一种入侵防御系统端口组的生成方法及其装置制造方法
【专利摘要】本发明公开了一种入侵防御系统端口组的生成方法及其装置,属于计算机网络通信安全领域,所述方法包括:对入侵防御系统的规则库进行解析,以获得全部规则;根据规则中的端口信息对规则进行整合,以形成端口对象,端口对象包括:第一端口对象和N个第二端口对象,第一端口对象由所有未包含端口信息的规则通过整合所形成,每个第二端口对象由具有相同端口信息的规则通过整合所形成;由第一端口对象与m个第二端口对象组合生成端口组,m不大于N,N和m均为不小于2的整数。本发明由第一端口对象与多个第二端口对象组合生成端口组,减少了端口组生成的数量,进而防止没有包含端口信息的规则生成的端口对象被大量复制,实现了减少内存占用率。
【专利说明】一种入侵防御系统端口组的生成方法及其装置
【技术领域】
[0001]本发明属于计算机网络通信安全领域,尤其涉及一种入侵防御系统端口组的生成方法及其装置。
【背景技术】
[0002]随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。如今,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。传统防火墙加入侵检测系统(Intrus1n Detect1n Systems,简称IDS)的技术已经无法应对一些新的网络威胁。在这种情况下,入侵防御系统(Intrus1n Prevent1n System,简称IPS)技术应运而生,IPS可以深度感知并主动检测流经该IPS的报文,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
[0003]目前绝大多数的IPS产品都是基于端口组的方式来实现的,也就是说在解析IPS规则库的流程中,形成端口对象,然后由端口对象生成端口组。这种基于端口组的IPS框架,如果规则库中包含较多没有包含端口信息的规则,那么在生成端口组时,由这些没有包含端口信息的规则生成的端口对象在每一个端口组中都将被重复复制一次,这将导致系统的内存占用率急剧增加。
【发明内容】
[0004]为防止上述没有包含端口信息的规则生成的端口对象被大量复制,实现减少系统内存占用率的目的,本发明提供了一种入侵防御系统端口组的生成方法,所述方法包括以下步骤:
[0005]对入侵防御系统的规则库进行解析,以获得全部规则;
[0006]根据规则中的端口信息对所述规则进行整合,以形成端口对象,所述端口对象包括:第一端口对象和N个第二端口对象,所述第一端口对象由所有未包含端口信息的规则通过整合所形成,每个第二端口对象由具有相同端口信息的规则通过整合所形成;
[0007]由所述第一端口对象与m个第二端口对象组合生成端口组,m不大于N,N和m均为不小于2的整数。
[0008]其中,每个端口组所对应的m个第二端口对象所包含的规则数之和不超过预设规则数。
[0009]其中,所述预设规则数通过下式计算,
[0010]S = 2*A/N
[0011]其中,S为所述预设规则数,A为所述N个第二端口对象所包含的规则数之和。
[0012]本发明还公开了一种入侵防御系统端口组的生成装置,所述装置包括:
[0013]解析模块,用于对入侵防御系统的规则库进行解析,以获得全部规则;
[0014]规则整合模块,用于根据规则中的端口信息对所述规则进行整合,以形成端口对象,所述端口对象包括:第一端口对象和N个第二端口对象,所述第一端口对象由所有未包含端口信息的规则通过整合所形成,每个第二端口对象由具有相同端口信息的规则通过整合所形成;
[0015]端口组生成模块,用于由所述第一端口对象与m个第二端口对象组合生成端口组,m不大于N,N和m均为不小于2的整数。
[0016]其中,每个端口组所对应的m个第二端口对象所包含的规则数之和不超过预设规则数。
[0017]其中,所述预设规则数通过下式计算,
[0018]S = 2*A/N
[0019]其中,S为所述预设规则数,A为所述N个第二端口对象所包含的规则数之和。
[0020]本发明由所述第一端口对象与m个第二端口对象组合生成端口组,m为不小于2的整数,减少了端口组生成的数量,进而防止没有包含端口信息的规则生成的端口对象被大量复制,减少了系统的内存占用率。
【专利附图】
【附图说明】
[0021]通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
[0022]图1是本发明一种实施方式的入侵防御系统端口组的生成方法的流程图;
[0023]图2是端口对象生成端口组的示意图;
[0024]图3是本发明一种实施方式的入侵防御系统端口组的生成装置的结构框图。
【具体实施方式】
[0025]下面结合附图和实施例,对本发明的【具体实施方式】作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
[0026]图1是本发明一种实施方式的入侵防御系统端口组的生成方法的流程图;参照图1,所述方法包括以下步骤:
[0027]步骤S1:对IPS的规则库进行解析,以获得全部规则。
[0028]IPS产品在初始化过程中,首先对IPS的规则库中的规则进行逐条解析,以获得IPS的规则库中的全部规则。
[0029]步骤S2:根据规则中的端口信息对所述规则进行整合,以形成端口对象,所述端口对象包括:第一端口对象和N个第二端口对象,所述第一端口对象由所有未包含端口信息的规则通过整合所形成,每个第二端口对象由具有相同端口信息的规则通过整合所形成。
[0030]举例来说,解析得到的规则中有500条规则包含的端口信息为80端口,那么将这500条规则整合生成指向80端口的一个第二端口对象;再者在解析过程中可能会得到一定数量没有包含任何端口信息的规则,例如有300条,那么将这300条规则整合生成第一端口对象。
[0031]步骤S3:由所述第一端口对象与m个第二端口对象组合生成端口组,m不大于N,N和m均为不小于2的整数。
[0032]参照图2,将第二端口对象i至j-Ι与第一端口对象整合生成端口组I,将第二端口对象j、j+1...与第一端口对象整合生成端口组J。
[0033]m的取值与端口对象包含的规则数相关,端口组中的规则数(端口组中的规则数,即为对应的第一端口对象所包含的规则数与m个第二端口对象所包含的规则数之和)不易太多或者太少。如果端口组中包含的规则数太多,报文匹配端口组的多模状态机(Mult1-Pattern State Engine,简称MPSE)成功后,在逐一遍历规则树节点(Rule TreeNode,简称RTN)和选项树节点(Opt1n Tree Node,简称0TN)的时间就会较长,这会使得IPS产品的吞吐量下降;如果端口组中包含的规则数太少,将会产生大量的端口组,也将会重复复制产生大量第二端口对象,这将会极大的消耗系统内存。
[0034]为了降低IPS对内存占用的同时不明显影响IPS产品的吞吐量,故而采用以下方式确定m的值:m个第二端口对象所包含的规则数之和不超过预设规则数,即满足下式:
[0035]Sj+Sg+S#…+Sm ^ S,
[0036]其中,S为预设规则数,S1, S2, S3、…、Sm分别为m个第二端口对象中各端口对象所包含的规则数。
[0037]为了最大限度地降低IPS对内存占用的同时不明显影响IPS产品的吞吐量,优选地,所述预设规则数通过下式计算,
[0038]S = 2*A/N
[0039]其中,S为预设规则数,S为所述预设规则数,A为所述N个第二端口对象所包含的规则数之和(即所有第二端口对象所包含的规则数之和)。
[0040]本发明还公开了一种入侵防御系统端口组的生成装置,参照图3,所述装置包括:
[0041]解析模块,用于对入侵防御系统的规则库进行解析,以获得全部规则;
[0042]规则整合模块,用于根据规则中的端口信息对所述规则进行整合,以形成端口对象,所述端口对象包括:第一端口对象和N个第二端口对象,所述第一端口对象由所有未包含端口信息的规则通过整合所形成,所述第二端口对象由具有相同端口信息的规则通过整合所形成;
[0043]端口组生成模块,用于由所述第一端口对象与m个第二端口对象组合生成端口组,m不大于N,N和m均为不小于2的整数。
[0044]其中,每个端口组所对应的m个第二端口对象所包含的规则数之和不超过预设规则数。
[0045]其中,所述预设规则数通过下式计算,
[0046]S = 2*A/N
[0047]其中,S为所述预设规则数,A为所述N个第二端口对象所包含的规则数之和。
[0048]以上实施方式仅用于说明本发明,而并非对本发明的限制,有关【技术领域】的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
【权利要求】
1.一种入侵防御系统端口组的生成方法,其特征在于,所述方法包括以下步骤: 对入侵防御系统的规则库进行解析,以获得全部规则; 根据规则中的端口信息对所述规则进行整合,以形成端口对象,所述端口对象包括:第一端口对象和N个第二端口对象,所述第一端口对象由所有未包含端口信息的规则通过整合所形成,每个第二端口对象由具有相同端口信息的规则通过整合所形成; 由所述第一端口对象与m个第二端口对象组合生成端口组,m不大于N,N和m均为不小于2的整数。
2.根据权利要求1所述的方法,其特征在于,每个端口组所对应的m个第二端口对象所包含的规则数之和不超过预设规则数。
3.根据权利要求2所述的方法,其特征在于,所述预设规则数通过下式计算,
S = 2*A/N 其中,S为所述预设规则数,A为所述N个第二端口对象所包含的规则数之和。
4.一种入侵防御系统端口组的生成装置,其特征在于,所述装置包括: 解析模块,用于对入侵防御系统的规则库进行解析,以获得全部规则; 规则整合模块,用于根据规则中的端口信息对所述规则进行整合,以形成端口对象,所述端口对象包括:第一端口对象和N个第二端口对象,所述第一端口对象由所有未包含端口信息的规则通过整合所形成,每个第二端口对象由具有相同端口信息的规则通过整合所形成; 端口组生成模块,用于由所述第一端口对象与m个第二端口对象组合生成端口组,m不大于N,N和m均为不小于2的整数。
5.根据权利要求4所述的装置,其特征在于,每个端口组所对应的m个第二端口对象所包含的规则数之和不超过预设规则数。
6.根据权利要求5所述的装置,其特征在于,所述预设规则数通过下式计算,
S= 2*A/N 其中,S为所述预设规则数,A为所述N个第二端口对象所包含的规则数之和。
【文档编号】G06F17/30GK104184722SQ201410360727
【公开日】2014年12月3日 申请日期:2014年7月25日 优先权日:2014年7月25日
【发明者】胡波 申请人:汉柏科技有限公司