[发明专利]网络入侵防御方法、装置、系统及计算机可读存储介质

说明书

技术领域

本公开涉及互联网技术领域，具体涉及一种网络入侵防御方法、装置、系统及计算机可读存储介质。

背景技术

随着互联网的快速发展，各种应用程序的爆发，企业面临着常用应用程序中的漏洞带来的风险。

网络通信不再像以前一样仅仅是依赖于存储和转发应用程序(例如电子邮件)，而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和P2P应用程序、语音IP电话(VoIP)、流媒体和电话会议，这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。恶意软件和网络攻击者瞄准了这个场所，让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险，这些应用程序也消耗带宽和生产力，并且与关键业务型应用程序抢夺网络带宽。因此，企业需要工具来保证业务关键应用程序的带宽，并需要应用程序智能和控制来保护入站和出站的流量，同时确保速度和安全性以提供高效的工作环境。

发明内容

本公开实施例提供一种网络入侵防御方法、装置、系统及计算机可读存储介质。

第一方面，本公开实施例中提供了一种网络入侵防御方法，包括：

接收数据包，并对所接收的所述数据包进行协议解析；

对协议解析后的所述数据包进行防火墙策略匹配，并利用匹配的防火墙策略处理所述数据包；

识别所述数据包对应的应用，根据识别出的应用对应的应用访问控制策略处理所述数据包；

对所述数据包进行内容解析，并利用解析后的内容匹配得到内容安全防护策略，利用所述内容安全防护策略处理所述数据包。

可选地，对协议解析后的所述数据包进行防火墙策略匹配，并利用匹配的防火墙策略处理所述数据包，包括：

检查是否存在与所述数据包对应的相关会话；

存在与所述数据包对应的相关会话时，利用与所述相关会话匹配的防火墙策略处理所述数据包；

不存在与所述数据包对应的相关会话时，建立与所述数据包对应的新的会话。

可选地，识别所述数据包对应的应用，根据识别出的应用对应的应用访问控制策略处理所述数据包，包括：

确定所述数据包对应的应用是否为已经可识别的应用；

在所述应用与已识别应用匹配时，则对所述应用进行标记；

在所述应用与已识别应用不匹配时，采用应用识别策略对所述应用进行识别，并利用对应于所述应用的应用访问控制策略处理所述数据包。

可选地，采用应用识别策略对所述应用进行识别，包括：

采用应用特征匹配应用特征识别库，所述应用特征识别库中存储木马应用的应用特征；所述木马应用具有网络恶意行为特征，且行为过程不经由HTTP协议交互；

采用应用特征匹配僵尸网络识别库；所述僵尸网络识别库中存储木马、广告软件、恶意软件、间谍软件、后门、蠕虫、漏洞、黑客工具以及病毒9大分类。

可选地，对所述数据包进行内容解析，并利用解析后的内容匹配得到内容安全防护策略，利用所述内容安全防护策略处理所述数据包，包括：

通过对应用层数据进行深度分析来检测和防御Webshell植入过程；和/或，

根据设置的包括文件类型和/或文件名的文件过滤规则防御Webshell。

可选地，采用数据流的方式处理所述数据包；和/或，

所述访问控制策略采用基于用户与用户组的访问控制策略。

第二方面，本公开实施例提供了一种网络入侵防御装置，包括：

接收模块，被配置为接收数据包，并对所接收的所述数据包进行协议解析；

访问控制模块，被配置为对协议解析后的所述数据包进行防火墙策略匹配，并利用匹配的防火墙策略处理所述数据包；

应用安全模块，被配置为识别所述数据包对应的应用，根据识别出的应用对应的应用访问控制策略处理所述数据包；

内容检测模块，被配置为对所述数据包进行内容解析，并利用解析后的内容匹配得到内容安全防护策略，利用所述内容安全防护策略处理所述数据包。

所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。