CN112350993A - Ip自动封堵方法、装置、监控终端及计算机存储介质 - Google Patents
Ip自动封堵方法、装置、监控终端及计算机存储介质 Download PDFInfo
- Publication number
- CN112350993A CN112350993A CN202011043958.0A CN202011043958A CN112350993A CN 112350993 A CN112350993 A CN 112350993A CN 202011043958 A CN202011043958 A CN 202011043958A CN 112350993 A CN112350993 A CN 112350993A
- Authority
- CN
- China
- Prior art keywords
- log
- blacklist
- safety
- ads
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种IP自动封堵方法、装置、监控终端及计算机存储介质,其中,IP自动封堵方法包括:收集安全设备的日志;根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单;将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得所述互联网边界设备ADS和所述防火墙设备根据所述IP黑名单对所述需要封堵的IP地址进行封堵,并将封堵结果发送至所述监控终端。本申请能够在实现全天候的黑IP自动封堵,以在提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种IP自动封堵方法、装置、监控终端及计算机存储介质。
背景技术
随着Internet的高速发展,大型网站系统经常会被大量的恶意IP访问,造成带宽损失,影响网站的正常访问,为了使得网站系统避免被恶意IP访问,运维工程师通常使用防火墙和路由器配置封锁这些IP,达到抵御攻击的目的。
目前IP地址封堵采用人工输入方式,不仅费时费力,甚至可能因为操作错误造成网络中断,例如,为了使得网站系统避免被恶意IP访问,运维工程师通常使用防火墙和路由器配置封锁这些IP,达到抵御攻击的目的。人工封堵IP这种方法,需要运维工程师进行大量人工操作,费时费力,并且存在人为操作失误风险,甚至可能因为操作错误造成网络中断,而且无法达到及时封锁,时效性无法满足网站安全运行的要求。
随着人工操作方式弊端的日益加剧,且在监测对象范围广、数据量巨大、采集数据差异大、定位分析困难、内外部安全形势复杂多变而应对措施有限、实施部署单位多这些情形下,实现IP地址封堵自动化已成为迫切的需求。
发明内容
本申请目的在于公开一种IP自动封堵方法、装置、监控终端及计算机存储介质,其用于实现全天候的黑IP自动封堵,以在提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
为此,本申请第一方面提供一种IP自动封堵方法,所述方法应用于监控终端,所述方法包括:
收集安全设备的日志;
根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单;
将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得所述互联网边界设备ADS和所述防火墙设备根据所述IP黑名单对所述需要封堵的IP地址进行封堵,并将封堵结果发送至所述监控终端。
在本申请第一方面中,通过收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请的IP自动封堵方法能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
在本申请第一方面中,作为一种可选的实施方式,所述安全设备的日志包括IPS设备的安全日志和WAF设备的安全日志;
以及,所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据预设关键字从所述IPS设备的安全日志和所述WAF设备的安全日志提取出所述需要封堵的IP地址,并生成所述IP黑名单。
在本可选的实施方式,通过收集IPS设备的安全日志和WAF设备的安全日志,进而可根据预设关键字从IPS设备的安全日志和WAF设备的安全日志提取出需要封堵的IP地址,并生成IP黑名单。
在本申请第一方面中,作为一种可选的实施方式,安全设备的日志为SOC设备的IP告警日志;
以及,所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据所述SOC设备的IP告警日志提取所述需要封堵的IP地址,并生成所述IP黑名单。
在本可选的实施方式,通过收集SOC设备的IP告警日志,可根据SOC设备的IP告警日志提取需要封堵的IP地址,并生成IP黑名单。
在本申请第一方面中,作为一种可选的实施方式,在所述将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上之后,所述方法还包括:
接收所述互联网边界设备ADS和所述防火墙设备发送的所述封堵结果,并保存所述封堵结果;
统计所述封堵结果中来源于不同安全设备的黑IP数量,其中,所述安全设备至少包括IPS设备、SOC设备、WAF设备中的一种。
在本可选的实施方式中,通过接收互联网边界设备ADS和防火墙设备发送的封堵结果,并保存封堵结果,进而能够统计封堵结果中来源于不同安全设备的黑IP数量,最终便于运维人员了解IP封堵情况。
本申请第二方面公开一种IP自动封堵装置,所述装置应用于监控终端,所述装置包括:
收集模块,用于收集安全设备的日志;
提取模块,用于根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单;
推送模块,用于将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得所述互联网边界设备ADS和所述防火墙设备根据所述IP黑名单对所述需要封堵的IP地址进行封堵,并将封堵结果发送至所述监控终端。
在本申请第二方面中,IP自动封堵装置通过收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请的IP自动封堵装置能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
在本申请第二方面中,作为一种可选的实施方式,所述安全设备的日志包括IPS设备的安全日志和WAF设备的安全日志;
以及,所述提取模块执行所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据预设关键字从所述IPS设备的安全日志和所述WAF设备的安全日志提取出所述需要封堵的IP地址,并生成所述IP黑名单。
在本可选的实施方式,通过收集IPS设备的安全日志和WAF设备的安全日志,进而可根据预设关键字从IPS设备的安全日志和WAF设备的安全日志提取出需要封堵的IP地址,并生成IP黑名单。
在本申请第二方面中,作为一种可选的实施方式,安全设备的日志为SOC设备的IP告警日志;
以及,所述提取模块执行所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据所述SOC设备的IP告警日志提取所述需要封堵的IP地址,并生成所述IP黑名单。
在本可选的实施方式,通过收集SOC设备的IP告警日志,可根据SOC设备的IP告警日志提取需要封堵的IP地址,并生成IP黑名单。
在本申请第二方面中,作为一种可选的实施方式,所述装置还包括:
接收模块,用于在所述推送模块将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上之后,接收所述互联网边界设备ADS和所述防火墙设备发送的所述封堵结果;
保存模块,用于并保存所述封堵结果;
统计模块,用于统计所述封堵结果中来源于不同安全设备的黑IP数量,其中,所述安全设备至少包括IPS设备、SOC设备、WAF设备中的一种。
在本可选的实施方式中,通过接收互联网边界设备ADS和防火墙设备发送的封堵结果,并保存封堵结果,进而能够统计封堵结果中来源于不同安全设备的黑IP数量,最终便于运维人员了解IP封堵情况。
本申请第三方面公开一种监控终端,所述监控终端包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行本申请第一方面的IP自动封堵方法。
本申请第三方面的监控终端通过执行IP自动封堵方法,能够收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请的监控终端能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
本申请第四方面公开一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序被处理器执行本申请第一方面所述的IP自动封堵方法。
本申请第四方面的计算机存储介质通过执行IP自动封堵方法,能够收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请的计算机存储介质能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例一公开的一种IP自动封堵方法的流程示意图;
图2为本申请实施例二公开的一种IP自动封堵装置的结构示意图;
图3为本申请实施例二三公开的一种监控终端的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在此之前,需要说明的是,通过本申请的测量方法、电路及装置可测得一个目标点的设备坐标系的坐标,而测得的多个目标点的设备坐标系的坐标后,可根据多个目标点的设备坐标系的坐标进行三维建模。
实施例一
请参阅图1,图1是本申请实施例公开的一种IP自动封堵方法的流程示意图,其中,本申请实施例的方法应用于监控终端。如图1所示,本申请实施例的方法包括步骤:
101、收集安全设备的日志;
102、根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单;
103、将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。
在本申请实施例中,通过收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请的IP自动封堵方法能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
在本申请实施例中,作为一种可选的实施方式,安全设备的日志包括IPS设备的安全日志和WAF设备的安全日志;
相应地,步骤103:根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括子步骤:
根据预设关键字从IPS设备的安全日志和WAF设备的安全日志提取出需要封堵的IP地址,并生成IP黑名单。
在本可选的实施方式,通过收集IPS设备的安全日志和WAF设备的安全日志,进而可根据预设关键字从IPS设备的安全日志和WAF设备的安全日志提取出需要封堵的IP地址,并生成IP黑名单。
在本申请实施例中,IPS设备是指侵预防系统(IPS: Intrusion PrevensionSystem),另一方面,WAF设备是指网站应用级入侵防御系(WAF:Web ApplicationFirewall)。
在本申请实施例中,作为一种可选的实施方式,安全设备的日志为SOC设备的IP告警日志;
相应地,步骤103:根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括子步骤:
根据SOC设备的IP告警日志提取需要封堵的IP地址,并生成IP黑名单。
在本可选的实施方式,通过收集SOC设备的IP告警日志,可根据SOC设备的IP告警日志提取需要封堵的IP地址,并生成IP黑名单。
在本可选的实施方式中,SOC设备的IP告警日志可根据SOC设备的的关联规则生成,具体如何生成可参考现有技术的SOC设备的相关内容,在此不做赘述。
在本可选的实施方式,SOC设备是指搭载有系统级芯片的设备,其中,SOC(系统级芯片,System on Chip)。
在本申请实施例中,作为一种可选的实施方式,在步骤103:将IP黑名单推送到互联网边界设备ADS和防火墙设备上之后,本申请实施例的方法还包括:
104、接收互联网边界设备ADS和防火墙设备发送的封堵结果,并保存封堵结果;
105、统计封堵结果中来源于不同安全设备的黑IP数量,其中,安全设备至少包括IPS设备、SOC设备、WAF设备中的一种。
在本可选的实施方式中,通过接收互联网边界设备ADS和防火墙设备发送的封堵结果,并保存封堵结果,进而能够统计封堵结果中来源于不同安全设备的黑IP数量,最终便于运维人员了解IP封堵情况。
实施例二
请参阅图2,图2是本申请实施例公开的一种IP自动封堵装置的结构示意图,其中,本申请实施例的装置应用于监控终端。如图2所示,本申请实施例的装置包括:
收集模块201,用于收集安全设备的日志;
提取模块202,用于根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单;
推送模块203,用于将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。
在本申请实施例中,IP自动封堵装置通过收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请实施例的IP自动封堵装置能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
在本申请实施例中,作为一种可选的实施方式,安全设备的日志包括IPS设备的安全日志和WAF设备的安全日志;
以及,提取模块202执行提取模块执行根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单的具体方式为:
根据预设关键字从IPS设备的安全日志和WAF设备的安全日志提取出需要封堵的IP地址,并生成IP黑名单。
在本可选的实施方式,通过收集IPS设备的安全日志和WAF设备的安全日志,进而可根据预设关键字从IPS设备的安全日志和WAF设备的安全日志提取出需要封堵的IP地址,并生成IP黑名单。
在本申请实施例中,IPS设备是指侵预防系统(IPS: Intrusion PrevensionSystem),另一方面,WAF设备是指网站应用级入侵防御系(WAF:Web ApplicationFirewall)。
在本申请实施例中,作为一种可选的实施方式,安全设备的日志为SOC设备的IP告警日志;
以及,提取模块202执行提取模块执行根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单的具体方式为:
根据SOC设备的IP告警日志提取需要封堵的IP地址,并生成IP黑名单。
在本可选的实施方式,通过收集SOC设备的IP告警日志,可根据SOC设备的IP告警日志提取需要封堵的IP地址,并生成IP黑名单。
在本可选的实施方式中,SOC设备的IP告警日志可根据SOC设备的的关联规则生成,具体如何生成可参考现有技术的SOC设备的相关内容,在此不做赘述。
在本可选的实施方式,SOC设备是指搭载有系统级芯片的设备,其中,SOC(系统级芯片,System on Chip)。
在本申请实施例中,作为一种可选的实施方式,本申请实施例的装置还包括:
接收模块,用于在推送模块将IP黑名单推送到互联网边界设备ADS和防火墙设备上之后,接收互联网边界设备ADS和防火墙设备发送的封堵结果;
保存模块,用于并保存封堵结果;
统计模块,用于统计封堵结果中来源于不同安全设备的黑IP数量,其中,安全设备至少包括IPS设备、SOC设备、WAF设备中的一种。
在本可选的实施方式中,通过接收互联网边界设备ADS和防火墙设备发送的封堵结果,并保存封堵结果,进而能够统计封堵结果中来源于不同安全设备的黑IP数量,最终便于运维人员了解IP封堵情况。
实施例三
请参阅图3,图3是本申请实施例公开的一种监控终端的结构示意图。如图3所示,本申请实施例的监控终端包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行本申请实施例一的IP自动封堵方法。
本申请实施例的监控终端通过执行IP自动封堵方法,能够收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请实施例的监控终端能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
实施例四
本申请实施例公开一种计算机存储介质,该计算机存储介质存储有计算机程序,计算机程序被处理器执行本申请实施例一的IP自动封堵方法。
本申请实施例的计算机存储介质通过执行IP自动封堵方法,能够收集安全设备的日志,进而根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,从而可将IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得互联网边界设备ADS和防火墙设备根据IP黑名单对需要封堵的IP地址进行封堵,并将封堵结果发送至监控终端。与现有技术相比,本申请实施例的计算机存储介质能够实现全天候的黑IP自动封堵而提高系统的安全可靠性的同时,提高黑IP自动时效性和降低人工投入。
在本申请所公开的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,定位基站,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种IP自动封堵方法,其特征在于,所述方法应用于监控终端,所述方法包括:
收集安全设备的日志;
根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单;
将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得所述互联网边界设备ADS和所述防火墙设备根据所述IP黑名单对所述需要封堵的IP地址进行封堵,并将封堵结果发送至所述监控终端。
2.如权利要求1所述的方法,其特征在于,所述安全设备的日志包括IPS设备的安全日志和WAF设备的安全日志;
以及,所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据预设关键字从所述IPS设备的安全日志和所述WAF设备的安全日志提取出所述需要封堵的IP地址,并生成所述IP黑名单。
3.如权利要求1所述的方法,其特征在于,安全设备的日志为SOC设备的IP告警日志;
以及,所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据所述SOC设备的IP告警日志提取所述需要封堵的IP地址,并生成所述IP黑名单。
4.如权利要求1所述的方法,其特征在于,在所述将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上之后,所述方法还包括:
接收所述互联网边界设备ADS和所述防火墙设备发送的所述封堵结果,并保存所述封堵结果;
统计所述封堵结果中来源于不同安全设备的黑IP数量,其中,所述安全设备至少包括IPS设备、SOC设备、WAF设备中的一种。
5.一种IP自动封堵装置,其特征在于,所述装置应用于监控终端,所述装置包括:
收集模块,用于收集安全设备的日志;
提取模块,用于根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单;
推送模块,用于将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上,以使得所述互联网边界设备ADS和所述防火墙设备根据所述IP黑名单对所述需要封堵的IP地址进行封堵,并将封堵结果发送至所述监控终端。
6.如权利要求5所述的装置,其特征在于,所述安全设备的日志包括IPS设备的安全日志和WAF设备的安全日志;
以及,所述提取模块执行所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据预设关键字从所述IPS设备的安全日志和所述WAF设备的安全日志提取出所述需要封堵的IP地址,并生成所述IP黑名单。
7.如权利要求5所述的装置,其特征在于,安全设备的日志为SOC设备的IP告警日志;
以及,所述提取模块执行所述根据安全设备的日志提取需要封堵的IP地址并生成IP黑名单,包括:
根据所述SOC设备的IP告警日志提取所述需要封堵的IP地址,并生成所述IP黑名单。
8.如权利要求5所述的装置,其特征在于,所述装置还包括:
接收模块,用于在所述推送模块将所述IP黑名单推送到互联网边界设备ADS和防火墙设备上之后,接收所述互联网边界设备ADS和所述防火墙设备发送的所述封堵结果;
保存模块,用于并保存所述封堵结果;
统计模块,用于统计所述封堵结果中来源于不同安全设备的黑IP数量,其中,所述安全设备至少包括IPS设备、SOC设备、WAF设备中的一种。
9.一种监控终端,其特征在于,所述监控终端包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-4任一项所述的IP自动封堵方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-4任一项所述的IP自动封堵方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043958.0A CN112350993A (zh) | 2020-09-28 | 2020-09-28 | Ip自动封堵方法、装置、监控终端及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043958.0A CN112350993A (zh) | 2020-09-28 | 2020-09-28 | Ip自动封堵方法、装置、监控终端及计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112350993A true CN112350993A (zh) | 2021-02-09 |
Family
ID=74361226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011043958.0A Pending CN112350993A (zh) | 2020-09-28 | 2020-09-28 | Ip自动封堵方法、装置、监控终端及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112350993A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016132992A1 (ja) * | 2015-02-20 | 2016-08-25 | 日本電信電話株式会社 | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム |
| CN110505206A (zh) * | 2019-07-19 | 2019-11-26 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
-
2020
- 2020-09-28 CN CN202011043958.0A patent/CN112350993A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016132992A1 (ja) * | 2015-02-20 | 2016-08-25 | 日本電信電話株式会社 | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム |
| CN110505206A (zh) * | 2019-07-19 | 2019-11-26 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN111401416B (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN106534146A (zh) | 一种安全监测系统及方法 | |
| CN112953917B (zh) | 一种网络攻击源识别方法、装置、计算机设备及存储介质 | |
| CN105812200A (zh) | 异常行为检测方法及装置 | |
| CN109409113B (zh) | 一种电网数据安全防护方法和分布式电网数据安全防护系统 | |
| CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
| CN113438249A (zh) | 一种基于策略的攻击溯源方法 | |
| CN105959294A (zh) | 一种恶意域名鉴别方法及装置 | |
| CN113992431B (zh) | 一种联动阻断方法、装置、电子设备及存储介质 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN112600828B (zh) | 基于数据报文的电力控制系统攻击检测防护方法及装置 | |
| Asiri et al. | Investigating usable indicators against cyber-attacks in industrial control systems | |
| CN112350993A (zh) | Ip自动封堵方法、装置、监控终端及计算机存储介质 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| Yan et al. | Detect and identify DDoS attacks from flash crowd based on self-similarity and Renyi entropy | |
| CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
| CN112953975B (zh) | 一种网络安全态势感知系统及方法 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 510000 room 509, No. 808, Dongfeng East Road, Yuexiu District, Guangzhou City, Guangdong Province Applicant after: China Southern Power Grid Digital Enterprise Technology (Guangdong) Co.,Ltd. Address before: 510000 room 509, No. 808, Dongfeng East Road, Yuexiu District, Guangzhou City, Guangdong Province Applicant before: Guangdong Electric Power Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information |