CN111083157B - 报文过滤规则的处理方法和装置 - Google Patents

报文过滤规则的处理方法和装置 Download PDF

Info

Publication number
CN111083157B
CN111083157B CN201911359827.0A CN201911359827A CN111083157B CN 111083157 B CN111083157 B CN 111083157B CN 201911359827 A CN201911359827 A CN 201911359827A CN 111083157 B CN111083157 B CN 111083157B
Authority
CN
China
Prior art keywords
address
attack source
attack
message filtering
filtering rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911359827.0A
Other languages
English (en)
Other versions
CN111083157A (zh
Inventor
曹志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201911359827.0A priority Critical patent/CN111083157B/zh
Publication of CN111083157A publication Critical patent/CN111083157A/zh
Application granted granted Critical
Publication of CN111083157B publication Critical patent/CN111083157B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种报文过滤规则的处理方法及装置,应用于网络设备中,所述方法包括:根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源IP地址信誉库;确定攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;若确定攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于设定信誉阈值,则确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则;若确定报文过滤规则库中未保存第一攻击源IP地址对应的报文过滤规则,则根据第一攻击源IP地址对应的攻击日志生成报文过滤规则;将生成的报文过滤规则添加到报文过滤规则库中。应用本申请的实施例,可以大大提高报文过滤规则的处理效率。

Description

报文过滤规则的处理方法和装置
技术领域
本申请涉及网络通信技术领域,特别设计一种报文过滤规则的处理方法和装置。
背景技术
随着网络技术的飞速发展,网络攻击呈增长趋势,网络运营商面临的安全和运营挑战也不断增多,网络运营商必须在攻击威胁影响关键业务和应用之前对攻击报文进行阻断。
互联网协议(Internet Protocol,IP)地址是一种在互联网(Internet)上给主机编址的方式,网络中的各个主机通过IP地址才能互相通信,由此可见,IP地址具有一定的唯一性。因此,针对网络攻击有效的防护措施就是过滤触发过攻击事件的IP地址的报文。报文过滤规则可以根据报文的五元组信息构成,即源IP地址、目的IP地址、源端口号、目的端口号和协议。网络设备通过报文过滤规则来过滤网络中的报文。
目前,报文过滤规则的处理方法是,在出现攻击事件后,技术人员通过分析网络设备的攻击日志,手动配置针对攻击源IP地址的报文过滤规则来防护攻击,以确保网络正常稳定的运行以及业务的正常开展。上述报文过滤规则的处理方法,采用人工方式分析攻击日志、配置报文过滤规则,这就导致报文过滤规则的处理效率非常低。
发明内容
有鉴于此,本申请提供一种报文过滤规则的处理方法和装置,以解决采用人工方式分析攻击日志、配置报文过滤规则,导致的报文过滤规则的处理效率非常低的问题。
具体地,本申请是通过如下技术方案实现的:
一种报文过滤规则的处理方法,应用于网络设备中,所述方法包括:
根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;
若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值,则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则;
若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则,则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则;
将生成的报文过滤规则添加到所述报文过滤规则库中。
一种报文过滤规则的处理装置,应用于网络设备中,所述装置包括:
更新模块,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
第一确定模块,用于确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;
第二确定模块,用于若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值,则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则;
生成模块,用于若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则,则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则;
添加模块,用于将生成的报文过滤规则添加到所述报文过滤规则库中。
一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
附图说明
图1为本申请示出的一种报文过滤规则的处理方法的流程图;
图2为本申请示出的一种报文过滤规则的处理装置的结构示意图;
图3为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决上述问题,本发明实施例提供了一种报文过滤规则的处理方法,以大大提高报文过滤规则的处理效率。请参见图1,图1为本申请示出的一种报文过滤规则的处理方法的流程图,应用于网络设备中。
S11:根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源IP地址信誉库。
为了实时获取网络中的安全设备的攻击日志,首先需要配置安全设备的攻击日志发送的目的地址为网络设备的地址,配置完成后安全设备的攻击日志就会自动发送到本网络设备。另外,由于不同攻击日志的格式不同,为了分析攻击日志,还需要与安全设备约定好攻击日志的格式。约定的方式可以但不限于为在攻击日志的格式页面配置数据格式信息。一种预设格式的示例如下表1所示:
Figure BDA0002336877920000041
表1
其中,括号中的数值代表该字段在攻击日志中占用的字节数,该字段之前所有字段占用的字节数为该字段的偏移,例如,“攻击源IP地址”的在攻击日志中的偏移为92字节,长度为4字节,“日志类型”在攻击日志中的偏移为16字节,长度为4字节。
设定时段可以根据实际需要进行设定,例如,可以但不限于设定为1小时、2小时等等。
S12:确定攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值。
攻击源IP地址信誉库中保存的是各个攻击源IP地址的信誉值,可以确定这些攻击源IP地址的信誉值是否大于设定信誉阈值。
其中,设定信誉阈值可以根据实际需要进行设定。
S13:若确定攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于设定信誉阈值,则确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则。
对于攻击源IP地址信誉库中的信誉度小于或等于设定信誉阈值的攻击源IP地址,这些攻击源IP地址相对还是安全的,无需执行任何操作;对于攻击源IP地址信誉库中的信誉度大于设定信誉阈值的攻击源IP地址,可以定义为第一攻击源IP地址,第一攻击源IP地址的数量至少一个,这些攻击源IP地址是非常危险的,因此,需要确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则。
S14:若确定报文过滤规则库中未保存第一攻击源IP地址对应的报文过滤规则,则根据第一攻击源IP地址对应的攻击日志生成报文过滤规则。
由于根据第一攻击源IP地址对应的攻击日志中记录着各种相关的信息,因此,可以基于该攻击日志生成报文过滤规则。
S15:将生成的报文过滤规则添加到报文过滤规则库中。
以便于后续转发报文时使用。
由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
具体的,上述S11中的根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库,实现过程具体包括:
获取设定时段内接收到的预定格式的至少一个攻击日志;
统计至少一个攻击日志出现的各个攻击源IP地址;
确定在至少一个攻击日志中各个攻击源IP地址的出现次数;
在攻击源IP地址信誉库中查找至少一个攻击日志出现的各个攻击源IP地址的历史信誉度;
对于在攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据第二攻击源IP地址的出现次数和历史信誉度确定第二攻击源IP地址的当前信誉度,并将第二攻击源IP地址的当前信誉度替换第二攻击源的历史信誉度;
对于在攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据第三攻击源IP地址的出现次数确定第三攻击源IP地址的当前信誉度,并将第三攻击源IP地址及其当前信誉度添加到攻击源IP地址信誉库中。
假设,在至少一个攻击日志中各个攻击源IP地址的出现次数为N,在攻击源IP地址信誉库中查找至少一个攻击日志出现的各个攻击源IP地址的历史信誉度为Y0,对于在攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据第二攻击源IP地址的出现次数和历史信誉度确定第二攻击源IP地址的当前信誉度Y1,Y1=Y0+W*(N+1)^3,其中,W为合适的权值,Y1的取值范围为[0,100];对于在攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据第三攻击源IP地址的出现次数确定第三攻击源IP地址的当前信誉度Y1,Y1=W*(N+1)^3,其中,W为合适的权值,Y1的取值范围为[0,100]。Y1的值越大,表示该攻击源IP地址的威胁程度越高。
一种可选的实施方式,上述方法还包括:
确定报文过滤规则库中包括的各个攻击源IP地址;
从攻击源IP地址信誉库中获取报文过滤规则库中包括的各个攻击源IP地址的信誉度;
将从攻击源IP地址信誉库中获取的各个攻击源IP地址的信誉度分别与设定权重相乘,得到报文过滤规则库中包括的各个攻击源IP地址对应的报文过滤规则的生效时长。
生效时长T=K*Y;其中,K为合适的权值。其中,Y的获取依据报文来源不同有不同的方式,报文过滤规则库中的报文过滤规则可以有两个来源,第一个来源是通过S11-S15生成的,第二个来源是由用户手动配置的,对于第一个来源的报文过滤规则,可以从攻击源IP地址信誉库中获取对应的信誉度,若信誉度大于100时,生效时长为永久生效;对于第二种来源的报文过滤规则,首先从攻击源IP地址信誉库中获取对应的信誉度,若获取不到,则信誉度可以但不限于取为60。
相应地,上述方法还包括:
为报文过滤规则库中的每个报文过滤规则设置对应的生效时长的倒计时器;
监控报文过滤规则库中的每个报文过滤规则的倒计时器是否为零;
删除报文过滤规则库中倒计时器为零的报文过滤规则。
通过定期删除报文过滤规则库中的报文过滤规则,来精简报文过滤规则库,从而提高后续报文过滤的效率。
请参见图2,图2为本申请示出的一种报文过滤规则的处理装置的结构示意图,应用于网络设备中,该装置包括:
更新模块21,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
第一确定模块22,用于确定攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;
第二确定模块23,用于若确定攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于设定信誉阈值,则确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则;
生成模块24,用于若确定报文过滤规则库中未保存第一攻击源IP地址对应的报文过滤规则,则根据第一攻击源IP地址对应的攻击日志生成报文过滤规则;
添加模块25,用于将生成的报文过滤规则添加到报文过滤规则库中。
由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
具体的,更新模块,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库,具体用于:
获取设定时段内接收到的预定格式的至少一个攻击日志;
统计至少一个攻击日志出现的各个攻击源IP地址;
确定在至少一个攻击日志中各个攻击源IP地址的出现次数;
在攻击源IP地址信誉库中查找至少一个攻击日志出现的各个攻击源IP地址的历史信誉度;
对于在攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据第二攻击源IP地址的出现次数和历史信誉度确定第二攻击源IP地址的当前信誉度,并将第二攻击源IP地址的当前信誉度替换第二攻击源的历史信誉度;
对于在攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据第三攻击源IP地址的出现次数确定第三攻击源IP地址的当前信誉度,并将第三攻击源IP地址及其当前信誉度添加到攻击源IP地址信誉库中。
一种可选的实施方式,上述方法还包括:
第三确定模块,用于确定报文过滤规则库中包括的各个攻击源IP地址;
获取模块,用于从攻击源IP地址信誉库中获取报文过滤规则库中包括的各个攻击源IP地址的信誉度;
计算模块,用于将从攻击源IP地址信誉库中获取的各个攻击源IP地址的信誉度分别与设定权重相乘,得到报文过滤规则库中包括的各个攻击源IP地址对应的报文过滤规则的生效时长。
一种可选的实施方式,上述方法还包括:
设置模块,用于为报文过滤规则库中的每个报文过滤规则设置对应的生效时长的倒计时器;
监控模块,用于监控报文过滤规则库中的每个报文过滤规则的倒计时器是否为零;
删除模块,用于删除报文过滤规则库中倒计时器为零的报文过滤规则。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,请参见图3所示,包括处理器310、通信接口320、存储器330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。
存储器330,用于存放计算机程序;
处理器310,用于执行存储器330上所存放的程序时,执行上述实施例中任一所述的报文过滤规则的处理方法。
通信接口320用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的报文过滤规则的处理方法。
由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种报文过滤规则的处理方法,应用于网络设备中,其特征在于,所述方法包括:
根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;
若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值,则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则;
若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则,则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则;
将生成的报文过滤规则添加到所述报文过滤规则库中;
所述根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库包括:
获取设定时段内接收到的预定格式的至少一个攻击日志;
统计所述至少一个攻击日志出现的各个攻击源IP地址;
确定在所述至少一个攻击日志中各个攻击源IP地址的出现次数;
在所述攻击源IP地址信誉库中查找所述至少一个攻击日志出现的各个攻击源IP地址的历史信誉度;
对于在所述攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据所述第二攻击源IP地址的出现次数和历史信誉度确定所述第二攻击源IP地址的当前信誉度,并将所述第二攻击源IP地址的当前信誉度替换所述第二攻击源的历史信誉度。
2.根据权利要求1所述的方法,其特征在于,根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库,还包括:
对于在所述攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据所述第三攻击源IP地址的出现次数确定所述第三攻击源IP地址的当前信誉度,并将所述第三攻击源IP地址及其当前信誉度添加到所述攻击源IP地址信誉库中。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
确定所述报文过滤规则库中包括的各个攻击源IP地址;
从所述攻击源IP地址信誉库中获取所述报文过滤规则库中包括的各个攻击源IP地址的信誉度;
将从所述攻击源IP地址信誉库中获取的各个攻击源IP地址的信誉度分别与设定权重相乘,得到所述报文过滤规则库中包括的各个攻击源IP地址对应的报文过滤规则的生效时长。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
为所述报文过滤规则库中的每个报文过滤规则设置对应的生效时长的倒计时器;
监控所述报文过滤规则库中的每个报文过滤规则的倒计时器是否为零;
删除所述报文过滤规则库中倒计时器为零的报文过滤规则。
5.一种报文过滤规则的处理装置,应用于网络设备中,其特征在于,所述装置包括:
更新模块,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
第一确定模块,用于确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;
第二确定模块,用于若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值,则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则;
生成模块,用于若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则,则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则;
添加模块,用于将生成的报文过滤规则添加到所述报文过滤规则库中;
所述更新模块,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库,具体用于:
获取设定时段内接收到的预定格式的至少一个攻击日志;
统计所述至少一个攻击日志出现的各个攻击源IP地址;
确定在所述至少一个攻击日志中各个攻击源IP地址的出现次数;
在所述攻击源IP地址信誉库中查找所述至少一个攻击日志出现的各个攻击源IP地址的历史信誉度;
对于在所述攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据所述第二攻击源IP地址的出现次数和历史信誉度确定所述第二攻击源IP地址的当前信誉度,并将所述第二攻击源IP地址的当前信誉度替换所述第二攻击源的历史信誉度。
6.根据权利要求5所述的装置,其特征在于,所述更新模块,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库,还用于:
对于在所述攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据所述第三攻击源IP地址的出现次数确定所述第三攻击源IP地址的当前信誉度,并将所述第三攻击源IP地址及其当前信誉度添加到所述攻击源IP地址信誉库中。
7.根据权利要求5或6所述的装置,其特征在于,所述装置还包括:
第三确定模块,用于确定所述报文过滤规则库中包括的各个攻击源IP地址;
获取模块,用于从所述攻击源IP地址信誉库中获取所述报文过滤规则库中包括的各个攻击源IP地址的信誉度;
计算模块,用于将从所述攻击源IP地址信誉库中获取的各个攻击源IP地址的信誉度分别与设定权重相乘,得到所述报文过滤规则库中包括的各个攻击源IP地址对应的报文过滤规则的生效时长。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
设置模块,用于为所述报文过滤规则库中的每个报文过滤规则设置对应的生效时长的倒计时器;
监控模块,用于监控所述报文过滤规则库中的每个报文过滤规则的倒计时器是否为零;
删除模块,用于删除所述报文过滤规则库中倒计时器为零的报文过滤规则。
9.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-4任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
CN201911359827.0A 2019-12-25 2019-12-25 报文过滤规则的处理方法和装置 Active CN111083157B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911359827.0A CN111083157B (zh) 2019-12-25 2019-12-25 报文过滤规则的处理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911359827.0A CN111083157B (zh) 2019-12-25 2019-12-25 报文过滤规则的处理方法和装置

Publications (2)

Publication Number Publication Date
CN111083157A CN111083157A (zh) 2020-04-28
CN111083157B true CN111083157B (zh) 2022-01-25

Family

ID=70317809

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911359827.0A Active CN111083157B (zh) 2019-12-25 2019-12-25 报文过滤规则的处理方法和装置

Country Status (1)

Country Link
CN (1) CN111083157B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112153053A (zh) * 2020-09-25 2020-12-29 杭州安恒信息技术股份有限公司 DDoS防护配置检测方法、装置、设备及可读存储介质
CN112272164B (zh) * 2020-09-30 2022-07-12 新华三信息安全技术有限公司 报文处理方法及装置
CN112702311B (zh) * 2020-11-30 2022-10-14 锐捷网络股份有限公司 一种基于端口的报文过滤方法和装置
CN113904798B (zh) * 2021-08-27 2024-03-22 长沙星融元数据技术有限公司 Ip报文的多元组过滤方法、系统、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101499928A (zh) * 2009-03-18 2009-08-05 苏州盛世阳科技有限公司 一种基于聚类分析的网络入侵场景图生成方法
CN105959250A (zh) * 2015-10-22 2016-09-21 杭州迪普科技有限公司 网络攻击黑名单管理方法及装置
CN105991628A (zh) * 2015-03-24 2016-10-05 杭州迪普科技有限公司 网络攻击的识别方法和装置
CN106101071A (zh) * 2016-05-27 2016-11-09 杭州安恒信息技术有限公司 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN108881294A (zh) * 2018-07-23 2018-11-23 杭州安恒信息技术股份有限公司 基于网络攻击行为的攻击源ip画像生成方法以及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9904893B2 (en) * 2013-04-02 2018-02-27 Patternex, Inc. Method and system for training a big data machine to defend

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101499928A (zh) * 2009-03-18 2009-08-05 苏州盛世阳科技有限公司 一种基于聚类分析的网络入侵场景图生成方法
CN105991628A (zh) * 2015-03-24 2016-10-05 杭州迪普科技有限公司 网络攻击的识别方法和装置
CN105959250A (zh) * 2015-10-22 2016-09-21 杭州迪普科技有限公司 网络攻击黑名单管理方法及装置
CN106101071A (zh) * 2016-05-27 2016-11-09 杭州安恒信息技术有限公司 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN108881294A (zh) * 2018-07-23 2018-11-23 杭州安恒信息技术股份有限公司 基于网络攻击行为的攻击源ip画像生成方法以及装置

Also Published As

Publication number Publication date
CN111083157A (zh) 2020-04-28

Similar Documents

Publication Publication Date Title
CN111083157B (zh) 报文过滤规则的处理方法和装置
JP6599946B2 (ja) 時系列グラフ分析による悪意ある脅威の検出
JP6585131B2 (ja) ネットワークの異常検出システムのためのグラフ・データベース分析
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
US10791131B2 (en) Processing network data using a graph data structure
US11431792B2 (en) Determining contextual information for alerts
CN110809010B (zh) 威胁信息处理方法、装置、电子设备及介质
CN110912927B (zh) 工业控制系统中控制报文的检测方法及装置
CN111177779B (zh) 数据库审计方法、其装置、电子设备及计算机存储介质
CN109379390B (zh) 一种基于全流量的网络安全基线生成方法
CN109309591B (zh) 流量数据统计方法、电子设备及存储介质
US20130333034A1 (en) Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN112118261B (zh) 会话违规访问检测方法及装置
CN105656684B (zh) 故障模拟方法及装置
CN112688932A (zh) 蜜罐生成方法、装置、设备及计算机可读存储介质
CN105591832B (zh) 应用层慢速攻击检测方法和相关装置
CN113238923B (zh) 基于状态机的业务行为溯源方法及系统
CN114666101A (zh) 一种攻击溯源检测系统、方法、设备及介质
CN113098852A (zh) 一种日志处理方法及装置
CN105656848B (zh) 应用层快速攻击检测方法和相关装置
CN112769739A (zh) 数据库操作违规处理方法、装置及设备
CN110445808A (zh) 异常流量攻击防护方法、装置、电子设备
US12026253B2 (en) Determination of likely related security incidents
US11133977B2 (en) Anonymizing action implementation data obtained from incident analysis systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant