本發明涉及本發明涉及網絡安全領域，特別是涉及一種防御網絡惡意攻擊的方法和裝置。主要包括：判定當前報文是否為惡意報文，將惡意報文的源IP和/或目的IP加入黑名單；判定惡意報文的惡意程度，將黑名單根據惡意程度分發至指定區間的防火墻設備，防火墻設備對惡意報文進行攔截。本發明可以在網絡設備受到惡意攻擊前就能夠提前對惡意攻擊進行防御的效果，增強防火墻的安全性，防護非正常IP對設備的訪問，進行設備間的防御聯動，提供更安全的網絡服務。

【技術領域】

本發明涉及網絡安全領域，特別是涉及一種防御網絡惡意攻擊的方法和裝置。

【背景技術】

在的網絡環境中，各種通信節點和服務節點除了正常訪問之外，還可能存在各種惡意攻擊訪問。目前，網絡中常見的惡意攻擊的手法是對某網段進行大規模端口掃描，根據掃描結果得到客戶開啟了哪些服務，再進行針對性攻擊。

對于端口掃描攻擊，傳統的防御措施是對未使用的端口訪問直接做丟棄。相對的，對于已開放的端口，由于需要在通信時進行使用，現有的防火墻系統無法直接進行丟棄，而是對惡意掃描動作和正常訪問動作不做區別，對攻擊前的掃描行為無任何處理動作，任由攻擊者進行信息收集。另一方面，在惡意攻擊時，攻擊者通常會對同一網段的端口同時進行掃描攻擊，而現有的防火墻無法及時在網段內的某一臺設備被攻擊時，及時進行整個網段的預警及防護。

鑒于此，如何克服現有技術所存在的缺陷，解決現有網絡惡意攻擊無法在端口被掃描攻擊時進行防護的現象，是本技術領域待解決的問題。

【發明內容】

針對現有技術的以上缺陷或改進需求，本發明解決了端口收到惡意攻擊時未進行有效防御的問題。

本發明實施例采用如下技術方案：

第一方面，本發明提供了一種防御網絡惡意攻擊的方法，具體為：判定當前報文是否為惡意報文，將惡意報文的源IP和/或目的IP加入黑名單；判定惡意報文的惡意程度，將黑名單根據惡意程度分發至指定區間的防火墻設備，防火墻設備對惡意報文進行攔截。

優選的，判定當前報文是否屬于惡意報文，具體包括：根據正常訪問報文的源IP和目的IP生成連接跟蹤表；判斷當前報文是否命中連接跟蹤表、黑名單和/或白名單；若當前報文命中連接跟蹤表或命中白名單，判定報文為非惡意報文；若當前報文命中黑名單，判定報文為惡意報文。

優選的，判定當前報文是否屬于惡意報文，還包括：將報文轉發至陷阱系統，由陷阱系統對報文進行偽裝回復；若接收到偽裝回復的連接出現后續惡意行為，判定報文為惡意報文。

優選的，將惡意報文的源IP和/或目的IP加入黑名單，具體包括：若惡意報文為lan口報文，將惡意報文的目的IP加入黑名單中；若惡意報文為wan口報文，將惡意報文的源IP加入黑名單中。

優選的，判定惡意報文的惡意程度，具體包括：在預設時間段內，統計所有設備被單一惡意報文攻擊的總權重，其中，單臺設備每次被攻擊的權重值根據攻擊次數指數減少；將總權重與預設惡意權重區間比較，獲取惡意報文的惡意程度。

優選的，統計所有設備被單一惡意報文攻擊的總權重，還包括：若惡意報文的判定方式為通過陷阱系統判定，增加所述惡意報文對于單臺設備每次被攻擊的權重值。

優選的，還包括：預設時間段結束后，若沒有再受到相同惡意報文的攻擊，總權重按照預設時間段為周期指數減小；當總權重小于預設總權重下限時，總權重值視為0。

優選的，指定區間的防火墻設備，具體包括：被攻擊的設備、同網段的防火墻設備、相鄰網段的防火墻設備和全網段的防火墻設備。

優選的，還包括，若惡意報文的判定方式為通過連接跟蹤表和/或黑名單判定，根據惡意報文攻擊的總權重值變化對黑名單中惡意報文對應的IP進行刷新；若惡意報文的判定方式為通過陷阱系統判定，惡意報文的對應IP永久保留在黑名單中。