CN115643116A - 网络设备的防护方法、系统、终端设备以及存储介质 - Google Patents
网络设备的防护方法、系统、终端设备以及存储介质 Download PDFInfo
- Publication number
- CN115643116A CN115643116A CN202211660489.6A CN202211660489A CN115643116A CN 115643116 A CN115643116 A CN 115643116A CN 202211660489 A CN202211660489 A CN 202211660489A CN 115643116 A CN115643116 A CN 115643116A
- Authority
- CN
- China
- Prior art keywords
- target
- protection
- network
- information
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000013507 mapping Methods 0.000 claims abstract description 80
- 230000006870 function Effects 0.000 claims description 39
- 238000001514 detection method Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000032683 aging Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013506 data mapping Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络设备的防护方法、系统、终端设备以及存储介质,其网络设备的防护方法包括:在获取网络流量时,将网络流量与预设的碰撞库进行匹配,碰撞库基于预设的映射算法及威胁情报生成得到;若网络流量与碰撞库匹配,则获得网络流量的目标威胁情报;将目标威胁情报上传至云端,以供云端根据目标威胁情报,查询对应的目标防护信息;接收目标防护信息,并根据目标防护信息执行对应的安全防护。通过将网络流量的目标关键字值与映射算法生成的碰撞库进行匹配,得到威胁情报并上传至云端进行查询,得到对应的防护信息,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络设备的防护方法、系统、终端设备以及存储介质。
背景技术
随着网络攻击的复杂性、多元化不断提升,传统网络设备不断受到挑战。
为了对网络流量的攻击进行防护,现有方案包括:终端设备定时将流量日志上送至云端平台,由云端平台对日志中的信息进行威胁情报大数据比对,生成分析报告给用户;或是采用情报离线库的方式,将云端大数据情报打包成离线库,在终端设备上实时进行情报分析比对。
但是,一方面,威胁情报数据有很强的时效性,某些特定的攻击信息仅存在几个小时或更短的时间,如果只生成被攻击后的分析报告,使得威胁情报的效果降低;另一方面,由于威胁情报的离线库需要每天更新,且威胁情报数据有非常大的体量,使得生成的离线库体积非常大,导致大数据量高频次地进行更新,降低了网络设备防护的效率。
发明内容
本申请的主要目的在于提供一种网络设备的防护方法、系统、终端设备以及存储介质,旨在实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
为实现上述目的,本申请提供一种网络设备的防护方法,所述网络设备的防护方法应用于网络设备,所述网络设备与云端交互,所述网络设备的防护方法包括以下步骤:
在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;
若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;
将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;
接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
可选地,所述在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配的步骤之前,还包括:
获取所述威胁情报,并提取所述威胁情报的关键字值;
通过所述映射算法将所述关键字值进行映射,得到对应的标记比特位;
汇总每一标记比特位,生成所述碰撞库。
可选地,所述映射算法的参数包括误差率、哈希函数,所述通过所述映射算法将所述关键字值进行映射,得到对应的标记比特位的步骤包括:
确定所述误差率;
根据所述误差率,确定所述哈希函数的函数个数;
通过所述哈希函数分别对所述关键字值进行计算并取模,得到对应的标记比特位,其中,各关键字值的标记比特位的数量与所述函数个数对应。
可选地,所述网络流量包括目标关键字值,所述将所述网络流量与预设的碰撞库进行匹配的步骤包括:
通过所述映射算法将所述目标关键字值进行映射,得到对应的映射结果;
若所述映射结果分别匹配到所述标记比特位,则表明所述网络流量与所述碰撞库匹配。
可选地,所述将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息的步骤包括:
将所述目标关键字值上传至所述云端,以供所述云端根据所述目标关键字值,查询对应的目标防护信息。
可选地,所述接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护的步骤之后,还包括:
根据所述安全防护生成对应的防护日志信息。
本申请还提供一种网络设备的防护方法,所述网络设备的防护方法应用于云端,所述云端与网络设备交互,所述网络设备的防护方法包括以下步骤:
接收所述网络设备发送的目标威胁情报;
根据所述目标威胁情报,查询对应的目标防护信息;
将所述目标防护信息发送至所述网络设备,以供所述网络设备接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
本申请实施例还提出一种网络设备的防护系统,所述网络设备的防护系统包括:网络设备,云端;
所述网络设备,用于在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护;
所述云端,用于接收所述网络设备发送的目标威胁情报;根据所述目标威胁情报,查询对应的目标防护信息;将所述目标防护信息发送至所述网络设备,以供所述网络设备接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络设备的防护程序,所述网络设备的防护程序被所述处理器执行时实现如上所述的网络设备的防护方法的步骤。
本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有网络设备的防护程序,所述网络设备的防护程序被处理器执行时实现如上所述的网络设备的防护方法的步骤。
本申请实施例提出的网络设备的防护方法、系统、终端设备以及存储介质,通过在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。通过将网络流量的目标关键字值与映射算法生成的碰撞库进行匹配,得到威胁情报并上传至云端进行查询,得到对应的防护信息,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。基于本申请方案,从网络安全中网络攻击存在的时效规律出发,构建了一个基于威胁情报的碰撞库,并在该碰撞库上验证了本申请提出的网络设备的防护方法的有效性,最后经过本申请方法对网络攻击防护的效率得到明显提升。
附图说明
图1为本申请网络设备的防护装置所属终端设备的功能模块示意图;
图2为本申请网络设备的防护方法第一示例性实施例的流程示意图;
图3为本申请网络设备的防护方法的防护流程示意图;
图4为本申请网络设备的防护方法第二示例性实施例的流程示意图;
图5为本申请网络设备的防护方法涉及的碰撞库生成场景示意图;
图6为本申请网络设备的防护方法第三示例性实施例的流程示意图;
图7为本申请网络设备的防护方法第四示例性实施例的流程示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例的主要解决方案是:在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。通过将网络流量的目标关键字值与映射算法生成的碰撞库进行匹配,得到威胁情报并上传至云端进行查询,得到对应的防护信息,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。基于本申请方案,从网络安全中网络攻击存在的时效规律出发,构建了一个基于威胁情报的碰撞库,并在该碰撞库上验证了本申请提出的网络设备的防护方法的有效性,最后经过本申请方法对网络攻击防护的效率得到明显提升。
本申请实施例考虑到,一方面,威胁情报数据有很强的时效性,某些特定的攻击信息仅存在几个小时或更短的时间,如果不能进行实时的检测,只生成事后的分析报告,使得威胁情报的效果降低;另一方面,威胁情报数据有非常大的体量,云端数据一般在百万、千万甚至亿万量级,生成的离线库体积非常大;同时威胁情报的时效性要求离线库每天更新,保证其有效性。大数据量高频次的更新,占用了大量的设备带宽;大数据量的情报检测降低了网络设备性能,导致威胁情报的使用场景受到了很大限制。
因此,本申请实施例方案,从防护网络攻击的实际问题出发,结合映射算法对网络流量的体积压缩能力,设计一种基于威胁情报的网络设备防护系统,实现了在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
具体地,参照图1,图1为本申请网络设备的防护装置所属终端设备的功能模块示意图。该网络设备的防护装置可以为独立于终端设备的、能够进行图片处理、网络模型训练的装置,其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等具有数据处理功能的智能移动网络设备,还可以为具有数据处理功能的固定终端设备或服务器等。
在本实施例中,该网络设备的防护装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及网络设备的防护程序,网络设备的防护装置可以将获取的网络流量,将网络流量与预设的碰撞库进行匹配,基于预设的映射算法及威胁情报生成得到的碰撞库;若网络流量与碰撞库匹配,则获得的网络流量的目标威胁情报;将目标威胁情报上传至云端,以供云端根据目标威胁情报,查询的对应的目标防护信息;接收的目标防护信息,并根据目标防护信息执行的对应的安全防护等信息存储于该存储器130中;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的网络设备的防护程序被处理器执行时实现以下步骤:
在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;
若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;
将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;
接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
进一步地,存储器130中的网络设备的防护程序被处理器执行时还实现以下步骤:
获取所述威胁情报,并提取所述威胁情报的关键字值;
通过所述映射算法将所述关键字值进行映射,得到对应的标记比特位;
汇总每一标记比特位,生成所述碰撞库。
进一步地,存储器130中的网络设备的防护程序被处理器执行时还实现以下步骤:
确定所述误差率;
根据所述误差率,确定所述哈希函数的函数个数;
通过所述哈希函数分别对所述关键字值进行计算并取模,得到对应的标记比特位,其中,各关键字值的标记比特位的数量与所述函数个数对应。
进一步地,存储器130中的网络设备的防护程序被处理器执行时还实现以下步骤:
通过所述映射算法将所述目标关键字值进行映射,得到对应的映射结果;
若所述映射结果分别匹配到所述标记比特位,则表明所述网络流量与所述碰撞库匹配。
进一步地,存储器130中的网络设备的防护程序被处理器执行时还实现以下步骤:
将所述目标关键字值上传至所述云端,以供所述云端根据所述目标关键字值,查询对应的目标防护信息。
进一步地,存储器130中的网络设备的防护程序被处理器执行时还实现以下步骤:
根据所述安全防护生成对应的防护日志信息。
本实施例通过上述方案,具体通过在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。通过将网络流量的目标关键字值与映射算法生成的碰撞库进行匹配,得到威胁情报并上传至云端进行查询,得到对应的防护信息,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。基于本申请方案,从网络安全中网络攻击存在的时效规律出发,构建了一个基于威胁情报的碰撞库,并在该碰撞库上验证了本申请提出的网络设备的防护方法的有效性,最后经过本申请方法对网络攻击防护的效率得到明显提升。
基于上述终端设备架构但不限于上述架构,提出本申请方法实施例。
参照图2,图2为本申请网络设备的防护方法第一示例性实施例的流程示意图。所述网络设备的防护方法应用于网络设备,所述网络设备与云端交互,所述网络设备的防护方法包括以下步骤:
步骤S210,在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;
本实施例方法的执行主体为网络设备,其中,网络设备是用来将各类服务器、PC、应用终端等节点相互连接,构成信息通信网络的专用硬件设备。包括但不限于信息网络设备、通信网络设备、网络设备等。例如,交换机、路由器、防火墙、网桥、集线器、网关、VPN服务器、网络接口卡(NIC)、无线接入点(WAP)、调制解调器、5G基站、光端机、光纤收发器、光缆等。
本实施例方案主要实现对网络设备尤其是网络设备对网络攻击的防护,提升网络设备防护的有效性及效率。
本实施例从防护网络攻击的实际问题出发,结合映射算法对网络流量的体积压缩能力,设计一种基于威胁情报的网络设备防护系统,实现了在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
具体地,网络流量包括网络攻击。碰撞库包括一个或以上威胁情报。威胁情报用于表明对应的网络流量对网络设备有威胁。映射算法用于检测网络流量是否属于碰撞库中的威胁情报。映射算法以布隆过滤器(Bloom filter)为优选,在其他实施例中,也可以是其他用于对网络流量中的目标关键字值进行映射的映射算法。通过将体积较大的离线库替换为体积更小的碰撞库,将网络流量中的目标关键字值与碰撞库进行匹配,有效的减少了网络设备端的威胁情报库体积,提升了情报检测性能。
步骤S220,若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;
具体地,本实施例采用网络设备来对网络攻击进行防护,目标威胁情报包括属于威胁的网络流量的关键字值。参考图3,图3为本申请网络设备的防护方法的防护流程示意图。通过在网络设备端中,获取当前的实时网络流量;将网络流量与网络设备端中的碰撞库进行匹配,如果目标关键字值与碰撞库中的威胁情报匹配,则获得实时网络流量的目标威胁情报;如果目标关键字值与碰撞库中的威胁情报不匹配,则认为实时网络流量为正常的网络流量。
步骤S230,将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;
具体地,防护信息包括对网络攻击的防护操作信息。由于碰撞库仅记录了威胁情报的关键字值,并没有记录威胁情报数据,通过将属于威胁的网络流量的关键字值上传云端,使得在云端中,根据关键字值查询具体的威胁类型、威胁类型的防护信息,从而使得网络设备根据防护信息对网络攻击进行实时防护。通过设备端和云端威胁情报检测结合,保证了网络设备对网络攻击的防护实时性。
步骤S240,接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
具体地,网络设备根据防护信息,对网络攻击进行实时防护,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
本实施例通过上述方案,具体通过在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。通过将网络流量的目标关键字值与映射算法生成的碰撞库进行匹配,得到威胁情报并上传至云端进行查询,得到对应的防护信息,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
参照图4,图4为本申请网络设备的防护方法第二示例性实施例的流程示意图。基于上述图2所示的实施例,步骤S210,在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配之前,还包括:
步骤S410,获取所述威胁情报,并提取所述威胁情报的关键字值;
具体地,每条威胁情报包括威胁情报的关键字值(key值)、威胁情报数据(value值),其中,威胁情报的关键字值包括但不限于:互联网协议地址(IP)、域名信息等,威胁情报数据包括但不限于威胁类型、来源信息、防护信息等。
步骤S420,通过所述映射算法将所述关键字值进行映射,得到对应的标记比特位;
具体地,一条威胁情报数据可能有上百字节,使得离线库体积巨大,因此,通过bloom filter算法,将威胁情报的每一关键字值进行哈希(hash)计算并取模,将威胁情报数据映射到位图的比特位(bit)上,形成威胁情报的碰撞库。如此,使得每条几十字节的关键字值在映射后仅占1-3个比特位,也即,将一条上百字节的威胁情报数据,映射为仅占几个bit的位图,有效减小了设备端情报库的体积;另外,将威胁情报数据存放到云端进行异步查询,不下发到设备端。
进一步地,所述映射算法的参数包括误差率、哈希函数,步骤S420,通过所述映射算法将所述关键字值进行映射,得到对应的标记比特位,包括:
步骤S421,确定所述误差率;
具体地,根据历史威胁情报的威胁规律或历史网络攻击的攻击规律,确定映射算法的误差率以及哈希函数。本实施例以误差率为0.5%进行举例,在其他实施例中,也可以是大于0.5%或小于0.5%;以哈希函数为murmurhash3进行举例,在其他实施例中,也可以是MD5算法、SHA-256算法、Keccak算法。
步骤S422,根据所述误差率,确定所述哈希函数的函数个数;
具体地,哈希函数的函数个数用于分别对威胁情报的关键字值进行计算并取模。根据上述误差率以及映射算法的映射规律,计算哈希函数的个数为3。
步骤S423,通过所述哈希函数分别对所述关键字值进行计算并取模,得到对应的标记比特位,其中,各关键字值的标记比特位的数量与所述函数个数对应。
具体地,碰撞库包括一个或以上的标记比特位,标记比特位为威胁情报数据映射后的映射结果。参考图5,图5为本申请网络设备的防护方法涉及的碰撞库生成场景示意图。利用bloom filter算法将威胁情报的各威胁情报的key值进行哈希计算并取模,每条威胁key值由三个哈希函数计算三次哈希并取模,对应碰撞库bit位图中3个比特位(bit),即得到标记比特位,将所有威胁情报key值计算完毕,生成位图总表,即碰撞库。
步骤S430,汇总每一标记比特位,生成所述碰撞库。
具体地,以二百五十万威胁情报数据进行举例,假设每条威胁情报数据平均占30字节,离线库大小约为71MB;通过映射算法生成碰撞库,使得碰撞库的大小仅为3.3MB,体积减小约20倍。此外,设备端可以实时更新碰撞库,在更新时不会长时间升级且占用大量带宽。
本实施例通过上述方案,具体通过获取所述威胁情报,并提取所述威胁情报的关键字值;确定所述误差率;根据所述误差率,确定所述哈希函数的函数个数;通过所述哈希函数分别对所述关键字值进行计算并取模,得到对应的标记比特位,其中,各关键字值的标记比特位的数量与所述函数个数对应;汇总每一标记比特位,生成所述碰撞库。通过映射算法对威胁情报库进行压缩,生成碰撞库,有效的减少了网络设备端的威胁情报库体积,提升了情报检测性能。
参照图6,图6为本申请网络设备的防护方法第三示例性实施例的流程示意图。基于上述图4所示的实施例,所述网络流量包括目标关键字值,步骤S210,在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,包括:
步骤S610,在获取网络流量时,通过所述映射算法将所述目标关键字值进行映射,得到对应的映射结果;
具体地,网络流量携带有目标关键字值,目标关键字值用于确定对应的网络流量是否属于威胁情报,包括但不限于网络流量的互联网协议地址(IP)、域名信息等。
作为一种实现方案,对网络流量的目标关键字值进行映射所采用的哈希函数的类型、函数个数,与步骤S422中,对威胁情报的关键字值进行映射所采用的哈希函数的类型、函数个数相同,也即,采用murmurhash3函数,分别对网络流量中的互联网协议地址或域名计算三次hash并取模。
作为另一种实现方案,对网络流量的目标关键字值进行映射所采用的哈希函数的类型、函数个数,与步骤S422中,对威胁情报的关键字值进行映射所采用的哈希函数的类型、函数个数不同。也即,可以根据历史网络流量的攻击规律和/或历史威胁情报的威胁规律,确定哈希函数的类型、函数个数。
本实施例以步骤S422中,对威胁情报的关键字值进行映射所采用的哈希函数的类型、函数个数相同为优选进行举例。
步骤S620,若所述映射结果分别匹配到所述标记比特位,则表明所述网络流量与所述碰撞库匹配。
具体地,将三次映射结果分别查询碰撞库中相应的比特位是否为1,如果相应的比特位全部为1,则表明当前网络流量对网络设备有威胁。
需要说明的是,如果是体积较大的离线库,由于离线库中存储的是威胁情报key值,需要进行耗时的字符串匹配,遍历比较key值是否相等,在离线库百万千万数量级时,非常消耗设备内存和性能。因此通过将压缩后的碰撞库加载到网络设备的内存中,节省了设备内存;同时碰撞库仅需判断hash后bit位是否为1,无需进行复杂耗时的字符串比较,极大的提升了设备威胁情报检测的匹配性能。
进一步地,步骤S230,将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息,包括:
步骤S630,将所述映射结果上传至所述云端,以供所述云端根据所述映射结果,查询对应的目标防护信息。
具体地,由于碰撞库仅记录了威胁情报的关键字值,并没有记录威胁情报数据,因此,通过将映射后的关键字值上传至云端,使得在云端中,根据映射后的关键字值查询具体的威胁类型、威胁类型的防护信息,从而使得网络设备根据防护信息对网络攻击进行实时防护。
进一步地,步骤S240,接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护之后,还包括:
步骤S640,根据所述安全防护生成对应的防护日志信息。
具体地,防护日志信息包括各网络流量对应的网络攻击的威胁检测时间、威胁检测结果、防护时间、防护结果等,以便对网络流量进行分析。在过滤出威胁流量后,设备会上送云端平台进行威胁详情查询,云端平台查询到情报的详情后,返回结果给网络设备,使得网络设备根据安全防护生成对应的防护日志信息,使得网络设备对网络流量进行实时监控,并提供可追溯性。
本实施例通过上述方案,具体通过在获取网络流量时,通过所述映射算法将所述目标关键字值进行映射,得到对应的映射结果;若所述映射结果分别匹配到所述标记比特位,则表明所述网络流量与所述碰撞库匹配;将所述映射结果上传至所述云端,以供所述云端根据所述映射结果,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护;根据所述安全防护生成对应的防护日志信息。通过将映射结果上传至云端,可以提高网络设备与云端之间的信息传输的效率;通过网络设备生成防护日志信息,可以提供网络设备防护的可追溯性。
参照图7,图7为本申请网络设备的防护方法第四示例性实施例的流程示意图。所述网络设备的防护方法应用于云端,所述云端与网络设备交互,所述网络设备的防护方法包括以下步骤:
步骤S710,接收所述网络设备发送的目标威胁情报;
本实施例方法的执行主体可以是一种装置,也可以是一种设备或服务器,本实施例以装置进行举例,该装置可以集成在具有数据处理功能的智能手机、平板电脑等终端设备上,且设有云端。其中,云端是一款采用应用程序虚拟化技术的软件平台,包括搜索、下载、使用、管理、备份等多种功能。通过该平台,各类常用软件都能够在独立的虚拟化环境中被封装起来,从而使应用软件不会与系统产生耦合。
步骤S720,根据所述目标威胁情报,查询对应的目标防护信息;
具体地,通过云端接收网络设备发送的目标威胁情报,可以根据目标威胁情报查询对应的目标防护信息。
步骤S730,将所述目标防护信息发送至所述网络设备,以供所述网络设备接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
具体地,通过云端将目标防护信息发送至网络设备,网络设备根据防护信息,对网络攻击进行实时防护,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
本实施例通过上述方案,具体通过接收所述网络设备发送的目标威胁情报;根据所述目标威胁情报,查询对应的目标防护信息;将所述目标防护信息发送至所述网络设备,以供所述网络设备接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。通过根据目标威胁情报查询对应的目标防护信息,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。
此外,本申请实施例还提出一种网络设备的防护系统,所述网络设备的防护系统包括:网络设备,云端;
所述网络设备,用于在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护;
所述云端,用于接收所述网络设备发送的目标威胁情报;根据所述目标威胁情报,查询对应的目标防护信息;将所述目标防护信息发送至所述网络设备,以供所述网络设备接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
本实施例实现网络设备的防护的原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络设备的防护程序,所述网络设备的防护程序被所述处理器执行时实现如上所述的网络设备的防护方法的步骤。
由于本网络设备的防护程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有网络设备的防护程序,所述网络设备的防护程序被处理器执行时实现如上所述的网络设备的防护方法的步骤。
由于本网络设备的防护程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
相比现有技术,本申请实施例提出的网络设备的防护方法、系统、终端设备以及存储介质,通过在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。通过将网络流量的目标关键字值与映射算法生成的碰撞库进行匹配,得到威胁情报并上传至云端进行查询,得到对应的防护信息,可以实现在网络设备中,对网络攻击的有效防护,提升网络设备防护的有效性及效率。基于本申请方案,从网络安全中网络攻击存在的时效规律出发,构建了一个基于威胁情报的碰撞库,并在该碰撞库上验证了本申请提出的网络设备的防护方法的有效性,最后经过本申请方法对网络攻击防护的效率得到明显提升。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控网络设备,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种网络设备的防护方法,其特征在于,所述网络设备的防护方法应用于网络设备,所述网络设备与云端交互,所述网络设备的防护方法包括以下步骤:
在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;
若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;
将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;
接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
2.如权利要求1所述的网络设备的防护方法,其特征在于,所述在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配的步骤之前,还包括:
获取所述威胁情报,并提取所述威胁情报的关键字值;
通过所述映射算法将所述关键字值进行映射,得到对应的标记比特位;
汇总每一标记比特位,生成所述碰撞库。
3.如权利要求2所述的网络设备的防护方法,其特征在于,所述映射算法的参数包括误差率、哈希函数,所述通过所述映射算法将所述关键字值进行映射,得到对应的标记比特位的步骤包括:
确定所述误差率;
根据所述误差率,确定所述哈希函数的函数个数;
通过所述哈希函数分别对所述关键字值进行计算并取模,得到对应的标记比特位,其中,各关键字值的标记比特位的数量与所述函数个数对应。
4.如权利要求3所述的网络设备的防护方法,其特征在于,所述网络流量包括目标关键字值,所述将所述网络流量与预设的碰撞库进行匹配的步骤包括:
通过所述映射算法将所述目标关键字值进行映射,得到对应的映射结果;
若所述映射结果分别匹配到所述标记比特位,则表明所述网络流量与所述碰撞库匹配。
5.如权利要求4所述的网络设备的防护方法,其特征在于,所述将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息的步骤包括:
将所述目标关键字值上传至所述云端,以供所述云端根据所述目标关键字值,查询对应的目标防护信息。
6.如权利要求1所述的网络设备的防护方法,其特征在于,所述接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护的步骤之后,还包括:
根据所述安全防护生成对应的防护日志信息。
7.一种网络设备的防护方法,其特征在于,所述网络设备的防护方法应用于云端,所述云端与网络设备交互,所述网络设备的防护方法包括以下步骤:
接收所述网络设备发送的目标威胁情报;
根据所述目标威胁情报,查询对应的目标防护信息;
将所述目标防护信息发送至所述网络设备,以供所述网络设备接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
8.一种网络设备的防护系统,其特征在于,所述网络设备的防护系统包括:网络设备,云端;
所述网络设备,用于在获取网络流量时,将所述网络流量与预设的碰撞库进行匹配,所述碰撞库基于预设的映射算法及威胁情报生成得到;若所述网络流量与所述碰撞库匹配,则获得所述网络流量的目标威胁情报;将所述目标威胁情报上传至所述云端,以供所述云端根据所述目标威胁情报,查询对应的目标防护信息;接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护;
所述云端,用于接收所述网络设备发送的目标威胁情报;根据所述目标威胁情报,查询对应的目标防护信息;将所述目标防护信息发送至所述网络设备,以供所述网络设备接收所述目标防护信息,并根据所述目标防护信息执行对应的安全防护。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络设备的防护程序,所述网络设备的防护程序被所述处理器执行时实现如权利要求1-7中任一项所述的网络设备的防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络设备的防护程序,所述网络设备的防护程序被处理器执行时实现如权利要求1-7中任一项所述的网络设备的防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211660489.6A CN115643116A (zh) | 2022-12-23 | 2022-12-23 | 网络设备的防护方法、系统、终端设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211660489.6A CN115643116A (zh) | 2022-12-23 | 2022-12-23 | 网络设备的防护方法、系统、终端设备以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115643116A true CN115643116A (zh) | 2023-01-24 |
Family
ID=84949901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211660489.6A Pending CN115643116A (zh) | 2022-12-23 | 2022-12-23 | 网络设备的防护方法、系统、终端设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115643116A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| US20200036736A1 (en) * | 2018-07-26 | 2020-01-30 | Wallarm, Inc. | Targeted attacks detection system |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN113259356A (zh) * | 2021-05-21 | 2021-08-13 | 北京国联天成信息技术有限公司 | 大数据环境下的威胁情报与终端检测响应方法及系统 |
-
2022
- 2022-12-23 CN CN202211660489.6A patent/CN115643116A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| US20200036736A1 (en) * | 2018-07-26 | 2020-01-30 | Wallarm, Inc. | Targeted attacks detection system |
| CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN113259356A (zh) * | 2021-05-21 | 2021-08-13 | 北京国联天成信息技术有限公司 | 大数据环境下的威胁情报与终端检测响应方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9104676B2 (en) | Hash algorithm-based data storage method and system | |
| WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
| CN109951477B (zh) | 一种基于威胁情报检测网络攻击的方法和装置 | |
| US20180285596A1 (en) | System and method for managing sensitive data | |
| US10657182B2 (en) | Similar email spam detection | |
| CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
| US9215294B2 (en) | Management of communications between a client equipment and a server equipment providing to the client equipment computer resources represented according to a file system | |
| CN112804223B (zh) | 一种报文处理方法和装置 | |
| CN113507461B (zh) | 基于大数据的网络监控系统及网络监控方法 | |
| CN114598512A (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| CN112583797A (zh) | 多协议数据处理方法、装置、设备及计算机可读存储介质 | |
| CN114338510A (zh) | 控制和转发分离的数据转发方法和系统 | |
| CN103746768A (zh) | 一种数据包的识别方法及设备 | |
| US11847219B2 (en) | Determining a state of a network | |
| CN116360809B (zh) | 一种嵌入式智能终端固件远程升级方法、系统及介质 | |
| CN113010904A (zh) | 数据处理方法和装置及电子设备 | |
| CN115643116A (zh) | 网络设备的防护方法、系统、终端设备以及存储介质 | |
| CN114840739B (zh) | 信息检索方法、装置、电子设备及存储介质 | |
| CN113922972B (zh) | 基于md5标识码的数据转发方法和装置 | |
| CN114422164B (zh) | 五元组表项下发装置及方法 | |
| CN114301696A (zh) | 恶意域名检测方法、装置、计算机设备及存储介质 | |
| US11604877B1 (en) | Nested courses of action to support incident response in an information technology environment | |
| CN103685367A (zh) | 离线下载系统和方法 | |
| CN109101399B (zh) | 一种主机的监控方法及设备 | |
| US8719822B2 (en) | Method and system for storing and referencing partial complex resources using object identifiers in a printing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230124 |