网络入侵检测方法、装置与电子设备与流程

1.本公开涉及计算机信息处理领域，具体而言,涉及一种网络入侵检测方法、装置与电子设备。


背景技术：

2.现有的网络安全设备通常使用中央处理器(cpu)对危险流量(网络入侵)进行识别和处理。随着网络流量的日益增长，异常攻击行为也在增长，这对网络安全设备的中央处理器的处理性能造成了较大的影响，在高并发场景下，极大影响了网络时延。
3.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

4.本公开的目的在于提供一种网络入侵检测方法、装置与电子设备，用于优化网络安全设备的处理器性能，至少在一定程度上提高网络安全设备的处理性能，避免因设备处理性能下降而降低业务处理能力和网络处理能力，导致网络时延增大。
5.根据本公开实施例的第一方面，提供一种网络入侵检测方法，包括：响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
6.在本公开的一种示例性实施例中，所述预设信息包括所述网络数据报文的源ip地址、目的ip地址、源端口、目的端口、协议。
7.在本公开的一种示例性实施例中，将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果包括：
8.如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；
9.如果所述预设信息不与所述白名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。
10.在本公开的一种示例性实施例中，所述交换芯片存储有第二黑名单信息，所述将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果包括：
11.如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；
12.如果所述预设信息不与所述白名单信息匹配，且与所述第二黑名单信息匹配，输出第三匹配结果，停止后续匹配动作；
13.如果所述预设信息不与所述白名单信息和所述第二黑名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。
14.在本公开的一种示例性实施例中，还包括：
15.监控所述处理器模块的使用率，在所述存储器模块的使用率大于预设值时，将新生成的黑名单信息存入所述交换芯片，以形成所述第二黑名单信息。
16.在本公开的一种示例性实施例中，根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文包括：
17.在所述匹配结果为所述第一匹配结果时，将所述目标网络会话标记为安全会话，并通过所述交换芯片直接转发所述目标网络会话对应的全部网络数据报文；
18.在所述匹配结果为所述第二匹配结果时，将所述目标网络会话标记为不安全会话，并通过所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
19.在本公开的一种示例性实施例中，所述根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文包括：
20.在所述匹配结果为所述第三匹配结果时，通过所述交换芯片丢弃所述目标网络会话对应的全部网络数据报文。
21.根据本公开实施例的第二方面，提供一种网络入侵检测装置，该网络入侵检测装置设置有交换芯片和处理器模块，包括：
22.信息提取模块，设置为响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；
23.前置匹配模块，设置为将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；
24.前置处理模块，设置为根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
25.根据本公开的第三方面，提供一种电子设备，包括：存储器；以及耦合到所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如上述任意一项所述的方法。
26.根据本公开的第四方面，提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现如上述任意一项所述的网络入侵检测方法。
27.本公开实施例通过将白名单信息存储在交换芯片中，并优先使用交换芯片中的白名单信息与目标网络会话的网络数据报文的提取信息进行匹配，可以根据匹配结果直接通过交换芯片转发该目标网络会话对应的全部网络数据报文，使安全流量无需经过处理器处理，直接在交换芯片被转发，可以极大降低处理器的负担，优化处理器性能，进而提高处理器的处理效率，在高并发场景下具有明显降低网络时延的效果。
28.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
29.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
30.图1是本公开示例性实施例中网络入侵检测方法的流程图。
31.图2是本公开一个实施例中步骤s2的子流程图。
32.图3是本公开另一个实施例中步骤s2的子流程图。
33.图4是本公开一个实施例中步骤s3的子流程图。
34.图5是本公开另一个实施例中步骤s3的子流程图。
35.图6是本公开一个实施例中网络入侵检测过程的设备和流程示意图。
36.图7是本公开示例性实施例中一种网络入侵检测装置的方框图。
37.图8是本公开示例性实施例中一种电子设备的方框图。
具体实施方式
38.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
39.此外，附图仅为本公开的示意性图解，图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
40.下面结合附图对本公开示例实施方式进行详细说明。
41.图1是本公开示例性实施例中网络入侵检测方法的流程图。
42.参考图1，网络入侵检测方法100可以包括：
43.步骤s1，响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；
44.步骤s2，将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；
45.步骤s3，根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
46.本公开实施例通过将白名单信息存储在交换芯片中，并优先使用交换芯片中的白
名单信息与目标网络会话的网络数据报文的提取信息进行匹配，可以根据匹配结果直接通过交换芯片转发该目标网络会话对应的全部网络数据报文，使安全流量无需经过处理器处理，直接在交换芯片被转发，可以极大降低处理器的负担，优化处理器性能，进而提高处理器的处理效率，在高并发场景下具有明显降低网络时延的效果。
47.下面，对网络入侵检测方法100的各步骤进行详细说明。
48.在步骤s1，响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息。
49.本公开实施例的方法可以通过入侵防御系统(intrusion-prevention system，ips，以下简称ips设备)来实现。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为，是对防病毒软件(antivirus programs)和防火墙(packet filter,application gateway)的补充。入侵防御系统具有处理器模块(包括cpu、内存等)和用于处理网络数据的交换芯片。本公开实施例通过交换芯片和处理器模块来进行网络入侵检测，以及处理网络流量(报文)数据。
50.当一个安全性未知的网络会话(后称目标网络会话)的网络数据报文到达ips设备的交换芯片时，可以设置交换芯片通过acl(access control list，访问控制列表)提取该网络数据报文中的预设信息，acl是指采用包过滤技术，读取网络数据报文的三层和四层包头中的信息，如根据预定义好的规则对报文数据包进行过滤，从而达到访问控制的目的。
51.在一个实施例中，预设信息例如可以包括源ip地址、目的ip地址、源端口、目的端口、协议等用于指示目标网络会话访问目的的信息。同一目标网络会话的报文，这些预设信息均相同，因此仅需提取目标网络会话中一个网络数据报文的预设信息，既可以对目标网络会话的安全性进行检测。在其他实施例中，当目标网络会话具有其他标识访问目的的属性，例如用户名、密码、密钥等等信息时，预设信息也可以包括其他对应的数据，只要预设信息能够有效检测目标网络会话的安全性即可。
52.在步骤s2，将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果。
53.交换芯片是用于提供子网内的高性能和低延时交换，实现网络流量在子网内的转发的网络设备芯片。在本公开实施例中，可以预先通过处理器模块对交换芯片下发白名单信息，以使交换信息执行网络入侵检测功能。
54.相比于将全部数据均转发给处理器模块进行处理，给处理器模块造成较大负担，在本公开实施例中，在交换芯片中存储白名单信息，并在交换芯片对预设信息与白名单信息进行匹配，以在处理器模块之前，通过执行效率较高的交换芯片对网络数据报文进行前置处理，可以极大降低处理器模块的负担。
55.白名单列表通常包括内部网络中已知的安全网段的信息，数量有限。由于白名单信息通常相对较少，交换芯片可以满足处理需求，因此本公开实施例的方法具有可实现性。
56.图2是本公开一个实施例中步骤s2的子流程图。
57.参考图2，在一个实施例中，步骤s2可以包括：
58.步骤s21，如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；
59.步骤s22，如果所述预设信息不与所述白名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。
60.交换芯片中存储的白名单信息可以包括白名单规则和白名单列表。其中，白名单规则可以用于记录具有何种特征的预设信息属于白名单预设信息，白名单列表可以用于直接记录满足白名单规则的多个预设信息。
61.在图2所示实施例中，可以首先将预设信息与白名单列表进行匹配，如果预设信息与白名单列表中的某一项完全匹配成功，则输出第一匹配结果，并标记该预设信息对应的目标网络会话为白名单会话，同时停止后续匹配动作。如果预设信息未记录在白名单列表中，可以使用白名单规则对预设信息进行检测，判断其是否符合白名单规则，如果符合，则将该预设信息记录在白名单列表中，同时将该预设信息对应的目标网络会话为白名单会话，输出第一匹配结果，停止后续匹配动作；如果不符合，则交换芯片将该网络数据报文发送到处理器模块继续进行检测。
62.表1是白名单列表的示意。
63.表1：
64.源ip地址目的ip地址源端口目的端口协议动作192.168.1.1————80tcppass192.168.1.1————443tcppass....................................
65.参考表1，白名单列表可以记录符合白名单规则的预设信息的组合，以及与每个预设信息的组合对应的动作。当一个网络数据报文对应的源ip地址、目的ip地址、源端口、目的端口、协议均与白名单列表中的某一行数据完全匹配时，执行该行数据对应的动作。白名单列表中记录的动作即步骤s3中第一匹配结果对应的执行逻辑。
66.表1中示例性将动作简化表示通过(pass)，实际上，该动作可以对应一或多个函数的调用，该一或多个函数被执行以对该组预设信息对应的目标网络会话进行标记操作，以及对该组目标网络会话对应的后续网络数据报文进行与标记对应的操作。例如，可以设置与白名单列表匹配的一组预设信息对应的动作为：将该预设信息对应的目标网络会话标记为安全会话，对该安全会话对应的全部网络数据报文均在交换芯片中予以直接转发到出接口(至下游设备)，无需经过处理器模块。
67.虽然上例和表1中仅示出一种动作，但是本领域技术人员可以理解的是，对于白名单列表中不同组的预设信息，可以设置不同的动作，不同动作也可以指示为目标网络会话进行不同的标记，进而对目标网络会话的后续网络数据报文进行不同的操作。
68.在步骤s22，如果预设信息未与交换芯片存储的白名单信息匹配，则该交换芯片将网络数据报文发送给处理器模块进行下一步检测。
69.由于通过黑名单防护的流量往往包含一些较大的异常流，黑名单信息的数据量较大，因此，主要通过处理器模块处理黑名单信息。
70.本公开实施例中，处理器模块仅存储有第一黑名单信息，第一黑名单信息例如包括预定义黑名单规则、自学习黑名单规则、黑名单列表，其中，黑名单列表和预定义黑名单规则用于对预设信息进行匹配，自学习黑名单规则用于使处理器模块根据对报文处理过程的反馈和学习，自动生成黑名单列表，甚至，更新预定义黑名单规则。在一个实施例中，处理
器模块存储的第一黑名单信息还可以包括后续用户自定义的黑名单列表，以及处理器模块根据自学习黑名单规则生成的新的黑名单列表。
71.此外，处理器模块存储的第一黑名单信息例如可以存储在非易失性存储器(nonvolatile memory)上，例如ssd(固态硬盘)、flash(闪存)以及各类rom(只读存储器)，在cpu启动后将黑名单信息加载到内存或缓存中，以执行对网络数据报文的匹配和处理。
72.在一些实施例中，也可以在cpu启动后，通过网络通讯将黑名单信息下发到处理器模块(下发位置例如为内存或缓存)，以对处理器模块提供更灵活和更具有实时性的黑名单信息。对应地，也可以同时将白名单信息下发到交换芯片，实现对白名单信息和黑名单信息的同时下发和更新。
73.在步骤s22，处理器模块首先判断预设信息是否与黑名单列表中的信息相匹配，匹配原理与步骤s21中的白名单列表匹配相同，于此不再赘述。需要注意的是，在该步骤中黑名单列表可以包括处理器模块预先存储的黑名单列表、后续用户自定义的黑名单列表，以及处理器模块根据自学习黑名单规则新生成的黑名单列表。
74.如果匹配，则输出第二匹配结果；如果不匹配，则将预设信息与预定义黑名单规则相匹配，并在匹配时输出第二匹配结果。如果仍旧不匹配，则按照网络数据报文的信息进行正常处理，例如，将该网络数据报文转发到下游设备。
75.在本公开一个实施例中，为了进一步降低处理器负担，还可以将一部分黑名单信息存储在交换芯片上，进而，将一部分黑名单信息匹配工作转移给交换芯片。
76.图3是本公开另一个实施例中步骤s2的子流程图。
77.参考图3，在另一个实施例中，步骤s2可以包括：
78.步骤s21，如果所述预设信息与所述白名单信息匹配，输出第一匹配结果，停止后续匹配动作；
79.步骤s23，如果所述预设信息不与所述白名单信息匹配，且与所述第二黑名单信息匹配，输出第三匹配结果，停止后续匹配动作；
80.步骤s24，如果所述预设信息不与所述白名单信息和所述第二黑名单信息匹配，且与所述第一黑名单信息匹配，输出第二匹配结果。
81.在图3所示实施例中，可以在交换芯片上存储一部分黑名单信息(称为第二黑名单信息)，进而使交换芯片在对预设信息进行白名单信息匹配且匹配不成功时，继续在交换芯片上对预设信息进行黑名单信息匹配，并在匹配成功时，输出第三匹配结果，停止后续动作。需要说明的是，在执行步骤s23之前，可以首先检测交换芯片中是否存储有第二黑名单信息，如果存储有第二黑名单信息，则执行步骤s23，否则，执行图2所示实施例中的步骤s22。
82.第二黑名单信息既可以包括处理器模块根据自学习黑名单规则新生成的黑名单列表，也可以包括一部分预先存储的黑名单列表或者黑名单规则。
83.在本公开的一个实施例中，可以监控处理器模块的使用率，在处理器模块的使用率大于预设值时，将新生成的黑名单信息存入交换芯片，以形成第二黑名单信息。该预设值例如为80％，即当cpu使用率达到80％时，cpu自学习到的黑名单列表以及后续用户自定义的黑名单列表就会被下发到交换芯片上。
84.在步骤s24，如果交换芯片对预设信息进行白名单信息匹配和黑名单信息匹配后，
均为不匹配，则交换芯片将网络数据报文转发到处理器模块，由处理器模块继续使用第一黑名单信息对网络数据报文的预设信息进行匹配，并在匹配成功时输出第二匹配结果。
85.表2是黑名单列表的示意图。表2的黑名单列表可以为处理器模块预先存储的黑名单列表、后续用户自定义的黑名单列表、处理器模块自学习生成的黑名单列表。为了提高数据处理效率，可以将交换芯片和处理器模块中存储的黑名单列表设置为同一个格式。
86.表2：
87.源ip地址目的ip地址源端口目的端口协议动作1.1.1.1————80tcpblock1.1.1.1————443tcpblock....................................
88.表2所示的动作与表1所示的动作的含义一致，下面在步骤s3中进行详细解释。
89.在步骤s3，根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
90.图4是本公开一个实施例中步骤s3的子流程图。图4所示实施例可以应用于对图2所示实施例的后续处理。
91.参考图4，在一个实施例中，步骤s3可以包括：
92.步骤s31，在所述匹配结果为所述第一匹配结果时，将所述目标网络会话标记为安全会话，并通过所述交换芯片直接转发所述目标网络会话对应的全部网络数据报文；
93.步骤s32，在所述匹配结果为所述第二匹配结果时，将所述目标网络会话标记为不安全会话，并通过所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
94.在图4所示实施例中，表1对应的动作可以指示交换芯片将预设信息对应的目标网络会话标记为安全会话，并在后续直接转发该目标网络会话对应的全部网络数据报文到出接口。即，通过交换芯片前置处理一部分流量，降低处理器模块的处理负担，提高处理器模块的处理效率。
95.处理器模块存储的黑名单列表(形式可以如表2)对应的动作可以指示处理器模块将预设信息对应的目标网络会话标记为不安全会话，并丢弃该目标网络会话对应的后续全部网络数据报文。
96.在一个实施例中，当处理器模块输出第二匹配结果后，也可以将该第二匹配结果传输给交换芯片，由交换芯片在后续拦截并丢弃该目标网络会话对应的后续全部网络数据报文，进一步降低处理器模块的负担，提高数据处理效率。
97.图5是本公开另一个实施例中步骤s3的子流程图。图5所示实施例可以应用于对图3所示实施例的后续处理。此外，图5所示实施例与图4所示实施例配合执行。
98.参考图5，在一个实施例中，步骤s3可以包括：
99.步骤s33，在所述匹配结果为所述第三匹配结果时，通过所述交换芯片丢弃所述目标网络会话对应的全部网络数据报文。
100.当交换芯片存储有第二黑名单信息，并根据该第二黑名单信息与网络数据报文的预设信息的匹配输出第三匹配结果时，可以直接在交换芯片中将目标网络会话标记为不安全会话，并在后续直接通过交换芯片丢弃所述目标网络会话对应的全部网络数据报文。
101.通过使用交换芯片直接转发或者直接丢弃一个目标网络会话对应的全部网络数据报文，可以有效优化cpu性能，降低网络时延。
102.下面通过具体实施例来对上述方法100进行详细说明。
103.图6是本公开一个实施例中网络入侵检测过程的设备和流程示意图。
104.参考图6，ips设备60连接有上游设备61和下游设备62。ips设备60中设置有交换芯片601和cpu芯片602，交换芯片601存储有白名单acl列表和第二黑名单acl列表，cpu芯片602存储有第一黑名单acl列表。图6所示的白名单acl列表例如为表1所示的形式，第一黑名单acl列表和第二黑名单acl列表例如为表2所示的形式。
105.结合图6和表1、表2进行说明。
106.当上游设备61的数据流量进入ips设备60，流量(网络数据报文)中带有1.1.1.1和192.168.1.1访问内部80和443端口的流量(如表1和表2中记录的一共四条报文)时，交换芯片601使用白名单列表对该流量信息进行匹配，源ip地址为192.168.1.1的两个报文匹配上白名单列表，ips设备60将这两个报文对应的网络会话打上白名单标记，交换芯片601直接将这两个流量及其对应的网络会话的后续流量进行转发，将其转发到下游设备62。
107.其他流量继续上送到cpu芯片602，cpu芯片602提取目标网络会话的网络数据报文的五元组信息(上述的源ip地址、目的ip地址、源端口、目的端口、协议)，与黑名单列表进行匹配，此时源ip地址为1.1.1.1的两个报文匹配上了黑名单列表，ips设备60将这两个报文对应的网络会话均打上黑名单标记，丢弃报文。后续同一会话的报文进入ips设备60，只要一查其对应的会话带有黑名单标记就会直接丢弃。
108.在一个场景中，如果报文信息未与cpu芯片602上存储的黑名单acl列表相匹配，则cpu芯片602可以对该报文以及该报文对应的网络会话的后续报文进行正常处理，例如转发到下游设备62。
109.cpu芯片602上的cpu监控程序(未示出)监控cpu使用率，如果发现cpu使用率达到80％，就将新增的黑名单列表下发到交换芯片601上。
110.上游设备61的流量继续进入ips设备60，流量先在交换芯片601上与白名单列表匹配，如果未匹配成功，再与交换芯片601上的黑名单列表匹配，如果匹配成功，则交换芯片601直接将报文丢弃，减少cpu使用率。
111.综上所述，本公开实施例可以根据cpu性能，动态调整黑白名单检测规则，将cpu和交换芯片上的acl列表结合使用，提高cpu性能和数据转发性能。
112.对应于上述方法实施例，本公开还提供一种网络入侵检测装置，可以用于执行上述方法实施例。
113.图7是本公开示例性实施例中一种网络入侵检测装置的方框图。图7所示的网络入侵检测装置例如为图6所示的ips设备60。
114.参考图7，网络入侵检测装置700设置有处理器模块和交换芯片，还可以包括以下逻辑功能模块：
115.信息提取模块71，设置为响应目标网络会话的会话请求，接收与所述目标网络会话对应的网络数据报文，并提取所述网络数据报文的预设信息；
116.前置匹配模块72，设置为将所述预设信息顺次与交换芯片存储的白名单信息、处理器模块存储的第一黑名单信息进行匹配，以得到匹配结果；
117.前置处理模块73，设置为根据所述匹配结果，判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文，或者，是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据报文。
118.由于装置700的各逻辑功能模块的功能已在其对应的方法实施例中予以详细说明，本公开于此不再赘述。
119.应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
120.在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。
121.所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
122.下面参照图8来描述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
123.如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。
124.其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元810执行，使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元810可以执行如本公开实施例所示的方法。
125.存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)8201和/或高速缓存存储单元8202，还可以进一步包括只读存储单元(rom)8203。
126.存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204，这样的程序模块8205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
127.总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
128.电子设备800也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口850进行。并且，电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器860通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
129.总体而言，本公开涉及一种网络入侵检测方法及装置，其通过优化cpu性能来实现，实施在ips(入侵防御系统)中，由此避免因设备处理性能下降而降低业务处理能力和网络处理能力。入侵防御系统用交换芯片来实现acl。一般黑名单防护的流量往往是包含了一些较大的异常流，白名单往往是内部网络中已知的安全网段。所以黑名单检测的规则数量很多，白名单的检测规则数量则就较少。交换芯片执行效率很高，但是资源有限，不可能把所有的规则都下到交换芯片上。所以我们可以将规则数量较少的白名单的规则都下发到交换芯片上，直接转发，提高效率。黑名单主要是下在cpu上，待cpu性能达到瓶颈了，再将黑名单下到交换芯片上，通过acl规则进行丢弃，从而平衡cpu的处理性能。白名单模块用于用户配置白名单规则，包括源目ip、源目端口、协议。白名单模块存储白名单列表w_list，下发到交换芯片上。黑名单模块分为预定义黑名单规则和自学习黑名单规则，包括源目ip、源目端口、协议。黑名单模块存储黑名单列表b_list，下发到cpu芯片上。白名单匹配模块在报文被上送到ips设备时，流量先经过交换芯片，匹配白名单acl列表，当匹配成功时，则在会话上打上白名单的标记，直接转发到出接口。否则继续上送到cpu进行业务处理。黑名单匹配模块，设备刚运行时，当报文被上送到ips设备时，流量先上cpu进行黑名单匹配，如果匹配成功，则会话会被打上黑名单标记，并直接丢弃。当cpu使用率达到80％时，设备自学习到的黑名单列表以及后续用户自定义的黑名单列表就会被下发到交换芯片上。所以此时，当报文上送到ips设备时，先判断交换芯片上是否存在黑名单列表，如果有，则先在交换芯片上匹配黑名单列表，当匹配成功时，则会话上被打上黑名单标记，并直接丢弃。否则继续上送到cpu进行检测。上游设备的数据流量进入ips设备，流量中带有1.1.1.1和192.168.1.1访问内部80和443端口的流量。交换芯片匹配白名单规则列表，192.168.1.1匹配上白名单列表，设备将该会话打上白名单标记。交换芯片直接将该流量转发。其他流量继续上送到cpu模块，cpu模块提取会话的五元组信息，与黑名单列表进行匹配，此时1.1.1.1的会话匹配上了黑名单列表，设备将该会话打上黑名单标记，丢弃报文。后续同一会话的报文进行设备，只要一查带有黑名单标记就会直接丢弃。cpu监控模块监控cpu使用率，此时发现cpu使用率达到80％，就会将新增的黑名单列表下发到交换芯片上。上游设备的数据继续进入ips设备，流量先匹配白名单列表，未匹配成功，再匹配黑名单列表，匹配成功，交换芯片直接将数据丢弃。从而减少了cpu使用率。
130.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
131.在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
132.根据本发明的实施方式的用于实现上述方法的程序产品可以采用便携式紧凑盘
只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
133.所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
134.计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
135.可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
136.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
137.此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。
138.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和构思由权利要求指出。