CN104753862A - 一种提高网络安全性的方法及装置 - Google Patents

一种提高网络安全性的方法及装置 Download PDF

Info

Publication number
CN104753862A
CN104753862A CN201310740440.6A CN201310740440A CN104753862A CN 104753862 A CN104753862 A CN 104753862A CN 201310740440 A CN201310740440 A CN 201310740440A CN 104753862 A CN104753862 A CN 104753862A
Authority
CN
China
Prior art keywords
subnet
attack source
attack
attacked
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310740440.6A
Other languages
English (en)
Inventor
吴晓昕
李金明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310740440.6A priority Critical patent/CN104753862A/zh
Priority to EP14199564.7A priority patent/EP2889798B1/en
Priority to US14/583,367 priority patent/US9762594B2/en
Publication of CN104753862A publication Critical patent/CN104753862A/zh
Priority to US15/641,841 priority patent/US10476897B2/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种提高网络安全性的方法及装置,涉及网络通信技术领域,能够一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警。本发明的方法包括:控制节点获取报警信息;报警信息包括对至少两个子网中的子网进行攻击的攻击源的地址信息和至少两个子网中受到攻击的子网的识别信息;控制节点利用报警信息,按照威胁程度的由高到低的顺序,对攻击源进行排序,并将排序结果作为黑名单;控制节点将所获取的黑名单发送到网络系统中至少一个尚未受到攻击的子网。本发明适用于多个子网之间的协同防御。

Description

一种提高网络安全性的方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种提高网络安全性的方法及装置。 
背景技术
目前为了提高网络的安全性,需要一个子网中的各个网络设备与网络安全设备之间实现联动,使得子网在受到攻击时子网中的各个网络设备能够进行协同防御,而为了实现网络设备与网络安全设备之间联动,网络安全设备的制造商需要提供接口协议,而网络设备的制造商则可以根据网络安全设备的制造商提供的接口协议开发相应的通信模块,从而实现网络设备与网络安全设备之间实现联动。 
但是,对于具有多个子网的网络系统,在一个子网受到攻击源攻击时,只有直接受到攻击的子网会执行相应的安全策略,因此同一攻击源只需对网络系统中不同的子网进行相同的攻击,若其中的一个子网防御措施不足或安全性较差,则很容易被攻破,从而降低了整个网络系统的安全性。 
发明内容
本发明的实施例提供一种提高网络安全性的方法及装置,降低网络系统中除当前受到攻击的子网外的尚未被攻击的子网被攻破的可能性,从而提高了整个网络系统的安全性。 
为达到上述目的,本发明的实施例采用如下技术方案: 
第一方面,本发明的实施例提供一种提高网络安全性的方法,所述网络包括控制节点和与所述控制节点具有通信连接的至少两个子网,所述方法包括: 
所述控制节点获取报警信息;所述报警信息包括对所述至少两个子网中的 子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息; 
所述控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单; 
所述控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网。 
结合第一方面,在第一方面的第一种可能的实现方式中,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括: 
利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量; 
按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。 
结合第一方面或第一种可能的实现方式,在第二种可能的实现方式中,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括: 
利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量; 
按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。 
结合第一方面,在第三种可能的实现方式中,在对所述攻击源进行排序之前,进一步包括: 
确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量; 
根据每一个攻击源的威胁信息获取每一个攻击源的威胁值; 
相应地,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单,包括:利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。 
结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中,在对所述攻击源进行排序之前,还包括: 
根据rs=[(I-aW)-1-I]·bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址; 
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单,包括: 
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度; 
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
结合第一方面的第四种可能的实现方式,在第五种可能的实现方式中,在对所述攻击源进行排序之前,还包括: 
确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和; 
根据每一个子网的受害信息获取脆弱程度值; 
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单包括: 
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度; 
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
结合第一方面的各种可能的实现方式,在第六种可能的实现方式中,所述控制节点获取报警信息包括: 
所述控制节点从所述子网发送的Openflow异步消息中获取所述报警信息。 
第二方面,本发明的实施例提供一种提高网络安全性的装置,所述网络包括控制节点和与所述控制节点具有通信连接的至少两个子网,所述装置包括: 
报警信息接收模块,用于获取报警信息;所述报警信息包括对所述至少两 个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息; 
分析模块,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单; 
发布模块,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网。 
结合第二方面,在第二方面的第一种可能的实现方式中,所述分析模块包括: 
受害子网统计单元,用于利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量; 
第一生成单元,用于按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。 
结合第二方面或第一种可能的实现方式,在第二种可能的实现方式中,所述分析模块包括: 
受害端口统计单元,用于利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量; 
第二生成单元,用于按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。 
结合第二方面,在第三种可能的实现方式中,进一步包括: 
第一信息采集模块,用于在对所述攻击源进行排序之前,确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所 述一个攻击源攻击的端口数量; 
第一攻击源评估模块,用于根据每一个攻击源的威胁信息获取每一个攻击源的威胁值; 
所述分析模块还包括第三生成单元,用于利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。 
结合第二方面的第三种可能的实现方式,在第四种可能的实现方式中,还包括: 
关联模块,用于在对所述攻击源进行排序之前,根据rs=[(I-aW)-1-I]·bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址; 
相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
结合第二方面的第四种可能的实现方式,在第五种可能的实现方式中,还包括: 
第二信息采集模块,用于在对所述攻击源进行排序之前,确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网 被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和; 
子网评估模块,用于根据每一个子网的受害信息获取脆弱程度值; 
相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
结合第二方面的各种可能的实现方式,在第六种可能的实现方式中,所述报警信息接收模块,具体用于从所述子网发送的Openflow异步消息中获取所述报警信息。 
本发明实施例提供的提高网络安全性的方法及装置,能够对网络系统中的各个子网被攻击后上报的报警信息,并根据各个子网上报的报警信息确定威胁较大的攻击源,并可以根据攻击源的威胁程度生成黑名单,再将黑名单发送至网络系统中的子网,以便子网可以利用黑名单采取相应的防御措施,以防范黑名单中记载的攻击源。相对于现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个或多个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的其他尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对此次攻击的攻击源做好防御准备,使得同一攻击源在攻击了一个子网后即使对尚未被攻击的子网进行攻击,由于其他的子网可以做好防御准备,则降低被攻破的可能性,从而提高了整个网络系统的安全性。 
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。 
图1为本发明实施例提供的提高网络安全性的方法的流程示意图; 
图1a为本发明实施例提供的一种网络架构实例的示意图; 
图2a为本发明实施例提供的提高网络安全性的方法的一种具体实施方式的流程示意图; 
图2b为本发明实施例提供的提高网络安全性的方法的另一种具体实施方式的流程示意图; 
图2c为本发明实施例提供的提高网络安全性的方法的再一种具体实施方式的流程示意图; 
图3a为本发明实施例提供的提高网络安全性的方法的一种信息交互流程的示意图; 
图3b为本发明实施例提供的提高网络安全性的方法的另一种信息交互流程的示意图; 
图4为本发明实施例提供的提高网络安全性的装置的结构示意图; 
图5、6、7、8、9为本发明实施例提供的提高网络安全性的装置的具体实施方式的结构示意图; 
图10本发明实施例提供的一种用于实施本发明技术方案的设备的结构示意图。 
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。 
本发明实施例可以用于一种网络系统,在网络系统包括了控制节点和至少二个与所述控制节点相连的子网。 
本发明实施例提供了一种提高网络安全性的方法,如图1所示,包括: 
101,所述控制节点获取报警信息。 
其中,所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息。具体的,控制节点可以从子网发送的Openflow异步消息中获取报警信息。 
在本实施例中,控制节点可以是网络系统中的控制器、服务器等设备,并且控制节点可以与网络系统中各个子网的交换机进行通信,例如:如图1a所示,在网络系统中作为控制节点的Openflow Controller可以与各个子网1、2、3的Openflow Switch进行数据交互。并且在网络系统中还可以包括诸如IDS(Intrusion Detection System,入侵检测系统)、网关等实现网络系统的防御功能所需的网元设备。当一个子网的入侵检测防护设备比如IDS,检测到这一个子网受到攻击时,则入侵检测防护设备可以通知这一个子网的交换机比如Openflow Switch。子网的交换机在收到了入侵检测防护设备的通知后,可以收集攻击源的地址信息比如IP地址、受到攻击的子网的地址信息、子网中受到攻击的各个端口的端口信息等信息。之后子网的交换机可以将所收集到的信息打包成报警信息发送至网络系统中的控制器,比如:子网的Openflow Switch可以将所收集到的攻击源的地址信息比如IP地址、受到攻击的子网的地址信息、子网中受到攻击的各个端口的 端口信息等信息添加进Openflow异步消息,并将Openflow异步消息发送至网络系统中的Openflow Controller。需要说明的是,子网的交换机可以通过IDS采取DDoS攻击IP追踪及攻击源定位技术等技术手段获取攻击源的地址信息。 
102,所述控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单。 
在本实施例中,控制节点可以对子网的交换机发送的报警信息进行分析,并根据分析结果确定各个攻击源的威胁程度,再对各个攻击源按照威胁程度的由高到低的顺序进行排序,并将排序结果作为黑名单。 
例如:在网络系统中,各个子网重要程度往往并不相同,控制节点可以将指定时间段内攻击源针对重要子网的攻击次数作为评判威胁程度的一种评判标准,控制节点可以由各个子网的交换机所上报的报警信息,统计出在一定的时间段内,某一个攻击源针对重要子网的攻击次数,比如:网络系统是一个运营商的数据中心网络,在数据中心网络中包括了子网1、子网2和子网3这三个子网。其中子网3提供了WEB服务、Email服务等业务,涉及运营商的商业利益的,而子网1和子网2则主要用来测试,并不涉及太多运营商的商业利益。因此子网3的重要程度高于子网1和子网2。在1个小时内,子网1的交换机向控制节点上报了10次报警信息,并且在其中的9个报警信息包括了攻击源A的地址信息,其中的4个报警信息包括了攻击源B的地址信息,其中的1个报警信息包括了攻击源C的地址信息;子网2的交换机向控制节点上报了5次报警信息,并且在其中的5个报警信息包括了攻击源A的地址信息,其中的3个报警信息包括了攻击源B的地址信息,其中的2个报警信息包括了攻击源C的地址信息;子网3的交换机向控制节点上报了2次报警信息,并且在其中的1个报警信息包括了攻击源A的地址信息,其中的2个报警信息包括了攻击源B的地址信息,其中的没有报警信息包括攻击源C 的地址信息;控制节点可以统计出在1个小时内,攻击源A针对子网3总共实施了攻击了16次攻击,攻击源B对网络系统中的各个子网总共实施了攻击了8次攻击,攻击源C对网络系统中的各个子网总共实施了攻击了3次攻击,因此可以得到如表一所示的黑名单 
序号 攻击源地址 针对子网3的攻击次数/h
1 192.168.4.111(攻击源B) 2
2 192.168.4.283(攻击源A) 1
3 192.168.4.132(攻击源C) 0
表一 
其中,序号越靠前说明攻击源的威胁程度越高。 
103,所述控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网。 
在本实施例中,控制节点可以将所获取的黑名单发送给子网的交换机,以便于子网接的交换机利用收到的黑名单采取多种技术手段来自黑名单所包括的攻击源的防御网络攻击。例如:子网的交换机在接收到黑名单后,可以禁止黑名单上排名前几位(比如前2位、前3位、前4位等)的攻击源地址信息,并停止接受来自这些攻击源的数据包。再例如:子网的交换机在接收到黑名单后,可以将黑名单进一步下发至子网中的各个网元,子网中的各个网元可以根据黑名单,利用杀毒软件、防火墙等防御工具对来自黑名单显示的攻击源的数据包采取数据查杀、拦截来自攻击源的APP消息等防御技术手段。 
本发明实施例提供的提高网络安全性的方法,能够对网络系统中的各个子网被攻击后上报的报警信息,并根据各个子网上报的报警信息确定威胁较大的攻击源,并可以根据攻击源的威胁程度生成黑名单,再将黑名单发送至网络系 统中的子网,以便子网可以利用黑名单采取相应的防御措施,以防范黑名单中记载的攻击源。相对于现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对此次攻击的攻击源做好防御准备,使得同一攻击源在攻击了一个子网后即使对尚未被攻击的子网进行攻击,由于其他的子网可以做好防御准备,则降低被攻破的可能性,从而提高了整个网络系统的安全性。 
可选的,在图1所示的方案中,102中对攻击源进行排序的具体实现方式可以有多种。例如在图2a所示的具体方案中,102可以包括: 
1021a,利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量。 
举个例子:控制节点可以由各个子网的交换机所上报的报警信息,统计出在一定的时间段内,某一个攻击源对整个网络系统的攻击次数,比如:网络系统中包括了子网1、子网2和子网3这三个子网,并且每一个子网都可以通过交换机与控制节点通信。控制节点可以将指定时间段内攻击源针对网络系统的攻击次数作为评判威胁程度的一种评判标准,比如:在1个小时内,子网1的交换机向控制节点上报了10次报警信息,并且在其中的9个报警信息包括了攻击源A的地址信息,其中的4个报警信息包括了攻击源B的地址信息,其中的1个报警信息包括了攻击源C的地址信息;子网2的交换机向控制节点上报了5次报警信息,并且在其中的5个报警信息包括了攻击源A的地址信息,其中的3个报警信息包括了攻击源B的地址信息,其中的2个报警信息包括了攻击源C的地址信息;子网3的 交换机向控制节点上报了2次报警信息,并且在其中的2个报警信息包括了攻击源A的地址信息,其中的1个报警信息包括了攻击源B的地址信息,其中的没有报警信息包括攻击源C的地址信息;控制节点可以统计出在1个小时内,攻击源A对网络系统中的各个子网总共实施了攻击了16次攻击,攻击源B对网络系统中的各个子网总共实施了攻击了8次攻击,攻击源C对网络系统中的各个子网总共实施了攻击了3次攻击,因此可以得到如表二所示的黑名单 
序号 攻击源地址 攻击次数/h
1 192.168.4.283(攻击源A) 16
2 192.168.4.111(攻击源B) 8
3 192.168.4.132(攻击源C) 3
表二 
其中,序号越靠前说明攻击源的威胁程度越高。 
1022a,按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。 
例如:在1021a的具体举例中,排序结果为攻击源A-攻击源B-攻击源C,控制节点可以将这个排序结果作为黑名单发送给各个子网。 
本发明实施例提供的提高网络安全性的方法,能够对网络系统中的各个子网被攻击后上报的报警信息,并根据被各个攻击源攻击的子网数量确定威胁较大的攻击源,并可以根据攻击源的威胁程度生成黑名单,再将黑名单发送至网络系统中的子网,以便子网可以利用黑名单采取相应的防御措施,尤其是可以防范黑名单中记载的对于网络系统进行攻击较为频繁的攻击源,而攻击较为频繁的攻击源往往都是威胁程度较大的攻击源,需要重点防范。相对于现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个子网受到攻击时就将对此次攻击的攻击 源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对对于网络系统进行攻击较为频繁做好防御准备,使得威胁程度较大的攻击源在攻击了一个子网后即使对尚未被攻击的子网进行攻击,由于其他的子网可以针对威胁程度较大的攻击源做好防御准备,则可以进一步降低被威胁程度较大的攻击源攻破的可能性,从而提高了整个网络系统的安全性。 
并列可选的,在图1所示的方案中,对攻击源进行排序的具体实现方式,还可以实现为图2b所示的方案,其中102可以包括: 
1021b,利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量。 
其中,攻击源攻击的端口可以是网络系统中的物理端口、逻辑端口或协议端口。例如:控制节点可以对网络系统中的集线器、交换机、路由器等物理端口进行监控,并通过分析用于攻击这些物理端口的数据包的来源地址确定攻击源,并统计出每一个攻击源攻击的物理端口的数量,比如可以得到如表三所示的攻击源攻击各个端口的次数: 
  攻击源A 攻击源B 攻击源C
交换机1 1 5 6
交换机2 3 5 2
路由器 2 5 1
表三 
其中,攻击源A对交换机1攻击了1次,对交换机2攻击了3次,对路由器攻击了2次;攻击源B对交换机1攻击了5次,对交换机2攻击了5次,对路由器攻击了5 次;攻击源C对交换机1攻击了6次,对交换机2攻击了3次,对路由器攻击了1次。根据所攻击的物理接口的次数大小,控制节点可以获取黑名单:攻击源B-攻击源C-攻击源A。 
同样的,控制节点可以监控攻击源对于承载逻辑端口的设备的攻击情况,并确定黑名单。或是监控攻击源对于使用相同协议端口的设备的攻击情况,并确定黑名单。 
1022b,按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。 
从实际应用的角度来看,攻击源在对网络系统进行攻击时,往往会将网络系统中的各个端口作为直接的攻击对象,因此也可以将攻击源攻击的网络系统中的端口数量,作为分析攻击源威胁程度的参数,在一定时间内攻击源所攻击的端口数量越多,则说明这个攻击源越危险。 
本发明实施例提供的提高网络安全性的方法,能够对网络系统中的各个子网被攻击后上报的报警信息,并根据被各个攻击源攻击的端口数量确定威胁较大的攻击源,并可以根据攻击源的威胁程度生成黑名单,再将黑名单发送至网络系统中的子网,以便子网可以利用黑名单采取相应的防御措施,尤其是可以防范黑名单中记载的对于网络系统进行攻击较为频繁的攻击源,而攻击较为频繁的攻击源往往都是威胁程度较大的攻击源,需要重点防范。相对于现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对对于网络系统进行攻击较为频繁做好防御准备,使得威胁程度较大的攻击源在攻击了一个子网后即使对尚未被攻击的 子网进行攻击,由于其他的子网可以针对威胁程度较大的攻击源做好防御准备,则可以进一步降低被威胁程度较大的攻击源攻破的可能性,从而提高了整个网络系统的安全性。 
并列可选的,102也可以具体实现为如图2c所示的方案,其中可以包括: 
1021c,在对所述攻击源进行排序之前,确定每一个攻击源的威胁信息。 
其中,威胁信息包括:这一个攻击源进行攻击的持续时间、来自这一个攻击源的数据量、被这一个攻击源攻击的子网数量和被这一个攻击源攻击的端口数量。 
在本实施例中,控制节点也可以根据攻击源进行攻击的持续时间、来自这攻击源的数据量、被这攻击源攻击的子网数量和被这攻击源攻击的端口数量等多种参数,确定攻击源的威胁程度。对于用于确定攻击源的威胁程度的不同种类的参数,控制节点可以采用加权求和等标准化计算方式,并得到对应于每一个攻击源的标准化计算的结果。控制节点可以将攻击源的标准化计算的结果作为反映攻击源的威胁程度的一种量化数据,并根据标准化计算的结果从大到小的顺序对攻击源进行排序,并将排序的结果作为黑名单。 
1022c,根据每一个攻击源的威胁信息获取每一个攻击源的威胁值。 
例如:控制节点根据各个子网上报的报警信息得到:1、攻击源A的进行攻击的持续时间为600s;2、来自攻击源A的数据为21M;3、网络系统中被攻击源A攻击的子网数量为8个;4、被攻击源A攻击的物理端口数量为21个。上述4个参数在标准化计算中的权值分别为A1、A2、A3和A4, 
则威胁值=600*A1+21*A2+8*A3+21*A4
1023c,利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对 各个攻击源进行排序,并将排序结果作为黑名单。 
本发明实施例提供的提高网络安全性的方法,能够对网络系统中的各个子网被攻击后上报的报警信息,并可以根据攻击源的威胁信息中的多种参数综合评判威胁较大的攻击源,并可以根据攻击源的威胁程度生成黑名单,再将黑名单发送至网络系统中的子网,以便子网可以利用黑名单采取相应的防御措施,以防范黑名单中记载的攻击源。相对于现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对此次攻击的攻击源做好防御准备,使得同一攻击源在攻击了一个子网后即使对尚未被攻击的子网进行攻击,由于其他的子网可以做好防御准备,则降低被攻破的可能性,从而提高了整个网络系统的安全性。 
在本实施例中,控制节点可以通过图2a、图2b、图2c的具体实施方式,根据网络系统被攻击的情况生成一份黑名单,并将所生成的这一份黑名单发给所有的子网。控制节点也可以针对每一个子网分别生成不同的黑名单,使得一个子网的黑名单能够进一步的适应这一个子网的特点或网络安全情况,从而实现网络系统中不同子网的个性化防御。因此本发明实施例还提供了一种如图3a所示的方案,其中包括: 
301,所述控制节点从所述子网发送的Openflow异步消息中获取所述报警信息。 
其中,所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源 的地址信息和所述至少两个子网中受到攻击的子网的识别信息。 
302,确定每一个攻击源的威胁信息。 
其中,威胁信息包括:一个攻击源进行攻击的持续时间、来自这一个攻击源的数据量、被这一个攻击源攻击的子网数量和被这一个攻击源攻击的端口数量。 
303,根据每一个攻击源的威胁信息获取每一个攻击源的威胁值。 
其中,控制节点可以对每一个攻击源的威胁信息进行标准化计算并将所得到的结果作为威胁值。例如:控制节点可以对一个攻击源进行攻击的持续时间、来自这一个攻击源的数据量、被这一个攻击源攻击的子网数量和被这一个攻击源攻击的端口数量等参数进行加权求和,并将加权求和的结果作为威胁值。 
304,根据rs=[(I-aW)-1-I]·bs,确定每一个攻击源与所有被攻击的子网之间的关联值。 
其中,rs表示一个攻击源与所有被攻击的子网之间的关联值;bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量;s表示这一个攻击源的标识;a表示这一个攻击源的威胁值;I表示单位矩阵;W表示攻击源的地址。 
其中bs中每个元素值根据攻击关系,取值为0或者1,例如:bs为一个列向量,每个元素为0或者1,代表攻击源(或攻击者,即一个IP地址)s是否攻击过对应的一个网络。比如bs的一个实例可以是: 
在本实施例中,a的取值可以是0<a<1,并且aW这个矩阵L2范式 (Frobenius范式)的取值小于1。控制节点计算并得到a的过程可以是: 
假设 W = 0.1 0.2 0.3 0.4 , aW = 0.1 a 0.2 a 0.3 a 0.4 a , 要求aW这个矩阵L2范式小于1, 
则√(0.1a)2+(0.3a)2+(0.3a)2+(0.4)2<1 
化简得到0.5916a<1,即a<1.69。由于条件1规定,a的取值为0~1之间,所以取交集之后,a的取值可以为0~1之间的任何值。 
W可以是一个n*n矩对称矩阵,n为所监控的子网的个数,W的每个元素取值区间为[0,1],Wij代表“攻击源i的源IP集合”,与“攻击源j的源IP集合”的cosine距离,即其中Attackeri表示“攻击源i的源IP集合”,Attackerj表示“攻击源j的源IP集合”。比如:Attacker_i={192.168.1.10,192.168.1.21, 192.168.1.34}, 
Attacker_j={192.168.1.11,192.168.1,21,192.168.1.168}, 
则|Attackeri∩Attackerj|=|{192.168.1,21}|=1,即|Attackeri∩Attackerj|的结果中只有一个IP地址, 
|Attacker_i|.|Attacker_j|=3x3=9 
最终, W ij = 1 9
假设 W = 0.1 0.2 0.3 0.4 , 则说明一共有2个网络,每个元素的含义如下所示: 
  网络1 网络2
网络1 W11=0.1 W12=0.3
网络2 W21=0.3 W22=0.4
305,确定每一个子网的受害信息。 
其中,一个子网的受害信息可以包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和。 
306,根据每一个子网的受害信息获取脆弱程度值。 
其中,控制节点可以根据一个子网的受害信息进行标准化计算,并将标准化计算的结果作为脆弱程度值。 
在本实施例中,控制节点在确定了每一个攻击源的威胁信息后,可以将303-304与305-306同时执行。也可以按照一定的先后顺序执行。 
307a,对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度。 
其中,对于一个被攻击的子网,控制节点可以在前述步骤中获取攻击了所述子网的每一个攻击源的威胁值、攻击了所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值。例如:攻击了子网1的攻击源包括:攻击源A、攻击源B、攻击源C、攻击源D。对于攻击源A,控制节点可以获取攻击源A的威胁值、攻击源A与子网1之间的关联值和子网1的脆弱程度值,这三个参数,并对这三个参数进行加权求和计算或加权求平均值计算,并将得到的加权计算结果作为反映攻击源A对于子网1的威胁程度的量化参数。同理,控制节点可以获取攻击源B的加权计算结果、攻击源C的加权计算结果以及攻击源D的加权计算结果,并根据攻击源A、攻击源B、攻击源C和攻击源D的加权计算结果从大到小的顺利将攻击源A、攻击源B、攻击源C和攻击源D进行排列,从而得到针对子网1的黑名单1。同理可以得到针对子网2、3等子网的黑名单2、3。 
308a,按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
可选的,在本实施例中,控制节点针对一个受到攻击的子网生成黑名单时,也可以只利用攻击了所述子网的每一个攻击源的威胁值、攻击了所述子网的每一个攻击源与所述子网之间的关联值,来确定攻击了所述子网的每一个攻击源 对于所述的子网的危险程度。因此在如图3a所示方案的基础上,本发明实施例还提供了如图3b所示的实施方式,其中还包括了: 
307b,对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度。 
308b,按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
在图3b所示的方案中,由于可以不采用子网的脆弱程度值作为确定攻击源对于一个子网的危险程度的参数,因此在图3b所示的实施方式中,可以不包括305-306的流程。 
在本实施例的实际应用中,可以不将子网的脆弱程度值作为生成黑名单所需的一种参数。在许多情况下,网路系统受到的攻击比较频繁时,需要控制节点快速生成并发布黑名单,以便能够将威胁较大的攻击源迅速分布给网络系统中的各个子网,因此可以在生成黑名单时不采用子网的脆弱程度值作为参数,以省去305-306的流程,从而加速控制节点生成黑名单的效率。 
309,所述控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网。 
本发明实施例提供的提高网络安全性的方法,能够对网络系统中的各个子网被攻击后上报的报警信息,并可以根据各个攻击源对一个子网的攻击情况,为这一个子网专门生成一份能够进一步的适应这一个子网的特点或网络安全情况的黑名单,并在黑名单中记载对于这一个子网威胁较大的攻击源,以便这一个子网可以利用黑名单采取相应的防御措施,从而实现网络系统中不同子网的个性化防御,使这一个子网能够更有效地防范黑名单中记载的攻击源。相对于 现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对此次攻击的攻击源做好防御准备,使得同一攻击源在攻击了一个子网后即使对尚未被攻击的子网进行攻击,由于其他的子网可以做好防御准备,则降低被攻破的可能性,从而提高了整个网络系统的安全性。 
本发明实施例提供了一种提高网络安全性的装置40,如图4所示,包括: 
报警信息接收模块41,用于获取报警信息。 
其中,所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息。在网络系统中包括控制节点和与控制节点具有通信连接的至少两个子网。 
分析模块42,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单。 
发布模块43,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网。 
可选的如图5所示,所述分析模块42可以包括: 
受害子网统计单元421,用于利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量。 
第一生成单元422,用于按照被攻击的子网数量的由大到小的顺序,对各个 攻击源进行排序。 
进一步可选的如图6所示,所述分析模块42也可以包括: 
受害端口统计单元423,用于利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量。 
第二生成单元424,用于按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。 
进一步的,如图7所示,在装置40中还可以包括: 
第一信息采集模块44,用于在对所述攻击源进行排序之前,确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量。 
第一攻击源评估模块45,用于根据每一个攻击源的威胁信息获取每一个攻击源的威胁值。 
所述分析模块42还包括第三生成单元425,用于利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。 
再进一步的,如图8所示,在装置40中还可以包括: 
关联模块46,用于在对所述攻击源进行排序之前,根据rs=[(I-aW)-1-I]·bs,确定每一个攻击源与所有被攻击的子网之间的关联值。 
其中,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一 个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址。 
相应地,所述第三生成单元425,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
更进一步可选的的,如图9所示,在装置40中还可以包括: 
第二信息采集模块48,用于在对所述攻击源进行排序之前,确定每一个子网的受害信息。 
其中,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和。 
子网评估模块49,用于根据每一个子网的受害信息获取脆弱程度值。 
相应地,所述第三生成单元425,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
可选的,所述报警信息接收模块41,具体用于从所述子网发送的Openflow异步消息中获取所述报警信息。 
本发明实施例提供的提高网络安全性的装置,能够对网络系统中的各个子 网被攻击后上报的报警信息,并可以根据各个攻击源对一个子网的攻击情况,为这一个子网专门生成一份能够进一步的适应这一个子网的特点或网络安全情况的黑名单,并在黑名单中记载对于这一个子网威胁较大的攻击源,以便这一个子网可以利用黑名单采取相应的防御措施,从而实现网络系统中不同子网的个性化防御,使这一个子网能够更有效地防范黑名单中记载的攻击源。相对于现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对此次攻击的攻击源做好防御准备,使得同一攻击源在攻击了一个子网后即使对尚未被攻击的子网进行攻击,由于其他的子网可以做好防御准备,则降低被攻破的可能性,从而提高了整个网络系统的安全性。 
本发明实施例还提供了一种用于提高网络安全性的控制节点设备500的结构,如图10所示,该控制节点设备500包括:至少一个处理器501,例如CPU,至少一个网络接口504或者其他用户接口503,存储器505,至少一个通信总线502。通信总线502用于实现这些组件之间的连接通信。可选的,还包含用户接口503,包括显示器,键盘或者点击设备(例如,鼠标,轨迹球(trackball),触感板或者触感显示屏)。存储器505可能包含高速RAM存储器,也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器505可选的可以包含至少一个位于远离前述处理器501的存储装置。 
在一些实施方式中,存储器505存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集: 
操作系统5051,包含各种系统程序,用于实现各种基础业务以及处理基于硬件的任务; 
应用程序模块5052,包含各种应用程序,用于实现各种应用业务。 
应用程序模块5052中包括但不限于:报警信息接收模块41、分析模块42、发布模块43、第一信息采集模块44、第一攻击源评估模块45、关联模块46、第二信息采集模块48、子网评估模块49、受害子网统计单元421、第一生成单元422、受害端口统计单元423、第二生成单元424、第三生成单元425。 
应用模块5052中各模块的具体实现参见图6所示实施例中的相应模块,在此不赘述。 
具体地,处理器501用于:通过获取网络接口504报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;并利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;并将所获取的黑名单通过网络接口504发送到所述网络系统中至少一个尚未受到攻击的子网。 
处理器501具体用于:利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;并按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。 
处理器501还具体用于:利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;并按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。 
处理器501还用于:在对所述攻击源进行排序之前,确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来 自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;并根据每一个攻击源的威胁信息获取每一个攻击源的威胁值; 
相应地,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单,包括:利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。 
处理器501还具体用于:在对所述攻击源进行排序之前,根据rs=[(I-aW)-1-I]·bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址。 
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单,包括:对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
处理器501还具体用于:确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和;并根据每一个子网的受害信息获取脆弱程度值; 
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺 序,对各个攻击源进行排序,并将排序结果作为黑名单包括:对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。 
具体的,所述处理器501还具体用于:通过所述网络接口504从所述子网发送的Openflow异步消息中获取所述报警信息。 
本发明实施例提供的提高网络安全性的控制节点设备,能够对网络系统中的各个子网被攻击后上报的报警信息,并可以根据各个攻击源对一个子网的攻击情况,为这一个子网专门生成一份能够进一步的适应这一个子网的特点或网络安全情况的黑名单,并在黑名单中记载对于这一个子网威胁较大的攻击源,以便这一个子网可以利用黑名单采取相应的防御措施,从而实现网络系统中不同子网的个性化防御,使这一个子网能够更有效地防范黑名单中记载的攻击源。相对于现有技术中只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明实施例可以实现:在一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警,以便网络系统的尚未被攻击的子网可以针对此次攻击的攻击源做好防御准备,使得同一攻击源在攻击了一个子网后即使对尚未被攻击的子网进行攻击,由于其他的子网可以做好防御准备,则降低被攻破的可能性,从而提高了整个网络系统的安全性。 
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得 比较简单,相关之处参见方法实施例的部分说明即可。 
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。 
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。 

Claims (14)

1.一种提高网络安全性的方法,其特征在于,所述网络包括控制节点和与所述控制节点具有通信连接的至少两个子网,所述方法包括:
所述控制节点获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
所述控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
所述控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网。
2.根据权利要求1所述的提高网络安全性的方法,其特征在于,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;
按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
3.根据权利要求1或2所述的提高网络安全性的方法,其特征在于,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;
按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。
4.根据权利要求1所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,进一步包括:
确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;
根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;
相应地,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单,包括:利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
5.根据权利要求4所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,还包括:
根据rs=[(I-aW)-1-I]·bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址;
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单,包括:
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
6.根据权利要求5所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,还包括:
确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和;
根据每一个子网的受害信息获取脆弱程度值;
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单包括:
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
7.根据权利要求1-6所述的提高网络安全性的方法,其特征在于,所述控制节点获取报警信息包括:
所述控制节点从所述子网发送的Openflow异步消息中获取所述报警信息。
8.一种提高网络安全性的装置,其特征在于,所述网络包括控制节点和与所述控制节点具有通信连接的至少两个子网,所述装置包括:
报警信息接收模块,用于获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
分析模块,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
发布模块,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网。
9.根据权利要求8所述的提高网络安全性的装置,其特征在于,所述分析模块包括:
受害子网统计单元,用于利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;
第一生成单元,用于按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
10.根据权利要求8或9所述的提高网络安全性的装置,其特征在于,所述分析模块包括:
受害端口统计单元,用于利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;
第二生成单元,用于按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。
11.根据权利要求8所述的提高网络安全性的装置,其特征在于,进一步包括:
第一信息采集模块,用于在对所述攻击源进行排序之前,确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;
第一攻击源评估模块,用于根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;
所述分析模块还包括第三生成单元,用于利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
12.根据权利要求11所述的提高网络安全性的装置,其特征在于,还包括:
关联模块,用于在对所述攻击源进行排序之前,根据rs=[(I-aW)-1-I]·bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址;
相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
13.根据权利要求12所述的提高网络安全性的装置,其特征在于,还包括:
第二信息采集模块,用于在对所述攻击源进行排序之前,确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和;
子网评估模块,用于根据每一个子网的受害信息获取脆弱程度值;
相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
14.根据权利要求8-13所述的提高网络安全性的装置,其特征在于,所述报警信息接收模块,具体用于从所述子网发送的Openflow异步消息中获取所述报警信息。
CN201310740440.6A 2013-12-27 2013-12-27 一种提高网络安全性的方法及装置 Pending CN104753862A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201310740440.6A CN104753862A (zh) 2013-12-27 2013-12-27 一种提高网络安全性的方法及装置
EP14199564.7A EP2889798B1 (en) 2013-12-27 2014-12-22 Method and apparatus for improving network security
US14/583,367 US9762594B2 (en) 2013-12-27 2014-12-26 Method and apparatus for improving network security
US15/641,841 US10476897B2 (en) 2013-12-27 2017-07-05 Method and apparatus for improving network security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310740440.6A CN104753862A (zh) 2013-12-27 2013-12-27 一种提高网络安全性的方法及装置

Publications (1)

Publication Number Publication Date
CN104753862A true CN104753862A (zh) 2015-07-01

Family

ID=52394823

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310740440.6A Pending CN104753862A (zh) 2013-12-27 2013-12-27 一种提高网络安全性的方法及装置

Country Status (3)

Country Link
US (2) US9762594B2 (zh)
EP (1) EP2889798B1 (zh)
CN (1) CN104753862A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959250A (zh) * 2015-10-22 2016-09-21 杭州迪普科技有限公司 网络攻击黑名单管理方法及装置
CN109768949A (zh) * 2017-11-09 2019-05-17 阿里巴巴集团控股有限公司 一种端口扫描处理系统、方法及相关装置
CN110535702A (zh) * 2019-08-30 2019-12-03 北京神州绿盟信息安全科技股份有限公司 一种告警信息处理方法及装置
CN112565296A (zh) * 2020-12-24 2021-03-26 深信服科技股份有限公司 安全防护方法、装置、电子设备和存储介质
CN113794727A (zh) * 2021-09-16 2021-12-14 山石网科通信技术股份有限公司 威胁情报特征库的生成方法、装置、存储介质及处理器
CN114826755A (zh) * 2022-05-05 2022-07-29 烽火通信科技股份有限公司 一种防御网络恶意攻击的方法和装置

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
JP6707952B2 (ja) * 2016-03-31 2020-06-10 日本電気株式会社 制御装置、制御方法及びプログラム
SG10201608276UA (en) * 2016-10-03 2018-05-30 Huawei Int Pte Ltd A Blacklist Management Method for IBC-based Distributed Authentication Framework
CN108965289B (zh) * 2018-07-10 2019-10-29 北京明朝万达科技股份有限公司 一种网络安全协同防护方法和系统
US11134099B2 (en) * 2019-01-23 2021-09-28 Vmware, Inc. Threat response in a multi-router environment
US11153338B2 (en) * 2019-06-03 2021-10-19 International Business Machines Corporation Preventing network attacks
US11336557B2 (en) * 2019-11-07 2022-05-17 Arista Networks, Inc. System and method for managing computing resources
CN111624869B (zh) * 2020-04-25 2023-03-28 中国人民解放军战略支援部队信息工程大学 自动感知攻击行为方法、系统及以太网交换机
CN113467314B (zh) * 2021-07-15 2022-04-26 广州赛度检测服务有限公司 一种基于大数据和边缘计算的信息安全风险评估系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003286A1 (en) * 2002-07-01 2004-01-01 Microsoft Corporation Distributed threat management
US20100122335A1 (en) * 2008-11-12 2010-05-13 At&T Corp. System and Method for Filtering Unwanted Internet Protocol Traffic Based on Blacklists
CN102916959A (zh) * 2012-10-16 2013-02-06 百度在线网络技术(北京)有限公司 云环境中的黑名单同步方法和装置
CN103391546A (zh) * 2013-07-12 2013-11-13 杭州华三通信技术有限公司 一种无线攻击检测及防御装置及其方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8572746B2 (en) * 2010-01-21 2013-10-29 The Regents Of The University Of California Predictive blacklisting using implicit recommendation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003286A1 (en) * 2002-07-01 2004-01-01 Microsoft Corporation Distributed threat management
US20100122335A1 (en) * 2008-11-12 2010-05-13 At&T Corp. System and Method for Filtering Unwanted Internet Protocol Traffic Based on Blacklists
CN102916959A (zh) * 2012-10-16 2013-02-06 百度在线网络技术(北京)有限公司 云环境中的黑名单同步方法和装置
CN103391546A (zh) * 2013-07-12 2013-11-13 杭州华三通信技术有限公司 一种无线攻击检测及防御装置及其方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CISCO: "risk rating and threat rating simplifying IPS management", 《HTTP://WWW.CISCO.COM/C/EN/US/PRODUCTS/COLLATERAL/SECURITY/IPS-4200-SERIES-SENSORS/PROD_WHITE_PAPER0900AECD806E7299.PDF》 *
JIAN ZHANG等: "Highly predictive blacklisting", 《PROC. OF USENIX SECURITY ’08》 *
XIAOBO MA等: "Honeynet-based collaborative defense using improved highly predictive blacklisting algorithm", 《INTELLIGENT CONTROL AND AUTOMATION (WCICA), 2010 8TH WORLD CONGRESS》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959250A (zh) * 2015-10-22 2016-09-21 杭州迪普科技有限公司 网络攻击黑名单管理方法及装置
CN109768949A (zh) * 2017-11-09 2019-05-17 阿里巴巴集团控股有限公司 一种端口扫描处理系统、方法及相关装置
CN109768949B (zh) * 2017-11-09 2021-09-03 阿里巴巴集团控股有限公司 一种端口扫描处理系统、方法及相关装置
CN110535702A (zh) * 2019-08-30 2019-12-03 北京神州绿盟信息安全科技股份有限公司 一种告警信息处理方法及装置
CN110535702B (zh) * 2019-08-30 2022-07-12 绿盟科技集团股份有限公司 一种告警信息处理方法及装置
CN112565296A (zh) * 2020-12-24 2021-03-26 深信服科技股份有限公司 安全防护方法、装置、电子设备和存储介质
CN113794727A (zh) * 2021-09-16 2021-12-14 山石网科通信技术股份有限公司 威胁情报特征库的生成方法、装置、存储介质及处理器
CN114826755A (zh) * 2022-05-05 2022-07-29 烽火通信科技股份有限公司 一种防御网络恶意攻击的方法和装置
CN114826755B (zh) * 2022-05-05 2023-12-01 烽火通信科技股份有限公司 一种防御网络恶意攻击的方法和装置

Also Published As

Publication number Publication date
EP2889798A1 (en) 2015-07-01
US10476897B2 (en) 2019-11-12
US9762594B2 (en) 2017-09-12
US20170302690A1 (en) 2017-10-19
US20150188937A1 (en) 2015-07-02
EP2889798B1 (en) 2016-10-05

Similar Documents

Publication Publication Date Title
CN104753862A (zh) 一种提高网络安全性的方法及装置
Ha et al. Suspicious traffic sampling for intrusion detection in software-defined networks
Maglaras et al. Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems
Modi et al. Bayesian classifier and snort based network intrusion detection system in cloud computing
Dickerson et al. Fuzzy intrusion detection
Carl et al. Denial-of-service attack-detection techniques
CN108833397A (zh) 一种基于网络安全的大数据安全分析平台系统
Kato et al. An intelligent ddos attack detection system using packet analysis and support vector machine
Bhatia Ensemble-based model for DDoS attack detection and flash event separation
Liu et al. TrustGuard: A flow-level reputation-based DDoS defense system
Yang et al. Design of distributed honeypot system based on intrusion tracking
Kwon et al. Hidden bot detection by tracing non-human generated traffic at the zombie host
Lobato et al. A fast and accurate threat detection and prevention architecture using stream processing
CN109120600A (zh) 一种基于流量频数分布特征的LDoS快速检测方法
CN116050841B (zh) 信息安全风险评估方法、装置、终端设备及存储介质
Karthika et al. Review on distributed denial of service attack detection in software defined network
Klassen et al. Anomaly based intrusion detection in wireless networks using Bayesian classifier
Kato et al. Large-scale network packet analysis for intelligent DDoS attack detection development
Huseynov et al. Semi-supervised botnet detection using ant colony clustering
Khordadpour et al. FIDS: Fuzzy Intrusion Detection System for simultaneous detection of DoS/DDoS attacks in Cloud computing
Eilertson et al. MINDS: A new approach to the information security process
Vargheese et al. Machine Learning for Enhanced Cyber Security
Baras et al. On-line detection of distributed attacks from space-time network flow patterns
He et al. A two-phase detection method against APT attack on flow table management in SDN
Luthuli et al. Evaluating the Effects of Hardware Configurations on Bro under DDoS Attacks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20150701

RJ01 Rejection of invention patent application after publication