本發明實施例提供一種入侵防御處理方法及裝置，所述方法包括：根據當前網絡流量狀況確定入侵防御系統IPS旁路閾值；根據IPS旁路閾值對主機中的報文進行IPS處理。本發明實施例提供的入侵防御處理方法及裝置，由于根據當前網絡流量狀況確定入侵防御系統IPS旁路閾值，從而能夠根據當前網絡流量狀況動態向IPS引擎發送IPS引擎當前有能力處理的報文量，從而使得在任何網絡流量大小情況下，都能夠保證網絡業務的穩定性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種入侵防御處理方法及裝置。

背景技術

入侵預防系統(Intrusion-prevention system，簡稱IPS)能夠監視網絡或網絡設備的網絡數據傳輸行為，即時中斷、調整或隔離一些不正常的網絡數據。目前的終端IPS的作用是檢測進出本機的報文，對惡意報文進行攔截告警。具體實現上是在內核HOOK里將報文劫持，并copy給應用層的IPS引擎進行處理，IPS引擎對報文進行解碼、預處理、規則匹配等處理后，最終根據匹配結果通知內核將報文丟棄或繼續處理。

Bypass是在IPS引擎成為瓶頸時保持網速穩定的一種技術。其思想是將超過引擎處理能力的報文直接放行。目前的Bypass技術方案為：IPS引擎和內核之間分配固定大小的共享內存來作為報文隊列，內核每收到一個包首先檢測隊列是否滿，滿了就將報文直接Bypass掉，假如沒滿就將報文拷貝到共享隊列上，應用層IPS引擎逐個對隊列上的包進行檢測。

目前的Bypass技術方案存在如下問題：目前的Bypass為基于共享內存尺寸的固定值，當發現共享內存被寫滿時會將當前報文直接Bypass。然而由于網絡流量越大，IPS引擎處理能力越低。當流量達到某個值時，IPS引擎的處理能力將降低到不能及時處理隊列上的報文，導致緩存在隊列里的報文延時增大到一定程度，最終會出現網絡卡頓或連接失敗的情況。

發明內容

針對現有技術中的問題，本發明實施例提供一種入侵防御處理方法及裝置。

具體地，本發明實施例提供了以下技術方案：

第一方面，本發明實施例提供了一種入侵防御處理方法，包括：

根據當前網絡流量狀況確定入侵防御系統IPS旁路閾值；

根據IPS旁路閾值對主機中的報文進行IPS處理。

進一步地，所述根據當前網絡流量狀況確定入侵防御系統IPS旁路閾值，具體包括：

獲取當前主機每秒新建連接數；

根據每秒新建連接數查詢映射表獲取IPS處理能力值；

根據所述IPS處理能力值確定IPS旁路閾值；

其中，所述映射表中存儲有每秒新建連接數與IPS處理能力值之間的對應關系。

進一步地，所述根據當前網絡流量狀況確定入侵防御系統IPS旁路閾值，具體包括：

判斷當前主機是否存在經過重傳且連接失敗的連接數，若存在，查詢映射表中的最低IPS處理能力值，并根據所述最低IPS處理能力值確定IPS旁路閾值；

若不存在經過重傳且連接失敗的連接數，則查詢映射表中當前每秒新建連接數所對應的IPS旁路閾值；

其中，所述映射表中存儲有每秒新建連接數與IPS處理能力值之間的對應關系。

進一步地，在根據每秒新建連接數查詢映射表獲取入侵防御系統IPS處理能力值之前，所述方法還包括：

在IPS的推薦配置下，測試在每秒新建各種連接數的情況下，以不發生網絡卡頓或連接失敗為前提，IPS能夠處理的最大連接數量，將最大連接數量作為對應新建連接數下的IPS處理能力值；