[发明专利]入侵防御方法、装置、电子设备及计算机可读介质

权利要求书

1.一种入侵防御方法，其特征在于，包括：

对接收到的流量数据进行流量过滤，提取目标流量数据；

确定所述目标流量数据的传输协议的类别；

根据所述传输协议的类别确定所述目标流量数据在请求方向的第一入侵检测深度以及根据所述传输协议的类别确定所述目标流量数据在应答方向的第二入侵检测深度；

对所述第一入侵检测深度对所述目标流量数据进行解析，生成多个数据包，并在多个数据包的请求方向的前n个数据包进行入侵检测，生成第一检测结果，以及对所述第二入侵检测深度对所述目标流量数据进行解析，生成多个数据包，并在多个数据包的请求方向的前n个数据包进行入侵检测，生成第二检测结果；以及

基于所述第一检测结果和第二检测结果和安全策略生成所述目标流量数据的入侵防御措施。

2.如权利要求1所述的方法，其特征在于，对接收到的流量数据进行流量过滤，提取目标流量数据，包括：

根据参数配置生成流量过滤策略；以及

基于所述流量过滤策略对流量数据进行流量过滤以提取所述目标流量数据。

3.如权利要求2所述的方法，其特征在于，根据参数配置生成流量过滤策略，包括以下至少一者：

对报文接入口参数进行配置以生成流量过滤策略；

对源网际互连协议地址行配置以生成流量过滤策略；

对目标网际互连协议地址行配置以生成流量过滤策略；以及

对虚拟局域网地址进行配置以生成流量过滤策略。

4.如权利要求2所述的方法，其特征在于，根据参数配置生成流量过滤策略，还包括：

通过钩子函数实现所述流量过滤策略。

5.如权利要求1所述的方法，其特征在于，确定所述目标流量数据的传输协议的类别，包括：

基于接收端口的标识确定所述目标流量数据的传输协议的类别；

其中，所述传输协议的类别包括：超文本传输协议，文件传输协议，邮件传送协议。

6.如权利要求1所述的方法，其特征在于，基于所述检测结果和安全策略生成所述目标流量数据的入侵防御措施，包括：

将所述检测结果和所述安全策略进行对比确定所述目标流量数据的安全等级；以及

基于所述安全等级生成所述目标流量数据的入侵防御措施。

7.如权利要求6所述的方法，其特征在于，基于所述安全等级生成所述目标流量数据的入侵防御措施，包括：

基于所述安全等级对所述目标流量数据进行告警处理；或

基于所述安全等级对所述目标流量数据进行阻断处理；或

基于所述安全等级对所述目标流量数据进行转发处理。

8.如权利要求7所述的方法，其特征在于，基于所述安全等级对所述目标流量数据进行阻断处理，还包括：

为所述目标流量数据设置特定标识；以及

基于所述特定标识阻断所述目标流量数据的后续会话。

9.一种入侵防御装置，其特征在于，包括：

过滤模块，用于对接收到的流量数据进行流量过滤，提取目标流量数据；

类别模块，用于确定所述目标流量数据的传输协议的类别；

深度模块，用于根据所述传输协议的类别确定所述目标流量数据在请求方向的第一入侵检测深度以及根据所述传输协议的类别确定所述目标流量数据在应答方向的第二入侵检测深度；

检测模块，用于对所述第一入侵检测深度对所述目标流量数据进行解析，生成多个数据包，并在多个数据包的请求方向的前n个数据包进行入侵检测，生成第一检测结果，以及对所述第二入侵检测深度对所述目标流量数据进行解析，生成多个数据包，并在多个数据包的请求方向的前n个数据包进行入侵检测，生成第二检测结果；以及

防御模块，用于基于所述第一检测结果和第二检测结果和安全策略生成所述目标流量数据的入侵防御措施。