[发明专利]一种基于IPS设备的攻击检测方法及IPS设备

权利要求书

1.一种检测规则配置方法，应用于入侵保护系统IPS设备，所述IPS设备中配置有保护对象标识与检测规则标识的对应关系，其特征在于，包括：

获取需要检测的保护对象的标识；

根据IPS设备中配置的所述对应关系，获取与所述需要检测的保护对象的标识对应的检测规则标识；

根据获取到的检测规则标识，配置对应的检测规则。

2.如权利要求1所述的方法，其特征在于，所述获取需要检测的保护对象标识，包括以下之一或任意组合：

接收用户提交的保护对象描述信息，根据该保护对象描述信息获取对应的保护对象标识；

通过对经过IPS设备的网络报文进行识别，确定出保护对象信息，并根据确定出的保护对象信息获取对应的保护对象标识；

通过对IPS设备所保护的网段进行扫描，获取保护对象信息，并根据获取到的保护对象信息获取对应的保护对象标识；

接收设备客户端上报的信息，根据该信息确定该设备客户端所具有的保护对象，并根据该保护对象获取对应的保护对象标识。

3.如权利要求1或2所述的方法，其特征在于，保护对象标识包括第一级标识以及该第一级标识下的各级子标识；

当获取到的所述需要检测的保护对象的标识为其下包括有子标识的保护对象标识时，所获取到的对应的检测规则标识包括：该获取到的保护对象标识其下的子标识所对应的检测规则标识。

4.一种IPS设备，包括：用于根据配置的检测规则进行攻击检测的攻击检测引擎，以及用于存储检测规则的攻击特征库，其特征在于，还包括：

对应关系存储单元，用于存储保护对象标识与检测规则标识的对应关系信息；

检测规则配置单元，分别与所述对应关系存储单元、所述攻击特征库和所述攻击检测引擎连接，用于根据所述对应关系存储单元存储的对应关系信息，获取与需要检测的保护对象标识对应的检测规则标识；根据所述攻击特征库获取与该检测规则标识对应的检测规则，并将获取到的检测规则配置到所述攻击检测引擎。

5.如权利要求4所述的IPS设备，其特征在于，还包括：

用户接口单元，与所述检测规则配置单元连接，用于接收用户提交的保护对象描述信息，根据预先配置的保护对象描述信息与保护对象标识的对应关系，获取与用户提交的保护对象描述信息对应的保护对象标识，并将该保护对象标识发送给所述检测配置单元。

6.如权利要求4所述的IPS设备，其特征在于，还包括：

保护对象识别单元，与所述检测规则配置单元连接，用于通过对经过IPS设备的网络报文进行识别，确定出该报文对应的保护对象，以及确定出该保护对象的标识，并将确定出的保护对象标识发送给所述检测规则配置单元。

7.如权利要求6所述的IPS设备，其特征在于，所述保护对象识别单元具体用于，根据网络报文的协议类型，确定该协议类型对应的保护对象；或者，根据网络报文中的特定字段，确定该字段所对应的保护对象。

8.如权利要求4所述的IPS设备，其特征在于，还包括：

网络扫描单元，与所述检测规则配置单元连接，用于对该IPS设备所保护的网段进行扫描，获取保护对象信息，根据该保护对象信息获取对应的保护对象标识，并将获取到的保护对象标识发送给所述检测规则配置单元。

9.如权利要求8所述的IPS设备，其特征在于，所述网络扫描单元具体用于，根据扫描到的主机设备开启的端口，确定该端口对应的保护对象；或者，根据扫描到的设备版本信息，确定针对该设备的版本对应的保护对象。

10.如权利要求9所述的IPS设备，其特征在于，所述网络扫描单元具体用于，根据设定周期对其所保护的网段进行扫描。

11.如权利要求4所述的IPS设备，其特征在于，还包括：

信息收集单元，与所述检测规则配置单元连接，用于接收各设备客户端上报的信息，根据接收到的信息确定各设备所具有的保护对象，并获取对应的保护对象标识，将获取到的保护对象标识发送给检测规则配置单元。

12.如权利要求4-11任一项所述的IPS设备，其特征在于，所述对应关系存储单元存储的保护对象标识包括第一级标识以及该第一级标识下的各级子标识；

所述检测规则配置单元具体用于，当获取到的所述需要检测的保护对象的标识为其下包括有子标识的保护对象标识时，所获取到的对应的检测规则标识包括：该获取到的保护对象标识其下的子标识所对应的检测规则标识。