[发明专利]IPS检测处理方法、网络安全设备和系统

权利要求书

1.一种入侵防御系统IPS检测处理方法，其特征在于，包括：

网络安全设备确定内网设备是客户端还是服务器，所述网络安全设备部署于内网设备和外网设备之间，用于保护内网设备的安全；

若为客户端，则所述网络安全设备将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；

所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。

2.根据权利要求1所述的方法，其特征在于，所述确定内网设备是客户端还是服务器，包括：

所述网络安全设备对流经的流量信息进行统计处理，获取流量特征信息；

根据所述流量特征信息，确定所述内网设备是客户端还是服务器。

3.根据权利要求2所述的方法，其特征在于，所述对流经的流量信息进行统计处理之前，还包括：

根据所述网络安全设备的安全区域配置信息，确定内网接口和外网接口；

所述对流经的流量信息进行统计处理，包括：

对从所述内网接口流入并从所述外网接口流出的流量进行统计处理，并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。

4.根据权利要求2或3所述的方法，其特征在于，所述流量特征信息，包括：从内网流向外网的流量P1以及从外网流向内网的流量P2；

所述根据所述流量特征信息，确定所述内网设备是客户端还是服务器，包括：

若所述流量P1大于所述流量P2，则确定所述内网设备为客户端，若所述流量P1小于等于所述流量P2，则确定所述内网设备为服务器。

5.根据权利要求2或3所述的方法，其特征在于，所述获取流量特征信息，包括：

获取从内网流向外网的流量P1以及从外网流向内网的流量P2，并根据协议特征库中存储的协议特征信息或者流量端口号确定所述流量P1的协议类型和所述流量P2的协议类型；

所述根据所述流量特征信息，确定所述内网设备是客户端还是服务器，包括：

若所述流量P1大于所述流量P2且所述流量P2的协议类型为与服务器对应的协议类型，则确定所述内网设备为客户端，若所述流量P1小于等于所述流量P2且所述流量P1的协议类型为与服务器对应的协议类型，则确定所述内网设备为服务器。

6.根据权利要求1～3中任一项所述的方法，其特征在于，所述将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，包括：

将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态；

所述将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库，包括：

将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。

7.一种网络安全设备，部署于内网设备和外网设备之间，用于保护内网设备的安全，其特征在于，所述网络安全设备包括：

确定模块，用于确定内网设备是客户端还是服务器；

规则库处理模块，用于若所述确定模块确定为客户端，则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若所述确定模块确定为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；

流量检测模块，用于根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。

8.根据权利要求7所述的设备，其特征在于，所述确定模块，包括：

流量统计单元，用于对流经的流量信息进行统计处理，获取流量特征信息；

确定单元，用于根据所述流量统计单元获得的流量特征信息，确定所述内网设备是客户端还是服务器。

9.根据权利要求8所述的设备，其特征在于，还包括：

接口确定模块，用于根据安全区域配置信息，确定内网接口和外网接口；

所述流量统计单元，具体用于对从所述内网接口流入并从所述外网接口流出的流量进行统计处理，并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。