发明名称 |
一种基于IPS设备的攻击检测方法及IPS设备 |
摘要 |
本发明公开了一种基于IPS设备的攻击检测方法及IPS设备,本发明公开的IPS设备包括:用于根据配置的检测规则进行攻击检测的攻击检测引擎,用于存储检测规则的攻击特征库,还包括:对应关系存储单元,用于存储保护对象标识与检测规则标识的对应关系信息;检测规则配置单元,分别与所述对应关系存储单元、所述攻击特征库和所述攻击检测引擎连接,用于根据所述对应关系存储单元存储的对应关系信息,获取与需要检测的保护对象标识对应的检测规则标识;根据所述攻击特征库获取与该检测规则标识对应的检测规则,并将获取到的检测规则配置到所述攻击检测引擎。采用本发明,可提高检测规则配置的合理性,并且可以兼顾IPS设备的检测效率和性能。 |
申请公布号 |
CN101834760B |
申请公布日期 |
2013.01.30 |
申请号 |
CN201010176876.3 |
申请日期 |
2010.05.20 |
申请人 |
杭州华三通信技术有限公司 |
发明人 |
雷公武 |
分类号 |
H04L12/26(2006.01)I;H04L29/06(2006.01)I |
主分类号 |
H04L12/26(2006.01)I |
代理机构 |
北京鑫媛睿博知识产权代理有限公司 11297 |
代理人 |
龚家骅 |
主权项 |
一种检测规则配置方法,应用于入侵保护系统IPS设备,所述IPS设备中配置有保护对象标识与检测规则标识的对应关系,其特征在于,包括:获取需要检测的保护对象的标识;根据IPS设备中配置的所述对应关系,获取与所述需要检测的保护对象的标识对应的检测规则标识;根据获取到的检测规则标识,配置对应的检测规则;其中,所述获取需要检测的保护对象标识,包括以下之一或任意组合:接收用户提交的保护对象描述信息,根据该保护对象描述信息获取对应的保护对象标识;通过对经过IPS设备的网络报文进行识别,确定出保护对象信息,并根据确定出的保护对象信息获取对应的保护对象标识;通过对IPS设备所保护的网段进行扫描,获取保护对象信息,并根据获取到的保护对象信息获取对应的保护对象标识;接收设备客户端上报的信息,根据该信息确定该设备客户端所具有的保护对象,并根据该保护对象获取对应的保护对象标识。 |
地址 |
310053 浙江省杭州市高新技术产业开发区之江科技工业园六和路310号华为杭州生产基地 |