CN102752275B - 签名库的匹配路径生成方法及相关装置 - Google Patents

签名库的匹配路径生成方法及相关装置 Download PDF

Info

Publication number
CN102752275B
CN102752275B CN201110461977.XA CN201110461977A CN102752275B CN 102752275 B CN102752275 B CN 102752275B CN 201110461977 A CN201110461977 A CN 201110461977A CN 102752275 B CN102752275 B CN 102752275B
Authority
CN
China
Prior art keywords
user
storehouse
network data
ips
signatures match
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110461977.XA
Other languages
English (en)
Other versions
CN102752275A (zh
Inventor
周
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201110461977.XA priority Critical patent/CN102752275B/zh
Publication of CN102752275A publication Critical patent/CN102752275A/zh
Priority to PCT/CN2012/086346 priority patent/WO2013097600A1/zh
Application granted granted Critical
Publication of CN102752275B publication Critical patent/CN102752275B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种签名库的匹配路径生成方法及相关装置,用于提高IPS进行签名匹配的效率。本发明实施例方法包括:对入侵防御***IPS签名库进行分层归类,得到N个子签名库;获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配。

Description

签名库的匹配路径生成方法及相关装置
技术领域
本发明涉及通信领域,尤其涉及一种签名库的匹配路径生成方法及相关装置。
背景技术
随着互联网的发展,网络攻击成快速上升态势,严重影响着企业用户的数据安全,同时对个人用户的个人信息安全也构成严重威胁。入侵防御***(IPS,Intrusion Prevention System)能识别各种非法入侵的数据,并对这些非法入侵的数据进行清洗,使得用户免受网络攻击的威胁,保证了用户的数据安全;因此,IPS检测成为了网络侧保障用户数据安全的主要防护手段。
在实际应用中,由于对用户构成网络威胁的网络数据众多,如,病毒,特洛伊木马,后门程序,流氓软件(包括间谍软件、广告软件、浏览器劫持等),网络钓鱼程序(网络诈骗)和垃圾邮件等,因此,IPS的签名库(即网络威胁的特征数据库)非常庞大,一般都在10K字节的级别,且匹配目标位置分布在二层到七层,因此IPS防护耗费大量的资源,运行的性能低下。而对网络流量较大的企业用户来言,现有的IPS的性能显然无法满足该企业用户的实际需求,因此IPS的性能提升迫在眉睫。
发明内容
本发明实施例提供了一种签名库的匹配路径生成方法及相关装置,用于提高IPS进行签名匹配的效率。
本发明提供的签名库的匹配路径生成方法,包括:对入侵防御***IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配,所述第一匹配路径为所述M个子签名库的存储地址映射关系。
可选的,所述应用统计信息包括:
用户标识,所述用户标识对应的应用类型和应用信息;
所述根据应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相匹配的M个子签名库,包括:
查找所述用户标识对应的用户组;根据预置规则在所述N个子签名库中,选择与所述用户标识对应的应用类型和应用信息相匹配的子签名库;统计得到一个所述用户组内所有用户标识对应的M个子签名库。
可选的,所述应用统计信息还包括:
所述应用类型对应的使用比例;
所述根据M个子签名库生成所述用户组对应的第一匹配路径,包括:
根据各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级,根据所述匹配优先级依次部署匹配节点,得到用户组对应的第一匹配路径,所述匹配节点与所述子签名库的存储地址一一对应。
可选的,所述方法还包括:每隔预置时长更新所述应用统计信息;使用更新后的应用统计信息计算第二匹配路径;判断IPS签名匹配装置是否正在使用所述第一匹配路径进行IPS签名匹配,若不是,则使用所述第二匹配路径替换所述第一匹配路径;若是,正在进行的IPS签名匹配仍使用所述第一匹配路径进行匹配,新建立的IPS签名匹配任务则使用所述第二匹配路径进行匹配,在使用所述第一匹配路径的IPS签名匹配任务结束后,使用所述第二匹配路径替换所述第一匹配路径。
本发明提供的入侵防御***的签名匹配方法,包括:获取网络数据,查询所述网络数据的用户标识;查找所述用户标识对应的用户组,并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径;使用所述匹配路径对所述网络数据进行IPS签名匹配,所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在所述IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数,所述匹配路径为所述M个子签名库的存储地址映射关系。
可选的,所述使用用户标识对应的匹配路径对所述网络数据进行IPS签名匹配,包括:依次使用匹配路径中匹配节点对应的子签名库对所述网络数据进行IPS签名匹配;若所述子签名库中的任一签名与所述网络数据匹配成功,则所述IPS签名匹配结束,输出匹配结果;若所述M个子签名库中的所有签名都匹配失败,则所述IPS签名匹配结束。
可选的,所述获取网络数据之后,包括:对所述网络数据进行特征识别;使用所述特征识别的结果更新IPS签名匹配装置存储的应用统计信息。
本发明提供的路径生成装置,包括:归类单元,用于对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;信息获取单元,用于获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;签名库选取单元,用于根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;路径生成单元,用于根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配,所述第一匹配路径为所述M个子签名库的存储地址映射关系。
可选的,所述签名库选取单元包括:用户组查找模块,用于查找所述应用统计信息的用户标识对应的用户组;签名库选取模块,用于根据预置规则在所述N个子签名库中,选择与所述用户标识对应的应用类型和应用信息相匹配的子签名库;签名库统计模块,用于统计得到一个所述用户组内所有用户标识对应的M个子签名库。
可选的,所述路径生成单元包括:优先级设置模块,用于根据各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级;匹配路径生成模块,用于根据所述匹配优先级依次部署匹配节点,得到用户组对应的第一匹配路径,所述匹配节点与所述子签名库的存储地址一一对应。
本发明提供的IPS签名匹配装置,包括:数据获取单元,用于获取网络数据,并查询所述网络数据的用户标识;路径获取单元,用于查找所述用户标识对应的用户组,并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径;签名匹配单元,用于使用所述匹配路径对所述网络数据进行IPS签名匹配,所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在所述IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数,所述匹配路径为所述M个子签名库的存储地址映射关系。
本发明提供的入侵防御***,包括:路径生成装置和IPS签名匹配装置;
所述路径生成装置用于对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;根据所述M个子签名库生成所述用户组对应的匹配路径,使得IPS签名匹配装置使用所述匹配路径对所述用户组的网络数据进行IPS签名匹配,所述匹配路径为所述M个子签名库的存储地址映射关系;
所述IPS签名匹配装置用于获取网络数据,查找所述用户标识对应的用户组,并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径;根据所述用户标识获取与所述用户标识对应的匹配路径;使用所述匹配路径对所述网络数据进行IPS签名匹配。
从以上技术方案可以看出,本发明实施例具有以下优点:
在本发明实施例中,对IPS签名库进行分层归类,得到N个子签名库,再根据应用统计信息在所述N个子签名库中选择M个子签名库生成匹配路径,使得IPS签名匹配装置使用所述匹配路径对网络数据进行IPS签名匹配;由于应用统计信息是对网络数据进行特征识别后统计得到的,因此,生成的匹配路径与相应用户组的应用特征相匹配,在对该用户组的网络数据进行IPS签名匹配时,只需要匹配相应的匹配路径中的M(M小于N)子签名库,即可有效的完成威胁特征的识别,避免了匹配整个IPS签名库,提高了进行IPS签名匹配的效率。
附图说明
图1是本发明实施例中签名库的匹配路径生成方法的一个流程示意图;
图2是本发明实施例中签名库的匹配路径生成方法的另一个流程示意图;
图3是本发明实施例中IPS签名匹配方法的一个流程示意图;
图4是本发明实施例中IPS签名匹配方法的另一个流程示意图;
图5是本发明实施例中IPS签名匹配方法的另一个流程示意图;
图6是本发明实施例中路径生成装置的一个逻辑结构示意图;
图7是本发明实施例中IPS签名匹配装置的一个逻辑结构示意图;
图8是本发明实施例中入侵防御***的一个逻辑结构示意图;
图9是本发明实施例中入侵防御***的一个应用示意图;
图10是本发明实施例中入侵防御***的另一个应用示意图;
图11是本发明实施例中入侵防御***的另一个应用示意图。
具体实施方式
本发明实施例提供了一种签名库的匹配路径生成方法及相关装置,用于提高IPS进行签名匹配的效率。
请参阅图1,本发明实施例中签名库的匹配路径生成方法的一个实施例,应当理解的是,本发明实施例的方法的执行主体可以是路径生成装置,应当理解的是,所述路径生成装置可以为独立的物理装置,通过数据线连接或网络连接的方式与所述实现签名匹配功能的设备进行通信;所述路径生成装置也可以为软件设备,以功能加强的形式安装在入侵防御***中的现有网元设备上,比如安装在实现签名匹配功能的网关设备上。应当理解的是,路径生成装置支持独立外置,也可以内置于现网的网元设备上,该方法可以包括:
101、对入侵防御***签名库进行分层归类;
路径生成装置对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数。其中,IPS签名库的签名为网络数据的威胁特征,具体可以表现为网络数据的一些固定字串或行为特征;而网络数据的威胁特征可以为病毒,特洛伊木马,后门程序,流氓软件(包括间谍软件、广告软件、浏览器劫持等),网络钓鱼程序(网络诈骗)或垃圾邮件的特征。
具体的,路径生成装置可以根据IPS签名库中各个签名的应用和属性对IPS签名库进行分层归类;如,IPS签名库可以分为三层的子签名库,分别为基础层签名库,操作***层签名库和应用层签名库;其中,基础层签名库中主要包含有协议栈等公共签名,操作***层签名库中主要包含有与操作***相关的签名库(例如windows冲击波漏洞签名),应用层签名库主要包含有应用漏洞相关的签名库(例如Server-U的溢出漏洞签名库)。
102、获取应用统计信息;
路径生成装置获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的。具体的,路径生成装置可以从IPS的统计数据库中获取该应用统计信息。
在实际应用中,IPS签名匹配装置在对网络数据进行签名匹配的同时,也会对该网络数据进行特征识别,并对该特征识别的结果进行记录和统计,根据统计的结果实时更新所述应用统计信息;可选的,该应用统计信息中包括有用户标识,以及所述用户标识对应的应用类型和应用信息;其中,该用户标识可以为用户名或五元组信息(源因特网协议(IP,Internet Protocol)地址、目的IP地址、源端口、目的端口和传输层协议号);该应用信息可以为该应用类型对应的操作***信息和服务提供商信息。
103、选择与所述应用统计信息对应的用户组相适配的子签名库;
路径生成装置根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数。
在实际应用中,匹配路径是针对不同类型的用户设置的,有相同特征的用户将归类为同一个用户组,根据所设定的特征的不同,一种用户组中所包含的用户数也不确定,如用户组是根据移动终端用户的活动范围来划分的,则每个地区(可以为省级、市级或县级)对应有一个用户组;可选的,一个用户组中也可以只包含有一个用户。
在为一条匹配路径选择子签名库时,需要考虑该匹配路径所对应的用户组中所有用户的应用统计信息;如,根据应用统计信息获取该用户常用的应用类型,分别为该应用类型在应用层签名库中选择相应的子签名库。
在配置匹配路径中的匹配节点时,基础层签名库是必选的(即适用于所有用户),操作***层签名库则根据用户所使用的操作***的不同而不同(即相同操作***的用户匹配同一套签名库),应用层签名库则根据用户的使用习惯进行选配(如,某一用户组中的用户从来没用过Server-U,则可以针对该用户组对于的匹配路径中则不会出现Server-U应用的子签名库)。
104、根据所述M个子签名库生成所述用户组对应的第一匹配路径。
路径生成装置根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配,第一匹配路径为所述M个子签名库的存储地址映射关系,具体的,该存储地址映射关系可以用存储地址映射表的形式实现。
在实际应用中,匹配路径中的各个匹配节点分别对应于所述M个子签名库的存储地址,即匹配路径中设定了所述匹配路径对应的用户组的网络数据所需要匹配的M个子签名库,在进行IPS签名匹配时,IPS签名匹配使用第一匹配路径中的子签名库对所述网络数据进行IPS签名匹配。
在本发明实施例中,对IPS签名库进行分层归类,得到N个子签名库,再根据应用统计信息在所述N个子签名库中选择M个子签名库生成匹配路径,使得IPS签名匹配装置使用所述匹配路径对网络数据进行IPS签名匹配;由于应用统计信息是对网络数据进行特征识别后统计得到的,因此,生成的匹配路径与相应用户组的应用特征相匹配,在对该用户组的网络数据进行IPS签名匹配时,只需要匹配相应的匹配路径中的M(M小于N)子签名库,即可有效的完成威胁特征的识别,避免了匹配整个IPS签名库,提高了进行IPS签名匹配的效率。
下面对如何生成匹配路径进行详细描述,请参阅图2,本发明实施例中签名库的匹配路径生成方法的另一个实施例包括:
201、对入侵防御***签名库进行分层归类;
路径生成装置对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数。其中,IPS签名库的签名为网络数据的威胁特征,具体可以表现为网络数据的一些固定字串或行为特征;而网络数据的威胁特征可以为病毒,特洛伊木马,后门程序,流氓软件(包括间谍软件、广告软件、浏览器劫持等),网络钓鱼程序(网络诈骗)或垃圾邮件的特征。
具体的,路径生成装置可以根据IPS签名库中各个签名的应用和属性对IPS签名库进行分层归类;如,IPS签名库可以分为三层的子签名库,分别为基础层签名库,操作***层签名库和应用层签名库;其中,基础层签名库中主要包含有协议栈等公共签名,操作***层签名库中主要包含有与操作***相关的签名库(例如windows冲击波漏洞签名),应用层签名库主要包含有应用漏洞相关的签名库(例如Server-U的溢出漏洞签名库)。
202、获取应用统计信息;
路径生成装置从IPS的统计数据库中获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的。所述应用统计信息包括有用户标识,所述用户标识对应的应用类型和应用信息,以及所述应用类型对应的使用比例;其中,所述应用统计信息包含多组的所述用户标识、应用类型、应用信息和使用比例。
在实际应用中,IPS签名匹配装置在对网络数据进行签名匹配的同时,也会对该网络数据进行特征识别,并对该特征识别的结果进行记录和统计,根据统计的结果实时更新所述应用统计信息。具体的,IPS签名匹配装置先对所述网络数据进行协议识别,得到所述网络数据对应的用户标识、应用协议和应用类型等信息;进一步的,IPS签名匹配装置还可以先对协议识别后的网络数据进行深度解析,得到所述网络数据对应的操作***信息服务提供商等信息;最后,将协议识别和深度解析的结果提交至统计模块进行统计,得到用户标识,所述用户标识对应的应用类型和应用信息,以及所述应用类型对应的使用比例;可选的,所述使用比例可以根据报文数统计得到,也可以根据流量统计得到,具体需要根据所防御的网络威胁而定,此处不作限定。
其中,根据实际需求,最后应用统计信息输出的参数类型除了上述用户标识、应用类型、应用信息和使用比例之外,还可以包括应用协议、流量或报文数等信息,此处具体不作限定。
203、选择与所述应用统计信息对应的用户组相适配的子签名库;
路径生成装置根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数。
具体的,由于匹配路径是针对不同的用户组(用户组已根据实际需求预先划分完成)设置的,因此,在选取该用户组所需要匹配的子签名库时,需要考虑该用户组内所有用户的相关信息;在获取到应用统计信息之后,路径生成装置先查找所述应用统计信息中的用户标识分别对应的用户组,该用户标识可以为源IP地址、目的IP地址、源端口、目的端口和传输层协议号等;再根据预置规则在所述N个子签名库中,选择与所述用户标识对应的应用类型和应用信息(可以为操作***信息)相匹配的子签名库;该预置规则可以为:当某一应用类型的使用频率达到预设值时,则选取该应用类型相匹配的子签名库(子签名库在步骤201中以根据应用类型分类);最后,统计得到一个所述用户组内所有用户标识对应的M个子签名库,即将根据每个用户标识的相关数据(应用类型和应用信息)选取到的子签名库进行去重叠加,得到所述用户组对应的M个子签名库。
在选取子签名库时,基础层签名库是必选的(即适用于所有用户),操作***层签名库则根据用户所使用的操作***的不同而不同(即相同操作***的用户匹配同一套签名库),应用层签名库则可以根据用户的相关应用信息选取(具体上一段已有描述)。
204、根据所述M个子签名库生成所述用户组对应的第一匹配路径。
路径生成装置根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配。
具体的,在获取到所述M个子签名库之后,由于所述M个子签名库分别对应不同的应用类型和\或应用信息(操作***信息),因此,根据各个应用类型对应的使用比例可以得到各个子签名库的使用频率,从而可以为所述M个子签名库设置匹配优先级(其中,由于基础层签名库适用于所述用户,因此,属于基础层签名库的子签名库不需要根据所述使用比例来确定使用频率,且属于基础层签名库的子签名库的匹配优先级可以是最高的);路径生成装置可以根据根据所述匹配优先级依次部署匹配节点,得到用户组对应的第一匹配路径,所述匹配节点与所述子签名库的存储地址一一对应。
在进行IPS签名匹配时,IPS签名匹配装置可以依次根据所述匹配路径中的匹配节点进行各个子签名库的匹配,使得IPS签名匹配装置优先匹配使用频率高的子签名库,从而提高了匹配命中的效率。
205、每隔预置时长更新所述应用统计信息;
在实际应用中,由于网络的不定性,IPS签名匹配装置在不同时刻收到的网络数据的类型和频率可能不同;本发明实施例中的IPS签名匹配装置可以实时的根据所述收到的网络数据更新应用统计信息,而本发明的路径生成装置也可以每隔预置时长获取IPS签名匹配装置中统计得到的应用统计信息,以更新生成匹配路径所使用的应用统计信息。
206、使用更新后的应用统计信息计算第二匹配路径;
具体第二匹配路径的生成过程与前述203和204相似,此处不再赘述。
207、更新匹配路径。
在路径生成装置确认新生成的第二匹配路径与之前的第一匹配路径不一样后,则触发匹配路径的更新流程,具体为:
路径生成装置判断IPS签名匹配装置是否正在使用所述第一匹配路径进行IPS签名匹配,若不是,则使用所述第二匹配路径替换所述第一匹配路径;若是,正在进行的IPS签名匹配仍使用所述第一匹配路径进行匹配,新建立的IPS签名匹配任务则使用所述第二匹配路径进行匹配,待使用所述第一匹配路径的IPS签名匹配任务结束后,使用所述第二匹配路径替换所述第一匹配路径。
下面对使用上述匹配路径执行IPS签名匹配的本发明入侵防御***的签名匹配方法进行描述,请参阅图3,本发明实施例中入侵防御***的签名匹配方法的一个实施例,应当理解的是,本发明实施例的方法的执行主体可以是IPS签名匹配装置,应当理解的是,所述IPS签名匹配装置可以为独立的物理装置,其产品形态可以是路由器,网关设备,网络防火墙设备等等;所述IPS签名匹配装置也可以为软件设备,以功能加强的形式安装在入侵防御***中的现有网元设备上。应当理解的是,IPS签名匹配装置支持独立外置,也可以内置于现网的网元设备上,该方法可以包括:
301、获取网络数据;
IPS签名匹配装置获取需要进行签名匹配的网络数据;可选的,IPS签名匹配装置可以用于处理所有的网路数据,也可以仅处理其中一部份。例如,网络数据不是直接透过IPS设备路,而是可以在智能交换机上有选择性地选用一个分支进行IPS签名匹配。智能交换机可以根据对一些反常网路行为的观察,将具有反常网路行为特征的网路数据引导至IPS设备路,从而对该有反常网路行为特征的网路数据进行IPS签名匹配。
302、查询所述网络数据的用户标识;
在本发明实施例中,由于匹配路径是针对不同类型的用户设置的,因此,在进行IPS签名匹配之前需要通过查询所述网络数据的用户标识,查找到该用户标识对应的匹配路径。
具体的,在获取所述网络数据对应的用户标识后,可以根据所述用户标识查找所述用户标识所属的用户组,从而根据所述用户组和匹配路径的映射关系查找到该用户组对应的匹配路径。
303、使用所述用户标识对应的匹配路径对所述网络数据进行IPS签名匹配。
在查找到所述用户标识对应的匹配路径之后,IPS签名匹配装置使用所述用户标识对应的匹配路径对所述网络数据进行IPS签名匹配。
所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在所述IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数。
具体的,匹配路径中的各个匹配节点分别对应于所述M个子签名库,IPS签名匹配装置根据各个匹配节点的顺序,依次匹配各个匹配节点所述对应的子签名库,当任意一个子签名库中的签名匹配成功时,则说明所述网络数据具有威胁特征,IPS对所述网络数据进行相应的防御处理;若所有的M个子签名库都匹配过后,无一签名匹配成功,则说明所述网络数据不是网络威胁,可让所述网络数据通过IPS路由器。
在实际应用中,所述威胁特征具体可以表现为网络数据的一些固定字串或行为特征;而网络数据的威胁特征可以为病毒,特洛伊木马,后门程序,流氓软件(包括间谍软件、广告软件、浏览器劫持等),网络钓鱼程序(网络诈骗)或垃圾邮件的特征。
在本发明实施例中,由于所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数;因此,在对该用户组的网络数据进行IPS签名匹配时,只需要匹配相应的匹配路径中的M(M小于N)子签名库,即可有效的完成威胁特征的识别,避免了匹配整个IPS签名库,提高了进行IPS签名匹配的效率。
下面对如何进行IPS签名匹配进行详细描述,请参阅图4,本发明实施例中入侵防御***的签名匹配方法的另一个实施例包括:
401、获取网络数据;
本实施例中的步骤401的内容与前述图3所示的实施例中步骤301的内容相同,此处不再赘述。
402、查询所述网络数据的用户标识;
在本发明实施例中,由于匹配路径是针对不同类型的用户设置的,因此,在进行IPS签名匹配之前需要通过查询所述网络数据的用户标识,查找到该用户标识对应的匹配路径。
具体的,在获取所述网络数据对应的用户标识后,可以根据所述用户标识查找所述用户标识所属的用户组,从而根据所述用户组和匹配路径的映射关系查找到该用户组对应的匹配路径。
403、获取子签名库中的签名;
在查找到所述用户标识对应的匹配路径之后,IPS签名匹配装置提取所述匹配路径中第一个匹配节点对应的子签名库,并逐一获取所述子签名库中的签名,触发步骤404进行匹配。
当第一个匹配节点对应的子签名库中的签名都获取完之后,IPS签名匹配装置提取所述匹配路径中第二个匹配节点对应的子签名库,继续获取新的签名并触发步骤404进行匹配,直到所有子签名库的签名都匹配过,若所述子签名库中的任一签名与所述网络数据匹配成功,则所述IPS签名匹配结束,输出匹配结果;若所述M个子签名库中的所有签名都匹配失败,则所述IPS签名匹配结束;或步骤404不再触发步骤403(即签名匹配成功)匹配,则获取签名的流程结束。
404、使用所述签名对所述网络数据进行匹配。
IPS签名匹配装置使用所述签名对所述网络数据进行匹配,若匹配成功,则所述IPS签名匹配结束,输出匹配结果;若匹配失败,则触发步骤403继续获取其余未进行匹配的签名。
在实际应用中,由于匹配路径中匹配节点的部署可以考虑各个子签名库的使用频率,优先将使用频率高的子签名库部署在匹配路径的前面,因此,在进行签名匹配的过程中,签名命中(即签名匹配成功)几率高的子签名库优先进行匹配,一旦签名命中,则匹配流程结束,无需对其余的子签名库继续进行匹配,从而进一步提高了IPS签名匹配的效率。
在本发明实施例中,在对网络数据进行签名匹配的同时,还可以对网络数据的相关信息进行统计,具体请参阅图5,本发明实施例中入侵防御***的签名匹配方法的另一个实施例包括:
501、获取网络数据;
在网络数据到达之后,IPS路由器(可以为镜像交换机)将所述网络数据复制成两份,一份网络数据进行如上述图3或图4实施例所描述的签名匹配流程(此处不再赘述),另一份则进行数据统计处理。
502、对所述网络数据进行协议识别;
IPS签名匹配装置对所述网络数据进行协议识别,得到用户标识、协议类型和应用类型等信息;其中,所述用户标识可以为用户名或五元组信息(源IP地址、目的IP地址、源端口、目的端口和传输层协议号),所述协议类型可以为所述网络数据对应的应用所使用的协议,所述应用类型可以为所述网络数据对应的应用。具体的,协议识别可以使用特征串匹配或校验算法等识别方法,协议识别的结果可以使用列表进行记录存储,如表1所示:
表1
503、IPS签名匹配装置判断是否需要对所述网络数据进行深度解析;
IPS签名匹配装置根据所述协议识别的结果判断是否需要对所述网络数据进行深度解析,若是,则触发步骤504,对所述网络数据进行深度解析;若否,则直接触发步骤505,确认特征识别的结果。
具体的,在实际应用中,某些应用的威胁特征可能不需要通过操作***信息、服务提供者或流量等应用信息进行判断,因此,IPS签名匹配装置可以预设一个需要进行深度解析的应用协议或应用类型的列表,IPS签名匹配装置可以根据网络数据的协议识别结果和该预设的列表判断网络数据是否需要进行深度解析。
504、对所述网络数据进行深度解析;
在确定所述网络数据需要进行深度解析之后,IPS签名匹配装置根据协议识别的结果(深度解析需要知道所述网络数据的协议类型或应用类型)对所述网络数据进行深度解析,得到深度解析的结果;具体的,所述深度解析的结果可以包括以下几个维度:操作***信息,服务类型和服务提供商等。
具体的,进一步进行深度解析的结果如表2所示:
表2
505、确认特征识别的结果;
具体的,上述步骤502至步骤504为网络数据的特征识别流程,当IPS签名匹配装置确认不需要对所述网络数据进行深度解析之后,则确认所述协议识别的结果为特征识别的结果;当IPS签名匹配装置确认需要对所述网络数据进行深度解析之后,则确认所述协议识别和所述深度解析的结果为特征识别的结果。
506、生成或更新应用统计信息。
在确认所述网络数据的特征识别结果之后,IPS签名匹配装置可以根据应用需求所述特征识别结果进行统计分析,如根据预置规则对上述表2进行聚类操作,具体的,预置规则可以为:若操作***、应用协议(或应用类型)、服务提供商都相同,则对其报文数和流量分别累加,得到表3中的数据:
表3
在实际应用中,聚类的规则可以根据应用需求而改变,如IPS防御的目标是垃圾邮件,则聚类的规则关注的是源IP地址所发送的网络数据的流量,则可以设置对源IP地址相同的网络数据进行聚类;又如,IPS防御的目标是病毒,则可以设置对操作***、应用协议(或应用类型)和服务提供商相同的网络数据进行聚类,具体的聚类规则根据实际的应用需求而定,此处不作限定。
可选的,若在设置匹配路径时需要进一步考虑到匹配子签名库的优先级次序,则在本发明实施例中,可以根据应用类型的报文数或流量计算该应用类型的使用比例;具体的,如果IPS防御的目标是垃圾邮件,则可以根据流量计算该应用类型的使用比例;如果IPS防御的目标是病毒,则可以根据报文数计算该应用类型的使用比例,如表4(根据报文数)所示:
表4
IPS签名匹配装置使用上述统计分析的结果生成网络数据的应用统计信息或更新IPS签名匹配装置中存储的应用统计信息,具体的,可以使用上述如表3或表4的参数信息生成网络数据的应用统计信息或更新IPS签名匹配装置中存储的应用统计信息。
上面仅通过一些数据列表的例子对本发明实施例中的应用场景进行了说明,可以理解的是,在实际应用中,还可以有更多的应用场景,具体此处不作限定。
下面对用于执行上述签名库的匹配路径生成方法的本发明中路径生成装置的实施例进行说明,其逻辑结构请参考图6,本发明实施例中路径生成装置的一个实施例包括:
归类单元601,用于对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;
信息获取单元602,用于获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;
签名库选取单元603,用于根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;
路径生成单元604,用于根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配。
可选的,本发明实施例中的签名库选取单元603可以包括:
用户组查找模块6031,用于查找所述应用统计信息的用户标识对应的用户组;
签名库选取模块6032,用于根据预置规则在所述N个子签名库中,选择与所述用户标识对应的应用类型和应用信息相匹配的子签名库;
签名库统计模块6033,用于统计得到一个所述用户组内所有用户标识对应的M个子签名库。
可选的,本发明实施例中的路径生成单元604可以包括:
优先级设置模块6041,用于根据各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级;
匹配路径生成模块6042,用于根据所述匹配优先级依次部署匹配节点,得到用户组对应的第一匹配路径,所述匹配节点与所述子签名库的存储地址一一对应。
本发明实施例路径生成装置中各个单元具体的交互过程如下:
归类单元601对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数。其中,IPS签名库的签名为网络数据的威胁特征,具体可以表现为网络数据的一些固定字串或行为特征;而网络数据的威胁特征可以为病毒,特洛伊木马,后门程序,流氓软件(包括间谍软件、广告软件、浏览器劫持等),网络钓鱼程序(网络诈骗)或垃圾邮件的特征。
具体的,可以根据IPS签名库中各个签名的应用和属性对IPS签名库进行分层归类;如,IPS签名库可以分为三层的子签名库,分别为基础层签名库,操作***层签名库和应用层签名库;其中,基础层签名库中主要包含有协议栈等公共签名,操作***层签名库中主要包含有与操作***相关的签名库(例如windows冲击波漏洞签名),应用层签名库主要包含有应用漏洞相关的签名库(例如Server-U的溢出漏洞签名库)。
信息获取单元602获取IPS签名匹配装置提供的应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的。在实际应用中,IPS签名匹配装置在对网络数据进行签名匹配的同时,也会对该网络数据进行特征识别,并对该特征识别的结果进行记录和统计,根据统计的结果实时更新所述应用统计信息;可选的,该应用统计信息中包括有用户标识,以及所述用户标识对应的应用类型和应用信息;其中,该用户标识可以为用户名或五元组信息(源因特网协议(IP,Internet Protocol)地址、目的IP地址、源端口、目的端口和传输层协议号);该应用信息可以为该应用类型对应的操作***信息和服务提供商信息。
在实际应用中,IPS签名匹配装置在对网络数据进行签名匹配的同时,也会对该网络数据进行特征识别,并对该特征识别的结果进行记录和统计,根据统计的结果实时更新所述应用统计信息。具体的,IPS签名匹配装置先对所述网络数据进行协议识别,得到所述网络数据对应的用户标识、应用协议和应用类型等信息;进一步的,IPS签名匹配装置还可以先对协议识别后的网络数据进行深度解析,得到所述网络数据对应的操作***信息服务提供商等信息;最后,将协议识别和深度解析的结果提交至统计模块进行统计,得到用户标识,所述用户标识对应的应用类型和应用信息,以及所述应用类型对应的使用比例;可选的,所述使用比例可以根据报文数统计得到,也可以根据流量统计得到,具体需要根据所防御的网络威胁而定,此处不作限定。
其中,根据实际需求,最后应用统计信息输出的参数类型除了上述用户标识、应用类型、应用信息和使用比例之外,还可以包括应用协议、流量或报文数等信息,此处具体不作限定。
在获取到所述应用统计信息之后,签名库选取单元603根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数。在实际应用中,匹配路径是针对不同类型的用户设置的,有相同特征的用户将归类为同一个用户组,根据所设定的特征的不同,一种用户组中所包含的用户数也不确定,如用户组是根据移动终端用户的活动范围来划分的,则每个地区(可以为省级、市级或县级)对应有一个用户组;可选的,一个用户组中也可以只包含有一个用户。因此,可以由先签名库选取单元603的用户组查找模块6031查找所述应用统计信息的用户标识对应的用户组;再由签名库选取模块6032根据预置规则在所述N个子签名库中,选择与所述用户标识对应的应用类型和应用信息相匹配的子签名库;在为一条匹配路径选择子签名库时,需要考虑该匹配路径所对应的用户组中所有用户的应用统计信息;如,根据应用统计信息获取该用户常用的应用类型,分别为该应用类型在应用层签名库中选择相应的子签名库。最后,由签名库统计模块6033统计得到一个所述用户组内所有用户标识对应的M个子签名库;在配置匹配路径中的匹配节点时,基础层签名库是必选的(即适用于所有用户),操作***层签名库则根据用户所使用的操作***的不同而不同(即相同操作***的用户匹配同一套签名库),应用层签名库则根据用户的使用习惯进行选配。
在获取了所述M个子签名库之后,路径生成单元604根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配。
具体的,路径生成单元604的优先级设置模块根据各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级;由于所述M个子签名库分别对应不同的应用类型和\或应用信息(操作***信息),因此,根据各个应用类型对应的使用比例可以得到各个子签名库的使用频率,从而可以为所述M个子签名库设置匹配优先级(其中,由于基础层签名库适用于所述用户,因此,属于基础层签名库的子签名库不需要根据所述使用比例来确定使用频率,且属于基础层签名库的子签名库的匹配优先级可以是最高的);再由匹配路径生成模块6042根据所述匹配优先级依次部署匹配节点,得到用户组对应的第一匹配路径,所述匹配节点与所述子签名库的存储地址一一对应。在进行IPS签名匹配时,IPS签名匹配装置可以依次根据所述匹配路径中的匹配节点进行各个子签名库的匹配,使得IPS签名匹配装置优先匹配使用频率高的子签名库,从而提高了匹配命中的效率。
在本发明实施例中,对IPS签名库进行分层归类,得到N个子签名库,再根据应用统计信息在所述N个子签名库中选择M个子签名库生成匹配路径,使得IPS签名匹配装置使用所述匹配路径对网络数据进行IPS签名匹配;由于应用统计信息是对网络数据进行特征识别后统计得到的,因此,生成的匹配路径与相应用户组的应用特征相匹配,在对该用户组的网络数据进行IPS签名匹配时,只需要匹配相应的匹配路径中的M(M小于N)子签名库,即可有效的完成威胁特征的识别,避免了匹配整个IPS签名库,提高了进行IPS签名匹配的效率。
下面对用于执行上述IPS签名匹配方法的本发明IPS签名匹配装置的实施例进行说明,其逻辑结构请参考图7,本发明实施例中IPS签名匹配装置的一个实施例包括:
数据获取单元701,用于获取网络数据;
查询单元702,用于查找所述用户标识对应的用户组,并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径;
签名匹配单元703,用于使用所述匹配路径对所述网络数据进行IPS签名匹配,所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在所述IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数。
可选的,本发明实施例中的签名匹配单元703可以包括:
签名匹配模块7031,用于依次使用匹配路径中匹配节点对应的子签名库对所述网络数据进行IPS签名匹配;
匹配终止模块7032,用于若所述子签名库中的任一签名与所述网络数据匹配成功,则所述IPS签名匹配结束,输出匹配结果;匹配终止模块7032,还用于若所述M个子签名库中的所有签名都匹配失败,则所述IPS签名匹配结束。
可选的,本发明实施例中的IPS签名匹配装置还可以进一步包括:
特征识别单元704,用于对所述网络数据进行特征识别;
信息更新单元705,用于使用所述特征识别的结果更新IPS签名匹配装置存储的应用统计信息。
可选的,本发明实施例中的特征识别单元704可以包括:
协议识别模块7041,用于对所述网络数据进行协议识别;
判断模块7042,用于根据所述协议识别的结果判断是否需要对所述网络数据进行深度解析,若是,则触发深度解析模块;若否,则确定所述协议识别的结果为所述特征识别的结果。
深度解析模块7043,用于对所述网络数据进行深度解析,并确定所述协议识别和所述深度解析的结果为所述特征识别的结果。
本发明实施例IPS签名匹配装置中各个单元具体的交互过程如下:
数据获取单元701获取需要进行签名匹配的网络数据;可选的,IPS签名匹配装置可以用于处理所有的网路数据,也可以仅处理其中一部份。例如,网络数据不是直接透过IPS设备路,而是可以在智能交换机上有选择性地选用一个分支进行IPS签名匹配。智能交换机可以根据对一些反常网路行为的观察,将具有反常网路行为特征的网路数据引导至IPS设备路,从而对该有反常网路行为特征的网路数据进行IPS签名匹配。
在获取到所述网络数据之后,查询单元702可以根据所述用户标识查找所述用户标识所属的用户组,从而根据所述用户组和匹配路径的映射关系查找到该用户组对应的匹配路径。由于匹配路径是针对不同类型的用户设置的,因此,在进行IPS签名匹配之前需要通过查询所述网络数据的用户标识,查找到该用户标识对应的匹配路径。
在查找到所述匹配路径之后,签名匹配单元703使用所述用户标识对应的匹配路径对所述网络数据进行IPS签名匹配;具体的,可以由签名匹配单元703的签名匹配模块7031提取所述匹配路径中第一个匹配节点对应的子签名库,并逐一获取所述子签名库中的签名对所述网络数据进行匹配;若匹配成功,则触发匹配终止模块7032结束所述IPS签名匹配流程,并输出匹配结果;若匹配失败,则继续使用所述匹配路径中对应的其他子签名库进行匹配,直到所有子签名库的签名都匹配过,则触发匹配终止模块7032结束所述IPS签名匹配流程,并输出匹配结果。
在实际应用中,由于匹配路径中匹配节点的部署可以考虑各个子签名库的使用频率,优先将使用频率高的子签名库部署在匹配路径的前面,因此,在进行签名匹配的过程中,签名命中(即签名匹配成功)几率高的子签名库优先进行匹配,一旦签名命中,则匹配流程结束,无需对其余的子签名库继续进行匹配,从而进一步提高了IPS签名匹配的效率。
可选的,在网络数据到达之后,IPS路由器(可以为镜像交换机)将所述网络数据复制成两份,一份网络数据进行IPS签名匹配流程,另一份则进行数据统计处理。
在获取到网络数据之后,特征识别单元704对所述网络数据进行特征识别,具体的,特征识别单元704的协议识别模块7041可先进行协议识别,得到用户标识、协议类型和应用类型等信息;其中,所述用户标识可以为用户名或五元组信息(源IP地址、目的IP地址、源端口、目的端口和传输层协议号),所述协议类型可以为所述网络数据对应的应用所使用的协议,所述应用类型可以为所述网络数据对应的应用。具体的,协议识别可以使用特征串匹配或校验算法等识别方法,协议识别的结果可以使用列表进行记录存储;
进一步的,特征识别单元704的判断模块7042还可以根据所述协议识别的结果判断是否需要对所述网络数据进行深度解析,若是,则触发深度解析模块7043,对所述网络数据进行深度解析;若否,则直接确认特征识别的结果。在实际应用中,某些应用的威胁特征可能不需要通过操作***信息、服务提供者或流量等应用信息进行判断,因此,IPS签名匹配装置可以预设一个需要进行深度解析的应用协议或应用类型的列表,IPS签名匹配装置可以根据网络数据的协议识别结果和该预设的列表判断网络数据是否需要进行深度解析。在确定所述网络数据需要进行深度解析之后,IPS签名匹配装置根据协议识别的结果(深度解析需要知道所述网络数据的协议类型或应用类型)对所述网络数据进行深度解析,得到深度解析的结果;具体的,所述深度解析的结果可以包括以下几个维度:操作***信息,服务类型和服务提供商等。当IPS签名匹配装置确认不需要对所述网络数据进行深度解析之后,则确认所述协议识别的结果为特征识别的结果;当IPS签名匹配装置确认需要对所述网络数据进行深度解析之后,则确认所述协议识别和所述深度解析的结果为特征识别的结果。
在完成网络数据的特征识别之后,信息更新单元705使用所述特征识别的结果更新IPS签名匹配装置存储的应用统计信息。具体的,信息更新单元705可以根据应用需求所述特征识别结果进行统计分析,如根据预置规则对上述表2进行聚类操作,具体的,预置规则可以为:若操作***、应用协议(或应用类型)、服务提供商都相同,则对其报文数和流量分别累加。
在实际应用中,聚类的规则可以根据应用需求而改变,如IPS防御的目标是垃圾邮件,则聚类的规则关注的是源IP地址所发送的网络数据的流量,则可以设置对源IP地址相同的网络数据进行聚类;又如,IPS防御的目标是病毒,则可以设置对操作***、应用协议(或应用类型)和服务提供商相同的网络数据进行聚类,具体的聚类规则根据实际的应用需求而定,此处不作限定。可选的,若在设置匹配路径时需要进一步考虑到匹配子签名库的优先级次序,则在本发明实施例中,可以根据应用类型的报文数或流量计算该应用类型的使用比例;具体的,如果IPS防御的目标是垃圾邮件,则可以根据流量计算该应用类型的使用比例;如果IPS防御的目标是病毒,则可以根据报文数计算该应用类型的使用比例。
信息更新单元705使用上述统计分析的结果生成网络数据的应用统计信息或更新IPS签名匹配装置中存储的应用统计信息。
在本发明实施例中,由于所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数;因此,在对该用户组的网络数据进行IPS签名匹配时,只需要匹配相应的匹配路径中的M(M小于N)子签名库,即可有效的完成威胁特征的识别,避免了匹配整个IPS签名库,提高了进行IPS签名匹配的效率。
下面对用于执行上述IPS签名匹配方法的本发明入侵防御***的实施例进行说明,其逻辑结构请参考图8,本发明实施例中入侵防御***的一个实施例包括:路径生成装置801和IPS签名匹配装置802;
所述路径生成装置用于对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;根据所述M个子签名库生成所述用户组对应的匹配路径,使得IPS签名匹配装置使用所述匹配路径对所述用户组的网络数据进行IPS签名匹配,所述匹配路径为所述M个子签名库的存储地址映射关系;
所述IPS签名匹配装置用于获取网络数据,查询所述网络数据的用户标识;根据所述用户标识获取与所述用户标识对应的匹配路径;使用所述匹配路径对所述网络数据进行IPS签名匹配。
在实际应用中,所述IPS签名匹配装置可以为入侵防御***中实现签名匹配功能的服务器;所述路径生成装置可以为独立的物理装置,通过数据线连接或网络连接的方式与所述实现签名匹配功能的服务器进行通信;所述路径生成装置也可以为软件设备,以功能加强的形式安装在入侵防御***的任意一台服务器(可以为实现签名匹配功能的服务器)上;所述路径生成装置为所述IPS签名匹配装置提供匹配路径,而所述IPS签名匹配装置则为所述路径生成装置提供统计所需的网络数据。
在实际应用中,本发明实施例中的入侵防御***可以布局在网络中的网关或路由器中。如图9所示的上网应用场景,在用户设备(UE,User Experience)将网络数据发送至因特网(Internet)之前需要经过网关,本发明的入侵防御***可以部署在UE和Internet之间的网关上;又如图10所示的企业应用场景,企业分布两地的局域网需要进行数据传输,两地的局域网通过各自的网关以及虚拟专用网络(VPN,Virtual Private Network)建立通信连接,本发明的入侵防御***可以部署两地的局域网各自的网关上。
上面仅通过一些具体的实例对本发明实施例中入侵防御***的应用场景进行了说明,可以理解的是,在实际应用中,还可以有更多的应用场景,具体此处不作限定。
可选的,本发明实施例的入侵防御***中,IPS签名匹配装置和路径生成装置可以分开部署,如图11所示,IPS签名匹配装置对应图11中的网关设备,换言之,图11中的网关设备除了通用的网关设备功能以外,还具有IPS签名匹配的功能,路径生成装置对应图11中的服务器(可以理解的是在网络中额外部署的服务器,也可以是利用现有网络中的服务器)。
应当理解的是,本发明实施例的入侵防御***有不同的物理部署实现方式,在一种实现方式下,路径生成装置801和IPS签名匹配装置802可以是部署于单个节点设备上的两个模块;在另一种实现方式下,路径生成装置801和IPS签名匹配装置802也可以是分别部署于两个节点设备上。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (18)

1.一种签名库的匹配路径生成方法,其特征在于,包括:
对入侵防御***IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;
获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;
根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;
根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配,所述第一匹配路径为所述M个子签名库的存储地址映射关系。
2.根据权利要求1所述的方法,其特征在于,所述应用统计信息包括:
用户标识,所述用户标识对应的应用类型和应用信息;
所述根据应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相匹配的M个子签名库,包括:
查找所述用户标识对应的用户组;
根据预置规则在所述N个子签名库中,选择与所述用户标识对应的应用类型和应用信息相匹配的子签名库;
统计得到一个所述用户组内所有用户标识对应的M个子签名库。
3.根据权利要求2所述的方法,其特征在于,所述应用统计信息还包括:
所述应用类型对应的使用比例;
所述根据M个子签名库生成所述用户组对应的第一匹配路径,包括:
根据各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级,根据所述匹配优先级依次部署匹配节点,得到用户组对应的第一匹配路径,所述匹配节点与所述子签名库的存储地址一一对应。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:
每隔预置时长更新所述应用统计信息;
使用更新后的应用统计信息计算第二匹配路径;
判断IPS签名匹配装置是否正在使用所述第一匹配路径进行IPS签名匹配,若不是,则使用所述第二匹配路径替换所述第一匹配路径;若是,正在进行的IPS签名匹配仍使用所述第一匹配路径进行匹配,新建立的IPS签名匹配任务则使用所述第二匹配路径进行匹配,在使用所述第一匹配路径的IPS签名匹配任务结束后,使用所述第二匹配路径替换所述第一匹配路径。
5.一种入侵防御***的签名匹配方法,其特征在于,包括:
获取网络数据,查询所述网络数据的用户标识;
查找所述用户标识对应的用户组,并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径;
使用所述匹配路径对所述网络数据进行IPS签名匹配,所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在所述IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数,所述匹配路径为所述M个子签名库的存储地址映射关系。
6.根据权利要求5所述的方法,其特征在于,所述使用用户标识对应的匹配路径对所述网络数据进行IPS签名匹配,包括:
依次使用匹配路径中匹配节点对应的子签名库对所述网络数据进行IPS签名匹配;
若所述子签名库中的任一签名与所述网络数据匹配成功,则所述IPS签名匹配结束,输出匹配结果。
7.根据权利要求5所述的方法,其特征在于,所述获取网络数据之后,包括:
对所述网络数据进行特征识别;
使用所述特征识别的结果更新IPS签名匹配装置存储的应用统计信息。
8.根据权利要求7所述的方法,其特征在于,所述对网络数据进行特征识别,包括:
对所述网络数据进行协议识别;
根据所述协议识别的结果判断是否需要对所述网络数据进行深度解析,若是,则对所述网络数据进行深度解析,并确定所述协议识别和所述深度解析的结果为所述特征识别的结果;若否,则确定所述协议识别的结果为所述特征识别的结果。
9.一种路径生成装置,其特征在于,包括:
归类单元,用于对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;
信息获取单元,用于获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;
签名库选取单元,用于根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;
路径生成单元,用于根据所述M个子签名库生成所述用户组对应的第一匹配路径,使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配,所述第一匹配路径为所述M个子签名库的存储地址映射关系。
10.根据权利要求9所述的装置,其特征在于,所述签名库选取单元包括:
用户组查找模块,用于查找所述应用统计信息的用户标识对应的用户组;
签名库选取模块,用于根据预置规则在所述N个子签名库中,选择与所述用户标识对应的应用类型和应用信息相匹配的子签名库;
签名库统计模块,用于统计得到一个所述用户组内所有用户标识对应的M个子签名库。
11.根据权利要求9所述的装置,其特征在于,所述路径生成单元包括:
优先级设置模块,用于根据各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级;
匹配路径生成模块,用于根据所述匹配优先级依次部署匹配节点,得到用户组对应的第一匹配路径,所述匹配节点与所述子签名库的存储地址一一对应。
12.一种IPS签名匹配装置,其特征在于,包括:
数据获取单元,用于获取网络数据,并查询所述网络数据的用户标识;
路径获取单元,用于查找所述用户标识对应的用户组,并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径;
签名匹配单元,用于使用所述匹配路径对所述网络数据进行IPS签名匹配,所述匹配路径是根据IPS签名库的M个子签名库生成的,所述M个子签名库是在所述IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的,所述N为大于1的整数,所述M为大于1且小于N的整数,所述匹配路径为所述M个子签名库的存储地址映射关系。
13.根据权利要求12所述的装置,其特征在于,所述签名匹配单元包括:
签名匹配模块,用于依次使用匹配路径中匹配节点对应的子签名库对所述网络数据进行IPS签名匹配;
匹配终止模块,用于若所述子签名库中的任一签名与所述网络数据匹配成功,则所述IPS签名匹配结束,输出匹配结果。
14.根据权利要求12所述的装置,其特征在于,所述IPS签名匹配装置还包括:
特征识别单元,用于对所述网络数据进行特征识别;
信息更新单元,用于使用所述特征识别的结果更新IPS签名匹配装置存储的应用统计信息。
15.根据权利要求14所述的装置,其特征在于,所述特征识别单元包括:
协议识别模块,用于对所述网络数据进行协议识别;
判断模块,用于根据所述协议识别的结果判断是否需要对所述网络数据进行深度解析,若是,则触发深度解析模块;若否,则确定所述协议识别的结果为所述特征识别的结果;
深度解析模块,用于对所述网络数据进行深度解析,并确定所述协议识别和所述深度解析的结果为所述特征识别的结果。
16.一种入侵防御***,其特征在于,包括:路径生成装置和IPS签名匹配装置;
所述路径生成装置用于对IPS签名库进行分层归类,得到N个子签名库,所述N为大于1的整数;获取应用统计信息,所述应用统计信息是对网络数据进行特征识别后统计得到的;根据所述应用统计信息在所述N个子签名库中,选择与所述应用统计信息对应的用户组相适配的M个子签名库,所述M为大于1且小于N的整数;根据所述M个子签名库生成所述用户组对应的匹配路径,使得IPS签名匹配装置使用所述匹配路径对所述用户组的网络数据进行IPS签名匹配,所述匹配路径为所述M个子签名库的存储地址映射关系;
所述IPS签名匹配装置用于获取网络数据,查找所述用户标识对应的用户组,并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径;根据所述用户标识获取与所述用户标识对应的匹配路径;使用所述匹配路径对所述网络数据进行IPS签名匹配。
17.根据权利要求16所述的***,其特征在于,
所述路径生成装置还用于根据所述应用统计信息中各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级,根据所述匹配优先级依次部署匹配节点,得到用户组对应的匹配路径,所述匹配节点与所述子签名库的存储地址一一对应;
所述IPS签名匹配装置使用所述匹配路径对所述网络数据进行IPS签名匹配,包括:
所述IPS签名匹配装置依次使用匹配路径中匹配节点对应的子签名库对所述网络数据进行IPS签名匹配;若所述子签名库中的任一签名与所述网络数据匹配成功,则所述IPS签名匹配结束,输出匹配结果。
18.根据权利要求16所述的***,其特征在于,所述IPS签名匹配装置还用于对所述网络数据进行特征识别,使用所述特征识别的结果更新IPS签名匹配装置存储的应用统计信息。
CN201110461977.XA 2011-12-31 2011-12-31 签名库的匹配路径生成方法及相关装置 Active CN102752275B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201110461977.XA CN102752275B (zh) 2011-12-31 2011-12-31 签名库的匹配路径生成方法及相关装置
PCT/CN2012/086346 WO2013097600A1 (zh) 2011-12-31 2012-12-11 签名库的匹配路径生成方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110461977.XA CN102752275B (zh) 2011-12-31 2011-12-31 签名库的匹配路径生成方法及相关装置

Publications (2)

Publication Number Publication Date
CN102752275A CN102752275A (zh) 2012-10-24
CN102752275B true CN102752275B (zh) 2015-05-13

Family

ID=47032176

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110461977.XA Active CN102752275B (zh) 2011-12-31 2011-12-31 签名库的匹配路径生成方法及相关装置

Country Status (2)

Country Link
CN (1) CN102752275B (zh)
WO (1) WO2013097600A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102752275B (zh) * 2011-12-31 2015-05-13 华为技术有限公司 签名库的匹配路径生成方法及相关装置
CN106921628B (zh) * 2015-12-25 2021-10-08 阿里巴巴集团控股有限公司 基于网络地址识别网络访问来源方法和装置
CN106789860B (zh) * 2016-03-02 2021-02-05 新华三技术有限公司 一种签名规则加载方法及装置
CN108052281A (zh) * 2017-11-30 2018-05-18 平安科技(深圳)有限公司 业务资料存储方法、应用服务器及计算机存储介质
CN109614121A (zh) * 2018-12-06 2019-04-12 郑州云海信息技术有限公司 一种中背板sas地址烧录实现方法及***
CN117675212A (zh) * 2022-08-26 2024-03-08 维沃移动通信有限公司 签名信息传输方法、设备及可读存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8199754B2 (en) * 2006-05-30 2012-06-12 Hewlett-Packard Development Company, L. P. Intrusion prevention system edge controller
CN100444075C (zh) * 2005-11-08 2008-12-17 北京网秦天下科技有限公司 用于移动/智能终端的病毒特征提取和检测***及方法
CN102075365B (zh) * 2011-02-15 2012-12-26 中国工商银行股份有限公司 一种网络攻击源定位及防护的方法、装置
CN102209032A (zh) * 2011-05-24 2011-10-05 北京网康科技有限公司 一种用户自定义的应用识别方法及其设备
CN102752275B (zh) * 2011-12-31 2015-05-13 华为技术有限公司 签名库的匹配路径生成方法及相关装置

Also Published As

Publication number Publication date
CN102752275A (zh) 2012-10-24
WO2013097600A1 (zh) 2013-07-04

Similar Documents

Publication Publication Date Title
CN102752275B (zh) 签名库的匹配路径生成方法及相关装置
CN111565205B (zh) 网络攻击识别方法、装置、计算机设备和存储介质
US11044264B2 (en) Graph-based detection of lateral movement
CN108183916B (zh) 一种基于日志分析的网络攻击检测方法及装置
JP2020530638A (ja) マルウェアホストネットフロー分析システム及び方法
CN104580027A (zh) 一种OpenFlow报文转发方法及设备
CN113315742A (zh) 攻击行为检测方法、装置及攻击检测设备
CN110233821B (zh) 一种智能设备网络空间的探测和安全扫描***及其方法
Wilkens et al. Towards efficient reconstruction of attacker lateral movement
US10897483B2 (en) Intrusion detection system for automated determination of IP addresses
CN114003904B (zh) 情报共享方法、装置、计算机设备及存储介质
CN102281189A (zh) 一种基于第三方设备私有属性的业务实现方法及其装置
CN114338510A (zh) 控制和转发分离的数据转发方法和***
CN104954415B (zh) 处理http请求的方法及装置
US11184282B1 (en) Packet forwarding in a network device
CN105939397B (zh) 一种报文的传输方法和装置
CN106686141A (zh) 资源下载方法及装置
CN102946449A (zh) Url 的匹配方法、装置及网关
Fadel et al. A low-storage precise IP traceback technique based on packet marking and logging
CN109412898B (zh) 特征数据库生成方法和装置及对应的流量分拣方法和装置
Mohsin et al. Intelligent security cycle: A rule based run time malicious code detection technique for SOAP messages
CN112217770B (zh) 一种安全检测方法、装置、计算机设备及存储介质
CN114244555A (zh) 一种安全策略的调整方法
Chinnici et al. The network topology of connecting things: defence of IoT graph in the smart city
CN110471801A (zh) 一种存储设备的量产过程信息的管理方法和装置以及设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant