本公開涉及一種入侵防御方法、裝置、電子設備及計算機可讀介質。該方法包括：對接收到的流量數據進行流量過濾，提取目標流量數據；確定所述目標流量數據的傳輸協議的類別；根據所述傳輸協議的類別確定入侵檢測深度；基于所述入侵檢測深度對所述目標流量數據進行入侵檢測，生成檢測結果；以及基于所述檢測結果和安全策略生成所述目標流量數據的入侵防御措施。本公開涉及的入侵防御方法、裝置、電子設備及計算機可讀介質，大數據流量且不影響攻擊流攔截率的情況下，對流量數據進行入侵檢測，還能夠實時控制入侵檢測深度、減輕流量壓力，提升交換機的設備性能。

技術領域

本公開涉及計算機信息處理領域，具體而言，涉及一種入侵防御方法、裝置、電子設備及計算機可讀介質。

背景技術

隨著網絡地不斷發展，網絡環境日益復雜化，對網絡設備的安全性要求也越來越高，尤其是對入侵檢測設備來說，流量越大、復雜度越高，檢測難度也就越大。為了保護網絡內部數據安全及時阻止來自網絡內外的各種未知攻擊，一般會在服務器群組入口或網絡入口處部署入侵防御設備(IPS)。IPS設備每天要防御大量的網絡攻擊，為了方便對網絡狀況進行分析和改進，系統要具備高可靠性、高靈活性的攻擊特征匹配機制。

現有方案對于入侵防御系統的性能消耗重心基本在于特征匹配模塊，在系統的性能提升上，常見的方式在于減少特征、提升特征查找引擎性能、優化策略匹配流程代碼等。但是減少特征容易帶來攻擊攔截率下降，優化策略匹配流程對性能的提升微乎其微。提升引擎查找算法性能就成為了是常用手段，而引擎查找算法一般可優化空間非常有限。

因此，需要一種新的入侵防御方法、裝置、電子設備及計算機可讀介質。

在所述背景技術部分公開的上述信息僅用于加強對本公開的背景的理解，因此它可以包括不構成對本領域普通技術人員已知的現有技術的信息。。

發明內容

有鑒于此，本公開提供一種入侵防御方法、裝置、電子設備及計算機可讀介質，大數據流量且不影響攻擊流攔截率的情況下，對流量數據進行入侵檢測，還能夠實時控制入侵檢測深度、減輕流量壓力，提升交換機的設備性能。

本公開的其他特性和優點將通過下面的詳細描述變得顯然，或部分地通過本公開的實踐而習得。

根據本公開的一方面，提出一種入侵防御方法，該方法包括：對接收到的流量數據進行流量過濾，提取目標流量數據；確定所述目標流量數據的傳輸協議的類別；根據所述傳輸協議的類別確定入侵檢測深度；基于所述入侵檢測深度對所述目標流量數據進行入侵檢測，生成檢測結果；以及基于所述檢測結果和安全策略生成所述目標流量數據的入侵防御措施。

在本公開的一種示例性實施例中，對接收到的流量數據進行流量過濾，提取目標流量數據，包括：根據參數配置生成流量過濾策略；以及基于所述流量過濾策略對流量數據進行流量過濾以提取所述目標流量數據。

在本公開的一種示例性實施例中，根據參數配置生成流量過濾策略，包括：對報文接入口參數進行配置以生成流量過濾策略；對源網際互連協議地址行配置以生成流量過濾策略；對目標網際互連協議地址行配置以生成流量過濾策略；以及對虛擬局域網地址進行配置以生成流量過濾策略。

在本公開的一種示例性實施例中，根據參數配置生成流量過濾策略，還包括：通過鉤子函數實現所述流量過濾策略。

在本公開的一種示例性實施例中，確定所述目標流量數據的傳輸協議的類別，包括：基于接收端口的標識確定所述目標流量數據的傳輸協議的類別；所述傳輸協議的類別包括：超文本傳輸協議，文件傳輸協議，郵件傳送協議。

在本公開的一種示例性實施例中，根據所述傳輸協議的類別確定入侵檢測深度，包括：根據所述傳輸協議的類別確定所述目標流量數據在請求方向的第一入侵檢測深度；以及根據所述傳輸協議的類別確定所述目標流量數據在應答方向的第二入侵檢測深度。