[发明专利]生成攻击特征库的方法、防范网络攻击的方法以及装置

说明书

技术领域

本发明涉及互联网，尤其涉及一种生成攻击特征库的方法、防范网络攻击的方法以及用于防范网络攻击的装置。

背景技术

谈到安全网络，一般分为三个层面，即设备安全、网络安全、业务安全。其中设备安全是构建安全网络的基础，因此如何保证网络设备尤其是重要节点的网络设备(如路由器和交换机)安全是业界需要重点解决的问题。

对于服务器等关键设备防护，很自然地想到防火墙，一般在设备网络接口上串接一台防火墙可以有效保证设备的安全。但是对于路由器等设备的防护则比较难，因为路由器特别是高端路由器接口密度高、流量大，因此，无法使用外置防火墙对路由器本身进行攻击防护。因此，对于路由器的防护一般有下面两种技术。

现有技术的解决方案是将IPS(Intrusion Prevention System，入侵防御系统)/IDS(Intrusion Detection System，入侵检测系统)系统全部集成到系统内，由系统CPU进行实时防攻击处理。IPS规则库是对网络上已有的各种攻击特征的总结。随着时间的推移，攻击越来越多，IPS规则库也越来越大，系统处理负担(资源及性能消耗)也越来越重，所以IPS规则库一般较大，且处理过程复杂，对于CPU性能要求较高，而一般普通的CPU处理性能较低，因此，通常在企业级的中低端路由器上使用。如果应用在基于分布式架构的高端路由器上，会占用太多的资源和CPU性能，效果较差。

发明内容

本发明实施例所要解决的技术问题在于，提供一种防范网络攻击的方法及装置，可在不占用太多的资源和CPU性能的前提下，能对系统实施有效的实时防护，提高整个系统的防范能力。

为了解决上述技术问题，本发明实施例提供了一种生成攻击特征库的方法，包括：

将报文上送至主控CP的同时将所述报文缓存至待分析队列；

当主控CP发生主备异常倒换时根据IPS规则库判断所述待分析队列中缓存的上送报文是否含有攻击特征，判断为是时，提取所述报文的攻击特征保存至攻击特征库。

还提供了一种防范网络攻击的方法，包括：

根据攻击特征库判断需上送至主控CP的报文中是否包含有所述攻击特征库中的攻击特征，判断为是时，根据所述攻击特征对所述报文进行相应的防攻击处理；当判断否时，将所述报文上送至主控CP并缓存至待分析队列。

相应地，本发明实施例还提供了一种防范网络攻击的装置，包括：

接收单元，用于接收需上送至主控CP的报文；

队列单元，用于存储所述接收单元接收到的所述需上送至主控CP的报文；

攻击特征库，用于存储攻击特征及对应所述攻击特征的初始统计数据及老化间隔；

检测单元，用于根据IPS规则库判断所述队列单元中缓存的上送报文是否含有攻击特征，判断为是时，提取所述报文的攻击特征保存至攻击特征库，和/或根据所述攻击规则库中存储的攻击规则判断所述接收单元接收的报文是否含有攻击特征，判断为是时，根据攻击特征对该攻击报文进行相应的防攻击处理当判断否时，将所述报文上送至主控CP并缓存至所述队列单元。

实施本发明实施例，具有如下有益效果：能够从庞大的IPS规则库中提取出已发生的攻击特征形成攻击特征库，从而能够对后续的同类型攻击实施有效的实时防范，在保证系统性能的同时，可以取得较好的防范效果。

附图说明

图1是本发明实施例的整体结构示意图；

图2是本发明实施例中检测单元的结构示意图；

图3是本发明实施例中生成攻击特征库的流程示意图；

图4是本发明实施例中防范网络攻击的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。