網絡攻擊特征庫的更新方法及裝置的制造方法

網絡攻擊特征庫的更新方法及裝置的制造方法
【專利摘要】本申請提供一種網絡攻擊特征庫的更新方法及裝置，所述方法應用于特征分析設備上，所述方法包括：接收IPS設備發送的攻擊報文，并保存；從自身保存的攻擊報文中，獲得屬于同一類型的攻擊報文；確定屬于同一類型的攻擊報文對應的第一攻擊特征；向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。應用本申請實施例，特征分析設備采用統一標準分析得到的攻擊特征，比用戶手動分析得到的攻擊特征更加準確，智能，可以提高用戶體驗。
【專利說明】
網絡攻擊特征庫的更新方法及裝置
技術領域
[0001]本申請涉及網絡通信技術領域，尤其涉及一種網絡攻擊特征庫的更新方法及裝置。
【背景技術】
[0002]IPS(Intrus1n Prevent1n System，入侵防御系統)設備用于檢測網絡攻擊，當IPS設備接收到來自網絡設備的報文時，提取報文的特征，并與網絡攻擊特征庫中記錄的攻擊特征進行匹配，若匹配到該特征，則確定所述報文為攻擊報文，IPS設備對所述報文執行警告或阻斷等處理。然而，互聯網中的攻擊報文的特征隨時在變化，需要網絡攻擊特征庫能夠得到及時的更新。
[0003]現有網絡攻擊特征庫的更新方式是，用戶根據自己掌握的技術或經驗，通過分析攻擊報文來確定新的攻擊特征，然后手動將新的攻擊特征添加到IPS設備的網絡攻擊特征庫中。然而，依靠用戶分析攻擊特征的方式，對用戶的要求比較高，由于不同用戶掌握的技術或經驗不同，因此可能分析出不同的攻擊特征，并且還可能分析出錯誤的攻擊特征，從而導致網絡攻擊特征庫中存在錯誤的攻擊特征。在使用錯誤的攻擊特征檢測網絡攻擊時，會將非攻擊報文檢測為攻擊報文，導致用戶體驗的下降。

【發明內容】

[0004]有鑒于此，本申請提供一種網絡攻擊特征庫的更新方法及裝置，以解決現有依靠用戶分析攻擊特征的方式會導致用戶體驗下降的問題。
[0005]根據本申請實施例的第一方面，提供一種網絡攻擊特征庫的更新方法，所述方法應用于特征分析設備上，所述方法包括:
[0006]接收IPS設備發送的攻擊報文，并保存；
[0007]從自身保存的攻擊報文中，獲得屬于同一類型的攻擊報文；
[0008]確定屬于同一類型的攻擊報文對應的第一攻擊特征；
[0009]向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。
[0010]根據本申請實施例的第二方面，提供一種網絡攻擊特征庫的更新方法，所述方法應用于IPS設備上，所述方法包括:
[0011]對接收到的報文進行檢測，以判斷所述報文中是否包含網絡攻擊特征庫中的攻擊特征；
[0012]如果是，則確定所述報文是攻擊報文，并將所述攻擊報文發送給特征分析設備，以使所述特征分析設備利用所述攻擊報文確定第一攻擊特征；
[0013]接收所述特征分析設備發送的第一攻擊特征，并將所述第一攻擊特征添加到所述網絡攻擊特征庫中。
[0014]根據本申請實施例的第三方面，提供一種網絡攻擊特征庫的更新裝置，所述裝置應用于特征分析設備上，所述裝置包括:
[0015]保存單元，用于接收IPS設備發送的攻擊報文，并保存；
[0016]獲得單元，用于從所述特征分析設備保存的攻擊報文中，獲得屬于同一類型的攻擊報文；
[0017]確定單元，用于確定屬于同一類型的攻擊報文對應的第一攻擊特征；
[0018]發送單元，用于向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。
[0019]根據本申請實施例的第四方面，提供一種網絡攻擊特征庫的更新裝置，所述裝置應用于IPS設備上，所述裝置包括:
[0020]檢測單元，用于對接收到的報文進行檢測，以判斷所述報文中是否包含網絡攻擊特征庫中的攻擊特征；
[0021]發送單元，用于當判斷結果為是時，則確定所述報文是攻擊報文，并將所述攻擊報文發送給特征分析設備，以使所述特征分析設備利用所述攻擊報文確定第一攻擊特征；
[0022]更新單元，用于接收所述特征分析設備發送的第一攻擊特征，并將所述第一攻擊特征添加到所述網絡攻擊特征庫中。
[0023]應用本申請實施例，特征分析設備從IPS設備發送的攻擊報文中，獲得屬于同一類型的攻擊報文，然后再確定屬于同一類型的攻擊報文對應的第一攻擊特征，并向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。基于此實現方式，是通過特征分析設備對攻擊報文進行分類，然后再提取攻擊特征，而不是通過用戶手動分析攻擊報文，提取攻擊特征。由于特征分析設備采用統一標準分析攻擊特征，并不要求用戶掌握的技術或經驗有多高，而且，通過特征分析設備采用的統一標準，不會分析出錯誤的攻擊特征，即網絡攻擊特征庫內的攻擊特征都是正確的攻擊特征，從而不會導致用戶體驗的下降。
【附圖說明】
[0024]圖1為本申請根據一示例性實施例示出的一種網絡攻擊特征庫的更新應用場景圖；
[0025]圖2為本申請根據一示例性實施例示出的一種網絡攻擊特征庫的更新方法實施例流程圖；
[0026]圖3為本申請根據一示例性實施例示出的另一種網絡攻擊特征庫的更新方法實施例流程圖；
[0027]圖4為本申請根據一示例性實施例示出的另一種網絡攻擊特征庫的更新方法實施例流程圖；
[0028]圖5為本申請根據一示例性實施例示出的特征分析設備的硬件結構圖；
[0029]圖6為本申請根據一示例性實施例示出的一種網絡攻擊特征庫的更新裝置實施例結構圖；
[0030]圖7為本申請根據一示例性實施例示出的IPS設備的硬件結構圖；
[0031]圖8為本申請根據一示例性實施例示出的另一種網絡攻擊特征庫的更新裝置實施例結構圖。
【具體實施方式】
[0032]這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。
[0033]在本申請使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。
[0034]應當理解，盡管在本申請可能采用術語第一、第二、第三等來描述各種信息，但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。
[0035]參見圖1所示，為本申請根據一示例性實施例示出的一種網絡攻擊特征庫的更新應用場景圖:包括目標設備、IPS設備、特征分析設備以及網絡設備。其中，所述目標設備是受保護的設備，可以是PC(Personal Computer，個人計算機)、手機等，會接收到IPS設備發送的非攻擊報文。所述IPS設備用于接收所述網絡設備發送的報文，并利用網絡攻擊特征庫對所述報文進行檢測，如果報文中包含網絡攻擊特征庫中記錄的攻擊特征，則確定所述報文為攻擊報文，并將所述攻擊報文發送到特征分析設備，并對所述攻擊報文執行警告或阻斷處理；否則，確定所述報文為非攻擊報文，將所述非攻擊報文發送到目標設備。所述特征分析設備用于對IPS設備發送來的攻擊報文進行特征提取，確定第一攻擊特征，并將所述第一攻擊特征發送到IPS設備，以使IPS設備將第一攻擊特征更新到網絡攻擊特征庫中。所述網絡設備可以是服務器、路由設備或者網絡攻擊源設備等。
[0036]在本申請實施例中，特征分析設備從接收到的攻擊報文中再度提取的攻擊特征稱為第一攻擊特征，IPS設備檢測到報文包含的攻擊特征稱為第二攻擊特征，該第二攻擊特征是網絡攻擊特征庫中記錄的攻擊特征，即所述報文是由于包含第二攻擊特征，導致被IPS設備檢測為攻擊報文。
[0037]參見圖2所示，為本申請根據一示例性實施例示出的一種網絡攻擊特征庫的更新方法實施例流程圖，該實施例應用于特征分析設備上，包括以下步驟:
[0038]步驟201:接收IPS設備發送的攻擊報文，并保存。
[0039]當IPS設備接收到網絡設備發送的報文時，會利用網絡攻擊特征庫檢測所述報文是否為攻擊報文，若是，IPS設備將所述攻擊報文發送到特征分析設備，所述特征分析設備將所述攻擊報文保存在本地存儲介質中。
[0040]其中，IPS設備提取報文的特征，并與網絡攻擊特征庫中的攻擊特征進行匹配，若匹配到所述報文的特征，則確定所述報文為攻擊報文;若沒有匹配到所述報文的特征，則確定所述報文為非攻擊報文。
[0041]需要說明的是，當IPS設備從所述網絡攻擊特征庫中匹配到所述報文的特征時，所述報文的特征即為網絡攻擊特征庫中的攻擊特征，稱為第二攻擊特征，因此可以確定所述報文為攻擊報文。
[0042]步驟202:從自身保存的攻擊報文中，獲得屬于同一類型的攻擊報文。
[0043]針對步驟202，獲得屬于同一類型的攻擊報文可以包括但不限于如下方式:
[0044]方式一:通過統計包含第二攻擊特征的攻擊報文的數量，以獲得屬于同一類型的攻擊報文。具體實現為:在預設時間周期內，特征分析設備獲得自身保存的每個攻擊報文對應的第二攻擊特征;針對獲得的每個第二攻擊特征，統計所述第二攻擊特征對應的攻擊報文的第一數量;如果所述第一數量大于第一預設閾值，則將所述第二攻擊特征對應的攻擊報文確定為屬于同一類型的攻擊報文。例如，假設從自身保存的所有攻擊報文中獲得的第二攻擊特征包括特征A、特征B、特征C、特征D、特征E，每個第二攻擊特征對應的攻擊報文的第一數量為100、57、40、60、70。假設所述第一預設閾值為50，則可以確定特征A對應的所有攻擊報文為屬于同一類型的攻擊報文、特征B對應的所有攻擊報文為屬于同一類型的攻擊報文、特征D對應的所有攻擊報文為屬于同一類型的攻擊報文、特征E對應的所有攻擊報文為屬于同一類型的攻擊報文。
[0045]方式二:通過預設攻擊特征來獲得屬于同一類型的攻擊報文。具體實現為:在預設時間周期內，特征分析設備獲得自身保存的每個攻擊報文對應的第二攻擊特征，并將所述第二攻擊特征是預設攻擊特征的攻擊報文確定為屬于同一類型的攻擊報文。例如，用戶根據業務需求，需要對網絡攻擊特征庫中的某一攻擊特征進行特征再提取，可以將該攻擊特征設為預設攻擊特征，以對包含該預設攻擊特征的攻擊報文進行再度提取，獲得更多新的攻擊特征。
[0046]在一種可選的實現方式中，IPS設備在檢測到所述報文包含網絡攻擊特征庫中記錄的某一攻擊特征時，該攻擊特征可以稱為第二攻擊特征，并將所述第二攻擊特征的標記添加到所述報文中，然后再將所述報文作為攻擊報文發送到特征分析設備。基于此，針對方式一和方式二，特征分析設備獲得自身保存的每個攻擊報文對應的第二攻擊特征的過程，可以通過獲取自身保存的每個攻擊報文攜帶的第二攻擊特征的標記，以獲得第二攻擊特征。
[0047]其中，所述第二攻擊特征的標記可以是數字編號或字符編號等。比如，第二攻擊特征為特征A時，對應的標記為I;第二攻擊特征為特征B時，對應的標記為2，依次類推，IPS設備對每個第二攻擊特征做標記，并將所述標記對應所述第二攻擊特征添加到所述網絡攻擊特征庫中。
[0048]方式三:通過統計來源于同一個源IP(Internet Protocol，網際協議)地址的攻擊報文的數量，來獲得屬于同一類型的攻擊報文。具體實現為:在預設時間周期內，特征分析設備獲得自身保存的每個攻擊報文對應的源IP地址;針對獲得的每個源IP地址，統計所述源IP地址對應的攻擊報文的第二數量;如果所述第二數量大于第二預設閾值，則將所述源IP地址對應的攻擊報文確定為屬于同一類型的攻擊報文。例如，在某段時間范圍內，特征分析設備發現攜帶源IP地址為1.1.1.1的攻擊報文的第二數量為150，假設第二預設閾值為80，由于所述第二數量大于所述第二預設閾值，則認為該源IP地址對應的設備是一個攻擊源，因此，可以將攜帶該源IP地址的攻擊報文確定為屬于同一類型的攻擊報文。
[0049]步驟203:確定屬于同一類型的攻擊報文對應的第一攻擊特征。
[0050]當特征分析設備獲得屬于同一類型的攻擊報文時，獲得屬于同一類型的攻擊報文中的所有特征，然后針對獲得的每個特征，從所述屬于同一類型的攻擊報文中統計出具有該特征的攻擊報文的第三數量，如果所述第三數量大于第三預設閾值，則將該特征確定為第一攻擊特征。
[0051]例如，假設從屬于同一類型的攻擊報文中得到特征1、特征2、特征3、特征4、特征5，經統計之后，每個特征對應的攻擊報文的第三數量分別為20、40、69、32、65，假設所述第三預設閾值為35，將所述第三數量分別與所述第三預設閾值比較，可確定特征2、特征3、特征5均為第一攻擊特征。
[0052]步驟204:向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。
[0053]由上述實施例所述，特征分析設備從IPS設備發送的攻擊報文中，獲得屬于同一類型的攻擊報文，然后再確定屬于同一類型的攻擊報文對應的第一攻擊特征，并向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。基于此實現方式，是通過特征分析設備對攻擊報文進行分類，然后再提取攻擊特征，而不是通過用戶手動分析所有攻擊報文，提取攻擊特征。由于特征分析設備采用統一標準分析攻擊特征，并不要求用戶掌握的技術或經驗有多高，而且，通過特征分析設備采用的統一標準，不會分析出錯誤的攻擊特征，即網絡攻擊特征庫內的攻擊特征都是正確的攻擊特征，從而不會導致用戶體驗的下降。
[0054]圖3為本申請根據一示例性實施例示出的另一種網絡攻擊特征庫的更新方法實施例流程圖，該實施例應用于IPS設備上，包括以下步驟:
[0055]步驟301:對接收到的報文進行檢測，以判斷所述報文中是否包含網絡攻擊特征庫中的攻擊特征。
[0056]當IPS設備接收到網絡設備發送的報文時，提取所述報文的特征，并將提取到的特征與網絡攻擊特征庫中的攻擊特征進行匹配，若未匹配到該特征，則確定所述報文是非攻擊報文，執行步驟302;若匹配到該特征，則確定所述報文是攻擊報文，執行步驟303。
[0057]其中，針對IPS設備提取所述報文的特征的過程，可以利用DPI(Deep PacketInspect1n，深度包檢測)技術對所述報文進行分析，并提取所述報文的特征。
[0058]另外，當IPS設備從所述網絡攻擊特征庫中匹配到所述報文的特征時，所述報文的特征即為網絡攻擊特征庫中的攻擊特征，稱為第二攻擊特征，因此可以確定所述報文為攻擊報文，并將所述攻擊報文對應的第二攻擊特征的標記添加到所述攻擊報文中。
[0059]步驟302:將所述非攻擊報文發送到對應的目標設備，結束當前流程。
[0060]步驟303:將所述攻擊報文發送給特征分析設備，以使所述特征分析設備利用所述攻擊報文確定第一攻擊特征。
[0061]所述特征分析設備利用所述攻擊報文確定第一攻擊特征的過程如步驟202和步驟203所述，在此不再一一贅述。
[0062]步驟304:接收所述特征分析設備發送的第一攻擊特征，并將所述第一攻擊特征添加到所述網絡攻擊特征庫中。
[0063]需要說明的是，IPS設備在添加第一攻擊特征到所述網絡攻擊特征庫中時，可以按照現有技術對所述第一攻擊特征設置執行動作，比如警告或阻斷等。后續只要檢測到接收到的報文具有該第一攻擊特征，可以對其執行警告、阻斷或丟棄。
[0064]由上述實施例所述，特征分析設備從IPS設備發送的攻擊報文中，獲得屬于同一類型的攻擊報文，然后再確定屬于同一類型的攻擊報文對應的第一攻擊特征，并向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。基于此實現方式，是通過特征分析設備對攻擊報文進行分類，然后再提取攻擊特征，而不是通過用戶手動分析所有攻擊報文，提取攻擊特征。由于特征分析設備采用統一標準分析攻擊特征，并不要求用戶掌握的技術或經驗有多高，而且，通過特征分析設備采用的統一標準，不會分析出錯誤的攻擊特征，即網絡攻擊特征庫內的攻擊特征都是正確的攻擊特征，從而不會導致用戶體驗的下降。
[0065]參見圖4所示，為本申請根據一示例性實施例示出的另一種網絡攻擊特征庫的更新方法實施例流程圖，該實施例結合圖1示出的應用場景對網絡攻擊特征庫的更新過程進行詳細描述，包括以下步驟:
[0066]步驟401: IPS設備接收網絡設備發送的報文。
[0067]步驟402:1PS設備對所述報文進行檢測，以判斷所述報文中是否包含網絡攻擊特征庫中的攻擊特征。
[0068]IPS設備提取所述報文的特征，并將提取到特征與網絡攻擊特征庫中的攻擊特征進行匹配，若未匹配到該特征，則確定所述報文是非攻擊報文，執行步驟403;若匹配到該特征，則確定所述報文是攻擊報文，執行步驟404。
[0069]需要說明的是，當IPS設備從所述網絡攻擊特征庫中匹配到所述報文的特征時，所述報文的特征即為網絡攻擊特征庫中的攻擊特征，稱為第二攻擊特征，因此確定所述報文為攻擊報文，并將所述攻擊報文對應的第二攻擊特征的標記添加到所述攻擊報文中。
[0070]其中，所述第二攻擊特征的標記可以是數字編號或字符編號等。
[0071 ]步驟403: IPS設備將所述非攻擊報文發送到目標設備，結束當前流程。
[0072]步驟404:1PS設備將所述攻擊報文發送給特征分析設備。
[0073 ]步驟405:特征分析設備接收所述攻擊報文，并保存。
[0074]步驟406:特征分析設備從自身保存的攻擊報文中，獲得屬于同一類型的攻擊報文。
[0075]針對步驟406，獲得屬于同一類型的攻擊報文可以包括但不限于如下方式:
[0076]方式一:特征分析設備通過統計包含第二攻擊特征的攻擊報文的數量，以獲得屬于同一類型的攻擊報文。具體實現為:在預設時間周期內，特征分析設備獲得自身保存的每個攻擊報文對應的第二攻擊特征;針對獲得的每個第二攻擊特征，統計所述第二攻擊特征對應的攻擊報文的第一數量;如果所述第一數量大于第一預設閾值，則將所述第二攻擊特征對應的攻擊報文確定為屬于同一類型的攻擊報文。
[0077]方式二:特征分析設備通過預設攻擊特征來獲得屬于同一類型的攻擊報文。具體實現為:在預設時間周期內，特征分析設備獲得自身保存的每個攻擊報文對應的第二攻擊特征，并將所述第二攻擊特征是預設攻擊特征的攻擊報文確定為屬于同一類型的攻擊報文。
[0078]針對方式一和方式二，特征分析設備獲得自身保存的每個攻擊報文對應的第二攻擊特征的過程，可以通過獲取自身保存的每個攻擊報文攜帶的第二攻擊特征的標記，以獲得第二攻擊特征。
[0079]方式三:特征分析設備通過統計來源于同一個源IP地址的攻擊報文的數量，來獲得屬于同一類型的攻擊報文。具體實現為:在預設時間周期內，特征分析設備獲得自身保存的每個攻擊報文對應的源IP地址;針對獲得的每個源IP地址，統計所述源IP地址對應的攻擊報文的第二數量;如果所述第二數量大于第二預設閾值，則將所述源IP地址對應的攻擊報文確定為屬于同一類型的攻擊報文。
[0080]步驟407:特征分析設備確定屬于同一類型的攻擊報文對應的第一攻擊特征。
[0081]特征分析設備首先獲得所述屬于同一類型的攻擊報文中的所有特征，然后針對獲得的每個特征，從所述屬于同一類型的攻擊報文中統計出具有該特征的攻擊報文的第三數量，如果所述第三數量大于第三預設閾值，則將該特征確定為第一攻擊特征。
[0082]步驟408:特征分析設備向所述IPS設備發送所述第一攻擊特征。
[0083]步驟409:1PS設備將所述第一攻擊特征添加到所述網絡攻擊特征庫中。
[0084]由上述實施例所述，特征分析設備從IPS設備發送的攻擊報文中，獲得屬于同一類型的攻擊報文，然后再確定屬于同一類型的攻擊報文對應的第一攻擊特征，并向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。基于此實現方式，是通過特征分析設備對攻擊報文進行分類，然后再提取攻擊特征，而不是通過用戶手動分析所有攻擊報文，提取攻擊特征。由于特征分析設備采用統一標準分析攻擊特征，并不要求用戶掌握的技術或經驗有多高，而且，通過特征分析設備采用的統一標準，不會分析出錯誤的攻擊特征，即網絡攻擊特征庫內的攻擊特征都是正確的攻擊特征，從而不會導致用戶體驗的下降。
[0085]與前述網絡攻擊特征庫的更新方法的實施例相對應，本申請還提供了網絡攻擊特征庫的更新裝置的實施例。
[0086]本申請網絡攻擊特征庫的更新裝置的實施例可以應用在特征分析設備上。裝置實施例可以通過軟件實現，也可以通過硬件或者軟硬件結合的方式實現。以軟件實現為例，作為一個邏輯意義上的裝置，是通過其所在設備的處理器將非易失性存儲器中對應的計算機程序指令讀取到內存中運行形成的。從硬件層面而言，如圖5所示，為所述特征分析設備的硬件結構圖，除了圖5所示的處理器、內存、網絡接口、以及非易失性存儲器之外，實施例中裝置所在的設備通常根據該設備的實際功能，還可以包括其他硬件，對此不再贅述。
[0087]參見圖6所示，為本申請根據一示例性實施例示出的一種網絡攻擊特征庫的更新裝置實施例結構圖，該實施例應用于特征分析設備上，所述裝置包括:保存單元610、獲得單元620、確定單元630、發送單元640。
[0088]其中，保存單元610，用于接收入侵防御系統IPS設備發送的攻擊報文，并保存；
[0089]獲得單元620，用于從所述特征分析設備保存的攻擊報文中，獲得屬于同一類型的攻擊報文；
[°09°]確定單元630，用于確定屬于同一類型的攻擊報文對應的第一攻擊特征；
[0091 ]發送單元640，用于向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。
[0092]在一個可選的實現方式中，所述獲得單元，具體用于獲得所述特征分析設備保存的每個攻擊報文對應的第二攻擊特征;針對獲得的每個第二攻擊特征，統計所述第二攻擊特征對應的攻擊報文的第一數量;如果所述第一數量大于第一預設閾值，則將所述第二攻擊特征對應的攻擊報文確定為屬于同一類型的攻擊報文;或者，
[0093]所述獲得單元，具體用于獲得所述特征分析設備保存的每個攻擊報文對應的第二攻擊特征;將所述第二攻擊特征是預設攻擊特征的攻擊報文確定為屬于同一類型的攻擊報文;或者，
[0094]所述獲得單元，具體用于獲得所述特征分析設備保存的每個攻擊報文對應的源IP地址;針對獲得的每個源IP地址，統計所述源IP地址對應的攻擊報文的第二數量;如果所述第二數量大于第二預設閾值，則將所述源IP地址對應的攻擊報文確定為屬于同一類型的攻擊報文。
[0095]其中，所述攻擊報文中攜帶有第二攻擊特征的標記，所述第二攻擊特征的標記是當IPS設備檢測到攻擊報文具有所述第二攻擊特征時，添加到所述攻擊報文中的標記。
[0096]在另一個可選的實現方式中，所述確定單元，包括(圖6中未示出):
[0097]獲得子單元，用于獲得所述屬于同一類型的攻擊報文中的所有特征；
[0098]統計子單元，用于針對獲得的每個特征，從所述屬于同一類型的攻擊報文中統計出具有該特征的攻擊報文的第三數量；
[0099]確定子單元，用于如果所述第三數量大于第三預設閾值，則將該特征確定為第一攻擊特征。本申請網絡攻擊特征庫的更新裝置的實施例還可以應用在IPS設備上。如圖7所示，為所述IPS設備的硬件結構圖，除了圖7所示的處理器、內存、網絡接口、以及非易失性存儲器之外，實施例中裝置所在的設備通常根據該設備的實際功能，還可以包括其他硬件，對此不再贅述。
[0100]參見圖8所示，為本申請根據一示例性實施例示出的另一種網絡攻擊特征庫的更新裝置實施例結構圖，該實施例應用于IPS設備上，所述裝置包括:檢測單元810、發送單元820、更新單元830。
[0101]其中，檢測單元810，用于對接收到的報文進行檢測，以判斷所述報文中是否包含網絡攻擊特征庫中的攻擊特征；
[0102]發送單元820，用于當判斷結果為是時，則確定所述報文是攻擊報文，并將所述攻擊報文發送給特征分析設備，以使所述特征分析設備利用所述攻擊報文確定第一攻擊特征；
[0103]更新單元830，用于接收所述特征分析設備發送的第一攻擊特征，并將所述第一攻擊特征添加到所述網絡攻擊特征庫中。
[0104]上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程，在此不再贅述。
[0105]對于裝置實施例而言，由于其基本對應于方法實施例，所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本申請方案的目的。本領域普通技術人員在不付出創造性勞動的情況下，即可以理解并實施。
[0106]以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的范圍之內。
【主權項】
1.一種網絡攻擊特征庫的更新方法，所述方法應用于特征分析設備上，其特征在于，所述方法包括: 接收入侵防御系統IPS設備發送的攻擊報文，并保存； 從自身保存的攻擊報文中，獲得屬于同一類型的攻擊報文； 確定屬于同一類型的攻擊報文對應的第一攻擊特征； 向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。2.根據權利要求1所述的方法，其特征在于，所述從自身保存的攻擊報文中，獲得屬于同一類型的攻擊報文，包括: 獲得自身保存的每個攻擊報文對應的第二攻擊特征;針對獲得的每個第二攻擊特征，統計所述第二攻擊特征對應的攻擊報文的第一數量；如果所述第一數量大于第一預設閾值，則將所述第二攻擊特征對應的攻擊報文確定為屬于同一類型的攻擊報文;或者， 獲得自身保存的每個攻擊報文對應的第二攻擊特征;將所述第二攻擊特征是預設攻擊特征的攻擊報文確定為屬于同一類型的攻擊報文;或者， 獲得自身保存的每個攻擊報文對應的源網際協議IP地址;針對獲得的每個源IP地址，統計所述源IP地址對應的攻擊報文的第二數量;如果所述第二數量大于第二預設閾值，則將所述源IP地址對應的攻擊報文確定為屬于同一類型的攻擊報文。3.根據權利要求2所述的方法，其特征在于，所述攻擊報文中攜帶有第二攻擊特征的標記，所述第二攻擊特征的標記是當IPS設備檢測到攻擊報文具有所述第二攻擊特征時，添加到所述攻擊報文中的標記。4.根據權利要求1所述的方法，其特征在于，所述確定屬于同一類型的攻擊報文對應的第一攻擊特征，包括: 獲得所述屬于同一類型的攻擊報文中的所有特征； 針對獲得的每個特征，從所述屬于同一類型的攻擊報文中統計出具有該特征的攻擊報文的第三數量； 如果所述第三數量大于第三預設閾值，則將該特征確定為第一攻擊特征。5.—種網絡攻擊特征庫的更新方法，所述方法應用于入侵防御系統IPS設備上，其特征在于，所述方法包括: 對接收到的報文進行檢測，以判斷所述報文中是否包含網絡攻擊特征庫中的攻擊特征； 如果是，則確定所述報文是攻擊報文，并將所述攻擊報文發送給特征分析設備，以使所述特征分析設備利用所述攻擊報文確定第一攻擊特征； 接收所述特征分析設備發送的第一攻擊特征，并將所述第一攻擊特征添加到所述網絡攻擊特征庫中。6.一種網絡攻擊特征庫的更新裝置，所述裝置應用于特征分析設備上，其特征在于，所述裝置包括: 保存單元，用于接收入侵防御系統IPS設備發送的攻擊報文，并保存； 獲得單元，用于從所述特征分析設備保存的攻擊報文中，獲得屬于同一類型的攻擊報文； 確定單元，用于確定屬于同一類型的攻擊報文對應的第一攻擊特征； 發送單元，用于向所述IPS設備發送第一攻擊特征，以使所述IPS設備將所述第一攻擊特征更新到網絡攻擊特征庫中。7.根據權利要求6所述的裝置，其特征在于， 所述獲得單元，具體用于獲得所述特征分析設備保存的每個攻擊報文對應的第二攻擊特征;針對獲得的每個第二攻擊特征，統計所述第二攻擊特征對應的攻擊報文的第一數量；如果所述第一數量大于第一預設閾值，則將所述第二攻擊特征對應的攻擊報文確定為屬于同一類型的攻擊報文;或者， 所述獲得單元，具體用于獲得所述特征分析設備保存的每個攻擊報文對應的第二攻擊特征;將所述第二攻擊特征是預設攻擊特征的攻擊報文確定為屬于同一類型的攻擊報文；或者， 所述獲得單元，具體用于獲得所述特征分析設備保存的每個攻擊報文對應的源網際協議IP地址;針對獲得的每個源IP地址，統計所述源IP地址對應的攻擊報文的第二數量;如果所述第二數量大于第二預設閾值，則將所述源IP地址對應的攻擊報文確定為屬于同一類型的攻擊報文。8.根據權利要求7所述的裝置，其特征在于，所述攻擊報文中攜帶有第二攻擊特征的標記，所述第二攻擊特征的標記是當IPS設備檢測到攻擊報文具有所述第二攻擊特征時，添加到所述攻擊報文中的標記。9.根據權利要求6所述的裝置，其特征在于，所述確定單元，包括: 獲得子單元，用于獲得所述屬于同一類型的攻擊報文中的所有特征； 統計子單元，用于針對獲得的每個特征，從所述屬于同一類型的攻擊報文中統計出具有該特征的攻擊報文的第三數量； 確定子單元，用于如果所述第三數量大于第三預設閾值，則將該特征確定為第一攻擊特征。10.—種網絡攻擊特征庫的更新裝置，所述裝置應用于入侵防御系統IPS設備上，其特征在于，所述裝置包括: 檢測單元，用于對接收到的報文進行檢測，以判斷所述報文中是否包含網絡攻擊特征庫中的攻擊特征； 發送單元，用于當判斷結果為是時，則確定所述報文是攻擊報文，并將所述攻擊報文發送給特征分析設備，以使所述特征分析設備利用所述攻擊報文確定第一攻擊特征； 更新單元，用于接收所述特征分析設備發送的第一攻擊特征，并將所述第一攻擊特征添加到所述網絡攻擊特征庫中。
【文檔編號】G06F17/30GK105939328SQ201610056873
【公開日】2016年9月14日
【申請日】2016年1月27日
【發明人】張聞聞, 張寧
【申請人】杭州迪普科技有限公司