[发明专利]一种黑名单实时管理的方法及其装置

说明书

技术领域

本发明涉及数据通讯领域的网络安全技术，特别是涉及一种黑名单实时管理的方法及其装置。

背景技术

在通信产品中，黑名单是根据报文的源IP地址和其它特征信息进行过滤的一种方式。黑名单最主要的一个特色是可以自动添加(动态生成)和删除(定时老化)其中定义的表项，这是大多数通信产品都具有的功能。该功能一方面通过管理模块来获取需要新增的黑名单表项信息，然后管理模块再将该信息传给信息模块，最后信息模块进行添加处理；另一方面，管理模块向信息模块传递信息之前，首先对已有的黑名单表项进行检查，若发现存在已老化的表项，则通知信息模块删除这些表项。除此之外，黑名单管理模块还可以根据需要随时手动配置、修改和删除。然而，这些黑名单管理即使在模块之间采用实时通信接口进行自动添加和删除，手动配置、修改和删除时，都会存在实时性不高，模块之间通信复杂且可靠性低，从而直接导致通信系统的安全性降低，这对作为进出网络起过滤作用的数据通信产品提出了严峻的挑战。

发明内容

本发明所要解决的技术问题在于提供一种黑名单实时管理的方法及其装置，用于克服现有技术中数据通信产品的黑名单管理实时性低而引起的通信系统安全性降低的缺陷。

为了实现上述目的，本发明提供了一种黑名单实时管理的方法，用于黑名单实时管理的装置，其特征在于，该方法包括：

步骤一，转发模块将所检测到的具有攻击特征的报文的信息发送到黑名单管理模块，并丢弃所述报文；

步骤二，所述黑名单管理模块查找黑名单中的所有黑名单表项，删除已老化的黑名单表项，并将所述信息加入所述黑名单表项。

所述的黑名单实时管理的方法，其中，所述步骤一中，所述信息包括源IP地址信息、特征信息。

所述的黑名单实时管理的方法，其中，所述步骤一之前，进一步包括：在路由器上开启防火墙，配置可信区域和不可信区域，并在所述不可信区域上配置需要检测的报文攻击方式的步骤。

所述的黑名单实时管理的方法，其中，所述步骤一中，进一步包括：当对所述黑名单进行自动管理时，所述转发模块对所述报文进行黑名单过滤处理的步骤；若所述信息不在所述黑名单表项中，则所述报文为合法报文，对所述报文进行区域检测，否则丢弃所述报文。

所述的黑名单实时管理的方法，其中，所述步骤一中，所述对所述报文进行区域检测的步骤具体是：

所述转发模块根据所述报文的到达频度或所含的头部特征信息判断所述报文是否是具有攻击特征的报文，若是，获取所述信息；否则进入正常转发流程转发所述报文。

所述的黑名单实时管理的方法，其中，所述步骤二中，进一步包括：当对所述黑名单进行手动管理时，所述黑名单管理模块在删除已老化的黑名单表项后，将所述信息与剩余的黑名单表项进行匹配的步骤，具体是：

当匹配方式为配置且未匹配时，将所述信息加入所述黑名单表项；或

当匹配方式为配置且匹配时，提示所述信息已存在；或

当匹配方式为删除且匹配时，删除所述信息；或

当匹配方式为删除且未匹配时，提示所述信息不存在。

所述的黑名单实时管理的方法，其中，所述步骤二中，进一步包括：所述黑名单管理模块在根据预先设置的参数确定的老化时间将所述信息加入到所述黑名单表项中，并在未设置所述参数时，在默认老化时间将所述信息加入到所述黑名单表项中的步骤。

所述的黑名单实时管理的方法，其中，所述步骤二中，进一步包括：所述黑名单管理模块根据所述报文所含的头部特征信息获得所述报文的攻击类型，并根据所述攻击类型处理相应的网络攻击的步骤；和/或，根据所述转发模块对所述报文的处理结果获得报文通过和丢弃计数的步骤；和/或，以日志方式输出所述信息的步骤。

为了实现上述目的，本发明还提供了一种黑名单实时管理的装置，用于移动终端、路由器、外部网络的通信系统，所述路由器的一个接口通过交换设备连接到所述移动终端，另一接口连接到所述外部网络，其特征在于，该装置还包括：

转发模块，设置于所述路由器上，用于将所检测到的具有攻击特征的报文的信息发送到所述路由器，并丢弃所述报文；

黑名单管理模块，设置于所述路由器上，用于接收所述转发模块发送的信息，查找黑名单中的所有黑名单表项，删除已老化的黑名单表项，并将所述信息加入所述黑名单表项。

所述的黑名单实时管理的装置，其中，该装置还包括：

区域配置模块，设置于所述路由器上，用于配置可信区域和不可信区域，并在所述不可信区域上配置需要检测的报文攻击方式。