1.一种入侵防护策略的更新方法,其特征在于,所述方法应用于入侵防护系统IPS设备,所述方法包括:
基于预设的入侵防护策略从接收到的报文流中确定待分析报文流;
获取所述待分析报文流的属性信息;其中,所述属性信息包括源IP地址;
基于所述待分析报文流的属性信息查询预设的入侵表;其中,所述入侵表包括入侵报文流的属性信息;
在查询成功的情况下,确定所述待分析报文流为入侵报文流;在查询不成功的情况下,基于预设的流量特征模型匹配所述待分析报文流;
在匹配成功的情况下确定所述待分析报文流为入侵报文流,并将所述待分析报文流的属性信息添加至所述入侵表;
基于所述入侵表更新所述入侵防护策略。
2.根据权利要求1所述的方法,其特征在于,所述IPS设备预设信任表,所述信任表包括受信任的网络设备发送的报文流的属性信息,所述方法还包括:
基于所述待分析报文流的源IP地址查询所述信任表;
在查询成功的情况下,放行所述待分析报文流。
3.根据权利要求2所述的方法,其特征在于,所述IPS设备预设待观察表,所述待观察表包括需要匹配预设流量特征模型的报文流的属性信息,所述方法还包括:
在基于所述待分析报文流的属性信息查询所述入侵表以及所述信任表皆失败的情况下,基于所述待分析报文流的源IP地址查询所述待观察表;
在查询失败的情况下,将所述待分析报文流的源IP地址添加至所述待观察表。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
将所述待分析报文流的属性信息添加至所述入侵表后,删除所述待观察表中所述待分析报文流对应的表项。
5.根据权利要求1所述的方法,其特征在于,所述基于所述入侵表更新所述入侵防护策略包括:
定时基于所述入侵表更新所述入侵防护策略。
6.一种入侵防护策略的更新装置,其特征在于,所述装置应用于入侵防护系统IPS设备,所述装置包括:
确定单元,用于基于预设的入侵防护策略从接收到的报文流中确定待分析报文流;
获取单元,用于获取所述待分析报文流的属性信息;其中,所述属性信息包括源IP地址;
入侵表查询单元,用于基于所述待分析报文流的属性信息查询预设的入侵表;其中,所述入侵表包括入侵报文流的属性信息;
匹配单元,用于在查询成功的情况下,确定所述待分析报文流为入侵报文流;在查询不成功的情况下,基于预设的流量特征模型匹配所述待分析报文流;
入侵表添加单元,用于在匹配成功的情况下确定所述待分析报文流为入侵报文流,并将所述待分析报文流的属性信息添加至所述入侵表;
更新单元,用于基于所述入侵表更新所述入侵防护策略。
7.根据权利要求6所述的装置,其特征在于,所述IPS设备预设信任表,所述信任表包括受信任的网络设备发送的报文流的属性信息,所述装置还包括:
信任表查询单元,用于基于所述待分析报文流的源IP地址查询所述信任表;
放行单元,用于在查询成功的情况下,放行所述待分析报文流。
8.根据权利要求7所述的装置,其特征在于,所述IPS设备预设待观察表,所述待观察表包括匹配预设流量特征模型的报文流的属性信息,所述装置还包括:
待观察表查询单元,用于在基于所述待分析报文流的属性信息查询所述入侵表以及所述信任表皆失败的情况下,基于所述待分析报文流的源IP地址查询所述待观察表;
待观察表添加单元,用于在查询失败的情况下,将所述待分析报文流的源IP地址添加至所述待观察表。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
删除单元,用于将所述待分析报文流的属性信息添加至所述入侵表后,删除所述待观察表中所述待分析报文流对应的表项。
10.根据权利要求6所述的装置,其特征在于,所述更新单元具体用于:
定时基于所述入侵表更新所述入侵防护策略。