本申請(qǐng)涉及通信
技術(shù)領(lǐng)域:
,尤其涉及一種入侵報(bào)文的防護(hù)方法及裝置。
背景技術(shù):
:隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)在帶給人們巨大便利的同時(shí)也帶來了各種安全問題。IPS(IntrusionPreventionSystem,入侵防護(hù)系統(tǒng))是一種能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),它能夠中斷、調(diào)整或隔離一些異?;蚓哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。相關(guān)技術(shù)中,當(dāng)接收到報(bào)文時(shí),IPS可以依賴入侵特征庫對(duì)該報(bào)文進(jìn)行檢測(cè)和防護(hù),即可以通過將該報(bào)文與入侵特征庫中預(yù)存的入侵規(guī)則做匹配來檢測(cè)和防護(hù)該報(bào)文。由于入侵特征庫中的入侵規(guī)則一般為已經(jīng)被發(fā)現(xiàn)或公布了的入侵規(guī)則,因此根據(jù)入侵特征庫對(duì)報(bào)文進(jìn)行檢測(cè)和防護(hù)的方法存在滯后性,無法檢測(cè)出未知的入侵,更無法防護(hù)未知的入侵。技術(shù)實(shí)現(xiàn)要素:有鑒于此,本申請(qǐng)?zhí)峁┮环N入侵報(bào)文的防護(hù)方法及裝置,來解決相關(guān)技術(shù)中無法防護(hù)未知入侵的問題。具體地,本申請(qǐng)是通過如下技術(shù)方案實(shí)現(xiàn)的:根據(jù)本申請(qǐng)實(shí)施例的第一方面,提供一種入侵報(bào)文的防護(hù)方法,所述方法應(yīng)用于網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備與入侵防護(hù)系統(tǒng)IPS設(shè)備和服務(wù)器相連,所述網(wǎng)絡(luò)設(shè)備上預(yù)置了與所述服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng),所述方法包括:接收所述IPS設(shè)備發(fā)送的由所述IPS設(shè)備完成初步過濾的報(bào)文;在接收到所述IPS設(shè)備發(fā)送的報(bào)文后,監(jiān)測(cè)所述若干模擬系統(tǒng)的運(yùn)行狀態(tài);當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文??蛇x的,所述阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)異常的報(bào)文包括:獲取導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文的報(bào)文屬性特征;丟棄符合所述報(bào)文屬性特征的報(bào)文。可選的,所述方法還包括:將導(dǎo)致該模擬系統(tǒng)出現(xiàn)異常的報(bào)文作為入侵樣本進(jìn)行記錄;針對(duì)所述入侵樣本進(jìn)行分析獲取報(bào)文入侵特征;將所述報(bào)文入侵特征實(shí)時(shí)更新至所述IPS設(shè)備的入侵特征庫中??蛇x的,所述方法還包括:當(dāng)所述若干模擬模塊均未出現(xiàn)狀態(tài)異常時(shí),將所述報(bào)文轉(zhuǎn)發(fā)至所述服務(wù)器;或者,將所述報(bào)文返回至所述IPS設(shè)備,以由所述IPS設(shè)備將所述報(bào)文轉(zhuǎn)發(fā)至所述服務(wù)器。可選的,所述方法還包括:當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)異常時(shí),立即重啟該模擬系統(tǒng)。根據(jù)本申請(qǐng)實(shí)施例的第二方面,提供一種入侵報(bào)文的防護(hù)裝置,所述裝置應(yīng)用于網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備與入侵防護(hù)系統(tǒng)IPS設(shè)備和服務(wù)器相連,所述網(wǎng)絡(luò)設(shè)備上預(yù)置了與所述服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng),所述裝置包括:接收單元,用于接收所述IPS設(shè)備發(fā)送的由所述IPS設(shè)備完成初步過濾的報(bào)文;監(jiān)測(cè)單元,用于在接收到所述IPS設(shè)備發(fā)送的報(bào)文后,監(jiān)測(cè)所述若干模擬系統(tǒng)的運(yùn)行狀態(tài);阻斷單元,用于當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文??蛇x的,所述阻斷單元具體用于:獲取導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文的報(bào)文屬性特征;丟棄符合所述報(bào)文屬性特征的報(bào)文??蛇x的,所述裝置還包括:記錄單元,用于將導(dǎo)致該模擬系統(tǒng)出現(xiàn)異常的報(bào)文作為入侵樣本進(jìn)行記錄;分析單元,用于針對(duì)所述入侵樣本進(jìn)行分析獲取報(bào)文入侵特征;更新單元,用于將所述報(bào)文入侵特征實(shí)時(shí)更新至所述IPS設(shè)備的入侵特征庫中??蛇x的,所述裝置還包括:轉(zhuǎn)發(fā)單元,用于當(dāng)所述若干模擬模塊均未出現(xiàn)狀態(tài)異常時(shí),將所述報(bào)文轉(zhuǎn)發(fā)至所述服務(wù)器;或者,將所述報(bào)文返回至所述IPS設(shè)備,以由所述IPS設(shè)備將所述報(bào)文轉(zhuǎn)發(fā)至所述服務(wù)器??蛇x的,所述裝置還包括:重啟單元,用于當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)異常時(shí),立即重啟該模擬系統(tǒng)。在本申請(qǐng)中,網(wǎng)絡(luò)設(shè)備可以接收與其相連的IPS設(shè)備發(fā)送的由該IPS設(shè)備完成初步過濾的報(bào)文,并在完成該報(bào)文的接收后,監(jiān)測(cè)預(yù)設(shè)的與服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng)的運(yùn)行狀態(tài),當(dāng)該若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),網(wǎng)絡(luò)設(shè)備可以阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文。在本申請(qǐng)中,由于預(yù)設(shè)的模擬系統(tǒng)為與服務(wù)器上的系統(tǒng)互為鏡像的模擬系統(tǒng),因此,當(dāng)接收到導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文時(shí),可以確定該報(bào)文會(huì)同樣導(dǎo)致服務(wù)器上對(duì)應(yīng)的系統(tǒng)出現(xiàn)狀態(tài)異常。故,應(yīng)用本申請(qǐng)可以通過阻斷上述導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文來防護(hù)未知的入侵。附圖說明圖1是應(yīng)用相關(guān)技術(shù)的一個(gè)應(yīng)用場(chǎng)景圖;圖2是本申請(qǐng)示出的一種入侵報(bào)文的防護(hù)方法的實(shí)施例流程圖;圖3是本申請(qǐng)示出的報(bào)文的分析圖;圖4是入侵報(bào)文的防護(hù)方法的一個(gè)應(yīng)用場(chǎng)景圖;圖5是入侵報(bào)文的防護(hù)方法的另一個(gè)應(yīng)用場(chǎng)景圖;圖6是本申請(qǐng)入侵報(bào)文的防護(hù)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖;圖7是本申請(qǐng)入侵報(bào)文的防護(hù)裝置的一個(gè)實(shí)施例框圖。具體實(shí)施方式這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明,其示例表示在附圖中。下面的描述涉及附圖時(shí),除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反,它們僅是與如所附權(quán)利要求書中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子。在本申請(qǐng)使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的,而非旨在限制本申請(qǐng)。在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。應(yīng)當(dāng)理解,盡管在本申請(qǐng)可能采用術(shù)語第一、第二、第三等來描述各種信息,但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如,在不脫離本申請(qǐng)范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。參見圖1,為應(yīng)用相關(guān)技術(shù)的一個(gè)應(yīng)用場(chǎng)景圖。圖1中,IPS(IntrusionPreventionSystem,入侵防護(hù)系統(tǒng))設(shè)備可以位于客戶端和服務(wù)器之間,并對(duì)客戶端發(fā)送至服務(wù)器的報(bào)文進(jìn)行檢測(cè)和防護(hù)。其中,IPS設(shè)備上可以預(yù)設(shè)入侵特征庫,當(dāng)IPS設(shè)備對(duì)報(bào)文進(jìn)行檢測(cè)時(shí),可以基于該報(bào)文的特征與入侵特征庫中的入侵特征的匹配結(jié)果來確定該報(bào)文是否為入侵報(bào)文,并在該報(bào)文為入侵報(bào)文時(shí),對(duì)該報(bào)文進(jìn)行阻斷。然而,入侵特征庫中的入侵特征一般為已知的入侵行為的特征,當(dāng)某一入侵行為因存在時(shí)間較短等原因還未被識(shí)別為入侵行為時(shí),入侵特征庫中不會(huì)包含該入侵特征。此時(shí),當(dāng)IPS設(shè)備基于入侵特征庫對(duì)該入侵報(bào)文進(jìn)行檢測(cè)時(shí),會(huì)因?yàn)槲丛谌肭痔卣鲙熘衅ヅ涞皆撊肭謭?bào)文的特征而確定該入侵報(bào)文為正常報(bào)文,并放行該入侵報(bào)文至服務(wù)器,從而導(dǎo)致服務(wù)器出現(xiàn)異常。有鑒于此,本申請(qǐng)?zhí)峁┮环N入侵報(bào)文的防護(hù)方法,來解決相關(guān)技術(shù)無法防護(hù)未知入侵的問題。在本申請(qǐng)中,網(wǎng)絡(luò)設(shè)備可以接收與其相連的IPS設(shè)備發(fā)送的由該IPS設(shè)備完成初步過濾的報(bào)文,并在完成該報(bào)文的接收后,監(jiān)測(cè)預(yù)設(shè)的與服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng)的運(yùn)行狀態(tài),當(dāng)該若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),網(wǎng)絡(luò)設(shè)備可以阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文。在本申請(qǐng)中,由于預(yù)設(shè)的模擬系統(tǒng)為與服務(wù)器上的系統(tǒng)互為鏡像的模擬系統(tǒng),因此,當(dāng)接收到導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文時(shí),可以確定該報(bào)文會(huì)同樣導(dǎo)致服務(wù)器上對(duì)應(yīng)的系統(tǒng)出現(xiàn)狀態(tài)異常。故,應(yīng)用本申請(qǐng)可以通過阻斷上述導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文來防護(hù)未知的入侵,從而可以解決相關(guān)技術(shù)無法防護(hù)未知入侵的問題。參見圖2,是本申請(qǐng)示出的一種入侵報(bào)文的防護(hù)方法的實(shí)施例流程圖,該方法應(yīng)用于網(wǎng)絡(luò)設(shè)備,包括以下步驟:步驟201:接收所述IPS設(shè)備發(fā)送的由所述IPS設(shè)備完成初步過濾的報(bào)文。在本申請(qǐng)中,上述網(wǎng)絡(luò)設(shè)備可以與IPS設(shè)備和服務(wù)器相連,其中,該網(wǎng)絡(luò)設(shè)備可以通過IPS設(shè)備與服務(wù)器相連或位于IPS設(shè)備與服務(wù)器之間。該網(wǎng)絡(luò)設(shè)備上可以預(yù)置與服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng),當(dāng)該網(wǎng)絡(luò)設(shè)備接收到會(huì)導(dǎo)致該若干模擬系統(tǒng)中的任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文時(shí),可以確定該報(bào)文為入侵報(bào)文,且當(dāng)服務(wù)器接收該報(bào)文時(shí),該報(bào)文會(huì)導(dǎo)致服務(wù)器上對(duì)應(yīng)的系統(tǒng)出現(xiàn)狀態(tài)異常。在本申請(qǐng)中,當(dāng)IPS設(shè)備接收到報(bào)文時(shí),IPS設(shè)備可以先基于入侵特征庫對(duì)該報(bào)文進(jìn)行檢測(cè),以完成對(duì)發(fā)送至該網(wǎng)絡(luò)設(shè)備的報(bào)文的初步過濾。其中,關(guān)于IPS設(shè)備基于入侵特征庫對(duì)報(bào)文進(jìn)行檢測(cè)的技術(shù)為現(xiàn)有技術(shù),因此,本申請(qǐng)?jiān)诖瞬辉儋樖?。在完成?duì)報(bào)文的初步過濾后,上述網(wǎng)絡(luò)設(shè)備可以接收到IPS設(shè)備發(fā)送的由該IPS設(shè)備完成初步過濾的報(bào)文。步驟202:在接收到所述IPS設(shè)備發(fā)送的報(bào)文后,監(jiān)測(cè)所述若干模擬系統(tǒng)的運(yùn)行狀態(tài)。在本申請(qǐng)中,上述網(wǎng)絡(luò)設(shè)備在接收到IPS設(shè)備發(fā)送的報(bào)文后,可以監(jiān)測(cè)預(yù)設(shè)的若干模擬系統(tǒng)的運(yùn)行狀態(tài)。在示出的一個(gè)實(shí)施例中,上述網(wǎng)絡(luò)設(shè)備在接收到IPS設(shè)備發(fā)送的報(bào)文后,可以根據(jù)預(yù)設(shè)的規(guī)則將該報(bào)文分發(fā)至若干模擬系統(tǒng)中的某一模擬系統(tǒng)中。其中,該預(yù)設(shè)的規(guī)則可以為網(wǎng)絡(luò)設(shè)備默認(rèn)的規(guī)則,如根據(jù)模擬系統(tǒng)的編號(hào)按照從小到大的順序分發(fā),并在某一編號(hào)的模擬系統(tǒng)出現(xiàn)異常時(shí),將該報(bào)文分發(fā)至下一編號(hào)的模擬系統(tǒng);當(dāng)然,上述預(yù)設(shè)的規(guī)則也可以由用戶根據(jù)實(shí)際情況進(jìn)行自定義設(shè)置,本申請(qǐng)對(duì)上述預(yù)設(shè)的規(guī)則不做限制,理論上只要滿足將完成初步過濾的報(bào)文分發(fā)至上述若干模擬系統(tǒng)中某一運(yùn)行正常的模擬系統(tǒng)即可。將上述報(bào)文分發(fā)至若干模擬系統(tǒng)中的某一模擬系統(tǒng)后,網(wǎng)絡(luò)設(shè)備可以檢測(cè)若干模擬系統(tǒng)的運(yùn)行狀態(tài)。步驟203:當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文。當(dāng)網(wǎng)絡(luò)設(shè)備檢測(cè)到若干模擬系統(tǒng)中的任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),可以確定導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文為入侵報(bào)文,此時(shí)網(wǎng)絡(luò)設(shè)備可以對(duì)該報(bào)文進(jìn)行阻斷。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)設(shè)備在對(duì)上述入侵報(bào)文進(jìn)行阻斷的過程中,可以先獲取該報(bào)文的報(bào)文屬性特征,其中,該報(bào)文屬性特征可以包括五元組信息,即該報(bào)文的源IP地址、目的IP地址、源端口、目的端口以及傳輸協(xié)議。在獲取該報(bào)文的報(bào)文屬性特征后,網(wǎng)絡(luò)設(shè)備可以丟棄后續(xù)符合該報(bào)文屬性特征的報(bào)文。在示出的一個(gè)實(shí)施例中,可以假設(shè)上述導(dǎo)致某一模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文的報(bào)文屬性特征如表1所示:源IP地址目的IP地址源端口目的端口傳輸協(xié)議192.11.12.3192.11.31.22349TCP表1由表1可知,當(dāng)網(wǎng)絡(luò)設(shè)備后續(xù)接收到源IP地址為192.11.12.3、目的IP地址為192.11.31.2、源端口為23、目的端口為49且傳輸協(xié)議為TCP(TransmissionControlProtocol,傳輸控制協(xié)議)的報(bào)文時(shí),可以丟棄該報(bào)文。在獲取上述入侵報(bào)文的報(bào)文屬性特征后,網(wǎng)絡(luò)設(shè)備可以將該入侵報(bào)文作為入侵樣本進(jìn)行記錄,然后,網(wǎng)絡(luò)設(shè)備可以通過對(duì)該入侵樣本的分析獲取報(bào)文入侵特征,并將該報(bào)文入侵特征實(shí)時(shí)更新至IPS設(shè)備的入侵特征庫中。需要說明的是,在本申請(qǐng)中,網(wǎng)絡(luò)設(shè)備在將上述入侵報(bào)文作為入侵樣本進(jìn)行記錄后,也可以由安全分析人員或相關(guān)人員來完成對(duì)該入侵樣本的分析以及報(bào)文入侵特征的獲取,然后,安全分析人員或相關(guān)人員可以將獲取的入侵特征實(shí)時(shí)更新至IPS設(shè)備的入侵特征庫中。在示出的一個(gè)實(shí)施例中,請(qǐng)參見圖3,為本申請(qǐng)示出的報(bào)文的分析圖??梢约僭O(shè)如圖3所示的報(bào)文在被網(wǎng)絡(luò)設(shè)備分發(fā)至某一模擬系統(tǒng)時(shí),可以導(dǎo)致該模擬系統(tǒng)出現(xiàn)藍(lán)屏重啟的異常情況。網(wǎng)絡(luò)設(shè)備在監(jiān)測(cè)到該異常情況后,可以將該報(bào)文作為入侵樣本進(jìn)行存儲(chǔ)。然后,網(wǎng)絡(luò)設(shè)備或安全分析人員可以對(duì)該報(bào)文進(jìn)行分析,并可以在分析后發(fā)現(xiàn)該報(bào)文的頭部中的Range:bytes=0-18446744073709551615會(huì)導(dǎo)致上述模擬系統(tǒng)內(nèi)核錯(cuò)誤,從而使得上述模擬系統(tǒng)出現(xiàn)藍(lán)屏重啟的情況。然后,網(wǎng)絡(luò)設(shè)備或安全分析人員可以將“18446744073709551615”作為報(bào)文入侵特征,并將該報(bào)文入侵特征實(shí)時(shí)更新至IPS設(shè)備的入侵特征庫中。需要說明的是,在本申請(qǐng)中,當(dāng)上述若干模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),網(wǎng)絡(luò)設(shè)備可以重啟該出現(xiàn)狀態(tài)異常的模擬系統(tǒng),并在該模擬系統(tǒng)重啟后,將該模擬系統(tǒng)恢復(fù)至初始狀態(tài)。在本申請(qǐng)中,當(dāng)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的模擬系統(tǒng)未因分發(fā)的報(bào)文出現(xiàn)狀態(tài)異常時(shí),可以確定該報(bào)文不為入侵報(bào)文,此時(shí),可以將該報(bào)文轉(zhuǎn)發(fā)至服務(wù)器;或者,將該報(bào)文返回至IPS設(shè)備,以由IPS設(shè)備將該報(bào)文轉(zhuǎn)發(fā)至服務(wù)器。在示出的一個(gè)實(shí)施例中,網(wǎng)絡(luò)設(shè)備可以位于IPS設(shè)備與服務(wù)器之間。如圖4所示,為入侵報(bào)文的防護(hù)方法的一個(gè)應(yīng)用場(chǎng)景圖。網(wǎng)絡(luò)設(shè)備在接收到IPS設(shè)備發(fā)送的報(bào)文后,可以將報(bào)文分發(fā)至預(yù)設(shè)的某一模擬系統(tǒng),然后,網(wǎng)絡(luò)設(shè)備可以將未使該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文發(fā)送至服務(wù)器。在示出的另一個(gè)實(shí)施例中,網(wǎng)絡(luò)設(shè)備可以與IPS設(shè)備相連,并通過IPS設(shè)備與服務(wù)器相連。如圖5所示,為入侵報(bào)文的防護(hù)方法的另一個(gè)應(yīng)用場(chǎng)景圖。網(wǎng)絡(luò)設(shè)備在接收到IPS設(shè)備發(fā)送的報(bào)文后,可以將報(bào)文分發(fā)至預(yù)設(shè)的某一模擬系統(tǒng),然后,網(wǎng)絡(luò)設(shè)備可以將未使該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文發(fā)送至IPS設(shè)備,并由IPS設(shè)備將該報(bào)文轉(zhuǎn)發(fā)至服務(wù)器。在本申請(qǐng)中,網(wǎng)絡(luò)設(shè)備可以接收與其相連的IPS設(shè)備發(fā)送的由該IPS設(shè)備完成初步過濾的報(bào)文,并在完成該報(bào)文的接收后,監(jiān)測(cè)預(yù)設(shè)的與服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng)的運(yùn)行狀態(tài),當(dāng)該若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),網(wǎng)絡(luò)設(shè)備可以阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文。在本申請(qǐng)中,由于預(yù)設(shè)的模擬系統(tǒng)為與服務(wù)器上的系統(tǒng)互為鏡像的模擬系統(tǒng),因此,當(dāng)接收到導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文時(shí),可以確定該報(bào)文會(huì)同樣導(dǎo)致服務(wù)器上對(duì)應(yīng)的系統(tǒng)出現(xiàn)狀態(tài)異常。故,應(yīng)用本申請(qǐng)可以通過阻斷上述導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文來防護(hù)未知的入侵。與前述入侵報(bào)文的防護(hù)方法的實(shí)施例相對(duì)應(yīng),本申請(qǐng)還提供了入侵報(bào)文的防護(hù)裝置的實(shí)施例。本申請(qǐng)入侵報(bào)文的防護(hù)裝置的實(shí)施例可以應(yīng)用在網(wǎng)絡(luò)設(shè)備上。裝置實(shí)施例可以通過軟件實(shí)現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例,作為一個(gè)邏輯意義上的裝置,是通過其所在設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言,如圖6所示,為本申請(qǐng)入侵報(bào)文的防護(hù)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖,除了圖6所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲(chǔ)器之外,實(shí)施例中裝置所在的網(wǎng)絡(luò)設(shè)備通常還可以包括其他硬件,如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片等等。請(qǐng)參考圖7,為本申請(qǐng)入侵報(bào)文的防護(hù)裝置的一個(gè)實(shí)施例框圖:接收單元710,用于接收所述IPS設(shè)備發(fā)送的由所述IPS設(shè)備完成初步過濾的報(bào)文;監(jiān)測(cè)單元720,用于在接收到所述IPS設(shè)備發(fā)送的報(bào)文后,監(jiān)測(cè)所述若干模擬系統(tǒng)的運(yùn)行狀態(tài);阻斷單元730,用于當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文。在一個(gè)可選的實(shí)現(xiàn)方式中,所述阻斷單元730可以具體用于:獲取導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文的報(bào)文屬性特征;丟棄符合所述報(bào)文屬性特征的報(bào)文。在一個(gè)可選的實(shí)現(xiàn)方式中,所述裝置還可以包括(圖7中未示出):記錄單元,用于將導(dǎo)致該模擬系統(tǒng)出現(xiàn)異常的報(bào)文作為入侵樣本進(jìn)行記錄;分析單元,用于針對(duì)所述入侵樣本進(jìn)行分析獲取報(bào)文入侵特征;更新單元,用于將所述報(bào)文入侵特征實(shí)時(shí)更新至所述IPS設(shè)備的入侵特征庫中。在一個(gè)可選的實(shí)現(xiàn)方式中,所述裝置還可以包括(圖7中未示出):轉(zhuǎn)發(fā)單元,用于當(dāng)所述若干模擬模塊均未出現(xiàn)狀態(tài)異常時(shí),將所述報(bào)文轉(zhuǎn)發(fā)至所述服務(wù)器;或者,將所述報(bào)文返回至所述IPS設(shè)備,以由所述IPS設(shè)備將所述報(bào)文轉(zhuǎn)發(fā)至所述服務(wù)器。在一個(gè)可選的實(shí)現(xiàn)方式中,所述裝置還可以包括(圖7中未示出):重啟單元,用于當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)異常時(shí),立即重啟該模擬系統(tǒng)。在本申請(qǐng)中,網(wǎng)絡(luò)設(shè)備可以接收與其相連的IPS設(shè)備發(fā)送的由該IPS設(shè)備完成初步過濾的報(bào)文,并在完成該報(bào)文的接收后,監(jiān)測(cè)預(yù)設(shè)的與服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng)的運(yùn)行狀態(tài),當(dāng)該若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時(shí),網(wǎng)絡(luò)設(shè)備可以阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文。在本申請(qǐng)中,由于預(yù)設(shè)的模擬系統(tǒng)為與服務(wù)器上的系統(tǒng)互為鏡像的模擬系統(tǒng),因此,當(dāng)接收到導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文時(shí),可以確定該報(bào)文會(huì)同樣導(dǎo)致服務(wù)器上對(duì)應(yīng)的系統(tǒng)出現(xiàn)狀態(tài)異常。故,應(yīng)用本申請(qǐng)可以通過阻斷上述導(dǎo)致預(yù)設(shè)的模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報(bào)文來防護(hù)未知的入侵。上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過程,在此不再贅述。對(duì)于裝置實(shí)施例而言,由于其基本對(duì)應(yīng)于方法實(shí)施例,所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請(qǐng)方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施。以上所述僅為本申請(qǐng)的較佳實(shí)施例而已,并不用以限制本申請(qǐng),凡在本申請(qǐng)的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。當(dāng)前第1頁1 2 3