專利名稱:一種下發(fā)安全策略的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全檢測技術(shù),尤指一種下發(fā)安全策略的方法。
背景技術(shù):
入侵檢測就是通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,進(jìn)行有針對性的動作并將這些有針對性地動作下發(fā)至所有入侵檢測所針對的對象,包括交換機、路由器、防火墻等網(wǎng)絡(luò)設(shè)備上。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IDS)。IDS檢測并進(jìn)行有針對性動作的對象,如交換機、路由器、防火墻等,稱為IDS的聯(lián)動設(shè)備。IDS針對不同的攻擊制定不同阻斷攻擊的策略稱為聯(lián)動規(guī)則。通常,在聯(lián)動規(guī)則內(nèi)設(shè)置有阻斷時間,在阻斷時間內(nèi)聯(lián)動設(shè)備對聯(lián)動規(guī)則中所定義的報文進(jìn)行阻斷。
當(dāng)IDS每檢測到一次攻擊時,則會針對這次攻擊產(chǎn)生一條聯(lián)動規(guī)則,并將這條聯(lián)動規(guī)則下發(fā)至IDS的所有聯(lián)動設(shè)備上,聯(lián)動設(shè)備則會應(yīng)用IDS下發(fā)的聯(lián)動規(guī)則來阻斷當(dāng)前攻擊。但是,由于聯(lián)動設(shè)備對聯(lián)動規(guī)則的處理能力有限,當(dāng)攻擊大量發(fā)生,IDS也會針對大量發(fā)生的攻擊而不斷向聯(lián)動設(shè)備下發(fā)大量的聯(lián)動規(guī)則,大量下發(fā)的聯(lián)動規(guī)則極大的影響了聯(lián)動設(shè)備的正常運行。特別是對于相同的攻擊,不僅大量向聯(lián)動設(shè)備下發(fā)聯(lián)動規(guī)則,會極大地影響聯(lián)動設(shè)備的正常運行,而且對于相同的攻擊在聯(lián)動規(guī)則還有效的時間內(nèi),重復(fù)下發(fā)是沒有意義的。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供下發(fā)安全策略的方法,應(yīng)用該方法可以限制安全策略的大量下發(fā)。
為達(dá)到上述目的,本發(fā)明提出了三種技術(shù)方案,具體是這樣實現(xiàn)的第一種技術(shù)方案為一種下發(fā)安全策略的方法,設(shè)置最大下發(fā)速率,執(zhí)行以下步驟A1、存儲根據(jù)每個攻擊產(chǎn)生的新安全策略;B1、當(dāng)滿足觸發(fā)條件時,獲得當(dāng)前下發(fā)安全策略的速率,判斷當(dāng)前下發(fā)安全策略的速率是否小于最大下發(fā)速率,如果是,則取得并下發(fā)最先存儲的安全策略;否則,放棄下發(fā)安全策略。
另外,該方法進(jìn)一步包括設(shè)置定時器及定時時長;則步驟B1中,所述滿足觸發(fā)條件為存儲了產(chǎn)生的新安全策略和定時器到達(dá)定時時長中至少一個。
另外,該方法進(jìn)一步包括設(shè)置未下發(fā)安全策略表,在步驟A1之前進(jìn)一步包括a、將新產(chǎn)生的安全策略與未下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則在未下發(fā)安全策略表中,將與新產(chǎn)生安全策略相同的安全策略的阻斷時間更新為新安全策略所攜帶的阻斷時間;如果不存在,則執(zhí)行步驟A1;步驟A1中所述存儲為在未下發(fā)安全策略表中存儲產(chǎn)生的安全策略。
另外,該方法進(jìn)一步包括設(shè)置已下發(fā)安全策略表;步驟B1中取得最先存儲的安全策略之后、下發(fā)取得的安全策略之前,進(jìn)一步包括B11、將取得的安全策略與已下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則丟棄取得的安全策略;否則,下發(fā)取得的安全策略。
其中,在步驟B1之后,該方法進(jìn)一步包括C1、判斷當(dāng)前下發(fā)的安全策略是否下發(fā)成功,如果成功,則將當(dāng)前下發(fā)的安全策略加入已下發(fā)安全策略表;否則,丟棄當(dāng)前下發(fā)的安全策略。
另外,該方法進(jìn)一步包括設(shè)置最大下發(fā)策略數(shù),在步驟a之后、步驟A1之前,進(jìn)一步包括
判斷未下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則丟棄當(dāng)前產(chǎn)生的新安全策略;否則,執(zhí)行步驟A1。
另外,在取得最先存儲的安全策略之前,進(jìn)一步包括判斷已下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則放棄下發(fā)安全策略;否則,取得最先存儲的安全策略。
另外,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將未下發(fā)安全策略表和已下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則將該條安全策略在它所在的安全策略表中刪除。
其中,設(shè)置計數(shù)器,周期性不斷存儲已下發(fā)安全策略數(shù),所述獲得當(dāng)前下發(fā)安全策略的速率為用存儲的已下發(fā)安全策略數(shù)除以周期的大小。
其中,所述安全策略為聯(lián)動規(guī)則。
其中,所述安全策略為聯(lián)動規(guī)則;所述未下發(fā)安全策略表為未下發(fā)聯(lián)動規(guī)則表;所述已下發(fā)安全策略表為已下發(fā)聯(lián)動規(guī)則表;所述最大下發(fā)策略數(shù)為最大下發(fā)規(guī)則數(shù)。
第二種技術(shù)方案為一種下發(fā)安全策略的方法,設(shè)置未下發(fā)安全策略表,執(zhí)行以下步驟A2、將根據(jù)每個攻擊新產(chǎn)生的安全策略與未下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則在未下發(fā)安全策略表中,將與新產(chǎn)生安全策略相同的安全策略的阻斷時間更新為新安全策略所攜帶的阻斷時間;如果不存在,則在未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略;B2、當(dāng)滿足觸發(fā)條件時,取得并下發(fā)最先存儲的安全策略。
另外,該方法進(jìn)一步包括設(shè)置定時器及定時時長;則步驟B2中,所述滿足觸發(fā)條件為存儲了產(chǎn)生的新安全策略和定時器到達(dá)定時時長中至少一個。
另外,該方法進(jìn)一步包括設(shè)置最大下發(fā)策略數(shù),在步驟A2中,在向未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略之前,進(jìn)一步包括
判斷未下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則丟棄當(dāng)前產(chǎn)生的新安全策略;否則,在未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略。
另外,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將未下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則在未下發(fā)安全策略表中將該條安全策略刪除。
所述,所述安全策略為聯(lián)動規(guī)則;所述未下發(fā)安全策略表為未下發(fā)聯(lián)動規(guī)則表;所述最大下發(fā)策略數(shù)為最大下發(fā)規(guī)則數(shù)。
另外,設(shè)置已下發(fā)安全策略表;步驟B2中取得最先存儲的安全策略之后、下發(fā)取得的安全策略之前,進(jìn)一步包括B21、將取得的安全策略與已下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則丟棄取得的安全策略;否則,下發(fā)取得的安全策略。
其中,在步驟B2之后,該方法進(jìn)一步包括C2、判斷當(dāng)前下發(fā)的安全策略是否下發(fā)成功,如果成功,則將當(dāng)前下發(fā)的安全策略加入已下發(fā)安全策略表;否則,丟棄當(dāng)前下發(fā)的安全策略。
另外,該方法進(jìn)一步包括設(shè)置最大下發(fā)策略數(shù),在步驟A2中,在向未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略之前,進(jìn)一步包括判斷未下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則丟棄當(dāng)前產(chǎn)生的新安全策略;否則,在未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略。
另外,在取得最先存儲的安全策略之前,進(jìn)一步包括判斷已下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則放棄下發(fā)安全策略;否則,取得最先存儲的安全策略。
另外,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將未下發(fā)安全策略表和已下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則將該條安全策略在它所在的安全策略表中刪除。
其中,所述安全策略為聯(lián)動規(guī)則;所述未下發(fā)安全策略表為未下發(fā)聯(lián)動規(guī)則表;所述已下發(fā)安全策略表為已下發(fā)聯(lián)動規(guī)則表;所述最大下發(fā)策略數(shù)為最大下發(fā)規(guī)則數(shù)。
第三種技術(shù)方案為一種下發(fā)安全策略的方法,設(shè)置已下發(fā)安全策略表,執(zhí)行以下步驟A3、存儲根據(jù)每個攻擊產(chǎn)生的新安全策略;B3、當(dāng)滿足觸發(fā)條件時,取得最先存儲的安全策略,并將取得的安全策略與已下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則丟棄取得的安全策略;否則,下發(fā)取得的安全策略。
另外,該方法進(jìn)一步包括設(shè)置定時器及定時時長;則步驟B3中,所述滿足觸發(fā)條件為存儲了產(chǎn)生的新安全策略和定時器到達(dá)定時時長中至少一個。
另外,在步驟B3之后,該方法進(jìn)一步包括C3、判斷當(dāng)前下發(fā)的安全策略是否下發(fā)成功,如果成功,則將當(dāng)前下發(fā)的安全策略加入已下發(fā)安全策略表;否則,丟棄當(dāng)前下發(fā)的安全策略。
所述,設(shè)置最大下發(fā)策略數(shù),在取得最先存儲的安全策略之前,進(jìn)一步包括判斷已下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則放棄下發(fā)安全策略;否則,取得最先存儲的安全策略。
另外,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將已下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則在已下發(fā)安全策略表將該條安全策略刪除。
本發(fā)明所提供的下發(fā)安全策略的方法,通過對產(chǎn)生的安全策略進(jìn)行存儲,當(dāng)滿足下發(fā)安全策略的條件時,再由安全檢測設(shè)備將產(chǎn)生的安全策略下發(fā)至被檢測設(shè)備的方法,實現(xiàn)了控制安全檢測設(shè)備下發(fā)安全策略的數(shù)量,使被檢測設(shè)備不會因為大量下發(fā)的安全策略而不能正常運行,減少下發(fā)安全策略所占用的傳輸資源。不僅如此,本發(fā)明還通過對安全策略的有效聚合,實現(xiàn)了在安全策略有效的時間內(nèi),不重復(fù)下發(fā)相同的安全策略。
圖1為本發(fā)明實施例的流程圖。
具體實施例方式
本發(fā)明的核心思想是當(dāng)安全檢測設(shè)備針對發(fā)生的攻擊產(chǎn)生安全策略時,首先對產(chǎn)生的安全策略進(jìn)行存儲,當(dāng)滿足下發(fā)安全策略的條件時,再將產(chǎn)生的安全策略下發(fā)至被檢測設(shè)備。
在本發(fā)明中,需設(shè)置未下發(fā)安全策略表、已下發(fā)安全策略表,最大下發(fā)策略數(shù)和最大下發(fā)速率。其中,未下發(fā)安全策略表提供給安全檢測設(shè)備,用來存儲沒有下發(fā)的安全策略;已下發(fā)安全策略表提供給安全檢測設(shè)備,用來存儲已經(jīng)下發(fā)的安全策略;最大下發(fā)策略數(shù)是用來規(guī)定未下發(fā)安全策略表和已下發(fā)安全策略表中最大能夠存儲的安全策略數(shù);最大下發(fā)速率,是用來限制安全檢測設(shè)備下發(fā)安全策略的速率,安全檢測設(shè)備下發(fā)安全策略的速率不得超過最大下發(fā)速率。
本發(fā)明所提供的方法可以使用在任何安全檢測設(shè)備內(nèi),并且適用于任何安全策略的下發(fā)過程。在此,僅以IDS設(shè)備為安全檢測設(shè)備、IDS設(shè)備的聯(lián)動設(shè)備為被檢測設(shè)備、IDS設(shè)備向聯(lián)動設(shè)備發(fā)送的聯(lián)動規(guī)則為安全策略為例,對本發(fā)明所提出的方法進(jìn)一步詳細(xì)說明。
在本實施例中,需在IDS設(shè)備的內(nèi)部設(shè)置未下發(fā)聯(lián)動規(guī)則表、已下發(fā)聯(lián)動規(guī)則表,最大下發(fā)規(guī)則數(shù)和最大下發(fā)速率;未下發(fā)聯(lián)動規(guī)則表、已下發(fā)聯(lián)動規(guī)則表以及最大下發(fā)規(guī)則數(shù),分別對應(yīng)為未下發(fā)安全策略表、已下發(fā)安全策略表以及最大下發(fā)策略數(shù)。其中,未下發(fā)聯(lián)動規(guī)則表提供給IDS設(shè)備,用來存儲沒有下發(fā)的聯(lián)動規(guī)則;已下發(fā)聯(lián)動規(guī)則表提供給IDS設(shè)備,用來存儲已經(jīng)下發(fā)的聯(lián)動規(guī)則;最大下發(fā)規(guī)則數(shù)是用來規(guī)定未下發(fā)聯(lián)動規(guī)則表和已下發(fā)聯(lián)動規(guī)則表中最大能夠存儲的聯(lián)動規(guī)則數(shù),可以針對未下發(fā)聯(lián)動規(guī)則表和已下發(fā)聯(lián)動規(guī)則表分別設(shè)置不同或者相同的最大下發(fā)規(guī)則數(shù),在本實施例中,對于未下發(fā)聯(lián)動規(guī)則表和已下發(fā)聯(lián)動規(guī)則表設(shè)置相同的最大下發(fā)規(guī)則數(shù);最大下發(fā)速率,是用來限制IDS設(shè)備下發(fā)聯(lián)動規(guī)則的速率,IDS設(shè)備下發(fā)聯(lián)動規(guī)則的速率不得超過最大下發(fā)速率。這里,最大下發(fā)規(guī)則數(shù)可以根據(jù)聯(lián)動設(shè)備中訪問控制列表(ACL)內(nèi)最大能包含的表項數(shù)進(jìn)行確定。
圖1為本實施例的流程圖,參見圖1,該流程包括以下步驟步驟101~102IDS設(shè)備針對當(dāng)前發(fā)生的攻擊產(chǎn)生新的聯(lián)動規(guī)則,并將新產(chǎn)生的聯(lián)動規(guī)則與未下發(fā)聯(lián)動規(guī)則表中的聯(lián)動規(guī)則進(jìn)行比較,判斷在未下發(fā)聯(lián)動規(guī)則表中是否存在相同的聯(lián)動規(guī)則,如果不存在,執(zhí)行步驟103;否則,執(zhí)行步驟104。
步驟103判斷未下發(fā)聯(lián)動規(guī)則表中的聯(lián)動規(guī)則數(shù)是否已經(jīng)達(dá)到的最大下發(fā)規(guī)則數(shù),如果不是,則執(zhí)行步驟105;否則,執(zhí)行步驟106。
步驟104在未下發(fā)聯(lián)動規(guī)則表中,針對當(dāng)前產(chǎn)生的聯(lián)動規(guī)則進(jìn)行聚合。
這里,所述相同的聯(lián)動規(guī)則,是根據(jù)聯(lián)動規(guī)則中所含有的參數(shù)所確定的,當(dāng)聯(lián)動規(guī)則內(nèi)包含的參數(shù)為源介質(zhì)訪問控制(MAC)地址、目的MAC地址、虛擬局域網(wǎng)(VLAN)標(biāo)簽、源IP地址、源IP地址掩碼、目的IP地址、目的IP地址掩碼、源端口、目的端口、限流類型、阻斷時間、總流量、狀態(tài)位、版本以及協(xié)議類型,則認(rèn)為具有相同的源MAC地址、目的MAC地址、VLAN標(biāo)簽、源IP地址、源IP地址掩碼、目的IP地址、目的IP地址掩碼、源端口、目的端口、限流類型以及協(xié)議類型為相同的聯(lián)動規(guī)則。所述對聯(lián)動規(guī)則進(jìn)行聚合為將未下發(fā)聯(lián)動規(guī)則表中與當(dāng)前產(chǎn)生的聯(lián)動規(guī)則相同的聯(lián)動規(guī)則中的阻斷時間,修改為當(dāng)前產(chǎn)生的聯(lián)動規(guī)則中攜帶的阻斷時間,并將新產(chǎn)生的聯(lián)動規(guī)則丟棄。
步驟105將當(dāng)前新產(chǎn)生的聯(lián)動規(guī)則加入未下發(fā)聯(lián)動規(guī)則表,執(zhí)行步驟107。
在本實施例中,未下發(fā)聯(lián)動規(guī)則表采用先進(jìn)先出的原則。
步驟106丟棄當(dāng)前新產(chǎn)生的聯(lián)動規(guī)則,結(jié)束流程,并等待IDS設(shè)備下一次新的聯(lián)動規(guī)則的產(chǎn)生。
步驟107獲得當(dāng)前下發(fā)聯(lián)動規(guī)則的速率,并判斷當(dāng)前下發(fā)聯(lián)動規(guī)則的速率是否小于最大下發(fā)速率,如果是,則執(zhí)行步驟108;否則執(zhí)行步驟114。
這里,下發(fā)聯(lián)動規(guī)則的速率為單位時間內(nèi)成功下發(fā)的聯(lián)動規(guī)則數(shù),也可稱為下發(fā)速率。其中,獲得下發(fā)聯(lián)動規(guī)則速率的方法可以是設(shè)置計數(shù)器,該計數(shù)器每整秒則重新開始計數(shù),計數(shù)器計數(shù)的內(nèi)容為已成功下發(fā)的聯(lián)動規(guī)則數(shù)。當(dāng)然,流程執(zhí)行到步驟107時,不可能都是整一秒的時刻,因此,在獲得下發(fā)聯(lián)動規(guī)則的速率時,只需直接讀取當(dāng)前計數(shù)器的計數(shù)值,而不需等待計數(shù)器到達(dá)整一秒的時間。當(dāng)然,也可以設(shè)置計數(shù)器以一定的周期重新開始計數(shù),周期時長可根據(jù)需要任意設(shè)定,相應(yīng)的,將計數(shù)值除以周期時長即可得到當(dāng)前聯(lián)動規(guī)則的下發(fā)速率。
步驟108判斷已下發(fā)聯(lián)動規(guī)則表中的聯(lián)動規(guī)則數(shù)是否已達(dá)到最大下發(fā)規(guī)則數(shù),如果不是,則執(zhí)行步驟109;否則,執(zhí)行步驟114。
步驟109~110取得未下發(fā)聯(lián)動規(guī)則表中位于表頭的表項,并將當(dāng)前取出的聯(lián)動規(guī)則,與已下發(fā)聯(lián)動規(guī)則表中的聯(lián)動規(guī)則進(jìn)行比較,判斷是否存在相同的聯(lián)動規(guī)則,如果不存在,則執(zhí)行步驟111;否則,執(zhí)行步驟115。
其中,判斷聯(lián)動規(guī)則相同的方法與步驟104中所述判斷聯(lián)動規(guī)則相同的一樣,在此不再詳述。
步驟111將當(dāng)前取出的聯(lián)動規(guī)則下發(fā)到所有聯(lián)動設(shè)備。
步驟112判斷當(dāng)前下發(fā)的聯(lián)動規(guī)則是否下發(fā)成功,如果成功,則執(zhí)行步驟113;否則,執(zhí)行步驟115。
這里,所述判斷當(dāng)前下發(fā)的聯(lián)動規(guī)則是否下發(fā)成功,可以根據(jù)IDS設(shè)備下發(fā)聯(lián)動規(guī)則時,判斷當(dāng)前底層鏈路是否可用,來確定當(dāng)前下發(fā)的聯(lián)動規(guī)則是否下發(fā)成功。在底層鏈路不可用的情況下,當(dāng)IDS設(shè)備向聯(lián)動設(shè)備下發(fā)聯(lián)動規(guī)則時,IDS設(shè)備通常會立即返回下發(fā)聯(lián)動規(guī)則不成功的消息,因此可以根據(jù)這個消息來及時地判斷聯(lián)動規(guī)則是否下發(fā)成功。
這里的步驟112為可選步驟,可以在執(zhí)行完步驟111后,直接執(zhí)行步驟113。
步驟113將當(dāng)前已下發(fā)的聯(lián)動規(guī)則添加至已下發(fā)聯(lián)動規(guī)則表,結(jié)束流程。
步驟114放棄本次聯(lián)動規(guī)則的下發(fā),結(jié)束流程。
步驟115丟棄當(dāng)前取出的聯(lián)動規(guī)則。
在本實施例中,還進(jìn)一步包括對未下發(fā)聯(lián)動規(guī)則表和已下發(fā)聯(lián)動規(guī)則表的老化處理。老化處理的過程具體為當(dāng)時間每經(jīng)過一個指定時間,則將未下發(fā)聯(lián)動規(guī)則表和已下發(fā)聯(lián)動規(guī)則表中聯(lián)動規(guī)則所攜帶的阻斷時間減去這個指定時間,當(dāng)聯(lián)動規(guī)則所攜帶的阻斷時間為0時,則將該條聯(lián)動規(guī)則從其所在的聯(lián)動規(guī)則表中刪去。較佳的,可以選擇這個指定時間為1秒。
在本實施例中,主要介紹的是以IDS設(shè)備產(chǎn)生一個聯(lián)動規(guī)則為觸發(fā)條件來觸發(fā)IDS設(shè)備下發(fā)聯(lián)動規(guī)則,在此稱這種觸發(fā)條件為聯(lián)動規(guī)則觸發(fā)。
在本發(fā)明中,還可以設(shè)置定時器以及定時時長,在IDS設(shè)備開始運行時即啟動定時器,依靠定時器到達(dá)定時時長來觸發(fā)IDS設(shè)備下發(fā)聯(lián)動規(guī)則的過程,在此稱這種觸發(fā)條件為定時器觸發(fā)。當(dāng)定時器到達(dá)定時時長時,則從流程中的步驟107開始執(zhí)行,其他的過程與本實施例中的描述完全相同,在此不再詳述。定時時長的設(shè)置可以根據(jù)聯(lián)動設(shè)備的處理效率,以及網(wǎng)絡(luò)中攻擊的情況進(jìn)行設(shè)置。這里,當(dāng)定時器到達(dá)定時時長時,有可能已經(jīng)存在了一個由聯(lián)動規(guī)則觸發(fā)的聯(lián)動規(guī)則下發(fā)過程正在進(jìn)行,這時,既可以等待此次由聯(lián)動規(guī)則觸發(fā)的聯(lián)動規(guī)則下發(fā)過程結(jié)束之后,再進(jìn)行由定時器觸發(fā)的聯(lián)動規(guī)則下發(fā)過程;也可以在進(jìn)行由聯(lián)動規(guī)則觸發(fā)的聯(lián)動規(guī)則下發(fā)過程中,由定時器到達(dá)定時時長來同時觸發(fā)聯(lián)動規(guī)則的下發(fā)過程,即同時存在由兩種觸發(fā)條件觸發(fā)的聯(lián)動規(guī)則下發(fā)過程。當(dāng)由定時器觸發(fā)和聯(lián)動規(guī)則觸發(fā)同時存在時,下發(fā)速率計算的方法不變。
本發(fā)明中,還可以不使用由產(chǎn)生的聯(lián)動規(guī)則來觸發(fā)聯(lián)動規(guī)則的下發(fā)過程,只使用由定時器到達(dá)定時時長來觸發(fā)下發(fā)聯(lián)動規(guī)則的過程。在這種觸發(fā)條件下,下發(fā)聯(lián)動規(guī)則的過程可以分為兩個部分,一個部分為存儲部分,包括實施例中介紹的步驟101~106;一個則為下發(fā)部分,包括實施例中的步驟107~114。這兩個部分的具體操作與實施例中所述相同,只是在定時器到達(dá)定時時長時,觸發(fā)下發(fā)部分,否則只執(zhí)行存儲部分的流程。
在實施例中,可以根據(jù)IDS設(shè)備以及聯(lián)動設(shè)備的具體情況,不執(zhí)行步驟103以及步驟108中判斷,這時,流程中的其他的步驟不變,只需將該判斷的流程去掉即可。
以上所述,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種下發(fā)安全策略的方法,其特征在于,設(shè)置最大下發(fā)速率,執(zhí)行以下步驟A1、存儲根據(jù)每個攻擊產(chǎn)生的新安全策略;B1、當(dāng)滿足觸發(fā)條件時,獲得當(dāng)前下發(fā)安全策略的速率,判斷當(dāng)前下發(fā)安全策略的速率是否小于最大下發(fā)速率,如果是,則取得并下發(fā)最先存儲的安全策略;否則,放棄下發(fā)安全策略。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置定時器及定時時長;則步驟B1中,所述滿足觸發(fā)條件為存儲了產(chǎn)生的新安全策略和定時器到達(dá)定時時長中至少一個。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置未下發(fā)安全策略表,在步驟A1之前進(jìn)一步包括a、將新產(chǎn)生的安全策略與未下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則在未下發(fā)安全策略表中,將與新產(chǎn)生安全策略相同的安全策略的阻斷時間更新為新安全策略所攜帶的阻斷時間;如果不存在,則執(zhí)行步驟A1;步驟A1中所述存儲為在未下發(fā)安全策略表中存儲產(chǎn)生的安全策略。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置已下發(fā)安全策略表;步驟B1中取得最先存儲的安全策略之后、下發(fā)取得的安全策略之前,進(jìn)一步包括B11、將取得的安全策略與已下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則丟棄取得的安全策略;否則,下發(fā)取得的安全策略。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在步驟B1之后,該方法進(jìn)一步包括C1、判斷當(dāng)前下發(fā)的安全策略是否下發(fā)成功,如果成功,則將當(dāng)前下發(fā)的安全策略加入已下發(fā)安全策略表;否則,丟棄當(dāng)前下發(fā)的安全策略。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置最大下發(fā)策略數(shù),在步驟a之后、步驟A1之前,進(jìn)一步包括判斷未下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則丟棄當(dāng)前產(chǎn)生的新安全策略;否則,執(zhí)行步驟A1。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,在取得最先存儲的安全策略之前,進(jìn)一步包括判斷已下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則放棄下發(fā)安全策略;否則,取得最先存儲的安全策略。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將未下發(fā)安全策略表和已下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則將該條安全策略在它所在的安全策略表中刪除。
9.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,設(shè)置計數(shù)器,周期性不斷存儲已下發(fā)安全策略數(shù),所述獲得當(dāng)前下發(fā)安全策略的速率為用存儲的已下發(fā)安全策略數(shù)除以周期的大小。
10.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述安全策略為聯(lián)動規(guī)則。
11.根據(jù)權(quán)利要求8所述的方法,其特征在于,所述安全策略為聯(lián)動規(guī)則;所述未下發(fā)安全策略表為未下發(fā)聯(lián)動規(guī)則表;所述已下發(fā)安全策略表為已下發(fā)聯(lián)動規(guī)則表;所述最大下發(fā)策略數(shù)為最大下發(fā)規(guī)則數(shù)。
12.一種下發(fā)安全策略的方法,其特征在于,設(shè)置未下發(fā)安全策略表,執(zhí)行以下步驟A2、將根據(jù)每個攻擊新產(chǎn)生的安全策略與未下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則在未下發(fā)安全策略表中,將與新產(chǎn)生安全策略相同的安全策略的阻斷時間更新為新安全策略所攜帶的阻斷時間;如果不存在,則在未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略;B2、當(dāng)滿足觸發(fā)條件時,取得并下發(fā)最先存儲的安全策略。
13.根據(jù)權(quán)利要求12所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置定時器及定時時長;則步驟B2中,所述滿足觸發(fā)條件為存儲了產(chǎn)生的新安全策略和定時器到達(dá)定時時長中至少一個。
14.根據(jù)權(quán)利要求12所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置最大下發(fā)策略數(shù),在步驟A2中,在向未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略之前,進(jìn)一步包括判斷未下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則丟棄當(dāng)前產(chǎn)生的新安全策略;否則,在未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略。
15.根據(jù)權(quán)利要求12、13或14所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將未下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則在未下發(fā)安全策略表中將該條安全策略刪除。
16.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述安全策略為聯(lián)動規(guī)則;所述未下發(fā)安全策略表為未下發(fā)聯(lián)動規(guī)則表;所述最大下發(fā)策略數(shù)為最大下發(fā)規(guī)則數(shù)。
17.根據(jù)權(quán)利要求12、13或14所述的方法,其特征在于,設(shè)置已下發(fā)安全策略表;步驟B2中取得最先存儲的安全策略之后、下發(fā)取得的安全策略之前,進(jìn)一步包括B21、將取得的安全策略與已下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則丟棄取得的安全策略;否則,下發(fā)取得的安全策略。
18.根據(jù)權(quán)利要求17所述的方法,其特征在于,在步驟B2之后,該方法進(jìn)一步包括C2、判斷當(dāng)前下發(fā)的安全策略是否下發(fā)成功,如果成功,則將當(dāng)前下發(fā)的安全策略加入已下發(fā)安全策略表;否則,丟棄當(dāng)前下發(fā)的安全策略。
19.根據(jù)權(quán)利要求18所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置最大下發(fā)策略數(shù),在步驟A2中,在向未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略之前,進(jìn)一步包括判斷未下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則丟棄當(dāng)前產(chǎn)生的新安全策略;否則,在未下發(fā)安全策略表中存儲當(dāng)前新產(chǎn)生的安全策略。
20.根據(jù)權(quán)利要求19所述的方法,其特征在于,在取得最先存儲的安全策略之前,進(jìn)一步包括判斷已下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則放棄下發(fā)安全策略;否則,取得最先存儲的安全策略。
21.根據(jù)權(quán)利要求20所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將未下發(fā)安全策略表和已下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則將該條安全策略在它所在的安全策略表中刪除。
22.根據(jù)權(quán)利要求19所述的方法,其特征在于,所述安全策略為聯(lián)動規(guī)則;所述未下發(fā)安全策略表為未下發(fā)聯(lián)動規(guī)則表;所述已下發(fā)安全策略表為已下發(fā)聯(lián)動規(guī)則表;所述最大下發(fā)策略數(shù)為最大下發(fā)規(guī)則數(shù)。
23.一種下發(fā)安全策略的方法,其特征在于,設(shè)置已下發(fā)安全策略表,執(zhí)行以下步驟A3、存儲根據(jù)每個攻擊產(chǎn)生的新安全策略;B3、當(dāng)滿足觸發(fā)條件時,取得最先存儲的安全策略,并將取得的安全策略與已下發(fā)安全策略表中的安全策略進(jìn)行比較,判斷是否存在相同的安全策略,如果存在,則丟棄取得的安全策略;否則,下發(fā)取得的安全策略。
24.根據(jù)權(quán)利要求23所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置定時器及定時時長;則步驟B3中,所述滿足觸發(fā)條件為存儲了產(chǎn)生的新安全策略和定時器到達(dá)定時時長中至少一個。
25.根據(jù)權(quán)利要求23或24所述的方法,其特征在于,在步驟B3之后,該方法進(jìn)一步包括C3、判斷當(dāng)前下發(fā)的安全策略是否下發(fā)成功,如果成功,則將當(dāng)前下發(fā)的安全策略加入已下發(fā)安全策略表;否則,丟棄當(dāng)前下發(fā)的安全策略。
26.根據(jù)權(quán)利要求25所述的方法,其特征在于,設(shè)置最大下發(fā)策略數(shù),在取得最先存儲的安全策略之前,進(jìn)一步包括判斷已下發(fā)安全策略表中的安全策略數(shù)是否已達(dá)到了最大下發(fā)策略數(shù),如果是,則放棄下發(fā)安全策略;否則,取得最先存儲的安全策略。
27.根據(jù)權(quán)利要求23所述的方法,其特征在于,該方法進(jìn)一步包括設(shè)置指定時間,每到指定時間將已下發(fā)安全策略表中安全策略所攜帶的阻斷時間減去指定時間,當(dāng)安全策略所攜帶的阻斷時間為零時,則在已下發(fā)安全策略表將該條安全策略刪除。
全文摘要
本發(fā)明公開了一種下發(fā)安全策略的方法,設(shè)置最大下發(fā)速率,執(zhí)行以下步驟A1、存儲根據(jù)每個攻擊產(chǎn)生的新安全策略;B1、當(dāng)滿足觸發(fā)條件時,獲得當(dāng)前下發(fā)安全策略的速率,判斷當(dāng)前下發(fā)安全策略的速率是否小于最大下發(fā)速率,如果是,則取得并下發(fā)最先存儲的安全策略;否則,放棄下發(fā)安全策略。同時,本發(fā)明還公開了另外兩種下發(fā)安全策略的方法。本發(fā)明實現(xiàn)了控制安全檢測設(shè)備下發(fā)安全策略的數(shù)量,使被檢測設(shè)備不會因為大量下發(fā)的安全策略而不能正常運行,減少下發(fā)安全策略所占用的傳輸資源。不僅如此,本發(fā)明還通過對安全策略的有效聚合,實現(xiàn)了在安全策略有效的時間內(nèi),不重復(fù)下發(fā)相同的安全策略。
文檔編號H04L29/06GK1777122SQ20051013184
公開日2006年5月24日 申請日期2005年12月15日 優(yōu)先權(quán)日2005年12月15日
發(fā)明者汪翰林 申請人:杭州華為三康技術(shù)有限公司