入侵防御方法及装置与流程

本申请涉及通信技术领域，尤其涉及入侵防御方法及装置。

背景技术：

随着互联网应用与规模不断扩大，网络环境日益复杂化，网络入侵频率和攻击水准不断提高，企业内部网络面临着严峻的考验，为了保护网络内部数据安全，及时阻止来自网络内外的各种未知攻击，可以在服务器群组入口或网络入口处部署入侵防御设备(Intrusion Prevention System，IPS)。IPS设备每天要防御大量的网络攻击，为了方便对网络状况进行分析和改进，这些攻击的信息会以告警日志的方式记录下来。例如，可以在IPS设备中预设有包括攻击特征的IPR特征库，IPS设备通过IPR特征库判断报文是否为攻击报文，若报文是攻击报文，则进行相应的防御操作，并产生告警日志；若报文不是攻击报文，则不产生告警日志，并转发该报文。

目前，当发现报文为攻击报文时，可以直接拦截报文，或进行告警操作。可见，不同应用场景下防御策略可能不同，利用固定的IPS特征库判断报文是否为攻击报文，可能拦截掉某些允许转发的报文，或引起不必要的误报。

技术实现要素：

为克服相关技术中利用固定的IPS特征库判断报文是否为攻击报文，导致误报或误拦截的缺陷，本申请提供了入侵防御方法及装置。

根据本申请实施例的第一方面，提供一种入侵防御方法，所述方法包括：

接收报文，从所述报文中获取特征；

如果黑名单中存在所述报文中的特征，则拦截所述报文；

如果白名单中存在所述报文中的特征，则转发所述报文；

如果所述黑名单和白名单中均不存在所述报文的特征，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作；

所述黑名单中记录有需拦截的报文的特征，所述白名单中记录有允许转发的报文的特征、且所述白名单包括的特征在所述IPS特征库中。

可选的，所述方法还包括：

如果所述黑名单/白名单/特征库中存在所述报文中的特征时，将生成的告警日志划分到对应的黑名单分类/白名单分类/灰名单分类中；

基于预生成的查询控件，查询黑名单分类/白名单分类/灰名单分类对应的告警日志。

可选的，所述方法还包括：

关于因IPS特征库中存在所述报文的特征而生成的告警日志，如果所述告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，以提示所述关联用户将该报文的特征添加至黑名单或白名单中。

可选的，所述黑名单/所述白名单中的特征包括：报文的发送时间范围、报文的原地址范围及端口号、报文的目的地址范围及端口号、报文协议、报文内容中的敏感字符中的一项或多项。

可选的，所述方法还包括：

基于预设的名单配置界面，配置所述黑名单或所述白名单。

根据本申请实施例的第二方面，提供一种入侵防御装置，所述装置包括：

特征获取模块，用于从接收的报文中获取特征；

第一防御模块，用于如果黑名单中存在所述报文中的特征，则拦截所述报文；

第二防御模块，用于如果白名单中存在所述报文中的特征，则转发所述报文；

第三防御模块，用于如果所述黑名单和白名单中均不存在所述报文的特征，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作；

所述黑名单中记录有需拦截的报文的特征，所述白名单中记录有允许转发的报文的特征、且所述白名单包括的特征在所述IPS特征库中。

可选的，所述装置还包括：

日志分类模块，用于如果所述黑名单/白名单/特征库中存在所述报文中的特征时，将生成的告警日志划分到对应的黑名单分类/白名单分类/灰名单分类中；

日志查询模块，用于基于预生成的查询控件，查询黑名单分类/白名单分类/灰名单分类对应的告警日志。

可选的，所述装置还包括：

信息通知模块，用于关于因IPS特征库中存在所述报文的特征而生成的告警日志，如果所述告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，以提示所述关联用户将该报文的特征添加至黑名单或白名单中。

可选的，所述黑名单/所述白名单中的特征包括：报文的发送时间范围、报文的原地址范围及端口号、报文的目的地址范围及端口号、报文协议、报文内容中的敏感字符中的一项或多项。

可选的，所述装置还包括：

名单配置模块，用于基于预设的名单配置界面，配置所述黑名单或所述白名单。

本申请从接收的报文中获取特征，如果黑名单中存在报文中的特征，则直接拦截报文，如果白名单中存在报文中的特征，则直接转发报文，如果黑名单和白名单中均不存在报文的特征，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作，从而避免利用固定的IPS特征库判断报文是否为攻击报文，导致误报或误拦截的缺陷。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是本申请根据一示例性实施例示出的一种应用场景图。

图2是本申请根据一示例性实施例示出的一种入侵防御方法的流程图。

图3是本申请根据一示例性实施例示出的另一种入侵防御方法的流程图。

图4是本申请根据一示例性实施例示出的一种入侵防御装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

IPS(Intrusion Prevention System)设备：用于控制攻击报文的进入，对攻击行为和恶意行为进行检测和防御，从而对被访问端起到保护作用。例如，可以在IPS设备中预设有包括特征的IPR特征库，IPS设备通过IPR特征库判断报文是否为攻击报文，若报文是攻击报文，则进行相应的防御操作，并产生告警日志；若报文不是攻击报文，则不产生告警日志，并转发该报文。其中，特征是通过获取网络流量数据，采用各种数据挖掘方法，对捕获的报文进行逐层分析，从而提取出的相应特征字符。大量的特征组合成特征库，网络入侵防御设备主要使用预置的IPS特征库。

由于不同应用场景下防御策略可能不同，利用固定的IPS特征库判断报文是否为攻击报文，可能拦截掉某些允许转发的报文，或引起不必要的误报。例如，针对企业内部的一些必要应用，可能因为报文符合IPS特征库中的特征，而被误拦截。为了避免这种情况，本申请提供入侵防御方法，该方法是对IPS设备的一种优化。

本申请方法可以应用在IPS设备中，IPS设备可以布局在数据中心，用于抵御来自内网攻击、保护核心服务器和核心数据；IPS设备也可以布局在广域网边界，用于抵御来自分支机构攻击、保护广域网线路带宽等；IPS设备还可以布局在外网internet边界，放在防火墙前面，可以保护防火墙等网络基础设施，对Internet出口带宽进行精细控制，防止带宽滥用等；IPS设备还可以布局在内部局域网段之间，可以抑制内网恶意流量，抵御内网攻击等；IPS设备还可以布局在其他位置，在此不再一一赘述。

为了方便理解，本申请提供一种应用场景进行示例说明，如图1所示，图1是本申请根据一示例性实施例示出的一种应用场景图。用户端通过IPS设备与服务器连接，用户在访问服务器中的数据之前，IPS设备可以对用户端发送的报文进行检测和防御。

接下来对本申请的入侵防御方法进行介绍。如图2所示，图2是本申请根据一示例性实施例示出的一种入侵防御方法的流程图，包括以下步骤201至步骤204：

在步骤201中，接收报文，从所述报文中获取特征。

在步骤202中，如果黑名单中存在所述报文中的特征，则拦截所述报文。

在步骤203中，如果白名单中存在所述报文中的特征，则转发所述报文。

在步骤204中，如果所述黑名单和白名单中均不存在所述报文的特征，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作。

本实施例中，在接收到报文后，从报文中获取特征，判断黑名单/白名单中是否存在所述报文中的特征，如果黑名单中存在所述报文中的特征，则拦截所述报文；如果白名单中存在所述报文中的特征，则转发所述报文。关于黑名单/白名单的判断顺序，可以先判断黑名单中是否存在所述报文中的特征，再判断白名单中是否存在所述报文中的特征；也可以先判断白名单中是否存在所述报文中的特征，再判断黑名单中是否存在所述报文中的特征，判断的先后顺序可以不做限定。如果所述黑名单和白名单中均不存在所述报文的特征，则利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作。

其中，所述黑名单中记录有需拦截的报文的特征，需拦截的报文的特征可以包括IPS特征库中不存在的报文的特征。所述白名单中记录有允许转发的报文的特征、且所述白名单包括的特征在所述IPS特征库中。

可见，对于常见的攻击报文可以根据黑名单直接拦截，无需利用IPS特征库进行复杂分析，实现快速拦截，利用白名单将允许转发的报文直接转发，可以有效的减少不可避免的误报。

关于特征，特征是报文的相关信息，例如报文的发送时间、报文的原地址及端口号、报文的目的地址及端口号、报文协议、报文内容等。相应的，所述黑名单/所述白名单中的特征，可以包括：报文的发送时间范围、报文的原地址范围及端口号、报文的目的地址范围及端口号、报文协议、报文内容中的敏感字符中的一项或多项。如果所述报文中的特征与黑名单中的特征匹配，表示该报文为需拦截的报文，则拦截报文；如果所述报文中的特征与白名单中的特征匹配，表示该报文为允许转发的报文，则转发所述报文。例如，报文的发送时间、报文的原地址及端口号、报文的目的地址及端口号、报文协议、报文内容均在黑名单中，则拦截该报文。

可见，可以根据报文的发送时间、原地址及端口号、目的地址极端口号、协议、敏感字符等判断是否拦截或转发报文，实现快速检测和防御。

在一个例子中，可以基于预设的名单配置界面，配置所述黑名单或所述白名单。例如，将一些常见的攻击报文的特征记录在黑名单中，将企业内部应用或某些已知的安全应用对应的报文的特征，列入白名单中。

可见，通过名单配置界面配置名单，实现黑白名单的可控性。

进一步的，可以通过三种引擎分别对报文的特征进行检测。例如，通过预设的黑名单检测引擎检测所述报文中的特征是否在黑名单中，通过预设的白名单检测引擎检测所述报文中的特征是否在白名单中，如果所述黑名单和白名单中均不存在所述报文的特征，通过灰名单检测引擎基于IPS特征库检测所述报文是否为攻击报文。

可见，通过三种引擎分别对报文的特征进行检测，可以提高检测效率。

在一个可选的实现方式中，如果所述黑名单中存在所述报文中的特征，即所述报文中的特征与黑名单中的特征匹配时，生成告警日志，并将生成的告警日志划分到对应的黑名单分类中；如果所述白名单中存在所述报文中的特征，即所述报文中的特征与白名单中的特征匹配时，生成告警日志，并将生成的告警日志划分到对应的白名单分类中；如果所述IPS特征库中存在所述报文中的特征，即所述报文中的特征与IPS特征库中的特征匹配时，生成告警日志，并将生成的告警日志划分到对应的灰名单分类中。

在一个例子中，可以分别展示黑名单分类的告警日志、白名单分类的告警日志以及灰名单分类的告警日志，便于用户查看。

进一步的，基于预生成的查询控件，可以查询黑名单分类/白名单分类/灰名单分类对应的告警日志。

可见，将不同告警日志进行分类存储，可以基于预生成的查询控件，查询黑名单分类/白名单分类/灰名单分类对应的告警日志，从而实现告警日志的分类管理，提高查询效率，有效降低维护难度，给用户带来了便利。

在一个例子中，关于因IPS特征库中存在所述报文的特征而生成的告警日志，如果所述告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，以提示所述关联用户将该报文的特征添加至黑名单或白名单中。

对于灰名单分类的告警日志，可以记录告警日志的生成频率，如果告警日志的生成频率大于指定频率时，以预设的通知方式提示关联用户该告警日志对应的报文可能为攻击报文，关联用户应该及时采取措施。例如，当告警日志的生成频率大于指定频率时，以短信或邮件的方式发送给管理员，管理员收到该提醒信息后，可以根据实际情况将灰名单中的特征调整到白名单或黑名单中。

可见，对于普通的攻击，告警日志的生成频率达到指定频率时，将提醒信息通知到关联用户，可以及时采取措施。

以上实施方式中的各种技术特征可以任意进行组合，只要特征之间的组合不存在冲突或矛盾，但是限于篇幅，未进行一一描述，因此上述实施方式中的各种技术特征的任意进行组合也属于本说明书公开的范围。

本申请列举其中一种组合进行示例说明。如图3所示，图3是本申请根据一示例性实施例示出的另一种入侵防御方法的流程图，包括以下步骤：

在步骤301中，接收报文，从所述报文中获取特征。

在步骤302中，利用黑名单对报文进行特征匹配，如果黑名单中存在所述报文中的特征，进入步骤303，否则进入步骤304。

在步骤303中，拦截所述报文，并生成告警日志，将生成的告警日志划分到对应的黑名单分类中，并进行展示。

在步骤304中，利用白名单对报文进行特征匹配，如果白名单中存在所述报文中的特征，进入步骤305，否则进入步骤306。

在步骤305中，转发所述报文，并生成告警日志，将生成的告警日志划分到对应的白名单分类中，并进行展示。

在步骤306中，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作，如果所述报文为攻击报文，则生成告警日志，将生成的告警日志划分到对应的灰名单分类中，并进行展示。

在步骤307中，如果灰名单分类中某报文的告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，以提示所述关联用户将该报文的特征添加至黑名单/白名单中。

由上述实施例可见，本实施例不仅可以避免相关技术中利用固定的IPS特征库判断报文是否为攻击报文，导致误报或误拦截的缺陷，同时对告警日志进行分类管理，有效降低了日志的维护难度，给用户带来便利，并在灰名单分类中某报文的告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，有效的减少安全隐患。

与前述入侵防御方法的实施例相对应，本申请还提供了入侵防御装置的实施例。

如图4所示，图4是本申请根据一示例性实施例示出的一种入侵防御装置的框图，所述装置包括：特征获取模块410、第一防御模块420、第二防御模块430、第三防御模块440。

特征获取模块410，用于从接收的报文中获取特征；

第一防御模块420，用于如果黑名单中存在所述报文中的特征，则拦截所述报文；

第二防御模块430，用于如果白名单中存在所述报文中的特征，则转发所述报文；

第三防御模块440，用于如果所述黑名单和白名单中均不存在所述报文的特征，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作；

所述黑名单中记录有需拦截的报文的特征，所述白名单中记录有允许转发的报文的特征、且所述白名单包括的特征在所述IPS特征库中。

在一个可选的实现方式中，所述装置还包括：

日志分类模块，用于如果所述黑名单/白名单/特征库中存在所述报文中的特征时，将生成的告警日志划分到对应的黑名单分类/白名单分类/灰名单分类中；

日志查询模块，用于基于预生成的查询控件，查询黑名单分类/白名单分类/灰名单分类对应的告警日志。

在一个可选的实现方式中，所述装置还包括：

信息通知模块，用于关于因IPS特征库中存在所述报文的特征而生成的告警日志，如果所述告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，以提示所述关联用户将该报文的特征添加至黑名单或白名单中。

在一个可选的实现方式中，所述黑名单/所述白名单中的特征包括：报文的发送时间范围、报文的原地址范围及端口号、报文的目的地址范围及端口号、报文协议、报文内容中的敏感字符中的一项或多项。

在一个可选的实现方式中，所述装置还包括：

名单配置模块，用于基于预设的名单配置界面，配置所述黑名单或所述白名单。

上述装置中各个模块的功能和作用的实现过程具体详情见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。