[发明专利]入侵防御方法及装置

权利要求书

1.一种入侵防御方法，其特征在于，所述方法包括：

接收报文，从所述报文中获取特征；

如果黑名单中存在所述报文中的特征，则拦截所述报文；

如果白名单中存在所述报文中的特征，则转发所述报文；

如果所述黑名单和白名单中均不存在所述报文的特征，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作；

所述黑名单中记录有需拦截的报文的特征，所述白名单中记录有允许转发的报文的特征、且所述白名单包括的特征在所述IPS特征库中。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

如果所述黑名单/白名单/特征库中存在所述报文中的特征时，将生成的告警日志划分到对应的黑名单分类/白名单分类/灰名单分类中；

基于预生成的查询控件，查询黑名单分类/白名单分类/灰名单分类对应的告警日志。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

关于因IPS特征库中存在所述报文的特征而生成的告警日志，如果所述告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，以提示所述关联用户将该报文的特征添加至黑名单或白名单中。

4.根据权利要求1所述的方法，其特征在于，所述黑名单/所述白名单中的特征包括：报文的发送时间范围、报文的原地址范围及端口号、报文的目的地址范围及端口号、报文协议、报文内容中的敏感字符中的一项或多项。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：

基于预设的名单配置界面，配置所述黑名单或所述白名单。

6.一种入侵防御装置，其特征在于，所述装置包括：

特征获取模块，用于从接收的报文中获取特征；

第一防御模块，用于如果黑名单中存在所述报文中的特征，则拦截所述报文；

第二防御模块，用于如果白名单中存在所述报文中的特征，则转发所述报文；

第三防御模块，用于如果所述黑名单和白名单中均不存在所述报文的特征，利用IPS特征库判断所述报文是否为攻击报文，并根据判断结果进行相应的防御操作；

所述黑名单中记录有需拦截的报文的特征，所述白名单中记录有允许转发的报文的特征、且所述白名单包括的特征在所述IPS特征库中。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

日志分类模块，用于如果所述黑名单/白名单/特征库中存在所述报文中的特征时，将生成的告警日志划分到对应的黑名单分类/白名单分类/灰名单分类中；

日志查询模块，用于基于预生成的查询控件，查询黑名单分类/白名单分类/灰名单分类对应的告警日志。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

信息通知模块，用于关于因IPS特征库中存在所述报文的特征而生成的告警日志，如果所述告警日志的生成频率大于指定频率时，以预设的通知方式将提醒信息发送至关联用户，以提示所述关联用户将该报文的特征添加至黑名单或白名单中。

9.根据权利要求6所述的装置，其特征在于，所述黑名单/所述白名单中的特征包括：报文的发送时间范围、报文的原地址范围及端口号、报文的目的地址范围及端口号、报文协议、报文内容中的敏感字符中的一项或多项。

10.根据权利要求6至9任一项所述的装置，其特征在于，所述装置还包括：

名单配置模块，用于基于预设的名单配置界面，配置所述黑名单或所述白名单。