CN116996294A - 一种网络安全防护方法、装置及设备 - Google Patents

一种网络安全防护方法、装置及设备 Download PDF

Info

Publication number
CN116996294A
CN116996294A CN202310965676.3A CN202310965676A CN116996294A CN 116996294 A CN116996294 A CN 116996294A CN 202310965676 A CN202310965676 A CN 202310965676A CN 116996294 A CN116996294 A CN 116996294A
Authority
CN
China
Prior art keywords
source
network
access request
security protection
protection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310965676.3A
Other languages
English (en)
Inventor
艾靖惠
田志涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202310965676.3A priority Critical patent/CN116996294A/zh
Publication of CN116996294A publication Critical patent/CN116996294A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供了一种网络安全防护方法、装置及设备,所述安全防护方法应用于网络应用防火墙中,所述方法包括:获得目标服务器的访问请求;基于所述访问请求确定是否包含目标内容,所述目标内容包括虚拟端口信息,所述虚拟端口为非公开状态;若所述访问请求包含所述目标内容,则基于所述访问请求确定访问方的源IP;将所述源IP加入至黑名单,以阻断所述源IP访问所述目标服务器。本发明的网络安全防护方法能够应用于网络应用防火墙中,使网络应用防火墙能够有效识别出攻击方的探测行为,实现预防攻击。

Description

一种网络安全防护方法、装置及设备
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种安全防护方法、装置及设备。
背景技术
目前网络环境复杂的互联网中存在各种风险以及网络攻击,其中不乏针对Web应用的攻击,为了抵御这类网络攻击诞生了Web应用防火墙(又称WAF),可针对用户的Web服务器做不同部署的防护,能够提供OWASP Top10以及各种已知漏洞的防护和DDOS攻击等网络攻击的防护。
但Web应用防火墙无法针对可能到来的探测流量进行检测防护,预知拦截,仅能够针对访问Web服务器的流量进行检测防御,将流量和已知规则库进行特征匹配防护,无法做到预知拦截。
为解决上述问题,现有方案是应用防火墙对web服务器进行针对性的IP防护,针对来访的http/https流量进行分析,与规则库进行匹配检测请求头、请求体是否包含攻击特征,从而进行攻击拦截,产生响应日志上报态势感知。当网络中存在扫描行为时,WAF针对访问的服务器的扫描进行规则库的特征匹配和扫描行为的特征检测;
但是当攻击者在发起攻击前的探测阶段,因设备仅针对已知web服务器进行防护,当攻击者发送正常请求进行探测时WAF无法做到检测,故无法确认访问者身份,导致攻击者判断该IP可访问或能够作为被攻击对象,便于进行后续的攻击。所以,目前的方案无法做到在探测阶段就阻断攻击源头。
发明内容
本发明提供了一种应用于网络应用防火墙中,能够有效识别出攻击方的探测行为,实现预防攻击的网络安全防护方法、装置及设备。
为了解决上述技术问题,本发明实施例提供了一种网络安全防护方法,应用于网络应用防火墙设备中,所述方法包括:
获得目标服务器的访问请求;
基于所述访问请求确定是否包含目标内容,所述目标内容包括虚拟端口信息,所述虚拟端口为非公开状态;
若所述访问请求包含所述目标内容,则基于所述访问请求确定访问方的源IP;
将所述源IP加入至黑名单,以阻断所述源IP访问所述目标服务器。
在一些实施例中,所述方法还包括:
将所述网络应用防火墙设备以反向代理模式接入网络中,并将所述网络应用防火墙设备的地址映射为所述目标服务器的地址。
在一些实施例中,所述方法还包括:
在所述目标服务器上设置至少一个虚拟端口;或
在所述网络应用防火墙设备上设置至少一个虚拟端口。
在一些实施例中,所述方法还包括:
对所述源IP基于预存的白名单进行识别,并基于识别结果确定是否放行所述源IP;或
将所述源IP发送至审阅方进行审阅,并基于审阅结果确定是否放行所述源IP,以及是否将所述源IP加入白名单或黑名单。
在一些实施例中,所述方法还包括:
在将所述源IP记录在所述黑名单后开始计时,在超出第一预设时长后释放所述源IP,并对所述源IP进行标记;
将所述源IP与所述网络应用防火墙中的安全策略进行联动,以使所述网络应用防火墙对所述源IP的访问数据进行监测。
在一些实施例中,所述方法还包括:
对所述源IP的监测时长进行计时,若在第二预设时长内所述源IP无攻击行为,则解除对所述源IP的监测。
在一些实施例中,所述方法还包括:
将所述源IP上报至其他联动设备,所述联动设备包括所述网络应用防火墙设备所处网络内的其他设备。
在一些实施例中,所述方法还包括:
若所述访问请求未包含所述目标内容,则对所述访问请求放行,允许访问所述目标服务器。
本发明另一实施例同时提供一种网络安全防护装置,应用于网络应用防火墙中,所述装置包括:
获得模块,用于获得目标服务器的访问请求;
第一确定模块,用于根据所述访问请求确定是否包含目标内容,所述目标内容包括虚拟端口信息,所述虚拟端口为非公开状态;
第二确定模块,用于在所述访问请求包含所述目标内容时,则基于所述访问请求确定访问方的源IP;
阻断模块,用于将所述源IP加入至黑名单,以阻断所述源IP访问所述目标服务器。
本发明另一实施例还提供一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行以实现如上文中任一项实施例所述网络安全防护方法。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括在网络应用防火墙原有的防护基础上进行了防护优化,利用攻击方的探测行为特点构建虚拟端口,使通过对流量进行识别,确定是否有虚拟端口信息而确定该流量是否为攻击方的探测流量,进而识别出攻击方的探测行为,防止扫描方式或探测等方式成功探测服务器的行为,从而预防后续攻击方的网络攻击,该种基于诱捕行为的防护能够提高网络应用防火墙的防护效率,有效减少服务器受到的攻击。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本申请,并不构成对本发明的限制。在附图中:
图1为本发明实施例中的网络安全防护方法的流程图。
图2为本发明实施例中的网络安全防护方法的网络连接关系图。
图3为本发明实施例中的网络安全防护方法的应用流程图。
图4为本发明实施例中的网络安全防护装置的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
如图1所示,本发明实施例提供一种网络安全防护方法,应用于网络应用防火墙设备中,所述方法包括:
S1:获得目标服务器的访问请求;
S2:基于所述访问请求确定是否包含目标内容,所述目标内容包括虚拟端口信息,所述虚拟端口为非公开状态;
S3:若所述访问请求包含所述目标内容,则基于所述访问请求确定访问方的源IP;
S4:将所述源IP加入至黑名单,以阻断所述源IP访问所述目标服务器。
所述方法还包括:
S5:若所述访问请求未包含所述目标内容,则对所述访问请求放行,允许访问所述目标服务器。
例如,本实施例中方法的执行主体为网络应用防火墙所在设备,该设备也可认为是网络应用防火墙。网络应用防火墙设备与目标服务器建立某种关系,使得设备能够获得目标服务器的访问请求,在获得了目标服务器的访问请求后,设备则对该访问请求进行检测识别,确定其是否包含目标内容。该目标内容包括开设的虚拟端口信息。本实施例中通过开设非公开状态的虚拟端口而形成诱捕手段,使得攻击方在扫描探测设备或目标服务器的端口后,能够获得该虚拟端口信息,并在进一步探测端口能否成功访问时于访问请求中添加了虚拟端口信息,网络应用防火墙设备通过对请求中虚拟端口的信息进行识别而确定该请求发送方是否为攻击方。因为正常用户访问目标服务器时,是不会有探测行为的,而由于虚拟端口为“假端口”,并处于保密状态,故正常用户也不知道该端口的存在,通常只有攻击方才会进行端口扫描,并对端口进行试探。因此,本实施例中通过设置虚拟端口形成诱捕手段,能够快速准确地识别出攻击方的探测行为,使在攻击方进行攻击前就识别出攻击方身份,阻断后续攻击。当网络应用防火墙设备识别出攻击方后,便会将其源IP添加至黑名单中,以拒绝该源IP的所有访问。
基于上述实施例的公开可知,本实施例的有益效果包括在网络应用防火墙原有的防护基础上进行了防护优化,利用攻击方的探测行为特点构建虚拟端口,使通过对流量进行识别,确定是否有虚拟端口信息而判断该流量是否为攻击方的探测流量,进而识别出攻击方的探测行为,防止扫描方式或探测等方式成功探测服务器,有效预防后续攻击方的网络攻击,该种基于诱捕行为的防护能够提高网络应用防火墙的防护效率,有效减少服务器受到的攻击。
进一步地,本实施例中的方法还包括:
S6:将所述网络应用防火墙以反向代理模式接入网络中,并将所述网络应用防火墙的地址映射为所述目标服务器的地址。
也即,如图2所示,本实施例中是通过将网络应用防火墙设备以反向代理模式接入网络中,并将代理后的设备地址映射为目标服务器的地址,使得访问请求均被设备接收,之后再转向目标服务器。也即此时公网设备通过域名访问的web服务IP实际为网络应用防火墙(WAF)代理设备的IP,网络应用防火墙设备通过上述方式获得目标服务器的访问请求。
在一些实施例中,所述方法还包括:
S7:在所述目标服务器上设置至少一个虚拟端口;或
在所述网络应用防火墙设备上设置至少一个虚拟端口。
例如,目标服务器为Web服务器,代理设备通过在自身设备上开启多个端口或IP+端口的方式模拟开启服务,并应用到网络应用防火墙(WEB应用防火墙),或者在目标服务器上设置多个端口或IP+端口,访问请求可以发送到目标服务器,因为当前的请求是无攻击行为的,仅为探测。当攻击方在探测阶段利用访问请求进行设备或目标服务器的端口扫描或web扫描时,会扫描到真实Web服务器的IP+端口,但也同时扫描到设备或服务器开启的虚拟服务IP+端口,该虚拟端口的IP可以与真实服务器的IP相同,但虚拟端口与真实web服务器的端口不同。端口设置方式不唯一,例如可以采用不同的IP+端口设置方式,具体可根据实际环境需求进行配置调整。
由于虚拟开启的web服务,即虚拟端口不对外公开,正常用户不会受到影响,仍然可正常访问web服务器。但攻击者会在端口探测阶段对每个端口均发送访问请求,故其行为会访问到虚拟服务器,当网络应用防火墙(设备)检测到访问请求中包含了虚拟端口信息时,则可直接将访问方暂定为攻击者,也就是所有访问到虚拟服务IP或端口的行为均认为是攻击者实施的攻击行为。
但是由于在进行服务器检测阶段,也会有正常的端口探测、扫描行为,故为了识别出该类检测设备,避免影响检测行为,本实施例中的方法还包括:
S8:对所述源IP基于预存的白名单进行识别,并基于识别结果确定是否放行所述源IP;或
将所述源IP发送至审阅方进行审阅,并基于审阅结果确定是否放行所述源IP,以及是否将所述源IP加入白名单或黑名单。
例如,如图3所示,预先将可信IP加入至白名单中,并存储至网络应用防火墙中,使网络应用防火墙对白名单中的IP放行,允许其进行正常探测,同时可令网络应用防火墙对白名单中IP的访问行为进行日志记录,或者可以选择是否进行日志记录。当网络应用防火墙设备获得了访问了虚拟端口的源IP后,可将其与白名单中记录的IP进行比对,进而确定该源IP是否为可放行的IP,若是,则放行,若不是,则将其加入黑名单中。或者,在获得源IP后,将源IP发送至审核方,如显示给用户,由用户确定是否放行该IP,若是,则自动将其加入至白名单中,若不是,则直接加入黑名单中,并记录对应的访问日志。
进一步地,在保证网络安全防护的同时,为了减少网络应用防火墙不必要的检测负担,同时释放存储空间,本实施例中的方法还包括:
S9:在将所述源IP记录在所述黑名单后开始计时,在超出第一预设时长后释放所述源IP,并对所述源IP进行标记;
S10:将所述源IP与所述网络应用防火墙中的安全策略进行联动,以使所述网络应用防火墙对所述源IP的访问数据进行监测。
例如继续结合图3所示,在源IP加入黑名单后可直接标记为异常,也可在计时超出第一预设时长,如5分钟后,欲释放源IP时再对其进行标记。与此同时,网络应用防火墙设备将标记的信息与WAF策略进行联动,以将识别到的源IP提供给WAF策略,使网络应用防火墙后续基于其防护策略而将所有该源IP流量均打上异常标签进行检测,以通过WAF引擎检测带有异常标签的流量判断是否具有攻击,若存在攻击则进行拦截封堵。
而若该源IP在一定时间内始终未实施攻击行为,其访问流量均为正常流量,那么此时网络应用防火墙则可不再对该源IP进行监测,例如:
S11:对所述源IP的监测时长进行计时,若在第二预设时长内所述源IP无攻击行为,则解除对所述源IP的监测。
在解除对源IP监测时,可通过去除WAF策略中关于该源IP的信息实现。
在一可选实施例中,所述方法还包括:
S12:将所述源IP上报至其他联动设备,所述联动设备包括网络应用防火墙设备所处网络内的其他设备。
例如,由于公网内可能存在多个服务设备,故当某一服务设备,如某个服务器或网络应用防火墙设备发现了某攻击者的源IP后,可以进行共享,如将源IP信息上报至网络内的其他设备,包括目标服务器等,以实现对攻击者的整体网络环境的封堵。或者是将该源IP与自身设备中其他安全防护器件进行联动,如自身设备的防火墙、安全态势感知等。
为了更好地描述上述实施例的方法,以下结合附图3进行整体流程的描述:
当访问流量进入网络应用防火墙设备时首先判断是否命中诱捕策略,即访问请求中是否包含虚拟端口信息,如果未命中则正常进去其他处理流程,如果命中则进入诱捕策略处理。进入策略后先确定访问请求的源IP,判断其是否位于白名单中,若位于白名单中则放行并记录相关日志,没有位于白名单中则加入黑名单中,并标记为异常,源IP在黑名单中默认记录5分钟,超出后退出黑名单。进入黑名单后,诱捕策略与WAF进行联动,WAF会持续监测带有异常标签的流量,如果存在攻击行为则直接拦截,无攻击行为则持续监测一段时间(默认一周),该时间内无异常则移除监测组。
也即,本实施例中的网络安全防护方法通过优化WAF现有的防护策略,对原有的防护逻辑进行新增,当某一扫描行为触发到诱捕策略,则进行黑、白名单判断,若判断为白名单则放行,若判断为黑名单则确定为异常流量,并快速对异常流量进行封堵。本实施例中的诱捕策略仅针对异常的扫描探测行为,故不会对正常的用户访问造成影响。
如图4所示,本发明另一实施例同时提供一种网络安全防护装置100,应用于网络应用防火墙设备中,所述装置包括:
获得模块,用于获得目标服务器的访问请求;
第一确定模块,用于根据所述访问请求确定是否包含目标内容,所述目标内容包括虚拟端口信息,所述虚拟端口为非公开状态;
第二确定模块,用于在所述访问请求包含所述目标内容时,则基于所述访问请求确定访问方的源IP;
阻断模块,用于将所述源IP加入至黑名单,以阻断所述源IP访问所述目标服务器。
在一些实施例中,所述装置还包括:
接入模块,用于将所述网络应用防火墙设备以反向代理模式接入网络中,并将所述网络应用防火墙设备的地址映射为所述目标服务器的地址。
在一些实施例中,所述装置还包括:
设置模块,用于在所述目标服务器上设置至少一个虚拟端口;或
在所述网络应用防火墙上设置至少一个虚拟端口。
在一些实施例中,所述装置还包括:
识别模块,用于对所述源IP基于预存的白名单进行识别,并基于识别结果确定是否放行所述源IP;或
将所述源IP发送至审阅方进行审阅,并基于审阅结果确定是否放行所述源IP,以及是否将所述源IP加入白名单或黑名单。
在一些实施例中,所述装置还包括:
第一计时模块,用于在将所述源IP记录在所述黑名单后开始计时,在超出第一预设时长后释放所述源IP,并对所述源IP进行标记;
联动模块,用于将所述源IP与所述网络应用防火墙中的安全策略进行联动,以使所述网络应用防火墙对所述源IP的访问数据进行监测。
在一些实施例中,所述装置还包括:
第二计时模块,用于对所述源IP的监测时长进行计时,若在第二预设时长内所述源IP无攻击行为,则解除对所述源IP的监测。
在一些实施例中,所述装置还包括:
上报模块,用于将所述源IP上报至其他联动设备,所述联动设备包括所处网络内的其他网络设备。
在一些实施例中,所述装置还包括:
放行模块,用于在所述访问请求未包含所述目标内容时,对所述访问请求放行,允许访问所述目标服务器。
本发明另一实施例还提供一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行以实现如上述任一项实施例所述的网络安全防护方法。
进一步地,本发明一实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的网络安全防护方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
进一步地,本发明实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的网络安全防护方法。
另外,本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (10)

1.一种网络安全防护方法,应用于网络应用防火墙设备中,其特征在于,所述方法包括:
获得目标服务器的访问请求;
基于所述访问请求确定是否包含目标内容,所述目标内容包括虚拟端口信息,所述虚拟端口为非公开状态;
若所述访问请求包含所述目标内容,则基于所述访问请求确定访问方的源IP;
将所述源IP加入至黑名单,以阻断所述源IP访问所述目标服务器。
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述方法还包括:
将所述网络应用防火墙设备以反向代理模式接入网络中,并将所述网络应用防火墙设备的地址映射为所述目标服务器的地址。
3.根据权利要求2所述的网络安全防护方法,其特征在于,所述方法还包括:
在所述目标服务器上设置至少一个虚拟端口;或
在所述网络应用防火墙设备上设置至少一个虚拟端口。
4.根据权利要求1所述的网络安全防护方法,其特征在于,所述方法还包括:
对所述源IP基于预存的白名单进行识别,并基于识别结果确定是否放行所述源IP;或
将所述源IP发送至审阅方进行审阅,并基于审阅结果确定是否放行所述源IP,以及是否将所述源IP加入白名单或黑名单。
5.根据权利要求1所述的网络安全防护方法,其特征在于,所述方法还包括:
在将所述源IP记录在所述黑名单后开始计时,在超出第一预设时长后释放所述源IP,并对所述源IP进行标记;
将所述源IP与所述网络应用防火墙中的安全策略进行联动,以使所述网络应用防火墙对所述源IP的访问数据进行监测。
6.根据权利要求5所述的网络安全防护方法,其特征在于,所述方法还包括:
对所述源IP的监测时长进行计时,若在第二预设时长内所述源IP无攻击行为,则解除对所述源IP的监测。
7.根据权利要求1所述的网络安全防护方法,其特征在于,所述方法还包括:
将所述源IP上报至其他联动设备,所述联动设备包括所述网络应用防火墙设备所处网络内的其他设备。
8.根据权利要求1所述的网络安全防护方法,其特征在于,所述方法还包括:
若所述访问请求未包含所述目标内容,则对所述访问请求放行,允许访问所述目标服务器。
9.一种网络安全防护装置,应用于网络应用防火墙中,其特征在于,所述装置包括:
获得模块,用于获得目标服务器的访问请求;
第一确定模块,用于根据所述访问请求确定是否包含目标内容,所述目标内容包括虚拟端口信息,所述虚拟端口为非公开状态;
第二确定模块,用于在所述访问请求包含所述目标内容时,则基于所述访问请求确定访问方的源IP;
阻断模块,用于将所述源IP加入至黑名单,以阻断所述源IP访问所述目标服务器。
10.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行以实现如权利要求1-8任一项所述网络安全防护方法。
CN202310965676.3A 2023-08-02 2023-08-02 一种网络安全防护方法、装置及设备 Pending CN116996294A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310965676.3A CN116996294A (zh) 2023-08-02 2023-08-02 一种网络安全防护方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310965676.3A CN116996294A (zh) 2023-08-02 2023-08-02 一种网络安全防护方法、装置及设备

Publications (1)

Publication Number Publication Date
CN116996294A true CN116996294A (zh) 2023-11-03

Family

ID=88533428

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310965676.3A Pending CN116996294A (zh) 2023-08-02 2023-08-02 一种网络安全防护方法、装置及设备

Country Status (1)

Country Link
CN (1) CN116996294A (zh)

Similar Documents

Publication Publication Date Title
CN107888607B (zh) 一种网络威胁检测方法、装置及网络管理设备
US8533821B2 (en) Detecting and defending against man-in-the-middle attacks
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US20110072516A1 (en) Prevention of distributed denial of service attacks
CN113422779B (zh) 一种基于集中管控的积极的安全防御的系统
Goutam The problem of attribution in cyber security
Toosarvandani et al. The risk assessment and treatment approach in order to provide LAN security based on ISMS standard
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
Visoottiviseth et al. PITI: Protecting Internet of Things via Intrusion Detection System on Raspberry Pi
US20160149933A1 (en) Collaborative network security
Gromov et al. Tackling Multiple Security Threats in an IoT Environment
US20220103582A1 (en) System and method for cybersecurity
Paliwal Honeypot: A trap for attackers
CN109274638A (zh) 一种攻击源接入自动识别处理的方法和路由器
CN111147491B (zh) 一种漏洞修复方法、装置、设备及存储介质
CN116996294A (zh) 一种网络安全防护方法、装置及设备
CN114244801A (zh) 一种基于政企网关的防arp欺骗方法及系统
WO2021181391A1 (en) System and method for finding, tracking, and capturing a cyber-attacker
CN111683063A (zh) 消息处理方法、系统、装置、存储介质及处理器
CN115225297B (zh) 一种阻断网络入侵的方法及装置
CN118075035B (zh) 一种基于主动防御的网络摄像头蜜点生成方法与装置
Zhai et al. Research on applications of honeypot in Campus Network security
CN112637217B (zh) 基于诱饵生成的云计算系统的主动防御方法及装置
CN113660291B (zh) 智慧大屏显示信息恶意篡改防护方法及装置
CN115208596B (zh) 网络入侵防御方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination