入侵防护策略的更新方法及装置与流程

本申请涉及通信
技术领域：
，尤其涉及一种入侵防护策略的更新方法及装置。
背景技术：
：随着计算机网络的飞速发展，网络在带给人们巨大便利的同时也带来了各种安全问题。IPS(IntrusionPreventionSystem，入侵防护系统)是一种能够监视网络或网络设备的网络资料传输行为的计算机网络安全技术，它能够中断、调整或隔离一些异常或具有伤害性的网络资料传输行为，从而达到阻断网络入侵的效果。为了提高IPS设备阻断网络入侵的准确率，相关技术在IPS设备中增加了流量分析功能。当IPS设备无法确定某报文是否为入侵报文时，可以根据对该报文的流量分析结果来确定该报文是否为入侵报文。但是，由于相关技术需要相关管理人员人工根据上述流量分析结果更新入侵防护策略，因此相关技术更新入侵防护策略的实效性差，从而导致相关技术对入侵报文的防护效率低。技术实现要素：有鉴于此，本申请提供一种入侵防护策略的更新方法及装置，来解决相关技术因需要相关管理人员人工更新入侵防护策略导致的对入侵报文防护效率低的问题。具体地，本申请是通过如下技术方案实现的：本申请提供一种入侵防护策略的更新方法，所述方法应用于入侵防护系统IPS设备，所述方法包括：基于预设的入侵防护策略从接收到的报文流中确定待分析报文流；获取所述待分析报文流的属性信息；其中，所述属性信息包括源IP地址；基于所述待分析报文流的属性信息查询预设的入侵表；其中，所述入侵表包括入侵报文流的属性信息；在查询成功的情况下，确定所述待分析报文流为入侵报文流；在查询不成功的情况下，基于预设的流量特征模型匹配所述待分析报文流；在匹配成功的情况下确定所述待分析报文流为入侵报文流，并将所述待分析报文流的属性信息添加至所述入侵表；基于所述入侵表更新所述入侵防护策略。可选的，所述IPS设备预设信任表，所述信任表包括受信任的网络设备发送的报文流的属性信息，所述方法还包括：基于所述待分析报文流的源IP地址查询所述信任表；在查询成功的情况下，放行所述待分析报文流。可选的，所述IPS设备预设待观察表，所述待观察表包括需要匹配预设流量特征模型的报文流的属性信息，所述方法还包括：在基于所述待分析报文流的属性信息查询所述入侵表以及所述信任表皆失败的情况下，基于所述待分析报文流的源IP地址查询所述待观察表；在查询失败的情况下，将所述待分析报文流的源IP地址添加至所述待观察表。可选的，所述方法还包括：将所述待分析报文流的属性信息添加至所述入侵表后，删除所述待观察表中所述待分析报文流对应的表项。可选的，所述基于所述入侵表更新所述入侵防护策略包括：定时基于所述入侵表更新所述入侵防护策略。本申请同时提供一种入侵防护策略的更新装置，所述装置应用于入侵防护系统IPS设备，所述装置包括：确定单元，用于基于预设的入侵防护策略从接收到的报文流中确定待分析报文流；获取单元，用于获取所述待分析报文流的属性信息；其中，所述属性信息包括源IP地址；入侵表查询单元，用于基于所述待分析报文流的属性信息查询预设的入侵表；其中，所述入侵表包括入侵报文流的属性信息；匹配单元，用于在查询成功的情况下，确定所述待分析报文流为入侵报文流；在查询不成功的情况下，基于预设的流量特征模型匹配所述待分析报文流；入侵表添加单元，用于在匹配成功的情况下确定所述待分析报文流为入侵报文流，并将所述待分析报文流的属性信息添加至所述入侵表；更新单元，用于基于所述入侵表更新所述入侵防护策略。可选的，所述IPS设备预设信任表，所述信任表包括受信任的网络设备发送的报文流的属性信息，所述装置还包括：信任表查询单元，用于基于所述待分析报文流的源IP地址查询所述信任表；放行单元，用于在查询成功的情况下，放行所述待分析报文流。可选的，所述IPS设备预设待观察表，所述待观察表包括匹配预设流量特征模型的报文流的属性信息，所述装置还包括：待观察表查询单元，用于在基于所述待分析报文流的属性信息查询所述入侵表以及所述信任表皆失败的情况下，基于所述待分析报文流的源IP地址查询所述待观察表；待观察表添加单元，用于在查询失败的情况下，将所述待分析报文流的源IP地址添加至所述待观察表。可选的，所述装置还包括：删除单元，用于将所述待分析报文流的属性信息添加至所述入侵表后，删除所述待观察表中所述待分析报文流对应的表项。可选的，所述更新单元具体用于：定时基于所述入侵表更新所述入侵防护策略。在本申请中，IPS设备在接收到报文流后，可以基于预设的入侵防护策略从接收到的报文流中确定待分析报文流，然后IPS设备可以获取上述待分析报文流的属性信息，其中，该属性信息可以包括源IP地址，然后，IPS设备可以基于该待分析报文流的属性信息查询预设的入侵表，其中，该入侵表可以包括入侵报文流的属性信息，在查询成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流；在查询不成功的情况下，IPS设备可以基于预设的流量特征模型匹配该待分析报文流，在匹配成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流，并将该待分析报文流的属性信息添加到上述入侵表中，然后，IPS设备可以基于上述入侵表更新上述入侵防护策略。应用本申请可以根据流量分析的结果自动更新入侵防护策略，从而解决了相关技术中因需要相关管理人员人工更新入侵防护策略导致的对入侵报文的防护效率低的问题。附图说明图1是示出的一种入侵防护的组网图；图2是本申请示出的一种入侵防护策略的更新方法的实施例流程图；图3是本申请入侵防护策略的更新装置所在设备的一种硬件结构图；图4是本申请入侵防护策略的更新装置的一个实施例框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。请参见图1，为示出的一种入侵防护的组网图。图1中，IPS设备可以对客户端发送至服务器的报文流以及服务器发送至客户端的报文流进行入侵防护。当IPS设备接收到报文流时，可以根据预设的入侵防护策略确定该报文流是否为入侵报文流，并在确定该报文流为入侵报文流的情况下，阻断该报文流。当IPS设备无法确定接收到的报文流是否为入侵报文流时，可以对该报文流进行流量分析，并根据流量分析的结果来确定该报文流是否为入侵报文流。当IPS设备根据流量分析的结果判断该报文流为入侵报文流时，可以阻断该报文流。相关技术中，相关管理人员可以对IPS设备上的入侵防护策略进行配置和更新，相关管理人员在完成对入侵防护策略的配置或更新后，会在一段时间后再次对入侵防护策略进行更新。在该段时间内，IPS设备上的入侵防护策略不会发生变化。假设在该段时间内，IPS接收到不确定的入侵报文流，则IPS设备可以对该报文流进行流量分析，并根据流量分析的结果确定该报文流是否为入侵报文流。可以假设IPS设备在对该报文流进行流量分析后，确定该报文流为入侵报文流，则IPS设备可以对该报文流进行阻断。假设在该段时间内IPS设备在阻断上述入侵报文流后，接收到与上述入侵报文流的入侵特征相同的报文流，则由于IPS设备的入侵防护策略未包含该入侵特征，因此，IPS设备需要对该相同的入侵特征再次进行流量分析，并根据流量分析的结果确定携带该相同入侵特征的报文流为入侵报文流。如果IPS设备在该段时间内接收到了多个携带相同入侵特征的报文流，则IPS设备需要对相同的入侵特征进行多次流量分析，从而导致相关技术对入侵报文的防护效率低。有鉴于此，本申请提供一种入侵防护策略的更新方法，来解决相关技术对入侵报文的防护效率低的问题。在本申请中，IPS设备在接收到报文流后，可以基于预设的入侵防护策略从接收到的报文流中确定待分析报文流，然后IPS设备可以获取上述待分析报文流的属性信息，其中，该属性信息可以包括源IP地址，然后，IPS设备可以基于该待分析报文流的属性信息查询预设的入侵表，其中，该入侵表可以包括入侵报文流的属性信息，在查询成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流；在查询不成功的情况下，IPS设备可以基于预设的流量特征模型匹配该待分析报文流，在匹配成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流，并将该待分析报文流的属性信息添加到上述入侵表中，然后，IPS设备可以基于上述入侵表更新上述入侵防护策略。应用本申请可以根据流量分析的结果自动更新入侵防护策略，从而解决了相关技术中因需要相关管理人员人工更新入侵防护策略导致的对入侵报文的防护效率低的问题。请参考图2，是本申请示出的一种入侵防护策略的更新方法的实施例流程图，该方法应用于IPS设备，包括以下步骤：步骤201：基于预设的入侵防护策略从接收到的报文流中确定待分析报文流。在本申请中，IPS设备接收到报文流后，可以基于预设的入侵防护策略来确定该报文流是否为待分析报文流。其中，该待分析报文流可以为非确定报文流，即IPS设备基于入侵防御策略无法确定该报文流为入侵报文流，也无法确定该报文流为正常报文流。因此，IPS设备需要对该报文流进行进一步的分析。例如，可以假设IPS设备在根据接收到的报文流的源IP地址确定发送该报文流的网络设备后，发现该网络设备存在扫描其服务端口的行为。由于该扫描服务端口的行为可能是入侵行为，也有可能是网络设备的入侵检测行为，因此此时，IPS设备无法确定该报文流为入侵报文流或正常报文流，只能暂时确定该报文流为待分析报文流。需要说明的是，关于IPS设备基于预设的入侵防护策略从接收到的报文流中确定待分析报文流的技术为现有技术，因此，本申请在此不再赘述。步骤202：获取所述待分析报文流的属性信息；其中，所述属性信息包括源IP地址。在本申请中，在确定接收到的报文流为待分析报文流后，可以从该报文流中获取属性信息，其中，该报文流的属性信息可以包括该报文流的源IP地址。在示出的一个实施例中，该报文流的属性信息的部分信息可以如表1所示：源IP地址单个数据包的大小数据包类型192.13.24.7100字节请求报文表1步骤203：基于所述待分析报文流的属性信息查询预设的入侵表；其中，所述入侵表包括入侵报文流的属性信息。在本申请中，在获取待分析报文流的属性信息后，IPS设备可以基于该属性信息查询预设的入侵表，其中，该入侵表可以包括入侵报文流的属性信息。在示出的一个实施例中，IPS设备预设的入侵表的部分内容可以如表2所示：源IP地址单个数据包的大小数据包类型192.13.24.7100字节请求报文192.11.8.2150字节请求报文192.3.24.76120字节请求报文表2结合表1和表2可知，当基于如表1所示的属性信息查询如表2所示的入侵表时，可以查询成功。在示出的另一个实施例中，IPS设备预设的入侵表的部分内容可以如表3所示：表3结合表1和表3可知，当基于如表1所示的属性信息查询如表3所示的入侵表时，查询失败。步骤204：在查询成功的情况下，确定所述报文流为入侵报文流；在查询不成功的情况下，基于预设的流量特征模型匹配所述待分析报文流。在本申请中，在基于上述待分析报文流的属性信息成功查询预设入侵表的情况下，可以确定该待分析报文流为入侵报文流，此时，IPS设备可以阻断该报文流。在基于上述待分析报文流的属性信息未成功查询预设入侵表的情况下，IPS设备可以基于预设的流量特征模型匹配该待分析报文流。在本申请中，上述预设的流量特征模型可以为基于流量特征，如流量大小、单位时间的新建连接IP数量、指定时间内的流量大小趋势等，建立的一种流量趋势模型。在示出的一个实施例中，上述流量特征模型的部分信息可以如表4所示：单位时间的新建连接IP数单个数据包的大小数据包类型>＝1500100字节请求报文表4结合表1和表4可知，当基于如表4所示的流量特征模型匹配属性信息如表1所示的报文流时，匹配失败。在本申请中，IPS设备上可以预设信任表，其中，该信任表可以包括受信任的网络设备发送的报文流的属性信息。当接收到IP地址为信任表中的IP地址的网络设备发送的报文流时，IPS设备可以在不对该报文流进行流量分析的情况下，放行该报文流。需要说明的是，上述信任表中的表项可以发生变化，即上述信任表中的若干表项可以在指定的时间内存在上述信任表中或在指定的时间内不存在上述信任表中。在本申请中，IPS设备可以基于上述待分析报文流的源IP地址查询上述信任表，并在查询成功的情况下，放行上述待分析报文流。需要说明的是，IPS设备可以定时基于上述信任表更新入侵防护策略，以使IPS设备可以基于更新后的入侵防护策略确定该报文流为受信任的网络设备发送的报文流，并放行该报文流。在本申请中，IPS设备可以预设待观察表，其中，该待观察表可以包括需要匹配预设流量特征模型的报文流的属性信息。当IPS设备检测到上述待分析报文流既不属于上述入侵表，也不属于上述信任表时，可以基于上述待分析报文流的属性信息查询上述待观察表，并在查询失败的情况下，将该待分析报文流的属性信息添加至预设的待观察表中，然后IPS设备可以基于预设的流量特征模型匹配待观察表中的待分析报文流。需要说明的是，在基于上述待分析报文流的属性信息成功查询上述待观察表的情况下，可以不在预设的待观察表中添加上述待分析报文流的属性信息。步骤205：在匹配成功的情况下确定该报文流为入侵报文流，并将所述待分析报文流的属性信息添加至所述入侵表。在本申请中，IPS设备在基于预设的流量特征模型成功匹配上述待分析报文流的情况下，可以确定上述待分析报文流为入侵报文流。然后，IPS设备可以将上述待分析报文流的属性信息添加至上述入侵表。需要说明的是，在将上述待分析报文流的属性信息添加至上述入侵表后，IPS设备可以删除上述待观察表中上述待分析报文流对应的表项。步骤206：基于所述入侵表更新所述入侵防护策略。在本申请中，IPS设备可以基于上述入侵表更新上述入侵防护策略，具体地，IPS设备可以定时基于上述入侵表更新上述入侵防护策略。在本申请中，IPS设备在接收到报文流后，可以基于预设的入侵防护策略从接收到的报文流中确定待分析报文流，然后IPS设备可以获取上述待分析报文流的属性信息，其中，该属性信息可以包括源IP地址，然后，IPS设备可以基于该待分析报文流的属性信息查询预设的入侵表，其中，该入侵表可以包括入侵报文流的属性信息，在查询成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流；在查询不成功的情况下，IPS设备可以基于预设的流量特征模型匹配该待分析报文流，在匹配成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流，并将该待分析报文流的属性信息添加到上述入侵表中，然后，IPS设备可以基于上述入侵表更新上述入侵防护策略。应用本申请可以根据流量分析的结果自动更新入侵防护策略，从而解决了相关技术中因需要相关管理人员人工更新入侵防护策略导致的对入侵报文的防护效率低的问题。与前述入侵防护策略的更新方法的实施例相对应，本申请还提供了入侵防护策略的更新装置的实施例。本申请入侵防护策略的更新装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本申请入侵防护策略的更新装置所在设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的网络设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。请参考图4，是本申请入侵防护策略的更新装置的一个实施例框图。该装置可以包括：确定单元410、获取单元420、入侵表查询单元430、匹配单元440、入侵表添加单元450以及更新单元460。确定单元410，用于基于预设的入侵防护策略从接收到的报文流中确定待分析报文流；获取单元420，用于获取所述待分析报文流的属性信息；其中，所述属性信息包括源IP地址；入侵表查询单元430，用于基于所述待分析报文流的属性信息查询预设的入侵表；其中，所述入侵表包括入侵报文流的属性信息；匹配单元440，用于在查询成功的情况下，确定所述待分析报文流为入侵报文流；在查询不成功的情况下，基于预设的流量特征模型匹配所述待分析报文流；入侵表添加单元450，用于在匹配成功的情况下确定所述待分析报文流为入侵报文流，并将所述待分析报文流的属性信息添加至所述入侵表；更新单元460，用于基于所述入侵表更新所述入侵防护策略。在一个可选的实现方式中，所述IPS设备预设信任表，所述信任表包括受信任的网络设备发送的报文流的属性信息，所述装置还可以包括(图4中未示出)：信任表查询单元，用于基于所述待分析报文流的源IP地址查询所述信任表；放行单元，用于在查询成功的情况下，放行所述待分析报文流。在一个可选的实现方式中，所述IPS设备预设待观察表，所述待观察表包括匹配预设流量特征模型的报文流的属性信息，所述装置还可以包括(图4中未示出)：待观察表查询单元，用于在基于所述待分析报文流的属性信息查询所述入侵表以及所述信任表皆失败的情况下，基于所述待分析报文流的源IP地址查询所述待观察表；待观察表添加单元，用于在查询失败的情况下，将所述待分析报文流的源IP地址添加至所述待观察表。在一个可选的实现方式中，所述装置还可以包括(图4中未示出)：删除单元，用于将所述待分析报文流的属性信息添加至所述入侵表后，删除所述待观察表中所述待分析报文流对应的表项。在一个可选的实现方式中，所述更新单元460可以具体用于：定时基于所述入侵表更新所述入侵防护策略。在本申请中，IPS设备在接收到报文流后，可以基于预设的入侵防护策略从接收到的报文流中确定待分析报文流，然后IPS设备可以获取上述待分析报文流的属性信息，其中，该属性信息可以包括源IP地址，然后，IPS设备可以基于该待分析报文流的属性信息查询预设的入侵表，其中，该入侵表可以包括入侵报文流的属性信息，在查询成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流；在查询不成功的情况下，IPS设备可以基于预设的流量特征模型匹配该待分析报文流，在匹配成功的情况下，IPS设备可以确定该待分析报文流为入侵报文流，并将该待分析报文流的属性信息添加到上述入侵表中，然后，IPS设备可以基于上述入侵表更新上述入侵防护策略。应用本申请可以根据流量分析的结果自动更新入侵防护策略，从而解决了相关技术中因需要相关管理人员人工更新入侵防护策略导致的对入侵报文的防护效率低的问题。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。当前第1页1 2 3