1.一種入侵報文的防護(hù)方法,其特征在于,所述方法應(yīng)用于網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備與入侵防護(hù)系統(tǒng)IPS設(shè)備和服務(wù)器相連,所述網(wǎng)絡(luò)設(shè)備上預(yù)置了與所述服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng),所述方法包括:
接收所述IPS設(shè)備發(fā)送的由所述IPS設(shè)備完成初步過濾的報文;
在接收到所述IPS設(shè)備發(fā)送的報文后,監(jiān)測所述若干模擬系統(tǒng)的運(yùn)行狀態(tài);
當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時,阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報文。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)異常的報文包括:
獲取導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報文的報文屬性特征;
丟棄符合所述報文屬性特征的報文。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述方法還包括:
將導(dǎo)致該模擬系統(tǒng)出現(xiàn)異常的報文作為入侵樣本進(jìn)行記錄;
針對所述入侵樣本進(jìn)行分析獲取報文入侵特征;
將所述報文入侵特征實時更新至所述IPS設(shè)備的入侵特征庫中。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
當(dāng)所述若干模擬模塊均未出現(xiàn)狀態(tài)異常時,將所述報文轉(zhuǎn)發(fā)至所述服務(wù)器;或者,將所述報文返回至所述IPS設(shè)備,以由所述IPS設(shè)備將所述報文轉(zhuǎn)發(fā)至所述服務(wù)器。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)異常時,立即重啟該模擬系統(tǒng)。
6.一種入侵報文的防護(hù)裝置,其特征在于,所述裝置應(yīng)用于網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備與入侵防護(hù)系統(tǒng)IPS設(shè)備和服務(wù)器相連,所述網(wǎng)絡(luò)設(shè)備上預(yù)置了與所述服務(wù)器上的系統(tǒng)互為鏡像的若干模擬系統(tǒng),所述裝置包括:
接收單元,用于接收所述IPS設(shè)備發(fā)送的由所述IPS設(shè)備完成初步過濾的報文;
監(jiān)測單元,用于在接收到所述IPS設(shè)備發(fā)送的報文后,監(jiān)測所述若干模擬系統(tǒng)的運(yùn)行狀態(tài);
阻斷單元,用于當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)狀態(tài)異常時,阻斷導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報文。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述阻斷單元具體用于:
獲取導(dǎo)致該模擬系統(tǒng)出現(xiàn)狀態(tài)異常的報文的報文屬性特征;
丟棄符合所述報文屬性特征的報文。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述裝置還包括:
記錄單元,用于將導(dǎo)致該模擬系統(tǒng)出現(xiàn)異常的報文作為入侵樣本進(jìn)行記錄;
分析單元,用于針對所述入侵樣本進(jìn)行分析獲取報文入侵特征;
更新單元,用于將所述報文入侵特征實時更新至所述IPS設(shè)備的入侵特征庫中。
9.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括:
轉(zhuǎn)發(fā)單元,用于當(dāng)所述若干模擬模塊均未出現(xiàn)狀態(tài)異常時,將所述報文轉(zhuǎn)發(fā)至所述服務(wù)器;或者,將所述報文返回至所述IPS設(shè)備,以由所述IPS設(shè)備將所述報文轉(zhuǎn)發(fā)至所述服務(wù)器。
10.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括:
重啟單元,用于當(dāng)所述若干模擬系統(tǒng)中任一模擬系統(tǒng)出現(xiàn)異常時,立即重啟該模擬系統(tǒng)。