防御网络入侵的方法及装置的制造方法
防御网络入侵的方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种防御网络入侵的方法及装置。
【背景技术】
[0002]随着互联网的普及与发展,网络安全的重要性日益突出。在现有的网络安全防御技术中,通常是由用户自己配置各个网络区域的防御策略,以此来达到防御攻击,保护网络安全的目的。但是,用户在配置各个网络区域的防御策略时,容易配置错误或忘了对某个网络区域进行配置,导致网络攻击者容易成功攻击网络,尤其是高风险攻击,严重影响网络安全。
[0003]上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
【发明内容】
[0004]本发明的主要目的在于提供一种防御网络入侵的方法及装置,旨在解决现有技术中,仅仅依靠用户预设的安全防御策略对网络进行保护,容易由于用户对安全防御策略设置不正确而导致网络防御不可靠,网络易被入侵的技术问题。
[0005]为实现上述目的,本发明提供一种防御网络入侵的方法,该方法包括:
[0006]获取网络上的数据包,并对数据包进行解析,得到数据流;
[0007]根据预设的风险确定策略确定所述数据流的风险等级;
[0008]若所述数据流的风险等级为高风险,则阻断所述数据流。
[0009]优选的,若所述数据流的风险等级为高风险,则阻断所述数据流的步骤包括:
[0010]若所述数据流的风险等级为高风险,则判断是否已开启一键防御模式,得到判断结果;
[0011]若所述判断结果为已开启一键防御模式,则阻断所述数据流。
[0012]优选的,所述判断是否已开启一键防御模式的步骤之前,该方法还包括:
[0013]若所述数据流的风险等级为高风险,判断用户配置中对所述数据流的预设的防御策略是否是阻断;
[0014]若用户配置中对所述数据流的预设的防御策略不是阻断,则执行步骤判断是否已开启一键防御模式。
[0015]优选的,所述根据预设的风险确定策略确定所述数据流的风险等级的步骤包括:根据所述数据流所属的数据类型确定所述风险等级;
[0016]所述根据所述数据流所属的数据类型确定所述风险等级包括:
[0017]若所述数据流为安全试探类攻击数据,则确定该数据流的风险等级为中低风险;
[0018]和/或,
[0019]若所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据,则确定该数据流的风险等级为高风险。
[0020]优选的,所述根据预设的风险确定策略确定所述数据流的风险等级的步骤之后,该方法还包括:
[0021]若所述数据流的风险等级是中低风险,则根据预设的防御策略对所述数据流进行处理。
[0022]优选的,阻断所述数据流的步骤之后,该方法还包括:
[0023]根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。
[0024]优选的,所述获取网络上的数据包,并对数据包进行解析,得到数据流的步骤之前,该方法还包括:
[0025]开启一键防御模式。
[0026]此外,为实现上述目的,本发明还提供一种防御网络入侵的装置,该装置包括:
[0027]获取模块,用于获取网络上的数据包,并对数据包进行解析,得到数据流;
[0028]确定模块,用于根据预设的风险确定策略确定所述数据流的风险等级;
[0029]第一处理模块,用于在所述数据流的风险等级为高风险时,阻断所述数据流。
[0030]优选地,所述第一处理模块包括:
[0031 ]第一判断单元,用于在所述数据流的风险等级为高风险时,判断是否已开启一键防御模式,得到判断结果;
[0032]第一处理单元,用于在所述判断结果为已开启一键防御模式时,阻断所述数据流。
[0033]优选地,所述第一处理模块还包括:第二判断单元,用于在所述数据流的风险等级为高风险时,判断用户配置中对所述数据流的预设的防御策略是否是阻断;
[0034]所述第一判断单元,还用于在所述第二判断单元的判断结果为用户配置中对所述数据流的预设的防御策略不是阻断时,判断是否已开启一键防御模式,得到判断结果。
[0035]优选的,所述确定模块,还用于根据所述数据流所属的数据类型确定所述风险等级;
[0036]所述确定模块包括:
[0037]第一确定单元,用于在所述数据流为安全试探类攻击数据时,确定该数据流的风险等级为中低风险;和/或,
[0038]第二确定单元,用于在所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据时,确定该数据流的风险等级为高风险。
[0039]优选的,所述装置还包括第二处理模块,用于在所述数据流的风险等级是中低风险时,根据预设的防御策略对所述数据流进行处理。
[0040]优选的,所述装置还包括生成模块,用于在所述第一处理模块对该数据流进行阻断时,根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。
[0041]优选的,所述装置还包括开启模块,用于开启一键防御模式。
[0042]本发明的防御网络入侵的方法及装置,通过获取网络上的数据包,并对数据包进行解析,得到数据流;根据预设的风险确定策略确定所述数据流的风险等级;若所述数据流的风险等级为高风险,则阻断所述数据流;可有效的提高网络安全性,阻断网络攻击者的高风险攻击。
【附图说明】
[0043]图1为本发明防御网络入侵的方法的第一实施例的流程示意图;
[0044]图2为本发明防御网络入侵的方法的第二实施例的流程示意图;
[0045]图3为本发明防御网络入侵的方法的第三实施例的流程示意图;
[0046]图4为本发明防御网络入侵的方法的第四实施例的流程示意图;
[0047]图5为本发明防御网络入侵的方法的第五实施例的流程示意图;
[0048]图6为本发明防御网络入侵的方法的第六实施例的流程示意图;
[0049]图7为本发明防御网络入侵的方法的第七实施例的流程示意图;
[0050]图8为本发明防御网络入侵的装置的第一实施例的结构示意图;
[0051]图9为本发明防御网络入侵的装置的第二实施例的结构示意图;
[0052]图10为本发明防御网络入侵的装置的第三实施例的结构示意图。
[0053]本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
【具体实施方式】
[0054]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0055]参照图1,图1为本发明防御网络入侵的方法的第一实施例的流程示意图,该方法包括:
[0056]S10、获取网络上的数据包,并对数据包进行解析,得到数据流。
[0057]获取网络上的数据包,并解析该数据包,根据不同的网络协议解析重组成完整的数据流,如得到的数据流为http数据流、ftp数据流、mysql数据流等。该不同的网络协议包括HTTP协议(HyperText Transfer Protocol,HTTP, 超文本传输协议)、FTP协议(FileTransfer Protocol,FTP,文本传输协议)、TCP协议(Transmiss1n Control Protocol,TCP,传输控制协议)等。
[0058]在该步骤中,在对该数据包进行分析时,还可确定该数据流访问的服务器是否是内网服务器,具体的,根据该数据流的目的ip确定该数据流访问的服务器是否是内网服务器。在本发明中,对内网服务器进行保护。
[0059]S20、根据预设的风险确定策略确定该数据流的风险等级。
[0060]风险等级包括安全、中低风险和高风险。在该步骤中,根据预设的风险确定策略确定该数据流的风险等级,具体的,根据该数据流所属的数据类型确定该风险等级。根据该数据流所属的数据类型确定该风险等级包括:当该数据流为一些安全试探类攻击数据,并不会造成服务器数据丢失或服务器被攻击者控制,则确定该数据流的风险等级为中低风险;和/或,当该数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据,则确定该数据流的风险等级为高风险。
[0061]在一实施例中,该数据流为获取操作系统版本的语句,通常的,网络攻击者通过获取操作系统的版本以试探性的确定该操作系统是否存在漏洞,并不会直接对该操作系统造成攻击,因此,确定该数据流的风险等级为中低风险。
[0062]在一实施例中,该数据流为篡改数据库的语句,而预设的防御策略对该篡改数据库的语句进行放行,或者预设的防御策略未对该篡改数据库的语句进行配置防御策略(即未确定对该篡改数据库的语句进行何种处理,是放行还是阻止还是重定向),则确定该数据流的风险等级为高风险。
[0063]在一实施例中,该数据流为网络攻击者上传的用于控制服务器的webshell(webshell是一个asp或php木马后门),而预设的防御策略对该webshell未进行配置防御策略或者防御策略配置错误(如本应该对该webshell进行拦截,但是用户配置的防御策略是对该webshell进行放行),则确定该数据流的风险等级为高风险。
[0064]在一实施例中,该数据流为篡改网页页面的语句,而预设的防御策略对该篡改网页页面的语句进行放行,或者预设的防御策略未对该篡改网页页面的语句进行配置防御策略,则确定该数据流的风险等级为高风险。
[0065]在一实施例中,该数据流为非法获取数据库数据的语句,而预设的防御策略对该非法获取数据库数据的语句未进行配置防御策略,则确定该数据流的风险等级为高风险。S30、若该数据流的风险等级为高风险,则阻断该数据流。
[0066]在该步骤中,阻断该数据流,以防止网络攻击者通过该数据流对网络进行攻击,具体的,在该步骤中,还可以根据该数据流生成告警日志,在该告警日志中包括攻击时间、攻击的系统、攻击的应用程序、攻击类型等,该攻击类型为篡改数据库、篡改网站页面等,该攻击类型包括sql注入、CC攻击、网页篡改等。
[0067]采用上述实施例,只要数据流的风险等级为高风险,不管用户是否预先对该数据流设置防御策略,都对该数据流进行阻断,即对用户配置的对该数量流的防御策略进行纠正,将该数据流的预设策略从不是阻断变成阻断,可有效的提高网络安全性。如当用户未预先对该数量设置防御策略时(对该数据流的预设的防御策略为忽略),采用本发明的上述方式,可对该数据流进行阻断,可避免因用户未配置防御策略导致网络遭到攻击,可提高网络安全性。如当用户预先对该数据流进行了设置,在预设的防御策略中,对该数据流的的防御策略是放行,则采用本发明的上述方式,可对该数据流进行阻断,可纠正用户的错误配置,避免由于用户的配置失误而导致网络遭到攻击,可提高网络安全性。
[0068]采用上述实施例,通过获取网络上的数据包,并对数据包进行解析,得到数据流;根据预设的风险确定策略确定该数据流的风险等级;若该数据流的风险等级为高风险,则阻断该数据流;可有效的提高网络安全性,阻断网络攻击者的高风险攻击。
[0069]参照图2,图2为本发明防御网络入侵的方法的第二实施例的流程示意图。
[0070]基于上述防御网络入侵的方法的第一实施例,该步骤S30包括:
[0071]S31、若该数据流的风险等级为高风险,则判断是否已开启一键防御模式,得到判断结果。
[0072]在该步骤中,判断是否已开启一键防御模式,具体的,可通过判断预置的一键防御选项是否处于选中状态,若该一键防御选项处于选中状态,则确定已开启一键防御模式。
[0073]S32、若该判断结果为已开启一键防御模式,则阻断该数据流。
[0074]参照图3,图3为本发明防御网络入侵的方法的第三实施例的流程示意图。
[0075]基于上述防御网络入侵的方法的第二实施例,该步骤S30还包括:
[0076]S33、若该数据流的风险等级为高风险,判断用户配置中对该数据流的预设的防御策略是否是阻断,若用户配置中对该数据流的预设的防御策略不是阻断,则执行步骤S31判断是否已开启一键防御模式,得到判断结果。通常的,用户配置中对该数据流的预设的防御策略为阻断、放行或忽略等。在该步骤中,判断用户配置中对该数据流的预设的防御策略是否是阻断,若用户配置中对该数据流的预设的防御策略是阻断,则按照预设的防御策略对该数据流进行阻断。
[0077]参照图4,图4为本发明防御网络入侵的方法的第四实施例的流程示意图。
[0078]基于上述防御网络入侵的方法的第一实施例或第二实施例或第三实施例,在步骤S30之后,该方法还包括:
[0079]S40、根据该数据流生成对应的防御策略,并提醒用户配置该对应的防御策略。
[0080]根据该数据流对应的攻击类型,确定对应的防御策略,如该数据流对应的攻击类型为病毒、木马、webshell、后门等恶意代码,或CC攻击、sql注入、XSS跨站攻击、网页篡改、挂黑链等黑客行为;如,当数据流对应的攻击类型为sql注入,则该数据流对应的防御策略为sql注入防御策略,当该数据流对应的攻击类型为webshell时,该数据流对应的防御策略为webshe 11防御策略。
[0081]参照图5,图5为本发明防御网络入侵的方法的第五实施例的流程示意图。
[0082]基于上述防御网络入侵的方法的第一实施例或第二实施例或第三实施例或第四实施例,在步骤S20之后,该方法还包括:
[0083]S50、若该数据流的风险等级是中低风险,则根据预设的防御策略对该数据流进行处理。
[0084]当该数据流的风险等级为中低风险时,该认为该数据流通常不会对网络造成服务器数据丢失或服务器被控制的风险,则按照预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0085]具体的,在步骤中,首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0086]参照图6,图6为本发明防御网络入侵的方法的第六实施例的流程示意图。
[0087]基于上述防御网络入侵的方法的第 二实施例或第三实施例,在步骤S10之前,该方法还包括:
[0088]S60、开启一键防御模式。
[0089]在该步骤中,可将预置的一键防御选项选中,将该一键防御选项处于选中状态。具体的,可直接在客户端的界面上设置一个一键防御选项,或在客户端的菜单项中设置一个一键防御选项;在用户需要开启一键防御模式时,用户直接点击该客户端界面上的一键防御选项,或用户通过该客户端的菜单项,找到该一键防御选项,然后点击该一键防御选项,在该步骤中,接收到用户对该一键防御选项的选中指令后,开启一键防御模式。
[0090]参照图7,图7为本发明防御网络入侵的方法的第七实施例的流程示意图。
[0091]基于上述防御网络入侵的方法的第二实施例或第三实施例,在步骤S31的判断结果为未开启一键防御模式时,该方法还包括:
[0092]S70、根据预设的防御策略对该数据流进行处理。
[0093]在该步骤中,当步骤S31中的判断结果为未开启一键防御模式,则即使该数据流的风险等级为高风险,也是根据预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0094]具体的,在步骤中,首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0095]参照图8,图8为本发明防御网络入侵的装置的第一实施例的结构示意图,该装置包括:
[0096]获取模块10,用于获取网络上的数据包,并对数据包进行解析,得到数据流;
[0097]确定模块20,用于根据预设的风险确定策略确定该数据流的风险等级;
[0098]第一处理模块30,用于在数据流的风险等级为高风险时,阻断该数据流。
[0099]该获取模块10获取网络上的数据包,并解析该数据包,根据不同的网络协议解析重组成完整的数据流,如得到的数据流为http数据流、ftp数据流、mysql数据流等。该不同的网络协议包括HTTP协议(HyperText Transfer Protocol,HTTP,超文本传输协议)、FTP协议(File Transfer Protocol,FTP,文本传输协议)、TCP协议(Transmiss1n ControlProtoco 1,TCP,传输控制协议)等。
[0100]该获取模块10在对该数据包进行分析时,还可确定该数据流访问的服务器是否是内网服务器,具体的,根据该数据流的目的ip确定该数据流访问的服务器是否是内网服务器。在本发明中,对内网服务器进行安全保护。
[0101]风险等级包括安全、中低风险和高风险。该确定模块20根据预设的风险确定策略确定该数据流的风险等级,具体的,该确定模块20还用于根据该数据流所属的数据类型确定该风险等级。该确定模块20包括:第一确定单元,用于在该数据流为一些安全试探类攻击数据,并不会造成服务器数据丢失或服务器被攻击者控制,则确定该数据流的风险等级为中低风险;和/或,第二确定单元,用于在该数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据时,确定该数据流的风险等级为高风险。
[0102]在一实施例中,该数据流为获取操作系统版本的语句,通常的,网络攻击者通过获取操作系统的版本以试探性的确定该操作系统是否存在漏洞,并不会直接对该操作系统造成攻击,因此,该确定模块20确定该数据流的风险等级为中低风险。
[0103]在一实施例中,该数据流为篡改数据库的语句,而预设的防御策略对该篡改数据库的语句进行放行,或者预设的防御策略未对该篡改数据库的语句进行配置防御策略(即未确定对该篡改数据库的语句进行何种处理,是放行还是阻止还是重定向),则该确定模块20确定该数据流的风险等级为高风险。
[0104]在一实施例中,该数据流为网络攻击者上传的用于控制服务器的webshell(webshell是一个asp或php木马后门),而预设的防御策略对该webshell未进行配置防御策略或者防御策略配置错误(如本应该对该webshell进行拦截,但是用户配置的防御策略是对该webshell进行放行),则该确定模块20确定该数据流的风险等级为高风险。
[0105]在一实施例中,该数据流为篡改网页页面的语句,而预设的防御策略对该篡改网页页面的语句进行放行,或者预设的防御策略未对该篡改网页页面的语句进行配置防御策略,则该确定模块20确定该数据流的风险等级为高风险。
[0106]在一实施例中,该数据流为非法获取数据库数据的语句,而预设的防御策略对该非法获取数据库数据的语句未进行配置防御策略,则该确定模块20确定该数据流的风险等级为高风险。
[0107]该第一处理模块30阻断该风险等级为高风险的数据流,以防止网络攻击者通过该数据流对网络进行攻击,具体的,该第一处理模块30还可以根据该数据流生成告警日志,在该告警日志中包括攻击时间、攻击的系统、攻击的应用程序、攻击类型等,该攻击类型为篡改数据库、篡改网站页面等,该攻击类型包括sql注入、CC攻击、网页篡改等。
[0108]该第一处理模块30在该数据流的风险等级为高风险时,不管用户是否预先对该数据流设置防御策略,都对该数据流进行阻断,即对用户配置的对该数量流的防御策略进行纠正,将该数据流的预设策略从不是阻断变成阻断,可有效的提高网络安全性。如当用户未预先对该数量设置防御策略时(对该数据流的预设的防御策略为忽略),采用本发明的上述方式,可对该数据流进行阻断,可避免因用户未配置防御策略导致网络遭到攻击,可提高网络安全性。如当用户预先对该数据流进行了设置,在预设的防御策略中,对该数据流的的防御策略是放行,则采用本发明的上述方式,可对该数据流进行阻断,可纠正用户的错误配置,避免由于用户的配置失误而导致网络遭到攻击,可提高网络安全性。
[0109]进一步的,如图9所示,该第一处理模块30包括:
[0110]第一判断单元31,用于在该数据流的风险等级为高风险时,判断是否已开启一键防御模式,得到判断结果;
[0111]第一处理单元32,用于在该判断结果为已开启一键防御模式时,阻断该数据流。
[0112]该第一判断单元31判断是否已开启一键防御模式,具体的,可通过判断预置的一键防御选项是否处于选中状态,若该一键防御选项处于选中状态,则确定已开启一键防御模式。
[0113]进一步的,如图9所示,该第一处理模块30还包括:第二判断单元33,用于在该数据流的风险等级为高风险时,判断用户配置中对该数据流的预设的防御策略是否是阻断;
[0114]该第一判断单元31,还用于在该第二判断单元33的判断结果为用户配置中对该数据流的预设的防御策略不是阻断时,判断是否已开启一键防御模式,得到判断结果。
[0115]通常的,用户配置中对该数据流的预设的防御策略为阻断、放行或忽略等。该第二判断单元33判断用户配置中对该数据流的预设的防御策略是否是阻断,若用户配置中对该数据流的预设的防御策略是阻断,则按照预设的防御策略对该数据流进行阻断。
[0116]参照图1 0,图10为本发明防御网络入侵的装置的第三实施例的结构示意图。
[0117]基于上述防御网络入侵的装置的第二实施例,该装置还包括生成模块40,用于在该第一处理模块30对该数据流进行阻断时时,根据该数据流生成对应的防御策略,并提醒用户配置该对应的防御策略。
[0118]该生成模块40根据该数据流对应的攻击类型,确定对应的防御策略,如该数据流对应的攻击类型为病毒、木马、webshel 1、后门等恶意代码,或CC攻击、sql注入、XSS跨站攻击、网页篡改、挂黑链等黑客行为;如,当数据流对应的攻击类型为sql注入,则该数据流对应的防御策略为sql注入防御策略,当该数据流对应的攻击类型为webshell时,该数据流对应的防御策略为webshell防御策略。
[0119]进一步的,该装置还包括第二处理模块50,用于在该数据流的风险等级是中低风险时,根据预设的防御策略对该数据流进行处理。
[0120]当该数据流的风险等级为中低风险时,该认为该数据流通常不会对网络造成服务器数据丢失或服务器被控制的风险,则按照预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0121 ]具体的,该第二处理模块50首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0122]进一步的,该装置还包括开启模块60,用于开启一键防御模式。
[0123]该开启模块60可将预置的一键防御选项选中,将该一键防御选项处于选中状态。具体的,可直接在客户端的界面上设置一个一键防御选项,或在客户端的菜单项中设置一个一键防御选项;在用户需要开启一键防御模式时,用户直接点击该客户端界面上的一键防御选项,或用户通过该客户端的菜单项,找到该一键防御选项,然后点击该一键防御选项,该开启模块60接收到用户对该一键防御选项的选中指令后,开启一键防御模式。
[0124]进一步的,该装置还包括第三处理模块70,用于在该判断结果为未开启一键防御模式时,根据预设的防御策略对该数据流进行处理。
[0125]在该第一处理模块30的第一判断单元31的判断结果为未开启一键防御模式时,则即使该数据流的风险等级为高风险,该第三处理模块70也是根据预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0126]具体的,该第三处理模块70首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0127]以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种防御网络入侵的方法,其特征在于,该方法包括: 获取网络上的数据包,并对数据包进行解析,得到数据流; 根据预设的风险确定策略确定所述数据流的风险等级; 若所述数据流的风险等级为高风险,则阻断所述数据流。2.如权利要求1所述的防御网络入侵的方法,其特征在于,若所述数据流的风险等级为高风险,则阻断所述数据流的步骤包括: 若所述数据流的风险等级为高风险,则判断是否已开启一键防御模式,得到判断结果; 若所述判断结果为已开启一键防御模式,则阻断所述数据流。3.如权利要求2所述的防御网络入侵的方法,其特征在于,所述判断是否已开启一键防御模式的步骤之前,该方法还包括: 若所述数据流的风险等级为高风险,判断用户配置中对所述数据流的预设的防御策略是否是阻断; 若用户配置中对所述数据流的预设的防御策略不是阻断,则执行步骤判断是否已开启一键防御模式。4.如权利要求1至3任一项所述的防御网络入侵的方法,其特征在于,所述根据预设的风险确定策略确定所述数据流的风险等级的步骤包括:根据所述数据流所属的数据类型确定所述风险等级; 所述根据所述数据流所属的数据类型确定所述风险等级包括: 若所述数据流为安全试探类攻击数据,则确定该数据流的风险等级为中低风险; 和/或, 若所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据,则确定该数据流的风险等级为高风险。5.如权利要求1至3任一项所述的防御网络入侵的方法,其特征在于,阻断所述数据流的步骤之后,该方法还包括: 根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。6.一种防御网络入侵的装置,其特征在于,该装置包括: 获取模块,用于获取网络上的数据包,并对数据包进行解析,得到数据流; 确定模块,用于根据预设的风险确定策略确定所述数据流的风险等级; 第一处理模块,用于在所述数据流的风险等级为高风险时,阻断所述数据流。7.如权利要求6所述的防御网络入侵的装置,其特征在于,所述第一处理模块包括: 第一判断单元,用于在所述数据流的风险等级为高风险时,判断是否已开启一键防御模式,得到判断结果; 第一处理单元,用于在所述判断结果为已开启一键防御模式时,阻断所述数据流。8.如权利要求7所述的防御网络入侵的装置,其特征在于,所述第一处理模块还包括:第二判断单元,用于在所述数据流的风险等级为高风险时,判断用户配置中对所述数据流的预设的防御策略是否是阻断; 所述第一判断单元,还用于在所述第二判断单元的判断结果为用户配置中对所述数据流的预设的防御策略不是阻断时,判断是否已开启一键防御模式,得到判断结果。9.如权利要求6至8任一项所述的防御网络入侵的装置,其特征在于,所述确定模块,还用于根据所述数据流所属的数据类型确定所述风险等级; 所述确定模块包括: 第一确定单元,用于在所述数据流为安全试探类攻击数据时,确定该数据流的风险等级为中低风险;和/或, 第二确定单元,用于在所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据时,确定该数据流的风险等级为高风险。10.如权利要求6至8任一项所述的防御网络入侵的装置,其特征在于,所述装置还包括生成模块,用于在所述第一处理模块对该数据流进行阻断时,根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。
【专利摘要】本发明公开了一种防御网络入侵的方法,该方法包括:获取网络上的数据包,并对数据包进行解析,得到数据流;根据预设的风险确定策略确定所述数据流的风险等级;若所述数据流的风险等级为高风险,则阻断所述数据流。本发明还公开了一种防御网络入侵的装置。采用本发明,可有效的提高网络安全性,阻断网络攻击者的高风险攻击。
【IPC分类】H04L29/06
【公开号】CN105491063
【申请号】CN201511024822
【发明人】曾加良
【申请人】深圳市深信服电子科技有限公司
【公开日】2016年4月13日
【申请日】2015年12月30日
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种防御网络入侵的方法及装置。
【背景技术】
[0002]随着互联网的普及与发展,网络安全的重要性日益突出。在现有的网络安全防御技术中,通常是由用户自己配置各个网络区域的防御策略,以此来达到防御攻击,保护网络安全的目的。但是,用户在配置各个网络区域的防御策略时,容易配置错误或忘了对某个网络区域进行配置,导致网络攻击者容易成功攻击网络,尤其是高风险攻击,严重影响网络安全。
[0003]上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
【发明内容】
[0004]本发明的主要目的在于提供一种防御网络入侵的方法及装置,旨在解决现有技术中,仅仅依靠用户预设的安全防御策略对网络进行保护,容易由于用户对安全防御策略设置不正确而导致网络防御不可靠,网络易被入侵的技术问题。
[0005]为实现上述目的,本发明提供一种防御网络入侵的方法,该方法包括:
[0006]获取网络上的数据包,并对数据包进行解析,得到数据流;
[0007]根据预设的风险确定策略确定所述数据流的风险等级;
[0008]若所述数据流的风险等级为高风险,则阻断所述数据流。
[0009]优选的,若所述数据流的风险等级为高风险,则阻断所述数据流的步骤包括:
[0010]若所述数据流的风险等级为高风险,则判断是否已开启一键防御模式,得到判断结果;
[0011]若所述判断结果为已开启一键防御模式,则阻断所述数据流。
[0012]优选的,所述判断是否已开启一键防御模式的步骤之前,该方法还包括:
[0013]若所述数据流的风险等级为高风险,判断用户配置中对所述数据流的预设的防御策略是否是阻断;
[0014]若用户配置中对所述数据流的预设的防御策略不是阻断,则执行步骤判断是否已开启一键防御模式。
[0015]优选的,所述根据预设的风险确定策略确定所述数据流的风险等级的步骤包括:根据所述数据流所属的数据类型确定所述风险等级;
[0016]所述根据所述数据流所属的数据类型确定所述风险等级包括:
[0017]若所述数据流为安全试探类攻击数据,则确定该数据流的风险等级为中低风险;
[0018]和/或,
[0019]若所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据,则确定该数据流的风险等级为高风险。
[0020]优选的,所述根据预设的风险确定策略确定所述数据流的风险等级的步骤之后,该方法还包括:
[0021]若所述数据流的风险等级是中低风险,则根据预设的防御策略对所述数据流进行处理。
[0022]优选的,阻断所述数据流的步骤之后,该方法还包括:
[0023]根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。
[0024]优选的,所述获取网络上的数据包,并对数据包进行解析,得到数据流的步骤之前,该方法还包括:
[0025]开启一键防御模式。
[0026]此外,为实现上述目的,本发明还提供一种防御网络入侵的装置,该装置包括:
[0027]获取模块,用于获取网络上的数据包,并对数据包进行解析,得到数据流;
[0028]确定模块,用于根据预设的风险确定策略确定所述数据流的风险等级;
[0029]第一处理模块,用于在所述数据流的风险等级为高风险时,阻断所述数据流。
[0030]优选地,所述第一处理模块包括:
[0031 ]第一判断单元,用于在所述数据流的风险等级为高风险时,判断是否已开启一键防御模式,得到判断结果;
[0032]第一处理单元,用于在所述判断结果为已开启一键防御模式时,阻断所述数据流。
[0033]优选地,所述第一处理模块还包括:第二判断单元,用于在所述数据流的风险等级为高风险时,判断用户配置中对所述数据流的预设的防御策略是否是阻断;
[0034]所述第一判断单元,还用于在所述第二判断单元的判断结果为用户配置中对所述数据流的预设的防御策略不是阻断时,判断是否已开启一键防御模式,得到判断结果。
[0035]优选的,所述确定模块,还用于根据所述数据流所属的数据类型确定所述风险等级;
[0036]所述确定模块包括:
[0037]第一确定单元,用于在所述数据流为安全试探类攻击数据时,确定该数据流的风险等级为中低风险;和/或,
[0038]第二确定单元,用于在所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据时,确定该数据流的风险等级为高风险。
[0039]优选的,所述装置还包括第二处理模块,用于在所述数据流的风险等级是中低风险时,根据预设的防御策略对所述数据流进行处理。
[0040]优选的,所述装置还包括生成模块,用于在所述第一处理模块对该数据流进行阻断时,根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。
[0041]优选的,所述装置还包括开启模块,用于开启一键防御模式。
[0042]本发明的防御网络入侵的方法及装置,通过获取网络上的数据包,并对数据包进行解析,得到数据流;根据预设的风险确定策略确定所述数据流的风险等级;若所述数据流的风险等级为高风险,则阻断所述数据流;可有效的提高网络安全性,阻断网络攻击者的高风险攻击。
【附图说明】
[0043]图1为本发明防御网络入侵的方法的第一实施例的流程示意图;
[0044]图2为本发明防御网络入侵的方法的第二实施例的流程示意图;
[0045]图3为本发明防御网络入侵的方法的第三实施例的流程示意图;
[0046]图4为本发明防御网络入侵的方法的第四实施例的流程示意图;
[0047]图5为本发明防御网络入侵的方法的第五实施例的流程示意图;
[0048]图6为本发明防御网络入侵的方法的第六实施例的流程示意图;
[0049]图7为本发明防御网络入侵的方法的第七实施例的流程示意图;
[0050]图8为本发明防御网络入侵的装置的第一实施例的结构示意图;
[0051]图9为本发明防御网络入侵的装置的第二实施例的结构示意图;
[0052]图10为本发明防御网络入侵的装置的第三实施例的结构示意图。
[0053]本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
【具体实施方式】
[0054]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0055]参照图1,图1为本发明防御网络入侵的方法的第一实施例的流程示意图,该方法包括:
[0056]S10、获取网络上的数据包,并对数据包进行解析,得到数据流。
[0057]获取网络上的数据包,并解析该数据包,根据不同的网络协议解析重组成完整的数据流,如得到的数据流为http数据流、ftp数据流、mysql数据流等。该不同的网络协议包括HTTP协议(HyperText Transfer Protocol,HTTP, 超文本传输协议)、FTP协议(FileTransfer Protocol,FTP,文本传输协议)、TCP协议(Transmiss1n Control Protocol,TCP,传输控制协议)等。
[0058]在该步骤中,在对该数据包进行分析时,还可确定该数据流访问的服务器是否是内网服务器,具体的,根据该数据流的目的ip确定该数据流访问的服务器是否是内网服务器。在本发明中,对内网服务器进行保护。
[0059]S20、根据预设的风险确定策略确定该数据流的风险等级。
[0060]风险等级包括安全、中低风险和高风险。在该步骤中,根据预设的风险确定策略确定该数据流的风险等级,具体的,根据该数据流所属的数据类型确定该风险等级。根据该数据流所属的数据类型确定该风险等级包括:当该数据流为一些安全试探类攻击数据,并不会造成服务器数据丢失或服务器被攻击者控制,则确定该数据流的风险等级为中低风险;和/或,当该数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据,则确定该数据流的风险等级为高风险。
[0061]在一实施例中,该数据流为获取操作系统版本的语句,通常的,网络攻击者通过获取操作系统的版本以试探性的确定该操作系统是否存在漏洞,并不会直接对该操作系统造成攻击,因此,确定该数据流的风险等级为中低风险。
[0062]在一实施例中,该数据流为篡改数据库的语句,而预设的防御策略对该篡改数据库的语句进行放行,或者预设的防御策略未对该篡改数据库的语句进行配置防御策略(即未确定对该篡改数据库的语句进行何种处理,是放行还是阻止还是重定向),则确定该数据流的风险等级为高风险。
[0063]在一实施例中,该数据流为网络攻击者上传的用于控制服务器的webshell(webshell是一个asp或php木马后门),而预设的防御策略对该webshell未进行配置防御策略或者防御策略配置错误(如本应该对该webshell进行拦截,但是用户配置的防御策略是对该webshell进行放行),则确定该数据流的风险等级为高风险。
[0064]在一实施例中,该数据流为篡改网页页面的语句,而预设的防御策略对该篡改网页页面的语句进行放行,或者预设的防御策略未对该篡改网页页面的语句进行配置防御策略,则确定该数据流的风险等级为高风险。
[0065]在一实施例中,该数据流为非法获取数据库数据的语句,而预设的防御策略对该非法获取数据库数据的语句未进行配置防御策略,则确定该数据流的风险等级为高风险。S30、若该数据流的风险等级为高风险,则阻断该数据流。
[0066]在该步骤中,阻断该数据流,以防止网络攻击者通过该数据流对网络进行攻击,具体的,在该步骤中,还可以根据该数据流生成告警日志,在该告警日志中包括攻击时间、攻击的系统、攻击的应用程序、攻击类型等,该攻击类型为篡改数据库、篡改网站页面等,该攻击类型包括sql注入、CC攻击、网页篡改等。
[0067]采用上述实施例,只要数据流的风险等级为高风险,不管用户是否预先对该数据流设置防御策略,都对该数据流进行阻断,即对用户配置的对该数量流的防御策略进行纠正,将该数据流的预设策略从不是阻断变成阻断,可有效的提高网络安全性。如当用户未预先对该数量设置防御策略时(对该数据流的预设的防御策略为忽略),采用本发明的上述方式,可对该数据流进行阻断,可避免因用户未配置防御策略导致网络遭到攻击,可提高网络安全性。如当用户预先对该数据流进行了设置,在预设的防御策略中,对该数据流的的防御策略是放行,则采用本发明的上述方式,可对该数据流进行阻断,可纠正用户的错误配置,避免由于用户的配置失误而导致网络遭到攻击,可提高网络安全性。
[0068]采用上述实施例,通过获取网络上的数据包,并对数据包进行解析,得到数据流;根据预设的风险确定策略确定该数据流的风险等级;若该数据流的风险等级为高风险,则阻断该数据流;可有效的提高网络安全性,阻断网络攻击者的高风险攻击。
[0069]参照图2,图2为本发明防御网络入侵的方法的第二实施例的流程示意图。
[0070]基于上述防御网络入侵的方法的第一实施例,该步骤S30包括:
[0071]S31、若该数据流的风险等级为高风险,则判断是否已开启一键防御模式,得到判断结果。
[0072]在该步骤中,判断是否已开启一键防御模式,具体的,可通过判断预置的一键防御选项是否处于选中状态,若该一键防御选项处于选中状态,则确定已开启一键防御模式。
[0073]S32、若该判断结果为已开启一键防御模式,则阻断该数据流。
[0074]参照图3,图3为本发明防御网络入侵的方法的第三实施例的流程示意图。
[0075]基于上述防御网络入侵的方法的第二实施例,该步骤S30还包括:
[0076]S33、若该数据流的风险等级为高风险,判断用户配置中对该数据流的预设的防御策略是否是阻断,若用户配置中对该数据流的预设的防御策略不是阻断,则执行步骤S31判断是否已开启一键防御模式,得到判断结果。通常的,用户配置中对该数据流的预设的防御策略为阻断、放行或忽略等。在该步骤中,判断用户配置中对该数据流的预设的防御策略是否是阻断,若用户配置中对该数据流的预设的防御策略是阻断,则按照预设的防御策略对该数据流进行阻断。
[0077]参照图4,图4为本发明防御网络入侵的方法的第四实施例的流程示意图。
[0078]基于上述防御网络入侵的方法的第一实施例或第二实施例或第三实施例,在步骤S30之后,该方法还包括:
[0079]S40、根据该数据流生成对应的防御策略,并提醒用户配置该对应的防御策略。
[0080]根据该数据流对应的攻击类型,确定对应的防御策略,如该数据流对应的攻击类型为病毒、木马、webshell、后门等恶意代码,或CC攻击、sql注入、XSS跨站攻击、网页篡改、挂黑链等黑客行为;如,当数据流对应的攻击类型为sql注入,则该数据流对应的防御策略为sql注入防御策略,当该数据流对应的攻击类型为webshell时,该数据流对应的防御策略为webshe 11防御策略。
[0081]参照图5,图5为本发明防御网络入侵的方法的第五实施例的流程示意图。
[0082]基于上述防御网络入侵的方法的第一实施例或第二实施例或第三实施例或第四实施例,在步骤S20之后,该方法还包括:
[0083]S50、若该数据流的风险等级是中低风险,则根据预设的防御策略对该数据流进行处理。
[0084]当该数据流的风险等级为中低风险时,该认为该数据流通常不会对网络造成服务器数据丢失或服务器被控制的风险,则按照预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0085]具体的,在步骤中,首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0086]参照图6,图6为本发明防御网络入侵的方法的第六实施例的流程示意图。
[0087]基于上述防御网络入侵的方法的第 二实施例或第三实施例,在步骤S10之前,该方法还包括:
[0088]S60、开启一键防御模式。
[0089]在该步骤中,可将预置的一键防御选项选中,将该一键防御选项处于选中状态。具体的,可直接在客户端的界面上设置一个一键防御选项,或在客户端的菜单项中设置一个一键防御选项;在用户需要开启一键防御模式时,用户直接点击该客户端界面上的一键防御选项,或用户通过该客户端的菜单项,找到该一键防御选项,然后点击该一键防御选项,在该步骤中,接收到用户对该一键防御选项的选中指令后,开启一键防御模式。
[0090]参照图7,图7为本发明防御网络入侵的方法的第七实施例的流程示意图。
[0091]基于上述防御网络入侵的方法的第二实施例或第三实施例,在步骤S31的判断结果为未开启一键防御模式时,该方法还包括:
[0092]S70、根据预设的防御策略对该数据流进行处理。
[0093]在该步骤中,当步骤S31中的判断结果为未开启一键防御模式,则即使该数据流的风险等级为高风险,也是根据预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0094]具体的,在步骤中,首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0095]参照图8,图8为本发明防御网络入侵的装置的第一实施例的结构示意图,该装置包括:
[0096]获取模块10,用于获取网络上的数据包,并对数据包进行解析,得到数据流;
[0097]确定模块20,用于根据预设的风险确定策略确定该数据流的风险等级;
[0098]第一处理模块30,用于在数据流的风险等级为高风险时,阻断该数据流。
[0099]该获取模块10获取网络上的数据包,并解析该数据包,根据不同的网络协议解析重组成完整的数据流,如得到的数据流为http数据流、ftp数据流、mysql数据流等。该不同的网络协议包括HTTP协议(HyperText Transfer Protocol,HTTP,超文本传输协议)、FTP协议(File Transfer Protocol,FTP,文本传输协议)、TCP协议(Transmiss1n ControlProtoco 1,TCP,传输控制协议)等。
[0100]该获取模块10在对该数据包进行分析时,还可确定该数据流访问的服务器是否是内网服务器,具体的,根据该数据流的目的ip确定该数据流访问的服务器是否是内网服务器。在本发明中,对内网服务器进行安全保护。
[0101]风险等级包括安全、中低风险和高风险。该确定模块20根据预设的风险确定策略确定该数据流的风险等级,具体的,该确定模块20还用于根据该数据流所属的数据类型确定该风险等级。该确定模块20包括:第一确定单元,用于在该数据流为一些安全试探类攻击数据,并不会造成服务器数据丢失或服务器被攻击者控制,则确定该数据流的风险等级为中低风险;和/或,第二确定单元,用于在该数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据时,确定该数据流的风险等级为高风险。
[0102]在一实施例中,该数据流为获取操作系统版本的语句,通常的,网络攻击者通过获取操作系统的版本以试探性的确定该操作系统是否存在漏洞,并不会直接对该操作系统造成攻击,因此,该确定模块20确定该数据流的风险等级为中低风险。
[0103]在一实施例中,该数据流为篡改数据库的语句,而预设的防御策略对该篡改数据库的语句进行放行,或者预设的防御策略未对该篡改数据库的语句进行配置防御策略(即未确定对该篡改数据库的语句进行何种处理,是放行还是阻止还是重定向),则该确定模块20确定该数据流的风险等级为高风险。
[0104]在一实施例中,该数据流为网络攻击者上传的用于控制服务器的webshell(webshell是一个asp或php木马后门),而预设的防御策略对该webshell未进行配置防御策略或者防御策略配置错误(如本应该对该webshell进行拦截,但是用户配置的防御策略是对该webshell进行放行),则该确定模块20确定该数据流的风险等级为高风险。
[0105]在一实施例中,该数据流为篡改网页页面的语句,而预设的防御策略对该篡改网页页面的语句进行放行,或者预设的防御策略未对该篡改网页页面的语句进行配置防御策略,则该确定模块20确定该数据流的风险等级为高风险。
[0106]在一实施例中,该数据流为非法获取数据库数据的语句,而预设的防御策略对该非法获取数据库数据的语句未进行配置防御策略,则该确定模块20确定该数据流的风险等级为高风险。
[0107]该第一处理模块30阻断该风险等级为高风险的数据流,以防止网络攻击者通过该数据流对网络进行攻击,具体的,该第一处理模块30还可以根据该数据流生成告警日志,在该告警日志中包括攻击时间、攻击的系统、攻击的应用程序、攻击类型等,该攻击类型为篡改数据库、篡改网站页面等,该攻击类型包括sql注入、CC攻击、网页篡改等。
[0108]该第一处理模块30在该数据流的风险等级为高风险时,不管用户是否预先对该数据流设置防御策略,都对该数据流进行阻断,即对用户配置的对该数量流的防御策略进行纠正,将该数据流的预设策略从不是阻断变成阻断,可有效的提高网络安全性。如当用户未预先对该数量设置防御策略时(对该数据流的预设的防御策略为忽略),采用本发明的上述方式,可对该数据流进行阻断,可避免因用户未配置防御策略导致网络遭到攻击,可提高网络安全性。如当用户预先对该数据流进行了设置,在预设的防御策略中,对该数据流的的防御策略是放行,则采用本发明的上述方式,可对该数据流进行阻断,可纠正用户的错误配置,避免由于用户的配置失误而导致网络遭到攻击,可提高网络安全性。
[0109]进一步的,如图9所示,该第一处理模块30包括:
[0110]第一判断单元31,用于在该数据流的风险等级为高风险时,判断是否已开启一键防御模式,得到判断结果;
[0111]第一处理单元32,用于在该判断结果为已开启一键防御模式时,阻断该数据流。
[0112]该第一判断单元31判断是否已开启一键防御模式,具体的,可通过判断预置的一键防御选项是否处于选中状态,若该一键防御选项处于选中状态,则确定已开启一键防御模式。
[0113]进一步的,如图9所示,该第一处理模块30还包括:第二判断单元33,用于在该数据流的风险等级为高风险时,判断用户配置中对该数据流的预设的防御策略是否是阻断;
[0114]该第一判断单元31,还用于在该第二判断单元33的判断结果为用户配置中对该数据流的预设的防御策略不是阻断时,判断是否已开启一键防御模式,得到判断结果。
[0115]通常的,用户配置中对该数据流的预设的防御策略为阻断、放行或忽略等。该第二判断单元33判断用户配置中对该数据流的预设的防御策略是否是阻断,若用户配置中对该数据流的预设的防御策略是阻断,则按照预设的防御策略对该数据流进行阻断。
[0116]参照图1 0,图10为本发明防御网络入侵的装置的第三实施例的结构示意图。
[0117]基于上述防御网络入侵的装置的第二实施例,该装置还包括生成模块40,用于在该第一处理模块30对该数据流进行阻断时时,根据该数据流生成对应的防御策略,并提醒用户配置该对应的防御策略。
[0118]该生成模块40根据该数据流对应的攻击类型,确定对应的防御策略,如该数据流对应的攻击类型为病毒、木马、webshel 1、后门等恶意代码,或CC攻击、sql注入、XSS跨站攻击、网页篡改、挂黑链等黑客行为;如,当数据流对应的攻击类型为sql注入,则该数据流对应的防御策略为sql注入防御策略,当该数据流对应的攻击类型为webshell时,该数据流对应的防御策略为webshell防御策略。
[0119]进一步的,该装置还包括第二处理模块50,用于在该数据流的风险等级是中低风险时,根据预设的防御策略对该数据流进行处理。
[0120]当该数据流的风险等级为中低风险时,该认为该数据流通常不会对网络造成服务器数据丢失或服务器被控制的风险,则按照预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0121 ]具体的,该第二处理模块50首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0122]进一步的,该装置还包括开启模块60,用于开启一键防御模式。
[0123]该开启模块60可将预置的一键防御选项选中,将该一键防御选项处于选中状态。具体的,可直接在客户端的界面上设置一个一键防御选项,或在客户端的菜单项中设置一个一键防御选项;在用户需要开启一键防御模式时,用户直接点击该客户端界面上的一键防御选项,或用户通过该客户端的菜单项,找到该一键防御选项,然后点击该一键防御选项,该开启模块60接收到用户对该一键防御选项的选中指令后,开启一键防御模式。
[0124]进一步的,该装置还包括第三处理模块70,用于在该判断结果为未开启一键防御模式时,根据预设的防御策略对该数据流进行处理。
[0125]在该第一处理模块30的第一判断单元31的判断结果为未开启一键防御模式时,则即使该数据流的风险等级为高风险,该第三处理模块70也是根据预设的防御策略对该数据流进行处理,如对该数据流进行阻断、放行或者重定向。
[0126]具体的,该第三处理模块70首先分析该数据流所访问的网络区域,再根据该数据流所访问的网络区域查找到对应的防御策略,确定对该数据流的处理,对该数据流进行阻断、放行或者重定向。不同网络区域对应的防御策略可相同或不同,具体由用户预先设定,如对一些比较重要的网络区域,安全等级要求较高的,则该网络区域对应的防御策略相对较严,对一些不严重的网络攻击也进行阻止。
[0127]以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种防御网络入侵的方法,其特征在于,该方法包括: 获取网络上的数据包,并对数据包进行解析,得到数据流; 根据预设的风险确定策略确定所述数据流的风险等级; 若所述数据流的风险等级为高风险,则阻断所述数据流。2.如权利要求1所述的防御网络入侵的方法,其特征在于,若所述数据流的风险等级为高风险,则阻断所述数据流的步骤包括: 若所述数据流的风险等级为高风险,则判断是否已开启一键防御模式,得到判断结果; 若所述判断结果为已开启一键防御模式,则阻断所述数据流。3.如权利要求2所述的防御网络入侵的方法,其特征在于,所述判断是否已开启一键防御模式的步骤之前,该方法还包括: 若所述数据流的风险等级为高风险,判断用户配置中对所述数据流的预设的防御策略是否是阻断; 若用户配置中对所述数据流的预设的防御策略不是阻断,则执行步骤判断是否已开启一键防御模式。4.如权利要求1至3任一项所述的防御网络入侵的方法,其特征在于,所述根据预设的风险确定策略确定所述数据流的风险等级的步骤包括:根据所述数据流所属的数据类型确定所述风险等级; 所述根据所述数据流所属的数据类型确定所述风险等级包括: 若所述数据流为安全试探类攻击数据,则确定该数据流的风险等级为中低风险; 和/或, 若所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据,则确定该数据流的风险等级为高风险。5.如权利要求1至3任一项所述的防御网络入侵的方法,其特征在于,阻断所述数据流的步骤之后,该方法还包括: 根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。6.一种防御网络入侵的装置,其特征在于,该装置包括: 获取模块,用于获取网络上的数据包,并对数据包进行解析,得到数据流; 确定模块,用于根据预设的风险确定策略确定所述数据流的风险等级; 第一处理模块,用于在所述数据流的风险等级为高风险时,阻断所述数据流。7.如权利要求6所述的防御网络入侵的装置,其特征在于,所述第一处理模块包括: 第一判断单元,用于在所述数据流的风险等级为高风险时,判断是否已开启一键防御模式,得到判断结果; 第一处理单元,用于在所述判断结果为已开启一键防御模式时,阻断所述数据流。8.如权利要求7所述的防御网络入侵的装置,其特征在于,所述第一处理模块还包括:第二判断单元,用于在所述数据流的风险等级为高风险时,判断用户配置中对所述数据流的预设的防御策略是否是阻断; 所述第一判断单元,还用于在所述第二判断单元的判断结果为用户配置中对所述数据流的预设的防御策略不是阻断时,判断是否已开启一键防御模式,得到判断结果。9.如权利要求6至8任一项所述的防御网络入侵的装置,其特征在于,所述确定模块,还用于根据所述数据流所属的数据类型确定所述风险等级; 所述确定模块包括: 第一确定单元,用于在所述数据流为安全试探类攻击数据时,确定该数据流的风险等级为中低风险;和/或, 第二确定单元,用于在所述数据流为会影响服务器运行或造成服务器数据丢失或服务器被攻击者控制的数据时,确定该数据流的风险等级为高风险。10.如权利要求6至8任一项所述的防御网络入侵的装置,其特征在于,所述装置还包括生成模块,用于在所述第一处理模块对该数据流进行阻断时,根据所述数据流生成对应的防御策略,并提醒用户配置所述对应的防御策略。
【专利摘要】本发明公开了一种防御网络入侵的方法,该方法包括:获取网络上的数据包,并对数据包进行解析,得到数据流;根据预设的风险确定策略确定所述数据流的风险等级;若所述数据流的风险等级为高风险,则阻断所述数据流。本发明还公开了一种防御网络入侵的装置。采用本发明,可有效的提高网络安全性,阻断网络攻击者的高风险攻击。
【IPC分类】H04L29/06
【公开号】CN105491063
【申请号】CN201511024822
【发明人】曾加良
【申请人】深圳市深信服电子科技有限公司
【公开日】2016年4月13日
【申请日】2015年12月30日
最新回复(0)