一種基于應用的入侵防御系統(tǒng)ips實現(xiàn)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方法及系統(tǒng),該方法包括:S1.通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應用流量進行實時監(jiān)控;S2.將檢測到的應用流量按流量大小進行排名;S3.動態(tài)激活與當前流量排名結(jié)果中前N名的應用相對應的IPS特征庫成員組,N值為預先設(shè)定;同時將其他已激活的IPS特征庫成員組置為待激活狀態(tài);再次執(zhí)行步驟S1。本發(fā)明能夠有效的平衡防火墻的性能與入侵防御功能。
【專利說明】一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計算機【技術(shù)領(lǐng)域】,具體涉及一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方 法及系統(tǒng)。
【背景技術(shù)】
[0002] IPS (Intrusion Prevention System入侵防御系統(tǒng))目前是很多防火墻設(shè)備的主 要模塊,開啟該功能后進入設(shè)備的流量會與IPS特征庫里面的每一條特征進行匹配,如果 匹配中,則會按照預先設(shè)定好的動作對流量進行處理。這樣雖然有效的攔截了一些威脅,但 也將會減慢流量的傳輸速度,降低了防火墻設(shè)備的性能。而用戶最想看到的結(jié)果是既能有 效阻攔網(wǎng)絡(luò)中的威脅,又能保證防火墻的性能,那么這就需要一種平衡。
【發(fā)明內(nèi)容】
[0003] 針對現(xiàn)有技術(shù)的不足,本發(fā)明提供一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方法及 系統(tǒng),能夠有效的平衡防火墻的性能與入侵防御功能。
[0004] 為實現(xiàn)上述目的,本發(fā)明通過以下技術(shù)方案予以實現(xiàn):
[0005] -種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方法,該方法包括:
[0006] S1.通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應用流量進行實時監(jiān)控;
[0007] S2.將檢測到的應用流量按流量大小進行排名;
[0008] S3.動態(tài)激活與當前流量排名結(jié)果中前N名的應用相對應的IPS特征庫成員組,N 值為預先設(shè)定;同時將其他已激活的IPS特征庫成員組置為待激活狀態(tài);再次執(zhí)行步驟S1。
[0009] 優(yōu)選地,所述方法還包括:
[0010] 將應用流量的排名結(jié)果發(fā)送給管理員,引導管理員手動修改IPS特征庫成員組的 激活狀態(tài)。
[0011] 優(yōu)選地,所述引導管理員手動修改IPS特征庫成員組的激活狀態(tài)包括:
[0012] 將已激活的IPS特征庫成員更改為待激活狀態(tài),并將當前流量排名結(jié)果前N名應 用中的一種或多種應用相對應的IPS特征庫成員組激活。
[0013] -種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)系統(tǒng),該系統(tǒng)包括:
[0014] 應用流量監(jiān)控模塊,用于通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應用流 量進行實時監(jiān)控;
[0015] 流量排序模塊,用于將檢測到的應用流量按流量大小進行排名;
[0016] IPS特征庫激活模塊,用于動態(tài)激活與當前流量排名結(jié)果中前N名的應用相對應 的IPS特征庫成員組,N值為預先設(shè)定;同時將其他已激活的IPS特征庫成員組置為待激活 狀態(tài)。
[0017] 本發(fā)明至少具有如下的有益效果:
[0018] 本發(fā)明是基于應用識別來實現(xiàn)動態(tài)激活I(lǐng)PS特征庫成員的方法,該方法相對于傳 統(tǒng)一直激活著所有特征庫成員的方法,具有更加靈活和高效的特點,系統(tǒng)流量只與同類應 用的IPS特征庫成員進行匹配,使得在滿足入侵防御功能的同時,有效的優(yōu)化了防火墻的 性能。本發(fā)明能夠平衡防火墻的性能與入侵防御功能。
【專利附圖】
【附圖說明】
[0019] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明 的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù) 這些附圖獲得其他的附圖。
[0020] 圖1是本發(fā)明實施例中基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方法的流程圖;
[0021] 圖2是本發(fā)明實施例中基于應用的入侵防御系統(tǒng)IPS實現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0022] 為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例 中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整的描述,顯然,所描述的實施例是 本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員 在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0023] 參見圖1,本發(fā)明實施例提出了一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方法,包括 如下步驟:
[0024] 步驟101 :通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應用流量進行實時監(jiān) 控。
[0025] 在本步驟中,防火墻通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應用流量進 行監(jiān)控。
[0026] 步驟102 :將檢測到的應用流量按流量大小進行排名。
[0027] 在本步驟中,防火墻將檢測到的應用流量按流量大小進行排名。
[0028] 步驟103 :動態(tài)激活與當前流量排名結(jié)果中前N名的應用相對應的IPS特征庫成 員組;同時將其他已激活的IPS特征庫成員組置為待激活狀態(tài);再次執(zhí)行步驟101。
[0029] 在本步驟中,防火墻根據(jù)流可視策略中的統(tǒng)計排名情況,動態(tài)激活與當前流量排 名結(jié)果中前N名應用相對應的IPS特征庫成員組,N值為預先設(shè)定,N的取值需要根據(jù)對性 能和防御能力的要求確定,通常N的取值為1-3中的任意一個整數(shù)。同時還可以通過監(jiān)控 結(jié)果引導管理員手動修改IPS特征庫的激活項,例如選擇與當前流量排名結(jié)果前N名應用 中的一種或多種應用相對應的IPS特征庫成員組激活,這樣可以讓后續(xù)的流量只去匹配排 名前N名應用或前N名應用中的一種或多種應用對應的IPS特征庫成員,而不再匹配特征 庫中其他無關(guān)的特征成員,從而有效的優(yōu)化了防火墻的性能,做到了防火墻性能與入侵防 御功能的平衡。
[0030] 所述引導管理員手動修改IPS特征庫成員組的激活狀態(tài)包括:
[0031] 將已激活的IPS特征庫成員更改為待激活狀態(tài),并將當前流量排名結(jié)果前N名應 用中的一種或多種應用相對應的IPS特征庫成員組激活。
[0032] 本發(fā)明實施例通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的流量進行實時監(jiān) 控,并將檢測到的應用流量按照流量大小進行排名,根據(jù)當前網(wǎng)絡(luò)環(huán)境中各種應用的流量 排名順序動態(tài)激活流量排名靠前的應用所對應的IPS特征庫成員,這樣可以讓流量較大的 同類型應用的后續(xù)的流量只去匹配該類應用的IPS特征庫成員,而不再匹配特征庫中其他 無關(guān)的特征成員,從而有效的優(yōu)化了防火墻的性能,做到了防火墻性能與入侵防御功能的 平衡。
[0033] 基于應用識別來實現(xiàn)動態(tài)激活I(lǐng)PS特征庫成員的方法,該方法相對于傳統(tǒng)一直激 活著所有特征庫成員的方法,具有更加靈活和高效的特點,系統(tǒng)流量只與同類應用的IPS 特征庫成員進行匹配,使得在滿足入侵防御功能的同時,有效的優(yōu)化了防火墻的性能。本發(fā) 明能夠平衡防火墻的性能與入侵防御功能。
[0034] 參見圖2,本發(fā)明另一個實施例還提出了一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn) 系統(tǒng),包括:
[0035] 應用流量監(jiān)控模塊201,用于通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應 用流量進行實時監(jiān)控;
[0036] 流量排序模塊202,用于將檢測到的應用流量按流量大小進行排名;
[0037] IPS特征庫激活模塊203,用于動態(tài)激活與當前流量排名結(jié)果中前N名的應用相對 應的IPS特征庫成員組;同時將其他已激活的IPS特征庫成員組置為待激活狀態(tài)。
[0038] 在IPS特征庫激活模塊中,防火墻根據(jù)流可視策略中的統(tǒng)計排名情況,動態(tài)激活 與當前流量排名結(jié)果中前N名應用相對應的IPS特征庫成員組,N值為預先設(shè)定。這樣可 以讓后續(xù)的同類型的流量只去匹配該類應用的IPS特征庫成員,而不再匹配特征庫中其他 無關(guān)的特征成員,從而有效的優(yōu)化了防火墻的性能,做到了防火墻性能與入侵防御功能的 平衡。
[0039] 本發(fā)明實施例所述系統(tǒng)通過應用流量監(jiān)控模塊對當前網(wǎng)絡(luò)環(huán)境中的流量進行實 時監(jiān)控,并利用流量排序模塊將檢測到的應用流量按照流量大小進行排名,最后由IPS特 征庫激活模塊將當前網(wǎng)絡(luò)中流量排名靠前的應用所對應的IPS特征庫成員激活,這樣可以 讓流量較大的同類型應用的后續(xù)的流量只去匹配該類應用的IPS特征庫成員,而不再匹配 特征庫中其他無關(guān)的特征成員,從而有效的優(yōu)化了防火墻的性能,做到了防火墻性能與入 侵防御功能的平衡。
[0040] 基于應用識別來實現(xiàn)動態(tài)激活I(lǐng)PS特征庫成員的系統(tǒng),相對于傳統(tǒng)一直激活著所 有特征庫成員,具有更加靈活和高效的特點,系統(tǒng)流量只與同類應用的IPS特征庫成員進 行匹配,使得在滿足入侵防御功能的同時,有效的優(yōu)化了防火墻的性能。本發(fā)明實施例能夠 平衡防火墻的性能與入侵防御功能。
[0041] 以上實施例僅用于說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例 對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應當理解:其依然可以對前述各實施 例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換;而這些修改或替 換,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
【權(quán)利要求】
1. 一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)方法,其特征在于,該方法包括:
51. 通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應用流量進行實時監(jiān)控;
52. 將檢測到的應用流量按流量大小進行排名;
53. 動態(tài)激活與當前流量排名結(jié)果中前N名的應用相對應的IPS特征庫成員組,N值為 預先設(shè)定;同時將其他已激活的IPS特征庫成員組置為待激活狀態(tài);再次執(zhí)行步驟S1。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:將應用流量的排名結(jié)果 發(fā)送給管理員,引導管理員手動修改IPS特征庫成員組的激活狀態(tài)。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述引導管理員手動修改IPS特征庫成員 組的激活狀態(tài)包括: 將已激活的IPS特征庫成員更改為待激活狀態(tài),并將當前流量排名結(jié)果前N名應用中 的一種或多種應用相對應的IPS特征庫成員組激活。
4. 一種基于應用的入侵防御系統(tǒng)IPS實現(xiàn)系統(tǒng),其特征在于,該系統(tǒng)包括: 應用流量監(jiān)控模塊,用于通過基于應用的流可視策略對當前網(wǎng)絡(luò)環(huán)境中的應用流量進 行實時監(jiān)控; 流量排序模塊,用于將檢測到的應用流量按流量大小進行排名; IPS特征庫激活模塊,用于動態(tài)激活與當前流量排名結(jié)果中前N名的應用相對應的IPS 特征庫成員組,N值為預先設(shè)定;同時將其他已激活的IPS特征庫成員組置為待激活狀態(tài)。
【文檔編號】H04L29/06GK104052738SQ201410218461
【公開日】2014年9月17日 申請日期:2014年5月22日 優(yōu)先權(quán)日:2014年5月22日
【發(fā)明者】張輝 申請人:漢柏科技有限公司