[发明专利]网络安全设备中的动态策略供应

权利要求书

1.一种用于网络安全的方法，所述方法包括：

利用网络的网络安全设备接收网络信息流通量；

利用所述网络安全设备将第一策略应用于所述网络信息 流通量，以检测第一组网络攻击，其中，所述第一策略识别与 所述第一组网络攻击相对应的第一组攻击模式；

利用所述网络安全设备监视与所述网络安全设备的一个 或多个内部资源的利用相对应的参数；

利用所述网络安全设备，以用于所述网络安全设备的一 个或多个内部资源的利用的监视参数为基础动态地确定何时 将第二策略应用于所述网络信息流通量的至少一部分；

利用所述网络安全设备，基于动态确定将所述第二策略 应用于所述网络信息流通量的至少一部分，以检测第二组网络 攻击，其中，所述第二策略识别与所述第二组网络攻击相对应 的第二组攻击模式，以及其中，所述第一组攻击模式和所述第 二组攻击模式识别至少一个不同的攻击模式；以及

利用所述网络安全设备，基于所述第二策略的应用来传 送所述网络信息流通量的至少一部分。

2.根据权利要求1所述的方法，

其中，所述网络安全设备内部包括用于处理新数据包流 的初始数据包的第一路径和用于处理现有数据包流的数据包 的快速路径，

其中，所述第二策略指定将所述第二组攻击模式应用于 所述快速路径的所述初始数据包而不应用于所述第一路径的 数据包。

3.根据权利要求1所述的方法，还包括：

配置阈值，通过所述阈值来确定何时动态地应用所述第 二策略，

其中，动态地确定是否应用所述第二策略包括：

基于所述参数计算以用于所述网络安全设备的一个或多 个内部资源的利用的监视参数为基础表示所述网络的条件的 指示符；

将所述指示符与所述阈值进行比较；以及

当所述指示符等于或大于所述阈值时，动态地选择所述 第二策略。

4.根据权利要求3所述的方法，

其中，所述第一组攻击模式包括攻击模式的所有组，

其中，所述第一组网络攻击包括已知网络攻击的所有组，

其中，所述第二组网络攻击包括已知网络攻击的所有组 的子组，以及

其中，所述第二策略识别与网络攻击的所有组的子组相 对应的攻击模式的所有组的子组。

5.根据权利要求1所述的方法，其中，所述第一组攻击模式包括 与所述第二组网络攻击和网络攻击的附加组相对应的所述第 二组攻击模式和攻击模式的附加组。

6.根据权利要求1所述的方法，

其中，动态地确定是否应用所述第二策略包括：

基于所述参数计算表示所述网络的条件的指示符；以及

基于所述指示符执行确定是否应用所述第二策略的管理 算法，以及

其中，应用所述第二策略包括：基于所述管理算法的执 行将所述第二策略应用于所有的网络信息流通量。

7.根据权利要求1所述的方法，还包括：

利用所述网络安全设备，基于所述参数动态地确定是否 应用第三策略，所述第三策略与所述第一策略和所述第二策略 的不同之处在于，所述第三策略识别与所述第一组攻击模式和 所述第二组攻击模式不同的至少一个攻击模式；

利用所述网络安全设备，基于是否应用所述第三策略的 动态确定，将所述第三策略应用于所述网络信息流通量；以及

利用所述网络安全设备，基于所述第三策略的应用来传 送所述网络信息流通量。