CN116389147A - 一种网络攻击的封禁方法、装置、电子设备及存储介质 - Google Patents
一种网络攻击的封禁方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116389147A CN116389147A CN202310440865.9A CN202310440865A CN116389147A CN 116389147 A CN116389147 A CN 116389147A CN 202310440865 A CN202310440865 A CN 202310440865A CN 116389147 A CN116389147 A CN 116389147A
- Authority
- CN
- China
- Prior art keywords
- attack
- real
- security log
- time security
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 71
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000007789 sealing Methods 0.000 claims abstract description 27
- 230000006399 behavior Effects 0.000 claims description 34
- 238000001914 filtration Methods 0.000 claims description 16
- 238000012502 risk assessment Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 235000003642 hunger Nutrition 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种网络攻击的封禁方法、装置、电子设备及存储介质,所述方法包括:获取记录有源IP地址的实时安全日志;从预存的攻击特征库中确定与所述源IP地址匹配的目标特征;所述目标特征包括访问源特征与攻击特征;根据所述目标特征确定所述实时安全日志的威胁程度;根据所述威胁程度确定针对所述实时安全日志采取的封禁策略。本申请从多维度结合评估实时安全日志的威胁程度,不同于相关技术中一旦检测到某IP地址有产生攻击行为就直接拦截所有来自该IP地址的流量,减少了误将正常访问流量也一并拦截的几率,提高了正常访问行为与攻击行为的识别准确度。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击的封禁方法、装置、电子设备及存储介质。
背景技术
随着互联网的蓬勃发展,由于CDN(Content Delivery Network,内容分发网络)服务可以降低带宽成本,提升网页的加载效率,提高内容的全局可用性,因此通过CDN服务来访问源站服务器已成为常态。对于企业服务器来说,其作为源站服务器接收到通过CDN服务的网络访问越来越多,其中不乏基于CDN服务的网络攻击。在基于CDN服务的访问行为中,如何准确地识别正常访问行为与攻击行为,是本领域亟待解决的技术问题。
发明内容
本申请实施例的目的在于提供一种网络攻击的封禁方法、装置、电子设备及存储介质,用以实现准确地识别基于CDN服务的网络攻击行为的技术效果。
本申请实施例第一方面提供了一种网络攻击的封禁方法,所述方法包括:
获取记录有源IP地址的实时安全日志;
从预存的攻击特征库中确定与所述源IP地址匹配的目标特征;所述目标特征包括访问源特征与攻击特征;
根据所述目标特征确定所述实时安全日志的威胁程度;
根据所述威胁程度确定针对所述实时安全日志采取的封禁策略。
在上述实现过程中,在评估威胁程度时,除了考虑该流量表现出的攻击特征以外,该流量源IP地址的访问源特征也作为威胁程度的评估因素之一。本申请从多维度结合评估实时安全日志的威胁程度,不同于相关技术中一旦检测到某IP地址有产生攻击行为就直接拦截所有来自该IP地址的流量,减少了误将正常访问流量也一并拦截的几率,提高了正常访问行为与攻击行为的识别准确度。
进一步地,所述根据所述目标特征确定所述实时安全日志的威胁程度,包括:
根据所述访问源特征与预设的IP过滤库确定所述实时安全日志为待评定的实时安全日志;
对所述攻击特征中多项攻击子特征的取值对应的分数进行加权平均,根据加权平均分数确定所述实时安全日志的威胁程度。
在上述实现过程中,首先利用访问源特征对实时安全日志进行筛选,从访问源的维度筛选出无需评定可直接通过的实时安全日志、以及待评定的实时安全日志。随后再利用加权平均的算法结合多项攻击子特征确定实时安全日志的威胁程度。本实施例通过利用IP过滤库与加权平均算法结合访问源特征与攻击特征进行多维度的威胁程度评估,提高了正常访问行为与攻击行为的识别准确度。
进一步地,所述根据所述目标特征确定所述实时安全日志的威胁程度,包括:
获取预设的情报库中记录的IP情报信息;
根据所述目标特征与所述IP情报信息确定所述实时安全日志的威胁程度。
在上述实现过程中,通过引入IP情报信息结合目标特征一同确定实时安全日志的威胁程度。攻击特征库是由网络安全设备利用历史安全日志构建的,通过特征库中的目标特征来评估实时安全日志的威胁程度更具有针对性。而IP情报信息包括第三方IP情报信息,更具有普适性。因此结合具有针对性的目标特征与具有普适性的IP情报信息来确定实时安全日志的威胁程度,从多个不同维度进行威胁程度的评估,提高了评估结果的客观性与准确性。
进一步地,所述目标特征还包括危险程度信息;所述危险程度信息是根据所述访问源特征与所述攻击特征评定的;所述IP情报信息包括置信度、风险评估信息与所述危险程度信息。
在上述实现过程中,结合危险程度信息、置信度、与风险评估信息来调整威胁程度,从多个不同维度进行威胁程度的评估,提高了评估结果的客观性与准确性。
进一步地,所述方法还包括:
统计所述源IP地址的访问频率;
根据所述访问频率修正所述攻击特征库记录的所述危险程度信息。
在上述实现过程中,通过统计源IP地址的访问频率,不断修正攻击特征库的危险程度信息,使得攻击特征库记录的危险程度信息可反映出近期产生攻击行为的IP地址。通过对特征库的更新,可以修正误报,提高封堵准确率。
进一步地,所述攻击特征包括攻击规律;所述根据所述威胁程度确定针对所述实时安全日志采取的封禁策略,包括:
若根据所述威胁程度确定进行封禁,确定与所述攻击规律匹配的封禁策略。
在上述实现过程中,结合攻击规律准确地确定出针对实时安全日志的封禁策略,能在时间的维度上准确地对正在发生网络攻击行为的IP地址进行封禁。同时由于在封禁过后重新通过源IP地址的流量,因此不会影响正常用户被分配至该源IP地址时的正常访问使用,提高了封禁的智能性。
进一步地,所述方法还包括:
响应于检测到多IP轮询的访问行为,将所述访问行为使用的所有源IP地址更新至所述攻击特征库。
在上述实现过程中,将访问行为所使用的所有源IP地址更新至攻击特征库中,进行统一标识,以丰富攻击特征库记录的特征信息。
本申请实施例第二方面提供了一种网络攻击的封禁装置,所述装置包括:
获取模块,用于获取记录有源IP地址的实时安全日志;
匹配模块,用于从预存的攻击特征库中确定与所述源IP地址匹配的目标特征;所述目标特征包括访问源特征与攻击特征;
威胁程度模块,用于根据所述目标特征确定所述实时安全日志的威胁程度;
封禁策略模块,用于根据所述威胁程度确定针对所述实时安全日志采取的封禁策略。
本申请实施例第三方面提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器调用所述可执行指令时实现第一方面任一所述方法的操作。
本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令被处理器执行时实现第一方面任一所述方法的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的应用场景;
图2为本申请实施例提供的一种网络攻击的封禁方法的流程示意图;
图3为本申请实施例提供的另一种网络攻击的封禁方法的流程示意图;
图4为本申请实施例提供的另一种网络攻击的封禁方法的流程示意图;
图5为本申请实施例提供的一种网络攻击的封禁装置的结构框图;
图6为本申请实施例提供的一种电子设备的硬件结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
随着互联网的蓬勃发展,由于CDN(Content Delivery Network,内容分发网络)服务可以降低带宽成本,缩短网页的加载效率,提高内容的全局可用性,因此通过CDN服务来访问源站服务器已成为常态。对于企业服务器来说,其作为源站服务器接收到通过CDN服务的网络访问越来越多,其中不乏基于CDN服务的网络攻击。
为了阻断网络攻击,在相关技术中,可以通过中断CDN服务的网络访问来制止网络攻击行为。然而,直接中断CDN服务会影响正常用户群体通过该CDN服务的正常访问使用。此外,由于一个源站服务器通常部署有多处CDN服务,因此就算部分CDN服务中断,网络攻击方依然可以通过部署的其他CDN服务继续进行网络攻击行为。可见,直接中断CDN服务无法从根本上解决问题,反而会影响正常用户群体的访问使用。
除了直接中断CDN服务,还可以通过确定网络攻击行为的源IP(InternetProtocol,互联网协议)地址,利用黑名单技术拦截来自该源IP地址的所有流量。但由于源IP地址在不同时间可能会分配至不同用户使用,若直接将该源IP地址加入黑名单,拦截来自该源IP地址的所有流量,会导致正常用户分配至使用该源IP地址时无法正常访问使用。
可见,相关技术中为了阻断基于CDN服务的网络攻击,往往会错误地将正常访问流量也一并拦截。因此在基于CDN服务的访问行为中,如何准确地识别正常访问行为与攻击行为,是本领域亟待解决的技术问题。
基于此,本申请提供了一种网络攻击的封禁方法,用于封禁基于CDN服务的网络攻击。图1示出了一种网络攻击的封禁方法的应用场景。如图1所示,用户端140通过就近的CDN服务器120访问源站服务器110。其中,CDN服务器120还旁路部署有网络安全设备130。进入CDN服务器120的流量会镜像旁路至网络安全设备130中,以进行攻击检测生成安全日志。
本申请提供的一种网络攻击的封禁方法,可以应用于网络安全设备。示例性地,网络安全设备可以包括但不限于IPS(Intrusion Prevention System,入侵防御系统)、IDS(Intrusion Detection Systems,入侵检测系统)、WAF(Web Application Firewall,网站应用级入侵防御系统)系统等。
如图2所示,一种网络攻击的封禁方法,包括以下步骤:
步骤210:获取记录有源IP地址的实时安全日志;
步骤220:从预存的攻击特征库中确定与所述源IP地址匹配的目标特征;
其中,所述目标特征包括访问源特征与攻击特征;
步骤230:根据所述目标特征确定所述实时安全日志的威胁程度;
步骤240:根据所述威胁程度确定针对所述实时安全日志采取的封禁策略。
实时安全日志可以是网络安全设备对抓取的镜像流量进行安全检测处理后得到的安全日志。示例性地,实时安全日志可以包括但不限于网络安全日志、全流量的协议还原日志等。
实时安全日志记录有源IP地址,通过解析实时安全日志,可以获取源IP地址。示例性地,源IP地址记录在实时安全日志的X_FORWARDED_IP字段或X_REAL_IP字段中。通过解析实时安全日志,可以从X_FORWARDED_IP字段或X_REAL_IP字段中获取源IP地址。
随后,根据获取的源IP地址,可以从预存的攻击特征库中确定与该源IP地址匹配的目标特征。其中,攻击特征库包括有多个条目,每个条目记录了IP地址对应的特征信息。特征信息用于表征某一IP地址以及来自该IP地址的流量。因此,特征信息至少包括访问源特征和攻击特征。访问源特征用于表征IP地址,例如访问源特征可以是IP归属信息。IP归属信息可以包括但不限于IP地址的地理位置、所属单位、运营商信息等。攻击特征用于表征来自该IP地址的流量,可以包括但不限于攻击类型、攻击阶段、恶意代码家族、攻击规律等。攻击规律例如可以是攻击行为在时间维度上表现的规律,例如攻击日期、攻击时段、攻击周期等。
当然,特征信息除了包括访问源特征和攻击特征以外,还可以根据实际需要设定记录其他的特征信息。上述实施例仅作为例子,不对特征信息具体内容造成限制。
攻击特征库可以利用历史安全日志生成。示例性地,可以收集网络安全设备对CDN流量进行威胁检测生成的历史安全日志,例如上述的网络安全日志和全流量的协议还原日志。然后从历史安全日志中解析出访问源的源IP地址以及对应的上述特征信息。以源IP地址为对象,标识相应的特征信息,从而构建出攻击特征库。
由此,在获取到实时安全日志记录的源IP地址后,可以从攻击特征库中查询与该源IP地址匹配的特征信息作为目标特征。目标特征中的访问源特征用于表征该源IP地址;目标特征中的攻击特征用于表征该源IP地址的流量。
随后,可以根据目标特征确定实时安全日志的威胁程度。也即根据访问源特征与攻击特征确定实时安全日志的威胁程度。最后根据威胁程度确定针对该实时安全日志采取的封禁策略。在执行封禁策略时,拦截该源IP地址的流量。在封禁策略完成执行后,停止拦截并通行该源IP地址的流量。
可选地,威胁程度可以以等级的形式表示,例如可以设定多个等级来表征不同程度的威胁。同时可以针对不同等级设定不同的封禁策略。如此,所述根据威胁程度确定针对该实时安全日志采取的封禁策略,可以包括:确定威胁程度的等级对应的封禁策略为针对该实时安全日志的封禁策略。此外,在威胁程度等级较低的情况下,可以不采取封禁策略,允许该源IP地址的流量通过。
可选地,威胁程度可以以分数的形式表示。例如可以根据实时安全日志的访问源特征与攻击特征进行计分,得到的分数作为威胁程度。同时,针对不同分数区间可以设定不同的封禁策略。如此,所述根据威胁程度确定针对该实时安全日志采取的封禁策略,可以包括:根据表征威胁程度的分数所处的分数区间,确定分数区间对应的封禁策略为针对该实时安全日志采取的封禁策略。此外,在威胁程度的分数低于预设阈值的情况下,可以不采取封禁策略,允许该源IP地址的流量通过。
可以理解的是,要评估来自某一IP地址流量的威胁程度,除了可以考虑该源IP地址流量是否进行过网络攻击,还可以考虑访问源本身的特征。例如,若源站服务器接收的大多是境内IP地址的访问流量,而某IP地址的地理信息指示该IP地址为境外IP,则可以结合攻击特征确定该IP地址的威胁程度较高。又例如,若某IP地址所属单位为家用网络而非服务器,则可以结合攻击特征确定该IP地址的威胁程度较低。
可见,在评估威胁程度时,除了考虑该流量表现出的攻击特征以外,该流量源IP地址的访问源特征也可以作为威胁程度的评估因素之一。因此本申请提供的一种网络攻击的封禁方法,预先构建攻击特征库来记录每个IP地址对应的访问源特征与攻击特征,然后利用与实时安全日志的源IP地址匹配的访问源特征与攻击特征来评估实时安全日志的威胁程度。本申请从多维度结合评估实时安全日志的威胁程度,不同于相关技术中一旦检测到某IP地址有产生攻击行为就直接拦截所有来自该IP地址的流量,减少了误将正常访问流量也一并拦截的几率,提高了正常访问行为与攻击行为的识别准确度。
关于实时安全日志威胁程度的确定,在一些实施例中,步骤230包括如图3所示的步骤:
步骤231:根据所述访问源特征与预设的IP过滤库确定所述实时安全日志为待评定的实时安全日志;
步骤232:对所述攻击特征中多项攻击子特征的取值对应的分数进行加权平均,根据加权平均分数确定所述实时安全日志的威胁程度。
目标特征包括访问源特征与攻击特征,根据目标特征确定实时安全日志的威胁程度实际上是根据访问源特征与攻击特征确定实时安全日志的威胁程度。
示例性地,在执行步骤231之前,还包括步骤:将目标特征中的访问源特征标识至实时安全日志。如此,实时安全日志中携带了与源IP地址匹配的访问源特征。若实时安全日志在攻击特征库中未匹配到目标特征,则对实时安全日志进行互联网地理位置的标识。将访问源特征标识于实时安全日志,能够便于后续步骤231-步骤232的网络攻击行为研判分析。
执行本实施例的网络安全设备可以预设有IP过滤库。示例性地,IP过滤库由源站服务器企业提供,用于表示可信任IP信息和/或可疑IP信息。IP信息可以包括但不限于IP地址、IP归属信息等。
例如,若源站服务器与其他企业有合作关系,允许归属于该企业的所有IP地址在源站服务器进行爬虫,那么可以将属于该企业的所有IP地址作为可信任的IP信息记录到IP过滤库中,也可以将该企业信息可以作为可信任的IP归属信息中的所属单位记录到IP过滤库中。
IP过滤库用于确定实时安全日志是否为待评定的实时安全日志。可选地,IP过滤库可以是IP白名单库,记录有可信任IP信息,包括可信任的IP地址和/或可信任的IP归属信息。如此,若实时安全日志的访问源特征与IP白名单库中的可信任IP信息匹配,说明该实时安全日志对应的流量从可信任IP地址流出,因此可以确定该实时安全日志不是待评定的实时安全日志。针对该实时安全日志对应的流量可以进行通行处理。反之,若实时安全日志的访问源特征与IP白名单库中的可信任IP信息不匹配,说明该实时安全日志对应的是可疑流量,因此可以确定该实时安全日志是待评定的实时安全日志。
可选地,IP过滤库可以是IP黑名单库,记录有可疑IP信息,包括可疑的IP地址和/或可疑的IP归属信息。如此,若实时安全日志的访问源特征与IP黑名单库中的可疑IP信息匹配,说明该实时安全日志对应的是可疑流量,因此可以确定该实时安全日志是待评定的实时安全日志。反之,若实时安全日志的访问源特征与IP黑名单库中的可疑IP信息不匹配,说明该实时安全日志对应的流量从可信任IP地址流出,因此可以确定该实时安全日志不是待评定的实时安全日志;或者说明尚未能判定该实时安全日志是否可疑,需要进一步评定,因此可以确定该实时安全日志是待评定的实时安全日志。
若根据访问源特征与预设的IP过滤库确定实时安全日志为待评定的实时安全日志,则对攻击特征中多项攻击子特征的取值对应的分数进行加权平均,并根据加权平均分数确定实时安全日志的威胁程度。
攻击特征包括多项攻击子特征,例如上文列举的攻击类型、攻击阶段、恶意代码家族、攻击规律等。其中,可以是攻击特征中的所有攻击子特征均用于加权平均计算,也可以是攻击特征中的部分攻击子特征用于加权平均计算。在用于加权平均计算的攻击子特征中,每项攻击子特征可以有不同的取值,而不同取值对应不同的分数。同时,每项攻击子特征对应不同的权重。因此根据每项攻击子特征的取值对应的分数,以及攻击子特征对应的权重,可以计算出加权平均分数。
示例性地,用于加权平均计算的攻击子特征可以包括攻击类型、攻击阶段、恶意代码家族。如此,可以预先设置攻击类型对应的权重、攻击阶段对应的权重与恶意代码家族对应的权重。
攻击类型的取值可以包括但不限于网络爬虫、SQL注入、暴力破解等等。针对攻击类型的不同取值可以预先设置不同的分数。
攻击阶段的取值可以包括但不限于权限提升、防御规避、凭据访问等等。针对攻击阶段的不同取值可以预先设置不同的分数。
恶意代码家族的取值可以包括但不限于PHP(Hypertext Preprocessor,超文本预处理器)语言、Go语言、C++语言、Java语言、Python语言等。针对恶意代码家族的不同取值可以预先设置不同的分数。
可选地,设置的攻击子特征对应的权重值、以及不同取值对应的分数可以存储在攻击特征库中。如此,可以从攻击特征库中读取多项攻击子特征对应的权重值,以及根据每项攻击子特征的取值从攻击特征库中读取对应的分数,最后通过加权平均计算得到加权平均分数,得到实时安全日志的威胁程度。
示例性地,可以直接确定加权平均分数为实时安全日志的威胁程度,或者说加权平均分数用于表征安全日志的威胁程度。
在本实施例中,首先利用访问源特征对实时安全日志进行筛选,从访问源的维度筛选出无需评定可直接通过的实时安全日志、以及待评定的实时安全日志。随后再利用加权平均的算法结合多项攻击子特征确定实时安全日志的威胁程度。本实施例通过利用IP过滤库与加权平均算法结合访问源特征与攻击特征进行多维度的威胁程度评估,提高了正常访问行为与攻击行为的识别准确度。
关于实时安全日志威胁程度的确定,在一些实施例中,实时安全日志的威胁程度除了参考目标特征,即访问源特征与攻击特征以外,还可以参考IP情报信息。
如此,步骤230可以具体包括:获取预设的情报库中记录的IP情报信息;根据目标特征与所述IP情报信息确定所述实时安全日志的威胁程度。
执行本实施例的网络安全设备可以预设有情报库,情报库记录有多种IP情报信息。其中,情报库中的至少部分IP情报信息可以是从其他渠道收集或购买的第三方IP情报信息。不同于由源站服务器企业提供的IP过滤库,第三方IP情报信息是由除网络安全设备或源站服务器以外的第三方,根据大量流量数据整合出的IP情报信息。
如此,在获取了IP情报信息后,可以根据目标特征与IP情报信息确定实时安全日志的威胁程度。
示例性地,可以根据目标特征确定初始威胁程度,再利用IP情报信息调整初始威胁程度。例如,可以根据IP情报信息提高或降低初始威胁程度。调整后的威胁程度即为所述实时安全日志的威胁程度。
可选地,若威胁程度以等级的形式表示,则可以首先根据目标特征确定初始等级。然后根据IP情报调整初始等级,包括提高或降低初始等级,调整后的等级即为所述实时安全日志的威胁程度。
可选地,若威胁程度以分数的形式表示,则可以首先根据目标特征确定初始分数。然后根据IP情报调整初始分数,包括提高或降低初始分数,调整后的分数即为所述实时安全日志的威胁程度。
例如在图3的实施例中,通过攻击特征中多项攻击子特征进行加权平均,得到加权平均分数。随后,可以根据IP情报信息调整加权平均分数,并确定调整后分数为所述实时安全日志的威胁程度。
在本实施例中,通过引入IP情报信息结合目标特征一同确定实时安全日志的威胁程度。攻击特征库是由网络安全设备利用历史安全日志构建的,通过特征库中的目标特征来评估实时安全日志的威胁程度更具有针对性。而IP情报信息包括第三方IP情报信息,更具有普适性。因此结合具有针对性的目标特征与具有普适性的IP情报信息来确定实时安全日志的威胁程度,从多个不同维度进行威胁程度的评估,提高了评估结果的客观性与准确性。
关于IP情报信息,在一些实施例中,IP情报信息可以包括置信度、风险评估信息、危险程度信息中的一种或多种。
其中,置信度与风险评估信息为上述第三方IP情报信息,是由第三方根据大量流量数据整合出的IP情报信息。网络安全设备可以通过购买等方式从第三方获取置信度与风险评估信息。
示例性地,置信度可以包括高、中、低三个等级。所述利用IP情报信息调整初始威胁程度,可以包括:若置信度的等级为高,则降低威胁程度;若置信度的等级为低,则提高威胁程度。例如,针对不同等级的置信度,可以确定威胁程度的等级或分数的调整值,然后根据调整值与初始等级或初始分数,确定调整后的等级或分数为实时安全日志的威胁程度。
示例性地,风险评估信息包括高、中、低三个等级。所述利用IP情报信息调整初始威胁程度,可以包括:若风险评估信息的等级为高,则提高威胁程度;若置信度的等级为低,则降低威胁程度。例如,针对不同等级的风险评估信息,可以确定威胁程度的等级或分数的调整值,然后根据调整值与初始等级或初始分数,确定调整后的等级或分数为实时安全日志的威胁程度。
某一IP地址的危险程度信息是由网络安全设备根据该IP地址的访问源特征和危险程度特征评定的。也就是说,危险程度信息是由网络安全设备生成的。可选地,危险程度信息可以是攻击特征库记录的特征信息中的一种。也即攻击特征库中每个条目记录的特征信息包括IP地址的访问源特征、攻击特征和危险程度信息。危险程度信息是在创建该条目时根据该IP地址的访问源特征和攻击特征评估得到的。
可选地,在执行步骤230之前,可以先将目标特征中的访问源特征以及危险程度信息标识至实时安全日志。如此,实时安全日志中携带了与源IP地址匹配的访问源特征以及危险程度信息。情报库可以从标识后的实时安全日志和/或攻击特征库中获取危险程度信息。
示例性地,危险程度信息包括高风险、中风险、低风险、无风险四个等级。所述利用IP情报信息调整初始威胁程度,可以包括:若危险程度信息的等级为高风险,则提高威胁程度;若危险程度信息的等级为低风险或无风险,则降低威胁程度。例如,针对不同等级的危险程度信息,可以确定威胁程度的等级或分数的调整值,然后根据调整值与初始等级或初始分数,确定调整后的等级或分数为实时安全日志的威胁程度。
上述置信度、风险评估信息与危险程度信息对应的调整值可以相同也可以不同,本申请在此不做限制。
在一些实施例中,上述方法还包括如图4所示的步骤:
步骤410:统计所述源IP地址的访问频率;
步骤420:根据所述访问频率修正所述攻击特征库记录的所述危险程度信息。
所述源IP地址的访问频率,是指实时安全日志的源IP地址对源站服务器的访问频率。
可选地,可以设置访问频率的统计周期,当到达预设的统计周期时,触发执行步骤410-步骤420。此时,除了统计实时安全日志的源IP地址的访问频率以外,还可以一并统计攻击特征库中其他IP地址的访问频率,并更新统计的所有IP地址对应的威胁程度信息。
可选地,可以在获取到实时安全日志后,触发执行步骤410-步骤420。此时,可以统计预设时间内实时安全日志的源IP地址的访问频率。
根据统计的访问频率,可以修正攻击特征库记录的危险程度信息。
示例性地,若源IP地址的访问频率高于预设的第一频率阈值,或者,若源IP地址当前统计的访问频率高于历史统计的访问频率,则提高源IP地址对应的危险程度。反之,若源IP地址的访问频率低于预设的第二频率阈值,或者,若源IP地址当前统计的访问频率低于历史统计的访问频率,则降低源IP地址对应的危险程度。其中,第一频率阈值大于或等于第二频率阈值。
在本实施例中,通过统计源IP地址的访问频率,不断修正攻击特征库的危险程度信息,使得攻击特征库记录的危险程度信息可反映出近期产生攻击行为的IP地址。通过对特征库的更新,可以修正误报,提高封堵准确率。同时,本申请的构建攻击特征库、检测网络攻击者、威胁程度分析去误报、封堵网络攻击、更新攻击特征库这5个过程形成闭环,不断更新攻击特征库,再利用更新后的攻击特征库进行检测去误报,有利于封堵准确率的提高。
关于封禁策略的采取,在一些实施例中,攻击特征还包括攻击规律。攻击规律是指攻击行为在时间维度上表现的规律,例如攻击日期、攻击时段、攻击周期等。
如此上述步骤240可以包括:若根据所述威胁程度确定进行封禁,确定与所述攻击规律匹配的封禁策略。
封禁策略包括多种,在确定要采取的封禁策略时,除了可以根据威胁程度的等级/分数所处区间确定相应的封禁策略,还可以根据攻击规律确定封禁策略。
示例性地,封禁策略可以按照封禁时长进行区分,例如分为短期封禁、中期封禁与长期封禁。其中,短期封禁、中期封禁与长期封禁对源IP地址的封禁时长递增。如此,可以根据攻击规律中的攻击时段,确定采用的封禁策略。
若攻击时段指示源IP地址的网络攻击行为持续较短时间,则可以采取短期封禁策略,例如对源IP地址封禁30分钟。
若攻击时段指示源IP地址的网络攻击行为持续中等时长,则可以采取中期封禁策略,例如对源IP地址封禁12小时。
若攻击时段指示源IP地址的网络攻击行为持续较长时间,则可以采取长期封禁策略,例如对源IP地址封禁7天。
如上所述,在执行封禁策略时,会拦截该源IP地址的流量。但在封禁策略完成执行后,就行停止拦截并重新通行该源IP地址的流量。在一些场景中,在执行根据攻击时段确定的封禁策略后,也即重新通行该源IP地址的流量时,若在预设时间段内再次接收到该源IP地址的流量,且通过分析实时安全日志确定需要采取封禁策略,则确定采取封禁时间相较于上一次封禁时间更长的封禁策略。例如,若上一次采取了短期封禁策略,在执行短期封禁策略后预设时间段内再次接收到同一源IP地址的流量,则本次可以采取中期封禁策略。
示例性地,封禁策略可以按照封禁周期进行区分,例如封禁周期可以是每天的预设时间段、或每周的预设日子、或每月的预设日期等。如此,可以根据攻击规律中的攻击周期,确定采用的封禁策略。
在本实施例中,结合攻击规律准确地确定出针对实时安全日志的封禁策略,能在时间的维度上准确地对正在发生网络攻击行为的IP地址进行封禁。同时由于在封禁过后重新通过源IP地址的流量,因此不会影响正常用户被分配至该源IP地址时的正常访问使用,提高了封禁的智能性。
在一些实施例中,上述方法还包括步骤:响应于检测到多IP轮询的访问行为,将所述访问行为使用的所有源IP地址更新至所述攻击特征库
在一些可能的场景中,某一攻击方可以会轮流使用多个IP地址来攻击源站服务器,以避开IP黑名单的拦截。因此当检测到多IP轮询的访问行为时,可以将访问行为所使用的所有源IP地址更新至攻击特征库中,进行统一标识,以丰富攻击特征库记录的特征信息。
在一些实施例中,源站服务器部署的CDN服务器可以包括多个。如此,多个CDN服务器之间可以共享特征库、IP过滤库与情报库中的一种或多种。
基于上述任一实施例所述的一种网络攻击的封禁方法,本申请还提供了一种网络攻击的封禁装置。如图5所示,一种网络攻击的封禁装置500包括:
获取模块510,用于获取记录有源IP地址的实时安全日志;
匹配模块520,用于从预存的攻击特征库中确定与所述源IP地址匹配的目标特征;所述目标特征包括访问源特征与攻击特征;
威胁程度模块530,用于根据所述目标特征确定所述实时安全日志的威胁程度;
封禁策略模块540,用于根据所述威胁程度确定针对所述实时安全日志采取的封禁策略。
在一些实施例中,威胁程度模块530具体用于:
根据所述访问源特征与预设的IP过滤库确定所述实时安全日志为待评定的实时安全日志;
对所述攻击特征中多项攻击子特征的取值对应的分数进行加权平均,根据加权平均分数确定所述实时安全日志的威胁程度。
在一些实施例中,威胁程度模块530具体用于:
获取预设的情报库中记录的IP情报信息;
根据所述目标特征与所述IP情报信息确定所述实时安全日志的威胁程度。
在一些实施例中,所述目标特征还包括危险程度信息;所述危险程度信息是根据所述访问源特征与所述攻击特征评定的;所述IP情报信息包括置信度、风险评估信息与所述危险程度信息。
在一些实施例中,网络攻击的封禁装置500还包括:
统计模块,用于统计所述源IP地址的访问频率;
修正模块,用于根据所述访问频率修正所述攻击特征库记录的所述危险程度信息。
在一些实施例中,所述攻击特征包括攻击规律;封禁策略模块540具体用于:
若根据所述威胁程度确定进行封禁,确定与所述攻击规律匹配的封禁策略。
在一些实施例中,网络攻击的封禁装置500还包括:
更新模块,用于响应于检测到多IP轮询的访问行为,将所述访问行为使用的所有源IP地址更新至所述攻击特征库。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
基于上述任意实施例所述的一种网络攻击的封禁方法,本申请还提供了如图6所示的一种电子设备的结构示意图。如图6,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述任意实施例所述的一种网络攻击的封禁方法。
本申请还提供了一种计算机存储介质,存储介质存储有计算机程序,计算机程序被处理器执行时可用于执行上述任意实施例所述的一种网络攻击的封禁方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种网络攻击的封禁方法,其特征在于,所述方法包括:
获取记录有源IP地址的实时安全日志;
从预存的攻击特征库中确定与所述源IP地址匹配的目标特征;所述目标特征包括访问源特征与攻击特征;
根据所述目标特征确定所述实时安全日志的威胁程度;
根据所述威胁程度确定针对所述实时安全日志采取的封禁策略。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标特征确定所述实时安全日志的威胁程度,包括:
根据所述访问源特征与预设的IP过滤库确定所述实时安全日志为待评定的实时安全日志;
对所述攻击特征中多项攻击子特征的取值对应的分数进行加权平均,根据加权平均分数确定所述实时安全日志的威胁程度。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标特征确定所述实时安全日志的威胁程度,包括:
获取预设的情报库中记录的IP情报信息;
根据所述目标特征与所述IP情报信息确定所述实时安全日志的威胁程度。
4.根据权利要求3所述的方法,其特征在于,所述目标特征还包括危险程度信息;所述危险程度信息是根据所述访问源特征与所述攻击特征评定的;所述IP情报信息包括置信度、风险评估信息与所述危险程度信息。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
统计所述源IP地址的访问频率;
根据所述访问频率修正所述攻击特征库记录的所述危险程度信息。
6.根据权利要求1所述的方法,其特征在于,所述攻击特征包括攻击规律;所述根据所述威胁程度确定针对所述实时安全日志采取的封禁策略,包括:
若根据所述威胁程度确定进行封禁,确定与所述攻击规律匹配的封禁策略。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于检测到多IP轮询的访问行为,将所述访问行为使用的所有源IP地址更新至所述攻击特征库。
8.一种网络攻击的封禁装置,其特征在于,所述装置包括:
获取模块,用于获取记录有源IP地址的实时安全日志;
匹配模块,用于从预存的攻击特征库中确定与所述源IP地址匹配的目标特征;所述目标特征包括访问源特征与攻击特征;
威胁程度模块,用于根据所述目标特征确定所述实时安全日志的威胁程度;
封禁策略模块,用于根据所述威胁程度确定针对所述实时安全日志采取的封禁策略。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器调用所述可执行指令时实现权利要求1-7任一所述方法的操作。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,所述计算机指令被处理器执行时实现权利要求1-7任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310440865.9A CN116389147A (zh) | 2023-04-21 | 2023-04-21 | 一种网络攻击的封禁方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310440865.9A CN116389147A (zh) | 2023-04-21 | 2023-04-21 | 一种网络攻击的封禁方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116389147A true CN116389147A (zh) | 2023-07-04 |
Family
ID=86971056
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310440865.9A Pending CN116389147A (zh) | 2023-04-21 | 2023-04-21 | 一种网络攻击的封禁方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389147A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117527440A (zh) * | 2023-12-22 | 2024-02-06 | 财信证券股份有限公司 | 一种网络攻击的ip自动封禁方法及系统 |
-
2023
- 2023-04-21 CN CN202310440865.9A patent/CN116389147A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117527440A (zh) * | 2023-12-22 | 2024-02-06 | 财信证券股份有限公司 | 一种网络攻击的ip自动封禁方法及系统 |
CN117527440B (zh) * | 2023-12-22 | 2024-05-28 | 财信证券股份有限公司 | 一种网络攻击的ip自动封禁方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11343280B2 (en) | System and method for identifying and controlling polymorphic malware | |
US20200244689A1 (en) | Detection and mitigation of recursive domain name system attacks | |
CA3048906C (en) | Gathering indicators of compromise for security threat detection | |
US10574681B2 (en) | Detection of known and unknown malicious domains | |
US8572740B2 (en) | Method and system for detection of previously unknown malware | |
CN110071941B (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
US20160226901A1 (en) | Anomaly Detection Using Adaptive Behavioral Profiles | |
CN110677380A (zh) | 网络威胁指示符提取和响应 | |
JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
CN108243189B (zh) | 一种网络威胁管理方法、装置、计算机设备及存储介质 | |
CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
CN113711559B (zh) | 检测异常的系统和方法 | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
CN116389147A (zh) | 一种网络攻击的封禁方法、装置、电子设备及存储介质 | |
CN112861132A (zh) | 一种协同防护方法和装置 | |
TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
Xi et al. | Quantitative threat situation assessment based on alert verification | |
JP2005175714A (ja) | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム | |
US20240111904A1 (en) | Secure hashing of large data files to verify file identity | |
US20230269256A1 (en) | Agent prevention augmentation based on organizational learning | |
CN117439757A (zh) | 终端风险程序的数据处理方法、装置和服务器 | |
Bhandari et al. | Systematic downloading: Analysis and detection | |
CN117061215A (zh) | 一种基于dns报文解析的dga域名检测方法与系统 | |
CN115622754A (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |