一种基于应用的入侵防御系统IPS实现方法及系统.pdf

上传人：a3

文档编号：4841086

上传时间：2018-11-17

格式：PDF

页数：6

大小：809.77KB

《一种基于应用的入侵防御系统IPS实现方法及系统.pdf》由会员分享，可在线阅读，更多相关《一种基于应用的入侵防御系统IPS实现方法及系统.pdf（6页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104052738 A (43)申请公布日 2014.09.17 CN 104052738 A (21)申请号 201410218461.6 (22)申请日 2014.05.22 H04L 29/06(2006.01) (71)申请人汉柏科技有限公司地址 300384 天津市华苑产业区海泰西 18 号西 3 楼 104 室 (72)发明人张辉 (74)专利代理机构北京路浩知识产权代理有限公司 11002 代理人李迪 (54) 发明名称一种基于应用的入侵防御系统 IPS 实现方法及系统 (57) 摘要本发明提供了一种基于应用的入侵防御系统 IPS 实现。

2、方法及系统，该方法包括： S1. 通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控； S2. 将检测到的应用流量按流量大小进行排名； S3. 动态激活与当前流量排名结果中前 N 名的应用相对应的 IPS 特征库成员组， N 值为预先设定；同时将其他已激活的 IPS 特征库成员组置为待激活状态；再次执行步骤 S1。本发明能够有效的平衡防火墙的性能与入侵防御功能。 (51)Int.Cl. 权利要求书 1 页说明书 3 页附图 1 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书1页说明书3页附图1页 (10)申请公布号。

3、CN 104052738 A CN 104052738 A 1/1 页 2 1. 一种基于应用的入侵防御系统 IPS 实现方法，其特征在于，该方法包括： S1. 通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控； S2. 将检测到的应用流量按流量大小进行排名； S3. 动态激活与当前流量排名结果中前 N 名的应用相对应的 IPS 特征库成员组， N 值为预先设定；同时将其他已激活的 IPS 特征库成员组置为待激活状态；再次执行步骤 S1。 2. 根据权利要求 1 所述的方法，其特征在于，所述方法还包括：将应用流量的排名结果发送给管理员，引导管理员手。

4、动修改 IPS 特征库成员组的激活状态。 3.根据权利要求2所述的方法，其特征在于，所述引导管理员手动修改IPS特征库成员组的激活状态包括：将已激活的 IPS 特征库成员更改为待激活状态，并将当前流量排名结果前 N 名应用中的一种或多种应用相对应的 IPS 特征库成员组激活。 4. 一种基于应用的入侵防御系统 IPS 实现系统，其特征在于，该系统包括：应用流量监控模块，用于通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控；流量排序模块，用于将检测到的应用流量按流量大小进行排名； IPS特征库激活模块，用于动态激活与当前流量排名结果中前N名的应用。

5、相对应的IPS 特征库成员组， N 值为预先设定；同时将其他已激活的 IPS 特征库成员组置为待激活状态。权利要求书 CN 104052738 A 2 1/3 页 3 一种基于应用的入侵防御系统 IPS 实现方法及系统技术领域 0001 本发明涉及计算机技术领域，具体涉及一种基于应用的入侵防御系统 IPS 实现方法及系统。背景技术 0002 IPS(Intrusion Prevention System 入侵防御系统 ) 目前是很多防火墙设备的主要模块，开启该功能后进入设备的流量会与 IPS 特征库里面的每一条特征进行匹配，如果匹配中，则会按照预先设定好的动作对。

6、流量进行处理。这样虽然有效的拦截了一些威胁，但也将会减慢流量的传输速度，降低了防火墙设备的性能。而用户最想看到的结果是既能有效阻拦网络中的威胁，又能保证防火墙的性能，那么这就需要一种平衡。发明内容 0003 针对现有技术的不足，本发明提供一种基于应用的入侵防御系统 IPS 实现方法及系统，能够有效的平衡防火墙的性能与入侵防御功能。 0004 为实现上述目的，本发明通过以下技术方案予以实现： 0005 一种基于应用的入侵防御系统 IPS 实现方法，该方法包括： 0006 S1. 通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控； 0007 S2. 将。

7、检测到的应用流量按流量大小进行排名； 0008 S3. 动态激活与当前流量排名结果中前 N 名的应用相对应的 IPS 特征库成员组， N 值为预先设定；同时将其他已激活的IPS特征库成员组置为待激活状态；再次执行步骤S1。 0009 优选地，所述方法还包括： 0010 将应用流量的排名结果发送给管理员，引导管理员手动修改 IPS 特征库成员组的激活状态。 0011 优选地，所述引导管理员手动修改 IPS 特征库成员组的激活状态包括： 0012 将已激活的 IPS 特征库成员更改为待激活状态，并将当前流量排名结果前 N 名应用中的一种或多种应用相对应的 IPS 特征库成。

8、员组激活。 0013 一种基于应用的入侵防御系统 IPS 实现系统，该系统包括： 0014 应用流量监控模块，用于通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控； 0015 流量排序模块，用于将检测到的应用流量按流量大小进行排名； 0016 IPS 特征库激活模块，用于动态激活与当前流量排名结果中前 N 名的应用相对应的 IPS 特征库成员组， N 值为预先设定；同时将其他已激活的 IPS 特征库成员组置为待激活状态。 0017 本发明至少具有如下的有益效果： 0018 本发明是基于应用识别来实现动态激活 IPS 特征库成员的方法，该方法相对于传统。

9、一直激活着所有特征库成员的方法，具有更加灵活和高效的特点，系统流量只与同类应说明书 CN 104052738 A 3 2/3 页 4 用的 IPS 特征库成员进行匹配，使得在满足入侵防御功能的同时，有效的优化了防火墙的性能。本发明能够平衡防火墙的性能与入侵防御功能。附图说明 0019 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。 0020 图 1 是本发。

10、明实施例中基于应用的入侵防御系统 IPS 实现方法的流程图； 0021 图 2 是本发明实施例中基于应用的入侵防御系统 IPS 实现系统的结构示意图。具体实施方式 0022 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。 0023 参见图 1，本发明实施例提出了一种基于应用的入侵防御系统 IPS 实现方法，。

11、包括如下步骤： 0024 步骤 101 ：通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控。 0025 在本步骤中，防火墙通过基于应用的流可视策略对当前网络环境中的应用流量进行监控。 0026 步骤 102 ：将检测到的应用流量按流量大小进行排名。 0027 在本步骤中，防火墙将检测到的应用流量按流量大小进行排名。 0028 步骤 103 ：动态激活与当前流量排名结果中前 N 名的应用相对应的 IPS 特征库成员组；同时将其他已激活的 IPS 特征库成员组置为待激活状态；再次执行步骤 101。 0029 在本步骤中，防火墙根据流可视策略中的统计排名情。

12、况，动态激活与当前流量排名结果中前 N 名应用相对应的 IPS 特征库成员组， N 值为预先设定， N 的取值需要根据对性能和防御能力的要求确定，通常 N 的取值为 1-3 中的任意一个整数。同时还可以通过监控结果引导管理员手动修改 IPS 特征库的激活项，例如选择与当前流量排名结果前 N 名应用中的一种或多种应用相对应的 IPS 特征库成员组激活，这样可以让后续的流量只去匹配排名前 N 名应用或前 N 名应用中的一种或多种应用对应的 IPS 特征库成员，而不再匹配特征库中其他无关的特征成员，从而有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。 00。

13、30 所述引导管理员手动修改 IPS 特征库成员组的激活状态包括： 0031 将已激活的 IPS 特征库成员更改为待激活状态，并将当前流量排名结果前 N 名应用中的一种或多种应用相对应的 IPS 特征库成员组激活。 0032 本发明实施例通过基于应用的流可视策略对当前网络环境中的流量进行实时监控，并将检测到的应用流量按照流量大小进行排名，根据当前网络环境中各种应用的流量说明书 CN 104052738 A 4 3/3 页 5 排名顺序动态激活流量排名靠前的应用所对应的 IPS 特征库成员，这样可以让流量较大的同类型应用的后续的流量只去匹配该类应用的 IPS 特征库成员，。

14、而不再匹配特征库中其他无关的特征成员，从而有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。 0033 基于应用识别来实现动态激活 IPS 特征库成员的方法，该方法相对于传统一直激活着所有特征库成员的方法，具有更加灵活和高效的特点，系统流量只与同类应用的 IPS 特征库成员进行匹配，使得在满足入侵防御功能的同时，有效的优化了防火墙的性能。本发明能够平衡防火墙的性能与入侵防御功能。 0034 参见图 2，本发明另一个实施例还提出了一种基于应用的入侵防御系统 IPS 实现系统，包括： 0035 应用流量监控模块 201，用于通过基于应用的流可视策略对。

15、当前网络环境中的应用流量进行实时监控； 0036 流量排序模块 202，用于将检测到的应用流量按流量大小进行排名； 0037 IPS特征库激活模块203，用于动态激活与当前流量排名结果中前N名的应用相对应的 IPS 特征库成员组；同时将其他已激活的 IPS 特征库成员组置为待激活状态。 0038 在 IPS 特征库激活模块中，防火墙根据流可视策略中的统计排名情况，动态激活与当前流量排名结果中前 N 名应用相对应的 IPS 特征库成员组， N 值为预先设定。这样可以让后续的同类型的流量只去匹配该类应用的 IPS 特征库成员，而不再匹配特征库中其他无关的特征成员，从而。

16、有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。 0039 本发明实施例所述系统通过应用流量监控模块对当前网络环境中的流量进行实时监控，并利用流量排序模块将检测到的应用流量按照流量大小进行排名，最后由 IPS 特征库激活模块将当前网络中流量排名靠前的应用所对应的 IPS 特征库成员激活，这样可以让流量较大的同类型应用的后续的流量只去匹配该类应用的 IPS 特征库成员，而不再匹配特征库中其他无关的特征成员，从而有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。 0040 基于应用识别来实现动态激活 IPS 特征库成员的系统，相对于传统一直。

17、激活着所有特征库成员，具有更加灵活和高效的特点，系统流量只与同类应用的 IPS 特征库成员进行匹配，使得在满足入侵防御功能的同时，有效的优化了防火墙的性能。本发明实施例能够平衡防火墙的性能与入侵防御功能。 0041 以上实施例仅用于说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。说明书 CN 104052738 A 5 1/1 页 6 图 1 图 2 说明书附图 CN 104052738 A 6 。

摘要
申请专利号：	CN201410218461.6	申请日：	2014.05.22
公开号：	CN104052738A	公开日：	2014.09.17
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04L 29/06申请公布日:20140917\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20140522\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	汉柏科技有限公司
发明人：	张辉
地址：	300384 天津市华苑产业区海泰西18号西3楼104室
优先权：
专利代理机构：	北京路浩知识产权代理有限公司 11002	代理人：	李迪
PDF完整版下载：	PDF下载

内容摘要

本发明提供了一种基于应用的入侵防御系统IPS实现方法及系统，该方法包括：S1.通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控；S2.将检测到的应用流量按流量大小进行排名；S3.动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组，N值为预先设定；同时将其他已激活的IPS特征库成员组置为待激活状态；再次执行步骤S1。本发明能够有效的平衡防火墙的性能与入侵防御功能。

权利要求书

权利要求书1. 一种基于应用的入侵防御系统IPS实现方法，其特征在于，该方法包括：S1.通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控；S2.将检测到的应用流量按流量大小进行排名；S3.动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组，N值为预先设定；同时将其他已激活的IPS特征库成员组置为待激活状态；再次执行步骤S1。2. 根据权利要求1所述的方法，其特征在于，所述方法还包括：将应用流量的排名结果发送给管理员，引导管理员手动修改IPS特征库成员组的激活状态。3. 根据权利要求2所述的方法，其特征在于，所述引导管理员手动修改IPS特征库成员组的激活状态包括：将已激活的IPS特征库成员更改为待激活状态，并将当前流量排名结果前N名应用中的一种或多种应用相对应的IPS特征库成员组激活。4. 一种基于应用的入侵防御系统IPS实现系统，其特征在于，该系统包括：应用流量监控模块，用于通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控；流量排序模块，用于将检测到的应用流量按流量大小进行排名；IPS特征库激活模块，用于动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组，N值为预先设定；同时将其他已激活的IPS特征库成员组置为待激活状态。

说明书

说明书一种基于应用的入侵防御系统IPS实现方法及系统
技术领域
本发明涉及计算机技术领域，具体涉及一种基于应用的入侵防御系统IPS实现方法及系统。
背景技术
IPS(Intrusion Prevention System入侵防御系统)目前是很多防火墙设备的主要模块，开启该功能后进入设备的流量会与IPS特征库里面的每一条特征进行匹配，如果匹配中，则会按照预先设定好的动作对流量进行处理。这样虽然有效的拦截了一些威胁，但也将会减慢流量的传输速度，降低了防火墙设备的性能。而用户最想看到的结果是既能有效阻拦网络中的威胁，又能保证防火墙的性能，那么这就需要一种平衡。
发明内容
针对现有技术的不足，本发明提供一种基于应用的入侵防御系统IPS实现方法及系统，能够有效的平衡防火墙的性能与入侵防御功能。
为实现上述目的，本发明通过以下技术方案予以实现：
一种基于应用的入侵防御系统IPS实现方法，该方法包括：
S1.通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控；
S2.将检测到的应用流量按流量大小进行排名；
S3.动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组，N值为预先设定；同时将其他已激活的IPS特征库成员组置为待激活状态；再次执行步骤S1。
优选地，所述方法还包括：
将应用流量的排名结果发送给管理员，引导管理员手动修改IPS 特征库成员组的激活状态。
优选地，所述引导管理员手动修改IPS特征库成员组的激活状态包括：
将已激活的IPS特征库成员更改为待激活状态，并将当前流量排名结果前N名应用中的一种或多种应用相对应的IPS特征库成员组激活。
一种基于应用的入侵防御系统IPS实现系统，该系统包括：
应用流量监控模块，用于通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控；
流量排序模块，用于将检测到的应用流量按流量大小进行排名；
IPS特征库激活模块，用于动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组，N值为预先设定；同时将其他已激活的IPS特征库成员组置为待激活状态。
本发明至少具有如下的有益效果：
本发明是基于应用识别来实现动态激活IPS特征库成员的方法，该方法相对于传统一直激活着所有特征库成员的方法，具有更加灵活和高效的特点，系统流量只与同类应用的IPS特征库成员进行匹配，使得在满足入侵防御功能的同时，有效的优化了防火墙的性能。本发明能够平衡防火墙的性能与入侵防御功能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1是本发明实施例中基于应用的入侵防御系统IPS实现方法的流程图；
图2是本发明实施例中基于应用的入侵防御系统IPS实现系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
参见图1，本发明实施例提出了一种基于应用的入侵防御系统IPS实现方法，包括如下步骤：
步骤101：通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控。
在本步骤中，防火墙通过基于应用的流可视策略对当前网络环境中的应用流量进行监控。
步骤102：将检测到的应用流量按流量大小进行排名。
在本步骤中，防火墙将检测到的应用流量按流量大小进行排名。
步骤103：动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组；同时将其他已激活的IPS特征库成员组置为待激活状态；再次执行步骤101。
在本步骤中，防火墙根据流可视策略中的统计排名情况，动态激活与当前流量排名结果中前N名应用相对应的IPS特征库成员组，N值为预先设定，N的取值需要根据对性能和防御能力的要求确定，通常N的取值为1-3中的任意一个整数。同时还可以通过监控结果引导管理员手动修改IPS特征库的激活项，例如选择与当前流量排名结果前N名应用中的一种或多种应用相对应的IPS特征库成员组激活，这样可以让后续的流量只去匹配排名前N名应用或前N名应用中的一种或多种应用对应的IPS特征库成员，而不再匹配特征库中其他无关的特征成员，从而有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。
所述引导管理员手动修改IPS特征库成员组的激活状态包括：
将已激活的IPS特征库成员更改为待激活状态，并将当前流量排名结果前N名应用中的一种或多种应用相对应的IPS特征库成员组激活。
本发明实施例通过基于应用的流可视策略对当前网络环境中的流量进行实时监控，并将检测到的应用流量按照流量大小进行排名，根据当前网络环境中各种应用的流量排名顺序动态激活流量排名靠前的应用所对应的IPS特征库成员，这样可以让流量较大的同类型应用的后续的流量只去匹配该类应用的IPS特征库成员，而不再匹配特征库中其他无关的特征成员，从而有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。
基于应用识别来实现动态激活IPS特征库成员的方法，该方法相对于传统一直激活着所有特征库成员的方法，具有更加灵活和高效的特点，系统流量只与同类应用的IPS特征库成员进行匹配，使得在满足入侵防御功能的同时，有效的优化了防火墙的性能。本发明能够平衡防火墙的性能与入侵防御功能。
参见图2，本发明另一个实施例还提出了一种基于应用的入侵防御系统IPS实现系统，包括：
应用流量监控模块201，用于通过基于应用的流可视策略对当前网络环境中的应用流量进行实时监控；
流量排序模块202，用于将检测到的应用流量按流量大小进行排名；
IPS特征库激活模块203，用于动态激活与当前流量排名结果中前N名的应用相对应的IPS特征库成员组；同时将其他已激活的IPS特征库成员组置为待激活状态。
在IPS特征库激活模块中，防火墙根据流可视策略中的统计排名情况，动态激活与当前流量排名结果中前N名应用相对应的IPS特征库成员组，N值为预先设定。这样可以让后续的同类型的流量只去匹配该类应用的IPS特征库成员，而不再匹配特征库中其他无关的特征成员，从而有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。
本发明实施例所述系统通过应用流量监控模块对当前网络环境中的流量进行实时监控，并利用流量排序模块将检测到的应用流量按照流量大小进行排名，最后由IPS特征库激活模块将当前网络中流量排名靠前的应用所对应的IPS特征库成员激活，这样可以让流量较大的同类型应用的后续的流量只去匹配该类应用的IPS特征库成员，而不再匹配特征库中其他无关的特征成员，从而有效的优化了防火墙的性能，做到了防火墙性能与入侵防御功能的平衡。
基于应用识别来实现动态激活IPS特征库成员的系统，相对于传统一直激活着所有特征库成员，具有更加灵活和高效的特点，系统流量只与同类应用的IPS特征库成员进行匹配，使得在满足入侵防御功能的同时，有效的优化了防火墙的性能。本发明实施例能够平衡防火墙的性能与入侵防御功能。
以上实施例仅用于说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。