CN106506553B - 一种网际协议ip过滤方法及系统 - Google Patents
一种网际协议ip过滤方法及系统 Download PDFInfo
- Publication number
- CN106506553B CN106506553B CN201611238386.5A CN201611238386A CN106506553B CN 106506553 B CN106506553 B CN 106506553B CN 201611238386 A CN201611238386 A CN 201611238386A CN 106506553 B CN106506553 B CN 106506553B
- Authority
- CN
- China
- Prior art keywords
- identification information
- packet
- filter condition
- filtered
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网际协议IP过滤方法及系统,所述方法包括:在获取到待过滤的IP报文后,获取所述IP报文中的IP标识信息;根据所述IP标识信息和预设的过滤条件,从所述IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值;根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果。本发明实施例由于预设的过滤条件可以根据不同的应用场景进行设置,对IP的相应结果是结合了应用场景进行确定的,与现有技术相比,响应结果更加准确。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网际协议IP过滤方法及系统。
背景技术
随着网络技术的不断发展,互联网和我们的工作、生活关系越来越密切。电子商务、在线交易、网上银行等越来越依赖于互联网。互联网带来极大的便利和改变的同时,也蕴藏着风险。外部的威胁攻击越来越频繁,攻击手段越来越高级,这些都对安全带来重大威胁。
现有技术中,通过获取IP信誉库中的IP信誉值来确定获取到的IP地址的安全性,IP信誉是经过大数据处理,通过行为分析算法对IP进行分类,然后通过统计算法计算出IP阈值,根据阈值对IP设定信誉值,形成IP信誉。由于IP信誉能够比较直接的体现一个IP地址的危害程度,所以网络攻击有比较准确的防御功能,通常IP信誉被用来提高拦截网络攻击的准确率和有效性。IP信誉可以运用在垃圾邮件处理,终端网络安全防护,服务器端攻击防御等。
在现有技术中,仅通过查询数据流中的IP信誉值,根据IP信誉值对数据进行相应的处理,但是仅通过IP信誉值进行检测没有结合场景分析来做出判断,也就是说,对检测的IP做出的相应处理的准确性不高。
发明内容
本发明提供一种网际协议IP过滤方法及系统,用于解决现有技术中仅通过IP信誉值进行检测没有结合场景分析来做出判断,对检测的IP做出的相应处理的准确性不高的问题。
本发明实施例提供一种网际协议IP过滤方法,应用于服务器,所述方法包括:
在获取到待过滤的IP报文后,获取所述IP报文中的IP标识信息;
根据所述IP标识信息和预设的过滤条件,从所述IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值;
根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;
根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果。
本发明实施例中,根据IP标识信息和预设的过滤条件,从IP标识信息对应的属性信息中确定符合过滤条件的属性项及IP标识信息对应的IP信誉值,也就是说,除了确定IP信誉值外,还增加了其它的过滤条件,还需要确定其它的过滤条件对应的属性项,并根据IP标识信息对应的IP信誉值和符合过滤条件的属性项的参考值,确定待过滤的IP报文的安全等级。由于预设的过滤条件可以根据不同的应用场景进行设置,对IP的相应结果是结合了应用场景进行确定的,与现有技术相比,响应结果更加准确。
进一步地,所述根据所述IP标识信息和预设的过滤条件,从所述IP标识信息对应的属性信息中确定符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值,包括:
根据所述IP标识信息在IP信誉库中查询所述IP标识信息对应的IP信誉值以及所述IP标识信息对应的属性信息;
根据预设的过滤条件从所述IP标识信息对应的属性信息中查找是否存在符合所述过滤条件的属性项。
本发明实施例中,首先确定IP信誉库中IP标识信息对应的属性信息,然后确定属性信息是否符合过滤条件,保证了查找符合过滤条件的准确性。
进一步地,所述根据所述安全等级确定对所述待过滤的IP报文的响应结果后,还包括:
在所述待过滤的IP报文的安全等级超过设定的报警阈值时,生成所述IP标识信息的过滤日志;
针对一个所述过滤日志对应的所述IP标识信息,若设定时间内针对所述IP标识信息生成的过滤日志的数量大于预设阈值时,则将所述IP标识信息加入黑名单,并发送给云端。
本发明实施例中,当确定一个IP标识信息对应的过滤日志在设定时间内出现多次,则确定该IP标识信息为危险性高的IP信息,就将该IP信息加入黑名单,并发送给云端服务器,以使云端服务器根据黑名单,更新IP信誉库。
进一步地,所述方法还包括:
周期性从所述云端服务器获取各IP标识信息对应的IP信誉值及属性信息,以更新所述服务器中的IP信誉库。
本发明实施例中,为了保证查询到的IP信誉值以及IP及属性信息的正确性,还需要周期性的更新IP信誉库。
进一步地,所述将所述IP标识信息加入黑名单后,还包括:
针对所述黑名单中的任一一个IP标识信息,若在设定时间内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设阈值,则将所述IP标识信息移出所述黑名单。
本发明实施例中,还可以衰减黑名单中的IP标识信息的信誉值,并根据IP标识信息的信息值动态调整黑名单中的IP标识信息。
进一步地,所所述方法还包括:
若确定所述IP信誉库处于超负荷运行状态,则删除所述服务器中的IP信誉库中与所述过滤条件无关的属性信息
本发明实施例中,在确定IP信誉库中出现资源不足的情况下,删除IP信誉库中与过滤条件无关的属性信息,保证IP信誉库中正常的查询功能不受影响。
本发明还提供一种网际协议IP过滤系统,包括:
云端以及服务器;
所述服务器用于在获取到待过滤的IP报文后,获取所述IP报文中的IP标识信息;
根据所述IP标识信息和预设的过滤条件,从所述IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值;
根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;
根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果。
本发明实施例中,根据IP标识信息和预设的过滤条件,从IP标识信息对应的属性信息中确定符合过滤条件的属性项及IP标识信息对应的IP信誉值,也就是说,除了确定IP信誉值外,还增加了其它的过滤条件,还需要确定其它的过滤条件对应的属性项,并根据IP标识信息对应的IP信誉值和符合过滤条件的属性项的参考值,确定待过滤的IP报文的安全等级。由于预设的过滤条件可以根据不同的应用场景进行设置,对IP的相应结果是结合了应用场景进行确定的,与现有技术相比,响应结果更加准确。
进一步地,所述服务器具体用于,
根据所述IP标识信息在IP信誉库中查询所述IP标识信息对应的IP信誉值以及所述IP标识信息对应的属性信息;
根据预设的过滤条件从所述IP标识信息对应的属性信息中查找是否存在符合所述过滤条件的属性项。
进一步地,所述服务器,还用于:
在所述待过滤的IP报文的安全等级超过设定的报警阈值时,生成所述IP标识信息的过滤日志;
针对一个所述过滤日志对应的所述IP标识信息,若设定时间内针对所述IP标识信息生成的过滤日志的数量大于预设阈值时,则将所述IP标识信息加入黑名单,并将所述黑名单发送给云端,以使所述云端根据所述黑名单更新IP信誉库。
进一步地,所述服务器,还用于:
周期性从所述云端服务器获取各IP标识信息对应的IP信誉值及属性信息,以更新所述本地服务器中的IP信誉库。
进一步地,所述服务器还用于:
针对所述黑名单中的任一一个IP标识信息,若在设定时间内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设阈值,则将所述IP标识信息移出所述黑名单。
进一步地,所述服务器,还用于:
若确定所述IP信誉库处于超负荷运行状态,则删除所述服务器中的IP信誉库中与所述过滤条件无关的属性信息。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网际协议IP过滤系统的结构示意图;
图2为本发明实施例提供的一种网际协议IP过滤方法的流程示意图;
图3为本发明实施例提供的一种网际协议IP过滤系统中的模块结构示意图;
图4为本发明实施例提供的一种网际协议IP过滤方法的流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提供一种网际协议IP过滤系统,如图1所示,包括:
服务器101以及云端102;
本发明实施例中,云端102指的是采用应用程序虚拟化技术(ApplicationVirtualization)的软件平台,集软件搜索、下载、使用、管理、备份等多种功能为一体。通过该平台,各类常用软件都能够在独立的虚拟化环境中被封装起来,从而使应用软件不会与系统产生耦合,达到绿色使用软件的目的。
而与云端102相连接的是服务器101,一个云端102与多个服务器101相连,服务器101中的IP信誉库是通过云端102下载的,而在服务器101中生成的黑名单发送给云端102,又使得云端102更新IP信誉库。
本发明实施例中,服务器101在获取到待过滤的IP报文后,获取IP报文中的IP标识信息,本发明实施例中,在获取到需要过滤的IP报文后,根据IP报文,获取IP报文中的标识信息,可选的,IP报文的标识信息可以是IP报文的源地址。
服务器101根据所述IP标识信息和预设的过滤条件,从所述IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值。
本发明实施例中,预设的过滤条件是根据应用场景或者用户配置来确定的,IP信誉库中保存了多个属性项以及IP信誉值,预设的过滤条件就是与属性项相关的过滤范围。例如,在本发明实施例中,IP信誉库中保存了至少包括IP地理属性项以及IP行为属性项,则预设的过滤条件为某一范围内的地理属性项或者某些行为属性项。
例如,在本发明实施例中,预设的过滤条件为过滤掉IP地理属性为XX市联通用户的IP,或者预设的过滤条件为过滤掉IP行为属性为DDOS(Distributed Denial ofService,分布式拒绝服务)的IP。
服务器101根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;在本发明实施例中,若根据IP标识信息对应的属性信息中确定符合过滤条件的属性项,例如上述实施例中,确定IP标识信息对应的属性信息中的地理属性为XX市联通用户,则确定符合所述过滤条件的属性项的参考值。
可选的,在本发明实施例中,也可以根据IP标识信息对应的属性信息中确定不符合过滤条件的属性项,并确定不符合所述过滤条件的属性项的参考值。
例如,在本发明实施例中,确定IP标识信息对应的属性信息中的地理属性不是XX市联通用户,则确定不符合所述过滤条件的属性项的参考值。
本发明实施例中的参考值为标识该过滤条件的重要程度的一个参数值,可以根据预设的过滤条件或者预设的过滤准则来确定,可选的,在本发明实施例中,若过滤准则为参考值越高,安全等级越低,确定符合所述过滤条件的属性项后获取对应的参考值,则设置参考值为正值;若过滤准则为参考值越低,安全等级越低,确定符合所述过滤条件的属性项后获取对应的参考值,则参考值为负值。
可选的,在本发明实施例中,根据参考值后以及根据IP标识信息对应的IP信誉值确定安全等级参考值,根据安全等级参考值确定待过滤的IP报文的安全等级。
可选的,在本发明实施例中,例如,根据IP标识信息在IP信誉库中确定IP标识信息对应的IP信誉值,例如是85,且信誉值越高,安全性越低;过滤条件为地理属性项的过滤范围中包括地理属性项为IP地理属性为XX市联通用户,若根据IP标识信息在IP信誉库中确定的IP标识信息对应的地理属性项为XX市联通用户,则确定待过滤的IP报文中有符合过滤条件的属性项。若设置的符合地理属性项的过滤条件的参考值为15时,则确定待过滤的IP报文的安全等级参考值为90。
可选的,若地理属性项在过滤条件中的重要性较低或者较高时,还可以设置地理属性项的权值,例如,设置地理属性项的权值为0.3,则确定待过滤的IP报文的安全等级参考值为85+15*0.3=89.5。
在本发明实施例中,可以设置安全等级阈值,例如设置40分为低风险等级阈值,设置75为高风险等级阈值,确定的待过滤的IP报文的安全等级参考值为90,高于设置的高风险等级阈值,则确定待过滤的IP报文为高风险等级。
服务器101根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果。
本发明实施例中,在服务器101确定了待过滤的IP报文的安全等级后,根据不同的安全等级确定对待过滤的IP报文不同的响应结果。可选的,在本发明实施例中,响应结果包括阻断,通过,重定向等。
例如,在本发明实施例,若服务器101确定待过滤的IP报文的安全等级为低风险等级时,则对所述待过滤的IP报文进行通过处理,即确定所述待过滤的IP报文的目的地址,向目的地址发送待过滤的IP报文。
在本发明实施例中,针对每一个待过滤的IP报文,若服务器101确定待过滤的IP报文的安全等级超过设定的报警阈值时,生成IP标识信息的过滤日志;
针对一个过滤日志对应的IP标识信息,若设定时间内针对IP标识信息生成的过滤日志的数量大于预设阈值时,则将IP标识信息加入黑名单,并发送给云端102。
本发明实施例中,报警阈值可以是安全等级阈值中的高风险等级阈值,也可以是其它设定的阈值,当确定待过滤的IP报文的安全等级超过设定的报警阈值时,例如,当确定安全等级为高风险等级时,即安全等级参考值超过了高风险等级阈值,则将该IP生成过滤日志。
可选的,在本发明实施例中,过滤日志中包括IP安全等级的参考值,以及针对每一个预设的过滤条件对应的参考值,获取到待检测的IP报文的时间等信息。
在本发明实施例中,当确定在设定时间内,一个IP生成的过滤日志的数量大于预设阈值时,则需要将IP加入黑名单。在本发明实施例中,设定时间可以为24小时,一周或者一月等。预设阈值的数量可以根据云端的更新速度,IP过滤的准确性等多方面来确定。
例如,在本发明实施例中,IP标识信息为M的待过滤报文,确定的安全等级参考值为85,设定的报警阈值为75,超过了设定的报警阈值,需要生成M的过滤日志,且生成日志时的时间为8:00。
统计设定时间24小时内,M生成的过滤日志的数量,确定M生成的过滤日志的数量为20个,预设阈值为18个,所以确定在设定周期内,M需要加入到黑名单中。
在本发明实施例中,由于IP信誉库是从云端102下载的,并周期性从云端服务器获取各IP标识信息对应的IP信誉值及属性信息,以更新IP信誉库。所以在生成黑名单之后,将黑名单发送给云端,以使云端服务器能够根据黑名单中的IP标识信息,更新IP信誉库中该IP标识信息对应的IP信誉值以及属性信息。
可选的,在本发明实施例中,还需要判断黑名单中的IP标识信息是否失效,若确定在失效设定时间内,根据IP标识信息生成的过滤日志小于预设阈值后,则确定该IP可以从黑名单中删除。
例如,在本发明实施例中,在黑名单中的IP标识信息在设定时间内没有更新,也就是说,该IP标识信息没有再一次被加入到黑名单中,则需要考虑该IP标识信息的信誉值是否需要衰减。
若衰减后的所述IP标识信息的信誉值不大于所述预设阈值,则将所述IP标识信息移出所述黑名单。
在本发明实施例中,还可以根据资源使用情况进行资源配置,当确定所述IP信誉库处于超负荷运行状态,则删除所述IP信誉库中与所述过滤条件无关的属性信息;或者,当确定所述IP信誉库处于空闲运行状态,则增加IP信誉库中的属性信息。
为了便于本领域技术人员的理解,在此举例说明,本发明提供一种网际协议IP过滤方法,如图2所示,包括:
步骤201,获取需要过滤的IP报文,并获取了IP报文中的IP标识信息;
步骤202,根据IP标识信息在IP信誉库中查找IP标识信息对应的IP信誉值以及预设的过滤条件;本发明实施例中,IP信誉值为75,预设的过滤条件为确定行为范围中有DDOS攻击的IP以及地理范围中有上海市XX区的IP;
步骤203,确定IP标识信息对应的行为属性以及地理信息属性;在本发明实施例中,IP标识信息对应的行为属性中包括DDOS攻击,IP标识信息对应的地理信息属性不是上海市XX;
步骤204,判断IP标识信息对应的行为属性是否属于预设的过滤条件内,若属于,则执行步骤205;否则执行步骤207;
步骤205,判断IP标识信息对应的地理信息属性是否属于预设的过滤条件内,若属于,则执行步骤206;否则执行步骤207;
步骤206,确定属于预设的过滤条件内的IP标识信息对应的属性信息的过滤条件的参考值;在本发明实施例中,符合预设的过滤条件的参考值为15分,执行步骤208;
步骤207,根据所述IP标识信息对应的IP信誉值和符合预设的过滤条件的参考值,确定安全等级参考值;本发明实施例中,通过直接相加的方法确定安全等级参考值,即15+75=90;若确定没有与符合预设的过滤条件的参考值,则直接将IP表示信息对应的IP信誉值确定安全等级参考值;
步骤208,确定IP标识对应的安全等级参考值是否超过预设的高风险安全等级阈值;若超过,则执行步骤209;否则执行步骤210;在本发明实施例中,例如设置40分为低风险等级阈值,设置75为高风险等级阈值,确定的待过滤的IP报文的安全等级参考值为90,高于设置的高风险等级阈值,则确定待过滤的IP报文为高风险等级;
步骤209,阻断或者重定向IP标识信息对应的IP报文,执行步骤211;
步骤210,将报文发送给报文中的目的地址;
步骤211,针对IP标识信息对应的IP报文,生成过滤日志。
可选的,在本发明实施例中,如图3所示,服务器101还包括云端交互引擎10101,IP信誉管理引擎10102,IP检测引擎10103。
IP检测引擎10103获取到待过滤的IP报文后,解析应用层数据,获取所述IP报文中的IP标识信息,对请求数据包网络层IP,根据所述IP标识信息和预设的过滤条件,从所述IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值;根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果,并将安全等级发送给IP信誉管理引擎10102。
IP信誉管理引擎10102根据安全等级确定是否加入黑名单,并将黑名单发送给云端交互引擎10101,云端交互引擎10101从云端120下载IP信誉库,并将黑名单发送给云端120,以使云端120进行更新云端120的IP信誉库。
IP信誉管理引擎10102确定IP信誉库中的运行状态,可以根据信誉库的状态增加或者删减信誉库中的属性信息。
本发明还提供一种网际协议IP过滤方法,如图4所示,所述方法包括:
步骤401,在获取到待过滤的IP报文后,获取所述IP报文中的IP标识信息;
步骤402,根据所述IP标识信息和预设的过滤条件,从所述IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值;
步骤403,根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;
步骤404,根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果。
进一步地,所述根据所述IP标识信息和预设的过滤条件,从所述IP标识信息对应的属性信息中确定符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值,包括:
根据所述IP标识信息在IP信誉库中查询所述IP标识信息对应的IP信誉值以及所述IP标识信息对应的属性信息;
根据预设的过滤条件从所述IP标识信息对应的属性信息中查找是否存在符合所述过滤条件的属性项。
进一步地,所述根据所述安全等级确定对所述待过滤的IP报文的响应结果后,还包括:
在所述待过滤的IP报文的安全等级超过设定的报警阈值时,生成所述IP标识信息的过滤日志;
针对一个所述过滤日志对应的所述IP标识信息,若设定时间内针对所述IP标识信息生成的过滤日志的数量大于预设阈值时,则将所述IP标识信息加入黑名单,并将所述黑名单发送给云端。
进一步地,所述方法还包括:
周期性从所述云端服务器获取各IP标识信息对应的IP信誉值及属性信息,以更新所述服务器中的IP信誉库。
进一步地,所述将所述IP标识信息加入黑名单后,还包括:
针对所述黑名单中的任一一个IP标识信息,若在设定时间内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设阈值,则将所述IP标识信息移出所述黑名单。
进一步地,所述方法还包括:
若确定所述IP信誉库处于超负荷运行状态,则删除所述服务器中的IP信誉库中与所述过滤条件无关的属性信息
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网际协议IP过滤方法,其特征在于,所述方法应用于服务器,所述方法包括:
在获取到待过滤的IP报文后,获取所述IP报文中的IP标识信息;
根据所述IP标识信息和预设的过滤条件,从IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值;
根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;
根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果;
所述方法还包括:
周期性从云端服务器获取各IP标识信息对应的IP信誉值及属性信息,以更新所述服务器中的IP信誉库。
2.根据权利要求1所述的方法,其特征在于,所述根据所述IP标识信息和预设的过滤条件,从所述IP标识信息对应的属性信息中确定符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值,包括:
根据所述IP标识信息在IP信誉库中查询所述IP标识信息对应的IP信誉值以及所述IP标识信息对应的属性信息;
根据预设的过滤条件从所述IP标识信息对应的属性信息中查找是否存在符合所述过滤条件的属性项。
3.根据权利要求1所述的方法,其特征在于,所述根据所述安全等级确定对所述待过滤的IP报文的响应结果后,还包括:
在所述待过滤的IP报文的安全等级超过设定的报警阈值时,生成所述IP标识信息的过滤日志;
针对一个所述过滤日志对应的所述IP标识信息,若设定时间内针对所述IP标识信息生成的过滤日志的数量大于预设阈值时,则将所述IP标识信息加入黑名单,并将所述黑名单发送给云端。
4.根据权利要求3所述的方法,其特征在于,所述将所述IP标识信息加入黑名单后,还包括:
针对所述黑名单中的任一一个IP标识信息,若在设定时间内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设阈值,则将所述IP标识信息移出所述黑名单。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述IP信誉库处于超负荷运行状态,则删除所述服务器中的IP信誉库中与所述过滤条件无关的属性信息。
6.一种网际协议IP过滤系统,其特征在于,包括:
云端以及服务器;
所述服务器用于在所述云端获取到待过滤的IP报文后,获取所述IP报文中的IP标识信息;
根据所述IP标识信息和预设的过滤条件,从所述IP信誉库中确定与所述IP标识信息对应的属性信息中符合所述过滤条件的属性项及所述IP标识信息对应的IP信誉值;
根据所述IP标识信息对应的IP信誉值和所述符合所述过滤条件的属性项的参考值,确定所述待过滤的IP报文的安全等级;
根据所述待过滤的IP报文的安全等级确定对所述待过滤的IP报文的响应结果;
所述服务器,还用于:
周期性从云端服务器获取各IP标识信息对应的IP信誉值及属性信息,以更新本地服务器中的IP信誉库。
7.根据权利要求6所述的系统,其特征在于,所述服务器具体用于,
根据所述IP标识信息在IP信誉库中查询所述IP标识信息对应的IP信誉值以及所述IP标识信息对应的属性信息;
根据预设的过滤条件从所述IP标识信息对应的属性信息中查找是否存在符合所述过滤条件的属性项。
8.根据权利要求6所述的系统,其特征在于,所述服务器,还用于:
在所述待过滤的IP报文的安全等级超过设定的报警阈值时,生成所述IP标识信息的过滤日志;
针对一个所述过滤日志对应的所述IP标识信息,若设定时间内针对所述IP标识信息生成的过滤日志的数量大于预设阈值时,则将所述IP标识信息加入黑名单,并将所述黑名单发送给云端,以使所述云端根据所述黑名单更新IP信誉库。
9.根据权利要求8所述的系统,其特征在于,所述服务器还用于:
针对所述黑名单中的任一一个IP标识信息,若在设定时间内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设阈值,则将所述IP标识信息移出所述黑名单。
10.根据权利要求6所述的系统,其特征在于,所述服务器,还用于:
若确定所述IP信誉库处于超负荷运行状态,则删除所述服务器中的IP信誉库中与所述过滤条件无关的属性信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611238386.5A CN106506553B (zh) | 2016-12-28 | 2016-12-28 | 一种网际协议ip过滤方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611238386.5A CN106506553B (zh) | 2016-12-28 | 2016-12-28 | 一种网际协议ip过滤方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106506553A CN106506553A (zh) | 2017-03-15 |
| CN106506553B true CN106506553B (zh) | 2019-11-15 |
Family
ID=58334476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611238386.5A Active CN106506553B (zh) | 2016-12-28 | 2016-12-28 | 一种网际协议ip过滤方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106506553B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667783B (zh) * | 2017-04-01 | 2019-05-17 | 北京数安鑫云信息技术有限公司 | 一种针对ip地址的精确拦截方法、装置和系统 |
| CN107465686A (zh) * | 2017-08-23 | 2017-12-12 | 杭州安恒信息技术有限公司 | 基于网络异质大数据的ip信誉度计算方法及装置 |
| CN111818107B (zh) * | 2020-09-14 | 2021-04-27 | 深圳赛安特技术服务有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797738B1 (en) * | 2005-12-14 | 2010-09-14 | At&T Corp. | System and method for avoiding and mitigating a DDoS attack |
| CN102347932A (zh) * | 2010-07-27 | 2012-02-08 | 中兴通讯股份有限公司 | 一种数据报文的处理方法及系统 |
| CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6993582B2 (en) * | 1996-07-30 | 2006-01-31 | Micron Technology Inc. | Mixed enclave operation in a computer network |
-
2016
- 2016-12-28 CN CN201611238386.5A patent/CN106506553B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797738B1 (en) * | 2005-12-14 | 2010-09-14 | At&T Corp. | System and method for avoiding and mitigating a DDoS attack |
| CN102347932A (zh) * | 2010-07-27 | 2012-02-08 | 中兴通讯股份有限公司 | 一种数据报文的处理方法及系统 |
| CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106506553A (zh) | 2017-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108696473B (zh) | 攻击路径还原方法及装置 | |
| US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
| CN105262722B (zh) | 终端恶意流量规则更新方法、云端服务器和安全网关 | |
| CN102624677B (zh) | 一种网络用户行为监控方法及服务器 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| DE112012000744T5 (de) | Erkennung eines trojanischen Pferdes | |
| CN106506553B (zh) | 一种网际协议ip过滤方法及系统 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| US20150350249A1 (en) | Determining trustworthiness of api requests based on source computer applications' responses to attack messages | |
| CN111756720B (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
| CN106790041B (zh) | 一种网际协议ip信誉库生成方法及装置 | |
| CN104243408A (zh) | 域名解析服务dns系统中监控报文的方法、装置及系统 | |
| CN110855703A (zh) | 智能风险识别系统、方法和电子设备 | |
| CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
| CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| CN109120626A (zh) | 安全威胁处理方法、系统、安全感知服务器及存储介质 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN114363212A (zh) | 一种设备检测方法、装置、设备和存储介质 | |
| CN112769739B (zh) | 数据库操作违规处理方法、装置及设备 | |
| CN111984295A (zh) | 一种区块链软件全网更新方法、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee after: NSFOCUS TECHNOLOGIES Inc. Patentee after: NSFOCUS Technologies Group Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee before: NSFOCUS TECHNOLOGIES Inc. Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |