CN115208672B - 黑名单调整方法、装置、电子设备和计算机可读存储介质 - Google Patents
黑名单调整方法、装置、电子设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN115208672B CN115208672B CN202210836950.2A CN202210836950A CN115208672B CN 115208672 B CN115208672 B CN 115208672B CN 202210836950 A CN202210836950 A CN 202210836950A CN 115208672 B CN115208672 B CN 115208672B
- Authority
- CN
- China
- Prior art keywords
- blacklist
- item
- threshold
- current
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000005336 cracking Methods 0.000 claims description 28
- 238000001514 detection method Methods 0.000 claims description 28
- 230000001960 triggered effect Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本申请提供了一种黑名单调整方法、装置、电子设备和计算机可读存储介质,其中,该方法包括:针对当前黑名单中的任意一项目标黑名单项,判断该目标黑名单项是否满足退出条件;若满足,则将该目标黑名单项从当前黑名单中删除;其中,该退出条件包括:黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值。通过上述方式可以动态调整黑名单的内容,可以提高黑名单的可靠性。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种黑名单调整方法、装置、电子设备和计算机可读存储介质。
背景技术
现有黑名单的实现方法通常是采用以下方式:在确定一项报文有存在攻击行为,则将该报文对应的IP(Internet Protocol,网际互连协议)地址加入黑名单中。随着黑名单中的黑名单项的增加,如果黑名单的容量到达了极限,可能会导致其他需要加在黑名单的IP地址不能加入黑名单中。
发明内容
本申请的目的在于提供一种黑名单调整方法、装置、电子设备和计算机可读存储介质,以改善黑名单中的黑名单项可靠性不足的问题。
第一方面,本发明提供一种黑名单调整方法,包括:针对当前黑名单中的任意一项目标黑名单项,判断所述目标黑名单项是否满足退出条件;若满足,则将所述目标黑名单项从当前黑名单中删除;其中,所述退出条件包括:黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值。
在可选的实施方式中,所述方法还包括:将接收到的目标报文的目标地址信息与当前黑名单中的各项黑名单项进行对比;若所述当前黑名单不存在所述目标地址信息,则对所述目标报文进行攻击识别;若确定所述目标报文为攻击报文,则将所述目标地址信息记录在黑名单中,并将当前时间记录为所述目标地址信息的创建时间。
在上述实现方式中,在将一个地址信息加入黑名单中形成一个黑名单项时,还可以记录该黑名单项的时间,可以根据该创建时间确定出黑名单项是否满足可以删除的时间限制,可以更好地调整黑名单中的内容,提高黑名单中的各项黑名单项的有效性。
在可选的实施方式中,所述方法还包括:若所述当前黑名单存在所述目标地址信息,将所述当前黑名单中对应的所述目标地址信息的最新使用时间进行更新。
在上述实现方式中,可以在每次黑名单中的黑名单项被触发时,可以实时地更新最新使用时间,通过该最新使用时间可以标志黑名单项的活跃度,以此为依据可以适应性选择是否需要删除,从而可以提高黑名单中的各项黑名单项的有效性以及可靠性。
在可选的实施方式中,所述方法还包括:根据所述当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的所述第一阈值。
在可选的实施方式中,所述根据所述当前黑名单中的各项黑名单项所对应的攻击类型,确定出所述第一阈值,包括:若所述当前黑名单的第一黑名单项对应攻击类型为扫描探测防护类,确定出所述第一黑名单项对应的第一阈值为第一探测阈值;若所述当前黑名单的第二黑名单项对应攻击类型为暴力破解防护类,确定出所述第二黑名单项对应的第一阈值为第一破解阈值,所述第一破解阈值大于所述第一探测阈值;若所述当前黑名单的第三黑名单项对应攻击类型为漏洞防护类,确定出所述第三黑名单项对应的第一阈值为第一漏洞阈值,所述第一漏洞阈值大于所述第一破解阈值;若所述当前黑名单的第四黑名单项对应攻击类型为规模攻击类,确定出所述第四黑名单项对应的第一阈值为第一攻击阈值,所述第一攻击阈值大于所述第一破解阈值。
在上述实现方式中,可以根据黑名单项的类型适应性选择合适的第一阈值,可以使确定出的第一阈值能够满足对黑名单进行过滤的基础上,还能够使确定出的第一阈值能够适合该黑名单项,降低错误删除以及保存时间太长的情况。
在可选的实施方式中,所述方法还包括:按照第二时间规律检测所述当前黑名单中的各项黑名单项被触发的频率;根据各项黑名单项被触发的频率,更新各项黑名单项对应的第一阈值。
在上述实现方式中,由于黑名单项被触发频率越高,则可能表示该黑名单项存在的攻击相对更多,更可能危害网络环境的安全;若黑名单项被触发频率越低,或者是首次攻击产生后,再没有发生过攻击,则可能表示该黑名单项存在的攻击相对更多,更可能危害网络环境的安全。因此,根据各项黑名单项被触发的频率适应性调整第一阈值,以使该第一阈值过滤的黑名单能够更可靠。
在可选的实施方式中,所述判断所述目标黑名单项是否满足退出条件,包括:按照第一时间规律,判断所述目标黑名单项是否满足退出条件。
在上述实现方式中,可以按照一定的时间规律调整黑名单中的黑名单项,可以降低一些攻击可能较小的黑名单项过长时间占用黑名单,提高黑名单的有效性。
第二方面,本发明提供一种黑名单调整装置,包括:
判断模块,用于针对当前黑名单中的任意一项目标黑名单项,判断所述目标黑名单项是否满足退出条件;
删除模块,用于若满足,则将所述目标黑名单项从当前黑名单中删除;
其中,所述退出条件包括:黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值。
第三方面,本发明提供一种电子设备,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如前述实施方式任一所述的方法的步骤。
第四方面,本发明提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如前述实施方式任一所述的方法的步骤。
本申请实施例至少包括以下有益效果:通过两个创建时长以及最近使用时间两个维度识别黑名单的存在情况,基于两个维度对黑名单中的黑名单项进行剔除,可以降低一些攻击性低的黑名单项占用黑名单,提高黑名单中的黑名单的有效性和可靠性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的方框示意图;
图2为本申请实施例提供的黑名单调整方法的流程图;
图3为本申请实施例提供的黑名单调整方法的部分流程图;
图4为本申请实施例提供的黑名单调整装置的功能模块示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
安全网关发现攻击者的攻击行为后,一般会通过以下手段降低攻击报文的危害:阻断报文、把攻击者的IP加入黑名单或者告警。
经发明人研究了解到,黑名单是安全网关的常用处置方式,但是现有的黑名单存在一个问题,就是可能存在一个黑名单项长期存在于黑名单中,但是该黑名单项的IP地址发起攻击的概率却很低,这样会导致黑名单长期被占用,却不能够很好地起到效果。主要是由于互联网公网IP有很多是动态分配的,攻击者利用此IP进行攻击后,经过一段时间,此IP有可能被正常使用者使用,所以安全网关的IP黑名单如果持续保持不变,可能会导致正常的用户不能够有效访问。而且黑名单容量也有限,如果旧的黑名单项占用了黑名单的容量,会导致后续需要加入黑名单的黑名单项不能够成功加入。
进一步地,如果为黑名单表项配置超时时长,如一天、一周、一个月等时长,黑名单表项添加后经过一天、一周或一个月等超时时长,此黑名单项就会被自动清除。但是如果该超时时长的配置没有特别的依据,只根据经验设置一个比较保险的值,这时设置的超时时长的可靠性相对较低。例如,有较大比例的攻击是通过代理的动态IP发起,攻击失败后,短期内此IP不会再次攻击,但是此IP仍需要长时间占用黑名单的容量。
基于上述分析,本申请提供了一种黑名单调整方法,可以从多个维度判断当前黑名单中的黑名单项是否存在多余的可能,以降低黑名单的负担,提高黑名单的可靠性。
为便于对本实施例进行理解,首先对执行本申请实施例所公开的黑名单调整方法的电子设备进行详细介绍。
如图1所示,是电子设备的方框示意图。电子设备100可以包括存储器111、处理器113。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子设备100的结构造成限定。例如,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
上述的存储器111、处理器113各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器113用于执行存储器中存储的可执行模块。
其中,存储器111可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器111用于存储程序,所述处理器113在接收到执行指令后,执行所述程序,本申请实施例任一实施例揭示的过程定义的电子设备100所执行的方法可以应用于处理器113中,或者由处理器113实现。
上述的处理器113可能是一种集成电路芯片,具有信号的处理能力。上述的处理器113可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本实施例提供的电子设备100可以是用于对报文进行检测的安全网关设备。
本实施例中的电子设备100可以用于执行本申请实施例提供的各个方法中的各个步骤。下面通过几个实施例详细描述黑名单调整方法的实现过程。
请参阅图2,是本申请实施例提供的黑名单调整方法的流程图。本实施例中的方法中的步骤可以由图1所示的电子设备执行。下面将对图2所示的具体流程进行详细阐述。
步骤210,针对当前黑名单中的任意一项目标黑名单项,判断该目标黑名单项是否满足退出条件。
若目标黑名单项满足该退出条件,则执行步骤220。
示例性地,退出条件也可以包括:黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值。
示例性地,该退出条件还可以包括:黑名单项的创建时间距当前时间的第二时长超过其对应的第二阈值。
示例性地,退出条件可以包括:黑名单项的创建时间距当前时间的第二时长超过其对应的第二阈值,且黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值。
可选地,步骤210可以包括:判断该目标黑名单项的创建时间距当前时间的第二时长是否超过第二阈值;判断该目标黑名单项的最新使用时间距当前时间的第一时长是否超过第一阈值。
其中,判断得到目标黑名单项的创建时间距当前时间的第二时长超过第二阈值;或者,判断该目标黑名单项的最新使用时间距当前时间的第一时长超过第一阈值,则可以执行步骤220。
其中,该第一阈值小于该第二阈值。
其中,当前黑名单中可以包括一项或多项黑名单项,各项黑名单项可以是曾经发送过攻击的地址信息。该地址信息可以是IP地址。
其中,当前黑名单中的各项黑名单项对应的第二阈值可以相同,各项黑名单项对应的第二阈值也可以不同。
可选地,可以按照第一时间规律,判断该目标黑名单项的创建时间距当前时间的第二时长是否超过第二阈值。
其中,该第一时间规律可以是每日指定时间判断该目标黑名单项的创建时间距当前时间的第二时长是否超过第二阈值。该第一时间规律也可以每隔一段时间判断该目标黑名单项的创建时间距当前时间的第二时长是否超过第二阈值。
若该目标黑名单项的第二时长超过该第二阈值,或者,该第一时长超过该第一阈值,则执行步骤220。
其中,当前黑名单中的各项黑名单项对应的第一阈值可以相同,各项黑名单项对应的第一阈值也可以不同。
按照该第一时间规律,判断该目标黑名单项的创建时间距当前时间的第二时长是否超过第二阈值。
步骤220,将该目标黑名单项从当前黑名单中删除。
将删除目标黑名单项后的黑名单可以作为当前黑名单,用于后续的使用。
可选地,可以每隔一段时间后,对当前黑名单中的各项黑名单项采用上述的步骤210至步骤220进行依次识别,以此对当前黑名单中的各项黑名单进行过滤。
示例性地,每个整点时,对当前黑名单的各项黑名单项采用上述的步骤210至步骤220进行依次识别,以此对当前黑名单中的各项黑名单进行过滤。示例性地,可以每隔十五分钟对当前黑名单的各项黑名单项采用上述的步骤210至步骤220进行依次识别,以此对当前黑名单中的各项黑名单进行过滤。
可选地,针对当前黑名单中的各项黑名单项,可以按照各项黑名单项的创建时间之后在满足时间规律时,采用上述的步骤210至步骤220进行依次识别,以此对当前黑名单中的各项黑名单进行过滤。
示例性地,可以是在黑名单创建可以等间隔时长对黑名单项使用步骤210至步骤220进行处理,当前黑名单中的黑名单项A的创建时间是T1,等时间间距可以设置为t0,则可以在T1+n*t0的时间点使用步骤210至步骤220对黑名单项A使用步骤210至步骤220进行处理。其中,n为正整数。
示例性地,针对不同类型的黑名单项也可以设置不同的间隔时长。以黑名单项对应的攻击类型为扫描探测防护类,则该类黑名单项设置的时间间隔可以是tm,则可以在T1+n*tm的时间点使用步骤210至步骤220对该类黑名单项使用步骤210至步骤220进行处理。
通过上述步骤,通过两个创建时长以及最近使用时间两个维度识别黑名单的存在情况,基于两个维度对黑名单中的黑名单项进行剔除,可以降低一些攻击性低的黑名单项占用黑名单,提高黑名单中的黑名单的有效性和可靠性。
为了使黑名单中的黑名单项能够能准确地记录黑名单项,则可以根据接收到的报文的分析情况动态地更新黑名单中的数据。基于此,如图3所示,本实施例的黑名单调整方法还可以包括步骤230至步骤260。
步骤230,将接收到的目标报文的目标地址信息与当前黑名单中的各项黑名单项进行对比。
若该当前黑名单不存在该目标地址信息,则执行步骤240。若该当前黑名单存在该目标地址信息,则执行步骤260。
该目标地址信息可以是发送该目标报文的IP地址。
步骤240,对该目标报文进行攻击识别。
若确定该目标报文为攻击报文,则执行步骤250。若确定该目标报文不为攻击报文,则放行报文。
可选地,可以设置扫描探测策略,通过识别该目标报文是否命中该扫描探测策略,如果目标报文命中该扫描探测策略,则可以确定该目标报文为攻击报文,对该报文对被访问端存在危害;如果目标报文未命中该扫描探测策略,则可以确定该目标报文为安全报文,则可以放行该目标报文。
步骤250,将该目标地址信息记录在黑名单中,并将当前时间记录为该目标地址信息的创建时间。
步骤260,将该当前黑名单中对应的该目标地址信息的最新使用时间进行更新。
如果目标地址信息存在黑名单中,则可以将接收到该目标报文的时间,作为最新使用时间,也可以将该目标报文的发送时间,作为最新使用时间。
基于上述方式对黑名单中的时间进行更新,可以为黑名单的过滤提供更准确的数据基础,可以提高黑名单的过滤效果。
考虑黑名单中的各项黑名单项对应的攻击类型不同,可能会导致黑名单项可能发生的攻击的频率或概率也就不同,因此,可以基于不同的攻击类型的黑名单项设置不同的第一阈值。基于此,本申请实施例的黑名单调整方法还可以包括:根据该当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的该第一阈值。
可选地,本申请实施例的黑名单调整方法还可以包括:根据该当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的该第二阈值。
示例性地,若该当前黑名单的第一黑名单项对应攻击类型为扫描探测防护类,确定出该第一黑名单项对应的第一阈值为第一探测阈值。
该扫描探测防护类的报文攻击通常会持续攻击几个小时左右即可对目的网段全部的网络IP和端口扫描完毕。因此,攻击类型为扫描探测防护类的黑名单项的第一探测阈值可以为1小时、2小时、3小时等相对较短的时长。
可选地,该第一黑名单项对应的第二阈值可以设置为第二探测阈值,该第二探测阈值也可以设置为一个相对较短的时长。例如,该第二探测阈值可以一天、一天半等时长。
示例性地,若该当前黑名单的第二黑名单项对应攻击类型为暴力破解防护类,确定出该第二黑名单项对应的第一阈值为第一破解阈值。
其中,该第一破解阈值大于该第一探测阈值。
该暴力破解防护类攻击可能会对内网服务器用户密码进行持续一天左右的爆破攻击。因此,第一破解阈值可以设置为一天、一天半等时长。
可选地,该第二黑名单项对应的第二阈值可以设置为第二破解阈值,该第二破解阈值可以设置为比第二探测阈值更长的时长。例如,该第二破解阈值可以为三天、四天、五天等时长。
示例性地,若该当前黑名单的第三黑名单项对应攻击类型为漏洞防护类,确定出该第三黑名单项对应的第一阈值为第一漏洞阈值。
其中,第一漏洞阈值大于该第一破解阈值。
漏洞防护类攻击可能是SQL注入等方式实现,该类攻击很可能造成用户数据泄露,因此,可以将此漏洞防护类攻击的地址信息在黑名单中保留较长的时间。因此,该第一漏洞阈值可以设置为一天、三天、五天等时长。
该三黑名单项对应的第二阈值设置为第二漏洞阈值,该第二漏洞阈值也可以设置为一个相对更长的时间。示例性地,该第二漏洞阈值可以大于该第二破解阈值。
例如,该第二漏洞阈值可以设置为七天、十天、十五天等时长。
示例性地,若该当前黑名单的第四黑名单项对应攻击类型为规模攻击类,确定出该第四黑名单项对应的第一阈值为第一攻击阈值。
该第一攻击阈值大于该第一破解阈值。
规模攻击类可以是DDos防护类等,该规模攻击类的攻击很可能是长期的,需要尽量长时间的安全防护。因此,该第一攻击阈值可以设置为三天、五天、七天等时长。
该第四黑名单项对应的第二阈值可以设置为第二攻击阈值,该第二攻击阈值也可以设置为一个相对更长的值,例如,该第二攻击阈值可以大于第二破解阈值。
例如,该第二攻击阈值可以设置为十天、十五天、二十天等时长。
通过上述的方式,针对不同类型的攻击下产生的黑名单可以设置不同的第二阈值和第一阈值,可以更好地保留有用的黑名单项,剔除作用不大的黑名单项,提高实时的黑名单的有效性。
为了使用各黑名单项所使用的第一阈值能够更可靠,还可以从黑名单的黑名单项被触发的频率调整第一阈值。因此,黑名单调整方法还可以包括:按照第二时间规律检测该当前黑名单中的各项黑名单项被触发的频率;根据各项黑名单项被触发的频率,更新各项黑名单项对应的第一阈值。
示例性地,该第二时间规律可以是每隔指定时长检测该当前黑名单中的各项黑名单项被触发的频率。
该指定时长可以是一个小时、三个小时、一天等。
其中,如果安全网关设备接收到的报文的地址信息为黑名单中的一项黑名单项,则可以确定该黑名单项被触发。
示例性地,该第二时间规律可以是每天的指定时间点检测该当前黑名单中的各项黑名单项被触发的频率。例如,每日的上午八点、下午四点、晚上八点等时间点检测该当前黑名单中的各项黑名单项被触发的频率。
通过本申请实施例中的方法,黑名单中的黑名单项保留的时长超过第二阈值,或者闲置时长超过第一阈值,可以自动删除,由于黑名单可以及时被删除回收,这样黑名单项不会占用过长时间黑名单,降低资源浪费,降低黑名单的容量,可以更好地保证其他需要加在黑名单的IP能够加入黑名单。
基于同一申请构思,本申请实施例中还提供了与黑名单调整方法对应的黑名单调整装置,由于本申请实施例中的装置解决问题的原理与前述的黑名单调整方法实施例相似,因此本实施例中的装置的实施可以参见上述方法的实施例中的描述,重复之处不再赘述。
请参阅图4,是本申请实施例提供的黑名单调整装置的功能模块示意图。本实施例中的黑名单调整装置中的各个模块用于执行上述方法实施例中的各个步骤。黑名单调整装置包括:判断模块310以及删除模块320;其各模块的内容如下所示:
判断模块310,用于针对当前黑名单中的任意一项目标黑名单项,判断所述目标黑名单项是否满足退出条件;
删除模块320,用于若满足,则将所述目标黑名单项从当前黑名单中删除;
其中,所述退出条件包括:黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值。
一种可能的实施方式中,本申请实施例的黑名单调整装置还包括:
对比模块,用于将接收到的目标报文的目标地址信息与当前黑名单中的各项黑名单项进行对比;
识别模块,用于若该当前黑名单不存在该目标地址信息,则对该目标报文进行攻击识别;
记录模块,用于若确定该目标报文为攻击报文,则将该目标地址信息记录在黑名单中,并将当前时间记录为该目标地址信息的创建时间。
一种可能的实施方式中,本申请实施例的黑名单调整装置还包括:第一更新模块,用于若该当前黑名单存在该目标地址信息,将该当前黑名单中对应的该目标地址信息的最新使用时间进行更新。
一种可能的实施方式中,本申请实施例的黑名单调整装置还包括:确定模块,用于根据该当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的该第一阈值。
一种可能的实施方式中,确定模块,用于:
若该当前黑名单的第一黑名单项对应攻击类型为扫描探测防护类,确定出该第一黑名单项对应的第一阈值为第一探测阈值;
若该当前黑名单的第二黑名单项对应攻击类型为暴力破解防护类,确定出该第二黑名单项对应的第一阈值为第一破解阈值,该第一破解阈值大于该第一探测阈值;
若该当前黑名单的第三黑名单项对应攻击类型为漏洞防护类,确定出该第三黑名单项对应的第一阈值为第一漏洞阈值,该第一漏洞阈值大于该第一破解阈值;
若该当前黑名单的第四黑名单项对应攻击类型为规模攻击类,确定出该第四黑名单项对应的第一阈值为第一攻击阈值,该第一攻击阈值大于该第一破解阈值。
一种可能的实施方式中,本申请实施例的黑名单调整装置还包括:
检测模块,用于按照第二时间规律检测该当前黑名单中的各项黑名单项被触发的频率;
第二更新模块,用于根据各项黑名单项被触发的频率,更新各项黑名单项对应的第一阈值。
一种可能的实施方式中,判断模块310,用于按照第一时间规律,判断该目标黑名单项是否满足退出条件。
此外,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的黑名单调整方法的步骤。
本申请实施例所提供的黑名单调整方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行上述方法实施例中所述的黑名单调整方法的步骤,具体可参见上述方法实施例,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种黑名单调整方法,其特征在于,包括:
针对当前黑名单中的任意一项目标黑名单项,判断所述目标黑名单项是否满足退出条件;
若满足,则将所述目标黑名单项从当前黑名单中删除;其中,所述退出条件包括:黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值;
根据所述当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的所述第一阈值;
其中,所述根据所述当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的所述第一阈值,包括:
若所述当前黑名单的第一黑名单项对应攻击类型为扫描探测防护类,确定出所述第一黑名单项对应的第一阈值为第一探测阈值;若所述当前黑名单的第二黑名单项对应攻击类型为暴力破解防护类,确定出所述第二黑名单项对应的第一阈值为第一破解阈值,所述第一破解阈值大于所述第一探测阈值;若所述当前黑名单的第三黑名单项对应攻击类型为漏洞防护类,确定出所述第三黑名单项对应的第一阈值为第一漏洞阈值,所述第一漏洞阈值大于所述第一破解阈值;若所述当前黑名单的第四黑名单项对应攻击类型为规模攻击类,确定出所述第四黑名单项对应的第一阈值为第一攻击阈值,所述第一攻击阈值大于所述第一破解阈值。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将接收到的目标报文的目标地址信息与当前黑名单中的各项黑名单项进行对比;
若所述当前黑名单不存在所述目标地址信息,则对所述目标报文进行攻击识别;
若确定所述目标报文为攻击报文,则将所述目标地址信息记录在黑名单中,并将当前时间记录为所述目标地址信息的创建时间。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述当前黑名单存在所述目标地址信息,将所述当前黑名单中对应的所述目标地址信息的最新使用时间进行更新。
4.根据权利要求1所述的方法,其特征在于,所述判断所述目标黑名单项是否满足退出条件,包括:
按照第一时间规律,判断所述目标黑名单项是否满足退出条件。
5.根据权利要求1-3任意一项所述的方法,其特征在于,所述方法还包括:
按照第二时间规律检测所述当前黑名单中的各项黑名单项被触发的频率;
根据各项黑名单项被触发的频率,更新各项黑名单项对应的第一阈值。
6.一种黑名单调整装置,其特征在于,包括:
判断模块,用于针对当前黑名单中的任意一项目标黑名单项,判断所述目标黑名单项是否满足退出条件;
删除模块,用于若满足,则将所述目标黑名单项从当前黑名单中删除;其中,所述退出条件包括:黑名单项的最新使用时间距当前时间的第一时长超过其对应的第一阈值;
确定模块,用于根据所述当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的所述第一阈值;其中,所述根据所述当前黑名单中的各项黑名单项所对应的攻击类型,确定出各项黑名单项对应的所述第一阈值,包括:若所述当前黑名单的第一黑名单项对应攻击类型为扫描探测防护类,确定出所述第一黑名单项对应的第一阈值为第一探测阈值;若所述当前黑名单的第二黑名单项对应攻击类型为暴力破解防护类,确定出所述第二黑名单项对应的第一阈值为第一破解阈值,所述第一破解阈值大于所述第一探测阈值;若所述当前黑名单的第三黑名单项对应攻击类型为漏洞防护类,确定出所述第三黑名单项对应的第一阈值为第一漏洞阈值,所述第一漏洞阈值大于所述第一破解阈值;若所述当前黑名单的第四黑名单项对应攻击类型为规模攻击类,确定出所述第四黑名单项对应的第一阈值为第一攻击阈值,所述第一攻击阈值大于所述第一破解阈值。
7.一种电子设备,其特征在于,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如权利要求1至5任一所述的方法的步骤。
8.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至5任一所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210836950.2A CN115208672B (zh) | 2022-07-15 | 2022-07-15 | 黑名单调整方法、装置、电子设备和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210836950.2A CN115208672B (zh) | 2022-07-15 | 2022-07-15 | 黑名单调整方法、装置、电子设备和计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115208672A CN115208672A (zh) | 2022-10-18 |
CN115208672B true CN115208672B (zh) | 2024-01-23 |
Family
ID=83581952
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210836950.2A Active CN115208672B (zh) | 2022-07-15 | 2022-07-15 | 黑名单调整方法、装置、电子设备和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115208672B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090044177A (ko) * | 2007-10-31 | 2009-05-07 | 주식회사 다산네트웍스 | 블랙리스트 기반의 침입 관리 시스템 및 방법 |
CN104053195A (zh) * | 2014-06-30 | 2014-09-17 | 京信通信系统(中国)有限公司 | 一种确定黑名单列表成员的方法及装置 |
CN104601601A (zh) * | 2015-02-25 | 2015-05-06 | 小米科技有限责任公司 | 网络爬虫的检测方法及装置 |
CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
CN107426154A (zh) * | 2017-04-14 | 2017-12-01 | 广州羊城通有限公司 | 一种黑名单管理方法 |
CN107592284A (zh) * | 2016-07-06 | 2018-01-16 | 华为技术有限公司 | 防DoS/DDoS攻击的装置和方法 |
CN111352761A (zh) * | 2020-02-28 | 2020-06-30 | 北京天融信网络安全技术有限公司 | 一种车辆检测方法、装置、存储介质和电子设备 |
CN113114611A (zh) * | 2020-01-13 | 2021-07-13 | 北京沃东天骏信息技术有限公司 | 黑名单管理的方法和装置 |
CN113703930A (zh) * | 2020-05-20 | 2021-11-26 | 华为技术有限公司 | 任务调度方法、装置及系统、计算机可读存储介质 |
CN114221807A (zh) * | 2021-12-14 | 2022-03-22 | 平安付科技服务有限公司 | 访问请求处理方法、装置、监控设备及存储介质 |
-
2022
- 2022-07-15 CN CN202210836950.2A patent/CN115208672B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090044177A (ko) * | 2007-10-31 | 2009-05-07 | 주식회사 다산네트웍스 | 블랙리스트 기반의 침입 관리 시스템 및 방법 |
CN104053195A (zh) * | 2014-06-30 | 2014-09-17 | 京信通信系统(中国)有限公司 | 一种确定黑名单列表成员的方法及装置 |
CN104601601A (zh) * | 2015-02-25 | 2015-05-06 | 小米科技有限责任公司 | 网络爬虫的检测方法及装置 |
CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
CN107592284A (zh) * | 2016-07-06 | 2018-01-16 | 华为技术有限公司 | 防DoS/DDoS攻击的装置和方法 |
CN107426154A (zh) * | 2017-04-14 | 2017-12-01 | 广州羊城通有限公司 | 一种黑名单管理方法 |
CN113114611A (zh) * | 2020-01-13 | 2021-07-13 | 北京沃东天骏信息技术有限公司 | 黑名单管理的方法和装置 |
CN111352761A (zh) * | 2020-02-28 | 2020-06-30 | 北京天融信网络安全技术有限公司 | 一种车辆检测方法、装置、存储介质和电子设备 |
CN113703930A (zh) * | 2020-05-20 | 2021-11-26 | 华为技术有限公司 | 任务调度方法、装置及系统、计算机可读存储介质 |
CN114221807A (zh) * | 2021-12-14 | 2022-03-22 | 平安付科技服务有限公司 | 访问请求处理方法、装置、监控设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115208672A (zh) | 2022-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9888024B2 (en) | Detection of security incidents with low confidence security events | |
US9237163B2 (en) | Managing infectious forwarded messages | |
US7565550B2 (en) | Automatic registration of a virus/worm monitor in a distributed network | |
US7490355B2 (en) | Method of detecting network worms | |
US8347394B1 (en) | Detection of downloaded malware using DNS information | |
CN113225349B (zh) | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 | |
US8914886B2 (en) | Dynamic quarantining for malware detection | |
US8850566B2 (en) | Time zero detection of infectious messages | |
CN1841397B (zh) | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 | |
US8468601B1 (en) | Method and system for statistical analysis of botnets | |
US20030084323A1 (en) | Network intrusion detection system and method | |
US8601065B2 (en) | Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions | |
CN110545276B (zh) | 威胁事件告警方法、装置、告警设备及机器可读存储介质 | |
US20160232349A1 (en) | Mobile malware detection and user notification | |
US7810158B2 (en) | Methods and systems for deceptively trapping electronic worms | |
CN112532636A (zh) | 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置 | |
CN111542811B (zh) | 增强网络安全的监视 | |
CN115208672B (zh) | 黑名单调整方法、装置、电子设备和计算机可读存储介质 | |
US11777988B1 (en) | Probabilistically identifying anomalous honeypot activity | |
KR100545677B1 (ko) | 네트워크 인프라 장애 방지 시스템 및 방법 | |
CN115189926B (zh) | 网络流量的检测方法、网络流量的检测系统和电子设备 | |
CN114024937B (zh) | 一种dns缓存投毒的检测方法及装置 | |
CN115225368A (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
US20200204570A1 (en) | Protection against obsolete file formats | |
CN116389147A (zh) | 一种网络攻击的封禁方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |