[发明专利]通过网络链路数据动态更新入侵检测规则的方法

权利要求书

1、一种通过链路数据封包更新入侵检测规则的方法，用以动态更新局域网络的至少一Snort系统主机所采用的一规则储存器，其特征在于，该方法包括：

一更新发起端传送包含至少一入侵检测规则的该链路数据封包至该Snort系统主机；

该Snort系统主机取出该链路数据封包中的该入侵检测规则，并解析该入侵检测规则所属操作类别；

该Snort系统主机验证该链路数据封包所载的该入侵检测规则为合法的入侵检测规则；以及

依据通过验证的该入侵检测规则所属类别及一规则树更新该规则储存器。

2、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法，其特征在于，该链路数据封包所包含的入侵检测规则项目数量是依据该局域网络中的网络规模、网络流量以及预设更新所需时间来设定。

3、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法，其特征在于，该链路数据封包包括一标头文件、一规则版本、一验证码、一许可码以及该入侵检测规则。

4、根据权利要求3所述的通过链路数据封包更新入侵检测规则的方法，其特征在于，该标头文件包括一更新旗标用以标示该链路数据封包为用以更新该入侵检测规则的封包。

5、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法，其特征在于，该更新发起端更通过一广播地址，使该Snort系统主机同步接收该链路数据封包。

6、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法，其特征在于，该Snort系统主机验证该入侵检测规则为合法的步骤，包括：

判断该链路数据封包的该验证码及该许可码为真；以及

判断该链路数据封包的该规则版本较该规则储存器的规则版本新。

7、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法，其特征在于，该些Snort系统主机还包括于系统重置或断电前传送一储存规则请求，以触发该规则储存器储存规则版本较新的该入侵检测规则。

8、根据权利要求1所述的通过链路数据封包更新入侵检测规则的方法，其特征在于，该规则储存器是选自于由一远程服务器或内建于该Snort系统主机的储存装置所形成的集合之一。