网络入侵检测方法、装置与电子设备制造方法及图纸

本公开提供一种网络入侵检测方法、装置与电子设备。网络入侵检测方法包括：响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。本公开实施例可以优化网络安全设备中处理器的性能。的性能。的性能。

【技术实现步骤摘要】
网络入侵检测方法、装置与电子设备


[0001]本公开涉及计算机信息处理领域，具体而言,涉及一种网络入侵检测方法、装置与电子设备。

技术介绍

[0002]现有的网络安全设备通常使用中央处理器(CPU)对危险流量(网络入侵)进行识别和处理。随着网络流量的日益增长，异常攻击行为也在增长，这对网络安全设备的中央处理器的处理性能造成了较大的影响，在高并发场景下，极大影响了网络时延。
[0003]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0004]本公开的目的在于提供一种网络入侵检测方法、装置与电子设备，用于优化网络安全设备的处理器性能，至少在一定程度上提高网络安全设备的处理性能，避免因设备处理性能下降而降低业务处理能力和网络处理能力，导致网络时延增大。
[0005]根据本公开实施例的第一方面，提供一种网络入侵检测方法，包括：响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
[0006]在本公开的一种示例性实施例中，所述预设信息包括所述网络数据报文的源IP地址、目的IP地址、源端口、目的端口、协议。
[0007]在本公开的一种示例性实施例中，将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果包括：
[0008]如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；
[0009]如果所述预设信息不与所述白名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。
[0010]在本公开的一种示例性实施例中，所述交换芯片存储有第二黑名单信息，所述将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果包括：
[0011]如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；
[0012]如果所述预设信息不与所述白名单信息匹配，且与所述第二黑名单信息匹配，输出第三匹配结果，停止后续匹配动作；
[0013]如果所述预设信息不与所述白名单信息和所述第二黑名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。
[0014]在本公开的一种示例性实施例中，还包括：
[0015]监控所述处理器模块的使用率，在所述存储器模块的使用率大于预设值时，将新生成的黑名单信息存入所述交换芯片，以形成所述第二黑名单信息。
[0016]在本公开的一种示例性实施例中，根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文包括：
[0017]在所述匹配结果为所述第一匹配结果时，将所述目标网络会话标记为安全会话，并通过所述交换芯片直接转发所述目标网络会话对应的全部网络数据报文；
[0018]在所述匹配结果为所述第二匹配结果时，将所述目标网络会话标记为不安全会话，并通过所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
[0019]在本公开的一种示例性实施例中，所述根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文包括：
[0020]在所述匹配结果为所述第三匹配结果时，通过所述交换芯片丢弃所述目标网络会话对应的全部网络数据报文。
[0021]根据本公开实施例的第二方面，提供一种网络入侵检测装置，该网络入侵检测装置设置有交换芯片和处理器模块，包括：
[0022]信息提取模块，设置为响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；
[0023]前置匹配模块，设置为将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；
[0024]前置处理模块，设置为根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
[0025]根据本公开的第三方面，提供一种电子设备，包括：存储器；以及耦合到所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如上述任意一项所述的方法。
[0026]根据本公开的第四方面，提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现如上述任意一项所述的网络入侵检测方法。
[0027]本公开实施例通过将白名单信息存储在交换芯片中，并优先使用交换芯片中的白名单信息与目标网络会话的网络数据报文的提取信息进行匹配，可以根据匹配结果直接通过交换芯片转发该目标网络会话对应的全部网络数据报文，使安全流量无需经过处理器处理，直接在交换芯片被转发，可以极大降低处理器的负担，优化处理器性能，进而提高处理器的处理效率，在高并发场景下具有明显降低网络时延的效果。
[0028]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
[0029]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0030]图1是本公开示例性实施例中网络入侵检测方法的流程图。
[0031]图2是本公开一个实施例中步骤S2的子流程图。
[0032]图3是本公开另一个实施例中步骤S2的子流程图。
[0033]图4是本公开一个实施例中步骤S3的子流程图。
[0034]图5是本公开另一个实施例中步骤S3的子流程图。
[0035]图6是本公开一个实施例中网络入侵检测过程的设备和流程示意图。
[0036]图7是本公开示例性实施例中一种网络入侵检测装置的方框图。
[0037]图8是本公开示例性实施例中一种电子设备的方框图。
具体实施方式
[0038]现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络入侵检测方法，其特征在于，包括：响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。2.如权利要求1所述的网络入侵检测方法，其特征在于，所述预设信息包括所述网络数据报文的源IP地址、目的IP地址、源端口、目的端口、协议。3.如权利要求1所述的网络入侵检测方法，其特征在于，将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果包括：如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；如果所述预设信息不与所述白名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。4.如权利要求1所述的网络入侵检测方法，其特征在于，所述交换芯片存储有第二黑名单信息，所述将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果包括：如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；如果所述预设信息不与所述白名单信息匹配，且与所述第二黑名单信息匹配，输出第三匹配结果，停止后续匹配动作；如果所述预设信息不与所述白名单信息和所述第二黑名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。5.如权利要求4所述的网络入侵检测方法，其特征在于，还包括：监控所述处理器模块的使用率，在所述存储器模块的使用率大于预设值时，将新生成的黑名单信息存入所述交换芯片，以形成所述第二黑名单信息。6.如权利要求3
‑
5任一项所述的网络入侵检测方法，其特征在于，根据所述匹配结果，判断是否通过...

【专利技术属性】
技术研发人员：叶倩，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：