CN115632827A - 一种网络防护方法、装置、计算机设备和存储介质 - Google Patents
一种网络防护方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN115632827A CN115632827A CN202211189467.6A CN202211189467A CN115632827A CN 115632827 A CN115632827 A CN 115632827A CN 202211189467 A CN202211189467 A CN 202211189467A CN 115632827 A CN115632827 A CN 115632827A
- Authority
- CN
- China
- Prior art keywords
- attack
- cloud
- protection
- information
- control rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络防护方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括:根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;提取攻击日志中的攻击IP,并上传攻击IP至云端威胁情报库进行检测;接收到云端威胁情报库返回的检测结果,在检测结果显示云端威胁情报库中存在攻击IP的情况下,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效。采用本方法可以有效提高云防护的防护能力和防护效率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络防护方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着社会智能化与科技化程度加深的趋势,互联网的网络安全受到越来越大的威胁,黑客攻击等行为越来越频繁,服务器或者网站等受攻击后出现瘫痪或者无法访问的现象也随之而来,安全问题逐渐成为用户上网考虑的首要问题。
随着用户安全意识的提高,网络安全防护手段引起重视,云防护就是伴随着信息技术进步而出现的一种防护手段,也是基于云计算技术而提供的网站防护服务。云防护平台由于无需建设成本、运维成本、部署方便无感知、不需要占用硬件空间、智能防护等优势,越来越多的用户将业务系统接入云防护平台。
随着云防护的普及,优化云防护的防护能力和效率也成为了网络安全发展的重点。
然而,目前云防护的防护能力和防护效率仍存在一定的可优化空间。
发明内容
基于此,有必要针对上述技术问题,提供一种网络防护方法、装置、计算机设备、计算机可读存储介质和计算机程序产品,以提高云防护的防护能力和防护效率。
第一方面,本申请提供了一种网络防护方法。所述方法包括:
根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
提取所述攻击日志中的攻击IP,并上传所述攻击IP至云端威胁情报库进行检测;
接收所述云端威胁情报库返回的检测结果,并在所述检测结果显示所述云端威胁情报库中存在所述攻击IP的情况下,针对所述攻击IP生成第一控制规则,并下发所述第一控制规则至云端节点中处于防护状态的所有站点生效。
在其中一个实施例中,所述方法还包括:
在所述检测结果显示所述云端威胁情报库中不存在所述攻击IP的情况下,记录所述攻击IP的所述攻击行为信息。
在其中一个实施例中,在所述检测结果显示所述云端威胁情报库中不存在所述攻击IP的情况下,所述方法还包括:
根据预设的第二控制规则,对所述攻击IP进行控制。
在其中一个实施例中,所述方法还包括:
统计所述攻击IP的所述攻击行为信息的攻击行为次数;
在统计到所述攻击IP的所述攻击行为次数达到预设的阈值的情况下,录入所述攻击IP信息和所述攻击IP的攻击行为信息到所述云端威胁情报库。
在其中一个实施例中:
所述第一控制规则包括对所述云端节点中处于防护状态的所有站点封禁所述攻击IP第一时间期限;
所述第二控制规则包括拦截所述攻击IP的当前攻击行为,和/或受攻击站点封禁所述攻击IP第二时间期限;
所述第二时间期限小于所述第一时间期限。
在其中一个实施例中:
所述第一时间期限为7天至15天;
所述第二时间期限为5分钟至10分钟。
第二方面,本申请还提供了一种网络防护装置。所述装置包括:
日志模块,用于根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
检测模块,用于提取所述攻击日志中的攻击IP,并上传所述攻击IP至云端威胁情报库进行检测;
以及控制模块,用于接收所述云端威胁情报库返回的检测结果,并在所述检测结果显示所述云端威胁情报库中存在所述攻击IP的情况下,针对所述攻击IP生成第一控制规则,并下发所述第一控制规则至云端节点中处于防护状态的所有站点生效。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述网络防护方法。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一个方面所述网络防护方法。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一个方面所述网络防护方法。
上述网络防护方法、装置、计算机设备、存储介质和计算机程序产品,通过根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志,进而提取攻击日志中的攻击IP,上传攻击IP至云端威胁情报库进行检测,最后在接收到云端威胁情报库返回的检测结果显示云端威胁情报库中存在攻击IP的情况下,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效,通过检测云防护接收到的攻击IP是否是云端威胁情报库中存储的历史攻击IP,来确定此攻击IP是否属于威胁情报,检测到攻击IP为威胁情报时,快速生成针对此攻击IP的第一控制规则,并下发此第一控制规则至云端节点中处于防护状态的所有站点生效,采取云防护与云端威胁情报联动防护的方式,可以有效提高云防护的防护能力和防护效率。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本实施例的网络防护方法的终端的硬件结构框图;
图2是本实施例的网络防护方法的流程图;
图3是本优选实施例的网络防护方法的流程图;
图4是本实施例的网络防护装置的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的网络防护方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的网络防护方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种网络防护方法,图2是本实施例的网络防护方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志。
具体地,云防护接收被防护站点引流来的访问信息,并根据预设的防护策略拦截访问信息中的攻击行为信息,所述预设的防护策略可以是云防护系统默认的防护策略,也可以是根据实际情况自定义设置的防护策略,云防护将拦截到的攻击行为信息进行记录,生成攻击日志,以便后续对攻击行为信息进行读取。
优选地,云防护可以将站点引流来的所有访问信息进行记录,生成访问日志,方便后续对访问信息的查询。
步骤S202,提取攻击日志中的攻击IP,并上传攻击IP至云端威胁情报库进行检测。
需要说明的是,云防护提取攻击日志中的攻击IP,将此攻击IP上传至云端威胁情报库进行检测,云端威胁情报库存储有所有满足攻击条件的历史攻击IP以及历史攻击IP的攻击行为信息,云端威胁情报库接收到云防护发送的攻击IP,会自动将攻击IP与云端威胁情报库中存储的历史攻击IP进行比对检测,并将检测结果发送给云防护。
步骤S203,接收云端威胁情报库返回的检测结果,并在检测结果显示云端威胁情报库中存在攻击IP的情况下,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效。
需要说明的是,云防护接收到云端威胁情报库的检测结果,当接收到的检测结果信息为此攻击IP为云端威胁情报库中存储的历史攻击IP时,确定此攻击IP为威胁情报,可以称此时的攻击IP为恶意IP或者是黑名单IP,拦截当前攻击行为,针对此攻击IP生成第一控制规则,并下发此第一控制规则至云端节点中处于防护状态的所有站点生效。上述第一控制规则为云端节点处于防护状态的所有站点封禁该攻击IP第一时间期限,上述第一时间期限为7天至15天的时间期限,例如第一时间期限为7天、8天、10天等时间期限。
上述步骤S201至步骤S203,云防护接收到被防护站点引流来的的访问信息,根据预设的防护策略拦截访问信息中的攻击行为信息,将拦截到的攻击行为信息生成攻击日志,并提取攻击日志中的攻击IP,将此攻击IP上传至云端威胁情报库进行检测,当检测到此攻击IP为云端威胁情报库存储的历史攻击IP时,云防护针对此攻击IP生成第一控制规则,并下发上述第一控制规则至云端节点中处于防护状态的所有站点生效,通过检测云防护接收到的攻击IP是否是云端威胁情报库中存储的历史攻击IP,来确定此攻击IP是否属于威胁情报,检测到攻击IP为威胁情报时,快速生成针对此攻击IP的第一控制规则,并下发此第一控制规则至云端节点中处于防护状态的所有站点生效,采取云防护与云端威胁情报联动防护的方式,不仅可以提高本站点的防护能力和防护效率,也可以有效提高云防护服务范围内处于防护状态的所有站点的防护能力和防护效率。
在一个可行的实施例中,本申请实施例提供的网络防护方法还包括:
在检测结果显示云端威胁情报库中不存在攻击IP的情况下,记录攻击IP的攻击行为信息。
具体地,云防护接收到云端威胁情报库的检测结果,当接收到的检测结果信息为此攻击IP不是云端威胁情报库中存储的历史攻击IP时,可以认定此攻击IP存在一定的威胁,但是并没有录入云端威胁情报库,可以称此时的攻击IP为威胁IP或者是灰名单IP,记录此攻击IP的攻击行为信息,用于此攻击IP满足威胁条件时,调用此攻击IP的攻击行为信息,存储到云端威胁情报库。
在一个可行的实施例中,在检测结果显示云端威胁情报库中不存在攻击IP的情况下,还包括以下步骤:
根据预设的第二控制规则,对攻击IP进行控制。
需要说明的是,此处的第二控制规则可以是拦截当前攻击行为并且封禁此攻击IP第二时间期限,也可以是仅拦截当前攻击行为。上述封禁此攻击IP第二时间期限为5分钟至10分钟,例如,第二时间期限为5分钟、8分钟、10分钟等时间期限。
在一个可行的实施例中,本申请实施例提供的网络防护方法还包括:
统计攻击IP的攻击行为信息的攻击行为次数;在统计到攻击IP的攻击行为次数达到预设的阈值的情况下,录入攻击IP信息和攻击IP的攻击行为信息到云端威胁情报库。
需要说明的是,当接收到的检测结果信息为此攻击IP不是云端威胁情报库中存储的历史攻击IP时,认定此攻击IP存在一定的威胁,但并没有达到可录入云端威胁情报库的威胁条件,统计攻击IP的的攻击行为次数,当检测到攻击IP的攻击行为次数达到预设的阈值时,认定为此攻击IP达到录入云端威胁情报库的威胁条件,将此攻击IP的攻击IP信息以及存储的攻击行为信息录入到云端威胁情报库,在本步骤中,攻击行为次数预设的阈值的设置可以是比较小的数值,例如,可以设置攻击行为次数阈值为10、15、20等较小的数值,这样可以提高更新云端威胁情报库信息的频率,进而提高云端威胁情报库检测攻击IP的准确性,可以有效提高云防护的防护能力和防护效率。
在一个可行的实施例中,第一控制规则包括对云端节点中处于防护状态的所有站点封禁攻击IP第一时间期限;第二控制规则包括拦截攻击IP的当前攻击行为,和/或受攻击站点封禁攻击IP第二时间期限;第二时间期限小于第一时间期限。
需要说明的是,第一控制规则为云端节点处于防护状态的所有站点封禁该攻击IP第一时间期限,上述第一时间期限为7天至15天的时间期限,例如第一时间期限为7天、9天、10天等时间期限。第二控制规则可以是拦截当前攻击行为并且封禁此攻击IP第二时间期限,也可以是仅拦截当前攻击行为,上述第二时间期限为5分钟至10分钟,例如第二时间期限为5分钟、8分钟、10分钟等时间期限。也可以根据实际情况设置第一时间期限为如1个月或者3个月等其他时间期限,可以根据实际情况设置第二时间期限为30秒或者1天等其他时间期限。需要注意的是,第一时间期限是在攻击IP存储于云端威胁情报库的前提下针对攻击IP而设置的,而第二时间期限是在攻击IP仅仅存在一定的威胁,但并不存储于云端威胁情报库的前提下针对攻击IP而设置的,前者攻击IP为已确定的威胁情报,后者攻击IP为待定的威胁情报,所以,第二时间期限的设置要小于第一时间期限。
下面通过优选实施例对本实施例进行描述和说明。
图3是本优选实施例的网络防护方法的流程图。如图3所示,该流程包括:
步骤S301,根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志。
具体地,云防护接收被防护站点引流来的访问信息,此处的访问信息可以是通过DNS引流或其他引流方式将被防护站点的访问信息引流到云防护,并根据云防护预设的防护策略拦截访问信息中的攻击行为信息,上述预设的防护策略可以是云防护系统默认的防护策略,也可以是根据实际情况自定义设置的防护策略,云防护将拦截到攻击行为信息进行记录,生成攻击日志,以便后续对攻击行为信息进行读取。
优选地,云防护还可以将引流而来的访问信息进行记录,生成访问日志。
步骤S302,提取攻击日志中的攻击IP,并上传攻击IP至云端威胁情报库进行检测。
需要说明的是,云防护提取攻击日志中的攻击IP,将此攻击IP上传至云端威胁情报库进行检测,云端威胁情报库存储有所有满足攻击条件的历史攻击IP以及历史攻击IP的攻击行为信息,云端威胁情报库接收到云防护发送的攻击IP,会自动将攻击IP与云端威胁情报库中存储的历史攻击IP进行比对检测,并将检测结果发送给云防护。
步骤S303,接收到云端威胁情报库返回的检测结果,检测结果显示云端威胁情报库中是否存在攻击IP,当检测结果显示云端威胁情报库中存在攻击IP时,执行步骤S304,当检测结果显示云端威胁情报库中不存在攻击IP时,执行步骤S305。
步骤S304,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效。
需要说明的是,云防护接收到云端威胁情报库的检测结果,当接收到的检测结果信息为此攻击IP为云端威胁情报库中存储的历史攻击IP时,确定此攻击IP为威胁情报,可以称此时的攻击IP为恶意IP或者是黑名单IP,拦截当前攻击行为,并针对此攻击IP生成第一控制规则,并下发此第一控制规则至云端节点中处于防护状态的所有站点生效。上述第一控制规则为拦截本次攻击行为,并且云端节点处于防护状态的所有站点封禁该攻击IP第一时间期限,上述第一时间期限为7天至15天。
步骤S305,记录攻击IP的攻击行为信息,根据预设的第二控制规则,对攻击IP进行控制。
需要说明的是,当接收到的检测结果信息为此攻击IP不是云端威胁情报库中存储的历史攻击IP时,可以认定此攻击IP存在一定的威胁,但是并没有录入云端威胁情报库,可以称此时的攻击IP为威胁IP或者是灰名单IP,记录此攻击IP的攻击行为信息,用于此攻击IP满足威胁条件时,调用此攻击IP的攻击行为信息,存储到云端威胁情报库。预设的第二控制规则为针对有一定威胁的IP而设定的,可以是拦截当前攻击行为并且封禁此攻击IP第二时间期限,也可以是仅拦截当前攻击行为,上述第二时间期限为5分钟至10分钟。
步骤S306,统计攻击IP的攻击行为信息的攻击行为次数,在统计到攻击IP的攻击行为次数达到预设的阈值的情况下,录入攻击IP信息和攻击IP的攻击行为信息到云端威胁情报库。
需要说明的是,当接收到的检测结果信息为此攻击IP不是云端威胁情报库中存储的历史攻击IP时,认定此攻击IP存在一定的威胁,但并没有达到可录入云端威胁情报库的威胁条件,统计攻击IP的的攻击行为次数,当检测到攻击IP的攻击行为次数达到预设的阈值时,认定为此攻击IP达到录入云端威胁情报库的威胁条件,将此攻击IP的攻击IP信息以及存储的攻击行为信息录入到云端威胁情报库,在本步骤中,攻击行为次数预设的阈值的设置可以是比较小的数值,例如10或者20,这样可以提高更新云端威胁情报库信息的频率,进而提高云端威胁情报库检测攻击IP的准确性,可以有效提高云防护的防护能力和防护效率。
优选地,当接收到的检测结果信息为此攻击IP不是云端威胁情报库中存储的历史攻击IP时,认定此攻击IP存在一定的威胁,统计攻击IP的的攻击行为次数,当检测到攻击IP的攻击行为次数达到预设的阈值时,认定威胁次数达到安全审核条件,调用此攻击IP的所有攻击行为信息至安全审核中心进行审核,此安全审核中心用于判断此攻击IP的攻击行为信息是否达到录入云端威胁情报库的威胁条件,当安全审核中心判断此攻击IP的攻击行为信息达到录入云端威胁情报库的威胁条件时,录入攻击IP信息和攻击IP的攻击行为信息到云端威胁情报库。当安全审核中心判断此攻击IP的攻击行为信息没有达到录入云端威胁情报库的威胁条件时,可以断定为上述攻击IP的访问信息不属于威胁情报,删除上述攻击IP以及所有记录的攻击IP的攻击行为信息,并且将此误报信息反馈至云防护,云防护根据反馈的误报信息,重新设置防护策略,采用此种方式,可以提高云防护的防护准确率,采用云防护与云端威胁情报库联动的防护方式,可以有效提高云防护的防护效率。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在本实施例中还提供了一种网络防护装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本实施例的网络防护装置的结构框图,如图4所示,该装置包括:
日志模块401,用于根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
检测模块402,用于提取攻击日志中的攻击IP,并上传攻击IP至云端威胁情报库进行检测;
以及控制模块403,用于接收云端威胁情报库返回的检测结果,并在检测结果显示云端威胁情报库中存在攻击IP的情况下,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效。
在其中一些实施例中,该装置还包括:记录模块,用于在检测结果显示云端威胁情报库中不存在攻击IP的情况下,记录攻击IP的攻击行为信息。
在其中一些实施例中,该装置还包括:第二控制模块,用于在检测结果显示云端威胁情报库中不存在攻击IP的情况下,根据预设的第二控制规则,对攻击IP进行控制。
在其中一些实施例中,该装置还包括:录入模块,用于在统计到攻击IP的攻击行为次数达到预设的阈值的情况下,录入攻击IP信息和攻击IP的攻击行为信息到云端威胁情报库。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
提取攻击日志中的攻击IP,并上传攻击IP至云端威胁情报库进行检测;
接收云端威胁情报库返回的检测结果,并在检测结果显示云端威胁情报库中存在攻击IP的情况下,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
在检测结果显示云端威胁情报库中不存在攻击IP的情况下,记录攻击IP的攻击行为信息。
在一个实施例中,在检测结果显示云端威胁情报库中不存在攻击IP的情况下,处理器执行计算机程序时还实现以下步骤:
根据预设的第二控制规则,对攻击IP进行控制。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
统计攻击IP的攻击行为信息的攻击行为次数;在统计到攻击IP的攻击行为次数达到预设的阈值的情况下,录入攻击IP信息和攻击IP的攻击行为信息到云端威胁情报库。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
第一控制规则包括对云端节点中处于防护状态的所有站点封禁攻击IP第一时间期限;第二控制规则包括拦截攻击IP的当前攻击行为,和/或受攻击站点封禁攻击IP第二时间期限;第二时间期限小于第一时间期限。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
第一时间期限为7天至15天;第二时间期限为5分钟至10分钟。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
提取攻击日志中的攻击IP,并上传攻击IP至云端威胁情报库进行检测;
接收云端威胁情报库返回的检测结果,并在检测结果显示云端威胁情报库中存在攻击IP的情况下,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在检测结果显示云端威胁情报库中不存在攻击IP的情况下,记录攻击IP的攻击行为信息。
在一个实施例中,在检测结果显示云端威胁情报库中不存在攻击IP的情况下,计算机程序被处理器执行时还实现以下步骤:
根据预设的第二控制规则,对攻击IP进行控制。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
统计攻击IP的攻击行为信息的攻击行为次数;在统计到攻击IP的攻击行为次数达到预设的阈值的情况下,录入攻击IP信息和攻击IP的攻击行为信息到云端威胁情报库。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
第一控制规则包括对云端节点中处于防护状态的所有站点封禁攻击IP第一时间期限;第二控制规则包括拦截攻击IP的当前攻击行为,和/或受攻击站点封禁攻击IP第二时间期限;第二时间期限小于第一时间期限。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
第一时间期限为7天至15天;第二时间期限为5分钟至10分钟。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
提取攻击日志中的攻击IP,并上传攻击IP至云端威胁情报库进行检测;
接收云端威胁情报库返回的检测结果,并在检测结果显示云端威胁情报库中存在攻击IP的情况下,针对攻击IP生成第一控制规则,并下发第一控制规则至云端节点中处于防护状态的所有站点生效。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在检测结果显示云端威胁情报库中不存在攻击IP的情况下,记录攻击IP的攻击行为信息。
在一个实施例中,在检测结果显示云端威胁情报库中不存在攻击IP的情况下,计算机程序被处理器执行时还实现以下步骤:
根据预设的第二控制规则,对攻击IP进行控制。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
统计攻击IP的攻击行为信息的攻击行为次数;在统计到攻击IP的攻击行为次数达到预设的阈值的情况下,录入攻击IP信息和攻击IP的攻击行为信息到云端威胁情报库。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
第一控制规则包括对云端节点中处于防护状态的所有站点封禁攻击IP第一时间期限;第二控制规则包括拦截攻击IP的当前攻击行为,和/或受攻击站点封禁攻击IP第二时间期限;第二时间期限小于第一时间期限。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
第一时间期限为7天至15天;第二时间期限为5分钟至10分钟。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络防护方法,其特征在于,所述方法包括:
根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
提取所述攻击日志中的攻击IP,并上传所述攻击IP至云端威胁情报库进行检测;
接收所述云端威胁情报库返回的检测结果,并在所述检测结果显示所述云端威胁情报库中存在所述攻击IP的情况下,针对所述攻击IP生成第一控制规则,并下发所述第一控制规则至云端节点中处于防护状态的所有站点生效。
2.根据权利要求1所述的网络防护方法,其特征在于,所述方法还包括:
在所述检测结果显示所述云端威胁情报库中不存在所述攻击IP的情况下,记录所述攻击IP的所述攻击行为信息。
3.根据权利要求2所述的网络防护方法,其特征在于,在所述检测结果显示所述云端威胁情报库中不存在所述攻击IP的情况下,所述方法还包括:
根据预设的第二控制规则,对所述攻击IP进行控制。
4.根据权利要求2所述的网络防护方法,其特征在于,所述方法还包括:
统计所述攻击IP的所述攻击行为信息的攻击行为次数;
在统计到所述攻击IP的所述攻击行为次数达到预设的阈值的情况下,录入所述攻击IP信息和所述攻击IP的攻击行为信息到所述云端威胁情报库。
5.根据权利要求3所述的网络防护方法,其特征在于:
所述第一控制规则包括对所述云端节点中处于防护状态的所有站点封禁所述攻击IP第一时间期限;
所述第二控制规则包括拦截所述攻击IP的当前攻击行为,和/或受攻击站点封禁所述攻击IP第二时间期限;
所述第二时间期限小于所述第一时间期限。
6.根据权利要求5所述的网络防护方法,其特征在于:
所述第一时间期限为7天至15天;
所述第二时间期限为5分钟至10分钟。
7.一种网络防护装置,其特征在于,所述装置包括:
日志模块,用于根据预设的防护策略拦截访问信息中的攻击行为信息,生成攻击日志;
检测模块,用于提取所述攻击日志中的攻击IP,并上传所述攻击IP至云端威胁情报库进行检测;
以及控制模块,用于接收所述云端威胁情报库返回的检测结果,并在所述检测结果显示所述云端威胁情报库中存在所述攻击IP的情况下,针对所述攻击IP生成第一控制规则,并下发所述第一控制规则至云端节点中处于防护状态的所有站点生效。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211189467.6A CN115632827A (zh) | 2022-09-28 | 2022-09-28 | 一种网络防护方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211189467.6A CN115632827A (zh) | 2022-09-28 | 2022-09-28 | 一种网络防护方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115632827A true CN115632827A (zh) | 2023-01-20 |
Family
ID=84904713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211189467.6A Pending CN115632827A (zh) | 2022-09-28 | 2022-09-28 | 一种网络防护方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115632827A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118753A (zh) * | 2023-10-23 | 2023-11-24 | 深圳市科力锐科技有限公司 | 网络攻击的防护方法、装置、设备及存储介质 |
| CN118250105A (zh) * | 2024-05-29 | 2024-06-25 | 北京长亭科技有限公司 | 网络安全防护方法、服务器、安全设备、系统及存储介质 |
-
2022
- 2022-09-28 CN CN202211189467.6A patent/CN115632827A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118753A (zh) * | 2023-10-23 | 2023-11-24 | 深圳市科力锐科技有限公司 | 网络攻击的防护方法、装置、设备及存储介质 |
| CN118250105A (zh) * | 2024-05-29 | 2024-06-25 | 北京长亭科技有限公司 | 网络安全防护方法、服务器、安全设备、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alkahtani et al. | Intrusion Detection System to Advance Internet of Things Infrastructure‐Based Deep Learning Algorithms | |
| US10339309B1 (en) | System for identifying anomalies in an information system | |
| Resende et al. | Adaptive anomaly‐based intrusion detection system using genetic algorithm and profiling | |
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| CN115632827A (zh) | 一种网络防护方法、装置、计算机设备和存储介质 | |
| US10289838B2 (en) | Scoring for threat observables | |
| CN113225349B (zh) | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 | |
| CN111278014A (zh) | 一种防诈骗系统、方法、服务器及存储介质 | |
| Damghani et al. | Classification of attacks on IoT | |
| Alzahrani et al. | SMS mobile botnet detection using a multi-agent system: research in progress | |
| An et al. | A Novel Differential Game Model‐Based Intrusion Response Strategy in Fog Computing | |
| Chinedu et al. | Cybercrime Detection and Prevention Efforts in the Last Decade: An Overview of the Possibilities of Machine Learning Models. | |
| CN114139178A (zh) | 基于数据链路的数据安全监测方法、装置和计算机设备 | |
| Zimba | A Bayesian attack-network modeling approach to mitigating malware-based banking cyberattacks | |
| Bhatia et al. | Soft computing for anomaly detection and prediction to mitigate IoT-based real-time abuse | |
| Mathews | What can machine learning do for information security? | |
| Rao et al. | Evolving cyber threats, combating techniques, and open issues in online social networks | |
| Pawlicki et al. | The survey and meta-analysis of the attacks, transgressions, countermeasures and security aspects common to the Cloud, Edge and IoT | |
| CN111464525A (zh) | 一种会话识别方法、装置、控制设备及存储介质 | |
| Bishtawi et al. | Cyber Security of mobile applications using artificial intelligence | |
| Boggs et al. | Discovery of emergent malicious campaigns in cellular networks | |
| Huang et al. | Farsighted risk mitigation of lateral movement using dynamic cognitive honeypots | |
| El-Alfy et al. | Detecting Cyber‐Attacks on Wireless Mobile Networks Using Multicriterion Fuzzy Classifier with Genetic Attribute Selection | |
| Shahini et al. | Machine learning to predict the likelihood of a personal computer to be infected with malware | |
| AT&T |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |