一种攻击防御规则的开启方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其是一种攻击防御规则的开启方法和装置。
【背景技术】
[0002]IPS(Intrus1n Prevent1n System,入侵防御系统)设备通过检测数据报文,发现数据报文中的异常和攻击载荷,以对数据报文进行处理。目前,IPS设备中存在大量攻击防御规则,用户需要根据网络部署情况,为不同的业务节点开启不同的攻击防御规则。例如,用户为业务节点A开启攻击防御规则1-攻击防御规则10,为业务节点B开启攻击防御规则5-攻击防御规则15。针对访问业务节点A的数据报文,IPS设备基于开启的攻击防御规则1-攻击防御规则10对该数据报文进行处理。针对访问业务节点B的数据报文,IPS设备基于开启的攻击防御规则5-攻击防御规则15对该数据报文进行处理。
[0003]当网络中存在大量业务节点时,需要在IPS设备中,手工为每个业务节点开启攻击防御规则,用户工作量非常大,而且需要消耗大量的人力和时间。
【发明内容】
[0004]本发明提供一种攻击防御规则的开启方法,所述方法包括以下步骤:
[0005]获得业务节点的地址信息,并利用所述地址信息查询预先配置的信息列表;其中,所述信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系;
[0006]如果所述信息列表中没有所述地址信息对应的记录,则获得所述业务节点的规则开启参考信息,并在所述信息列表中记录所述地址信息与所述规则开启参考信息之间的对应关系;
[0007]生成包括所述规则开启参考信息的入侵防御系统IPS部署策略,并将所述IPS部署策略发送给IPS设备,以使所述IPS设备开启所述IPS部署策略中携带的所述规则开启参考信息对应的攻击防御规则。
[0008]本发明提供一种攻击防御规则的开启装置,具体包括:
[0009]查询模块,用于获得业务节点的地址信息,并利用所述地址信息查询预先配置的信息列表;其中,所述信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系;
[0010]获得模块,用于当所述信息列表中没有所述地址信息对应的记录时,则获得所述业务节点的规则开启参考信息,并在所述信息列表中记录所述地址信息与所述规则开启参考信息之间的对应关系;
[0011]生成模块,用于生成包括所述规则开启参考信息的IPS部署策略;
[0012]发送模块,用于将所述IPS部署策略发送给IPS设备,以使IPS设备开启所述IPS部署策略中携带的规则开启参考信息对应的攻击防御规则。
[0013]基于上述技术方案,本发明实施例中,可以基于业务节点的规则开启参考信息生成IPS部署策略,并将IPS部署策略发送给IPS设备,以使IPS设备开启规则开启参考信息对应的攻击防御规则,从而可以自动开启针对业务节点的攻击防御规则,而不需要用户手工为每个业务节点开启相应的攻击防御规则,减少用户开启的工作量,避免消耗大量的人力和时间。
【附图说明】
[0014]图1是本发明实施例的应用场景示意图;
[0015]图2是本发明一种实施方式中攻击防御规则的开启方法的流程图;
[0016]图3是本发明一种实施方式中智能策略生成器的逻辑结构图;
[0017]图4是本发明一种实施方式中攻击防御规则的开启装置的逻辑结构图。
【具体实施方式】
[0018]针对现有技术中存在的问题,本发明实施例中提出了一种攻击防御规则的开启方法,以图1为本发明实施例的应用场景示意图,该方法可以应用于包括智能策略生成器、IPS设备和多个业务节点的系统中。各业务节点用于为用户设备提供相应的业务,如为用户设备提供SSH(Secure Shell,安全外壳)业务。IPS设备通过配置的大量攻击防御规则,检测用户设备发送给业务节点的数据报文中是否存在异常或攻击载荷,在数据报文中存在异常或攻击载荷时,拒绝将数据报文发送给业务节点,在数据报文中不存在异常或攻击载荷时,允许将数据报文发送给业务节点,以为业务节点提供安全保护。
[0019]本发明实施例中,智能策略生成器可以为独立的设备,也可以作为功能单元部署在IPS设备上。进一步的,IPS设备的数量可以为一个或者多个。当IPS设备的数量为一个时,则智能策略生成器可以为IPS设备上的功能单元,或者为与IPS设备连接的独立设备。当IPS设备的数量为多个时,则可以将智能策略生成器作为功能单元部署在每个IPS设备上,或者,只部署一个独立的智能策略生成器,且该智能策略生成器与每个IPS设备连接。在图1中,以智能策略生成器作为独立的设备,并与IPS设备连接为例。
[0020]如图2所示,该攻击防御规则的开启方法包括以下步骤:
[0021]步骤201,智能策略生成器获得业务节点的地址信息,并利用该地址信息查询预先配置的信息列表。其中,该信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系。
[0022]本发明实施例中,该地址信息具体包括但不限于IP地址。智能策略生成器获得业务节点的地址信息的过程,具体包括但不限于如下方式:智能策略生成器接收来自IPS设备的数据报文,并提取该数据报文的目的IP地址,并将目的IP地址作为业务节点的IP地址。或者,智能策略生成器接收用户配置的计划任务信息,该计划任务信息中包括业务节点的IP地址;智能策略生成器从计划任务信息中提取业务节点的IP地址。
[0023]其中,在用户设备访问业务节点的过程中,用户设备会向业务节点发送数据报文,该数据报文的目的IP地址为业务节点的IP地址。IPS设备在收到来自用户设备的数据报文后,将数据报文复制一份,将复制的数据报文发送给智能策略生成器。智能策略生成器在收到来自IPS设备的数据报文后,可以将数据报文的目的IP地址作为业务节点的IP地址。
[0024]另外,当需要开启针对某个业务节点的攻击防御规则时,用户根据实际需要,可以主动在智能策略生成器上配置包括该业务节点的IP地址的计划任务信息,智能策略生成器可以从计划任务信息中提取业务节点的IP地址。
[0025]在实际应用中,业务节点的地址信息除了包括IP地址外,还可以包括业务端口。智能策略生成器可以提取数据报文的目的端口,并将目的端口作为业务节点的业务端口。或者,计划任务信息中还可以包括业务节点的业务端口,智能策略生成器从计划任务信息中提取业务节点的业务端口。
[0026]为了方便描述,以业务节点的地址信息为IP地址为例进行说明。
[0027]本发明实施例中,会在智能策略生成器中预先配置信息列表,该信息列表用于记录已经开启攻击防御规则的业务节点的地址信息与规则开启参考信息之间的对应关系。如果信息列表记录了某业务节点的地址信息,则表示IPS设备已经针对该业务节点开启攻击防御规则。如果信息列表没有记录某业务节点的地址信息,则表示IPS设备还没有针对该业务节点开启攻击防御规则。
[0028]步骤202,如果信息列表中没有业务节点的地址信息对应的记录,则智能策略生成器获得该业务节点的规则开启参考信息,并在信息列表中记录该业务节点的地址信息与规则开启参考信息之间的对应关