CN114124540B - Ips封禁方法及装置 - Google Patents

Ips封禁方法及装置 Download PDF

Info

Publication number
CN114124540B
CN114124540B CN202111413150.1A CN202111413150A CN114124540B CN 114124540 B CN114124540 B CN 114124540B CN 202111413150 A CN202111413150 A CN 202111413150A CN 114124540 B CN114124540 B CN 114124540B
Authority
CN
China
Prior art keywords
address
attack source
blocking
addresses
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111413150.1A
Other languages
English (en)
Other versions
CN114124540A (zh
Inventor
安逸
宫晨
袁宁
刘方毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202111413150.1A priority Critical patent/CN114124540B/zh
Publication of CN114124540A publication Critical patent/CN114124540A/zh
Application granted granted Critical
Publication of CN114124540B publication Critical patent/CN114124540B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种IPS封禁方法及装置,可用于金融领域或其他领域。方法包括:获取攻击源IP地址,提取攻击源IP地址特征,确定攻击源IP地址的地址类型;根据攻击源IP地址的地址类型,对地址类型相同的攻击源IP地址进行聚合,生成对应于不同地址类型的网段;根据网段及攻击源IP地址,确定攻击源IP地址的封禁位置,包括路由器侧与防火墙侧;根据攻击源IP地址及预设的白名单,判断攻击源IP地址是否存在于白名单中,若不存在,则根据攻击源IP地址的封禁位置,对攻击源IP地址进行封禁。本发明通过动态选择在路由器或防火墙测对地址进行封禁,均衡封禁设备的负载,减轻运维人员压力,提升IPS工具有效性,提高封解禁效率及设备可用率。

Description

IPS封禁方法及装置
技术领域
本发明涉及IPS(入侵防御系统,Intrusion Prevention System)技术领域,尤指一种IPS封禁方法及装置。
背景技术
现有的IPS封禁技术大致分为以下几个步骤:获取攻击源的IP地址,确定该IP地址是否是白名单中的地址;如果确定该IP地址是该白名单中的地址,则确定该攻击源的真实IP地址;在路由器封禁该真实IP地址。现有的技术大多是在路由器侧对网络地址进行封禁,但是路由器可以封禁的地址数量较少,如果待封禁地址过多,有可能导致封禁失败。
发明内容
针对现有技术中存在的问题,本发明实施例的主要目的在于提供一种IPS封禁方法及装置,实现动态选择在路由器或防火墙测对地址进行封禁。
为了实现上述目的,本发明实施例提供一种IPS封禁方法,所述方法包括:
获取攻击源IP地址,并提取所述攻击源IP地址特征,根据所述攻击源IP地址特征,确定所述攻击源IP地址的地址类型;
根据所述攻击源IP地址的地址类型,对地址类型相同的攻击源IP地址进行聚合,生成对应于不同地址类型的网段;
根据所述网段及攻击源IP地址,确定所述攻击源IP地址的封禁位置;其中,所述封禁位置包括路由器侧与防火墙侧;
根据所述攻击源IP地址及预设的白名单,判断所述攻击源IP地址是否存在于所述白名单中,若不存在,则根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁。
可选的,在本发明一实施例中,所述方法还包括:若所述攻击源IP地址存在于所述白名单中,则判断所述攻击源IP地址是否存在对应的真实地址,若是,则对所述真实地址进行封禁。
可选的,在本发明一实施例中,所述方法还包括:
若获知一IP地址在预设时间内的封解禁频率超过预设阈值,则将该IP地址作为目标IP地址;
将所述目标IP地址分割为多个地址单位,确定各地址单元出现于不同类型业务地址中的概率值,并根据所述概率值,确定所述目标IP地址所属的业务类型;
根据历史访问数据,统计所述业务类型对应的平均访问频率;
若获知所述目标IP地址的封解禁频率及其所属业务类型的平均访问频率之间符合预设关系,则将所述目标IP地址加入所述白名单中。
可选的,在本发明一实施例中,所述根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁包括:
根据所述攻击源IP地址及其封禁位置,确定所述攻击源IP地址对应的封禁方式;
根据所述封禁方式,调用封禁接口对所述攻击源IP地址进行封禁。
本发明实施例还提供一种IPS封禁装置,所述装置包括:
地址获取模块,用于获取攻击源IP地址,并提取所述攻击源IP地址特征,根据所述攻击源IP地址特征,确定所述攻击源IP地址的地址类型;
地址类型模块,用于根据所述攻击源IP地址的地址类型,对地址类型相同的攻击源IP地址进行聚合,生成对应于不同地址类型的网段;
封禁位置模块,用于根据所述网段及攻击源IP地址,确定所述攻击源IP地址的封禁位置;其中,所述封禁位置包括路由器侧与防火墙侧;
地址封禁模块,用于根据所述攻击源IP地址及预设的白名单,判断所述攻击源IP地址是否存在于所述白名单中,若不存在,则根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁。
可选的,在本发明一实施例中,所述装置还包括:真实地址模块,用于若所述攻击源IP地址存在于所述白名单中,则判断所述攻击源IP地址是否存在对应的真实地址,若是,则对所述真实地址进行封禁。
可选的,在本发明一实施例中,所述装置还包括:
目标地址模块,用于若获知一IP地址在预设时间内的封解禁频率超过预设阈值,则将该IP地址作为目标IP地址;
业务类型模块,用于将所述目标IP地址分割为多个地址单位,确定各地址单元出现于不同类型业务地址中的概率值,并根据所述概率值,确定所述目标IP地址所属的业务类型;
访问频率模块,用于根据历史访问数据,统计所述业务类型对应的平均访问频率;
白名单更新模块,用于若获知所述目标IP地址的封解禁频率及其所属业务类型的平均访问频率之间符合预设关系,则将所述目标IP地址加入所述白名单中。
可选的,在本发明一实施例中,所述地址封禁模块包括:
封禁方式单元,用于根据所述攻击源IP地址及其封禁位置,确定所述攻击源IP地址对应的封禁方式;
地址封禁单元,用于根据所述封禁方式,调用封禁接口对所述攻击源IP地址进行封禁。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
本发明通过动态选择在路由器或防火墙测对地址进行封禁,均衡封禁设备的负载,减轻运维人员的压力,提升IPS工具的有效性,提高封解禁效率以及设备可用率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一种IPS封禁方法的流程图;
图2为本发明实施例中白名单更新的流程图;
图3为本发明实施例中IP封禁的流程图;
图4为本发明实施例中应用IPS封禁方法的系统的结构示意图;
图5为本发明实施例中应用IPS封禁方法的系统的整体工作流程图;
图6为本发明实施例中应用IPS封禁方法的系统的详细工作流程图;
图7为本发明实施例中应用IPS封禁方法的系统的IP封解禁流程图;
图8为本发明实施例中应用IPS封禁方法的系统的白名单生成流程图;
图9为本发明实施例一种IPS封禁装置的结构示意图;
图10为本发明另一实施例中IPS封禁装置的结构示意图;
图11为本发明再一实施例中IPS封禁装置的结构示意图;
图12为本发明实施例中地址封禁模块的结构示意图;
图13为本发明一实施例所提供的电子设备的结构示意图。
具体实施方式
本发明实施例提供一种IPS封禁方法及装置,可用于金融领域及其他领域,需要说明的是,本发明的IPS封禁方法及装置可用于金融领域,也可用于除金融领域之外的任意领域,本发明的IPS封禁方法及装置应用领域不做限定。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示为本发明实施例一种IPS封禁方法的流程图,本发明实施例提供的IPS封禁方法的执行主体包括但不限于计算机。图中所示方法包括:
步骤S1,获取攻击源IP地址,并提取所述攻击源IP地址特征,根据所述攻击源IP地址特征,确定所述攻击源IP地址的地址类型。
其中,可以通过集中监控告警过滤、页面录入、邮件附件自动导入、http接口等方式,自动获取攻击源IP地址。对攻击源IP地址进行特征提取,根据得到的特征判断攻击源IP地址的地址类型,包括v4地址类型及v6地址类型。例如带有{/d}[.]{/d}格式的IP地址认为IPv4地址,带有[A-Z0-9][:][A-Z0-9]格式的IP地址认为IPv6地址。其中,{/d}[.]{/d}及[A-Z0-9][:][A-Z0-9]即为攻击源IP地址的特征,特征提取过程可以采用常规IP地址特征提取手段完成。
步骤S2,根据所述攻击源IP地址的地址类型,对地址类型相同的攻击源IP地址进行聚合,生成对应于不同地址类型的网段。
其中,对v4和v6两类IP地址分别进行聚合,将属于同一个网段的IP地址聚合成掩码形式的网段,例如IP为1.2.3.1和1.2.3.2,可以聚合为1.2.3.0/30。此时,攻击源IP地址中会存在未聚合的IP地址。
步骤S3,根据所述网段及攻击源IP地址,确定所述攻击源IP地址的封禁位置;其中,所述封禁位置包括路由器侧与防火墙侧。
其中,对于网段形式和未聚合的v6类型的IP地址,封禁位置确定为防火墙侧。其余未聚合IP地址,根据防火墙设备与路由器设备的负载情况按比例进行分配。分配比例由防火墙设备和路由器设备的空闲封禁容量决定。例如,防火墙封禁总数为10,已封禁5个IP地址,则空闲封禁容量为5。路由器设备空闲封禁容量计算方式与防火墙设备相同。若防火墙设备与路由器空闲封禁容量为5和1,待封禁IP将以5:1的比例封禁在防火墙侧和路由器侧。
步骤S4,根据所述攻击源IP地址及预设的白名单,判断所述攻击源IP地址是否存在于所述白名单中,若不存在,则根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁。
其中,预设的白名单中包括了被认定为安全的IP地址,判断攻击源IP地址是否为白名单地址。若是白名单内的地址,则判断攻击源IP地址是否为企业内网IP地址,若是,则发送邮件至企业内相关部门确认真实地址;若否,则调用CDN通知接口或通知CDN侧确认并反馈真实攻击源。
进一步的,若攻击源IP地址不存在于白名单中,按照封禁位置对攻击源IP地址进行封禁。具体的,根据封禁位置确定封禁方式,封禁方式即调用不同的接口将IP地址封禁在不同的设备上。根据封禁方式插入到相应的数据库中,状态为待处理。后台定期轮询表中数据,若发现状态为待处理的数据,则调用封禁接口对地址进行封禁。调用CDN接口在互联网侧进行封禁操作,完成封禁后,模拟IP地址发送报文,验证是否成功封禁。将封禁是否成功的结果上送至集中监控平台,并邮件告知相关人员。
作为本发明的一个实施例,方法还包括:若所述攻击源IP地址存在于所述白名单中,则判断所述攻击源IP地址是否存在对应的真实地址,若是,则对所述真实地址进行封禁。
其中,预设的白名单中包括了被认定为安全的IP地址,判断攻击源IP地址是否为白名单地址。若是白名单内的地址,则判断攻击源IP地址是否为企业内网IP地址,若是,则发送邮件至企业内相关部门确认真实地址;若否,则调用CDN通知接口或通知CDN侧确认并反馈真实攻击源。
作为本发明的一个实施例,如图2所示,方法还包括:
步骤S21,若获知一IP地址在预设时间内的封解禁频率超过预设阈值,则将该IP地址作为目标IP地址;
步骤S22,将所述目标IP地址分割为多个地址单位,确定各地址单元出现于不同类型业务地址中的概率值,并根据所述概率值,确定所述目标IP地址所属的业务类型;
步骤S23,根据历史访问数据,统计所述业务类型对应的平均访问频率;
步骤S24,若获知所述目标IP地址的封解禁频率及其所属业务类型的平均访问频率之间符合预设关系,则将所述目标IP地址加入所述白名单中。
其中,若某IP地址被封禁后,后续通过人工筛查或用户申请被解禁,此过程为一次封解禁。若某IP地址在预设时间内,例如8小时,封解禁频率超过预设阈值,例如5次,则将该IP地址作为目标IP地址。
进一步的,将目标IP地址以符号“.”进行分割,可以得到4个地址单位。例如IP为11.22.33.44,则可分割为11、22、33、44四个地址单位。计算每个地址单位属于各业务的概率,具体的,属于各业务的概率为此地址单位在某类业务地址中出现的次数除以在所有业务地址中出现的次数。例如44这个地址单位出现在A业务中3次,在所有业务地址中出现了10次,则44属于业务A的概率为0.3。选取概率最大且概率超过预设值(例如0.9)的业务类别作为此目标IP地址的业务类型。
进一步的,统计目标IP地址所属业务类型对应的历史数据中,目标IP地址所属地址类型对应的平均访问频率。若目标IP地址的封解禁频率及其所属业务类型的平均访问频率之间符合预设关系,例如,封解禁频率在平均访问频率的0.9倍至1.05倍之间,则将此目标IP地址加入白名单中,由此实现自动更新白名单。现有的白名单大都通过人工判断进行录入,会使得运维人员的工作量加大,增大运维难度,增加运维成本,本申请通过自动更新白名单解决了这些问题。
作为本发明的一个实施例,如图3所示,根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁包括:
步骤S31,根据所述攻击源IP地址及其封禁位置,确定所述攻击源IP地址对应的封禁方式;
步骤S32,根据所述封禁方式,调用封禁接口对所述攻击源IP地址进行封禁。
其中,根据封禁位置确定封禁方式,将待封解禁的IP地址,根据封禁方式插入到相应的数据库中,状态为待处理。后台定期轮询表中数据,若发现状态为待处理的数据,则调用封禁接口对地址进行封禁。调用CDN接口在互联网侧进行封禁操作,完成封解禁后,模拟IP地址发送报文,验证是否成功封禁。将封禁是否成功的结果上送至集中监控平台,并邮件告知相关人员。
在本发明一具体实施例中,如图4所示为本发明实施例中应用IPS封禁方法的系统的结构示意图,图中所示系统包括:
攻击源IP自动获取装置D001:攻击源IP自动获取装置关联多种渠道接收并自动获取攻击源IP,包括集中监控告警过滤、页面录入、邮件附件自动导入、http接口等。
IP特征判断及预处理装置D002:判断IP地址类型,合并网段,关联白名单库。
自动封解禁及生效装置D003:对IP地址进行封解禁,并同步在行外CDN侧进行封解禁
处理结果通知及回馈装置D004:将封解禁结果告知相关人员。
白名单自动生成装置D005:根据封解禁行为自动生成白名单地址。
在本实施例中,如图5所示的流程图包括:
步骤S001,通过多种渠道自动获取攻击源IP。
步骤S002,根据提取出IP特征自动判断V4或V6地址,关联白名单库分别判断是否为白名单IP。
步骤S003,对非白名单库的IP在行内网络设备及行外CDN侧同步进行封解禁操作。
步骤S004,将封解禁成功或失败状态更新直观显示,同时通知相关生产部门了解。并将封解禁行为同步至白名单自动生成装置。
在本实施例中,待封禁IP提取成功后,进入IP地址预处理装置对数据进行预处理,如图6所示的流程图包括:
步骤S101:通过集中监控告警过滤、页面录入、邮件附件自动导入、http接口等多种渠道获取攻击源IP
步骤S102:提取ip地址特征,将ip地址分为v4和v6两类。
步骤S103:对v4和v6两类ip地址分别进行聚合。将属于同一个网段的ip地址聚合成掩码形式的网段。
步骤S104:对于网段形式和v6类型的ip地址,封禁位置确定为防火墙设备。其余ip地址根据防火墙设备与路由器设备的负载情况按比例进行分配。
步骤S105:关联白名单库,判断ip地址是否为白名单地址。是白名单地址,则进入步骤S106;若否,则进入ip封禁步骤。
步骤S106:判断ip地址是否为行内ip地址,若是,则发送邮件至专业组确认真实地址;若否,则调用CDN通知接口或通知CDN侧确认并反馈真实攻击源。
在本实施例中,待封禁IP预处理后,进入IP封解禁装置开始封解禁操作,如图7所示的流程图包括:
步骤S201:接受待封解禁ip地址及数据
步骤S202:将ip地址根据封禁位置分为路由器侧和防火墙侧
步骤S203:将待封解禁的ip地址及数据根据封禁方式插入到相应的数据库中,状态为待处理。
步骤S204:后台定期轮询表中数据,若发现状态为待处理的数据,则调用封禁接口对地址进行封解禁。
步骤S205:调用CDN接口在互联网侧进行封解禁操作
步骤S206:完成封解禁后,模拟ip地址发送报文,验证是否成功封解禁。
步骤S207:将封解禁结果上送至集中监控平台,并邮件告知相关人员。
在本实施例中,白名单自动生成装置流程可以根据封解禁行为自动生成白名单,当某个地址或网段在封解禁频率(时间内封解禁次数)超过阈值时,进入以下步骤(以ipv4地址为例),如图8所示:
步骤S301:接收封解禁地址及相关数据
步骤S302:将ip地址以符号“.”进行分割,得到4个地址单位。
步骤S303:计算每个地址单位属于各业务的概率(此地址单位在某类业务地址中出现的次数除以在其他类业务地址中出现的次数)
步骤S304:选取概率最大且概率超过0.9的业务类别作为此ip地址的业务类型。
步骤S305:统计历史数据中此类ip的平均访问频率。
步骤S306:若封解禁频率在平均访问频率的0.9倍至1.05倍之间,则将此地址加入白名单中。
步骤S307:将结果上送至相关人员处。
本发明可以动态选择在路由器或防火墙测对地址进行封禁,均衡封禁设备的负载,自动生成白名单可以减轻运维人员的压力,加入封解禁验证步骤,提升IPS工具的有效性,采用封解禁设备负载均衡,可以提升封解禁效率以及设备可用率。
如图9所示为本发明实施例一种IPS封禁装置的结构示意图,图中所示装置包括:
地址获取模块10,用于获取攻击源IP地址,并提取所述攻击源IP地址特征,根据所述攻击源IP地址特征,确定所述攻击源IP地址的地址类型;
地址类型模块20,用于根据所述攻击源IP地址的地址类型,对地址类型相同的攻击源IP地址进行聚合,生成对应于不同地址类型的网段;
封禁位置模块30,用于根据所述网段,确定所述攻击源IP地址的封禁位置;其中,所述封禁位置包括路由器侧与防火墙侧;
地址封禁模块40,用于根据所述攻击源IP地址及预设的白名单,判断所述攻击源IP地址是否存在于所述白名单中,若不存在,则根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁。
作为本发明的一个实施例,如图10所示,装置还包括:真实地址模块50,用于若所述攻击源IP地址存在于所述白名单中,则判断所述攻击源IP地址是否存在对应的真实地址,若是,则对所述真实地址进行封禁。
作为本发明的一个实施例,如图11所示,所述装置还包括:
目标地址模块60,用于若获知一IP地址在预设时间内的封解禁频率超过预设阈值,则将该IP地址作为目标IP地址;
业务类型模块70,用于将所述目标IP地址分割为多个地址单位,确定各地址单元出现于不同类型业务地址中的概率值,并根据所述概率值,确定所述目标IP地址所属的业务类型;
访问频率模块80,用于根据历史访问数据,统计所述业务类型对应的平均访问频率;
白名单更新模块90,用于若获知所述目标IP地址的封解禁频率及其所属业务类型的平均访问频率之间符合预设关系,则将所述目标IP地址加入所述白名单中。
作为本发明的一个实施例,如图12所示,地址封禁模块40包括:
封禁方式单元41,用于根据所述攻击源IP地址及其封禁位置,确定所述攻击源IP地址对应的封禁方式;
地址封禁单元42,用于根据所述封禁方式,调用封禁接口对所述攻击源IP地址进行封禁。
基于与上述一种IPS封禁方法相同的申请构思,本发明还提供了上述一种IPS封禁装置。由于该一种IPS封禁装置解决问题的原理与一种IPS封禁方法相似,因此该一种IPS封禁装置的实施可以参见一种IPS封禁方法的实施,重复之处不再赘述。
本发明通过动态选择在路由器或防火墙测对地址进行封禁,均衡封禁设备的负载,减轻运维人员的压力,提升IPS工具的有效性,提高封解禁效率以及设备可用率。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
如图13所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理单元130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图13中所示的所有部件;此外,电子设备600还可以包括图13中没有示出的部件,可以参考现有技术。
如图13所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种IPS封禁方法,其特征在于,所述方法包括:
获取攻击源IP地址,并提取所述攻击源IP地址特征,根据所述攻击源IP地址特征,确定所述攻击源IP地址的地址类型;
根据所述攻击源IP地址的地址类型,对地址类型相同的攻击源IP地址进行聚合,生成对应于不同地址类型的网段;
根据所述网段及攻击源IP地址,确定所述攻击源IP地址的封禁位置;其中,所述封禁位置包括路由器侧与防火墙侧;
根据所述攻击源IP地址及预设的白名单,判断所述攻击源IP地址是否存在于所述白名单中,若不存在,则根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁;
其中,所述方法还包括:若获知一IP地址在预设时间内的封解禁频率超过预设阈值,则将该IP地址作为目标IP地址;将所述目标IP地址分割为多个地址单位,确定各地址单元出现于不同类型业务地址中的概率值,并根据所述概率值,确定所述目标IP地址所属的业务类型;根据历史访问数据,统计所述业务类型对应的平均访问频率;若获知所述目标IP地址的封解禁频率及其所属业务类型的平均访问频率之间符合预设关系,则将所述目标IP地址加入所述白名单中;
其中,根据所述网段及攻击源IP地址,确定所述攻击源IP地址的封禁位置包括:对v4和v6两类IP地址分别进行聚合,将属于同一个网段的IP地址聚合成掩码形式的网段;对于网段形式和v6类型的IP地址,封禁位置确定为防火墙设备,其余IP地址根据防火墙设备与路由器设备的负载情况按比例进行分配。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述攻击源IP地址存在于所述白名单中,则判断所述攻击源IP地址是否存在对应的真实地址,若是,则对所述真实地址进行封禁。
3.根据权利要求1所述的方法,其特征在于,所述根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁包括:
根据所述攻击源IP地址及其封禁位置,确定所述攻击源IP地址对应的封禁方式;
根据所述封禁方式,调用封禁接口对所述攻击源IP地址进行封禁。
4.一种IPS封禁装置,其特征在于,所述装置包括:
地址获取模块,用于获取攻击源IP地址,并提取所述攻击源IP地址特征,根据所述攻击源IP地址特征,确定所述攻击源IP地址的地址类型;
地址类型模块,用于根据所述攻击源IP地址的地址类型,对地址类型相同的攻击源IP地址进行聚合,生成对应于不同地址类型的网段;
封禁位置模块,用于根据所述网段及攻击源IP地址,确定所述攻击源IP地址的封禁位置;其中,所述封禁位置包括路由器侧与防火墙侧;
地址封禁模块,用于根据所述攻击源IP地址及预设的白名单,判断所述攻击源IP地址是否存在于所述白名单中,若不存在,则根据所述攻击源IP地址的封禁位置,对所述攻击源IP地址进行封禁;
其中,所述装置还包括:目标地址模块,用于若获知一IP地址在预设时间内的封解禁频率超过预设阈值,则将该IP地址作为目标IP地址;业务类型模块,用于将所述目标IP地址分割为多个地址单位,确定各地址单元出现于不同类型业务地址中的概率值,并根据所述概率值,确定所述目标IP地址所属的业务类型;访问频率模块,用于根据历史访问数据,统计所述业务类型对应的平均访问频率;白名单更新模块,用于若获知所述目标IP地址的封解禁频率及其所属业务类型的平均访问频率之间符合预设关系,则将所述目标IP地址加入所述白名单中;
其中,封禁位置模块还用于对v4和v6两类IP地址分别进行聚合,将属于同一个网段的IP地址聚合成掩码形式的网段;对于网段形式和v6类型的IP地址,封禁位置确定为防火墙设备,其余IP地址根据防火墙设备与路由器设备的负载情况按比例进行分配。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括:真实地址模块,用于若所述攻击源IP地址存在于所述白名单中,则判断所述攻击源IP地址是否存在对应的真实地址,若是,则对所述真实地址进行封禁。
6.根据权利要求4所述的装置,其特征在于,所述地址封禁模块包括:
封禁方式单元,用于根据所述攻击源IP地址及其封禁位置,确定所述攻击源IP地址对应的封禁方式;
地址封禁单元,用于根据所述封禁方式,调用封禁接口对所述攻击源IP地址进行封禁。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至3任一项所述方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至3任一项所述方法的计算机程序。
CN202111413150.1A 2021-11-25 2021-11-25 Ips封禁方法及装置 Active CN114124540B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111413150.1A CN114124540B (zh) 2021-11-25 2021-11-25 Ips封禁方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111413150.1A CN114124540B (zh) 2021-11-25 2021-11-25 Ips封禁方法及装置

Publications (2)

Publication Number Publication Date
CN114124540A CN114124540A (zh) 2022-03-01
CN114124540B true CN114124540B (zh) 2023-12-29

Family

ID=80373065

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111413150.1A Active CN114124540B (zh) 2021-11-25 2021-11-25 Ips封禁方法及装置

Country Status (1)

Country Link
CN (1) CN114124540B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102075365A (zh) * 2011-02-15 2011-05-25 中国工商银行股份有限公司 一种网络攻击源定位及防护的方法、装置
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
CN110535857A (zh) * 2019-08-29 2019-12-03 中国工商银行股份有限公司 防护网络攻击的方法和装置
CN111245785A (zh) * 2019-12-30 2020-06-05 中国建设银行股份有限公司 防火墙封禁和解禁ip的方法、系统、设备和介质
CN111756720A (zh) * 2020-06-16 2020-10-09 深信服科技股份有限公司 针对性攻击检测方法及其装置和计算机可读存储介质
WO2021008028A1 (zh) * 2019-07-18 2021-01-21 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN112685682A (zh) * 2021-03-16 2021-04-20 连连(杭州)信息技术有限公司 一种攻击事件的封禁对象识别方法、装置、设备及介质
CN113225349A (zh) * 2021-05-21 2021-08-06 中国工商银行股份有限公司 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102075365A (zh) * 2011-02-15 2011-05-25 中国工商银行股份有限公司 一种网络攻击源定位及防护的方法、装置
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
WO2021008028A1 (zh) * 2019-07-18 2021-01-21 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN110535857A (zh) * 2019-08-29 2019-12-03 中国工商银行股份有限公司 防护网络攻击的方法和装置
CN111245785A (zh) * 2019-12-30 2020-06-05 中国建设银行股份有限公司 防火墙封禁和解禁ip的方法、系统、设备和介质
CN111756720A (zh) * 2020-06-16 2020-10-09 深信服科技股份有限公司 针对性攻击检测方法及其装置和计算机可读存储介质
CN112685682A (zh) * 2021-03-16 2021-04-20 连连(杭州)信息技术有限公司 一种攻击事件的封禁对象识别方法、装置、设备及介质
CN113225349A (zh) * 2021-05-21 2021-08-06 中国工商银行股份有限公司 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置

Also Published As

Publication number Publication date
CN114124540A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN106685894B (zh) 一种风险识别方法、装置及系统
CN111931189B (zh) Api接口转用风险检测方法、装置和api服务系统
CN112799943B (zh) 业务系统自动化测试方法及装置
CN113156254B (zh) 网点设备电压状态监测方法及系统
CN114124540B (zh) Ips封禁方法及装置
CN111262747B (zh) 基于物联网的设备入网控制方法及物联网平台
CN113570379A (zh) 异常交易团伙识别方法及装置
CN113438130A (zh) 基于微服务的超时监测方法及装置
CN105743939B (zh) 一种消息推送的方法和装置
CN116305167A (zh) 开源组件安全漏洞处理方法和装置
CN107168676A (zh) 一种信息输出方法及其装置
CN114416407B (zh) 一种实时数据的乱序修复系统、方法及计算机设备
CN112101810A (zh) 风险事件控制方法、装置及系统
CN112883418B (zh) 数据库的表字段值保护方法及装置
CN108833046B (zh) 一种广播设备的广播控制方法及装置
CN113056024A (zh) 基于云存储的金融大数据信息保存方法及系统
CN105721236B (zh) 一种以太网错包测试的方法及其装置
CN116804960B (zh) 终端设备的功耗处理方法和系统
CN114189934B (zh) 一种重复寻呼确定方法、装置、设备及介质
CN115170311A (zh) 异常交易量检测方法及装置
CN117474545A (zh) 一种支付通道降级的自动恢复方法及系统
CN115883317A (zh) 日志数据处理方法、装置、电子设备和存储介质
CN118487738A (zh) 一种基于中心聚类的区块链节点分组方法及系统
CN116522979A (zh) 提供二维码的方法、装置、电子设备及存储介质
CN115622770A (zh) 一种报文加密、解密方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant