[发明专利]签名库的匹配路径生成方法及相关装置

说明书

技术领域

本发明涉及通信领域，尤其涉及一种签名库的匹配路径生成方法及相关装置。

背景技术

随着互联网的发展，网络攻击成快速上升态势，严重影响着企业用户的数据安全，同时对个人用户的个人信息安全也构成严重威胁。入侵防御系统(IPS，Intrusion Prevention System)能识别各种非法入侵的数据，并对这些非法入侵的数据进行清洗，使得用户免受网络攻击的威胁，保证了用户的数据安全；因此，IPS检测成为了网络侧保障用户数据安全的主要防护手段。

在实际应用中，由于对用户构成网络威胁的网络数据众多，如，病毒，特洛伊木马，后门程序，流氓软件(包括间谍软件、广告软件、浏览器劫持等)，网络钓鱼程序(网络诈骗)和垃圾邮件等，因此，IPS的签名库(即网络威胁的特征数据库)非常庞大，一般都在10K字节的级别，且匹配目标位置分布在二层到七层，因此IPS防护耗费大量的资源，运行的性能低下。而对网络流量较大的企业用户来言，现有的IPS的性能显然无法满足该企业用户的实际需求，因此IPS的性能提升迫在眉睫。

发明内容

本发明实施例提供了一种签名库的匹配路径生成方法及相关装置，用于提高IPS进行签名匹配的效率。

本发明提供的签名库的匹配路径生成方法，包括：对入侵防御系统IPS签名库进行分层归类，得到N个子签名库，所述N为大于1的整数；获取应用统计信息，所述应用统计信息是对网络数据进行特征识别后统计得到的；根据所述应用统计信息在所述N个子签名库中，选择与所述应用统计信息对应的用户组相适配的M个子签名库，所述M为大于1且小于N的整数；根据所述M个子签名库生成所述用户组对应的第一匹配路径，使得IPS签名匹配装置使用所述第一匹配路径对所述用户组的网络数据进行IPS签名匹配，所述第一匹配路径为所述M个子签名库的存储地址映射关系。

可选的，所述应用统计信息包括：

用户标识，所述用户标识对应的应用类型和应用信息；

所述根据应用统计信息在所述N个子签名库中，选择与所述应用统计信息对应的用户组相匹配的M个子签名库，包括：

查找所述用户标识对应的用户组；根据预置规则在所述N个子签名库中，选择与所述用户标识对应的应用类型和应用信息相匹配的子签名库；统计得到一个所述用户组内所有用户标识对应的M个子签名库。

可选的，所述应用统计信息还包括：

所述应用类型对应的使用比例；

所述根据M个子签名库生成所述用户组对应的第一匹配路径，包括：

根据各个应用类型对应的使用比例为所述M个子签名库设置匹配优先级，根据所述匹配优先级依次部署匹配节点，得到用户组对应的第一匹配路径，所述匹配节点与所述子签名库的存储地址一一对应。

可选的，所述方法还包括：每隔预置时长更新所述应用统计信息；使用更新后的应用统计信息计算第二匹配路径；判断IPS签名匹配装置是否正在使用所述第一匹配路径进行IPS签名匹配，若不是，则使用所述第二匹配路径替换所述第一匹配路径；若是，正在进行的IPS签名匹配仍使用所述第一匹配路径进行匹配，新建立的IPS签名匹配任务则使用所述第二匹配路径进行匹配，在使用所述第一匹配路径的IPS签名匹配任务结束后，使用所述第二匹配路径替换所述第一匹配路径。

本发明提供的入侵防御系统的签名匹配方法，包括：获取网络数据，查询所述网络数据的用户标识；查找所述用户标识对应的用户组，并根据所述用户组与匹配路径的映射关系获取与所述用户组对应的匹配路径；使用所述匹配路径对所述网络数据进行IPS签名匹配，所述匹配路径是根据IPS签名库的M个子签名库生成的，所述M个子签名库是在所述IPS签名库的所有N个子签名库中根据网络数据的应用统计信息选取的，所述N为大于1的整数，所述M为大于1且小于N的整数，所述匹配路径为所述M个子签名库的存储地址映射关系。

可选的，所述使用用户标识对应的匹配路径对所述网络数据进行IPS签名匹配，包括：依次使用匹配路径中匹配节点对应的子签名库对所述网络数据进行IPS签名匹配；若所述子签名库中的任一签名与所述网络数据匹配成功，则所述IPS签名匹配结束，输出匹配结果；若所述M个子签名库中的所有签名都匹配失败，则所述IPS签名匹配结束。

可选的，所述获取网络数据之后，包括：对所述网络数据进行特征识别；使用所述特征识别的结果更新IPS签名匹配装置存储的应用统计信息。