CN109688094A - 基于网络安全的可疑ip配置方法、装置、设备及存储介质 - Google Patents
基于网络安全的可疑ip配置方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109688094A CN109688094A CN201811041535.8A CN201811041535A CN109688094A CN 109688094 A CN109688094 A CN 109688094A CN 201811041535 A CN201811041535 A CN 201811041535A CN 109688094 A CN109688094 A CN 109688094A
- Authority
- CN
- China
- Prior art keywords
- suspicious
- access
- log
- blacklist
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明提供一种基于网络安全的可疑IP配置方法、装置、设备及存储介质,该方法包括:实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;当监测到触发的请求访问日志抽取指令时,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;依据所述请求访问日志抽取指令的触发时间点和触发条件信息,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;依据所述请求访问日志集合确定可疑IP,并依据所述可疑IP重新配置所述初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。本发明能够有效的提高可疑IP的准确度和配置效率。
Description
技术领域
本发明涉及网络通信的技术领域,尤其涉及一种基于网络安全的可疑IP配置方法、装置、设备及存储介质。
背景技术
随着网络的大众化普及,IT(Information Technology,信息科技)技术在推动产品创新与变革的同时,各种安全问题也非常严峻,为了防止可疑IP(Internet Protocol,网际协议)访问服务器,服务器在运行过程中,生成请求访问日志,由开发人员对该请求访问日志进行分析,获取需要拦截的IP,并设置可疑IP黑名单,使得处于可疑IP黑名单中的IP无法访问服务器,保证服务器安全。
然而,请求访问日志的数据量较大,需要开发人员耗费较多的时间,才能分析出需要拦截的IP,可疑IP的准确度不高,且需要开发人员手动更新可疑IP黑名单,无法快速准确的分析出可疑IP,也无法实时的自动更新可疑IP黑名单,配置效率较低。
因此,如何提高可疑IP的准确度以及可疑IP的配置效率是目前亟待解决的问题。
发明内容
本发明的主要目的在于提供一种基于网络安全的可疑IP配置方法、装置、设备及存储介质,旨在提高可疑IP的准确度以及可疑IP的配置效率。
为实现上述目的,本发明提供一种基于网络安全的可疑IP配置方法,所述基于网络安全的可疑IP配置方法包括以下步骤:
实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;
当监测到触发的请求访问日志抽取指令时,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;
依据所述请求访问日志抽取指令的触发时间点和触发条件信息,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;
依据所述请求访问日志集合确定可疑IP,并依据所述可疑IP重新配置所述初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
可选地,依据所述请求访问日志集合确定可疑IP的步骤包括:
从所述请求访问日志集合中读取各条请求访问日志的访问IP和所述访问IP的访问时间;
按照各访问IP的访问时间,统计各访问IP在预置时间段内的访问次数,并将在预置时间段内的访问次数超过预设阈值的访问IP确定为可疑IP。
可选地,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单的步骤包括:
从所述请求访问日志的触发条件信息中读取业务类型标签;
查询预存的业务类型标签与黑名单识别码之间的映射关系表,获取与所述业务类型标签对应的黑名单识别码;
将与所述黑名单识别码对应的初始可疑IP黑名单,确定为待重新配置的初始可疑IP黑名单。
可选地,依据所述触发条件信息和所述请求访问日志抽取指令的触发时间点,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合的步骤包括:
从所述触发条件信息中读取服务器域名标签,并根据所述请求访问日志抽取指令的触发时间点,确定访问时间区间;
从所述分布式文件系统中抽取,域名标签为所述服务器域名标签,且访问时间位于所述访问时间区间内的请求访问日志,以形成请求访问日志集合。
可选地,依据所述可疑IP重新配置所述初始可疑IP黑名单的步骤包括:
将所述可疑IP写入所述初始可疑IP黑名单,并确定所述可疑IP在预设时间段内的访问次数是否超过预设访问次数,其中,所述预设访问次数大于所述预设阈值;
若所述可疑IP在预设时间段内的访问次数超过预设访问次数,则将所述可疑IP标记为永久可疑IP,否则将所述可疑IP标记为临时可疑IP。
可选地,依据所述可疑IP重新配置所述初始可疑IP黑名单的步骤之后,还包括:
当监测到触发的可疑IP解封指令时,根据所述可疑IP解封指令的触发条件信息,确定待解封的可疑IP黑名单,并从所述可疑IP黑名单中移除全部临时可疑IP。
可选地,所述基于网络安全的可疑IP配置方法还包括:
每移除一次临时可疑IP,则对应的临时可疑IP的移除次数加1,并以间隔预设时间确定各临时可疑IP中是否存在至少一临时可疑IP的移除次数超过预设移除次数;
若各临时可疑IP中存在至少一临时可疑IP的移除次数超过预设移除次数,则将所述至少一临时可疑IP标记为永久可疑IP。
此外,为实现上述目的,本发明还提供一种基于网络安全的可疑IP配置装置,所述基于网络安全的可疑IP配置装置包括:
日志收集模块,用于实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;
黑名单确定模块,用于当监测到触发的请求访问日志抽取指令时,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;
日志抽取模块,用于依据所述请求访问日志抽取指令的触发时间点和触发条件信息,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;
黑名单配置模块,用于依据所述请求访问日志集合确定可疑IP,并依据所述可疑IP重新配置所述初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
此外,为实现上述目的,本发明还提供一种基于网络安全的可疑IP配置设备,所述基于网络安全的可疑IP配置设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的基于网络安全的可疑IP配置程序,其中所述基于网络安全的可疑IP配置程序被所述处理器执行时,实现如上述的基于网络安全的可疑IP配置方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有基于网络安全的可疑IP配置程序,其中所述基于网络安全的可疑IP配置程序被处理器执行时,实现如上述的基于网络安全的可疑IP配置方法的步骤。
本发明提供一种基于网络安全的可疑IP配置方法、装置、设备及存储介质,本发明通过实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统,然后当监测到触发的请求访问日志抽取指令时,从分布式文件系统中抽取对应的请求访问日志,并依据抽取到的请求访问日志确定可疑IP,且基于基于网络安全的可疑IP配置对应的初始可疑IP黑名单,同时加载重新配置后的初始可疑IP黑名单,由于可疑IP的配置过程无需用户参与,可以减少因用户原因导致可疑IP不准确的问题发生,有效的提高可疑IP的准确度,同时,自动配置可疑IP,有效提高可疑IP的配置效率。
附图说明
图1为本发明各实施例涉及的基于网络安全的可疑IP配置设备的硬件结构示意图;
图2为本发明基于网络安全的可疑IP配置方法第一实施例的流程示意图;
图3为本发明基于网络安全的可疑IP配置方法第二实施例中步骤S104的细化流程示意图;
图4为本发明基于网络安全的可疑IP配置装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例涉及的基于网络安全的可疑IP配置方法主要应用于基于网络安全的可疑IP配置设备,该基于网络安全的可疑IP配置设备可以是PC(个人计算机personalcomputer)、便携计算机、移动终端等具有显示和处理功能的设备。
参照图1,图1为本发明实施例方案中涉及的基于网络安全的可疑IP配置设备的硬件结构示意图。本发明实施例中,基于网络安全的可疑IP配置设备可以包括处理器1001(例如中央处理器Central Processing Unit、CPU),通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信;用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard);网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口);存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器,存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解,图1中示出的硬件结构并不构成对本发明的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
继续参照图1,图1中作为一种存储介质的存储器1005可以包括操作系统、网络通信模块以及基于网络安全的可疑IP配置程序。在图1中,网络通信模块主要用于连接服务器,与服务器进行数据通信;而处理器1001可以调用存储器1005中存储的基于网络安全的可疑IP配置程序,并执行本发明实施例提供的基于网络安全的可疑IP配置方法。
本发明实施例提供了一种基于网络安全的可疑IP配置方法。
参照图2,图2为本发明基于网络安全的可疑IP配置方法第一实施例的流程示意图。
本实施例中,该基于网络安全的可疑IP配置方法由基于网络安全的可疑IP配置设备实现,该基于网络安全的可疑IP配置设备可以是PC、掌上电脑和平板电脑等终端设备,可选为图1所示的设备,该基于网络安全的可疑IP配置方法包括以下步骤:
步骤S101,实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;
步骤S102,当监测到触发的请求访问日志抽取指令时,依据请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;
步骤S103,依据请求访问日志抽取指令的触发时间点和触发条件信息,从分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;
步骤S104,依据请求访问日志集合确定可疑IP,并依据可疑IP重新配置初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
为了防止可疑IP(Internet Protocol,网协)访问服务器,服务器在运行过程中,生成请求访问日志,由开发人员对该请求访问日志进行分析,获取需要拦截的IP,并设置可疑IP黑名单,使得处于可疑IP黑名单中的IP无法访问服务器,保证服务器安全。然而,请求访问日志的数据量较大,需要开发人员耗费较多的时间,才能分析出需要拦截的IP,可疑IP的准确度不高,且需要开发人员手动更新可疑IP黑名单,无法快速准确的分析出可疑IP,也无法实时的自动更新可疑IP黑名单,配置效率较低。考虑到上述问题,本实施例中提出一种基于网络安全的可疑IP配置方法,以下详细介绍基于网络安全的可疑IP配置方法的具体步骤:
步骤S101,实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;
本实施例中,各服务器在运行的过程中,监测客户端发送的业务访问请求,并当监测到客户端发送的业务访问请求时,生成对应的一条请求访问日志,该请求访问日志记录有业务访问请求的访问时间、访问流量、访问URL地址、访问IP和服务器域名等。设备实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统,即各服务器上设置有一Agent,通过设置的Agent收集本服务器的请求访问日志,设置的Agent由数据源Source、通道Channel和数据汇聚节点Sink组成,该数据源Source在检测到数据访问请求时,获取该数据访问请求对应的请求访问日志,并将该请求访问日志以Flume的event格式传递给一个或者多个通道Channal;该通道Channel为短暂的存储容器,用于缓存该请求访问日志,直到缓存的请求访问日志被数据汇聚节点Sink使用;数据汇聚节点Sink将缓存的请求访问日志存储到HDFS(Hadoop Distributed File System,分布式文件系统)。
步骤S102,当监测到触发的请求访问日志抽取指令时,依据请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;
本实施例中,请求访问日志抽取指令的触发方式包括但不限于定时自动触发和手动触发,定时自动触发为设置有一定时器,当定时器记录的时间达到预设值时,触发请求访问日志抽取指令,并重置该定时器;手动触发为设备设置有一触发界面,开发人员或运维人员通过该触发界面可选择业务类型标签和服务器域名标签,并在选择业务类型标签和服务器域名标签之后,且提交确认选项时,触发请求访问日志抽取指令,并生成请求访问日志抽取指令的触发条件信息。需要说明的是,上述触发界面和预设值可由本领域技术人员基于实际情况进行设置。
当监测到触发的请求访问日志抽取指令时,设备依据触发的请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单。其中,触发条件信息包括但不限于触发时间点间隔、业务类型标签和服务器域名标签;该触发时间点间隔表示抽取指令的自动触发时间点间隔,业务类型标签表示触发的抽取指令所属的业务场景,不同业务场景的业务类型标签不同,且不同业务类型标签的初始可疑IP黑名单不同,服务器域名表示所属业务场景涉及的服务器。需要说明的是,当该触发条件信息中存在该触发时间点间隔时,确定该请求访问日志抽取指令的触发方式为定时自动触发,而当该触发条件信息中不存在该触发时间点间隔时,确定该请求访问日志抽取指令的触发方式为手动触发。
具体地,设备从该请求访问日志的触发条件信息中读取业务类型标签,即查询该触发条件信息中的标签字段,当查询到的标签字段与预设标签字段匹配时,读取该标签字段对应的信息,即业务类型标签,并查询预存的业务类型标签与黑名单识别码之间的映射关系表,获取与该业务类型标签对应的黑名单识别码,且将黑名单识别码对应的初始可疑IP黑名单,确定为待重新配置的初始可疑IP黑名单。其中,黑名单识别码用于唯一识别初始可疑IP黑名单,每个初始可疑IP黑名单均有黑名单识别码,该黑名单识别码由数字、小写英文字母、大写英文字母和字符中的一种或多种组成,本实施例对此不作限定,初始可疑IP黑名单中存储有本底可疑IP,本底可疑IP不可修改。需要说明的是,上述预设标签字段、业务类型标签与黑名单识别码之间的映射关系表以及黑名单识别码的组成方式可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。
步骤S103,依据请求访问日志抽取指令的触发时间点和触发条件信息,从分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;
本实施例中,设备在确定待重新配置的初始可疑IP黑名单的同时,依据该请求访问日志抽取指令的触发时间点和触发条件信息,通过Spark接口访问分布式文件系统,从分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合。其中,Spark接口为构建在Spark上处理Stream数据的框架,基本的原理是将Stream数据分成小的时间片断(几秒),以类似batch批量处理的方式来处理这小部分数据,可以同时兼容批量和实时数据处理的逻辑和算法。
具体地,设备从该触发条件信息中读取服务器域名标签,并根据该请求访问日志抽取指令的触发时间点,确定访问时间区间,即获取该请求访问日志抽取指令的触发时间点,并获取预设时长值,然后依据该触发时间点和该预设时长值,确定访问时间区间的两端时间点,以该触发时间点为访问时间区间的第一端点时间点,以在距离第一端点时间点为预设时长值的时间点为访问时间区间的第二端点时间点,且第一端点时间点为访问时间区间的起始端点,第二端点为访问时间区间的终点端点;从该分布式文件系统中抽取,域名标签为该服务器域名标签,且访问时间位于该访问时间区间内的请求访问日志,以形成请求访问日志集合。需要说明的是,上述预设时长值可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。
步骤S104,依据请求访问日志集合确定可疑IP,并依据可疑IP重新配置初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
本实施例中,在抽取到请求访问日志,以形成请求访问日志集合之后,依据该请求访问日志集合确定可疑IP,具体地,从该请求访问日志集合中读取各条请求访问日志的访问IP和该访问IP的访问时间,并按照各访问IP的访问时间,统计各访问IP在预置时间段内的访问次数,然后确定各访问IP在预置时间段内的访问次数是否超过预设阈值,并将在预置时间段内的访问次数超过预设阈值的访问IP确定为可疑IP;
或者,从该请求访问日志集合中读取各条请求访问日志的访问IP、访问IP的访问时间以及访问IP所属客户端的设备识别码,并按照各访问IP的访问时间,统计各访问IP在第一设定时间段内的访问次数,然后确定设备识别码相同的访问IP中是否存在至少一个访问IP在第一设定时间段内的访问次数超过设定访问次数,如果设备识别码相同的访问IP中存在至少一个访问IP在设定时间段内的访问次数超过设定访问次数,则将设备识别码相同的全部访问IP均确定为可疑IP,且将设备识别码不相同,而在第一设定时间段内的访问次数超过设定访问次数的访问IP确定为可疑IP;
或者,从该请求访问日志集合中读取各条请求访问日志的访问IP、访问网页标签以及访问时间,并按照各访问IP的访问时间,统计各访问IP在预设时间段内访问各访问网页标签对应网页的次数,即各访问IP在第二设定时间段内的网页访问次数,然后确定各访问IP在第二设定时间段内的网页访问次数是否超过设定网页访问次数,并将在第二设定时间段内的网页访问次数超过设定网页访问次数的访问IP确定为可疑IP。
本实施例中,设备在确定可疑IP之后,依据可疑IP重新配置初始可疑IP黑名单,即将可疑IP写入可疑IP黑名单,并加载重新配置后的初始可疑IP黑名单,然后按照加载的可疑IP黑名单拦截对应的访问IP,即当监测到业务访问请求时,确定该业务访问请求中的访问IP是否位于可疑IP黑名单内,如果该业务访问请求中的访问IP位于可疑IP黑名单内,则拦截该业务访问请求,反之,如果该业务访问请求中的访问IP不位于可疑IP黑名单内,则不拦截该业务访问请求。其中,加载重新配置后的初始可疑IP黑名单不需要重启apache容器。
本实施例中,本发明通过实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统,然后当监测到触发的请求访问日志抽取指令时,从分布式文件系统中抽取对应的请求访问日志,并依据抽取到的请求访问日志确定可疑IP,且基于基于网络安全的可疑IP配置对应的初始可疑IP黑名单,同时加载重新配置后的初始可疑IP黑名单,由于可疑IP的配置过程无需用户参与,可以减少因用户原因导致可疑IP不准确的问题发生,有效的提高可疑IP的准确度,同时,自动配置可疑IP,有效提高可疑IP的配置效率。
进一步地,参照图3,基于上述第一实施例,提出了本发明基于网络安全的可疑IP配置方法的第二实施例,与前述实施例的区别在于,步骤S104包括:
步骤S1041,将可疑IP写入初始可疑IP黑名单,并确定可疑IP在预设时间段内的访问次数是否超过预设访问次数;
本实施例中,设备在确定可疑IP之后,将可疑IP写入初始可疑IP黑名单,即更新初始可疑IP黑名单,并确定可疑IP在预设时间段内的访问次数是否超过预设访问次数,即确定可疑IP是否为重度可疑IP,其中,该预设访问次数大于上述第一实施例中的预设阈值。需要说明的是,该预设访问次数可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。
步骤S1042,若可疑IP在预设时间段内的访问次数超过预设访问次数,则将可疑IP标记为永久可疑IP,否则将可疑IP标记为临时可疑IP。
本实施例中,如果该可疑IP在预设时间段内的访问次数超过预设访问次数,即该可疑IP为重度可疑IP,则将可疑IP标记为永久可疑IP,反之,如果可疑IP在预设时间段内的访问次数未超过预设访问次数,即该可疑IP不为重度可疑IP,则将可疑IP标记为临时可疑IP。其中,该永久可疑IP无法被自动移除,该临时可疑IP可被自动移除。
本实施例中,本发明基于可疑IP的可疑程度,将可疑IP标记为永久可疑IP或临时可疑IP,防止可疑程度较高的可疑IP解封。
进一步地,基于上述第二实施例,提出了本发明基于网络安全的可疑IP配置方法的第三实施例,与前述实施例的区别在于,该步骤S104之后,该基于网络安全的可疑IP配置方法还包括:
步骤a,当监测到触发的可疑IP解封指令时,根据可疑IP解封指令的触发条件信息,确定待解封的可疑IP黑名单,并从可疑IP黑名单中移除全部临时可疑IP。
本实施例中,可疑IP解封指令的触发方式包括但不限于定时自动触发和手动触发,定时自动触发为设置有一定时器,当定时器记录的时间达到预设值时,触发可疑IP解封指令,并重置该定时器;手动触发为设备设置有一触发界面,开发人员或运维人员通过该触发界面可选择业务类型标签,并在选择业务类型标签之后,且提交确认选项时,触发可疑IP解封指令,并生成可疑IP解封指令的触发条件信息。需要说明的是,上述触发界面和预设值可由本领域技术人员基于实际情况进行设置。
当监测到触发的可疑IP解封指令时,根据可疑IP解封指令的触发条件信息,确定待解封的可疑IP黑名单,即从该请求访问日志的触发条件信息中读取业务类型标签,并查询预存的业务类型标签与黑名单识别码之间的映射关系表,获取与该业务类型标签对应的黑名单识别码,然后将该黑名单识别码对应的可疑IP黑名单确定为待解封的可疑IP黑名单,并从可疑IP黑名单中移除全部临时可疑IP。具体实施中,还可以单独移除某个临时可疑IP。
本实施例中,本发明可对临时可疑IP进行解封,即从可疑IP黑名单中移除临时可疑IP,防止由于可疑IP不准确,导致正常的访问IP被拦截的问题。
进一步地,基于上述第三实施例,提出了本发明基于网络安全的可疑IP配置方法的第四实施例,与前述实施例的区别在于,该基于网络安全的可疑IP配置方法还包括:
步骤b,每移除一次临时可疑IP,则对应的临时可疑IP的移除次数加1,并以间隔预设时间确定各临时可疑IP中是否存在至少一临时可疑IP的移除次数超过预设移除次数;
本实施例中,实际操作过程中,存在临时可疑IP移除之后,再次写入可疑IP黑名单的情况,为此,设备每移除一次临时可疑IP,则对应的临时可疑IP的移除次数加1,即从可疑IP黑名单中移除临时可疑IP时,移除的临时可疑IP的移除次数加1,然后以间隔预设时间确定各临时可疑IP中是否存在至少一临时可疑IP的移除次数超过预设移除次数。需要说明的是,上述预设时间和预设移除次数可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。
步骤c,若各临时可疑IP中存在至少一临时可疑IP的移除次数超过预设移除次数,则将至少一临时可疑IP标记为永久可疑IP。
本实施例中,如果各临时可疑IP中存在至少一临时可疑IP的移除次数超过预设移除次数,则将至少一临时可疑IP标记为永久可疑IP,即确定该至少一临时可疑IP所属的可疑IP黑名单,并将该可疑IP黑名单中的该至少一临时可疑IP标记为永久可疑IP,以更新该可疑IP黑名单。
本实施例中,本发明在临时可疑IP的移除次数达到设定值时,将临时可疑IP标记为永久可疑IP,防止临时可疑IP在解封之后,继续访问服务器,提高访问的安全性。
此外,本发明实施例还提供一种基于网络安全的可疑IP配置装置。
参照图4,图4为本发明基于网络安全的可疑IP配置装置第一实施例的功能模块示意图。
本发明基于网络安全的可疑IP配置装置为虚拟装置,存储于图1所示基于网络安全的可疑IP配置设备的存储器1005中,用于实现基于网络安全的可疑IP配置程序的所有功能;实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;当监测到触发的请求访问日志抽取指令时,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;依据所述请求访问日志抽取指令的触发时间点和触发条件信息,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;依据所述请求访问日志集合确定可疑IP,并依据所述可疑IP重新配置所述初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
具体的,本实施例中,所述基于网络安全的可疑IP配置装置包括:
日志收集模块101,用于实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;
黑名单确定模块102,用于当监测到触发的请求访问日志抽取指令时,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;
日志抽取模块103,用于依据所述请求访问日志抽取指令的触发时间点和触发条件信息,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;
黑名单配置模块104,用于依据所述请求访问日志集合确定可疑IP,并依据所述可疑IP重新配置所述初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
进一步地,所述黑名单配置模块104还用于:
从所述请求访问日志集合中读取各条请求访问日志的访问IP和所述访问IP的访问时间;
按照各访问IP的访问时间,统计各访问IP在预置时间段内的访问次数,并将在预置时间段内的访问次数超过预设阈值的访问IP确定为可疑IP。
进一步地,所述黑名单确定模块102还用于:
从所述请求访问日志的触发条件信息中读取业务类型标签;
查询预存的业务类型标签与黑名单识别码之间的映射关系表,获取与所述业务类型标签对应的黑名单识别码;
将与所述黑名单识别码对应的初始可疑IP黑名单,确定为待重新配置的初始可疑IP黑名单。
进一步地,所述日志抽取模块103还用于:
从所述触发条件信息中读取服务器域名标签,并根据所述请求访问日志抽取指令的触发时间点,确定访问时间区间;
从所述分布式文件系统中抽取,域名标签为所述服务器域名标签,且访问时间位于所述访问时间区间内的请求访问日志,以形成请求访问日志集合。
进一步地,所述黑名单配置模块104还用于:
将所述可疑IP写入所述初始可疑IP黑名单,并确定所述可疑IP在预设时间段内的访问次数是否超过预设访问次数,其中,所述预设访问次数大于所述预设阈值;
若所述可疑IP在预设时间段内的访问次数超过预设访问次数,则将所述可疑IP标记为永久可疑IP,否则将所述可疑IP标记为临时可疑IP。
进一步地,所述基于网络安全的可疑IP配置装置还包括:
访问IP解封模块,用于当监测到触发的可疑IP解封指令时,根据所述可疑IP解封指令的触发条件信息,确定待解封的可疑IP黑名单,并从所述可疑IP黑名单中移除全部临时可疑IP。
进一步地,所述基于网络安全的可疑IP配置装置还包括:
累加确定模块,用于每移除一次临时可疑IP,则对应的临时可疑IP的移除次数加1,并以间隔预设时间确定各临时可疑IP中是否存在至少一临时可疑IP的移除次数超过预设移除次数;
标记模块,用于若各临时可疑IP中存在至少一临时可疑IP的移除次数超过预设移除次数,则将所述至少一临时可疑IP标记为永久可疑IP。
其中,上述基于网络安全的可疑IP配置装置中各个模块的功能实现与上述基于网络安全的可疑IP配置方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
此外,本发明实施例还提供一种存储介质。
本发明存储介质上存储有基于网络安全的可疑IP配置程序,其中所述基于网络安全的可疑IP配置程序被处理器执行时,实现如上述的基于网络安全的可疑IP配置方法的步骤。
其中,基于网络安全的可疑IP配置程序被执行时所实现的方法可参照本发明基于网络安全的可疑IP配置方法的各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于网络安全的可疑IP配置方法,其特征在于,所述基于网络安全的可疑IP配置方法包括以下步骤:
实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;
当监测到触发的请求访问日志抽取指令时,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;
依据所述请求访问日志抽取指令的触发时间点和触发条件信息,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;
依据所述请求访问日志集合确定可疑IP,并依据所述可疑IP重新配置所述初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
2.如权利要求1所述的基于网络安全的可疑IP配置方法,其特征在于,依据所述请求访问日志集合确定可疑IP的步骤包括:
从所述请求访问日志集合中读取各条请求访问日志的访问IP和所述访问IP的访问时间;
按照各访问IP的访问时间,统计各访问IP在预置时间段内的访问次数,并将在预置时间段内的访问次数超过预设阈值的访问IP确定为可疑IP。
3.如权利要求1所述的基于网络安全的可疑IP配置方法,其特征在于,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单的步骤包括:
从所述请求访问日志的触发条件信息中读取业务类型标签;
查询预存的业务类型标签与黑名单识别码之间的映射关系表,获取与所述业务类型标签对应的黑名单识别码;
将与所述黑名单识别码对应的初始可疑IP黑名单,确定为待重新配置的初始可疑IP黑名单。
4.如权利要求1所述的基于网络安全的可疑IP配置方法,其特征在于,依据所述触发条件信息和所述请求访问日志抽取指令的触发时间点,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合的步骤包括:
从所述触发条件信息中读取服务器域名标签,并根据所述请求访问日志抽取指令的触发时间点,确定访问时间区间;
从所述分布式文件系统中抽取,域名标签为所述服务器域名标签,且访问时间位于所述访问时间区间内的请求访问日志,以形成请求访问日志集合。
5.如权利要求1-4中任一项所述的基于网络安全的可疑IP配置方法,其特征在于,依据所述可疑IP重新配置所述初始可疑IP黑名单的步骤包括:
将所述可疑IP写入所述初始可疑IP黑名单,并确定所述可疑IP在预设时间段内的访问次数是否超过预设访问次数,其中,所述预设访问次数大于所述预设阈值;
若所述可疑IP在预设时间段内的访问次数超过预设访问次数,则将所述可疑IP标记为永久可疑IP,否则将所述可疑IP标记为临时可疑IP。
6.如权利要求5所述的基于网络安全的可疑IP配置方法,其特征在于,依据所述可疑IP重新配置所述初始可疑IP黑名单的步骤之后,还包括:
当监测到触发的可疑IP解封指令时,根据所述可疑IP解封指令的触发条件信息,确定待解封的可疑IP黑名单,并从所述可疑IP黑名单中移除全部临时可疑IP。
7.如权利要求6所述的基于网络安全的可疑IP配置方法,其特征在于,所述基于网络安全的可疑IP配置方法还包括:
每移除一次临时可疑IP,则对应的临时可疑IP的移除次数加1,并以间隔预设时间确定各临时可疑IP中是否存在至少一临时可疑IP的移除次数超过预设移除次数;
若各临时可疑IP中存在至少一临时可疑IP的移除次数超过预设移除次数,则将所述至少一临时可疑IP标记为永久可疑IP。
8.一种基于网络安全的可疑IP配置装置,其特征在于,所述基于网络安全的可疑IP配置装置包括:
日志收集模块,用于实时收集各服务器生成的请求访问日志,并将收集到的请求访问日志存储至分布式文件系统;
黑名单确定模块,用于当监测到触发的请求访问日志抽取指令时,依据所述请求访问日志抽取指令的触发条件信息,确定待重新配置的初始可疑IP黑名单;
日志抽取模块,用于依据所述请求访问日志抽取指令的触发时间点和触发条件信息,从所述分布式文件系统中抽取对应的请求访问日志,以形成请求访问日志集合;
黑名单配置模块,用于依据所述请求访问日志集合确定可疑IP,并依据所述可疑IP重新配置所述初始可疑IP黑名单,且加载重新配置后的初始可疑IP黑名单。
9.一种基于网络安全的可疑IP配置设备,其特征在于,所述基于网络安全的可疑IP配置设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的基于网络安全的可疑IP配置程序,其中所述基于网络安全的可疑IP配置程序被所述处理器执行时,实现如权利要求1至7中任一项所述的基于网络安全的可疑IP配置方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有基于网络安全的可疑IP配置程序,其中所述基于网络安全的可疑IP配置程序被处理器执行时,实现如权利要求1至7中任一项所述的基于网络安全的可疑IP配置方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811041535.8A CN109688094B (zh) | 2018-09-07 | 2018-09-07 | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811041535.8A CN109688094B (zh) | 2018-09-07 | 2018-09-07 | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109688094A true CN109688094A (zh) | 2019-04-26 |
| CN109688094B CN109688094B (zh) | 2022-05-17 |
Family
ID=66184515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811041535.8A Active CN109688094B (zh) | 2018-09-07 | 2018-09-07 | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109688094B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933152A (zh) * | 2019-11-21 | 2020-03-27 | 北京奇艺世纪科技有限公司 | 一种预热方法、装置、系统及电子设备 |
| CN111049838A (zh) * | 2019-12-16 | 2020-04-21 | 随手(北京)信息技术有限公司 | 黑产设备识别方法、装置、服务器及存储介质 |
| CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
| CN112367324A (zh) * | 2020-11-12 | 2021-02-12 | 平安科技(深圳)有限公司 | Cdn的攻击检测方法、装置、存储介质及电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130124717A1 (en) * | 2011-11-14 | 2013-05-16 | Jds Uniphase Corporation | Selective ip address allocation for probes that do not have assigned ip addresses |
| CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| CN104065657A (zh) * | 2014-06-26 | 2014-09-24 | 北京思特奇信息技术股份有限公司 | 一种基于ip访问的动态控制用户行为的方法及系统 |
| CN105224691A (zh) * | 2015-10-30 | 2016-01-06 | 北京网康科技有限公司 | 一种信息处理方法及装置 |
| CN106506451A (zh) * | 2016-09-30 | 2017-03-15 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
| CN106789901A (zh) * | 2016-11-22 | 2017-05-31 | 福建中金在线信息科技有限公司 | 一种防止恶意提交网页请求的方法及装置 |
| CN107659566A (zh) * | 2017-09-20 | 2018-02-02 | 深圳市创梦天地科技股份有限公司 | 对服务器异常访问的识别频率确定方法、装置及服务器 |
| CN108052675A (zh) * | 2017-12-28 | 2018-05-18 | 惠州Tcl家电集团有限公司 | 日志管理方法、系统及计算机可读存储介质 |
| CN108259421A (zh) * | 2016-12-29 | 2018-07-06 | 沈阳美行科技有限公司 | 一种用户活跃度的统计方法及系统 |
-
2018
- 2018-09-07 CN CN201811041535.8A patent/CN109688094B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130124717A1 (en) * | 2011-11-14 | 2013-05-16 | Jds Uniphase Corporation | Selective ip address allocation for probes that do not have assigned ip addresses |
| CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| CN104065657A (zh) * | 2014-06-26 | 2014-09-24 | 北京思特奇信息技术股份有限公司 | 一种基于ip访问的动态控制用户行为的方法及系统 |
| CN105224691A (zh) * | 2015-10-30 | 2016-01-06 | 北京网康科技有限公司 | 一种信息处理方法及装置 |
| CN106506451A (zh) * | 2016-09-30 | 2017-03-15 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
| CN106789901A (zh) * | 2016-11-22 | 2017-05-31 | 福建中金在线信息科技有限公司 | 一种防止恶意提交网页请求的方法及装置 |
| CN108259421A (zh) * | 2016-12-29 | 2018-07-06 | 沈阳美行科技有限公司 | 一种用户活跃度的统计方法及系统 |
| CN107659566A (zh) * | 2017-09-20 | 2018-02-02 | 深圳市创梦天地科技股份有限公司 | 对服务器异常访问的识别频率确定方法、装置及服务器 |
| CN108052675A (zh) * | 2017-12-28 | 2018-05-18 | 惠州Tcl家电集团有限公司 | 日志管理方法、系统及计算机可读存储介质 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933152A (zh) * | 2019-11-21 | 2020-03-27 | 北京奇艺世纪科技有限公司 | 一种预热方法、装置、系统及电子设备 |
| CN111049838A (zh) * | 2019-12-16 | 2020-04-21 | 随手(北京)信息技术有限公司 | 黑产设备识别方法、装置、服务器及存储介质 |
| CN111049838B (zh) * | 2019-12-16 | 2022-05-13 | 铭迅(北京)信息技术有限公司 | 黑产设备识别方法、装置、服务器及存储介质 |
| CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
| CN112118249B (zh) * | 2020-09-11 | 2022-09-16 | 南京云柜网络科技有限公司 | 基于日志和防火墙的安全防护方法及装置 |
| CN112367324A (zh) * | 2020-11-12 | 2021-02-12 | 平安科技(深圳)有限公司 | Cdn的攻击检测方法、装置、存储介质及电子设备 |
| CN112367324B (zh) * | 2020-11-12 | 2023-09-19 | 平安科技(深圳)有限公司 | Cdn的攻击检测方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109688094B (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019204090B2 (en) | Networking flow logs for multi-tenant environments | |
| US20180139180A1 (en) | Real-time monitoring of web page code | |
| CN109688094A (zh) | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 | |
| US20200153685A1 (en) | Distributed rules engine for processing events associated with internet of things devices | |
| US9122560B2 (en) | System and method of optimization for mobile apps | |
| US10491621B2 (en) | Website security tracking across a network | |
| CN108134816B (zh) | 对远程设备上的数据的访问 | |
| US20150143215A1 (en) | Method and system for accessing audio/video community virtual rooms | |
| CN102255919A (zh) | 用于在局域网中优化安全任务的执行的系统和方法 | |
| CN110826058B (zh) | 基于用户交互的恶意软件检测的设备、方法、介质 | |
| US20170244741A1 (en) | Malware Identification Using Qualitative Data | |
| US11687348B2 (en) | Intelligent launch of applications | |
| US11689550B2 (en) | Methods and apparatus to analyze network traffic for malicious activity | |
| US9118563B2 (en) | Methods and apparatus for detecting and filtering forced traffic data from network data | |
| CN111316691A (zh) | 基于可用资源向设备缓存和提供数据 | |
| CN115051867A (zh) | 一种非法外联行为的检测方法、装置、电子设备及介质 | |
| US20210266341A1 (en) | Automated actions in a security platform | |
| US20210092159A1 (en) | System for the prioritization and dynamic presentation of digital content | |
| US9667702B1 (en) | Automated dispatching framework for global networks | |
| US11259169B2 (en) | Highly scalable home subscriber server | |
| EP3438866A1 (en) | Network device and method for determining security problems in such a network device | |
| US11671343B2 (en) | Dynamic network traffic sniffer | |
| US20240096191A1 (en) | Corroborating device-detected anomalous behavior | |
| KR20190019670A (ko) | 클라우드 서버 및 클라우드 서버의 동작 | |
| JP2013081146A (ja) | アドレス抽出装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |