專利名稱:簽名規(guī)則的處理方法����、服務(wù)器及入侵防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全系統(tǒng)領(lǐng)域�����,特別涉及ー種簽名規(guī)則的處理方法���、服務(wù)器及入侵防御系統(tǒng)。
背景技術(shù):
隨著電腦的廣泛應(yīng)用和網(wǎng)絡(luò)的不斷普及����,來自網(wǎng)絡(luò)內(nèi)部和外部的威脅越來越多,從而造成了網(wǎng)絡(luò)資源濫用�����,網(wǎng)絡(luò)癱瘓�,用戶私密數(shù)據(jù)泄漏等問題的出現(xiàn)��。為了提供有效的網(wǎng)絡(luò)安全保護(hù)��,防止網(wǎng)絡(luò)內(nèi)部和外部的攻擊����,需要在網(wǎng)絡(luò)中部署安全設(shè)備,如IPSdntrusionPrevention System,入侵防御系統(tǒng)),防火墻等���。
當(dāng)前的安全設(shè)備主要采用簽名特征掃描的方法檢測網(wǎng)絡(luò)攻擊��,病毒�,蠕蟲,惡意軟件等����。研究人員通過分析漏洞,病毒����,蠕蟲,惡意軟件等的簽名特征�����,提取特征生成簽名特征庫并發(fā)布�����,安全設(shè)備根據(jù)部署場景及自身資源配置加載簽名規(guī)則��,井根據(jù)加載的簽名規(guī)則�,進(jìn)行掃描檢測,完成網(wǎng)絡(luò)攻擊��,病毒,蠕蟲���,惡意軟件等的檢測���,并對檢測到的攻擊,病毒���,蠕蟲�,惡意軟件等進(jìn)行阻斷���,清洗或告警等動作�����。然而���,現(xiàn)有技術(shù)中���,一方面����,由于CPU(Central Processing Unit,中央處理器)資源的限制以及不同的部署場景,安全設(shè)備不加載所有的簽名規(guī)則����,而是根據(jù)配置部分的加載簽名規(guī)則,并且簽名的規(guī)則的配置完全由操作員根據(jù)經(jīng)驗(yàn)決定��。另ー方面��,不同區(qū)域不同行業(yè)內(nèi)的不同安全設(shè)備加載的簽名規(guī)則存在差異����,當(dāng)出現(xiàn)問題時,只有加載了對應(yīng)簽名規(guī)則的安全設(shè)備才受保護(hù)����,沒有加載的安全設(shè)備不受保護(hù),因此現(xiàn)有技術(shù)中的安全設(shè)備的保護(hù)能力還不理想���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供ー種簽名規(guī)則的處理方法���、服務(wù)器及入侵防御系統(tǒng),實(shí)現(xiàn)了安全設(shè)備之間進(jìn)行簽名規(guī)則信息共享�,提升了安全設(shè)備的保護(hù)能力。本發(fā)明實(shí)施例提供ー種簽名規(guī)則的處理方法��,包括云服務(wù)器接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息,所述簽名規(guī)則使用狀態(tài)信息用于表示所述各個安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài)��;所述云服務(wù)器將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和所述云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后��,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�;所述云服務(wù)器根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表,生成與所述各個安全設(shè)備分別對應(yīng)的更新信息�;所述云服務(wù)器將所述更新信息分別發(fā)送給所述各個安全設(shè)備,以使所述各個安全設(shè)備根據(jù)所述更新信息分別進(jìn)行簽名規(guī)則的更新�����。本發(fā)明實(shí)施例還提供一種服務(wù)器��,包括接收單元���,用于接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息����,以及將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息傳輸給分析獲取単元�,其中,所述簽名規(guī)則使用狀態(tài)信息用于表示所述各個安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài)�;分析獲取單元�����,用于從所述接收単元接收所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息,將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后���,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表���,以及將所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表發(fā)送給生成単元;生成単元����,用于從所述分析獲取單元接收所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表,根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表生成與所述各個安全設(shè)備分別對應(yīng)的更新信息�,以及將所述更新信息傳輸給第一發(fā)送單元;第一發(fā)送單元�,用于從所述生成単元接收所述更新信息,將所述更新信息分別發(fā) 送給與所述更新信息分別對應(yīng)的所述各個安全設(shè)備�,以使所述各個安全設(shè)備根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新。
本發(fā)明實(shí)施例還提供一種入侵防御系統(tǒng)�����,包括云服務(wù)器和與所述云服務(wù)器通信連接的至少ー個安全設(shè)備����,其中����,所述云服務(wù)器��,用于接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息��;將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和所述云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后���,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�����;根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�,生成與所述各個安全設(shè)備分別對應(yīng)的更新信息�;將所述更新信息分別發(fā)送給所述各個安全設(shè)備;所述安全設(shè)備�����,用于向所述云服務(wù)器發(fā)送自身對應(yīng)的簽名規(guī)則使用狀態(tài)信息�,所述簽名規(guī)則使用狀態(tài)信息用于表示所述安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài);在接收到所述云服務(wù)器發(fā)送的更新信息后�,根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新�。本發(fā)明實(shí)施例提供的簽名規(guī)則的處理方法���、服務(wù)器及入侵防御系統(tǒng),云服務(wù)器通過將與其連接的各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析����,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼I D列表,并根據(jù)最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表生成更新信息后�,云服務(wù)器將更新信息發(fā)送給各個安全設(shè)備進(jìn)行簽名規(guī)則的更新。本發(fā)明實(shí)施例通過云服務(wù)器為安全設(shè)備提供實(shí)時簽名規(guī)則更新信息��,實(shí)現(xiàn)了安全設(shè)備之間進(jìn)行簽名規(guī)則信息共享的同時��,提升了安全設(shè)備的保護(hù)能力���。
為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案���,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的ー些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其它的附圖��。圖I為本發(fā)明實(shí)施例提供的ー種簽名規(guī)則的處理方法流程圖��;圖2為本發(fā)明實(shí)施例提供的一種服務(wù)器的結(jié)構(gòu)示意圖�;圖3為本發(fā)明實(shí)施例提供的另ー種簽名規(guī)則的處理方法流程圖;圖4為本發(fā)明實(shí)施例提供的ー種安全設(shè)備的結(jié)構(gòu)示意圖5為本發(fā)明實(shí)施例提供的系統(tǒng)組網(wǎng)結(jié)構(gòu)圖�;圖6為本發(fā)明實(shí)施例提供的入侵防御系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例��?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍。為使本發(fā)明技術(shù)方案的優(yōu)點(diǎn)更加清楚�����,下面結(jié)合附圖和實(shí)施例對本發(fā)明作詳細(xì)說明��。本實(shí)施例提供ー種簽名規(guī)則的處理方法�����,如圖I所示��,所述方法包括101�、云服務(wù)器接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽 名規(guī)則使用狀態(tài)信息��。其中���,所述簽名規(guī)則使用狀態(tài)信息可以包括簽名規(guī)則的標(biāo)志碼ID�����,簽名規(guī)則在單位時間的命中次數(shù)�����,簽名規(guī)則最后一次命中時間���,簽名規(guī)則的嚴(yán)重等級�,簽名規(guī)則的區(qū)域號����,簽名規(guī)則對應(yīng)的安全設(shè)備所屬行業(yè)號等信息。進(jìn)ー步地���,云服務(wù)器還可以接收與其連接的各個安全設(shè)備發(fā)送的各個安全設(shè)備的配置數(shù)據(jù)���。102、所述云服務(wù)器將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析����,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表。其中��,所述活躍的判斷標(biāo)準(zhǔn)具體可以根據(jù)當(dāng)前網(wǎng)絡(luò)中當(dāng)前時間段內(nèi)簽名規(guī)則的命中次數(shù)或簽名規(guī)則出現(xiàn)的頻率等因素來判斷。具體地��,云服務(wù)器進(jìn)行關(guān)聯(lián)分析的方式可以有多種�,其中一種可以為云服務(wù)器根據(jù)簽名規(guī)則使用狀態(tài)信息獲取安全設(shè)備中啟用的頻率比較高的第一威脅簽名規(guī)則ID集合,并且根據(jù)簽名規(guī)則使用狀態(tài)信息獲取實(shí)際網(wǎng)絡(luò)流量命中較多的第二威脅簽名規(guī)則ID集合����;再根據(jù)最新簽名規(guī)則集合獲取危險系數(shù)較高的第三威脅簽名規(guī)則ID集合,云服務(wù)器取第一���、第二和第三威脅簽名規(guī)則ID集合的并集�,得到ー個第四威脅簽名規(guī)則ID集合�����,然后將所述第四威脅簽名規(guī)則ID集合與所述最新簽名規(guī)則集合的交集中的各個簽名規(guī)則作為最活躍的威脅簽名規(guī)則����,并生成最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�����。103���、云服務(wù)器根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表���,生成與所述各個安全設(shè)備分別對應(yīng)的更新信息��。其中�,所述更新信息包括需要進(jìn)行更新的安全設(shè)備ID�、所述安全設(shè)備名稱、所述安全設(shè)備地址�、所述安全設(shè)備需要更改的配置、所述安全設(shè)備需要更新的簽名規(guī)則ID集合列表或簽名規(guī)則集合�。當(dāng)更新信息為安全設(shè)備需要更新的簽名規(guī)則ID集合列表時,所述安全設(shè)備從云服務(wù)器中下載與所述簽名規(guī)則ID集合對應(yīng)的簽名規(guī)則集合并進(jìn)行更新���。當(dāng)更新信息中為安全設(shè)備需要更新的簽名規(guī)則集合時��,所述安全設(shè)備直接根據(jù)更新信息進(jìn)行簽名規(guī)則更新���。優(yōu)選地,云服務(wù)器還可以接收到與其連接的各個安全設(shè)備發(fā)送的各個安全設(shè)備的配置數(shù)據(jù)���,此時���,所述云服務(wù)器首先分別根據(jù)所述各個安全設(shè)備的配置數(shù)據(jù)得到所述各個安全設(shè)備已加載的簽名規(guī)則列表�����,并根據(jù)所述各個安全設(shè)備已加載的簽名規(guī)則列表與所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表��,將所述各個安全設(shè)備中�,沒有包含所述最活躍的威脅簽名規(guī)則ID列表中的所有簽名規(guī)則的安全設(shè)備確定為需要進(jìn)行簽名規(guī)則更新的安全設(shè)備�����,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息����。例如,有一個威脅T大量爆發(fā)時�����,A區(qū)安全設(shè)備加載了此威脅對應(yīng)的簽名規(guī)則��,B區(qū)安全設(shè)備沒有加載此威脅的簽名規(guī)則���。云服務(wù)器根據(jù)A區(qū)安全設(shè)備上報的簽名規(guī)則使用狀態(tài)信息,判定T是大量爆發(fā)的威脅�����,則向B區(qū)安全設(shè) 備發(fā)送更新信息,B區(qū)安全設(shè)備收到更新消息后��,即時更新�,即時保護(hù)B區(qū)安全,從而實(shí)現(xiàn)了簽名規(guī)則在不同設(shè)備��、不同地區(qū)間的共享�����?�?商鎿Q地����,當(dāng)所述云服務(wù)器判斷各個安全設(shè)備中存在配置不正確的安全設(shè)備吋,所述云服務(wù)器生成與所述配置不正確的安全設(shè)備對應(yīng)的所述更新信息�。其中,安全設(shè)備配置不正確可能是由于配置沖突���、配置遺漏或者配置不合理引起的����,例如,ー個安全設(shè)備運(yùn)行的是Linux (操作系統(tǒng))下的數(shù)據(jù)庫應(yīng)用����,下面這些配置方式都是錯誤的只配置了數(shù)據(jù)庫中低威脅的簽名規(guī)則沒有配置高威脅的簽名規(guī)則;或者配置的簽名規(guī)則在最新的簽名規(guī)則集合中已經(jīng)失效�;或者只配置了數(shù)據(jù)庫的簽名規(guī)則沒有配置Linux的簽名規(guī)則;配置的是Windows (操作系統(tǒng))下的數(shù)據(jù)庫的簽名規(guī)則���。104����、云服務(wù)器將所述更新信息分別發(fā)送給所述各個安全設(shè)備����。進(jìn)ー步地,以使所述各個安全設(shè)備根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新�����。所述云服務(wù)器可以自動發(fā)送更新信息給安全設(shè)備����,以使得安全信息自行進(jìn)行更新,也可以通過電子郵件�、短信等形式通知技術(shù)人員,由人工進(jìn)行安全設(shè)備配置和簽名規(guī)則特征庫更新���。本發(fā)明實(shí)施例提供的方法具體可以應(yīng)用在互聯(lián)網(wǎng)安全保護(hù)中����,具體的系統(tǒng)組網(wǎng)結(jié)構(gòu)圖如圖5所示����,系統(tǒng)組網(wǎng)中可以包括安全設(shè)備,管理安全設(shè)備的操作管理平臺����,云服務(wù)器中心。其中���,云服務(wù)器中心具體可以包括接收集群服務(wù)器�����、簽名庫發(fā)布服務(wù)器�、統(tǒng)計分析服務(wù)器�����、同步更新通知服務(wù)器、數(shù)據(jù)庫��。具體地��,操作管理平臺為安全設(shè)備配置加載規(guī)則和配置需要加載的簽名規(guī)則集合���,安全設(shè)備通過內(nèi)置的代理向云服務(wù)器中心中的接收集群服務(wù)器上報安全設(shè)備的最新配置數(shù)據(jù)和簽名規(guī)則的使用狀態(tài)信息����,統(tǒng)計分析服務(wù)器根據(jù)簽名規(guī)則的使用狀態(tài)信息和簽名庫發(fā)布服務(wù)器發(fā)布的最新簽名特征庫進(jìn)行關(guān)聯(lián)分析后�,獲取最活躍的威脅簽名規(guī)則ID列表,并且根據(jù)分析每個安全設(shè)備的配置數(shù)據(jù)是否全部包含了最活躍的威脅簽名規(guī)則ID列表�,向同步更新通知服務(wù)器發(fā)送需要進(jìn)行更新的安全設(shè)備的更新信息,以使得同步更新通知服務(wù)器向安全設(shè)備發(fā)送更新信息�����,其中�����,簽名規(guī)則的使用狀態(tài)信息和安全設(shè)備的配置數(shù)據(jù)都可以存儲在數(shù)據(jù)庫中����。本實(shí)施例提供一種服務(wù)器,如圖2所示�����,所述裝置的實(shí)體可以為云服務(wù)器���,所述裝置包括接收單元21�、分析獲取單元22����、生成単元23、第一發(fā)送單元24�����、第二發(fā)送單元25���。接收單元21��,可以用于接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息���,以及將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息傳輸給分析獲取單元22�。其中�����,所述簽名規(guī)則使用狀態(tài)信息可以包括簽名規(guī)則的標(biāo)志碼ID�,簽名規(guī)則在單位時間的命中次數(shù),簽名規(guī)則最后一次命中時間���,簽名規(guī)則的嚴(yán)重等級��,簽名規(guī)則的區(qū)域號����,簽名規(guī)則對應(yīng)的安全設(shè)備所屬行業(yè)號等信息���。所述簽名規(guī)則使用狀態(tài)信息用于表示所述各個安全設(shè)備的簽名規(guī)則的使用狀態(tài)��。所述接收単元21�����、還可以用于接收所述與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的配置數(shù)據(jù)�,并將所述各個安全設(shè)備的配置數(shù)據(jù)傳輸給所述生成単元23�。分析獲取單元22��,可以用于從所述接收單元21接收所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息����,將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和最新簽名規(guī)則集合進(jìn)行 關(guān)聯(lián)分析后���,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表,以及將所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表發(fā)送給生成単元23��。所述分析獲取單元22具體可以包括獲取模塊2201��、生成模塊2202���、刪除模塊2203�����。獲取模塊2201���,可以用于根據(jù)所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息獲取所述各個安全設(shè)備中啟用頻率大于預(yù)設(shè)頻率的第一威脅簽名規(guī)則ID集合,并且根據(jù)所述簽名規(guī)則使用狀態(tài)信息獲取網(wǎng)絡(luò)流量中命中次數(shù)大于預(yù)設(shè)次數(shù)的第二威脅簽名規(guī)則ID集合���,以及根據(jù)所述最新簽名規(guī)則集合獲取危險系數(shù)大于預(yù)設(shè)閥值的第三威脅簽名規(guī)則ID
隹A
ロ O生成模塊2202�,可以用于將所述獲取模塊2201發(fā)送的所述第一威脅簽名規(guī)則ID集合、所述第二威脅簽名規(guī)則ID集合�、所述第三威脅簽名規(guī)則ID集合求并集,得到第四威脅簽名規(guī)則ID集合���,以及將所述第四威脅簽名規(guī)則ID集合傳輸給刪除模塊2203�����。刪除模塊2203��,可以用于接收所述生成模塊2202發(fā)送的所述第四威脅簽名規(guī)則ID集合���,并將所述第四威脅簽名規(guī)則ID集合與所述最新簽名規(guī)則集合的交集中的簽名規(guī)則作為最活躍的威脅簽名規(guī)則,并生成最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表��。生成単元23��,可以用于從所述分析獲取單元22接收所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表����,根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表生成與所述各個安全設(shè)備分別對應(yīng)的更新信息,以及將所述更新信息傳輸給第一發(fā)送單元24�。所述生成単元23,具體可以用于接收所述接收單元21發(fā)送的所述各個安全設(shè)備的配置信息,分別根據(jù)所述各個安全設(shè)備的配置數(shù)據(jù)得到所述各個安全設(shè)備已加載的簽名規(guī)則列表��,并通過對比所述各個安全設(shè)備已加載的簽名規(guī)則列表與所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表����,確定出需要進(jìn)行簽名規(guī)則更新的安全設(shè)備,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息�,以及將所述更新信息傳輸給第二發(fā)送單元25。第一發(fā)送單元24�����,可以用于從所述生成単元23接收所述更新信息��,將所述更新信息分別發(fā)送給與所述更新信息分別對應(yīng)的所述各個安全設(shè)備�,以使所述各個安全設(shè)備根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新��。第二發(fā)送單元25���,可以用于從所述生成単元23接收所述更新信息�,并將所述更新信息發(fā)送給所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備���,以使所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備根據(jù)所述更新信息分別進(jìn)行簽名規(guī)則的更新���。本實(shí)施例提供另ー種簽名規(guī)則的處理方法����,如圖3所示�,所述方法包括301、與云服務(wù)器連接的安全設(shè)備向云服務(wù)器發(fā)送所述安全設(shè)備對應(yīng)的簽名規(guī)則使用狀態(tài)信息�。
其中,所述簽名規(guī)則使用狀態(tài)信息可以包括簽名規(guī)則的標(biāo)志碼ID�����,簽名規(guī)則在單位時間的命中次數(shù)�����,簽名規(guī)則最后一次命中時間�,簽名規(guī)則的嚴(yán)重等級,簽名規(guī)則的區(qū)域號����,簽名規(guī)則對應(yīng)的安全設(shè)備所屬行業(yè)號等信息。優(yōu)選地�,所述安全設(shè)備還可以向所述云服務(wù)器發(fā)送所述安全設(shè)備的配置數(shù)據(jù),以使所述云服務(wù)器根據(jù)所述安全設(shè)備的配置數(shù)據(jù)和所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�����,確定出需要進(jìn)行簽名規(guī)則更新的安全設(shè)備,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息��。進(jìn)ー步地����,以使得所述云服務(wù)器根據(jù)所述安全設(shè)備對應(yīng)的所述簽名規(guī)則使用狀態(tài) 信息和所述云服務(wù)器發(fā)布的最新簽名規(guī)則集合,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表后��,生成與所述安全設(shè)備對應(yīng)的更新信息��,其中�����,所述簽名規(guī)則使用狀態(tài)信息用于表示所述安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài)����。302�����、所述安全設(shè)備接收所述云服務(wù)器發(fā)送的與所述安全設(shè)備對應(yīng)的所述更新信息�����,井根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新。其中�,所述更新信息包括需要進(jìn)行更新的安全設(shè)備ID、安全設(shè)備名稱���、安全設(shè)備地址�、安全設(shè)備需要更改的配置���、安全設(shè)備需要更新的簽名規(guī)則ID集合列表或簽名規(guī)則集
ム
ロ ο本實(shí)施例提供ー種安全設(shè)備���,所述裝置的實(shí)體可以為網(wǎng)絡(luò)安全設(shè)備,如圖4所示���,所述裝置包括發(fā)送單元41�、接收單元42�����。發(fā)送單元41��,可以用于向云服務(wù)器發(fā)送簽名規(guī)則使用狀態(tài)信息���。其中����,所述簽名規(guī)則使用狀態(tài)信息可以包括簽名規(guī)則的標(biāo)志碼ID,簽名規(guī)則在單位時間的命中次數(shù)����,簽名規(guī)則最后一次命中時間,簽名規(guī)則的嚴(yán)重等級�,簽名規(guī)則的區(qū)域號,簽名規(guī)則對應(yīng)的安全設(shè)備所屬行業(yè)號等信息�����。進(jìn)ー步地���,以使得所述云服務(wù)器根據(jù)所述簽名規(guī)則使用狀態(tài)信息和配置數(shù)據(jù)��,生成更新信息,其中���,所述簽名規(guī)則使用狀態(tài)信息用于表示簽名規(guī)則的使用狀態(tài)����。所述發(fā)送単元41,還可以用于向所述云服務(wù)器發(fā)送安全設(shè)備的配置數(shù)據(jù)��,以使所述云服務(wù)器根據(jù)安全設(shè)備的配置數(shù)據(jù)和所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表��,確定出需要進(jìn)行簽名規(guī)則更新的安全設(shè)備��,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息��。接收單元42�����,可以用于接收所述云服務(wù)器發(fā)送的所述更新信息���,井根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新���。其中,所述更新信息包括需要進(jìn)行更新的安全設(shè)備ID���、安全設(shè)備名稱��、安全設(shè)備地址�����、安全設(shè)備需要更改的配置�、安全設(shè)備需要更新的簽名規(guī)則ID集合列表或簽名規(guī)則集
ム
ロ ο本實(shí)施例還提供ー種安全設(shè)備入侵防御系統(tǒng),如圖6所示�,包括云服務(wù)器61和與所述云服務(wù)器通信連接的至少ー個安全設(shè)備62。所述云服務(wù)器61���,用于接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息��;將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和所述云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后����,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表���;根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表����,生成與所述各個安全設(shè)備分別對應(yīng)的更新信息���;將所述更新信息分別發(fā)送給所述各個安全設(shè)備�����。所述安全設(shè)備62���,用于向所述云服務(wù)器61發(fā)送自身對應(yīng)的簽名規(guī)則使用狀態(tài)信息,所述簽名規(guī)則使用狀態(tài)信息用于表示所述安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài)��;在接收到所述云服務(wù)器61發(fā)送的更新信息后�����,根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新��。本發(fā)明實(shí)施例提供的簽名規(guī)則的處理方法�、服務(wù)器及入侵防御系統(tǒng),云服務(wù)器通過將與其連接的各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析�,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表,并根據(jù)最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表生成更新信息后�,云服務(wù)器將更新信息發(fā)送給各個安全設(shè)備進(jìn)行簽名規(guī)則的更新。本發(fā)明實(shí)施例通過云服務(wù)器為安全設(shè)備提供實(shí)時簽名規(guī)則更新信息�,實(shí)現(xiàn)了安全設(shè)備之間進(jìn)行簽名規(guī)則信息共享的同時,提升了安全設(shè)備的保護(hù)能力���。
本發(fā)明實(shí)施例提供的服務(wù)器可以實(shí)現(xiàn)上述提供的方法實(shí)施例����,具體功能實(shí)現(xiàn)請參見方法實(shí)施例中的說明��,在此不再贅述。本發(fā)明實(shí)施例提供的簽名規(guī)則的處理方法��、服務(wù)器及入侵防御系統(tǒng)可以適用于網(wǎng)絡(luò)安全系統(tǒng)領(lǐng)域��,但不僅限于此�����。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程����,是可以通過計算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機(jī)可讀取存儲介質(zhì)中����,該程序在執(zhí)行時,可包括如上述各方法的實(shí)施例的流程����。其中,所述的存儲介質(zhì)可為磁碟�、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機(jī)存儲記憶體(Random AccessMemory, RAM)等�����。以上所述,僅為本發(fā)明的具體實(shí)施方式
�����,但本發(fā)明的保護(hù)范圍并不局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到的變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此��,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)����。
權(quán)利要求
1.一種簽名規(guī)則的處理方法,其特征在于���,包括云服務(wù)器接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息��,所述簽名規(guī)則使用狀態(tài)信息用于表示所述各個安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài)����;所述云服務(wù)器將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和所述云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�����; 所述云服務(wù)器根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表����,生成與所述各個安全設(shè)備分別對應(yīng)的更新信息;所述云服務(wù)器將所述更新信息分別發(fā)送給所述各個安全設(shè)備�,以使所述各個安全設(shè)備根據(jù)所述更新信息分別進(jìn)行簽名規(guī)則的更新。
2.根據(jù)權(quán)利要求I所述的簽名規(guī)則的處理方法����,其特征在于,所述云服務(wù)器將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和所述云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后��,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�,具體包括所述云服務(wù)器根據(jù)所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息獲取所述各個安全設(shè)備中啟用頻率大于預(yù)設(shè)頻率的第一威脅簽名規(guī)則ID集合,并且根據(jù)所述簽名規(guī)則使用狀態(tài)信息獲取網(wǎng)絡(luò)流量中命中次數(shù)大于預(yù)設(shè)次數(shù)的第二威脅簽名規(guī)則ID集合�����,以及根據(jù)所述最新簽名規(guī)則集合獲取危險系數(shù)大于預(yù)設(shè)閾值的第三威脅簽名規(guī)則ID集合;所述云服務(wù)器將所述第一威脅簽名規(guī)則ID集合��、第二威脅簽名規(guī)則ID集合�����、第三威脅簽名規(guī)則ID集合求并集�����,得到第四威脅簽名規(guī)則ID集合�����;所述云服務(wù)器將所述第四威脅簽名規(guī)則ID集合與所述最新簽名規(guī)則集合的交集中的各個簽名規(guī)則作為最活躍的威脅簽名規(guī)則��,并生成最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表����。
3.根據(jù)權(quán)利要求I或2所述的簽名規(guī)則的處理方法��,其特征在于���,所述更新信息包括需要進(jìn)行更新的安全設(shè)備ID����、安全設(shè)備名稱、安全設(shè)備地址�、安全設(shè)備需要更改的配置、安全設(shè)備需要更新的簽名規(guī)則ID集合列表��、簽名規(guī)則集合�����。
4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的簽名規(guī)則的處理方法�,其特征在于,還包括所述云服務(wù)器接收所述與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的配置數(shù)據(jù)�����,所述各個安全設(shè)備的配置數(shù)據(jù)用于表示所述各個安全設(shè)備的簽名規(guī)則加載信息�����; 相應(yīng)地�����,所述云服務(wù)器根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表���,生成與所述各個安全設(shè)備分別對應(yīng)的更新信息���,具體包括所述云服務(wù)器分別根據(jù)所述各個安全設(shè)備的配置數(shù)據(jù)得到所述各個安全設(shè)備已加載的簽名規(guī)則列表���,并通過對比所述各個安全設(shè)備已加載的簽名規(guī)則列表與所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表,確定出需要進(jìn)行簽名規(guī)則更新的安全設(shè)備�,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息;所述云服務(wù)器將所述更新信息發(fā)送給所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備���,以使所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備根據(jù)所述更新信息分別進(jìn)行簽名規(guī)則的更新。
5.根據(jù)權(quán)利要求4所述的簽名規(guī)則的處理方法��,其特征在于�,所述云服務(wù)器通過對比所述各個安全設(shè)備已加載的簽名規(guī)則列表與所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表, 確定出需要進(jìn)行簽名規(guī)則更新的安全設(shè)備�,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息,具體包括所述云服務(wù)器根據(jù)所述各個安全設(shè)備已加載的簽名規(guī)則列表與所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�,將所述各個安全設(shè)備中,沒有包含所述最活躍的威脅簽名規(guī)則ID列表中的所有簽名規(guī)則的安全設(shè)備確定為需要進(jìn)行簽名規(guī)則更新的安全設(shè)備���,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息���。
6.一種服務(wù)器��,其特征在于���,包括接收單元,用于接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息��,以及將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息傳輸給分析獲取單元�����,其中�����,所述簽名規(guī)則使用狀態(tài)信息用于表示所述各個安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài)���;分析獲取單元���,用于從所述接收單元接收所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息,將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后�����, 獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表��,以及將所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID 列表發(fā)送給生成單元;生成單元�,用于從所述分析獲取單元接收所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表, 根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表生成與所述各個安全設(shè)備分別對應(yīng)的更新信息�����,以及將所述更新信息傳輸給第一發(fā)送單元����;第一發(fā)送單元,用于從所述生成單元接收所述更新信息����,將所述更新信息分別發(fā)送給與所述更新信息分別對應(yīng)的所述各個安全設(shè)備,以使所述各個安全設(shè)備根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新���。
7.根據(jù)權(quán)利要求6所述的服務(wù)器,其特征在于�����,所述分析獲取單元包括獲取模塊�����,用于根據(jù)所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息獲取所述各個安全設(shè)備中啟用頻率大于預(yù)設(shè)頻率的第一威脅簽名規(guī)則ID集合,并且根據(jù)所述簽名規(guī)則使用狀態(tài)信息獲取網(wǎng)絡(luò)流量中命中次數(shù)大于預(yù)設(shè)次數(shù)的第二威脅簽名規(guī)則ID集合����,以及根據(jù)所述最新簽名規(guī)則集合獲取危險系數(shù)大于預(yù)設(shè)閾值的第三威脅簽名規(guī)則ID集合;生成模塊���,用于將所述獲取模塊發(fā)送的所述第一威脅簽名規(guī)則ID集合���、所述第二威脅簽名規(guī)則ID集合、所述第三威脅簽名規(guī)則ID集合求并集���,得到第四威脅簽名規(guī)則ID集合���, 以及將所述第四威脅簽名規(guī)則ID集合傳輸給刪除模塊;刪除模塊�����,用于接收所述生成模塊發(fā)送的所述第四威脅簽名規(guī)則ID集合��,并將所述第四威脅簽名規(guī)則ID集合與所述最新簽名規(guī)則集合的交集中的簽名規(guī)則作為最活躍的威脅簽名規(guī)則���,并生成最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�。
8.根據(jù)權(quán)利要求6或7所述的服務(wù)器,其特征在于�����,所述更新信息包括需要進(jìn)行更新的安全設(shè)備ID�����、安全設(shè)備名稱�����、安全設(shè)備地址���、安全設(shè)備需要更改的配置�����、安全設(shè)備需要更新的簽名規(guī)則ID集合列表、簽名規(guī)則集合�����。
9.根據(jù)權(quán)利要求6-8任一項(xiàng)所述的服務(wù)器���,其特征在于����,所述接收單元還用于,接收所述與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的配置數(shù)據(jù)�����,并將所述各個安全設(shè)備的配置數(shù)據(jù)傳輸給所述生成單元����,其中,所述各個安全設(shè)備的配置數(shù)據(jù)用于表示所述各個安全設(shè)備的簽名規(guī)則配置信息���;相應(yīng)地��,所述生成單元����,具體用于接收所述接收單元發(fā)送的所述各個安全設(shè)備的配置信息�,分別根據(jù)所述各個安全設(shè)備的配置數(shù)據(jù)得到所述各個安全設(shè)備已加載的簽名規(guī)則列表,并通過對比所述各個安全設(shè)備已加載的簽名規(guī)則列表與所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�,確定出需要進(jìn)行簽名規(guī)則更新的安全設(shè)備,并生成與所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備對應(yīng)的更新信息,以及將所述更新信息傳輸給第二發(fā)送單元��;第二發(fā)送單元�����,用于從所述生成單元接收所述更新信息����,并將所述更新信息發(fā)送給所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備,以使所述需要進(jìn)行簽名規(guī)則更新的安全設(shè)備根據(jù)所述更新信息分別進(jìn)行簽名規(guī)則的更新�����。
10.一種入侵防御系統(tǒng)��,其特征在于����,包括云服務(wù)器和與所述云服務(wù)器通信連接的至少一個安全設(shè)備,其中�,所述云服務(wù)器,用于接收與其連接的各個安全設(shè)備分別發(fā)送的所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息����;將所述各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和所述云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析后,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表��;根據(jù)所述最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表���,生成與所述各個安全設(shè)備分別對應(yīng)的更新信息����; 將所述更新信息分別發(fā)送給所述各個安全設(shè)備��;所述安全設(shè)備��,用于向所述云服務(wù)器發(fā)送自身對應(yīng)的簽名規(guī)則使用狀態(tài)信息����,所述簽名規(guī)則使用狀態(tài)信息用于表示所述安全設(shè)備的簽名規(guī)則在整個網(wǎng)絡(luò)的使用狀態(tài);在接收到所述云服務(wù)器發(fā)送的更新信息后���,根據(jù)所述更新信息進(jìn)行簽名規(guī)則的更新��。
全文摘要
本發(fā)明實(shí)施例公開了一種簽名規(guī)則的處理方法�����、服務(wù)器及入侵防御系統(tǒng)�����,所述方法包括云服務(wù)器通過將與其連接的各個安全設(shè)備的簽名規(guī)則使用狀態(tài)信息和云服務(wù)器發(fā)布的最新簽名規(guī)則集合進(jìn)行關(guān)聯(lián)分析�����,獲取最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表�����,并根據(jù)最活躍的威脅簽名規(guī)則標(biāo)識碼ID列表生成更新信息后�,云服務(wù)器將更新信息發(fā)送給各個安全設(shè)備進(jìn)行簽名規(guī)則的更新。本發(fā)明適用于網(wǎng)絡(luò)安全系統(tǒng)領(lǐng)域��。
文檔編號H04L29/08GK102694820SQ20121019435
公開日2012年9月26日 申請日期2012年6月13日 優(yōu)先權(quán)日2012年6月13日
發(fā)明者李昆, 潘能毅, 鄧云剛 申請人:華為技術(shù)有限公司