一种基于应用的入侵防御系统ips实现方法及系统的制作方法
【专利摘要】本发明提供了一种基于应用的入侵防御系统IPS实现方法及系统,该方法包括:S1.通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控;S2.将检测到的应用流量按流量大小进行排名;S3.动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组,N值为预先设定;同时将其他已激活的IPS特征库成员组置为待激活状态;再次执行步骤S1。本发明能够有效的平衡防火墙的性能与入侵防御功能。
【专利说明】一种基于应用的入侵防御系统IPS实现方法及系统
【技术领域】
[0001] 本发明涉及计算机【技术领域】,具体涉及一种基于应用的入侵防御系统IPS实现方 法及系统。
【背景技术】
[0002] IPS (Intrusion Prevention System入侵防御系统)目前是很多防火墙设备的主 要模块,开启该功能后进入设备的流量会与IPS特征库里面的每一条特征进行匹配,如果 匹配中,则会按照预先设定好的动作对流量进行处理。这样虽然有效的拦截了一些威胁,但 也将会减慢流量的传输速度,降低了防火墙设备的性能。而用户最想看到的结果是既能有 效阻拦网络中的威胁,又能保证防火墙的性能,那么这就需要一种平衡。
【发明内容】
[0003] 针对现有技术的不足,本发明提供一种基于应用的入侵防御系统IPS实现方法及 系统,能够有效的平衡防火墙的性能与入侵防御功能。
[0004] 为实现上述目的,本发明通过以下技术方案予以实现:
[0005] -种基于应用的入侵防御系统IPS实现方法,该方法包括:
[0006] S1.通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控;
[0007] S2.将检测到的应用流量按流量大小进行排名;
[0008] S3.动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组,N 值为预先设定;同时将其他已激活的IPS特征库成员组置为待激活状态;再次执行步骤S1。
[0009] 优选地,所述方法还包括:
[0010] 将应用流量的排名结果发送给管理员,引导管理员手动修改IPS特征库成员组的 激活状态。
[0011] 优选地,所述引导管理员手动修改IPS特征库成员组的激活状态包括:
[0012] 将已激活的IPS特征库成员更改为待激活状态,并将当前流量排名结果前N名应 用中的一种或多种应用相对应的IPS特征库成员组激活。
[0013] -种基于应用的入侵防御系统IPS实现系统,该系统包括:
[0014] 应用流量监控模块,用于通过基于应用的流可视策略对当前网络环境中的应用流 量进行实时监控;
[0015] 流量排序模块,用于将检测到的应用流量按流量大小进行排名;
[0016] IPS特征库激活模块,用于动态激活与当前流量排名结果中前N名的应用相对应 的IPS特征库成员组,N值为预先设定;同时将其他已激活的IPS特征库成员组置为待激活 状态。
[0017] 本发明至少具有如下的有益效果:
[0018] 本发明是基于应用识别来实现动态激活IPS特征库成员的方法,该方法相对于传 统一直激活着所有特征库成员的方法,具有更加灵活和高效的特点,系统流量只与同类应 用的IPS特征库成员进行匹配,使得在满足入侵防御功能的同时,有效的优化了防火墙的 性能。本发明能够平衡防火墙的性能与入侵防御功能。
【专利附图】
【附图说明】
[0019] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明 的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据 这些附图获得其他的附图。
[0020] 图1是本发明实施例中基于应用的入侵防御系统IPS实现方法的流程图;
[0021] 图2是本发明实施例中基于应用的入侵防御系统IPS实现系统的结构示意图。
【具体实施方式】
[0022] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0023] 参见图1,本发明实施例提出了一种基于应用的入侵防御系统IPS实现方法,包括 如下步骤:
[0024] 步骤101 :通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监 控。
[0025] 在本步骤中,防火墙通过基于应用的流可视策略对当前网络环境中的应用流量进 行监控。
[0026] 步骤102 :将检测到的应用流量按流量大小进行排名。
[0027] 在本步骤中,防火墙将检测到的应用流量按流量大小进行排名。
[0028] 步骤103 :动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成 员组;同时将其他已激活的IPS特征库成员组置为待激活状态;再次执行步骤101。
[0029] 在本步骤中,防火墙根据流可视策略中的统计排名情况,动态激活与当前流量排 名结果中前N名应用相对应的IPS特征库成员组,N值为预先设定,N的取值需要根据对性 能和防御能力的要求确定,通常N的取值为1-3中的任意一个整数。同时还可以通过监控 结果引导管理员手动修改IPS特征库的激活项,例如选择与当前流量排名结果前N名应用 中的一种或多种应用相对应的IPS特征库成员组激活,这样可以让后续的流量只去匹配排 名前N名应用或前N名应用中的一种或多种应用对应的IPS特征库成员,而不再匹配特征 库中其他无关的特征成员,从而有效的优化了防火墙的性能,做到了防火墙性能与入侵防 御功能的平衡。
[0030] 所述引导管理员手动修改IPS特征库成员组的激活状态包括:
[0031] 将已激活的IPS特征库成员更改为待激活状态,并将当前流量排名结果前N名应 用中的一种或多种应用相对应的IPS特征库成员组激活。
[0032] 本发明实施例通过基于应用的流可视策略对当前网络环境中的流量进行实时监 控,并将检测到的应用流量按照流量大小进行排名,根据当前网络环境中各种应用的流量 排名顺序动态激活流量排名靠前的应用所对应的IPS特征库成员,这样可以让流量较大的 同类型应用的后续的流量只去匹配该类应用的IPS特征库成员,而不再匹配特征库中其他 无关的特征成员,从而有效的优化了防火墙的性能,做到了防火墙性能与入侵防御功能的 平衡。
[0033] 基于应用识别来实现动态激活IPS特征库成员的方法,该方法相对于传统一直激 活着所有特征库成员的方法,具有更加灵活和高效的特点,系统流量只与同类应用的IPS 特征库成员进行匹配,使得在满足入侵防御功能的同时,有效的优化了防火墙的性能。本发 明能够平衡防火墙的性能与入侵防御功能。
[0034] 参见图2,本发明另一个实施例还提出了一种基于应用的入侵防御系统IPS实现 系统,包括:
[0035] 应用流量监控模块201,用于通过基于应用的流可视策略对当前网络环境中的应 用流量进行实时监控;
[0036] 流量排序模块202,用于将检测到的应用流量按流量大小进行排名;
[0037] IPS特征库激活模块203,用于动态激活与当前流量排名结果中前N名的应用相对 应的IPS特征库成员组;同时将其他已激活的IPS特征库成员组置为待激活状态。
[0038] 在IPS特征库激活模块中,防火墙根据流可视策略中的统计排名情况,动态激活 与当前流量排名结果中前N名应用相对应的IPS特征库成员组,N值为预先设定。这样可 以让后续的同类型的流量只去匹配该类应用的IPS特征库成员,而不再匹配特征库中其他 无关的特征成员,从而有效的优化了防火墙的性能,做到了防火墙性能与入侵防御功能的 平衡。
[0039] 本发明实施例所述系统通过应用流量监控模块对当前网络环境中的流量进行实 时监控,并利用流量排序模块将检测到的应用流量按照流量大小进行排名,最后由IPS特 征库激活模块将当前网络中流量排名靠前的应用所对应的IPS特征库成员激活,这样可以 让流量较大的同类型应用的后续的流量只去匹配该类应用的IPS特征库成员,而不再匹配 特征库中其他无关的特征成员,从而有效的优化了防火墙的性能,做到了防火墙性能与入 侵防御功能的平衡。
[0040] 基于应用识别来实现动态激活IPS特征库成员的系统,相对于传统一直激活着所 有特征库成员,具有更加灵活和高效的特点,系统流量只与同类应用的IPS特征库成员进 行匹配,使得在满足入侵防御功能的同时,有效的优化了防火墙的性能。本发明实施例能够 平衡防火墙的性能与入侵防御功能。
[0041] 以上实施例仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例 对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施 例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替 换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【权利要求】
1. 一种基于应用的入侵防御系统IPS实现方法,其特征在于,该方法包括:
51. 通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控;
52. 将检测到的应用流量按流量大小进行排名;
53. 动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组,N值为 预先设定;同时将其他已激活的IPS特征库成员组置为待激活状态;再次执行步骤S1。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:将应用流量的排名结果 发送给管理员,引导管理员手动修改IPS特征库成员组的激活状态。
3. 根据权利要求2所述的方法,其特征在于,所述引导管理员手动修改IPS特征库成员 组的激活状态包括: 将已激活的IPS特征库成员更改为待激活状态,并将当前流量排名结果前N名应用中 的一种或多种应用相对应的IPS特征库成员组激活。
4. 一种基于应用的入侵防御系统IPS实现系统,其特征在于,该系统包括: 应用流量监控模块,用于通过基于应用的流可视策略对当前网络环境中的应用流量进 行实时监控; 流量排序模块,用于将检测到的应用流量按流量大小进行排名; IPS特征库激活模块,用于动态激活与当前流量排名结果中前N名的应用相对应的IPS 特征库成员组,N值为预先设定;同时将其他已激活的IPS特征库成员组置为待激活状态。
【文档编号】H04L29/06GK104052738SQ201410218461
【公开日】2014年9月17日 申请日期:2014年5月22日 优先权日:2014年5月22日
【发明者】张辉 申请人:汉柏科技有限公司