专利名称:生成攻击特征库的方法、防范网络攻击的方法以及装置的制作方法
技术领域:
本发明涉及互联网,尤其涉及一种生成攻击特征库的方法、防范网络攻击 的方法以及用于防范网络攻击的装置。
背景技术:
谈到安全网络, 一般分为三个层面,即设备安全、网络安全、业务安全。 其中设备安全是构建安全网络的基础,因此如何保证网络设备尤其是重要节点 的网络设备(如路由器和交换机)安全是业界需要重点解决的问题。对于服务器等关键设备防护,很自然地想到防火墙, 一般在设备网络接口 上串接一 台防火墙可以有效保证设备的安全。但是对于路由器等设备的防护则 比较难,因为路由器特别是高端路由器接口密度高、流量大,因此,无法使用 外置防火墙对路由器本身进行攻击防护。因此,对于路由器的防护一般有下面 两种^支术。现有技术的解决方案是将IPS (Intrusion Prevention System,入侵防御系统) /IDS (Intrusion Detection System,入侵检测系统)系统全部集成到系统内,由系 统CPU进行实时防攻击处理。IPS规则库是对网络上已有的各种攻击特征的总 结。随着时间的推移,攻击越来越多,IPS规则库也越来越大,系统处理负担(资 源及性能消耗)也越来越重,所以IPS规则库一般较大,且处理过程复杂,对 于CPU性能要求较高,而一般普通的CPU处理性能较低,因此,通常在企业级 的中低端路由器上使用。如果应用在基于分布式架构的高端路由器上,会占用 太多的资源和CPU性能,效果较差。发明内容本发明实施例所要解决的技术问题在于,提供一种防范网络攻击的方法及 装置,可在不占用太多的资源和CPU性能的前提下,能对系统实施有效的实时 防护,提高整个系统的防范能力。为了解决上述技术问题,本发明实施例提供了一种生成攻击特征库的方法,包括将^R文上送至主控CP的同时将所述"R文緩存至待分析队列;的上送报文是否含有攻击特征,判断为是时,提取所述报文的攻击特征保存至 攻击特征库。还提供了一种防范网络攻击的方法,包括根据攻击特征库判断需上送至主控CP的报文中是否包含有所述攻击特征 库中的攻击特征,判断为是时,根据所述攻击特征对所述报文进行相应的防攻 击处理;当判断否时,将所述报文上送至主控CP并緩存至待分析队列。相应地,本发明实施例还提供了一种防范网络攻击的装置,包括接收单元,用于接收需上送至主控CP的报文;队列单元,用于存储所述接收单元接收到的所述需上送至主控CP的报文; 攻击特征库,用于存储攻击特征及对应所述攻击特征的初始统计数据及老 化间隔;检测单元,用于根据IPS规则库判断所述队列单元中緩存的上送报文是否 含有攻击特征,判断为是时,提取所述报文的攻击特征保存至攻击特征库,和/有攻击特征,判断为是时,根据攻击特征对该攻击"^艮文进行相应的防攻击处理 当判断否时,将所述^^艮文上送至主控CP并緩存至所述队列单元。实施本发明实施例,具有如下有益效果能够从庞大的IPS规则库中提取 出已发生的攻击特征形成攻击特征库,从而能够对后续的同类型攻击实施有效 的实时防范,在保证系统性能的同时,可以取得较好的防范效果。
图l是本发明实施例的整体结构示意图;图2是本发明实施例中检测单元的结构示意图;图3是本发明实施例中生成攻击特征库的流程示意图;图4是本发明实施例中防范网络攻击的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明 作进一步地详细描述。参照图l和图2,图l是本发明实施例防范网络攻击装置的整体结构示意图, 包括接收单元1、队列单元2、检测单元3、攻击特征库4、记录单元5和老化 处理单元6,其中接收单元l,用于接收需上送至主控CP的报文。队列单元 2,用于存储所述接收单元1接收到的所述需上送至主控CP的报文。攻击特征 库4,用于存储攻击特征及对应所述攻击特征的初始统计数据及老化间隔,所述 初始统计数据为所述攻击特征的攻击次数,所述老化间隔为所述攻击特征的存 活时间段。检测单元3,用于根据IPS规则库判断所述队列单元2中緩存的上送 报文是否含有攻击特征,判断为是时,提取所述报文的攻击特征保存至所述攻 击特征库4,和/或根据所述攻击规则库4中存储的攻击规则判断所述接收单元 接收的报文是否含有攻击特征,判断为是时,根据攻击特征对该攻击报文进行 相应的防攻击处理当判断否时,将所述^Jl上送至主控CP并i爰存至所述队列单 元2。参照图2,所述检测单元3包括第一检测单元31,用于根据IPS库中的 规则检测所述待分析的报文中是否含有攻击特征,判断为是时,提取所述报文 的攻击特征保存至攻击特征库4;第二^r测单元32,用于冲艮据所述攻击特征库4计;当判断为否时,将所述^JL上送至主控CP并緩存至所述队列单元2。记录 单元5,用于在所述攻击特征库4接收所述第一检测单元31提交的攻击特征时, 为所述攻击特征产生初始统计数据和老化间隔。老化处理单元6,用于当所述攻 击特征到达老化间隔时,判断所述第二检测单元32中所述攻击特征的现有攻击 次数与所述攻击特征在所述攻击特征库4中对应的初始统计数据是否一致,判 断为是时,从所述攻击特征库4中删除所述攻击特征,释放系统资源;判断为 否时,将通过所述记录单元5将所述攻击特征的初始统计数据替换为所述攻击 特征的现有攻击次数并为所述攻击特征产生新的老化间隔。在具体实施过程中,当接收单元1接收到需上送至主控CP的报文后,通过 检测单元3中的第二检测单元32根据攻击特征库4中的攻击特征检测所述接收 单元1接收的报文是否含有攻击特征,判断为是时,根据所述攻击特征的类型 对报文进行相应防攻击处理,同时对所述攻击特征类型进行现有攻击次数的累计,所有攻击特征库4中的攻击特征的现有攻击次数在初始时为0,在具体实施 时,例如某攻击特征的现有攻击次数为3,当所述第二^r测单元32从上送至主 控CP的报文发现了含有所述攻击特征的报文,则对所述报文进行防攻击处理的 同时,还将所述攻击特征的现有攻击次数累计为4。所述防攻击处理包括丢弃、 限速等,所述攻击特征的类型可分为五元组型、深度过滤型、限速型三种;当 判断否时,将所述报文上送至主控CP并緩存至所述队列单元2。报文上送完后 判断主控CP是否受到攻击产生重启,发生主备异常导换,判断为否时,继续接 收报文,判断为是时,检测单元3将对队列单元2中援存的报文进行攻击特征 检测,具体由检测单元3中的第 一检测单元31根据IPS规则库中的攻击特征判 断所述队列单元2中的报文是否含有攻击特征,判断为是时,提取所述报文的 攻击特征保存至攻击特征库4;每次攻击特征库4接收所述检测单元3发送的攻 击特征时,记录单元5都将为所述接收的攻击特征记录产生初始统计数据和老 化间隔,攻击特征的初始统计数据为0;当所述攻击特征到达老化间隔时,则由 老化单元6判断所述第二检测单元32中记录的所述攻击特征的现有攻击次数与 所述攻击特征在所述攻击特征库中对应的初始统计数据是否一致,判断为是时, 从所述攻击特征库4中删除所述攻击特征,释放系统资源;判断为否时,将通 过所述记录单元将所述攻击特征的初如统计^t据替换为所述攻击特征的现有攻 击次数并为所述攻击特征产生新的老化间隔。具体实施时,例如某攻击特征A 的现有攻击次数为3,攻击特征B的现有攻击次数为0,而攻击特征A和B在 攻击特征库中的初始统计数据均为0,当攻击特征A到达老化间隔时,老化单 元6将所述攻击特征A的现有攻击次数3与其在攻击特征库中相应的初始统计 数据0相比较是否一致,判断为否,此时,老化单元6将所述攻击特征A的初 如统计数据0替换为所述攻击特征的现有攻击次数3,则攻击特征A的初始统 计数据变成了 3,同时,老化单元6还将为攻击特征A产生新的老化间隔。当 攻击特征B到达老化间隔时,老化单元6将所述攻击特征B的现有攻击次凄丈0 与其在攻击特征库中相应的初始统计数据O相比较是否一致,判断为是,此时, 老化单元6将从所述攻击特征库中删除所述攻击特征B,释放系统资源。在具体实施过程中,各个防范网络攻击装置之间的攻击特征库可以冲艮据需 要实行同步,以达至更好的防范效果。图3是本发明实施例中生成攻击特征库的流程示意图,在生成攻击特征库的方法中,具体包括以下步骤步骤S301,接收需上送主控CP的报文。步骤S302,緩存报文至待分析队列。具体实施时,将接收的报文上送至主 控CP后,不释放报文的緩存空间,而是将所述上送的报文緩存至待分析队列中, 所述待分析队列为循环队列。步骤S303,判断主控CP是否发生主备异常倒换。在具体实施时,当报文 上送完成后,刚判断所述主控CP是否发生主备异常倒换,当判断为否时,结束 流程,当判断为是时,继续步骤S304。步骤S304,根据IPS规则判断待分析队列中的报文是否含有攻击特征。判 断为是时,执行步骤S305;判断为否时,结束流程。步骤S305,将所述发现的攻击特征保存至攻击特征库。具体实施时,当根 据IPS规则从待分析队列的报文中发现攻击特征时,则将所述发现的攻击特征 从所述报文中提取出来保存至攻击特征库中。步骤S306,为攻击特征产生初始统计数据和老化间隔。具体操:作时,每次 有新的攻击特征保存至攻击特征库,都将为所述新保存的攻击特征设定对应的 初始统计数据和老化间隔,所述初始统计数据在初始化时为0。图4是本发明实施例中防范网络攻击的流程示意图。具体步骤为步骤S401,接收需上送主控CP的报文。步骤S402,根据攻击特征库判断所述报文中是否含有攻击特征,判断为是 时,执行步骤S403;判断为否时,执行步骤S405。步骤S403,根据攻击特征的类型对所述报文进行相应防攻击处理。在具体 实施时,当检测至攻击特征后,则将所述含有攻击特征的报文按照所述报文中 攻击特征的类型相应的防攻击进行处理。攻击特征的类型具体分为三种类型 五元组型、深度过滤型、限速型。相应的防攻击处理为丢弃、限速等。步骤S404,累计所述攻击特征的现有攻击次数。具体实施时,例如某攻击 特征的原现有攻击次数为3,当从上送至主控CP的报文发现了含有所述攻击特 征的报文,则对所述报文进行防攻击处理的同时,还将所述攻击特征所述攻击 特征的现有攻击次数累计为4。步骤S405,将所述报文上送至主控CP。具体实施时,当根据攻击特征库判 断需上送的报文中没有攻击特征时,则将所述才艮文上送至主控CP。步骤S406,緩存报文至待分析队列。具体实施时,将报文上送至主控CP 后,不释放报文的緩存空间,而是将所述上送的报文緩存至待分析队列中,所 述待分析队列为循环队列。
步骤S407,判断主控CP是否发生主备异常倒换。在具体实施时,当报文 上送完成后,刚判断所述主控CP是否发生主备异常倒换,当判断为否时,结束 流程,当判断为是时,继续步骤S408。
步骤S408,根据IPS规则判断待分析队列中的报文是否含有攻击特征。判 断为是时,执行步骤S409;判断为否时,结束流程。
步骤S409,将所述发现的攻击特征保存至攻击特征库。具体实施时,当根 据IPS规则从待分析队列的报文中发现攻击特征时,则将所述发现的攻击特征 从所述报文中提取出来保存至攻击特征库中。
步骤S410,为攻击特征产生初始统计数据和老化间隔。具体操作时,每次 有新的攻击特征保存至攻击特征库,都将为所述新保存的攻击特征设定对应的 初始统计数据和老化间隔,所述初始统计数据在初始化时为0。
步骤S411,当攻击特征到达老化间隔后判断所述攻击特征的现有攻击次数 是否和初始统计数据一致,当判断为是时,执行步骤S502,判断为否时,执行 步骤S503;
步骤S412,当判断为是时,即所迷攻击特征的现有攻击次数与初始统计数 据一致,则从攻击特征库中删除所述攻击特征,并释放占用的系统资源;
步骤S413,当判断为否时,即所述攻击特征的现有攻击次数与初始统计数 据不一致,则将所述攻击特征的初始统计数据替换为现有攻击次^L,并为所述 攻击特征产生新的老化间隔。
具体实施时,例如某攻击特征A的现有攻击次数为3,攻击特征B的现有攻击 次数为O,而攻击特征A和B的初始统计数据均为O,当攻击特征A到达老化间隔 时,将判断所述攻击特征A的现有攻击次数3与其相应的初始统计it据0是否一 致,判断为否,此时,将所述攻击特征A的初如统计数据O替换为所述攻击特征 的现有攻击次数3,则攻击特征A的初始统计数据变成了3,同时,还将为攻击特 征A产生新的老化间隔。当攻击特4正B到达老化间隔时,将判断所述攻击特4正B 的现有攻击次数O与其在攻击特征库中相应的初始统计数据O是否一致,判断为 是,此时,将从所述攻击特征库中删除所述攻击特征B,释;^文其占用的系统资源。通过实施本发明实施例,能够从庞大的IPS规则库中提取出当前最有可能发生的攻击形成攻击特征库,能对发生过的同类型攻击实施有效的实时防范, 既优化了系统的性能,又取得了较好的防范效果。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之 权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
权利要求
1. 一种生成攻击特征库的方法,其特征在于,包括将报文上送至主控CP的同时将所述报文缓存至待分析队列;当主控CP发生主备异常倒换时根据IPS规则库判断所述待分析队列中缓存的上送报文是否含有攻击特征,判断为是时,提取所述报文的攻击特征保存至攻击特征库。
2, 如权利要求l所述的方法,其特征在于,所述待分析队列是循环队列。
3,如权利要求l所述的方法,其特征在于,所述提取所述报文的攻击特征 保存至攻击特征库之后包括为所述攻击特征产生初始统计数据和老化间隔。
4, 一种防范网络攻击的方法,其特征在于,包括根据攻击特征库判断需上送至主控CP的报文中是否包含有所述攻击特征 库中的攻击特征,判断为是时,根据所述攻击特征对所述净艮文进行相应的防攻 击处理;当判断否时,将所述报文上送至主控CP并緩存至待分析队列。
5,如权利要求4所述的方法,其特征在于,在对所述含有攻击特征的报文 进行防攻击处理的同时,还包括累计所述攻击特征的现有攻击次数;
6,如权利要求5所述的方法,其特征在于,当所述攻击特征到达老化间隔 时,判断所述攻击特征的现有攻击次数与所述攻击特征在所述攻击特征库中对 应的初始统计数据是否一致,判断为是时,从所述攻击特征库中删除所述攻击 特征,释放系统资源;判断为否时,将所述攻击特征的初始统计数据替换为所 述现有攻击次数并产生新的老化间隔。
7,如权利要求4所述的方法,其特征在于,还包括当主控CP发生主备异常倒换时根据IPS规则库判断所述待分析队列中緩存的上送报文是含有攻击特征,判断为是时,提取所述报文的攻击特征保存至攻 击特征库。
8,如权利要求4-7中任一项所述的方法,其特征在于,所述攻击特征类型 具体为五元组型、深度过滤型、限速型。
9, 一种防范网络攻击的装置,其特征在于,包括 接收单元,用于接收需上送至主控CP的报文;队列单元,用于存储所述接收单元接收到的所述需上送至主控CP的报文; 攻击特征库,用于存储攻击特征及对应所述攻击特征的初始统计数据及老 化间隔;检测单元,用于根据IPS规则库判断所述队列单元中緩存的上送报文是否 含有攻击特征,判断为是时,提取所述报文的攻击特征保存至攻击特征库,和/有攻击特征,判断为是时,根据攻击特征对该攻击4艮文进行相应的防攻击处理 当判断否时,将所述报文上送至主控CP并緩存至所述队列单元。
10, 如权利要求9所述的防范网络攻击的装置,其特征在于,所述4企测单 元具体包括第一检测单元,用于根据IPS库中的规则检测所述待分析的报文中是否含 有攻击特征,判断为是时,提取所述报文的攻击特征保存至攻击特征库;第二检测单元,用于根据所述攻击特征库中的攻击特征检测所述接收单元接收的报文是否含有攻击特征,判断为是时,根据所述攻击特征对所述报文进 行相应的防攻击处理并进行现有攻击次数的累计;当判断否时,将所述报文上 送至主控CP并緩存至所述队列单元。
11, 如权利要求9所述的防范网络攻击的装置,其特征在于,还包括 记录单元,用于在所述攻击特征库接收所述第一纟企测单元提交的攻击特征时,为所述攻击特征产生初始统计lt据和老化间隔;老化处理单元,当所述攻击特征到达老化间隔时,判断所述第二检测单元 中所述攻击特征的现有攻击次数与所述攻击特征在所述攻击特征库中对应的初 始统计数据是否一致,判断为是时,从所述攻击特征库中删除所述攻击特征,释放系统资源;判断为否时,将通过所述记录单元将所述攻击特征的初如统计
全文摘要
本发明实施例公开了一种生成攻击特征库的方法、防范网络攻击的方法以及用于防范网络攻击的装置。其中所述一种防范网络攻击的方法,包括根据攻击特征库判断需上送至主控CP的报文中是否包含有所述攻击特征库中的攻击特征,判断为是时,根据所述攻击特征对所述报文进行相应的防攻击处理;当判断否时,将所述报文上送至主控CP并缓存至待分析队列。通过使用本发明,能够从庞大的IPS规则库中提取出已发生的攻击特征形成攻击特征库,从而能够对后续的同类型攻击实施有效的实时防范,在保证系统性能的同时,可以取得较好的防范效果。
文档编号H04L9/36GK101272254SQ200810027990
公开日2008年9月24日 申请日期2008年5月9日 优先权日2008年5月9日
发明者李振海 申请人:华为技术有限公司