本申請涉及通信
技術領域：
，尤其涉及一種入侵防護策略的更新方法及裝置。
背景技術：
：隨著計算機網(wǎng)絡的飛速發(fā)展，網(wǎng)絡在帶給人們巨大便利的同時也帶來了各種安全問題。IPS(IntrusionPreventionSystem，入侵防護系統(tǒng))是一種能夠監(jiān)視網(wǎng)絡或網(wǎng)絡設備的網(wǎng)絡資料傳輸行為的計算機網(wǎng)絡安全技術，它能夠中斷、調整或隔離一些異常或具有傷害性的網(wǎng)絡資料傳輸行為，從而達到阻斷網(wǎng)絡入侵的效果。為了提高IPS設備阻斷網(wǎng)絡入侵的準確率，相關技術在IPS設備中增加了流量分析功能。當IPS設備無法確定某報文是否為入侵報文時，可以根據(jù)對該報文的流量分析結果來確定該報文是否為入侵報文。但是，由于相關技術需要相關管理人員人工根據(jù)上述流量分析結果更新入侵防護策略，因此相關技術更新入侵防護策略的實效性差，從而導致相關技術對入侵報文的防護效率低。技術實現(xiàn)要素：有鑒于此，本申請?zhí)峁┮环N入侵防護策略的更新方法及裝置，來解決相關技術因需要相關管理人員人工更新入侵防護策略導致的對入侵報文防護效率低的問題。具體地，本申請是通過如下技術方案實現(xiàn)的：本申請?zhí)峁┮环N入侵防護策略的更新方法，所述方法應用于入侵防護系統(tǒng)IPS設備，所述方法包括：基于預設的入侵防護策略從接收到的報文流中確定待分析報文流；獲取所述待分析報文流的屬性信息；其中，所述屬性信息包括源IP地址；基于所述待分析報文流的屬性信息查詢預設的入侵表；其中，所述入侵表包括入侵報文流的屬性信息；在查詢成功的情況下，確定所述待分析報文流為入侵報文流；在查詢不成功的情況下，基于預設的流量特征模型匹配所述待分析報文流；在匹配成功的情況下確定所述待分析報文流為入侵報文流，并將所述待分析報文流的屬性信息添加至所述入侵表；基于所述入侵表更新所述入侵防護策略?？蛇x的，所述IPS設備預設信任表，所述信任表包括受信任的網(wǎng)絡設備發(fā)送的報文流的屬性信息，所述方法還包括：基于所述待分析報文流的源IP地址查詢所述信任表；在查詢成功的情況下，放行所述待分析報文流?？蛇x的，所述IPS設備預設待觀察表，所述待觀察表包括需要匹配預設流量特征模型的報文流的屬性信息，所述方法還包括：在基于所述待分析報文流的屬性信息查詢所述入侵表以及所述信任表皆失敗的情況下，基于所述待分析報文流的源IP地址查詢所述待觀察表；在查詢失敗的情況下，將所述待分析報文流的源IP地址添加至所述待觀察表。可選的，所述方法還包括：將所述待分析報文流的屬性信息添加至所述入侵表后，刪除所述待觀察表中所述待分析報文流對應的表項?？蛇x的，所述基于所述入侵表更新所述入侵防護策略包括：定時基于所述入侵表更新所述入侵防護策略。本申請同時提供一種入侵防護策略的更新裝置，所述裝置應用于入侵防護系統(tǒng)IPS設備，所述裝置包括：確定單元，用于基于預設的入侵防護策略從接收到的報文流中確定待分析報文流；獲取單元，用于獲取所述待分析報文流的屬性信息；其中，所述屬性信息包括源IP地址；入侵表查詢單元，用于基于所述待分析報文流的屬性信息查詢預設的入侵表；其中，所述入侵表包括入侵報文流的屬性信息；匹配單元，用于在查詢成功的情況下，確定所述待分析報文流為入侵報文流；在查詢不成功的情況下，基于預設的流量特征模型匹配所述待分析報文流；入侵表添加單元，用于在匹配成功的情況下確定所述待分析報文流為入侵報文流，并將所述待分析報文流的屬性信息添加至所述入侵表；更新單元，用于基于所述入侵表更新所述入侵防護策略?？蛇x的，所述IPS設備預設信任表，所述信任表包括受信任的網(wǎng)絡設備發(fā)送的報文流的屬性信息，所述裝置還包括：信任表查詢單元，用于基于所述待分析報文流的源IP地址查詢所述信任表；放行單元，用于在查詢成功的情況下，放行所述待分析報文流?？蛇x的，所述IPS設備預設待觀察表，所述待觀察表包括匹配預設流量特征模型的報文流的屬性信息，所述裝置還包括：待觀察表查詢單元，用于在基于所述待分析報文流的屬性信息查詢所述入侵表以及所述信任表皆失敗的情況下，基于所述待分析報文流的源IP地址查詢所述待觀察表；待觀察表添加單元，用于在查詢失敗的情況下，將所述待分析報文流的源IP地址添加至所述待觀察表?？蛇x的，所述裝置還包括：刪除單元，用于將所述待分析報文流的屬性信息添加至所述入侵表后，刪除所述待觀察表中所述待分析報文流對應的表項?？蛇x的，所述更新單元具體用于：定時基于所述入侵表更新所述入侵防護策略。在本申請中，IPS設備在接收到報文流后，可以基于預設的入侵防護策略從接收到的報文流中確定待分析報文流，然后IPS設備可以獲取上述待分析報文流的屬性信息，其中，該屬性信息可以包括源IP地址，然后，IPS設備可以基于該待分析報文流的屬性信息查詢預設的入侵表，其中，該入侵表可以包括入侵報文流的屬性信息，在查詢成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流；在查詢不成功的情況下，IPS設備可以基于預設的流量特征模型匹配該待分析報文流，在匹配成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流，并將該待分析報文流的屬性信息添加到上述入侵表中，然后，IPS設備可以基于上述入侵表更新上述入侵防護策略。應用本申請可以根據(jù)流量分析的結果自動更新入侵防護策略，從而解決了相關技術中因需要相關管理人員人工更新入侵防護策略導致的對入侵報文的防護效率低的問題。附圖說明圖1是示出的一種入侵防護的組網(wǎng)圖；圖2是本申請示出的一種入侵防護策略的更新方法的實施例流程圖；圖3是本申請入侵防護策略的更新裝置所在設備的一種硬件結構圖；圖4是本申請入侵防護策略的更新裝置的一個實施例框圖。具體實施方式這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語“和/或”是指并包含一個或多個相關聯(lián)的列出項目的任何或所有可能組合。應當理解，盡管在本申請可能采用術語第一、第二、第三等來描述各種信息，但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。請參見圖1，為示出的一種入侵防護的組網(wǎng)圖。圖1中，IPS設備可以對客戶端發(fā)送至服務器的報文流以及服務器發(fā)送至客戶端的報文流進行入侵防護。當IPS設備接收到報文流時，可以根據(jù)預設的入侵防護策略確定該報文流是否為入侵報文流，并在確定該報文流為入侵報文流的情況下，阻斷該報文流。當IPS設備無法確定接收到的報文流是否為入侵報文流時，可以對該報文流進行流量分析，并根據(jù)流量分析的結果來確定該報文流是否為入侵報文流。當IPS設備根據(jù)流量分析的結果判斷該報文流為入侵報文流時，可以阻斷該報文流。相關技術中，相關管理人員可以對IPS設備上的入侵防護策略進行配置和更新，相關管理人員在完成對入侵防護策略的配置或更新后，會在一段時間后再次對入侵防護策略進行更新。在該段時間內，IPS設備上的入侵防護策略不會發(fā)生變化。假設在該段時間內，IPS接收到不確定的入侵報文流，則IPS設備可以對該報文流進行流量分析，并根據(jù)流量分析的結果確定該報文流是否為入侵報文流。可以假設IPS設備在對該報文流進行流量分析后，確定該報文流為入侵報文流，則IPS設備可以對該報文流進行阻斷。假設在該段時間內IPS設備在阻斷上述入侵報文流后，接收到與上述入侵報文流的入侵特征相同的報文流，則由于IPS設備的入侵防護策略未包含該入侵特征，因此，IPS設備需要對該相同的入侵特征再次進行流量分析，并根據(jù)流量分析的結果確定攜帶該相同入侵特征的報文流為入侵報文流。如果IPS設備在該段時間內接收到了多個攜帶相同入侵特征的報文流，則IPS設備需要對相同的入侵特征進行多次流量分析，從而導致相關技術對入侵報文的防護效率低。有鑒于此，本申請?zhí)峁┮环N入侵防護策略的更新方法，來解決相關技術對入侵報文的防護效率低的問題。在本申請中，IPS設備在接收到報文流后，可以基于預設的入侵防護策略從接收到的報文流中確定待分析報文流，然后IPS設備可以獲取上述待分析報文流的屬性信息，其中，該屬性信息可以包括源IP地址，然后，IPS設備可以基于該待分析報文流的屬性信息查詢預設的入侵表，其中，該入侵表可以包括入侵報文流的屬性信息，在查詢成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流；在查詢不成功的情況下，IPS設備可以基于預設的流量特征模型匹配該待分析報文流，在匹配成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流，并將該待分析報文流的屬性信息添加到上述入侵表中，然后，IPS設備可以基于上述入侵表更新上述入侵防護策略。應用本申請可以根據(jù)流量分析的結果自動更新入侵防護策略，從而解決了相關技術中因需要相關管理人員人工更新入侵防護策略導致的對入侵報文的防護效率低的問題。請參考圖2，是本申請示出的一種入侵防護策略的更新方法的實施例流程圖，該方法應用于IPS設備，包括以下步驟：步驟201：基于預設的入侵防護策略從接收到的報文流中確定待分析報文流。在本申請中，IPS設備接收到報文流后，可以基于預設的入侵防護策略來確定該報文流是否為待分析報文流。其中，該待分析報文流可以為非確定報文流，即IPS設備基于入侵防御策略無法確定該報文流為入侵報文流，也無法確定該報文流為正常報文流。因此，IPS設備需要對該報文流進行進一步的分析。例如，可以假設IPS設備在根據(jù)接收到的報文流的源IP地址確定發(fā)送該報文流的網(wǎng)絡設備后，發(fā)現(xiàn)該網(wǎng)絡設備存在掃描其服務端口的行為。由于該掃描服務端口的行為可能是入侵行為，也有可能是網(wǎng)絡設備的入侵檢測行為，因此此時，IPS設備無法確定該報文流為入侵報文流或正常報文流，只能暫時確定該報文流為待分析報文流。需要說明的是，關于IPS設備基于預設的入侵防護策略從接收到的報文流中確定待分析報文流的技術為現(xiàn)有技術，因此，本申請在此不再贅述。步驟202：獲取所述待分析報文流的屬性信息；其中，所述屬性信息包括源IP地址。在本申請中，在確定接收到的報文流為待分析報文流后，可以從該報文流中獲取屬性信息，其中，該報文流的屬性信息可以包括該報文流的源IP地址。在示出的一個實施例中，該報文流的屬性信息的部分信息可以如表1所示：源IP地址單個數(shù)據(jù)包的大小數(shù)據(jù)包類型192.13.24.7100字節(jié)請求報文表1步驟203：基于所述待分析報文流的屬性信息查詢預設的入侵表；其中，所述入侵表包括入侵報文流的屬性信息。在本申請中，在獲取待分析報文流的屬性信息后，IPS設備可以基于該屬性信息查詢預設的入侵表，其中，該入侵表可以包括入侵報文流的屬性信息。在示出的一個實施例中，IPS設備預設的入侵表的部分內容可以如表2所示：源IP地址單個數(shù)據(jù)包的大小數(shù)據(jù)包類型192.13.24.7100字節(jié)請求報文192.11.8.2150字節(jié)請求報文192.3.24.76120字節(jié)請求報文表2結合表1和表2可知，當基于如表1所示的屬性信息查詢如表2所示的入侵表時，可以查詢成功。在示出的另一個實施例中，IPS設備預設的入侵表的部分內容可以如表3所示：表3結合表1和表3可知，當基于如表1所示的屬性信息查詢如表3所示的入侵表時，查詢失敗。步驟204：在查詢成功的情況下，確定所述報文流為入侵報文流；在查詢不成功的情況下，基于預設的流量特征模型匹配所述待分析報文流。在本申請中，在基于上述待分析報文流的屬性信息成功查詢預設入侵表的情況下，可以確定該待分析報文流為入侵報文流，此時，IPS設備可以阻斷該報文流。在基于上述待分析報文流的屬性信息未成功查詢預設入侵表的情況下，IPS設備可以基于預設的流量特征模型匹配該待分析報文流。在本申請中，上述預設的流量特征模型可以為基于流量特征，如流量大小、單位時間的新建連接IP數(shù)量、指定時間內的流量大小趨勢等，建立的一種流量趨勢模型。在示出的一個實施例中，上述流量特征模型的部分信息可以如表4所示：單位時間的新建連接IP數(shù)單個數(shù)據(jù)包的大小數(shù)據(jù)包類型>＝1500100字節(jié)請求報文表4結合表1和表4可知，當基于如表4所示的流量特征模型匹配屬性信息如表1所示的報文流時，匹配失敗。在本申請中，IPS設備上可以預設信任表，其中，該信任表可以包括受信任的網(wǎng)絡設備發(fā)送的報文流的屬性信息。當接收到IP地址為信任表中的IP地址的網(wǎng)絡設備發(fā)送的報文流時，IPS設備可以在不對該報文流進行流量分析的情況下，放行該報文流。需要說明的是，上述信任表中的表項可以發(fā)生變化，即上述信任表中的若干表項可以在指定的時間內存在上述信任表中或在指定的時間內不存在上述信任表中。在本申請中，IPS設備可以基于上述待分析報文流的源IP地址查詢上述信任表，并在查詢成功的情況下，放行上述待分析報文流。需要說明的是，IPS設備可以定時基于上述信任表更新入侵防護策略，以使IPS設備可以基于更新后的入侵防護策略確定該報文流為受信任的網(wǎng)絡設備發(fā)送的報文流，并放行該報文流。在本申請中，IPS設備可以預設待觀察表，其中，該待觀察表可以包括需要匹配預設流量特征模型的報文流的屬性信息。當IPS設備檢測到上述待分析報文流既不屬于上述入侵表，也不屬于上述信任表時，可以基于上述待分析報文流的屬性信息查詢上述待觀察表，并在查詢失敗的情況下，將該待分析報文流的屬性信息添加至預設的待觀察表中，然后IPS設備可以基于預設的流量特征模型匹配待觀察表中的待分析報文流。需要說明的是，在基于上述待分析報文流的屬性信息成功查詢上述待觀察表的情況下，可以不在預設的待觀察表中添加上述待分析報文流的屬性信息。步驟205：在匹配成功的情況下確定該報文流為入侵報文流，并將所述待分析報文流的屬性信息添加至所述入侵表。在本申請中，IPS設備在基于預設的流量特征模型成功匹配上述待分析報文流的情況下，可以確定上述待分析報文流為入侵報文流。然后，IPS設備可以將上述待分析報文流的屬性信息添加至上述入侵表。需要說明的是，在將上述待分析報文流的屬性信息添加至上述入侵表后，IPS設備可以刪除上述待觀察表中上述待分析報文流對應的表項。步驟206：基于所述入侵表更新所述入侵防護策略。在本申請中，IPS設備可以基于上述入侵表更新上述入侵防護策略，具體地，IPS設備可以定時基于上述入侵表更新上述入侵防護策略。在本申請中，IPS設備在接收到報文流后，可以基于預設的入侵防護策略從接收到的報文流中確定待分析報文流，然后IPS設備可以獲取上述待分析報文流的屬性信息，其中，該屬性信息可以包括源IP地址，然后，IPS設備可以基于該待分析報文流的屬性信息查詢預設的入侵表，其中，該入侵表可以包括入侵報文流的屬性信息，在查詢成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流；在查詢不成功的情況下，IPS設備可以基于預設的流量特征模型匹配該待分析報文流，在匹配成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流，并將該待分析報文流的屬性信息添加到上述入侵表中，然后，IPS設備可以基于上述入侵表更新上述入侵防護策略。應用本申請可以根據(jù)流量分析的結果自動更新入侵防護策略，從而解決了相關技術中因需要相關管理人員人工更新入侵防護策略導致的對入侵報文的防護效率低的問題。與前述入侵防護策略的更新方法的實施例相對應，本申請還提供了入侵防護策略的更新裝置的實施例。本申請入侵防護策略的更新裝置的實施例可以應用在網(wǎng)絡設備上。裝置實施例可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過其所在設備的處理器將非易失性存儲器中對應的計算機程序指令讀取到內存中運行形成的。從硬件層面而言，如圖3所示，為本申請入侵防護策略的更新裝置所在設備的一種硬件結構圖，除了圖3所示的處理器、內存、網(wǎng)絡接口、以及非易失性存儲器之外，實施例中裝置所在的網(wǎng)絡設備通常還可以包括其他硬件，如負責處理報文的轉發(fā)芯片等等。請參考圖4，是本申請入侵防護策略的更新裝置的一個實施例框圖。該裝置可以包括：確定單元410、獲取單元420、入侵表查詢單元430、匹配單元440、入侵表添加單元450以及更新單元460。確定單元410，用于基于預設的入侵防護策略從接收到的報文流中確定待分析報文流；獲取單元420，用于獲取所述待分析報文流的屬性信息；其中，所述屬性信息包括源IP地址；入侵表查詢單元430，用于基于所述待分析報文流的屬性信息查詢預設的入侵表；其中，所述入侵表包括入侵報文流的屬性信息；匹配單元440，用于在查詢成功的情況下，確定所述待分析報文流為入侵報文流；在查詢不成功的情況下，基于預設的流量特征模型匹配所述待分析報文流；入侵表添加單元450，用于在匹配成功的情況下確定所述待分析報文流為入侵報文流，并將所述待分析報文流的屬性信息添加至所述入侵表；更新單元460，用于基于所述入侵表更新所述入侵防護策略。在一個可選的實現(xiàn)方式中，所述IPS設備預設信任表，所述信任表包括受信任的網(wǎng)絡設備發(fā)送的報文流的屬性信息，所述裝置還可以包括(圖4中未示出)：信任表查詢單元，用于基于所述待分析報文流的源IP地址查詢所述信任表；放行單元，用于在查詢成功的情況下，放行所述待分析報文流。在一個可選的實現(xiàn)方式中，所述IPS設備預設待觀察表，所述待觀察表包括匹配預設流量特征模型的報文流的屬性信息，所述裝置還可以包括(圖4中未示出)：待觀察表查詢單元，用于在基于所述待分析報文流的屬性信息查詢所述入侵表以及所述信任表皆失敗的情況下，基于所述待分析報文流的源IP地址查詢所述待觀察表；待觀察表添加單元，用于在查詢失敗的情況下，將所述待分析報文流的源IP地址添加至所述待觀察表。在一個可選的實現(xiàn)方式中，所述裝置還可以包括(圖4中未示出)：刪除單元，用于將所述待分析報文流的屬性信息添加至所述入侵表后，刪除所述待觀察表中所述待分析報文流對應的表項。在一個可選的實現(xiàn)方式中，所述更新單元460可以具體用于：定時基于所述入侵表更新所述入侵防護策略。在本申請中，IPS設備在接收到報文流后，可以基于預設的入侵防護策略從接收到的報文流中確定待分析報文流，然后IPS設備可以獲取上述待分析報文流的屬性信息，其中，該屬性信息可以包括源IP地址，然后，IPS設備可以基于該待分析報文流的屬性信息查詢預設的入侵表，其中，該入侵表可以包括入侵報文流的屬性信息，在查詢成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流；在查詢不成功的情況下，IPS設備可以基于預設的流量特征模型匹配該待分析報文流，在匹配成功的情況下，IPS設備可以確定該待分析報文流為入侵報文流，并將該待分析報文流的屬性信息添加到上述入侵表中，然后，IPS設備可以基于上述入侵表更新上述入侵防護策略。應用本申請可以根據(jù)流量分析的結果自動更新入侵防護策略，從而解決了相關技術中因需要相關管理人員人工更新入侵防護策略導致的對入侵報文的防護效率低的問題。上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應步驟的實現(xiàn)過程，在此不再贅述。對于裝置實施例而言，由于其基本對應于方法實施例，所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的范圍之內。當前第1頁1 2 3