[发明专利]IPS检测处理方法、网络安全设备和系统

说明书

技术领域

本发明实施例涉及入侵防御系统(Intrusion Prevention System，以下简称：IPS)检测技术，尤其涉及一种IPS检测处理方法、网络安全设备和系统。

背景技术

IPS是一种防御网络流量威胁的系统，其可以对网络中的威胁，例如蠕虫、木马、僵尸、系统漏洞等进行准确识别和防御。该IPS可以被部署在防火墙等设备上，从而为对客户端或者服务器的安全进行防御。

具体来说，在现有的IPS设备上保存有一签名规则库，该签名规则库中存储有预先对网络中的威胁流量进行分析后提取的特征信息，该特征信息即为签名规则。在进行IPS防御时，IPS设备可以将签名规则库中的所有签名规则编译成一个状态机，该IPS设备在对网络流量进行检测时，该IPS设备可以将该网络流量的特征与状态机中的各状态进行比较，从而确定该网络流量是否是威胁流量，进而对其防御对象的安全进行防御。

但是，随着威胁流量的特征信息不断增加，签名规则库中存储的签名规则的数量也不断增加，导致生成的状态机较为庞大，进而导致对网络流量进行IPS检测时的检测效率降低。

发明内容

本发明实施例提供一种IPS检测处理方法、网络安全设备和系统，以提高IPS检测时的检测效率。

本发明实施例提供一种IPS检测处理方法，包括：

网络安全设备确定内网设备是客户端还是服务器，所述网络安全设备部署于内网设备和外网设备之间，用于保护内网设备的安全；

若为客户端，则所述网络安全设备将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；

所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。

本发明实施例提供一种网络安全设备，部署于内网设备和外网设备之间，用于保护内网设备的安全，所述网络安全设备包括：

确定模块，用于确定内网设备是客户端还是服务器；

规则库处理模块，用于若所述确定模块确定为客户端，则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若所述确定模块确定为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；

流量检测模块，用于根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。

本发明实施例提供一种网络安全系统，包括：客户端、服务器和与所述客户端和服务器连接的网络安全设备，其中，所述网络安全设备采用上述的网络安全设备。

本发明实施例，网络安全设备可以确定其所保护的内网设备是客户端还是服务器，并且可以根据确定结果，对IPS签名规则库进行简化，并且根据简化后的IPS签名规则库生成状态机，从而在进行IPS检测时，可以采用去除了冗余状态后的状态机进行IPS检测，从而可以提高IPS检测效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明IPS检测处理方法实施例一的流程图；

图2为本发明IPS检测处理方法实施例二的流程图；

图3为本发明IPS检测处理方法实施例三的流程图；

图4为本发明IPS检测处理方法实施例四的流程图；

图5为本发明网络安全设备实施例一的结构示意图；

图6为本发明网络安全设备实施例二的结构示意图；

图7为本发明网络安全设备实施例四的结构示意图；

图8为本发明网络安全系统实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明IPS检测处理方法实施例一的流程图，如图1所示，本实施例的方法可以包括：

步骤101、确定内网设备是客户端还是服务器。