网络攻击特征库的更新方法及装置的制造方法

网络攻击特征库的更新方法及装置的制造方法
【专利摘要】本申请提供一种网络攻击特征库的更新方法及装置，所述方法应用于特征分析设备上，所述方法包括：接收IPS设备发送的攻击报文，并保存；从自身保存的攻击报文中，获得属于同一类型的攻击报文；确定属于同一类型的攻击报文对应的第一攻击特征；向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。应用本申请实施例，特征分析设备采用统一标准分析得到的攻击特征，比用户手动分析得到的攻击特征更加准确，智能，可以提高用户体验。
【专利说明】
网络攻击特征库的更新方法及装置
技术领域
[0001]本申请涉及网络通信技术领域，尤其涉及一种网络攻击特征库的更新方法及装置。
【背景技术】
[0002]IPS(Intrus1n Prevent1n System，入侵防御系统)设备用于检测网络攻击，当IPS设备接收到来自网络设备的报文时，提取报文的特征，并与网络攻击特征库中记录的攻击特征进行匹配，若匹配到该特征，则确定所述报文为攻击报文，IPS设备对所述报文执行警告或阻断等处理。然而，互联网中的攻击报文的特征随时在变化，需要网络攻击特征库能够得到及时的更新。
[0003]现有网络攻击特征库的更新方式是，用户根据自己掌握的技术或经验，通过分析攻击报文来确定新的攻击特征，然后手动将新的攻击特征添加到IPS设备的网络攻击特征库中。然而，依靠用户分析攻击特征的方式，对用户的要求比较高，由于不同用户掌握的技术或经验不同，因此可能分析出不同的攻击特征，并且还可能分析出错误的攻击特征，从而导致网络攻击特征库中存在错误的攻击特征。在使用错误的攻击特征检测网络攻击时，会将非攻击报文检测为攻击报文，导致用户体验的下降。

【发明内容】

[0004]有鉴于此，本申请提供一种网络攻击特征库的更新方法及装置，以解决现有依靠用户分析攻击特征的方式会导致用户体验下降的问题。
[0005]根据本申请实施例的第一方面，提供一种网络攻击特征库的更新方法，所述方法应用于特征分析设备上，所述方法包括:
[0006]接收IPS设备发送的攻击报文，并保存；
[0007]从自身保存的攻击报文中，获得属于同一类型的攻击报文；
[0008]确定属于同一类型的攻击报文对应的第一攻击特征；
[0009]向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。
[0010]根据本申请实施例的第二方面，提供一种网络攻击特征库的更新方法，所述方法应用于IPS设备上，所述方法包括:
[0011]对接收到的报文进行检测，以判断所述报文中是否包含网络攻击特征库中的攻击特征；
[0012]如果是，则确定所述报文是攻击报文，并将所述攻击报文发送给特征分析设备，以使所述特征分析设备利用所述攻击报文确定第一攻击特征；
[0013]接收所述特征分析设备发送的第一攻击特征，并将所述第一攻击特征添加到所述网络攻击特征库中。
[0014]根据本申请实施例的第三方面，提供一种网络攻击特征库的更新装置，所述装置应用于特征分析设备上，所述装置包括:
[0015]保存单元，用于接收IPS设备发送的攻击报文，并保存；
[0016]获得单元，用于从所述特征分析设备保存的攻击报文中，获得属于同一类型的攻击报文；
[0017]确定单元，用于确定属于同一类型的攻击报文对应的第一攻击特征；
[0018]发送单元，用于向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。
[0019]根据本申请实施例的第四方面，提供一种网络攻击特征库的更新装置，所述装置应用于IPS设备上，所述装置包括:
[0020]检测单元，用于对接收到的报文进行检测，以判断所述报文中是否包含网络攻击特征库中的攻击特征；
[0021]发送单元，用于当判断结果为是时，则确定所述报文是攻击报文，并将所述攻击报文发送给特征分析设备，以使所述特征分析设备利用所述攻击报文确定第一攻击特征；
[0022]更新单元，用于接收所述特征分析设备发送的第一攻击特征，并将所述第一攻击特征添加到所述网络攻击特征库中。
[0023]应用本申请实施例，特征分析设备从IPS设备发送的攻击报文中，获得属于同一类型的攻击报文，然后再确定属于同一类型的攻击报文对应的第一攻击特征，并向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。基于此实现方式，是通过特征分析设备对攻击报文进行分类，然后再提取攻击特征，而不是通过用户手动分析攻击报文，提取攻击特征。由于特征分析设备采用统一标准分析攻击特征，并不要求用户掌握的技术或经验有多高，而且，通过特征分析设备采用的统一标准，不会分析出错误的攻击特征，即网络攻击特征库内的攻击特征都是正确的攻击特征，从而不会导致用户体验的下降。
【附图说明】
[0024]图1为本申请根据一示例性实施例示出的一种网络攻击特征库的更新应用场景图；
[0025]图2为本申请根据一示例性实施例示出的一种网络攻击特征库的更新方法实施例流程图；
[0026]图3为本申请根据一示例性实施例示出的另一种网络攻击特征库的更新方法实施例流程图；
[0027]图4为本申请根据一示例性实施例示出的另一种网络攻击特征库的更新方法实施例流程图；
[0028]图5为本申请根据一示例性实施例示出的特征分析设备的硬件结构图；
[0029]图6为本申请根据一示例性实施例示出的一种网络攻击特征库的更新装置实施例结构图；
[0030]图7为本申请根据一示例性实施例示出的IPS设备的硬件结构图；
[0031]图8为本申请根据一示例性实施例示出的另一种网络攻击特征库的更新装置实施例结构图。
【具体实施方式】
[0032]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0033]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0034]应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0035]参见图1所示，为本申请根据一示例性实施例示出的一种网络攻击特征库的更新应用场景图:包括目标设备、IPS设备、特征分析设备以及网络设备。其中，所述目标设备是受保护的设备，可以是PC(Personal Computer，个人计算机)、手机等，会接收到IPS设备发送的非攻击报文。所述IPS设备用于接收所述网络设备发送的报文，并利用网络攻击特征库对所述报文进行检测，如果报文中包含网络攻击特征库中记录的攻击特征，则确定所述报文为攻击报文，并将所述攻击报文发送到特征分析设备，并对所述攻击报文执行警告或阻断处理；否则，确定所述报文为非攻击报文，将所述非攻击报文发送到目标设备。所述特征分析设备用于对IPS设备发送来的攻击报文进行特征提取，确定第一攻击特征，并将所述第一攻击特征发送到IPS设备，以使IPS设备将第一攻击特征更新到网络攻击特征库中。所述网络设备可以是服务器、路由设备或者网络攻击源设备等。
[0036]在本申请实施例中，特征分析设备从接收到的攻击报文中再度提取的攻击特征称为第一攻击特征，IPS设备检测到报文包含的攻击特征称为第二攻击特征，该第二攻击特征是网络攻击特征库中记录的攻击特征，即所述报文是由于包含第二攻击特征，导致被IPS设备检测为攻击报文。
[0037]参见图2所示，为本申请根据一示例性实施例示出的一种网络攻击特征库的更新方法实施例流程图，该实施例应用于特征分析设备上，包括以下步骤:
[0038]步骤201:接收IPS设备发送的攻击报文，并保存。
[0039]当IPS设备接收到网络设备发送的报文时，会利用网络攻击特征库检测所述报文是否为攻击报文，若是，IPS设备将所述攻击报文发送到特征分析设备，所述特征分析设备将所述攻击报文保存在本地存储介质中。
[0040]其中，IPS设备提取报文的特征，并与网络攻击特征库中的攻击特征进行匹配，若匹配到所述报文的特征，则确定所述报文为攻击报文;若没有匹配到所述报文的特征，则确定所述报文为非攻击报文。
[0041]需要说明的是，当IPS设备从所述网络攻击特征库中匹配到所述报文的特征时，所述报文的特征即为网络攻击特征库中的攻击特征，称为第二攻击特征，因此可以确定所述报文为攻击报文。
[0042]步骤202:从自身保存的攻击报文中，获得属于同一类型的攻击报文。
[0043]针对步骤202，获得属于同一类型的攻击报文可以包括但不限于如下方式:
[0044]方式一:通过统计包含第二攻击特征的攻击报文的数量，以获得属于同一类型的攻击报文。具体实现为:在预设时间周期内，特征分析设备获得自身保存的每个攻击报文对应的第二攻击特征;针对获得的每个第二攻击特征，统计所述第二攻击特征对应的攻击报文的第一数量;如果所述第一数量大于第一预设阈值，则将所述第二攻击特征对应的攻击报文确定为属于同一类型的攻击报文。例如，假设从自身保存的所有攻击报文中获得的第二攻击特征包括特征A、特征B、特征C、特征D、特征E，每个第二攻击特征对应的攻击报文的第一数量为100、57、40、60、70。假设所述第一预设阈值为50，则可以确定特征A对应的所有攻击报文为属于同一类型的攻击报文、特征B对应的所有攻击报文为属于同一类型的攻击报文、特征D对应的所有攻击报文为属于同一类型的攻击报文、特征E对应的所有攻击报文为属于同一类型的攻击报文。
[0045]方式二:通过预设攻击特征来获得属于同一类型的攻击报文。具体实现为:在预设时间周期内，特征分析设备获得自身保存的每个攻击报文对应的第二攻击特征，并将所述第二攻击特征是预设攻击特征的攻击报文确定为属于同一类型的攻击报文。例如，用户根据业务需求，需要对网络攻击特征库中的某一攻击特征进行特征再提取，可以将该攻击特征设为预设攻击特征，以对包含该预设攻击特征的攻击报文进行再度提取，获得更多新的攻击特征。
[0046]在一种可选的实现方式中，IPS设备在检测到所述报文包含网络攻击特征库中记录的某一攻击特征时，该攻击特征可以称为第二攻击特征，并将所述第二攻击特征的标记添加到所述报文中，然后再将所述报文作为攻击报文发送到特征分析设备。基于此，针对方式一和方式二，特征分析设备获得自身保存的每个攻击报文对应的第二攻击特征的过程，可以通过获取自身保存的每个攻击报文携带的第二攻击特征的标记，以获得第二攻击特征。
[0047]其中，所述第二攻击特征的标记可以是数字编号或字符编号等。比如，第二攻击特征为特征A时，对应的标记为I;第二攻击特征为特征B时，对应的标记为2，依次类推，IPS设备对每个第二攻击特征做标记，并将所述标记对应所述第二攻击特征添加到所述网络攻击特征库中。
[0048]方式三:通过统计来源于同一个源IP(Internet Protocol，网际协议)地址的攻击报文的数量，来获得属于同一类型的攻击报文。具体实现为:在预设时间周期内，特征分析设备获得自身保存的每个攻击报文对应的源IP地址;针对获得的每个源IP地址，统计所述源IP地址对应的攻击报文的第二数量;如果所述第二数量大于第二预设阈值，则将所述源IP地址对应的攻击报文确定为属于同一类型的攻击报文。例如，在某段时间范围内，特征分析设备发现携带源IP地址为1.1.1.1的攻击报文的第二数量为150，假设第二预设阈值为80，由于所述第二数量大于所述第二预设阈值，则认为该源IP地址对应的设备是一个攻击源，因此，可以将携带该源IP地址的攻击报文确定为属于同一类型的攻击报文。
[0049]步骤203:确定属于同一类型的攻击报文对应的第一攻击特征。
[0050]当特征分析设备获得属于同一类型的攻击报文时，获得属于同一类型的攻击报文中的所有特征，然后针对获得的每个特征，从所述属于同一类型的攻击报文中统计出具有该特征的攻击报文的第三数量，如果所述第三数量大于第三预设阈值，则将该特征确定为第一攻击特征。
[0051]例如，假设从属于同一类型的攻击报文中得到特征1、特征2、特征3、特征4、特征5，经统计之后，每个特征对应的攻击报文的第三数量分别为20、40、69、32、65，假设所述第三预设阈值为35，将所述第三数量分别与所述第三预设阈值比较，可确定特征2、特征3、特征5均为第一攻击特征。
[0052]步骤204:向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。
[0053]由上述实施例所述，特征分析设备从IPS设备发送的攻击报文中，获得属于同一类型的攻击报文，然后再确定属于同一类型的攻击报文对应的第一攻击特征，并向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。基于此实现方式，是通过特征分析设备对攻击报文进行分类，然后再提取攻击特征，而不是通过用户手动分析所有攻击报文，提取攻击特征。由于特征分析设备采用统一标准分析攻击特征，并不要求用户掌握的技术或经验有多高，而且，通过特征分析设备采用的统一标准，不会分析出错误的攻击特征，即网络攻击特征库内的攻击特征都是正确的攻击特征，从而不会导致用户体验的下降。
[0054]图3为本申请根据一示例性实施例示出的另一种网络攻击特征库的更新方法实施例流程图，该实施例应用于IPS设备上，包括以下步骤:
[0055]步骤301:对接收到的报文进行检测，以判断所述报文中是否包含网络攻击特征库中的攻击特征。
[0056]当IPS设备接收到网络设备发送的报文时，提取所述报文的特征，并将提取到的特征与网络攻击特征库中的攻击特征进行匹配，若未匹配到该特征，则确定所述报文是非攻击报文，执行步骤302;若匹配到该特征，则确定所述报文是攻击报文，执行步骤303。
[0057]其中，针对IPS设备提取所述报文的特征的过程，可以利用DPI(Deep PacketInspect1n，深度包检测)技术对所述报文进行分析，并提取所述报文的特征。
[0058]另外，当IPS设备从所述网络攻击特征库中匹配到所述报文的特征时，所述报文的特征即为网络攻击特征库中的攻击特征，称为第二攻击特征，因此可以确定所述报文为攻击报文，并将所述攻击报文对应的第二攻击特征的标记添加到所述攻击报文中。
[0059]步骤302:将所述非攻击报文发送到对应的目标设备，结束当前流程。
[0060]步骤303:将所述攻击报文发送给特征分析设备，以使所述特征分析设备利用所述攻击报文确定第一攻击特征。
[0061]所述特征分析设备利用所述攻击报文确定第一攻击特征的过程如步骤202和步骤203所述，在此不再一一赘述。
[0062]步骤304:接收所述特征分析设备发送的第一攻击特征，并将所述第一攻击特征添加到所述网络攻击特征库中。
[0063]需要说明的是，IPS设备在添加第一攻击特征到所述网络攻击特征库中时，可以按照现有技术对所述第一攻击特征设置执行动作，比如警告或阻断等。后续只要检测到接收到的报文具有该第一攻击特征，可以对其执行警告、阻断或丢弃。
[0064]由上述实施例所述，特征分析设备从IPS设备发送的攻击报文中，获得属于同一类型的攻击报文，然后再确定属于同一类型的攻击报文对应的第一攻击特征，并向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。基于此实现方式，是通过特征分析设备对攻击报文进行分类，然后再提取攻击特征，而不是通过用户手动分析所有攻击报文，提取攻击特征。由于特征分析设备采用统一标准分析攻击特征，并不要求用户掌握的技术或经验有多高，而且，通过特征分析设备采用的统一标准，不会分析出错误的攻击特征，即网络攻击特征库内的攻击特征都是正确的攻击特征，从而不会导致用户体验的下降。
[0065]参见图4所示，为本申请根据一示例性实施例示出的另一种网络攻击特征库的更新方法实施例流程图，该实施例结合图1示出的应用场景对网络攻击特征库的更新过程进行详细描述，包括以下步骤:
[0066]步骤401: IPS设备接收网络设备发送的报文。
[0067]步骤402:1PS设备对所述报文进行检测，以判断所述报文中是否包含网络攻击特征库中的攻击特征。
[0068]IPS设备提取所述报文的特征，并将提取到特征与网络攻击特征库中的攻击特征进行匹配，若未匹配到该特征，则确定所述报文是非攻击报文，执行步骤403;若匹配到该特征，则确定所述报文是攻击报文，执行步骤404。
[0069]需要说明的是，当IPS设备从所述网络攻击特征库中匹配到所述报文的特征时，所述报文的特征即为网络攻击特征库中的攻击特征，称为第二攻击特征，因此确定所述报文为攻击报文，并将所述攻击报文对应的第二攻击特征的标记添加到所述攻击报文中。
[0070]其中，所述第二攻击特征的标记可以是数字编号或字符编号等。
[0071 ]步骤403: IPS设备将所述非攻击报文发送到目标设备，结束当前流程。
[0072]步骤404:1PS设备将所述攻击报文发送给特征分析设备。
[0073 ]步骤405:特征分析设备接收所述攻击报文，并保存。
[0074]步骤406:特征分析设备从自身保存的攻击报文中，获得属于同一类型的攻击报文。
[0075]针对步骤406，获得属于同一类型的攻击报文可以包括但不限于如下方式:
[0076]方式一:特征分析设备通过统计包含第二攻击特征的攻击报文的数量，以获得属于同一类型的攻击报文。具体实现为:在预设时间周期内，特征分析设备获得自身保存的每个攻击报文对应的第二攻击特征;针对获得的每个第二攻击特征，统计所述第二攻击特征对应的攻击报文的第一数量;如果所述第一数量大于第一预设阈值，则将所述第二攻击特征对应的攻击报文确定为属于同一类型的攻击报文。
[0077]方式二:特征分析设备通过预设攻击特征来获得属于同一类型的攻击报文。具体实现为:在预设时间周期内，特征分析设备获得自身保存的每个攻击报文对应的第二攻击特征，并将所述第二攻击特征是预设攻击特征的攻击报文确定为属于同一类型的攻击报文。
[0078]针对方式一和方式二，特征分析设备获得自身保存的每个攻击报文对应的第二攻击特征的过程，可以通过获取自身保存的每个攻击报文携带的第二攻击特征的标记，以获得第二攻击特征。
[0079]方式三:特征分析设备通过统计来源于同一个源IP地址的攻击报文的数量，来获得属于同一类型的攻击报文。具体实现为:在预设时间周期内，特征分析设备获得自身保存的每个攻击报文对应的源IP地址;针对获得的每个源IP地址，统计所述源IP地址对应的攻击报文的第二数量;如果所述第二数量大于第二预设阈值，则将所述源IP地址对应的攻击报文确定为属于同一类型的攻击报文。
[0080]步骤407:特征分析设备确定属于同一类型的攻击报文对应的第一攻击特征。
[0081]特征分析设备首先获得所述属于同一类型的攻击报文中的所有特征，然后针对获得的每个特征，从所述属于同一类型的攻击报文中统计出具有该特征的攻击报文的第三数量，如果所述第三数量大于第三预设阈值，则将该特征确定为第一攻击特征。
[0082]步骤408:特征分析设备向所述IPS设备发送所述第一攻击特征。
[0083]步骤409:1PS设备将所述第一攻击特征添加到所述网络攻击特征库中。
[0084]由上述实施例所述，特征分析设备从IPS设备发送的攻击报文中，获得属于同一类型的攻击报文，然后再确定属于同一类型的攻击报文对应的第一攻击特征，并向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。基于此实现方式，是通过特征分析设备对攻击报文进行分类，然后再提取攻击特征，而不是通过用户手动分析所有攻击报文，提取攻击特征。由于特征分析设备采用统一标准分析攻击特征，并不要求用户掌握的技术或经验有多高，而且，通过特征分析设备采用的统一标准，不会分析出错误的攻击特征，即网络攻击特征库内的攻击特征都是正确的攻击特征，从而不会导致用户体验的下降。
[0085]与前述网络攻击特征库的更新方法的实施例相对应，本申请还提供了网络攻击特征库的更新装置的实施例。
[0086]本申请网络攻击特征库的更新装置的实施例可以应用在特征分析设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为所述特征分析设备的硬件结构图，除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的设备通常根据该设备的实际功能，还可以包括其他硬件，对此不再赘述。
[0087]参见图6所示，为本申请根据一示例性实施例示出的一种网络攻击特征库的更新装置实施例结构图，该实施例应用于特征分析设备上，所述装置包括:保存单元610、获得单元620、确定单元630、发送单元640。
[0088]其中，保存单元610，用于接收入侵防御系统IPS设备发送的攻击报文，并保存；
[0089]获得单元620，用于从所述特征分析设备保存的攻击报文中，获得属于同一类型的攻击报文；
[°09°]确定单元630，用于确定属于同一类型的攻击报文对应的第一攻击特征；
[0091 ]发送单元640，用于向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。
[0092]在一个可选的实现方式中，所述获得单元，具体用于获得所述特征分析设备保存的每个攻击报文对应的第二攻击特征;针对获得的每个第二攻击特征，统计所述第二攻击特征对应的攻击报文的第一数量;如果所述第一数量大于第一预设阈值，则将所述第二攻击特征对应的攻击报文确定为属于同一类型的攻击报文;或者，
[0093]所述获得单元，具体用于获得所述特征分析设备保存的每个攻击报文对应的第二攻击特征;将所述第二攻击特征是预设攻击特征的攻击报文确定为属于同一类型的攻击报文;或者，
[0094]所述获得单元，具体用于获得所述特征分析设备保存的每个攻击报文对应的源IP地址;针对获得的每个源IP地址，统计所述源IP地址对应的攻击报文的第二数量;如果所述第二数量大于第二预设阈值，则将所述源IP地址对应的攻击报文确定为属于同一类型的攻击报文。
[0095]其中，所述攻击报文中携带有第二攻击特征的标记，所述第二攻击特征的标记是当IPS设备检测到攻击报文具有所述第二攻击特征时，添加到所述攻击报文中的标记。
[0096]在另一个可选的实现方式中，所述确定单元，包括(图6中未示出):
[0097]获得子单元，用于获得所述属于同一类型的攻击报文中的所有特征；
[0098]统计子单元，用于针对获得的每个特征，从所述属于同一类型的攻击报文中统计出具有该特征的攻击报文的第三数量；
[0099]确定子单元，用于如果所述第三数量大于第三预设阈值，则将该特征确定为第一攻击特征。本申请网络攻击特征库的更新装置的实施例还可以应用在IPS设备上。如图7所示，为所述IPS设备的硬件结构图，除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的设备通常根据该设备的实际功能，还可以包括其他硬件，对此不再赘述。
[0100]参见图8所示，为本申请根据一示例性实施例示出的另一种网络攻击特征库的更新装置实施例结构图，该实施例应用于IPS设备上，所述装置包括:检测单元810、发送单元820、更新单元830。
[0101]其中，检测单元810，用于对接收到的报文进行检测，以判断所述报文中是否包含网络攻击特征库中的攻击特征；
[0102]发送单元820，用于当判断结果为是时，则确定所述报文是攻击报文，并将所述攻击报文发送给特征分析设备，以使所述特征分析设备利用所述攻击报文确定第一攻击特征；
[0103]更新单元830，用于接收所述特征分析设备发送的第一攻击特征，并将所述第一攻击特征添加到所述网络攻击特征库中。
[0104]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0105]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0106]以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【主权项】
1.一种网络攻击特征库的更新方法，所述方法应用于特征分析设备上，其特征在于，所述方法包括: 接收入侵防御系统IPS设备发送的攻击报文，并保存； 从自身保存的攻击报文中，获得属于同一类型的攻击报文； 确定属于同一类型的攻击报文对应的第一攻击特征； 向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。2.根据权利要求1所述的方法，其特征在于，所述从自身保存的攻击报文中，获得属于同一类型的攻击报文，包括: 获得自身保存的每个攻击报文对应的第二攻击特征;针对获得的每个第二攻击特征，统计所述第二攻击特征对应的攻击报文的第一数量；如果所述第一数量大于第一预设阈值，则将所述第二攻击特征对应的攻击报文确定为属于同一类型的攻击报文;或者， 获得自身保存的每个攻击报文对应的第二攻击特征;将所述第二攻击特征是预设攻击特征的攻击报文确定为属于同一类型的攻击报文;或者， 获得自身保存的每个攻击报文对应的源网际协议IP地址;针对获得的每个源IP地址，统计所述源IP地址对应的攻击报文的第二数量;如果所述第二数量大于第二预设阈值，则将所述源IP地址对应的攻击报文确定为属于同一类型的攻击报文。3.根据权利要求2所述的方法，其特征在于，所述攻击报文中携带有第二攻击特征的标记，所述第二攻击特征的标记是当IPS设备检测到攻击报文具有所述第二攻击特征时，添加到所述攻击报文中的标记。4.根据权利要求1所述的方法，其特征在于，所述确定属于同一类型的攻击报文对应的第一攻击特征，包括: 获得所述属于同一类型的攻击报文中的所有特征； 针对获得的每个特征，从所述属于同一类型的攻击报文中统计出具有该特征的攻击报文的第三数量； 如果所述第三数量大于第三预设阈值，则将该特征确定为第一攻击特征。5.—种网络攻击特征库的更新方法，所述方法应用于入侵防御系统IPS设备上，其特征在于，所述方法包括: 对接收到的报文进行检测，以判断所述报文中是否包含网络攻击特征库中的攻击特征； 如果是，则确定所述报文是攻击报文，并将所述攻击报文发送给特征分析设备，以使所述特征分析设备利用所述攻击报文确定第一攻击特征； 接收所述特征分析设备发送的第一攻击特征，并将所述第一攻击特征添加到所述网络攻击特征库中。6.一种网络攻击特征库的更新装置，所述装置应用于特征分析设备上，其特征在于，所述装置包括: 保存单元，用于接收入侵防御系统IPS设备发送的攻击报文，并保存； 获得单元，用于从所述特征分析设备保存的攻击报文中，获得属于同一类型的攻击报文； 确定单元，用于确定属于同一类型的攻击报文对应的第一攻击特征； 发送单元，用于向所述IPS设备发送第一攻击特征，以使所述IPS设备将所述第一攻击特征更新到网络攻击特征库中。7.根据权利要求6所述的装置，其特征在于， 所述获得单元，具体用于获得所述特征分析设备保存的每个攻击报文对应的第二攻击特征;针对获得的每个第二攻击特征，统计所述第二攻击特征对应的攻击报文的第一数量；如果所述第一数量大于第一预设阈值，则将所述第二攻击特征对应的攻击报文确定为属于同一类型的攻击报文;或者， 所述获得单元，具体用于获得所述特征分析设备保存的每个攻击报文对应的第二攻击特征;将所述第二攻击特征是预设攻击特征的攻击报文确定为属于同一类型的攻击报文；或者， 所述获得单元，具体用于获得所述特征分析设备保存的每个攻击报文对应的源网际协议IP地址;针对获得的每个源IP地址，统计所述源IP地址对应的攻击报文的第二数量;如果所述第二数量大于第二预设阈值，则将所述源IP地址对应的攻击报文确定为属于同一类型的攻击报文。8.根据权利要求7所述的装置，其特征在于，所述攻击报文中携带有第二攻击特征的标记，所述第二攻击特征的标记是当IPS设备检测到攻击报文具有所述第二攻击特征时，添加到所述攻击报文中的标记。9.根据权利要求6所述的装置，其特征在于，所述确定单元，包括: 获得子单元，用于获得所述属于同一类型的攻击报文中的所有特征； 统计子单元，用于针对获得的每个特征，从所述属于同一类型的攻击报文中统计出具有该特征的攻击报文的第三数量； 确定子单元，用于如果所述第三数量大于第三预设阈值，则将该特征确定为第一攻击特征。10.—种网络攻击特征库的更新装置，所述装置应用于入侵防御系统IPS设备上，其特征在于，所述装置包括: 检测单元，用于对接收到的报文进行检测，以判断所述报文中是否包含网络攻击特征库中的攻击特征； 发送单元，用于当判断结果为是时，则确定所述报文是攻击报文，并将所述攻击报文发送给特征分析设备，以使所述特征分析设备利用所述攻击报文确定第一攻击特征； 更新单元，用于接收所述特征分析设备发送的第一攻击特征，并将所述第一攻击特征添加到所述网络攻击特征库中。
【文档编号】G06F17/30GK105939328SQ201610056873
【公开日】2016年9月14日
【申请日】2016年1月27日
【发明人】张闻闻, 张宁
【申请人】杭州迪普科技有限公司