[发明专利]一种基于IPS设备的攻击检测方法及IPS设备

说明书

技术领域

本发明涉及通信领域的网络管理技术，尤其涉及一种基于IPS设备的攻击检测方法及IPS设备。

背景技术

对网络中的流量进行攻击检测，是IPS(入侵保护系统)设备的主要职责，而对于现有的的IPS设备来说，大都是依靠模式匹配来检测攻击，因此，内置在IPS设备里的检测规则就是IPS设备的核心。为了应对随之增加的网络病毒和网络攻击事件，IPS设备内置的检测规则也越来越多，导致IPS设备检测的负荷也越来越重。

图1示出了IPS设备的攻击检测的基本架构。其中，攻击特征库11包含成千上万的攻击检测规则，当用户选择攻击检测规则后，检测规则配置单元12将用户所选择的检测规则下发到攻击检测引擎13，攻击检测引擎13中的协议识别单元131对网络报文进行模式匹配，攻击检测单元132根据配置的检测规则进行攻击确认，最终由攻击响应单元133根据攻击检测单元132的检测结果对攻击报文采取相应的动作。

如果IPS内置的检测规则过多，过于复杂，就会因IPS设备需要进行大量的模式匹配处理，而导致网络处理性能低下，如果检测规则过少，又会导致网络病毒或者攻击无法检测。因此，如何在不影响IPS病毒或者攻击检测能力的前提下，提高IPS的网络处理性能是IPS设备一直需要追寻的目标，即：IPS设备应该在不影响网络流量的情况下，检测和防范攻击。

现有IPS设备大多都有上千条检测规则，多的可达上万条检测规则。对于众多的检测规则，IPS设备一般会按攻击的类型、攻击的级别、攻击基于的协议或者攻击基于的服务等进行一一分类。当用户使用时，可以根据规则的分类，选择某一类或者几类检测规则，或者选择所有的攻击检测规则。IPS设备就会根据用户的选择启用选中的检测规则，对网络的流量进行攻击检测。

当然，一般的IPS设备会内置一些缺省的策略，该策略中默认启用一些检测规则，这样用户也可以不用自己选择启用的检测规则，而是直接利用系统默认的配置启用相应的检测规则。

发明人在实现本发明的过程中，发现现有技术至少存在以下问题：

按照目前IPS设备采用的规则分类方式，对于用户来说，其使用是比较困难的。一般的用户对攻击检测并不是很清楚，对于攻击的分类、攻击的验证级别以及攻击基于的协议等，也许根本不了解，或者了解不多，面对成千上万的攻击检测规则，很难选择出合适的攻击检测规则。为了达到IPS设备的最佳检测效果，很多用户可能会将所有的检测规则都配置上，这样就能检测“所有”的攻击或者病毒，那么IPS设备就会由于检测规则过多而导致性能下降或者设备的内存空间占用过大，影响网络的使用。可见，由于现有IPS设备的检测规则设置技术存在的上述问题，会给IPS设备的处理性能造成影响，且影响攻击检测效率。

比如：用户的实际网络中可能都是windows系统，那么针对其他的操作系统的攻击规则，就可以不启用，也不需要检测，或者IPS设备仅仅保护邮件服务器，那么针对Web服务器的攻击规则也不需要启用。类似这种不确定的网络情况，仅靠内置的缺省策略，或者靠用户设置的不太合理的检测策略，会导致攻击检测效果和IPS设备性能不能兼顾。

发明内容

本发明提供了一种基于IPS设备的攻击检测方法及IPS设备，用以解决现有IPS设备的检测规则设置方式导致的攻击检测效果差的问题。

本发明提供的基于IPS设备的攻击检测方法，应用于入侵保护系统IPS设备，所述IPS设备中配置有保护对象标识与检测规则标识的对应关系，该方法包括：

获取需要检测的保护对象的标识；

根据IPS设备中配置的所述对应关系，获取与所述需要检测的保护对象的标识对应的检测规则标识；

根据获取到的检测规则标识，配置对应的检测规则。

根据本发明的上述方法，所述获取需要检测的保护对象标识，包括以下之一或任意组合：

接收用户提交的保护对象描述信息，根据该保护对象描述信息获取对应的保护对象标识；

通过对经过IPS设备的网络报文进行识别，确定出保护对象信息，并根据确定出的保护对象信息获取对应的保护对象标识；

通过对IPS设备所保护的网段进行扫描，获取保护对象信息，并根据获取到的保护对象信息获取对应的保护对象标识；

接收设备客户端上报的信息，根据该信息确定该设备客户端所具有的保护对象，并根据该保护对象获取对应的保护对象标识。