本发明实施例涉及入侵防御系统(Intrusion Prevention System，以下简称 IPS)检测技术，尤其涉及一种IPS检测处理方法、网络安全设备和系统。

  IPS是一种防御网络流量威胁的系统，其可以对网络中的威胁，例如蠕虫、木马、僵尸、系统漏洞等做准确识别和防御。该IPS可以被部署在防火墙等设备上，从而为对客户端或者服务器的安全进行防御。具体来说，在现有的IPS设备上保存有一签名规则库，该签名规则库中存储有预先对网络中的威胁流量做多元化的分析后提取的特征信息，该特征信息即为签名规则。在进行IPS 防御时，IPS设备能将签名规则库中的所有签名规则编译成一个状态机，该IPS设备在对网络流量进行仔细的检测时，该IPS设备能将该网络流量的特征与状态机中的各状态作比较，从而确定该网络流量是否是威胁流量，进而对其防御对象的安全进行防御。但是，随着威胁流量的特征信息持续不断的增加，签名规则库中存储的签名规则的数量也持续不断的增加，导致生成的状态机较为庞大，进而导致对网络流量进行IPS检测时的检测效率降低。

  本发明实施例提供一种IPS检测处理方法、网络安全设备和系统，以提高IPS检测时的检测效率。本发明实施例提供一种IPS检测处理方法，包括网络安全设备确定内网设备是客户端还是服务器，所述网络安全设备部署于内网设备和外网设备之间，用于保护内网设备的安全；若为客户端，则所述网络安全设备将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成状态机， 并应用所述状态机，对流经的流量进行IPS检测。本发明实施例提供一种网络安全设备，部署于内网设备和外网设备之间，用于保护内网设备的安全，所述网络安全设备包括确定模块，用于确定内网设备是客户端还是服务器；规则库处理模块，用于若所述确定模块确定为客户端，则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若所述确定模块确定为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；流量检测模块，用于根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。

  本发明实施例提供一种网络安全系统，包括客户端、服务器和与所述客户端与服务器连接的网络安全设备，其中，所述网络安全设备是采用上述的网络安全设备。本发明实施例，网络安全设备能确定其所保护的内网设备是客户端还是服务器，并且可以根据确定结果，对IPS签名规则库进行简化，并且根据简化后的IPS签名规则库生成状态机，从而在进行IPS检测时，可以采用去除了冗余状态后的状态机进行IPS检测，从而可以提高IPS检测效率。

  为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本发明IPS检测处理方法实施例一的流程图；图2为本发明IPS检测处理方法实施例二的流程图；图3为本发明IPS检测处理方法实施例三的流程图；图4为本发明IPS检测处理方法实施例四的流程图；图5为本发明网络安全设备实施例一的结构示意图；图6为本发明网络安全设备实施例二的结构示意图；图7为本发明网络安全设备实施例四的结构示意图；图8为本发明网络安全系统实施例的结构示意图。

  具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图1为本发明IPS检测处理方法实施例一的流程图，如图1所示，本实施例的方法可以包括步骤101、确定内网设备是客户端还是服务器。网络安全设备，例如防火墙，能确定内网设备是客户端还是服务器。具体来说，网络安全设备一般是针对内网设备进行IPS检测的。但是，在现有技术中，网络安全设备在出厂时，并不区分其所需保护的内网设备是客户端还是服务器，因此， 其内部预设的IPS签名规则库中包含的签名规则既有针对客户端的、又有针对服务器的， 因此，对于内网设备为客户端的情况来说，现有的IPS签名规则库中与服务器对应的签名规则是冗余的，而对于内网设备为服务器的情况来看，现有的IPS签名规则库中与客户端对应的签名规则是冗余的。基于现有这种庞大的IPS签名规则库，其生成的状态机中的状态也相应地存在冗余，因此，在将流量的特征信息与状态机中的各状态进行比较时，其比较效率较低，也即IPS检测效率较低。为此，本实施例中，网络安全设备在部署好后，需要区分其所保护的内网设备是客户端还是服务器，以便于后续对IPS签名规则库中与客户端对应的IPS签名规则库以及与服务器对应的IPS签名规则库进行区分处理。而网络安全设备确定内网设备是客户端还是服务器的具体实现方案可以灵活设计。举例来说，在网络安全设备部署好后，该网络安全设备可以通过其中设定的标识信息来确定目前的部署场景是内网设备为客户端或者服务器等。或者，网络安全设备可以通过测试，确定内网设备为客户端或服务器，例如网络安全设备尝试向内网设备发送各种服务请求消息，若能得到响应消息，则确定内网设备为服务器， 否则为客户端；此外网络安全设备还可以通过发送网管命令，根据反馈的信息确定内网设备为客户端或服务器。本实施例并不对网络安全设备如何区分内网设备是客户端还是服务器的具体实现方案进行限定。步骤102、若为客户端，则将所述IPS签名规则库简化为与所述客户端对应的IPS 签名规则库，或者若为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库。网络安全设备在确定内网设备为客户端时，可以将现有的IPS签名规则库简化为与客户端对应的IPS签名规则库，而对于IPS签名规则库中与服务器对应的签名规则来说， 既可以采用删除的处理方式，又可以采用去激活的处理方式，而去激活方式相对于删除方式来说，该网络安全设备后续还可以通过激活方式，部署在内网设备为服务器的场景。网络安全设备在确定内网设备为服务器时，可以将现有的IPS签名规则库简化为与服务器对应的IPS签名规则库，而对于IPS签名规则库中与客户端对应的签名规则来说， 则既可以采用删除的处理方式，又可以采用去激活的处理方式，而去激活方式相对于删除方式来说，该网络安全设备后续还可以通过激活方式，部署在内网设备为客户端的场景。步骤103、根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。相对于现有网络安全设备采用IPS签名规则库中全部签名规则生成状态机来说， 本实施例中，网络安全设备可以采用简化处理后的IPS签名规则库中的签名规则生成状态机。具体来说，如果内网设备为客户端，则网络安全设备可以采用与客户端对应的IPS签名规则库中的签名规则生成状态机，而如果内网设备为服务器，则网络安全设备可以采用与服务器对应的IPS签名规则库中的签名规则生成状态机。由此可知，网络安全设备采用本实施例的方法生成的状态机去除了现有技术中冗余的状态。在网络安全设备对流经该网络安全设备的流量进行IPS检测时，可以采用去除了冗余状态的状态机进行IPS检测，即将流量的特征信息与去除了冗余状态的状态机中各状态进行比较，其比较效率提高，IPS检测效率也相应提高。本实施例，网络安全设备可以确定其所保护的内网设备是客户端还是服务器，并能根据确定结果，对IPS签名规则库进行简化，并且根据简化后的IPS签名规则库生成状态机，从而在进行IPS检测时，可以采用去除了冗余状态后的状态机进行IPS检测，从而可以提高IPS检测效率。由于客户端通过网络安全设备流向服务器的流量与服务器通过网络安全设备流向客户端的流量，在流量特征上存在一定区别，因此，在具体实现图1所示实施例一时，网络安全设备可以采用流经该网络安全设备的流量信息作为参考，确定内网设备是客户端还是服务器。具体来说，图1所示步骤101可以具体为对流经的流量信息进行统计处理，获取流量特征信息；根据所述流量特征信息，确定内网设备是客户端还是服务器。图2为本发明IPS检测处理方法实施例二的流程图，如图2所示，本实施例的方法可以包括步骤201、根据安全区域配置信息，确定内网接口和外网接口。具体来说，网络安全设备，例如防火墙等，其默认存在以下几个安全域本地域 (以下简称=Local域)、信任域(以下简称=Trust域)、非信任域(以下简称=UnTrust域)、 隔离区域(以下简称DMZ域)。一般来说，安全级别需求较高的区域可以部署在Trust域， 安全级别需求较低的区域可以部署在UnTrust域。内网的安全级别需求较高，因此，内网设备需要部署在Trust域，而外网设备则可以部署在UnTrust域，这些部署信息均可以在用户进行网络部署时记录在该网络安全设备的安全区域配置信息中。举例来说，该网络安全设备具有两个接口，即接口 1和接口 2，而根据该网络安全设备中存储的安全区域配置信息， 该网络安全设备可以获知，接口 1被配置为Trust域，而接口 2被配置为UnTrust域，则该网络安全设备可以获知接口 1为内网接口，接口 2为外网接口。步骤202、对从内网接口流入并从外网接口流出的流量进行统计处理，并对从外网接口流入并从内网接口流出的流量进行统计处理，获取流量特征信息。网络安全设备在确定接口 1为内网接口，接口 2为外网接口后，可以对从接口 1流入并从接口 2流出的流量，即内网设备发送给外网设备的流量进行统计处理，并且还可以对从接口 2流入并从接口 1流出的流量，即外网设备发送给内网设备的流量进行统计处理， 从而可以获取流经该网络安全设备的全部流量的流量特征信息。需要说明的是，本领域技术人员能够准确的通过需求自行设定统计时长，本实施例不做限定。步骤203、根据该流量特征信息，判断内网设备是客户端还是服务器，若是客户端， 则执行步骤204，若是服务器则执行步骤205。网络安全设备在获取该流量特征信息后，则可以根据该流量特征信息判断内网设备是客户端还是服务器，也即该网络安全设备所需保护的设备是客户端还是服务器。该流量特征信息可以包括流量的大小、流量的协议类型、流量流经的端口等，本实施例不做限定。具体来说，由于从客户端发送给服务器的流量与从服务器发送给客户端的流量， 在流量的大小、流量的协议类型、流量流经的端口等特征上存在差别，例如，一般来说，从客户端发送给服务器的流量的大小大于从服务器发送给客户端的流量的大小，而且从客户端流出的流量的协议类型与从服务器流出的流量的协议类型之间也可能存在差异。因此，本实施例中，网络安全设备既可以单独采用上述特征信息进行判断，也可以结合全部特征信息进行判断，显然，结合全部特征信息进行判断的准确率相对较高。步骤204、将IPS签名规则库中与服务器对应的签名规则设为去激活状态，执行步骤 206。如果网络安全设备在步骤203确定内网设备为客户端，则网络安全设备可以将其 IPS签名规则库中与服务器对应的签名规则设为去激活状态，从而只保留与客户端对应的签名规则为激活状态。步骤205、将IPS签名规则库中与客户端对应的签名规则设为去激活状态，执行步骤 207。如果网络安全设备在步骤203确定内网设备为服务器，则网络安全设备可以将其 IPS签名规则库中与客户端对应的签名规则设为去激活状态，从而只保留与服务器对应的签名规则为激活状态。步骤206、根据与客户端对应的IPS签名规则库中的签名规则生成状态机，并应用该状态机，对流经的流量进行IPS检测。步骤207、根据与服务器对应的IPS签名规则库中的签名规则生成状态机，并应用该状态机，对流经的流量进行IPS检测。步骤206和步骤207的实现过程在前述图1所示实施例中已经详细说明，此处不

  再赘述。本实施例，网络安全设备能够使用安全区域配置信息确定内网接口和外网接口， 并进一步通过流经的流量的特征信息确定内网设备是客户端还是服务器，从而能够根据确定结果，对IPS签名规则库进行简化，并且根据简化后的IPS签名规则库生成状态机，从而在进行IPS检测时，可以采用去除了冗余状态后的状态机进行IPS检测，从而能大大的提升IPS 检测效率。下面采用两个具体的实施例对本发明的技术方案进行详细说明。图3为本发明IPS检测处理方法实施例三的流程图，如图3所示，本实施例对图2 所示方法实施例中的步骤203进行了细化，本实施例的方法可以包括步骤301、根据安全区域配置信息，确定内网接口和外网接口。步骤302、对流经的流量信息进行统计处理，获取从内网流向外网的流量Pl以及从外网流向内网的流量P2。步骤303、判断流量Pl是否大于流量P2，若是，则执行步骤304，否则执行步骤 305。步骤304、确定内网设备为客户端，并将IPS签名规则库中与服务器对应的签名规则设为去激活状态，执行步骤306。步骤305、确定内网设备为服务器，并将IPS签名规则库中与客户端对应的签名规则设为去激活状态，执行步骤307。一般来说，服务器不会主动发起流量发送的行为，因此，从客户端到服务器的流量大于从服务器到客户端的流量。因此，如果网络安全设备的统计结果是Pl P2，则可以确定内网设备为客户端，如果Pl P2，则可以确定内网设备为服务器。步骤306、根据与客户端对应的IPS签名规则库中的签名规则生成状态机，并应用该状态机，对流经的流量进行IPS检测。步骤307、根据与服务器对应的IPS签名规则库中的签名规则生成状态机，并应用该状态机，对流经的流量进行IPS检测。本实施例，网络安全设备可以采用安全区域配置信息确定内网接口和外网接口， 并进一步判断从内网流向外网的流量与从外网流向内网的流量之间的大小，从而确定内网设备是客户端还是服务器，进而能够准确的通过确定结果，对IPS签名规则库进行简化，并且根据简化后的IPS签名规则库生成状态机，从而在进行IPS检测时，可以采用去除了冗余状态后的状态机进行IPS检测，从而可以提高IPS检测效率。

  图4为本发明IPS检测处理方法实施例四的流程图，如图4所示，本实施例对图2 所示方法实施例中的步骤203进行了细化，本实施例的办法能够包括步骤401、根据安全区域配置信息，确定内网接口和外网接口。步骤402、对流经的流量信息进行统计处理，获取从内网流向外网的流量Pl以及从外网流向内网的流量P2，并根据协议特征库中存储的协议特征信息或者流量端口号确定流量Pl的协议类型和流量P2的协议类型。步骤403、判断流量Pl是否大于流量P2，若是，则执行步骤404，否则执行步骤 405。步骤404、若流量P2的协议类型为与服务器对应的协议类型，则确定内网设备为客户端，执行步骤406。步骤405、若流量Pl的协议类型为与服务器对应的协议类型，则确定内网设备为服务器，执行步骤407。具体来说，服务器与客户端在支持的协议类型上存在一定区别。以文件传输协议 (File Transfer Protocol，以下简称FTP)来说，服务器除FTP报文之外一般不会主动发送报文，因此在流量Pl大于流量P2的情况下，如果流量P2的协议类型为FTP，则能确定外网设备为服务器，内网设备为客户端。在P2大于Pl的情况下，如果流量Pl的协议类型仅为FTP，则可以确定内网设备为服务器，外网设备为客户端。在具体实现时，有些应用协议还可以使用默认的端口号，例如，超文本传输协议 (HyperText Transfer Protocol，以下简称HTTP)采用的端口号为80，FTP采用的端口号为21，因此，网络安全设备可以根据流量的端口号来确定该流量对应的协议类型，而有些应用协议可以不使用默认端口，对于这种情况就需要协议特征库来识别流量的协议类型。步骤406、将IPS签名规则库中和服务器对应的签名规则设为去激活状态，执行步骤 408。步骤407、将IPS签名规则库中与客户端对应的签名规则设为去激活状态，执行步骤 409。步骤408、根据与客户端对应的IPS签名规则库中的签名规则生成状态机，并应用该状态机，对流经的流量进行IPS检测。步骤409、根据和服务器对应的IPS签名规则库中的签名规则生成状态机，并应用该状态机，对流经的流量进行IPS检测。本实施例，网络安全设备能采用安全区域配置信息确定内网接口和外网接口， 并进一步通过判断从内网流向外网的流量与从外网流向内网的流量之间的大小以及流量的协议类型，来确定内网设备是客户端还是服务器，进而可以根据确定结果，对IPS签名规则库进行简化，并且根据简化后的IPS签名规则库生成状态机，从而在进行IPS检测时，可以采用去除了冗余状态后的状态机进行IPS检测，从而可以提高IPS检测效率。图5为本发明网络安全设备实施例一的结构示意图，如图5所示，本实施例的设备可以包括确定模块11、规则库处理模块12以及流量检测模块13，其中，确定模块11，用于确定内网设备是客户端还是服务器；规则库处理模块12，用于若确定模块11确定为客户端，则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若确定模块 12确定为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；流量检测模块13，用于根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。本实施例的网络安全设备，用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。图6为本发明网络安全设备实施例二的结构示意图，如图6所示，本实施例的设备在图5所示设备结构的基础上，进一步地，还包括接口确定模块14，确定模块11可以包括流量统计单元111和确定单元112，其中，接口确定模块14，用于根据安全区域配置信息，确定内网接口和外网接口 ；流量统计单元111，用于对流经的流量信息进行统计处理， 获取流量特征信息，具体来说，该流量统计单元111，具体用于对从所述内网接口流入并从所述外网接口流出的流量进行统计处理，并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理；确定单元112，用于根据流量统计单元111获得的流量特征信息，确定所述内网设备是客户端还是服务器。规则库处理模块12，具体用于将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态，或者将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。本实施例的网络安全设备，用于执行图2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。在本发明网络安全设备实施例三中，其可以采用图6所示设备结构，本实施例在图6所示网络安全设备实施例二的基础上，流量统计单元111具体用于对流经的流量信息进行统计处理，获取从内网流向外网的流量Pl以及从外网流向内网的流量P2 ；确定单元 112，具体用于若所述流量Pl大于所述流量P2，则确定所述内网设备为客户端，若所述流量 P2小于等于所述流量P1，则确定所述内网设备为服务器。本实施例的网络安全设备，用于执行图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。图7为本发明网络安全设备实施例四的结构示意图，如图7所示，本实施例的设备在图6所示设备结构的基础上，进一步地，还包括协议特征库15，用于存储各协议的协议特征信息；流量统计单元111，具体用于对流经的流量信息进行统计处理，获取从内网流向外网的流量Pl以及从外网流向内网的流量P2，并根据所述协议特征库中存储的协议特征信息或者流量端口号确定所述流量Pl的协议类型和所述流量P2的协议类型；确定单元 112，具体用于若所述流量Pl大于所述流量P2且所述流量P2的协议类型为文件传输协议， 则确定所述内网设备为客户端，若所述流量Pl小于等于所述流量P2且所述流量Pl的协议类型为文件传输协议，则确定所述内网设备为服务器。本实施例的网络安全设备，用于执行图4所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。图8为本发明网络安全系统实施例的结构示意图，如图8所示，本实施例的系统可以包括客户端1、服务器2和与客户端1和服务器2连接的网络安全设备3，其中，该网络安全设备3可以采用上述网络安全设备实施例一 实施例四的结构，其对应地用于执行图 1 图4所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤能够最终靠程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。 最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

  1.一种入侵防御系统IPS检测处理方法，其特征在于，包括网络安全设备确定内网设备是客户端还是服务器，所述网络安全设备部署于内网设备和外网设备之间，用于保护内网设备的安全；若为客户端，则所述网络安全设备将所述IPS签名规则库简化为与所述客户端对应的 IPS签名规则库，或者若为服务器，则将所述IPS签名规则库简化为与所述服务器对应的 IPS签名规则库；所述网络安全设备根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。

  2.根据权利要求1所述的方法，其特征在于，所述确定内网设备是客户端还是服务器， 包括所述网络安全设备对流经的流量信息进行统计处理，获取流量特征信息； 根据所述流量特征信息，确定所述内网设备是客户端还是服务器。

  3.根据权利要求2所述的方法，其特征在于，所述对流经的流量信息进行统计处理之前,还包括根据所述网络安全设备的安全区域配置信息，确定内网接口和外网接口 ； 所述对流经的流量信息进行统计处理，包括对从所述内网接口流入并从所述外网接口流出的流量进行统计处理，并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。

  4.根据权利要求2或3所述的方法，其特征在于，所述流量特征信息，包括从内网流向外网的流量Pl以及从外网流向内网的流量P2 ；所述根据所述流量特征信息，确定所述内网设备是客户端还是服务器，包括 若所述流量Pl大于所述流量P2，则确定所述内网设备为客户端，若所述流量Pl小于等于所述流量P2，则确定所述内网设备为服务器。

  5.根据权利要求2或3所述的方法，其特征在于，所述获取流量特征信息，包括 获取从内网流向外网的流量Pl以及从外网流向内网的流量P2，并根据协议特征库中存储的协议特征信息或者流量端口号确定所述流量Pl的协议类型和所述流量P2的协议类型；所述根据所述流量特征信息，确定所述内网设备是客户端还是服务器，包括 若所述流量Pl大于所述流量P2且所述流量P2的协议类型为与服务器对应的协议类型，则确定所述内网设备为客户端，若所述流量Pl小于等于所述流量P2且所述流量Pl的协议类型为与服务器对应的协议类型，则确定所述内网设备为服务器。

  6.根据权利要求1 3中任一项所述的方法，其特征在于，所述将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，包括将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态； 所述将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库，包括 将所述IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。

  7.—种网络安全设备，部署于内网设备和外网设备之间，用于保护内网设备的安全，其特征在于，所述网络安全设备包括确定模块，用于确定内网设备是客户端还是服务器；规则库处理模块，用于若所述确定模块确定为客户端，则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若所述确定模块确定为服务器，则将所述IPS 签名规则库简化为与所述服务器对应的IPS签名规则库；流量检测模块，用于根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。

  8.根据权利要求7所述的设备，其特征在于，所述确定模块，包括流量统计单元，用于对流经的流量信息进行统计处理，获取流量特征信息；确定单元，用于根据所述流量统计单元获得的流量特征信息，确定所述内网设备是客户端还是服务器。

  9.根据权利要求8所述的设备，其特征在于，还包括接口确定模块，用于根据安全区域配置信息，确定内网接口和外网接口 ；所述流量统计单元，具体用于对从所述内网接口流入并从所述外网接口流出的流量进行统计处理，并对从所述外网接口流入并从所述内网接口流出的流量进行统计处理。

  10.根据权利要求8或9所述的设备，其特征在于，所述流量统计单元具体用于对流经的流量信息进行统计处理，获取从内网流向外网的流量Pl以及从外网流向内网的流量P2 ；所述确定单元，具体用于若所述流量Pl大于所述流量P2，则确定所述内网设备为客户端，若所述流量P2小于等于所述流量P1，则确定所述内网设备为服务器。

  11.根据权利要求8或9所述的设备，其特征在于，还包括协议特征库，用于存储各协议的协议特征信息；所述流量统计单元，具体用于对流经的流量信息进行统计处理，获取从内网流向外网的流量Pl以及从外网流向内网的流量P2，并根据所述协议特征库中存储的协议特征信息或者流量端口号确定所述流量Pl的协议类型和所述流量P2的协议类型；所述确定单元，具体用于若所述流量Pl大于所述流量P2且所述流量P2的协议类型为文件传输协议，则确定所述内网设备为客户端，若所述流量Pl小于等于所述流量P2且所述流量Pl的协议类型为文件传输协议，则确定所述内网设备为服务器。

  12.根据权利要求7 9中任一项所述的设备，其特征在于，所述规则库处理模块，具体用于将所述IPS签名规则库中与所述服务器对应的签名规则设为去激活状态，或者将所述 IPS签名规则库中与所述客户端对应的签名规则设为去激活状态。

  13.—种网络安全系统，包括客户端、服务器和与所述客户端和服务器连接的网络安全设备，其特征在于，所述网络安全设备采用权利要求7 12中任一项所述的网络安全设备。

  本发明实施例提供一种IPS检测处理方法、网络安全设备和系统。方法，包括确定内网设备是客户端还是服务器；若为客户端，则将所述IPS签名规则库简化为与所述客户端对应的IPS签名规则库，或者若为服务器，则将所述IPS签名规则库简化为与所述服务器对应的IPS签名规则库；根据简化处理后的IPS签名规则库中的签名规则生成状态机，并应用所述状态机，对流经的流量进行IPS检测。本发明实施例，网络安全设备能确定内网设备是客户端还是服务器，并根据确定结果对IPS签名规则库进行简化，根据简化后的IPS签名规则库生成状态机，从而在进行IPS检测时，能够使用去除了冗余状态后的状态机进行IPS检测，从而可以提高IPS检测效率。

  发明者万时光, 李世光, 蒋武, 薛智慧 申请人:成都市华为赛门铁克科技有限公司