部数据安全及时阻止来自网络内外的各种未知攻击，一般会在服务器群组入口或网络入口处的网络设备部署入侵防御系统(IntrusionPreventionSystem，IPS)。部署IPS的网络设备每天要防御大量的网络攻击，为了方便对网络状况进行分析和改进，IPS要具备高可靠性、高灵活性的攻击特征匹配机制。目前的入侵防御方法是，部署IPS的网络设备接收报文后，对于互联网协议第四版(InternetProtocolversion4，IPv4)或互联网协议第六版(InternetProtocolversion4，IPv6)的报文要建立会话，经过预设流量过滤策略集合过滤后，匹配预设攻击特征集合，最后根据安全策略集合中匹配结果对应的安全策略进行安全响应处理，例如，采取阻断或告警提示的方式。上述方案对于网络攻击的拦截效果取决于预设攻击特征集合的覆盖面是否全面、准确，若接收到网络攻击的报文的特征不在预设攻击特征集合中，那么拦截效果就捉襟见肘了。针对该问题，各种IPS都提供了自定义攻击特征的功能，用户可以根据实际需要设置自定义攻击特征集合，然后结合预设攻击特征集合进行入侵防御。该方案中，能够应付的场景过于单一，各个IPS提供自定义特征的功能都是将某个通信协议的报文中的特定字段为某个特定值或者某个通信协议的报文中存在某个特定字符串作为自定义攻击特征，而自定义攻击特征集合的匹配又都是在预定义攻击特征集合的匹配之后进行，灵活性较差，入侵防御效率较低，大大浪费了网络设备的性能。
技术实现思路
有鉴于此，本申请提供一种入侵防御方法和装置，以解决相关技术中存在的灵活性较差，入侵防御效率较低，大大浪费了网络设备的性能的问题。具体地，本申请是通过如下技术方案实现的：一种入侵防御方法，应用于部署IPS的网络设备中，其特征在于，所述方法包括：接收用户输入的各个自定义攻击特征；根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图；接收到待匹配报文后，根据所述攻击特征地图匹配所述待匹配报文；根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。一种入侵防御装置，应用于部署IPS的网络设备中，所述装置包括：接收模块，用于接收用户输入的各个自定义攻击特征；建立模块，用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图；匹配模块，用于接收到待匹配报文后，根据所述攻击特征地图匹配所述待匹配报文；处理模块，用于根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。由以上本申请提供的技术方案可见，可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图，然后基于攻击特征地图快速匹配待匹配报文，最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文，灵活性较好，入侵防御效率较高，大大提升网络设备的性能。附图说明图1为本申请示出的一种入侵防御方法的流程图；图2为本申请示出的Netgraph的架构示意图；图3为本申请示出的流量过滤策略地图；图4为本申请示出的图3的流量过滤策略地图的单向Hook连接的示意图；图5为本申请示出的攻击特征地图；图6为本申请示出的一种入侵防御装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。为了解决上述问题，本专利技术实施例提供了一种入侵防御方法，以提高入侵防御效率，大大提升网络设备的性能。请参见图1，图1为本申请示出的一种入侵防御方法的流程图，应用于部署IPS的网络设备中。S11：接收用户输入的各个自定义攻击特征。用户输入自定义攻击特征的方式有很多种，例如，可以但不限于为命令行或者网页的页面的方式。S12：根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图。通常IPS会预先设置一些攻击特征，这些攻击特征可以定义为预定义攻击特征。当接收用户输入的自定义攻击特征后，直接根据自定义攻击特征和预定义攻击特征建立攻击特征地图。S13：接收到待匹配报文后，根据攻击特征地图匹配待匹配报文。S14：根据安全策略集合和待匹配报文的匹配结果处理待匹配报文。由以上本申请提供的技术方案可见，可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图，然后基于攻击特征地图快速匹配待匹配报文，最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文，灵活性较好，入侵防御效率较高，大大提升网络设备的性能。具体的，上述S12中的根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图，实现方式具体包括：确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议；根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数；通过对应的第一钩子函数连接各个第一节点，得到攻击特征地图。可以基于FreeBSD的Netgraph对攻击特征地图进行设计，请参见图2，图2为Netgraph的架构示意图，图2中有两种元素，一种是节点(Node)，另一种是连接到节点的边的两端的钩子函数(Hook)。Node与Node直接通过Hook相连，Hook与Hook连成线，互为一条线的两个端点(Peer)。Node就是一个对象，每一个Node都有它所属的类(Type)，Hook就是一个Node的私有数据，整个地图通过“各个Hook的对接”来完成。其中，每个Node的结构如下表1所示，包含Node名称、Hook个数、Hook链、当前节点的私有结构对应的指针。节点名称Hook个数Hook链表...

【技术保护点】
1.一种入侵防御方法，应用于部署入侵防御系统IPS的网络设备中，其特征在于，所述方法包括：/n接收用户输入的各个自定义攻击特征；/n根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图；/n接收到待匹配报文后，根据所述攻击特征地图匹配所述待匹配报文；/n根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。/n

【技术特征摘要】
1.一种入侵防御方法，应用于部署入侵防御系统IPS的网络设备中，其特征在于，所述方法包括：
接收用户输入的各个自定义攻击特征；
根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图；
接收到待匹配报文后，根据所述攻击特征地图匹配所述待匹配报文；
根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。


2.根据权利要求1所述的方法，其特征在于，根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图，具体包括：
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议；
根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数；
通过对应的第一钩子函数连接各个第一节点，得到攻击特征地图。


3.根据权利要求1所述的方法，其特征在于，根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文，具体包括：
在安全策略集合中查找所述待匹配报文的匹配结果；
若在所述安全策略集合中查找到所述待匹配报文的匹配结果，则在所述安全策略集合中获取所述待匹配报文的匹配结果对应的安全策略；
根据所述待匹配报文的匹配结果对应的安全策略处理所述待匹配报文。


4.根据权利要求1-3任一所述的方法，其特征在于，所述方法还包括：
接收用户输入的各个自定义流量过滤策略；
根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图；
接收到待过滤报文后，根据所述流量过滤策略地图确定是否过滤所述待过滤报文。


5.根据权利要求4所述的方法，其特征在于，根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图，具体包括：
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议；
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数；
通过对应的第二钩子函数连接各个第二节点，得到流量过滤策略地图。


6.一种入侵防御装置，应用于部署IPS的网络设备中，其特征在于，所述装置包...

【专利技术属性】
技术研发人员：左虹，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33