[发明专利]签名规则的处理方法、服务器及入侵防御系统

说明书

技术领域

本发明涉及网络安全系统领域，特别涉及一种签名规则的处理方法、服务器及入侵防御系统。

背景技术

随着电脑的广泛应用和网络的不断普及，来自网络内部和外部的威胁越来越多，从而造成了网络资源滥用，网络瘫痪，用户私密数据泄漏等问题的出现。为了提供有效的网络安全保护，防止网络内部和外部的攻击，需要在网络中部署安全设备，如IPS(Intrusion Prevention System，入侵防御系统)，防火墙等。

当前的安全设备主要采用签名特征扫描的方法检测网络攻击，病毒，蠕虫，恶意软件等。研究人员通过分析漏洞，病毒，蠕虫，恶意软件等的签名特征，提取特征生成签名特征库并发布，安全设备根据部署场景及自身资源配置加载签名规则，并根据加载的签名规则，进行扫描检测，完成网络攻击，病毒，蠕虫，恶意软件等的检测,并对检测到的攻击，病毒，蠕虫，恶意软件等进行阻断，清洗或告警等动作。

然而，现有技术中，一方面，由于CPU(Central Processing Unit,中央处理器)资源的限制以及不同的部署场景，安全设备不加载所有的签名规则，而是根据配置部分的加载签名规则，并且签名的规则的配置完全由操作员根据经验决定。另一方面，不同区域不同行业内的不同安全设备加载的签名规则存在差异，当出现问题时，只有加载了对应签名规则的安全设备才受保护，没有加载的安全设备不受保护，因此现有技术中的安全设备的保护能力还不理想。

发明内容

本发明实施例提供一种签名规则的处理方法、服务器及入侵防御系统，实现了安全设备之间进行签名规则信息共享，提升了安全设备的保护能力。

本发明实施例提供一种签名规则的处理方法，包括：

云服务器接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息，所述签名规则使用状态信息用于表示所述各个安全设备的签名规则在整个网络的使用状态；

所述云服务器将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后，获取最活跃的威胁签名规则标识码ID列表；

所述云服务器根据所述最活跃的威胁签名规则标识码ID列表，生成与所述各个安全设备分别对应的更新信息；

所述云服务器将所述更新信息分别发送给所述各个安全设备，以使所述各个安全设备根据所述更新信息分别进行签名规则的更新。

本发明实施例还提供一种服务器，包括：

接收单元，用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息，以及将所述各个安全设备的签名规则使用状态信息传输给分析获取单元，其中，所述签名规则使用状态信息用于表示所述各个安全设备的签名规则在整个网络的使用状态；

分析获取单元，用于从所述接收单元接收所述各个安全设备的签名规则使用状态信息，将所述各个安全设备的签名规则使用状态信息和最新签名规则集合进行关联分析后，获取最活跃的威胁签名规则标识码ID列表，以及将所述最活跃的威胁签名规则标识码ID列表发送给生成单元；

生成单元，用于从所述分析获取单元接收所述最活跃的威胁签名规则标识码ID列表，根据所述最活跃的威胁签名规则标识码ID列表生成与所述各个安全设备分别对应的更新信息，以及将所述更新信息传输给第一发送单元；

第一发送单元，用于从所述生成单元接收所述更新信息，将所述更新信息分别发送给与所述更新信息分别对应的所述各个安全设备，以使所述各个安全设备根据所述更新信息进行签名规则的更新。

本发明实施例还提供一种入侵防御系统，包括：云服务器和与所述云服务器通信连接的至少一个安全设备，其中，

所述云服务器，用于接收与其连接的各个安全设备分别发送的所述各个安全设备的签名规则使用状态信息；将所述各个安全设备的签名规则使用状态信息和所述云服务器发布的最新签名规则集合进行关联分析后，获取最活跃的威胁签名规则标识码ID列表；根据所述最活跃的威胁签名规则标识码ID列表，生成与所述各个安全设备分别对应的更新信息；将所述更新信息分别发送给所述各个安全设备；

所述安全设备，用于向所述云服务器发送自身对应的签名规则使用状态信息，所述签名规则使用状态信息用于表示所述安全设备的签名规则在整个网络的使用状态；在接收到所述云服务器发送的更新信息后，根据所述更新信息进行签名规则的更新。