一種基于應用的入侵防御系統ips實現方法及系統的制作方法
【專利摘要】本發明提供了一種基于應用的入侵防御系統IPS實現方法及系統,該方法包括:S1.通過基于應用的流可視策略對當前網絡環境中的應用流量進行實時監控;S2.將檢測到的應用流量按流量大小進行排名;S3.動態激活與當前流量排名結果中前N名的應用相對應的IPS特征庫成員組,N值為預先設定;同時將其他已激活的IPS特征庫成員組置為待激活狀態;再次執行步驟S1。本發明能夠有效的平衡防火墻的性能與入侵防御功能。
【專利說明】一種基于應用的入侵防御系統IPS實現方法及系統
【技術領域】
[0001] 本發明涉及計算機【技術領域】,具體涉及一種基于應用的入侵防御系統IPS實現方 法及系統。
【背景技術】
[0002] IPS (Intrusion Prevention System入侵防御系統)目前是很多防火墻設備的主 要模塊,開啟該功能后進入設備的流量會與IPS特征庫里面的每一條特征進行匹配,如果 匹配中,則會按照預先設定好的動作對流量進行處理。這樣雖然有效的攔截了一些威脅,但 也將會減慢流量的傳輸速度,降低了防火墻設備的性能。而用戶最想看到的結果是既能有 效阻攔網絡中的威脅,又能保證防火墻的性能,那么這就需要一種平衡。
【發明內容】
[0003] 針對現有技術的不足,本發明提供一種基于應用的入侵防御系統IPS實現方法及 系統,能夠有效的平衡防火墻的性能與入侵防御功能。
[0004] 為實現上述目的,本發明通過以下技術方案予以實現:
[0005] -種基于應用的入侵防御系統IPS實現方法,該方法包括:
[0006] S1.通過基于應用的流可視策略對當前網絡環境中的應用流量進行實時監控;
[0007] S2.將檢測到的應用流量按流量大小進行排名;
[0008] S3.動態激活與當前流量排名結果中前N名的應用相對應的IPS特征庫成員組,N 值為預先設定;同時將其他已激活的IPS特征庫成員組置為待激活狀態;再次執行步驟S1。
[0009] 優選地,所述方法還包括:
[0010] 將應用流量的排名結果發送給管理員,引導管理員手動修改IPS特征庫成員組的 激活狀態。
[0011] 優選地,所述引導管理員手動修改IPS特征庫成員組的激活狀態包括:
[0012] 將已激活的IPS特征庫成員更改為待激活狀態,并將當前流量排名結果前N名應 用中的一種或多種應用相對應的IPS特征庫成員組激活。
[0013] -種基于應用的入侵防御系統IPS實現系統,該系統包括:
[0014] 應用流量監控模塊,用于通過基于應用的流可視策略對當前網絡環境中的應用流 量進行實時監控;
[0015] 流量排序模塊,用于將檢測到的應用流量按流量大小進行排名;
[0016] IPS特征庫激活模塊,用于動態激活與當前流量排名結果中前N名的應用相對應 的IPS特征庫成員組,N值為預先設定;同時將其他已激活的IPS特征庫成員組置為待激活 狀態。
[0017] 本發明至少具有如下的有益效果:
[0018] 本發明是基于應用識別來實現動態激活IPS特征庫成員的方法,該方法相對于傳 統一直激活著所有特征庫成員的方法,具有更加靈活和高效的特點,系統流量只與同類應 用的IPS特征庫成員進行匹配,使得在滿足入侵防御功能的同時,有效的優化了防火墻的 性能。本發明能夠平衡防火墻的性能與入侵防御功能。
【專利附圖】
【附圖說明】
[0019] 為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發明 的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據 這些附圖獲得其他的附圖。
[0020] 圖1是本發明實施例中基于應用的入侵防御系統IPS實現方法的流程圖;
[0021] 圖2是本發明實施例中基于應用的入侵防御系統IPS實現系統的結構示意圖。
【具體實施方式】
[0022] 為使本發明實施例的目的、技術方案和優點更加清楚,下面將結合本發明實施例 中的附圖,對本發明實施例中的技術方案進行清楚、完整的描述,顯然,所描述的實施例是 本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員 在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
[0023] 參見圖1,本發明實施例提出了一種基于應用的入侵防御系統IPS實現方法,包括 如下步驟:
[0024] 步驟101 :通過基于應用的流可視策略對當前網絡環境中的應用流量進行實時監 控。
[0025] 在本步驟中,防火墻通過基于應用的流可視策略對當前網絡環境中的應用流量進 行監控。
[0026] 步驟102 :將檢測到的應用流量按流量大小進行排名。
[0027] 在本步驟中,防火墻將檢測到的應用流量按流量大小進行排名。
[0028] 步驟103 :動態激活與當前流量排名結果中前N名的應用相對應的IPS特征庫成 員組;同時將其他已激活的IPS特征庫成員組置為待激活狀態;再次執行步驟101。
[0029] 在本步驟中,防火墻根據流可視策略中的統計排名情況,動態激活與當前流量排 名結果中前N名應用相對應的IPS特征庫成員組,N值為預先設定,N的取值需要根據對性 能和防御能力的要求確定,通常N的取值為1-3中的任意一個整數。同時還可以通過監控 結果引導管理員手動修改IPS特征庫的激活項,例如選擇與當前流量排名結果前N名應用 中的一種或多種應用相對應的IPS特征庫成員組激活,這樣可以讓后續的流量只去匹配排 名前N名應用或前N名應用中的一種或多種應用對應的IPS特征庫成員,而不再匹配特征 庫中其他無關的特征成員,從而有效的優化了防火墻的性能,做到了防火墻性能與入侵防 御功能的平衡。
[0030] 所述引導管理員手動修改IPS特征庫成員組的激活狀態包括:
[0031] 將已激活的IPS特征庫成員更改為待激活狀態,并將當前流量排名結果前N名應 用中的一種或多種應用相對應的IPS特征庫成員組激活。
[0032] 本發明實施例通過基于應用的流可視策略對當前網絡環境中的流量進行實時監 控,并將檢測到的應用流量按照流量大小進行排名,根據當前網絡環境中各種應用的流量 排名順序動態激活流量排名靠前的應用所對應的IPS特征庫成員,這樣可以讓流量較大的 同類型應用的后續的流量只去匹配該類應用的IPS特征庫成員,而不再匹配特征庫中其他 無關的特征成員,從而有效的優化了防火墻的性能,做到了防火墻性能與入侵防御功能的 平衡。
[0033] 基于應用識別來實現動態激活IPS特征庫成員的方法,該方法相對于傳統一直激 活著所有特征庫成員的方法,具有更加靈活和高效的特點,系統流量只與同類應用的IPS 特征庫成員進行匹配,使得在滿足入侵防御功能的同時,有效的優化了防火墻的性能。本發 明能夠平衡防火墻的性能與入侵防御功能。
[0034] 參見圖2,本發明另一個實施例還提出了一種基于應用的入侵防御系統IPS實現 系統,包括:
[0035] 應用流量監控模塊201,用于通過基于應用的流可視策略對當前網絡環境中的應 用流量進行實時監控;
[0036] 流量排序模塊202,用于將檢測到的應用流量按流量大小進行排名;
[0037] IPS特征庫激活模塊203,用于動態激活與當前流量排名結果中前N名的應用相對 應的IPS特征庫成員組;同時將其他已激活的IPS特征庫成員組置為待激活狀態。
[0038] 在IPS特征庫激活模塊中,防火墻根據流可視策略中的統計排名情況,動態激活 與當前流量排名結果中前N名應用相對應的IPS特征庫成員組,N值為預先設定。這樣可 以讓后續的同類型的流量只去匹配該類應用的IPS特征庫成員,而不再匹配特征庫中其他 無關的特征成員,從而有效的優化了防火墻的性能,做到了防火墻性能與入侵防御功能的 平衡。
[0039] 本發明實施例所述系統通過應用流量監控模塊對當前網絡環境中的流量進行實 時監控,并利用流量排序模塊將檢測到的應用流量按照流量大小進行排名,最后由IPS特 征庫激活模塊將當前網絡中流量排名靠前的應用所對應的IPS特征庫成員激活,這樣可以 讓流量較大的同類型應用的后續的流量只去匹配該類應用的IPS特征庫成員,而不再匹配 特征庫中其他無關的特征成員,從而有效的優化了防火墻的性能,做到了防火墻性能與入 侵防御功能的平衡。
[0040] 基于應用識別來實現動態激活IPS特征庫成員的系統,相對于傳統一直激活著所 有特征庫成員,具有更加靈活和高效的特點,系統流量只與同類應用的IPS特征庫成員進 行匹配,使得在滿足入侵防御功能的同時,有效的優化了防火墻的性能。本發明實施例能夠 平衡防火墻的性能與入侵防御功能。
[0041] 以上實施例僅用于說明本發明的技術方案,而非對其限制;盡管參照前述實施例 對本發明進行了詳細的說明,本領域的普通技術人員應當理解:其依然可以對前述各實施 例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換;而這些修改或替 換,并不使相應技術方案的本質脫離本發明各實施例技術方案的精神和范圍。
【權利要求】
1. 一種基于應用的入侵防御系統IPS實現方法,其特征在于,該方法包括:
51. 通過基于應用的流可視策略對當前網絡環境中的應用流量進行實時監控;
52. 將檢測到的應用流量按流量大小進行排名;
53. 動態激活與當前流量排名結果中前N名的應用相對應的IPS特征庫成員組,N值為 預先設定;同時將其他已激活的IPS特征庫成員組置為待激活狀態;再次執行步驟S1。
2. 根據權利要求1所述的方法,其特征在于,所述方法還包括:將應用流量的排名結果 發送給管理員,引導管理員手動修改IPS特征庫成員組的激活狀態。
3. 根據權利要求2所述的方法,其特征在于,所述引導管理員手動修改IPS特征庫成員 組的激活狀態包括: 將已激活的IPS特征庫成員更改為待激活狀態,并將當前流量排名結果前N名應用中 的一種或多種應用相對應的IPS特征庫成員組激活。
4. 一種基于應用的入侵防御系統IPS實現系統,其特征在于,該系統包括: 應用流量監控模塊,用于通過基于應用的流可視策略對當前網絡環境中的應用流量進 行實時監控; 流量排序模塊,用于將檢測到的應用流量按流量大小進行排名; IPS特征庫激活模塊,用于動態激活與當前流量排名結果中前N名的應用相對應的IPS 特征庫成員組,N值為預先設定;同時將其他已激活的IPS特征庫成員組置為待激活狀態。
【文檔編號】H04L29/06GK104052738SQ201410218461
【公開日】2014年9月17日 申請日期:2014年5月22日 優先權日:2014年5月22日
【發明者】張輝 申請人:漢柏科技有限公司