專利名稱:簽名庫的匹配路徑生成方法及相關(guān)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其 涉及一種簽名庫的匹配路徑生成方法及相關(guān)裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)攻擊成快速上升態(tài)勢,嚴(yán)重影響著企業(yè)用戶的數(shù)據(jù)安全,同時對個人用戶的個人信息安全也構(gòu)成嚴(yán)重威脅。入侵防御系統(tǒng)(IPS, IntrusionPrevention System)能識別各種非法入侵的數(shù)據(jù),并對這些非法入侵的數(shù)據(jù)進行清洗,使得用戶免受網(wǎng)絡(luò)攻擊的威脅,保證了用戶的數(shù)據(jù)安全;因此,IPS檢測成為了網(wǎng)絡(luò)側(cè)保障用戶數(shù)據(jù)安全的主要防護手段。在實際應(yīng)用中,由于對用戶構(gòu)成網(wǎng)絡(luò)威脅的網(wǎng)絡(luò)數(shù)據(jù)眾多,如,病毒,特洛伊木馬,后門程序,流氓軟件(包括間諜軟件、廣告軟件、瀏覽器劫持等),網(wǎng)絡(luò)釣魚程序(網(wǎng)絡(luò)詐騙)和垃圾郵件等,因此,IPS的簽名庫(即網(wǎng)絡(luò)威脅的特征數(shù)據(jù)庫)非常龐大,一般都在IOK字節(jié)的級別,且匹配目標(biāo)位置分布在ニ層到七層,因此IPS防護耗費大量的資源,運行的性能低下。而對網(wǎng)絡(luò)流量較大的企業(yè)用戶來言,現(xiàn)有的IPS的性能顯然無法滿足該企業(yè)用戶的實際需求,因此IPS的性能提升迫在眉睫。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種簽名庫的匹配路徑生成方法及相關(guān)裝置,用于提高IPS進行簽名匹配的效率。本發(fā)明提供的簽名庫的匹配路徑生成方法,包括對入侵防御系統(tǒng)IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù);獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的;根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù);根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,使得IPS簽名匹配裝置使用所述第一匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述第一匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系。可選的,所述應(yīng)用統(tǒng)計信息包括用戶標(biāo)識,所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息;所述根據(jù)應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相匹配的M個子簽名庫,包括查找所述用戶標(biāo)識對應(yīng)的用戶組;根據(jù)預(yù)置規(guī)則在所述N個子簽名庫中,選擇與所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息相匹配的子簽名庫;統(tǒng)計得到一個所述用戶組內(nèi)所有用戶標(biāo)識對應(yīng)的M個子簽名庫??蛇x的,所述應(yīng)用統(tǒng)計信息還包括所述應(yīng)用類型對應(yīng)的使用比例;所述根據(jù)M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,包括
根據(jù)各個應(yīng)用類型對應(yīng)的使用比例為所述M個子簽名庫設(shè)置匹配優(yōu)先級,根據(jù)所述匹配優(yōu)先級依次部署匹配節(jié)點,得到用戶組對應(yīng)的第一匹配路徑,所述匹配節(jié)點與所述子簽名庫的存儲地址一一對應(yīng)??蛇x的,所述方法還包括每隔預(yù)置時長更新所述應(yīng)用統(tǒng)計信息;使用更新后的應(yīng)用統(tǒng)計信息計算第二匹配路徑;判斷IPS簽名匹配裝置是否正在使用所述第一匹配路徑進行IPS簽名匹配,若不是,則使用所述第二匹配路徑替換所述第一匹配路徑;若是,正在進行的IPS簽名匹配仍使用所述第一匹配路徑進行匹配,新建立的IPS簽名匹配任務(wù)則使用所述第二匹配路徑進行匹配,在使用所述第一匹配路徑的IPS簽名匹配任務(wù)結(jié)束后,使用所述第二匹配路徑替換所述第一匹配路徑。本發(fā)明提供的入侵防御系統(tǒng)的簽名匹配方法,包括獲取網(wǎng)絡(luò)數(shù)據(jù),查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識;查找所述用戶標(biāo)識對應(yīng)的用戶組,井根據(jù)所述用戶組與匹配路徑的映射關(guān)系獲取與所述用戶組對應(yīng)的匹配路徑;使用所述匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述匹配路徑是根據(jù)IPS簽名庫的M個子簽名庫生成的,所述M個子簽名庫是在所述IPS簽名庫的所有N個子簽名庫中根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用統(tǒng)計信息選取的,所述N為大于I的 整數(shù),所述M為大于I且小于N的整數(shù),所述匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系??蛇x的,所述使用用戶標(biāo)識對應(yīng)的匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,包括依次使用匹配路徑中匹配節(jié)點對應(yīng)的子簽名庫對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配;若所述子簽名庫中的任一簽名與所述網(wǎng)絡(luò)數(shù)據(jù)匹配成功,則所述IPS簽名匹配結(jié)束,輸出匹配結(jié)果;若所述M個子簽名庫中的所有簽名都匹配失敗,則所述IPS簽名匹配結(jié)束。可選的,所述獲取網(wǎng)絡(luò)數(shù)據(jù)之后,包括對所述網(wǎng)絡(luò)數(shù)據(jù)進行特征識別;使用所述特征識別的結(jié)果更新IPS簽名匹配裝置存儲的應(yīng)用統(tǒng)計信息。本發(fā)明提供的路徑生成裝置,包括歸類單元,用于對IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù);信息獲取單元,用于獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的;簽名庫選取單元,用于根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù);路徑生成単元,用于根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,使得IPS簽名匹配裝置使用所述第一匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述第一匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系??蛇x的,所述簽名庫選取単元包括用戶組查找模塊,用于查找所述應(yīng)用統(tǒng)計信息的用戶標(biāo)識對應(yīng)的用戶組;簽名庫選取模塊,用于根據(jù)預(yù)置規(guī)則在所述N個子簽名庫中,選擇與所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息相匹配的子簽名庫;簽名庫統(tǒng)計模塊,用于統(tǒng)計得到一個所述用戶組內(nèi)所有用戶標(biāo)識對應(yīng)的M個子簽名庫。可選的,所述路徑生成単元包括優(yōu)先級設(shè)置模塊,用于根據(jù)各個應(yīng)用類型對應(yīng)的使用比例為所述M個子簽名庫設(shè)置匹配優(yōu)先級;匹配路徑生成模塊,用于根據(jù)所述匹配優(yōu)先級依次部署匹配節(jié)點,得到用戶組對應(yīng)的第一匹配路徑,所述匹配節(jié)點與所述子簽名庫的存儲地址一一對應(yīng)。本發(fā)明提供的IPS簽名匹配裝置,包括數(shù)據(jù)獲取単元,用于獲取網(wǎng)絡(luò)數(shù)據(jù),并查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識;路徑獲取単元,用于查找所述用戶標(biāo)識對應(yīng)的用戶組,并根據(jù)所述用戶組與匹配路徑的映射關(guān)系獲取與所述用戶組對應(yīng)的匹配路徑;簽名匹配単元,用于使用所述匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述匹配路徑是根據(jù)IPS簽名庫的M個子簽名庫生成的,所述M個子簽名庫是在所述IPS簽名庫的所有N個子簽名庫中根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用統(tǒng)計信息選取的,所述N為大于I的整數(shù),所述M為大于I且小于N的整數(shù),所述匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系。本發(fā)明提供的入侵防御系統(tǒng),包括路徑生成裝置和IPS簽名匹配裝置;所述路徑生成裝置用于對IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù);獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的;根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù);根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的匹配路徑,使得IPS簽名匹配裝置使用所述匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系; 所述IPS簽名匹配裝置用于獲取網(wǎng)絡(luò)數(shù)據(jù),查找所述用戶標(biāo)識對應(yīng)的用戶組,并根據(jù)所述用戶組與匹配路徑的映射關(guān)系獲取與所述用戶組對應(yīng)的匹配路徑;根據(jù)所述用戶標(biāo)識獲取與所述用戶標(biāo)識對應(yīng)的匹配路徑;使用所述匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配。從以上技術(shù)方案可以看出,本發(fā)明實施例具有以下優(yōu)點在本發(fā)明實施例中,對IPS簽名庫進行分層歸類,得到N個子簽名庫,再根據(jù)應(yīng)用統(tǒng)計信息在所述N個子簽名庫中選擇M個子簽名庫生成匹配路徑,使得IPS簽名匹配裝置使用所述匹配路徑對網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配;由于應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的,因此,生成的匹配路徑與相應(yīng)用戶組的應(yīng)用特征相匹配,在對該用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配時,只需要匹配相應(yīng)的匹配路徑中的M(M小于N)子簽名庫,即可有效的完成威脅特征的識別,避免了匹配整個IPS簽名庫,提高了進行IPS簽名匹配的效率。
圖I是本發(fā)明實施例中簽名庫的匹配路徑生成方法的一個流程示意圖;圖2是本發(fā)明實施例中簽名庫的匹配路徑生成方法的另ー個流程示意圖;圖3是本發(fā)明實施例中IPS簽名匹配方法的一個流程示意圖;圖4是本發(fā)明實施例中IPS簽名匹配方法的另ー個流程示意圖;圖5是本發(fā)明實施例中IPS簽名匹配方法的另ー個流程示意圖;圖6是本發(fā)明實施例中路徑生成裝置的ー個邏輯結(jié)構(gòu)示意圖;圖7是本發(fā)明實施例中IPS簽名匹配裝置的ー個邏輯結(jié)構(gòu)示意圖;圖8是本發(fā)明實施例中入侵防御系統(tǒng)的ー個邏輯結(jié)構(gòu)示意圖;圖9是本發(fā)明實施例中入侵防御系統(tǒng)的ー個應(yīng)用示意圖;圖10是本發(fā)明實施例中入侵防御系統(tǒng)的另一個應(yīng)用示意圖;圖11是本發(fā)明實施例中入侵防御系統(tǒng)的另一個應(yīng)用示意圖。
具體實施例方式本發(fā)明實施例提供了一種簽名庫的匹配路徑生成方法及相關(guān)裝置,用于提高IPS進行簽名匹配的效率。請參閱圖1,本發(fā)明實施例中簽名庫的匹配路徑生成方法的一個實施例,應(yīng)當(dāng)理解的是,本發(fā)明實施例的方法的執(zhí)行主體可以是路徑生成裝置,應(yīng)當(dāng)理解的是,所述路徑生成裝置可以為獨立的物理裝置,通過數(shù)據(jù)線連接或網(wǎng)絡(luò)連接的方式與所述實現(xiàn)簽名匹配功能的設(shè)備進行通信;所述路徑生成裝置也可以為軟件設(shè)備,以功能加強的形式安裝在入侵防御系統(tǒng)中的現(xiàn)有網(wǎng)元設(shè)備上,比如安裝在實現(xiàn)簽名匹配功能的網(wǎng)關(guān)設(shè)備上。應(yīng)當(dāng)理解的是,路徑生成裝置支持獨立外置,也可以內(nèi)置于現(xiàn)網(wǎng)的網(wǎng)元設(shè)備上,該方法可以包括101、對入侵防御系統(tǒng)簽名庫進行分層歸類;路徑生成裝置對IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù)。其中,IPS簽名庫的簽名為網(wǎng)絡(luò)數(shù)據(jù)的威脅特征,具體可以表現(xiàn)為網(wǎng)絡(luò)數(shù)據(jù)的ー些固 定字串或行為特征;而網(wǎng)絡(luò)數(shù)據(jù)的威脅特征可以為病毒,特洛伊木馬,后門程序,流氓軟件(包括間諜軟件、廣告軟件、瀏覽器劫持等),網(wǎng)絡(luò)釣魚程序(網(wǎng)絡(luò)詐騙)或垃圾郵件的特征。具體的,路徑生成裝置可以根據(jù)IPS簽名庫中各個簽名的應(yīng)用和屬性對IPS簽名庫進行分層歸類;如,IPS簽名庫可以分為三層的子簽名庫,分別為基礎(chǔ)層簽名庫,操作系統(tǒng)層簽名庫和應(yīng)用層簽名庫;其中,基礎(chǔ)層簽名庫中主要包含有協(xié)議棧等公共簽名,操作系統(tǒng)層簽名庫中主要包含有與操作系統(tǒng)相關(guān)的簽名庫(例如Windows沖擊波漏洞簽名),應(yīng)用層簽名庫主要包含有應(yīng)用漏洞相關(guān)的簽名庫(例如Server-U的溢出漏洞簽名庫)。102、獲取應(yīng)用統(tǒng)計信息;路徑生成裝置獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的。具體的,路徑生成裝置可以從IPS的統(tǒng)計數(shù)據(jù)庫中獲取該應(yīng)用統(tǒng)計信息。在實際應(yīng)用中,IPS簽名匹配裝置在對網(wǎng)絡(luò)數(shù)據(jù)進行簽名匹配的同時,也會對該網(wǎng)絡(luò)數(shù)據(jù)進行特征識別,并對該特征識別的結(jié)果進行記錄和統(tǒng)計,根據(jù)統(tǒng)計的結(jié)果實時更新所述應(yīng)用統(tǒng)計信息;可選的,該應(yīng)用統(tǒng)計信息中包括有用戶標(biāo)識,以及所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息;其中,該用戶標(biāo)識可以為用戶名或五元組信息(源因特網(wǎng)協(xié)議(IP,Internet Protocol)地址、目的IP地址、源端ロ、目的端口和傳輸層協(xié)議號);該應(yīng)用信息可以為該應(yīng)用類型對應(yīng)的操作系統(tǒng)信息和服務(wù)提供商信息。103、選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的子簽名庫;路徑生成裝置根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù)。在實際應(yīng)用中,匹配路徑是針對不同類型的用戶設(shè)置的,有相同特征的用戶將歸類為同一個用戶組,根據(jù)所設(shè)定的特征的不同,一種用戶組中所包含的用戶數(shù)也不確定,如用戶組是根據(jù)移動終端用戶的活動范圍來劃分的,則每個地區(qū)(可以為省級、市級或縣級)對應(yīng)有ー個用戶組;可選的,一個用戶組中也可以只包含有ー個用戶。在為一條匹配路徑選擇子簽名庫時,需要考慮該匹配路徑所對應(yīng)的用戶組中所有用戶的應(yīng)用統(tǒng)計信息;如,根據(jù)應(yīng)用統(tǒng)計信息獲取該用戶常用的應(yīng)用類型,分別為該應(yīng)用類型在應(yīng)用層簽名庫中選擇相應(yīng)的子簽名庫。
在配置匹配路徑中的匹配節(jié)點時,基礎(chǔ)層簽名庫是必選的(即適用于所有用戶),操作系統(tǒng)層簽名庫則根據(jù)用戶所使用的操作系統(tǒng)的不同而不同(即相同操作系統(tǒng)的用戶匹配同一套簽名庫),應(yīng)用層簽名庫則根據(jù)用戶的使用習(xí)慣進行選配(如,某一用戶組中的用戶從來沒用過Server-U,貝U可以針對該用戶組對于的匹配路徑中則不會出現(xiàn)Server-U應(yīng)用的子簽名庫)。104、根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑。路徑生成裝置根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,使得IPS簽名匹配裝置使用所述第一匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,第一匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系,具體的,該存儲地址映射關(guān)系可以用存儲地址映射表的形式實現(xiàn)。在實際應(yīng)用中,匹配路徑中的各個匹配節(jié)點分別對應(yīng)于所述M個子簽名庫的存儲地址,即匹配路徑中設(shè)定了所述匹配路徑對應(yīng)的用戶組的網(wǎng)絡(luò)數(shù)據(jù)所需要匹配的M個子簽名庫,在進行IPS簽名匹配吋,IPS簽名匹配使用第一匹配路徑中的子簽名庫對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配。在本發(fā)明實施例中,對IPS簽名庫進行分層歸類,得到N個子簽名庫,再根據(jù)應(yīng)用統(tǒng)計信息在所述N個子簽名庫中選擇M個子簽名庫生成匹配路徑,使得IPS簽名匹配裝置使用所述匹配路徑對網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配;由于應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的,因此,生成的匹配路徑與相應(yīng)用戶組的應(yīng)用特征相匹配,在對該用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配吋,只需要匹配相應(yīng)的匹配路徑中的M(M小于N)子簽名庫,即可有效的完成威脅特征的識別,避免了匹配整個IPS簽名庫,提高了進行IPS簽名匹配的效率。下面對如何生成匹配路徑進行詳細描述,請參閱圖2,本發(fā)明實施例中簽名庫的匹配路徑生成方法的另ー個實施例包括201、對入侵防御系統(tǒng)簽名庫進行分層歸類;路徑生成裝置對IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù)。其中,IPS簽名庫的簽名為網(wǎng)絡(luò)數(shù)據(jù)的威脅特征,具體可以表現(xiàn)為網(wǎng)絡(luò)數(shù)據(jù)的ー些固定字串或行為特征;而網(wǎng)絡(luò)數(shù)據(jù)的威脅特征可以為病毒,特洛伊木馬,后門程序,流氓軟件(包括間諜軟件、廣告軟件、瀏覽器劫持等),網(wǎng)絡(luò)釣魚程序(網(wǎng)絡(luò)詐騙)或垃圾郵件的特征。具體的,路徑生成裝置可以根據(jù)IPS簽名庫中各個簽名的應(yīng)用和屬性對IPS簽名庫進行分層歸類;如,IPS簽名庫可以分為三層的子簽名庫,分別為基礎(chǔ)層簽名庫,操作系統(tǒng)層簽名庫和應(yīng)用層簽名庫;其中,基礎(chǔ)層簽名庫中主要包含有協(xié)議棧等公共簽名,操作系統(tǒng)層簽名庫中主要包含有與操作系統(tǒng)相關(guān)的簽名庫(例如Windows沖擊波漏洞簽名),應(yīng)用層簽名庫主要包含有應(yīng)用漏洞相關(guān)的簽名庫(例如Server-U的溢出漏洞簽名庫)。202、獲取應(yīng)用統(tǒng)計信息;路徑生成裝置從IPS的統(tǒng)計數(shù)據(jù)庫中獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的。所述應(yīng)用統(tǒng)計信息包括有用戶標(biāo)識,所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息,以及所述應(yīng)用類型對應(yīng)的使用比例;其中,所述應(yīng)用統(tǒng)計信息包含多組的所述用戶標(biāo)識、應(yīng)用類型、應(yīng)用信息和使用比例。、
在實際應(yīng)用中,IPS簽名匹配裝置在對網(wǎng)絡(luò)數(shù)據(jù)進行簽名匹配的同吋,也會對該網(wǎng)絡(luò)數(shù)據(jù)進行特征識別,并對該特征識別的結(jié)果進行記錄和統(tǒng)計,根據(jù)統(tǒng)計的結(jié)果實時更新所述應(yīng)用統(tǒng)計信息。具體的,IPS簽名匹配裝置先對所述網(wǎng)絡(luò)數(shù)據(jù)進行協(xié)議識別,得到所述網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的用戶標(biāo)識、應(yīng)用協(xié)議和應(yīng)用類型等信息;進ー步的,IPS簽名匹配裝置還可以先對協(xié)議識別后的網(wǎng)絡(luò)數(shù)據(jù)進行深度解析,得到所述網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的操作系統(tǒng)信息服務(wù)提供商等信息;最后,將協(xié)議識別和深度解析的結(jié)果提交至統(tǒng)計模塊進行統(tǒng)計,得到用戶標(biāo)識,所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息,以及所述應(yīng)用類型對應(yīng)的使用比例;可選的,所述使用比例可以根據(jù)報文數(shù)統(tǒng)計得到,也可以根據(jù)流量統(tǒng)計得到,具體需要根據(jù)所防御的網(wǎng)絡(luò)威脅而定,此處不作限定。 其中,根據(jù)實際需求,最后應(yīng)用統(tǒng)計信息輸出的參數(shù)類型除了上述用戶標(biāo)識、應(yīng)用類型、應(yīng)用信息和使用比例之外,還可以包括應(yīng)用協(xié)議、流量或報文數(shù)等信息,此處具體不作限定。203、選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的子簽名庫;路徑生成裝置根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù)。具體的,由于匹配路徑是針對不同的用戶組(用戶組已根據(jù)實際需求預(yù)先劃分完成)設(shè)置的,因此,在選取該用戶組所需要匹配的子簽名庫時,需要考慮該用戶組內(nèi)所有用戶的相關(guān)信息;在獲取到應(yīng)用統(tǒng)計信息之后,路徑生成裝置先查找所述應(yīng)用統(tǒng)計信息中的用戶標(biāo)識分別對應(yīng)的用戶組,該用戶標(biāo)識可以為源IP地址、目的IP地址、源端ロ、目的端ロ和傳輸層協(xié)議號等;再根據(jù)預(yù)置規(guī)則在所述N個子簽名庫中,選擇與所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息(可以為操作系統(tǒng)信息)相匹配的子簽名庫;該預(yù)置規(guī)則可以為當(dāng)某一應(yīng)用類型的使用頻率達到預(yù)設(shè)值吋,則選取該應(yīng)用類型相匹配的子簽名庫(子簽名庫在步驟201中以根據(jù)應(yīng)用類型分類);最后,統(tǒng)計得到一個所述用戶組內(nèi)所有用戶標(biāo)識對應(yīng)的M個子簽名庫,即將根據(jù)每個用戶標(biāo)識的相關(guān)數(shù)據(jù)(應(yīng)用類型和應(yīng)用信息)選取到的子簽名庫進行去重疊加,得到所述用戶組對應(yīng)的M個子簽名庫。在選取子簽名庫時,基礎(chǔ)層簽名庫是必選的(即適用于所有用戶),操作系統(tǒng)層簽名庫則根據(jù)用戶所使用的操作系統(tǒng)的不同而不同(即相同操作系統(tǒng)的用戶匹配同一套簽名庫),應(yīng)用層簽名庫則可以根據(jù)用戶的相關(guān)應(yīng)用信息選取(具體上一段已有描述)。204、根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑。路徑生成裝置根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,使得IPS簽名匹配裝置使用所述第一匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配。具體的,在獲取到所述M個子簽名庫之后,由于所述M個子簽名庫分別對應(yīng)不同的應(yīng)用類型和\或應(yīng)用信息(操作系統(tǒng)信息),因此,根據(jù)各個應(yīng)用類型對應(yīng)的使用比例可以得到各個子簽名庫的使用頻率,從而可以為所述M個子簽名庫設(shè)置匹配優(yōu)先級(其中,由于基礎(chǔ)層簽名庫適用于所述用戶,因此,屬于基礎(chǔ)層簽名庫的子簽名庫不需要根據(jù)所述使用比例來確定使用頻率,且屬于基礎(chǔ)層簽名庫的子簽名庫的匹配優(yōu)先級可以是最高的);路徑生成裝置可以根據(jù)根據(jù)所述匹配優(yōu)先級依次部署匹配節(jié)點,得到用戶組對應(yīng)的第一匹配路徑,所述匹配節(jié)點與所述子簽名庫的存儲地址一一對應(yīng)。在進行IPS簽名匹配吋,IPS簽名匹配裝置可以依次根據(jù)所述匹配路徑中的匹配節(jié)點進行各個子簽名庫的匹配,使得IPS簽名匹配裝置優(yōu)先匹配使用頻率高的子簽名庫,從而提高了匹配命中的效率。205、每隔預(yù)置時長更新所述應(yīng)用統(tǒng)計信息;在實際應(yīng)用中,由于網(wǎng)絡(luò)的不定性,IPS簽名匹配裝置在不同時刻收到的網(wǎng)絡(luò)數(shù)據(jù)的類型和頻率可能不同;本發(fā)明實施例中的IPS簽名匹配裝置可以實時的根據(jù)所述收到的網(wǎng)絡(luò)數(shù)據(jù)更新應(yīng)用統(tǒng)計信息,而本發(fā)明的路徑生成裝置也可以每隔預(yù)置時長獲取IPS簽名匹配裝置中統(tǒng)計得到的應(yīng)用統(tǒng)計信息,以更新生成匹配路徑所使用的應(yīng)用統(tǒng)計信息。206、使用更新后的應(yīng)用統(tǒng)計信息計算第二匹配路徑;具體第二匹配路徑的生成過程與前述203和204相似,此處不再贅述。207、更新匹配路徑。 在路徑生成裝置確認(rèn)新生成的第二匹配路徑與之前的第一匹配路徑不一樣后,則觸發(fā)匹配路徑的更新流程,具體為路徑生成裝置判斷IPS簽名匹配裝置是否正在使用所述第一匹配路徑進行IPS簽名匹配,若不是,則使用所述第二匹配路徑替換所述第一匹配路徑;若是,正在進行的IPS簽名匹配仍使用所述第一匹配路徑進行匹配,新建立的IPS簽名匹配任務(wù)則使用所述第二匹配路徑進行匹配,待使用所述第一匹配路徑的IPS簽名匹配任務(wù)結(jié)束后,使用所述第二匹配路徑替換所述第一匹配路徑。下面對使用上述匹配路徑執(zhí)行IPS簽名匹配的本發(fā)明入侵防御系統(tǒng)的簽名匹配方法進行描述,請參閱圖3,本發(fā)明實施例中入侵防御系統(tǒng)的簽名匹配方法的一個實施例,應(yīng)當(dāng)理解的是,本發(fā)明實施例的方法的執(zhí)行主體可以是IPS簽名匹配裝置,應(yīng)當(dāng)理解的是,所述IPS簽名匹配裝置可以為獨立的物理裝置,其產(chǎn)品形態(tài)可以是路由器,網(wǎng)關(guān)設(shè)備,網(wǎng)絡(luò)防火墻設(shè)備等等;所述IPS簽名匹配裝置也可以為軟件設(shè)備,以功能加強的形式安裝在入侵防御系統(tǒng)中的現(xiàn)有網(wǎng)元設(shè)備上。應(yīng)當(dāng)理解的是,IPS簽名匹配裝置支持獨立外置,也可以內(nèi)置于現(xiàn)網(wǎng)的網(wǎng)元設(shè)備上,該方法可以包括301、獲取網(wǎng)絡(luò)數(shù)據(jù);IPS簽名匹配裝置獲取需要進行簽名匹配的網(wǎng)絡(luò)數(shù)據(jù);可選的,IPS簽名匹配裝置可以用于處理所有的網(wǎng)路數(shù)據(jù),也可以僅處理其中一部份。例如,網(wǎng)絡(luò)數(shù)據(jù)不是直接透過IPS設(shè)備路,而是可以在智能交換機上有選擇性地選用ー個分支進行IPS簽名匹配。智能交換機可以根據(jù)對ー些反常網(wǎng)路行為的觀察,將具有反常網(wǎng)路行為特征的網(wǎng)路數(shù)據(jù)引導(dǎo)至IPS設(shè)備路,從而對該有反常網(wǎng)路行為特征的網(wǎng)路數(shù)據(jù)進行IPS簽名匹配。302、查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識;在本發(fā)明實施例中,由于匹配路徑是針對不同類型的用戶設(shè)置的,因此,在進行IPS簽名匹配之前需要通過查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識,查找到該用戶標(biāo)識對應(yīng)的匹配路徑。具體的,在獲取所述網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的用戶標(biāo)識后,可以根據(jù)所述用戶標(biāo)識查找所述用戶標(biāo)識所屬的用戶組,從而根據(jù)所述用戶組和匹配路徑的映射關(guān)系查找到該用戶組對應(yīng)的匹配路徑。303、使用所述用戶標(biāo)識對應(yīng)的匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配。在查找到所述用戶標(biāo)識對應(yīng)的匹配路徑之后,IPS簽名匹配裝置使用所述用戶標(biāo)識對應(yīng)的匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配。所述匹配路徑是根據(jù)IPS簽名庫的M個子簽名庫生成的,所述M個子簽名庫是在所述IPS簽名庫的所有N個子簽名庫中根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用統(tǒng)計信息選取的,所述N為大于I的整數(shù),所述M為大于I且小于N的整數(shù)。具體的,匹配路徑中的各個匹配節(jié)點分別對應(yīng)于所述M個子簽名庫,IPS簽名匹配裝置根據(jù)各個匹配節(jié)點的順序,依次匹配各個匹配節(jié)點所述對應(yīng)的子簽名庫,當(dāng)任意ー個子簽名庫中的簽名匹配成功吋,則說明所述網(wǎng)絡(luò)數(shù)據(jù)具有威脅特征,IPS對所述網(wǎng)絡(luò)數(shù)據(jù)進行相應(yīng)的防御處理;若所有的M個子簽名庫都匹配過后,無ー簽名匹配成功,則說明所述網(wǎng)絡(luò)數(shù)據(jù)不是網(wǎng)絡(luò)威脅,可讓所述網(wǎng)絡(luò)數(shù)據(jù)通過IPS路由器。在實際應(yīng)用中,所述威脅特征具體可以表現(xiàn)為網(wǎng)絡(luò)數(shù)據(jù)的ー些固定字串或行為特征;而網(wǎng)絡(luò)數(shù)據(jù)的威脅特征可以為病毒,特洛伊木馬,后門程序,流氓軟件(包括間諜軟件、廣告軟件、瀏覽器劫持等),網(wǎng)絡(luò)釣魚程序(網(wǎng)絡(luò)詐騙)或垃圾郵件的特征。
在本發(fā)明實施例中,由于所述匹配路徑是根據(jù)IPS簽名庫的M個子簽名庫生成的,所述M個子簽名庫是在IPS簽名庫的所有N個子簽名庫中根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用統(tǒng)計信息選取的,所述N為大于I的整數(shù),所述M為大于I且小于N的整數(shù);因此,在對該用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配時,只需要匹配相應(yīng)的匹配路徑中的M(M小于N)子簽名庫,即可有效的完成威脅特征的識別,避免了匹配整個IPS簽名庫,提高了進行IPS簽名匹配的效率。下面對如何進行IPS簽名匹配進行詳細描述,請參閱圖4,本發(fā)明實施例中入侵防御系統(tǒng)的簽名匹配方法的另ー個實施例包括401、獲取網(wǎng)絡(luò)數(shù)據(jù);本實施例中的步驟401的內(nèi)容與前述圖3所示的實施例中步驟301的內(nèi)容相同,此處不再贅述。402、查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識;在本發(fā)明實施例中,由于匹配路徑是針對不同類型的用戶設(shè)置的,因此,在進行IPS簽名匹配之前需要通過查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識,查找到該用戶標(biāo)識對應(yīng)的匹配路徑。具體的,在獲取所述網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的用戶標(biāo)識后,可以根據(jù)所述用戶標(biāo)識查找所述用戶標(biāo)識所屬的用戶組,從而根據(jù)所述用戶組和匹配路徑的映射關(guān)系查找到該用戶組對應(yīng)的匹配路徑。403、獲取子簽名庫中的簽名;在查找到所述用戶標(biāo)識對應(yīng)的匹配路徑之后,IPS簽名匹配裝置提取所述匹配路徑中第一個匹配節(jié)點對應(yīng)的子簽名庫,并逐一獲取所述子簽名庫中的簽名,觸發(fā)步驟404進行匹配。當(dāng)?shù)谝粋€匹配節(jié)點對應(yīng)的子簽名庫中的簽名都獲取完之后,IPS簽名匹配裝置提取所述匹配路徑中第二個匹配節(jié)點對應(yīng)的子簽名庫,繼續(xù)獲取新的簽名并觸發(fā)步驟404進行匹配,直到所有子簽名庫的簽名都匹配過,若所述子簽名庫中的任一簽名與所述網(wǎng)絡(luò)數(shù)據(jù)匹配成功,則所述IPS簽名匹配結(jié)束,輸出匹配結(jié)果;若所述M個子簽名庫中的所有簽名都匹配失敗,則所述IPS簽名匹配結(jié)束;或步驟404不再觸發(fā)步驟403 (即簽名匹配成功)匹配,則獲取簽名的流程結(jié)束。
404、使用所述簽名對所述網(wǎng)絡(luò)數(shù)據(jù)進行匹配。IPS簽名匹配裝置使用所述簽名對所述網(wǎng)絡(luò)數(shù)據(jù)進行匹配,若匹配成功,則所述IPS簽名匹配結(jié)束,輸出匹配結(jié)果;若匹配失敗,則觸發(fā)步驟403繼續(xù)獲取其余未進行匹配的簽名。在實際應(yīng)用中,由于匹配路徑中匹配節(jié)點的部署可以考慮各個子簽名庫的使用頻率,優(yōu)先將使用頻率高的子簽名庫部署在匹配路徑的前面,因此,在進行簽名匹配的過程中,簽名命中(即簽名匹配成功)幾率高的子簽名庫優(yōu)先進行匹配,一旦簽名命中,則匹配流程結(jié)束,無需對其余的子簽名庫繼續(xù)進行匹配,從而進一步提高了 IPS簽名匹配的效率。在本發(fā)明實施例中,在對網(wǎng)絡(luò)數(shù)據(jù)進行簽名匹配的同時,還可以對網(wǎng)絡(luò)數(shù)據(jù)的相關(guān)信息進行統(tǒng)計,具體請參閱圖5,本發(fā)明實施例中入侵防御系統(tǒng)的簽名匹配方法的另ー個實施例包括
501、獲取網(wǎng)絡(luò)數(shù)據(jù);在網(wǎng)絡(luò)數(shù)據(jù)到達之后,IPS路由器(可以為鏡像交換機)將所述網(wǎng)絡(luò)數(shù)據(jù)復(fù)制成兩份,一份網(wǎng)絡(luò)數(shù)據(jù)進行如上述圖3或圖4實施例所描述的簽名匹配流程(此處不再贅述),另ー份則進行數(shù)據(jù)統(tǒng)計處理。502、對所述網(wǎng)絡(luò)數(shù)據(jù)進行協(xié)議識別;IPS簽名匹配裝置對所述網(wǎng)絡(luò)數(shù)據(jù)進行協(xié)議識別,得到用戶標(biāo)識、協(xié)議類型和應(yīng)用類型等信息;其中,所述用戶標(biāo)識可以為用戶名或五元組信息(源IP地址、目的IP地址、源端ロ、目的端口和傳輸層協(xié)議號),所述協(xié)議類型可以為所述網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的應(yīng)用所使用的協(xié)議,所述應(yīng)用類型可以為所述網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的應(yīng)用。具體的,協(xié)議識別可以使用特征串匹配或校驗算法等識別方法,協(xié)議識別的結(jié)果可以使用列表進行記錄存儲,如表I所示表I
五元組信息協(xié)議類型應(yīng)用 源IP地址目的IP地址源端ロ 目的傳輸應(yīng)用協(xié)議應(yīng)用類型 端ロ 協(xié)議
196.124.5. 58.60.126.5 1301 80 TCP HTTP 網(wǎng)頁瀏覽 124
202.96.156 58.60.126.5 1475 80 TCP HTTP 網(wǎng)頁瀏覽
.1234124.64.55. 129.25.126. 1253 1433 TCP MYSQL 數(shù)據(jù)庫業(yè)93務(wù)503、IPS簽名匹配裝置判斷是否需要對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析;IPS簽名匹配裝置根據(jù)所述協(xié)議識別的結(jié)果判斷是否需要對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析,若是,則觸發(fā)步驟504,對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析;若否,則直接觸發(fā)步驟505,確認(rèn)特征識別的結(jié)果。具體的,在實際應(yīng)用中,某些應(yīng)用的威脅特征可能不需要通過操作系統(tǒng)信息、服務(wù)提供者或流量等應(yīng)用信息進行判斷,因此,IPS簽名匹配裝置可以預(yù)設(shè)ー個需要進行深度解析的應(yīng)用協(xié)議或應(yīng)用類型的列表,IPS簽名匹配裝置可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的協(xié)議識別結(jié)果和該預(yù)設(shè)的列表判斷網(wǎng)絡(luò)數(shù)據(jù)是否需要進行深度解析。504、對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析; 在確定所述網(wǎng)絡(luò)數(shù)據(jù)需要進行深度解析之后,IPS簽名匹配裝置根據(jù)協(xié)議識別的結(jié)果(深度解析需要知道所述網(wǎng)絡(luò)數(shù)據(jù)的協(xié)議類型或應(yīng)用類型)對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析,得到深度解析的結(jié)果;具體的,所述深度解析的結(jié)果可以包括以下幾個維度操作系統(tǒng)信息,服務(wù)類型和服務(wù)提供商等。具體的,進ー步進行深度解析的結(jié)果如表2所示表2
五元組信息協(xié)議應(yīng)用應(yīng)用信息
類型
源IP 目的IP源端目的傳輸應(yīng)用應(yīng)用服務(wù)提操作系統(tǒng)
地址地址 ロ 端ロ 協(xié)議協(xié)議類型供商
196.1258.60.1 1301 80 TCP HTT 網(wǎng)頁 IIS WINDO
權(quán)利要求
1.一種簽名庫的匹配路徑生成方法,其特征在于,包括 對入侵防御系統(tǒng)IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù); 獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的; 根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù); 根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,使得IPS簽名匹配裝置使用所述第一匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述第一匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述應(yīng)用統(tǒng)計信息包括 用戶標(biāo)識,所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息; 所述根據(jù)應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相匹配的M個子簽名庫,包括 查找所述用戶標(biāo)識對應(yīng)的用戶組; 根據(jù)預(yù)置規(guī)則在所述N個子簽名庫中,選擇與所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息相匹配的子簽名庫; 統(tǒng)計得到一個所述用戶組內(nèi)所有用戶標(biāo)識對應(yīng)的M個子簽名庫。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述應(yīng)用統(tǒng)計信息還包括 所述應(yīng)用類型對應(yīng)的使用比例; 所述根據(jù)M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,包括 根據(jù)各個應(yīng)用類型對應(yīng)的使用比例為所述M個子簽名庫設(shè)置匹配優(yōu)先級,根據(jù)所述匹配優(yōu)先級依次部署匹配節(jié)點,得到用戶組對應(yīng)的第一匹配路徑,所述匹配節(jié)點與所述子簽名庫的存儲地址--對應(yīng)。
4.根據(jù)權(quán)利要求I至3任意一項所述的方法,其特征在于,所述方法還包括 每隔預(yù)置時長更新所述應(yīng)用統(tǒng)計信息; 使用更新后的應(yīng)用統(tǒng)計信息計算第二匹配路徑; 判斷IPS簽名匹配裝置是否正在使用所述第一匹配路徑進行IPS簽名匹配,若不是,則使用所述第二匹配路徑替換所述第一匹配路徑;若是,正在進行的IPS簽名匹配仍使用所述第一匹配路徑進行匹配,新建立的IPS簽名匹配任務(wù)則使用所述第二匹配路徑進行匹配,在使用所述第一匹配路徑的IPS簽名匹配任務(wù)結(jié)束后,使用所述第二匹配路徑替換所述第一匹配路徑。
5.一種入侵防御系統(tǒng)的簽名匹配方法,其特征在于,包括 獲取網(wǎng)絡(luò)數(shù)據(jù),查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識; 查找所述用戶標(biāo)識對應(yīng)的用戶組,并根據(jù)所述用戶組與匹配路徑的映射關(guān)系獲取與所述用戶組對應(yīng)的匹配路徑; 使用所述匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述匹配路徑是根據(jù)IPS簽名庫的M個子簽名庫生成的,所述M個子簽名庫是在所述IPS簽名庫的所有N個子簽名庫中根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用統(tǒng)計信息選取的,所述N為大于I的整數(shù),所述M為大于I且小于N的整數(shù),所述匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述使用用戶標(biāo)識對應(yīng)的匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,包括 依次使用匹配路徑中匹配節(jié)點對應(yīng)的子簽名庫對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配;若所述子簽名庫中的任一簽名與所述網(wǎng)絡(luò)數(shù)據(jù)匹配成功,則所述IPS簽名匹配結(jié)束,輸出匹配結(jié)果。
7.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述獲取網(wǎng)絡(luò)數(shù)據(jù)之后,包括 對所述網(wǎng)絡(luò)數(shù)據(jù)進行特征識別; 使用所述特征識別的結(jié)果更新IPS簽名匹配裝置存儲的應(yīng)用統(tǒng)計信息。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別,包括 對所述網(wǎng)絡(luò)數(shù)據(jù)進行協(xié)議識別; 根據(jù)所述協(xié)議識別的結(jié)果判斷是否需要對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析,若是,則對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析,并確定所述協(xié)議識別和所述深度解析的結(jié)果為所述特征識別的結(jié)果;若否,則確定所述協(xié)議識別的結(jié)果為所述特征識別的結(jié)果。
9.一種路徑生成裝置,其特征在于,包括 歸類單元,用于對IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù); 信息獲取單元,用于獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的; 簽名庫選取單元,用于根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù); 路徑生成單元,用于根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,使得IPS簽名匹配裝置使用所述第一匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述第一匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系。
10.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述簽名庫選取單元包括 用戶組查找模塊,用于查找所述應(yīng)用統(tǒng)計信息的用戶標(biāo)識對應(yīng)的用戶組; 簽名庫選取模塊,用于根據(jù)預(yù)置規(guī)則在所述N個子簽名庫中,選擇與所述用戶標(biāo)識對應(yīng)的應(yīng)用類型和應(yīng)用信息相匹配的子簽名庫; 簽名庫統(tǒng)計模塊,用于統(tǒng)計得到一個所述用戶組內(nèi)所有用戶標(biāo)識對應(yīng)的M個子簽名庫。
11.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述路徑生成單元包括 優(yōu)先級設(shè)置模塊,用于根據(jù)各個應(yīng)用類型對應(yīng)的使用比例為所述M個子簽名庫設(shè)置匹配優(yōu)先級; 匹配路徑生成模塊,用于根據(jù)所述匹配優(yōu)先級依次部署匹配節(jié)點,得到用戶組對應(yīng)的第一匹配路徑,所述匹配節(jié)點與所述子簽名庫的存儲地址一一對應(yīng)。
12.—種IPS簽名匹配裝置,其特征在于,包括 數(shù)據(jù)獲取單元,用于獲取網(wǎng)絡(luò)數(shù)據(jù),并查詢所述網(wǎng)絡(luò)數(shù)據(jù)的用戶標(biāo)識; 路徑獲取單元,用于查找所述用戶標(biāo)識對應(yīng)的用戶組,并根據(jù)所述用戶組與匹配路徑的映射關(guān)系獲取與所述用戶組對應(yīng)的匹配路徑; 簽名匹配單元,用于使用所述匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述匹配路徑是根據(jù)IPS簽名庫的M個子簽名庫生成的,所述M個子簽名庫是在所述IPS簽名庫的所有N個子簽名庫中根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用統(tǒng)計信息選取的,所述N為大于I的整數(shù),所述M為大于I且小于N的整數(shù),所述匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系。
13.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述簽名匹配單元包括 簽名匹配模塊,用于依次使用匹配路徑中匹配節(jié)點對應(yīng)的子簽名庫對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配; 匹配終止模塊,用于若所述子簽名庫中的任一簽名與所述網(wǎng)絡(luò)數(shù)據(jù)匹配成功,則所述IPS簽名匹配結(jié)束,輸出匹配結(jié)果。
14.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述IPS簽名匹配裝置還包括 特征識別單元,用于對所述網(wǎng)絡(luò)數(shù)據(jù)進行特征識別; 信息更新單元,用于使用所述特征識別的結(jié)果更新IPS簽名匹配裝置存儲的應(yīng)用統(tǒng)計信息。
15.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述特征識別單元包括 協(xié)議識別模塊,用于對所述網(wǎng)絡(luò)數(shù)據(jù)進行協(xié)議識別; 判斷模塊,用于根據(jù)所述協(xié)議識別的結(jié)果判斷是否需要對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析,若是,則觸發(fā)深度解析模塊;若否,則確定所述協(xié)議識別的結(jié)果為所述特征識別的結(jié)果; 深度解析模塊,用于對所述網(wǎng)絡(luò)數(shù)據(jù)進行深度解析,并確定所述協(xié)議識別和所述深度解析的結(jié)果為所述特征識別的結(jié)果。
16.一種入侵防御系統(tǒng),其特征在于,包括路徑生成裝置和IPS簽名匹配裝置; 所述路徑生成裝置用于對IPS簽名庫進行分層歸類,得到N個子簽名庫,所述N為大于I的整數(shù);獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的;根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于I且小于N的整數(shù);根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的匹配路徑,使得IPS簽名匹配裝置使用所述匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,所述匹配路徑為所述M個子簽名庫的存儲地址映射關(guān)系; 所述IPS簽名匹配裝置用于獲取網(wǎng)絡(luò)數(shù)據(jù),查找所述用戶標(biāo)識對應(yīng)的用戶組,并根據(jù)所述用戶組與匹配路徑的映射關(guān)系獲取與所述用戶組對應(yīng)的匹配路徑;根據(jù)所述用戶標(biāo)識獲取與所述用戶標(biāo)識對應(yīng)的匹配路徑;使用所述匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配。
17.根據(jù)權(quán)利要求16所述的系統(tǒng),其特征在于, 所述路徑生成裝置還用于根據(jù)所述應(yīng)用統(tǒng)計信息中各個應(yīng)用類型對應(yīng)的使用比例為所述M個子簽名庫設(shè)置匹配優(yōu)先級,根據(jù)所述匹配優(yōu)先級依次部署匹配節(jié)點,得到用戶組對應(yīng)的匹配路徑,所述匹配節(jié)點與所述子簽名庫的存儲地址一一對應(yīng); 所述IPS簽名匹配裝置使用所述匹配路徑對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配,包括所述IPS簽名匹配裝置依次使用匹配路徑中匹配節(jié)點對應(yīng)的子簽名庫對所述網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配;若所述子簽名庫中的任一簽名與所述網(wǎng)絡(luò)數(shù)據(jù)匹配成功,則所述IPS簽名匹配結(jié)束,輸出匹配結(jié)果。
18.根據(jù)權(quán)利要求16所述的系統(tǒng),其特征在于,所述IPS簽名匹配裝置還用于對所述網(wǎng)絡(luò)數(shù)據(jù)進行特征識別,使用所述特征識別的結(jié) 果更新IPS簽名匹配裝置存儲的應(yīng)用統(tǒng)計信肩、O
全文摘要
本發(fā)明實施例公開了一種簽名庫的匹配路徑生成方法及相關(guān)裝置,用于提高IPS進行簽名匹配的效率。本發(fā)明實施例方法包括對入侵防御系統(tǒng)IPS簽名庫進行分層歸類,得到N個子簽名庫;獲取應(yīng)用統(tǒng)計信息,所述應(yīng)用統(tǒng)計信息是對網(wǎng)絡(luò)數(shù)據(jù)進行特征識別后統(tǒng)計得到的;根據(jù)所述應(yīng)用統(tǒng)計信息在所述N個子簽名庫中,選擇與所述應(yīng)用統(tǒng)計信息對應(yīng)的用戶組相適配的M個子簽名庫,所述M為大于1且小于N的整數(shù);根據(jù)所述M個子簽名庫生成所述用戶組對應(yīng)的第一匹配路徑,使得IPS簽名匹配裝置使用所述第一匹配路徑對所述用戶組的網(wǎng)絡(luò)數(shù)據(jù)進行IPS簽名匹配。
文檔編號H04L29/06GK102752275SQ20111046197
公開日2012年10月24日 申請日期2011年12月31日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者周* 申請人:華為技術(shù)有限公司