CN113824711A - 一种威胁ip封禁方法、装置、设备及介质 - Google Patents

一种威胁ip封禁方法、装置、设备及介质 Download PDF

Info

Publication number
CN113824711A
CN113824711A CN202111087136.7A CN202111087136A CN113824711A CN 113824711 A CN113824711 A CN 113824711A CN 202111087136 A CN202111087136 A CN 202111087136A CN 113824711 A CN113824711 A CN 113824711A
Authority
CN
China
Prior art keywords
preset
alarm data
dimension
alarm
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202111087136.7A
Other languages
English (en)
Inventor
刘凯强
范渊
刘博�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202111087136.7A priority Critical patent/CN113824711A/zh
Publication of CN113824711A publication Critical patent/CN113824711A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种威胁IP封禁方法、装置、设备及介质,包括:获取目标网络资产的告警数据;基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签;基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。本申请在获取目标网络资产的告警数据之后,先基于多个预设维度对告警数据进行分类判断,得到告警数据在多个预设维度下的维度标签,这样,对告警数据进行了进一步的分类判断,并且,最后根据维度标签和预设封禁规则对告警数据对应的威胁IP进行封禁,无需人工参与,能够提升威胁IP封禁的准确度、降低人力成本、以及提升用户体验。

Description

一种威胁IP封禁方法、装置、设备及介质
技术领域
本申请涉及信息安全技术领域,特别涉及一种威胁IP封禁方法、装置、设备及介质。
背景技术
在目前的互联网的态势感知大环境下,基于告警信息进行封禁的流程通常为,先通过设置资产探针进行扫描,获取资产告警结果,然后人工封禁告警信息对应的威胁IP。而人工封禁需要人为的判断告警对应的威胁IP是否需要封禁,会有误封的风险且消耗大量的人力成本,人工封禁也没有进一步的对告警进行细化分类,不利用用户进行问题分析,用户体验较差。综上,如何提升封禁的准确度并降低人力成本,以及提升用户体验是目前亟待解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种威胁IP封禁方法、装置、设备及介质,能够提升威胁IP封禁的准确度、降低人力成本、以及提升用户体验。其具体方案如下:
第一方面,本申请公开了一种威胁IP封禁方法,包括:
获取目标网络资产的告警数据;
基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签;
基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。
可选的,所述获取目标网络资产的告警数据,包括:
通过预设探针获取所述目标网络资产的告警数据。
可选的,所述基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签,包括:
基于预设区域维度对所述告警数据进行分类判断,得到所述告警数据在所述预设区域维度下的区域标签;
基于预设等级维度对所述告警数据进行分类判断,得到所述告警数据在所述预设等级维度下的等级标签;
基于预设类型维度对所述告警数据进行分类判断,得到所述告警数据在所述预设类型维度下的类型标签;
基于预设频率维度对所述告警数据进行分类判断,得到所述告警数据在所述预设频率维度下的频率标签。
可选的,所述基于预设类型维度对所述告警数据进行分类判断,得到所述告警数据在所述预设类型维度下的类型标签,包括:
判断所述告警数据的告警类型是否属于预设告警类型,若属于,则将所述告警数据在所述预设类型维度下的类型标签确定为重要告警,否则,将所述告警数据在所述预设类型维度下的类型标签确定为次要告警。
可选的,所述基于预设频率维度对所述告警数据进行分类判断,得到所述告警数据在所述预设频率维度下的频率标签,包括:
判断所述告警数据的告警频率是否小于预设告警频率,若是,则将所述告警数据在所述预设频率维度下的频率标签确定为低频告警,否则,将所述告警数据在所述预设频率维度下的频率标签确定为高频告警。
可选的,所述基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁,包括:
按照各个所述预设封禁规则的优先级,并基于所述维度标签以及所述预设封禁规则确定出所述告警数据对应的威胁IP的封禁时间;
根据所述封禁时间对所述威胁IP进行封禁。
可选的,所述根据所述封禁时间对所述威胁IP进行封禁,包括:
利用防火墙对所述威胁IP进行封禁,并记录封禁开始时间;
若当前时间大于或等于所述封禁开始时间与所述封禁时间之和,则对所述威胁IP进行解封。
第二方面,本申请公开了一种威胁IP封禁装置,包括:
告警数据获取模块,用于获取目标网络资产的告警数据;
维度标签确定模块,用于基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签;
威胁IP封禁模块,用于基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的威胁IP封禁方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的威胁IP封禁方法。
可见,本申请先获取目标网络资产的告警数据,之后基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签,最后基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。也即,本申请在获取目标网络资产的告警数据之后,先基于多个预设维度对告警数据进行分类判断,得到告警数据在多个预设维度下的维度标签,这样,对告警数据进行了进一步的分类判断,并且,最后根据维度标签和预设封禁规则对告警数据对应的威胁IP进行封禁,无需人工参与,能够提升威胁IP封禁的准确度、降低人力成本、以及提升用户体验。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种威胁IP封禁方法流程图;
图2为本申请公开的一种具体的威胁IP封禁方法流程图;
图3为本申请公开的一种具体的威胁IP封禁方法流程图;
图4为本申请公开的一种威胁IP封禁装置结构示意图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前的互联网的态势感知大环境下,基于告警信息进行封禁的流程通常为,先通过设置资产探针进行扫描,获取资产告警结果,然后人工封禁告警信息对应的威胁IP。而人工封禁需要人为的判断告警对应的威胁IP是否需要封禁,会有误封的风险且消耗大量的人力成本,人工封禁也没有进一步的对告警进行细化分类,不利用用户进行问题分析,用户体验较差。综上,如何提升封禁的准确度并降低人力成本,以及提升用户体验是目前亟待解决的问题。为此,本申请提供了一种威胁IP封禁方案,能够提升威胁IP封禁的准确度、降低人力成本、以及提升用户体验。
参见图1所示,本申请实施例公开了一种威胁IP封禁方法,包括:
步骤S11:获取目标网络资产的告警数据。
其中,目标网络资产主要是指计算机或通讯网络中使用的各种设备。告警数据为威胁数据,包含IP等信息。
在具体的实施方式中,本申请实施例可以通过预设探针获取所述目标网络资产的告警数据。
步骤S12:基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签。
在具体的实施方式中,本申请实施例可以基于预设区域维度对所述告警数据进行分类判断,得到所述告警数据在所述预设区域维度下的区域标签;基于预设等级维度对所述告警数据进行分类判断,得到所述告警数据在所述预设等级维度下的等级标签;基于预设类型维度对所述告警数据进行分类判断,得到所述告警数据在所述预设类型维度下的类型标签;基于预设频率维度对所述告警数据进行分类判断,得到所述告警数据在所述预设频率维度下的频率标签。
也即,本申请实施例可以以区域维度、等级维度、类型维度以及频率维度4个维度对告警数据进一步分类片段,得到各维度标签,生成告警画像。当然,在其他实施例中,也可以根据需求,增加维度或减少维度。
其中,对于区域维度,可以基于所述告警数据中的攻击源IP来源国家对所述告警数据进行分类判断,得到所述告警数据在所述预设区域维度下的区域标签。具体的区域标签可以为国内告警和国外告警,其中,国内告警为告警攻击源IP来源国家为本国的告警,国外告警为告警攻击源IP来源国家不为本国的告警。
对于等级维度,可以基于所述告警数据中的告警等级对告警数据进行分类判断,得到所述告警数据在所述预设等级维度下的等级标签。具体,等级标签可以分为高危、中危以及低危3个等级。
对于类型维度,可以判断所述告警数据的告警类型是否属于预设告警类型,若属于,则将所述告警数据在所述预设类型维度下的类型标签确定为重要告警,否则,将所述告警数据在所述预设类型维度下的类型标签确定为次要告警。
也即,在具体的实施方式中,可以预先配置预设告警类型,当告警数据的告警类型属于预先配置的预设告警类型中的一种,则将该告警数据的类型标签确定为重要告警,否则,将该告警数据的类型标签确定为次要告警。
其中,预设告警类型可以为用户根据实际需求结合应用场景配置的告警类型。
例如,预设告警类型包括:软件漏洞,即攻击者利用设备上应用程序中存在的漏洞实施攻击,可以分为软件漏洞安全事件。
对于频率维度,可以判断所述告警数据的告警频率是否小于预设告警频率,若是,则将所述告警数据在所述预设频率维度下的频率标签确定为低频告警,否则,将所述告警数据在所述预设频率维度下的频率标签确定为高频告警。
也即,在具体的实施方式中,可以预先配置告警频率,得到预设告警频率,判断告警数据的告警频率是否小于预设告警频率,若小于,则将该告警数据的频率标签确定为低频告警,否则,将该告警数据的频率标签确定为高频告警。
例如,可以通过确定告警数据每天出现的次数,得到告警数据的告警频率,然后与预设告警频率对比。告警数据的告警频率小于预设告警频率为低频告警,告警数据的告警频率大于等于预设告警频率为高频告警。
步骤S13:基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。
需要指出的是,步骤S12以及步骤S13可以利用预先编写的计算机程序实现。
在具体的实施方式中,可以按照各个所述预设封禁规则的优先级,并基于所述维度标签以及所述预设封禁规则确定出所述告警数据对应的威胁IP的封禁时间;根据所述封禁时间对所述威胁IP进行封禁。
进一步的,可以利用防火墙对所述威胁IP进行封禁,并记录封禁开始时间;
若当前时间大于或等于所述封禁开始时间与所述封禁时间之和,则对所述威胁IP进行解封。
可见,本申请实施例当达到解封时间,可以自动解封,无需人工操作,从而进一步降低了人工成本。
在具体的实施方式中,可以包括3个预设封禁规则;
其中,第一优先级的预设封禁规则为基于类型维度确定的规则,具体的可以为:类型纬度为重要告警,则永封;类型纬度为次要告警则取决于第二优先级的预设封禁规则。
第二优先级的预设封禁规则为基于等级纬度和频率维度确定的规则,具体的可以为:高危告警且高频告警,则封禁12月;高危告警且低频告警,则封禁6月;中危告警且高频告警,则封禁3月;中危告警且低频告警,则封禁1月;低危告警,则取决于第三优先级的预设封禁规则。
第三优先级的预设封禁规则为基于区域维度和频率维度确定的规则,具体可以为:国内告警且高频告警,则封禁48小时;国内告警且低频告警,则封禁24小时;国外告警且高频告警,则封禁15天;国外告警且低频告警则封禁7天。
可以理解的是,可以按照各个所述预设封禁规则的优先级,并基于所述维度标签以及所述预设封禁规则确定出所述告警数据对应的威胁IP的封禁时间,当相应的预设封禁规则命中,则不再触发下一优先级的预设封禁规则。
例如,参见图2所示,图2为本申请实施例公开的一种具体的威胁IP封禁方法流程图。通过探针获取目标网络资产的告警数据,然后基于多维度封禁模型,在区域维度、频率维度、等级维度、类型维度4个维度下对告警数据进行分类判断,得到相应的维度标签,然后按照各个预设封禁规则的优先级,并基于所述维度标签以及预设封禁规则确定出告警数据对应的威胁IP的封禁时间,根据所述封禁时间对所述威胁IP进行封禁,达到解封时间进行解封。
其中,参见图3所示,图3为本申请实施例公开的一种具体的威胁IP封禁方法流程图。先输入告警数据,然后在区域维度、频率维度、等级维度、类型维度4个维度下对告警数据进行分类判断,得到相应的维度标签,然后按照各个预设封禁规则的优先级,并基于所述维度标签以及预设封禁规则确定出告警数据对应的威胁IP的封禁时间。
例如,有一条告警数据如下:来源国家:A国(国外)、告警等级:中危、告警类型:属于预设告警类型、告警频率:大于预设告警频率,模型会对于此条告警数据打上对应的纬度标签,结果为:这是一条国外的、中危的、重要的、高频告警,然后通过预设告警规则的优先级,此条告警数据触发第一优先级的预设告警规则,封禁时间为永封。
例如,有一条告警数据如下:来源国家:A国(国外)、告警等级:中危、告警类型:不属于预设告警类型、告警频率:大于预设告警频率,结果为:这是一条国外的、中危的、次要的、高频告警,通过预设告警规则的优先级,此条告警触发第二优先级的预设告警规则,封禁时间为封禁3月。
例如,有一条告警信息如下:来源国家:A国(国外)、告警等级:低危、告警类型:不属于预设告警类型、告警频率:大于预设告警频率,结果为:这是一条国外的、低危的、次要的、高频告警,通过预设告警规则的优先级,此条告警触发第三优先级的预设告警规则,封禁时间为封禁15天。
可见,本申请实施例先获取目标网络资产的告警数据,之后基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签,最后基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。也即,本申请在获取目标网络资产的告警数据之后,先基于多个预设维度对告警数据进行分类判断,得到告警数据在多个预设维度下的维度标签,这样,对告警数据进行了进一步的分类判断,并且,最后根据维度标签和预设封禁规则对告警数据对应的威胁IP进行封禁,无需人工参与,能够提升威胁IP封禁的准确度、降低人力成本、以及提升用户体验。
参见图4所示,本申请实施例公开了一种威胁IP封禁装置,包括:
告警数据获取模块11,用于获取目标网络资产的告警数据;
维度标签确定模块12,用于基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签;
威胁IP封禁模块13,用于基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。
可见,本申请实施例先获取目标网络资产的告警数据,之后基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签,最后基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。也即,本申请在获取目标网络资产的告警数据之后,先基于多个预设维度对告警数据进行分类判断,得到告警数据在多个预设维度下的维度标签,这样,对告警数据进行了进一步的分类判断,并且,最后根据维度标签和预设封禁规则对告警数据对应的威胁IP进行封禁,无需人工参与,能够提升威胁IP封禁的准确度、降低人力成本、以及提升用户体验。
在具体的实施方式中,告警数据获取模块11,具体用于通过预设探针获取所述目标网络资产的告警数据。
维度标签确定模块12,具体可以包括:
区域维度分类判断子模块,用于基于预设区域维度对所述告警数据进行分类判断,得到所述告警数据在所述预设区域维度下的区域标签;
等级维度分类判断子模块,用于基于预设等级维度对所述告警数据进行分类判断,得到所述告警数据在所述预设等级维度下的等级标签;
类型维度分类判断子模块,用于基于预设类型维度对所述告警数据进行分类判断,得到所述告警数据在所述预设类型维度下的类型标签;
频率维度分类判断子模块,用于基于预设频率维度对所述告警数据进行分类判断,得到所述告警数据在所述预设频率维度下的频率标签。
其中,类型维度分类判断子模块,具体用于判断所述告警数据的告警类型是否属于预设告警类型,若属于,则将所述告警数据在所述预设类型维度下的类型标签确定为重要告警,否则,将所述告警数据在所述预设类型维度下的类型标签确定为次要告警。
频率维度分类判断子模块,具体用于判断所述告警数据的告警频率是否小于预设告警频率,若是,则将所述告警数据在所述预设频率维度下的频率标签确定为低频告警,否则,将所述告警数据在所述预设频率维度下的频率标签确定为高频告警。
并且,威胁IP封禁模块13,具体可以包括:
封禁时间确定子模块,用于按照各个所述预设封禁规则的优先级,并基于所述维度标签以及所述预设封禁规则确定出所述告警数据对应的威胁IP的封禁时间;
威胁IP封禁子模块,用于根据所述封禁时间对所述威胁IP进行封禁。
进一步的,威胁IP封禁子模块,具体用于:
利用防火墙对所述威胁IP进行封禁,并记录封禁开始时间;
若当前时间大于或等于所述封禁开始时间与所述封禁时间之和,则对所述威胁IP进行解封。
参见图5所示,本申请实施例公开了一种电子设备20,包括处理器21和存储器22;其中,所述存储器22,用于保存计算机程序;所述处理器21,用于执行所述计算机程序,前述实施例公开的威胁IP封禁方法。
关于上述威胁IP封禁方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
并且,所述存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,存储方式可以是短暂存储或者永久存储。
另外,所述电子设备20还包括电源23、通信接口24、输入输出接口25和通信总线26;其中,所述电源23用于为所述电子设备20上的各硬件设备提供工作电压;所述通信接口24能够为所述电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;所述输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的威胁IP封禁方法。
关于上述威胁IP封禁方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种威胁IP封禁方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种威胁IP封禁方法,其特征在于,包括:
获取目标网络资产的告警数据;
基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签;
基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。
2.根据权利要求1所述的威胁IP封禁方法,其特征在于,所述获取目标网络资产的告警数据,包括:
通过预设探针获取所述目标网络资产的告警数据。
3.根据权利要求1所述的威胁IP封禁方法,其特征在于,所述基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签,包括:
基于预设区域维度对所述告警数据进行分类判断,得到所述告警数据在所述预设区域维度下的区域标签;
基于预设等级维度对所述告警数据进行分类判断,得到所述告警数据在所述预设等级维度下的等级标签;
基于预设类型维度对所述告警数据进行分类判断,得到所述告警数据在所述预设类型维度下的类型标签;
基于预设频率维度对所述告警数据进行分类判断,得到所述告警数据在所述预设频率维度下的频率标签。
4.根据权利要求3所述的威胁IP封禁方法,其特征在于,所述基于预设类型维度对所述告警数据进行分类判断,得到所述告警数据在所述预设类型维度下的类型标签,包括:
判断所述告警数据的告警类型是否属于预设告警类型,若属于,则将所述告警数据在所述预设类型维度下的类型标签确定为重要告警,否则,将所述告警数据在所述预设类型维度下的类型标签确定为次要告警。
5.根据权利要求3所述的威胁IP封禁方法,其特征在于,所述基于预设频率维度对所述告警数据进行分类判断,得到所述告警数据在所述预设频率维度下的频率标签,包括:
判断所述告警数据的告警频率是否小于预设告警频率,若是,则将所述告警数据在所述预设频率维度下的频率标签确定为低频告警,否则,将所述告警数据在所述预设频率维度下的频率标签确定为高频告警。
6.根据权利要求1至5任一项所述的威胁IP封禁方法,其特征在于,所述基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁,包括:
按照各个所述预设封禁规则的优先级,并基于所述维度标签以及所述预设封禁规则确定出所述告警数据对应的威胁IP的封禁时间;
根据所述封禁时间对所述威胁IP进行封禁。
7.根据权利要求6所述的威胁IP封禁方法,其特征在于,所述根据所述封禁时间对所述威胁IP进行封禁,包括:
利用防火墙对所述威胁IP进行封禁,并记录封禁开始时间;
若当前时间大于或等于所述封禁开始时间与所述封禁时间之和,则对所述威胁IP进行解封。
8.一种威胁IP封禁装置,其特征在于,包括:
告警数据获取模块,用于获取目标网络资产的告警数据;
维度标签确定模块,用于基于多个预设维度对所述告警数据进行分类判断,得到所述告警数据在各个所述预设维度下的维度标签;
威胁IP封禁模块,用于基于所述维度标签以及预设封禁规则对所述告警数据对应的威胁IP进行封禁。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的威胁IP封禁方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的威胁IP封禁方法。
CN202111087136.7A 2021-09-16 2021-09-16 一种威胁ip封禁方法、装置、设备及介质 Withdrawn CN113824711A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111087136.7A CN113824711A (zh) 2021-09-16 2021-09-16 一种威胁ip封禁方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111087136.7A CN113824711A (zh) 2021-09-16 2021-09-16 一种威胁ip封禁方法、装置、设备及介质

Publications (1)

Publication Number Publication Date
CN113824711A true CN113824711A (zh) 2021-12-21

Family

ID=78922135

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111087136.7A Withdrawn CN113824711A (zh) 2021-09-16 2021-09-16 一种威胁ip封禁方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN113824711A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553522A (zh) * 2022-02-21 2022-05-27 中国建设银行股份有限公司 一种安全产品自响应处置方法及相关设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8479297B1 (en) * 2010-11-23 2013-07-02 Mcafee, Inc. Prioritizing network assets
CN110620690A (zh) * 2019-09-19 2019-12-27 国网思极网安科技(北京)有限公司 一种网络攻击事件的处理方法及其电子设备
CN111245785A (zh) * 2019-12-30 2020-06-05 中国建设银行股份有限公司 防火墙封禁和解禁ip的方法、系统、设备和介质
CN112019523A (zh) * 2020-08-07 2020-12-01 贵州黔源电力股份有限公司 一种工控系统的网络审计方法和装置
CN112153002A (zh) * 2020-08-24 2020-12-29 杭州安恒信息技术股份有限公司 告警信息分析方法、装置、计算机设备和存储介质
CN112751883A (zh) * 2021-01-19 2021-05-04 光通天下网络科技股份有限公司 Ip威胁分值判定方法、装置、设备及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8479297B1 (en) * 2010-11-23 2013-07-02 Mcafee, Inc. Prioritizing network assets
CN110620690A (zh) * 2019-09-19 2019-12-27 国网思极网安科技(北京)有限公司 一种网络攻击事件的处理方法及其电子设备
CN111245785A (zh) * 2019-12-30 2020-06-05 中国建设银行股份有限公司 防火墙封禁和解禁ip的方法、系统、设备和介质
CN112019523A (zh) * 2020-08-07 2020-12-01 贵州黔源电力股份有限公司 一种工控系统的网络审计方法和装置
CN112153002A (zh) * 2020-08-24 2020-12-29 杭州安恒信息技术股份有限公司 告警信息分析方法、装置、计算机设备和存储介质
CN112751883A (zh) * 2021-01-19 2021-05-04 光通天下网络科技股份有限公司 Ip威胁分值判定方法、装置、设备及介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553522A (zh) * 2022-02-21 2022-05-27 中国建设银行股份有限公司 一种安全产品自响应处置方法及相关设备

Similar Documents

Publication Publication Date Title
US20180288084A1 (en) Method and device for automatically establishing intrusion detection model based on industrial control network
CN111193728B (zh) 网络安全评估方法、装置、设备及存储介质
CN110113314A (zh) 用于动态威胁分析的网络安全领域知识图谱构建方法及装置
CN103347009B (zh) 一种信息过滤方法及装置
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
Sen et al. On using contextual correlation to detect multi-stage cyber attacks in smart grids
CN106325993A (zh) 一种应用程序的冻结方法以及终端
CN113824711A (zh) 一种威胁ip封禁方法、装置、设备及介质
Klement et al. Open or not open: Are conventional radio access networks more secure and trustworthy than Open-RAN?
Leszczyna Cybersecurity in the electricity sector
CN115550049A (zh) 一种物联网设备的漏洞检测方法及系统
Khan et al. Towards augmented proactive cyberthreat intelligence
Othman et al. Information system audit for mobile device security assessment
CN109815702B (zh) 软件行为的安全检测方法、装置及设备
CN113709129A (zh) 一种基于流量学习的白名单生成方法、装置和系统
CN113098852A (zh) 一种日志处理方法及装置
CN113312627A (zh) 一种基于知识图谱的联合利用方法、装置、系统
CN115913652A (zh) 异常访问行为检测方法及装置、电子设备及可读存储介质
Swart et al. Adaptation of the JDL model for multi-sensor national cyber security data fusion
CN115664743A (zh) 行为检测方法以及装置
Ling et al. Estimating the Time-To-Compromise of Exploiting Industrial Control System Vulnerabilities.
CN115051835A (zh) 一种处理数据的方法、电子设备、存储介质及系统
EP3275148A1 (en) Optimizing data detection in communications
CN115065509B (zh) 基于偏离函数的统计推断攻击的风险识别方法和装置
Fernández et al. Dynamic risk assessment tool for customer IoT infrastructures for Smart Grids

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20211221

WW01 Invention patent application withdrawn after publication