本申请要求于 2012 年 6 月 13 日提交中国专利局、 申请号为 201210194352.6、 发明名称为 "签名规则的处理方法、 服务器及入侵 防御系统" 的中国专利申请的优先权， 其全部内容通过引用结合在 本申请中。

技术领域

本发明涉及网络安全系统领域， 特别涉及一种签名规则的处理方法、 服务器及入侵防御系统。 背景技术

随着电脑的广泛应用和网络的不断普及， 来自网络内部和外部的 威胁越来越多， 从而造成了网络资源滥用， 网络瘫痪， 用户私密数据 泄漏等问题的出现。 为了提供有效的网络安全保护， 防止网络内部和 外部的攻击 ， 需要在 网 络中部署安全设备， 如 IPS (Intrusion Prevention System, 入侵防御系统）， 防火墙等。

当前的安全设备主要采用签名特征扫描的方法 检测网络攻击， 病 毒， 蠕虫， 恶意软件等。 研究人员通过分析漏洞， 病毒， 蠕虫， 恶意 软件等的签名特征， 提取特征生成签名特征库并发布， 安全设备根据 部署场景及自身资源配置加载签名规则， 并根据加载的签名规则， 进 行扫描检测， 完成网络攻击， 病毒， 蠕虫， 恶意软件等的检测，并对检 测到的攻击， 病毒， 蠕虫， 恶意软件等进行阻断， 清洗或告警等动作。

然而， 现有技术中， 一方面， 由于 CPU (Central Processing Unit, 中央处理器）资源的限制以及不同的部署场景 ， 安全设备不加载所有的 签名规则， 而是根据配置部分的加载签名规则， 并且签名的规则的配 置完全由操作员根据经验决定。 另一方面， 不同区域不同行业内的不 同安全设备加载的签名规则存在差异， 当出现问题时， 只有加载了对 应签名规则的安全设备才受保护， 没有加载的安全设备不受保护， 因 此现有技术中的安全设备的保护能力还不理想 。 发明内容

本发明实施例提供一种签名规则的处理方法、 服务器及入侵防御系 统， 实现了安全设备之间进行签名规则信息共享， 提升了安全设备的保 护能力。

本发明实施例提供一种签名规则的处理方法， 包括：

云服务器接收与其连接的各个安全设备分别发 送的所述各个安全设 备的签名规则使用状态信息，所述签名规则使 用状态信息用于表示所述各 个安全设备的签名规则在整个网络的使用状态 ； 云服务器发布的最新签名规则集合进行关联分 析后，获取最活跃的威胁签 名规则标识码 I D列表；

所述云服务器根据所述最活跃的威胁签名规则 标识码 I D列表，生成与 所述各个安全设备分别对应的更新信息；

所述云服务器将所述更新信息分别发送给所述 各个安全设备，以使所 述各个安全设备根据所述更新信息分别进行签 名规则的更新。

本发明实施例还提供一种服务器， 包括：

接收单元，用于接收与其连接的各个安全设备 分别发送的所述各个安 全设备的签名规则使用状态信息，以及将所述 各个安全设备的签名规则使 用状态信息传输给分析获取单元， 其中， 所述签名规则使用状态信息用于 表示所述各个安全设备的签名规则在整个网络 的使用状态；

分析获取单元，用于从所述接收单元接收所述 各个安全设备的签名规 则使用状态信息，将所述各个安全设备的签名 规则使用状态信息和最新签 名规则集合进行关联分析后， 获取最活跃的威胁签名规则标识码 I D列表， 以及将所述最活跃的威胁签名规则标识码 I D列表发送给生成单元； 生成单元，用于从所述分析获取单元接收所述 最活跃的威胁签名规则 标识码 I D列表，根据所述最活跃的威胁签名规则标识� � I D列表生成与所述 各个安全设备分别对应的更新信息，以及将所 述更新信息传输给第一发送 单元；

第一发送单元， 用于从所述生成单元接收所述更新信息， 将所述更新 信息分别发送给与所述更新信息分别对应的所 述各个安全设备，以使所述 各个安全设备根据所述更新信息进行签名规则 的更新。

本发明实施例还提供一种入侵防御系统， 包括： 云服务器和与所述 云服务器通信连接的至少一个安全设备， 其中，

所述云服务器，用于接收与其连接的各个安全 设备分别发送的所述各 个安全设备的签名规则使用状态信息；将所述 各个安全设备的签名规则使 用状态信息和所述云服务器发布的最新签名规 则集合进行关联分析后，获 取最活跃的威胁签名规则标识码 I D列表；根据所述最活跃的威胁签名规则 标识码 I D列表， 生成与所述各个安全设备分别对应的更新信息 ； 将所述更 新信息分别发送给所述各个安全设备； 态信息，所述签名规则使用状态信息用于表示 所述安全设备的签名规则在 整个网络的使用状态； 在接收到所述云服务器发送的更新信息后， 根据所 述更新信息进行签名规则的更新。 云服务器通过将与其连接的各个安全设备的签 名规则使用状态信息和云 服务器发布的最新签名规则集合进行关联分析 ，获取最活跃的威胁签名规 则标识码 I D列表，并根据最活跃的威胁签名规则标识码 I D列表生成更新信 息后， 云服务器将更新信息发送给各个安全设备进行 签名规则的更新。 本 发明实施例通过云服务器为安全设备提供实时 签名规则更新信息， 实 现了安全设备之间进行签名规则信息共享的同 时， 提升了安全设备的 保护能力。 附图说明

为了更清楚地说明本发明实施例中的技术方案 ，下面将对实施例或现 有技术描述中所需要使用的附图作筒单地介绍 ， 显而易见地， 下面描述中 的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不 付出创造性劳动的前提下， 还可以根据这些附图获得其它的附图。

图 1为本发明实施例提供的一种签名规则的处理� �法流程图； 图 2为本发明实施例提供的一种服务器的结构示� �图；

图 3为本发明实施例提供的另一种签名规则的处� �方法流程图； 图 4为本发明实施例提供的一种安全设备的结构� �意图；

图 5为本发明实施例提供的系统组网结构图；

图 6为本发明实施例提供的入侵防御系统结构示� �图。 具体实施方式

下面将结合本发明实施例中的附图，对本发明 实施例中的技术方案进 行清楚、完整地描述，显然，所描述的实施例 仅仅是本发明一部分实施例， 而不是全部的实施例。基于本发明中的实施例 ， 本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其它实 施例，都属于本发明保护的 范围。

为使本发明技术方案的优点更加清楚，下面结 合附图和实施例对本发 明作详细说明。

本实施例提供一种签名规则的处理方法， 如图 1所示， 所述方法包括： 101、 云服务器接收与其连接的各个安全设备分别发 送的所述各个安 全设备的签名规则使用状态信息。

其中， 所述签名规则使用状态信息可以包括签名规则 的标志码 I D , 签 名规则在单位时间的命中次数， 签名规则最后一次命中时间， 签名规则的 严重等级， 签名规则的区域号， 签名规则对应的安全设备所属行业号等信 息。

进一步地，云服务器还可以接收与其连接的各 个安全设备发送的各个 安全设备的配置数据。 最新签名规则集合进行关联分析， 获取最活跃的威胁签名规则标识码 I D 列表。

其中，所述活跃的判断标准具体可以根据当前 网络中当前时间段内签 名规则的命中次数或签名规则出现的频率等因 素来判断。

具体地， 云服务器进行关联分析的方式可以有多种， 其中一种可以为 云服务器根据签名规则使用状态信息获取安全 设备中启用的频率比较高 的第一威胁签名规则 I D集合，并且根据签名规则使用状态信息获取� �际网 络流量命中较多的第二威胁签名规则 I D集合；再根据最新签名规则集合获 取危险系数较高的第三威胁签名规则 I D集合， 云服务器取第一、 第二和第 三威胁签名规则 I D集合的并集， 得到一个第四威胁签名规则 I D集合， 然后 将所述第四威胁签名规则 I D集合与所述最新签名规则集合的交集中的各 个签名规则作为最活跃的威胁签名规则，并生 成最活跃的威胁签名规则标 识码 I D列表。

103、 云服务器根据所述最活跃的威胁签名规则标识 码 I D列表， 生成 与所述各个安全设备分别对应的更新信息。

其中， 所述更新信息包括需要进行更新的安全设备 I D、 所述安全设备 名称、 所述安全设备地址、 所述安全设备需要更改的配置、 所述安全设备 需要更新的签名规则 I D集合列表或签名规则集合。当更新信息为安� �设备 需要更新的签名规则 I D集合列表时，所述安全设备从云服务器中下� �与所 述签名规则 I D集合对应的签名规则集合并进行更新。当更� �信息中为安全 设备需要更新的签名规则集合时，所述安全设 备直接根据更新信息进行签 名规则更新。 优选地，云服务器还可以接收到与其连接的各 个安全设备发送的各个 安全设备的配置数据， 此时， 所述云服务器首先分别根据所述各个安全设 备的配置数据得到所述各个安全设备已加载的 签名规则列表，并根据所述 各个安全设备已加载的签名规则列表与所述最 活跃的威胁签名规则标识 码 I D列表， 将所述各个安全设备中， 没有包含所述最活跃的威胁签名规则 I D列表中的所有签名规则的安全设备确定为需� �进行签名规则更新的安 全设备， 并生成与所述需要进行签名规则更新的安全设 备对应的更新信 息。

例如， 有一个威胁 T大量爆发时， A区安全设备加载了此威胁对应的签 名规则， B区安全设备没有加载此威胁的签名规则。 云服务器根据 A区安全 设备上报的签名规则使用状态信息， 判定 T是大量爆发的威胁， 则向 B区安 全设备发送更新信息， B区安全设备收到更新消息后， 即时更新， 即时保 护 B区安全， 从而实现了签名规则在不同设备、 不同地区间的共享。

可替换地，当所述云服务器判断各个安全设备 中存在配置不正确的安 全设备时，所述云服务器生成与所述配置不正 确的安全设备对应的所述更 新信息。 其中， 安全设备配置不正确可能是由于配置沖突、 配置遗漏或者 配置不合理引起的， 例如， 一个安全设备运行的是 L i nux (操作系统） 下 的数据库应用， 下面这些配置方式都是错误的： 只配置了数据库中低威胁 的签名规则没有配置高威胁的签名规则；或者 配置的签名规则在最新的签 名规则集合中已经失效； 或者只配置了数据库的签名规则没有配置 L i nux 的签名规则； 配置的是 Windows (操作系统） 下的数据库的签名规则。

104、 云服务器将所述更新信息分别发送给所述各个 安全设备。

进一步地，以使所述各个安全设备根据所述更 新信息进行签名规则的 更新。

所述云服务器可以自动发送更新信息给安全设 备，以使得安全信息自 行进行更新， 也可以通过电子邮件、 短信等形式通知技术人员， 由人工进 行安全设备配置和签名规则特征库更新。

本发明实施例提供的方法具体可以应用在互联 网安全保护中，具体的 系统组网结构图如图 5所示， 系统组网中可以包括安全设备， 管理安全设 备的操作管理平台， 云服务器中心。 其中， 云服务器中心具体可以包括接 收集群服务器、 签名库发布服务器、 统计分析服务器、 同步更新通知服务 器、 数据库。

具体地，操作管理平台为安全设备配置加载规 则和配置需要加载的签 名规则集合，安全设备通过内置的代理向云服 务器中心中的接收集群服务 器上报安全设备的最新配置数据和签名规则的 使用状态信息，统计分析服 务器根据签名规则的使用状态信息和签名库发 布服务器发布的最新签名 特征库进行关联分析后， 获取最活跃的威胁签名规则 I D列表， 并且根据分 析每个安全设备的配置数据是否全部包含了最 活跃的威胁签名规则 I D列 表， 向同步更新通知服务器发送需要进行更新的安 全设备的更新信息， 以 使得同步更新通知服务器向安全设备发送更新 信息， 其中， 签名规则的使 用状态信息和安全设备的配置数据都可以存储 在数据库中。

本实施例提供一种服务器， 如图 2所示， 所述装置的实体可以为云服 务器， 所述装置包括： 接收单元 21、 分析获取单元 22、 生成单元 23、 第一 发送单元 24、 第二发送单元 25。

接收单元 21 ,可以用于接收与其连接的各个安全设备分别� �送的所述 各个安全设备的签名规则使用状态信息，以及 将所述各个安全设备的签名 规则使用状态信息传输给分析获取单元 22。

其中， 所述签名规则使用状态信息可以包括签名规则 的标志码 I D , 签 名规则在单位时间的命中次数， 签名规则最后一次命中时间， 签名规则的 严重等级， 签名规则的区域号， 签名规则对应的安全设备所属行业号等信 息。所述签名规则使用状态信息用于表示所述 各个安全设备的签名规则的 使用状态。 所述接收单元 21、还可以用于接收所述与其连接的各个安全� ��备分别 发送的所述各个安全设备的配置数据，并将所 述各个安全设备的配置数据 传输给所述生成单元 23。

分析获取单元 22 ,可以用于从所述接收单元 21接收所述各个安全设备 的签名规则使用状态信息，将所述各个安全设 备的签名规则使用状态信息 和最新签名规则集合进行关联分析后，获取最 活跃的威胁签名规则标识码 I D列表，以及将所述最活跃的威胁签名规则标� �码 I D列表发送给生成单元 23。

所述分析获取单元 22具体可以包括： 获取模块 2201、 生成模块 2202、 删除模块 2203。 信息获取所述各个安全设备中启用频率大于预 设频率的第一威胁签名规 则 I D集合，并且根据所述签名规则使用状态信息� �取网络流量中命中次数 大于预设次数的第二威胁签名规则 I D集合，以及根据所述最新签名规则集 合获取危险系数大于预设阀值的第三威胁签名 规则 I D集合。

生成模块 2202 ,可以用于将所述获取模块 2201发送的所述第一威胁签 名规则 I D集合、 所述第二威胁签名规则 I D集合、 所述第三威胁签名规则 I D 集合求并集， 得到第四威胁签名规则 I D集合， 以及将所述第四威胁签名规 则 I D集合传输给删除模块 2203。

删除模块 2203 ,可以用于接收所述生成模块 2202发送的所述第四威胁 签名规则 I D集合，并将所述第四威胁签名规则 I D集合与所述最新签名规则 集合的交集中的签名规则作为最活跃的威胁签 名规则，并生成最活跃的威 胁签名规则标识码 I D列表。

生成单元 23 ,可以用于从所述分析获取单元 22接收所述最活跃的威胁 签名规则标识码 I D列表，根据所述最活跃的威胁签名规则标识� � I D列表生 成与所述各个安全设备分别对应的更新信息， 以及将所述更新信息传输给 第一发送单元 24。

所述生成单元 23 ,具体可以用于接收所述接收单元 21发送的所述各个 安全设备的配置信息，分别根据所述各个安全 设备的配置数据得到所述各 个安全设备已加载的签名规则列表，并通过对 比所述各个安全设备已加载 的签名规则列表与所述最活跃的威胁签名规则 标识码 I D列表，确定出需要 进行签名规则更新的安全设备，并生成与所述 需要进行签名规则更新的安 全设备对应的更新信息， 以及将所述更新信息传输给第二发送单元 25。

第一发送单元 24 , 可以用于从所述生成单元 23接收所述更新信息， 将 所述更新信息分别发送给与所述更新信息分别 对应的所述各个安全设备， 以使所述各个安全设备根据所述更新信息进行 签名规则的更新。

第二发送单元 25 , 可以用于从所述生成单元 23接收所述更新信息， 并 将所述更新信息发送给所述需要进行签名规则 更新的安全设备，以使所述 需要进行签名规则更新的安全设备根据所述更 新信息分别进行签名规则 的更新。

本实施例提供另一种签名规则的处理方法， 如图 3所示， 所述方法包 括： 的签名规则使用状态信息。

其中， 所述签名规则使用状态信息可以包括签名规则 的标志码 I D , 签 名规则在单位时间的命中次数， 签名规则最后一次命中时间， 签名规则的 严重等级， 签名规则的区域号， 签名规则对应的安全设备所属行业号等信 息。 置数据，以使所述云服务器根据所述安全设备 的配置数据和所述最活跃的 威胁签名规则标识码 I D列表， 确定出需要进行签名规则更新的安全设备， 并生成与所述需要进行签名规则更新的安全设 备对应的更新信息。 进一步地，以 侍尸 /f i3L S / 貪^^ 尸 /f

则使用状态信息和所述云服务器发布的最新 签名规则集合，获取最活跃的 威胁签名规则标识码 I D列表后， 生成与所述安全设备对应的更新信息， 其 中，所述签名规则使用状态信息用于表示所述 安全设备的签名规则在整个 网络的使用状态。

302、 所述安全设备接收所述云服务器发送的与所述 安全设备对应的 所述更新信息， 并根据所述更新信息进行签名规则的更新。

其中，所述更新信息包括需要进行更新的安全 设备 I D、安全设备名称、 安全设备地址、 安全设备需要更改的配置、 安全设备需要更新的签名规则 I D集合列表或签名规则集合。

本实施例提供一种安全设备， 所述装置的实体可以为网络安全设备， 如图 4所示， 所述装置包括： 发送单元 41、 接收单元 42。 其中， 所述签名规则使用状态信息可以包括签名规则 的标志码 I D , 签 名规则在单位时间的命中次数， 签名规则最后一次命中时间， 签名规则的 严重等级， 签名规则的区域号， 签名规则对应的安全设备所属行业号等信 息。 置数据， 生成更新信息， 其中， 所述签名规则使用状态信息用于表示签名 规则的使用状态。 据，以使所述云服务器根据安全设备的配置数 据和所述最活跃的威胁签名 规则标识码 I D列表， 确定出需要进行签名规则更新的安全设备， 并生成与 所述需要进行签名规则更新的安全设备对应的 更新信息。

接收单元 42 , 可以用于接收所述云服务器发送的所述更新信 息， 并根 据所述更新信息进行签名规则的更新。 其中，所述更新信息包括需要进行更新的安全 设备 I D、安全设备名称、 安全设备地址、 安全设备需要更改的配置、 安全设备需要更新的签名规则 I D集合列表或签名规则集合。

本实施例还提供一种安全设备入侵防御系统， 如图 6所示， 包括： 云 服务器 61和与所述云服务器通信连接的至少一个安全� ��备 62。

所述云服务器 61 ,用于接收与其连接的各个安全设备分别发送� �所述 各个安全设备的签名规则使用状态信息；将所 述各个安全设备的签名规则 使用状态信息和所述云服务器发布的最新签名 规则集合进行关联分析后， 获取最活跃的威胁签名规则标识码 I D列表；根据所述最活跃的威胁签名规 则标识码 I D列表， 生成与所述各个安全设备分别对应的更新信息 ； 将所述 更新信息分别发送给所述各个安全设备。 用状态信息，所述签名规则使用状态信息用于 表示所述安全设备的签名规 则在整个网络的使用状态； 在接收到所述云服务器 61发送的更新信息后， 根据所述更新信息进行签名规则的更新。 云服务器通过将与其连接的各个安全设备的签 名规则使用状态信息和云 服务器发布的最新签名规则集合进行关联分析 ，获取最活跃的威胁签名规 则标识码 I D列表，并根据最活跃的威胁签名规则标识码 I D列表生成更新信 息后， 云服务器将更新信息发送给各个安全设备进行 签名规则的更新。 本 发明实施例通过云服务器为安全设备提供实时 签名规则更新信息， 实 现了安全设备之间进行签名规则信息共享的同 时， 提升了安全设备的 保护能力。 能实现请参见方法实施例中的说明， 在此不再赘述。 本发明实施例提供的 签名规则的处理方法、服务器及入侵防御系统 可以适用于网络安全系统领 域， 但不仅限于此。

本领域普通技术人员可以理解实现上述实施例 方法中的全部或部分 流程， 是可以通过计算机程序来指令相关的硬件来完 成， 所述的程序可存 储于一计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法 的实施例的流程。 其中， 所述的存储介质可为磁碟、 光盘、 只读存储记忆 体 ( Read-Only Memory , ROM ) 或随机存^ ^己忆体 ( Random Access Memory , RAM ) 等。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局 限于此， 任何熟悉本技术领域的技术人员在本发明揭露 的技术范围内， 可 轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发 明的保护范围应该以权利要求的保护范围为准 。