技術領域

本申請涉及通信技術領域，尤其涉及入侵防御方法及裝置。

背景技術

隨著互聯網應用與規模不斷擴大，網絡環境日益復雜化，網絡入侵頻率和攻擊水準不斷提高，企業內部網絡面臨著嚴峻的考驗，為了保護網絡內部數據安全，及時阻止來自網絡內外的各種未知攻擊，可以在服務器群組入口或網絡入口處部署入侵防御設備(Intrusion Prevention System，IPS)。IPS設備每天要防御大量的網絡攻擊，為了方便對網絡狀況進行分析和改進，這些攻擊的信息會以告警日志的方式記錄下來。例如，可以在IPS設備中預設有包括攻擊特征的IPR特征庫，IPS設備通過IPR特征庫判斷報文是否為攻擊報文，若報文是攻擊報文，則進行相應的防御操作，并產生告警日志；若報文不是攻擊報文，則不產生告警日志，并轉發該報文。

目前，當發現報文為攻擊報文時，可以直接攔截報文，或進行告警操作。可見，不同應用場景下防御策略可能不同，利用固定的IPS特征庫判斷報文是否為攻擊報文，可能攔截掉某些允許轉發的報文，或引起不必要的誤報。

發明內容

為克服相關技術中利用固定的IPS特征庫判斷報文是否為攻擊報文，導致誤報或誤攔截的缺陷，本申請提供了入侵防御方法及裝置。

根據本申請實施例的第一方面，提供一種入侵防御方法，所述方法包括：

接收報文，從所述報文中獲取特征；

如果黑名單中存在所述報文中的特征，則攔截所述報文；

如果白名單中存在所述報文中的特征，則轉發所述報文；

如果所述黑名單和白名單中均不存在所述報文的特征，利用IPS特征庫判斷所述報文是否為攻擊報文，并根據判斷結果進行相應的防御操作；

所述黑名單中記錄有需攔截的報文的特征，所述白名單中記錄有允許轉發的報文的特征、且所述白名單包括的特征在所述IPS特征庫中。

可選的，所述方法還包括：

如果所述黑名單/白名單/特征庫中存在所述報文中的特征時，將生成的告警日志劃分到對應的黑名單分類/白名單分類/灰名單分類中；

基于預生成的查詢控件，查詢黑名單分類/白名單分類/灰名單分類對應的告警日志。

可選的，所述方法還包括：

關于因IPS特征庫中存在所述報文的特征而生成的告警日志，如果所述告警日志的生成頻率大于指定頻率時，以預設的通知方式將提醒信息發送至關聯用戶，以提示所述關聯用戶將該報文的特征添加至黑名單或白名單中。

可選的，所述黑名單/所述白名單中的特征包括：報文的發送時間范圍、報文的原地址范圍及端口號、報文的目的地址范圍及端口號、報文協議、報文內容中的敏感字符中的一項或多項。

可選的，所述方法還包括：

基于預設的名單配置界面，配置所述黑名單或所述白名單。

根據本申請實施例的第二方面，提供一種入侵防御裝置，所述裝置包括：

特征獲取模塊，用于從接收的報文中獲取特征；

第一防御模塊，用于如果黑名單中存在所述報文中的特征，則攔截所述報文；

第二防御模塊，用于如果白名單中存在所述報文中的特征，則轉發所述報文；

第三防御模塊，用于如果所述黑名單和白名單中均不存在所述報文的特征，利用IPS特征庫判斷所述報文是否為攻擊報文，并根據判斷結果進行相應的防御操作；

所述黑名單中記錄有需攔截的報文的特征，所述白名單中記錄有允許轉發的報文的特征、且所述白名單包括的特征在所述IPS特征庫中。

可選的，所述裝置還包括：

日志分類模塊，用于如果所述黑名單/白名單/特征庫中存在所述報文中的特征時，將生成的告警日志劃分到對應的黑名單分類/白名單分類/灰名單分類中；

日志查詢模塊，用于基于預生成的查詢控件，查詢黑名單分類/白名單分類/灰名單分類對應的告警日志。

可選的，所述裝置還包括：

信息通知模塊，用于關于因IPS特征庫中存在所述報文的特征而生成的告警日志，如果所述告警日志的生成頻率大于指定頻率時，以預設的通知方式將提醒信息發送至關聯用戶，以提示所述關聯用戶將該報文的特征添加至黑名單或白名單中。

可選的，所述黑名單/所述白名單中的特征包括：報文的發送時間范圍、報文的原地址范圍及端口號、報文的目的地址范圍及端口號、報文協議、報文內容中的敏感字符中的一項或多項。

可選的，所述裝置還包括：

名單配置模塊，用于基于預設的名單配置界面，配置所述黑名單或所述白名單。