CN117118753A - 网络攻击的防护方法、装置、设备及存储介质 - Google Patents
网络攻击的防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117118753A CN117118753A CN202311373026.6A CN202311373026A CN117118753A CN 117118753 A CN117118753 A CN 117118753A CN 202311373026 A CN202311373026 A CN 202311373026A CN 117118753 A CN117118753 A CN 117118753A
- Authority
- CN
- China
- Prior art keywords
- attack
- host
- service system
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000006399 behavior Effects 0.000 claims abstract description 136
- 238000001514 detection method Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims description 27
- 238000012544 monitoring process Methods 0.000 claims description 11
- 230000009471 action Effects 0.000 claims description 10
- 238000012216 screening Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims 1
- 230000002265 prevention Effects 0.000 claims 1
- 238000004891 communication Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击的防护方法、装置、设备及存储介质,涉及网络安全技术领域,该方法包括:获取本地业务系统的访问日志;基于访问日志对访问业务系统的来访主机进行攻击行为检测,判断来访主机是否存在攻击行为;若存在攻击行为,则识别来访主机中的攻击主机,并获取攻击主机的IP地址;基于IP地址对攻击行为进行拦截。在本申请中,对本地业务系统访问日志中记载的访问记录进行攻击行为检测,确定来访主机中存在攻击行为的攻击主机,并根据攻击主机的IP地址对攻击行为进行拦截,而不是拦截访问账号,因此,在正常用户使用某一个账号连续访问失败次数达到一定次数后,可以换一台设备使用该账号正常访问,提高了网络防护的灵活性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络攻击的防护方法、装置、设备及存储介质。
背景技术
随着远程登录和数据管理技术的广泛应用,为用户提供了便捷的远程访问服务,但随之网络安全的问题也愈发严重。
目前,网络安全的漏洞与风险主要为恶意用户利用暴力破解、字典攻击等多种手段,获取正常用户的账户凭据,并对远程登录服务和数据库等进行未经授权的访问,导致数据库信息的曝光、数据加密、系统文件损坏等危险。目前常用的解决方式为通过设定登陆失败次数锁定业务系统账号。但是,很多情况下,业务系统都没开启账号锁定功能(有些业务不具备这个功能、有些业务系统默认不开启、有些开启很麻烦),而且利用锁定业务系统账号会导致恶意登陆产生锁定账户行为时,正常用户也无法使用相同的账号进行登陆,导致网络防护的灵活性低下。
发明内容
本申请的主要目的在于提供一种网络攻击的防护方法、装置、设备及存储介质,旨在解决现有技术中业务主机无法对产生网络攻击行为的来访主机精确拦截,导致网络防护的灵活性低下的技术问题。
为实现上述目的,本申请提供一种网络攻击的防护方法,所述网络攻击的防护方法,包括:
获取本地业务系统的访问日志;
基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为;
若存在所述攻击行为,则识别来访主机中的攻击主机,并获取所述攻击主机的IP地址;
基于所述IP地址对所述攻击行为进行拦截。
可选地,所述若存在所述攻击行为,则识别来访主机中的攻击主机,并获取所述攻击主机的IP地址的步骤,包括:
若存在所述攻击行为,则识别来访主机中的攻击主机,并判断所述访问日志中是否存在所述攻击主机的IP地址;
若所述访问日志中不存在所述IP地址,则枚举所述业务系统的网络连接;
从所述网络连接中筛选所述攻击主机访问所述业务系统所用端口的目标网络连接;
基于所述目标网络连接获取所述攻击主机的IP地址。
可选地,所述基于所述目标网络连接获取所述攻击主机的IP地址的步骤之后,还包括:
分析所述攻击行为发生的时间点;
若所述时间点在当前时刻的预设检测时间范围内,则确定所述攻击行为是正在实施攻击的有效攻击行为;
若所述时间点不在当前时刻的预设检测时间范围内,则确定所述攻击行为是历史攻击行为;
对所述历史攻击行为进行告警;
所述基于所述IP地址对所述攻击行为进行拦截的步骤,包括:
基于所述IP地址对所述有效攻击行为进行拦截。
可选地,所述基于所述IP地址对所述有效攻击行为进行拦截的步骤之前,还包括:
从预设拦截白名单中获取安全网络地址;
从所述有效攻击行为的IP地址中除去所述安全网络地址,确定需要拦截的IP地址。
可选地,所述基于所述IP地址对所述有效攻击行为进行拦截的步骤之后,还包括:
统计在预设时长内拦截所述攻击行为的总数量;
若所述总数量满足暂停业务的预设数量门限,则对登录所述业务系统的所有访问行为进行拦截。
可选地,所述若所述总数量满足暂停业务的预设数量门限,则对登录所述业务系统的所有访问行为进行拦截的步骤之后,还包括:
若在预设持续时间段内检测不到攻击行为,则恢复访问所述业务系统的访问行为,继续进行攻击行为检测。
可选地,所述获取本地业务系统的访问日志的步骤之前,还包括:
枚举本地业务系统的业务监听端口,基于所述业务监听端口获取所述业务系统的进程标识;
基于所述进程标识获得所述业务系统的进程名称与业务类型;
基于所述进程名称与所述业务类型获取所述业务系统的访问日志。
可选地,所述基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为的步骤,包括:
从所述访问日志中读取访问所述业务系统的登录信息;
基于所述登录信息统计访问所述业务系统的来访主机访问所述业务系统的连续失败次数;
若在预设事件周期内所述连续失败次数超出预设安全失败次数,则判定所述来访主机存在攻击行为。
此外,为实现上述目的,本申请还提供一种网络攻击的防护装置,网络攻击的防护装置包括:
获取模块,用于获取本地业务系统的访问日志;
检测模块,用于基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为;
判定模块,用于若存在所述攻击行为,则识别所述来访主机为攻击主机,并获取所述攻击主机的IP地址;
拦截模块,用于基于所述IP地址对所述攻击行为进行拦截。
此外,为实现上述目的,本申请还提出一种网络攻击的防护设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击的防护程序,所述网络攻击的防护程序配置为实现如上文所述的网络攻击的防护方法的步骤。
此外,为实现上述目的,本申请还提出一种存储介质,所述存储介质上存储有网络攻击的防护程序,所述网络攻击的防护程序被处理器执行时实现如上文所述的网络攻击的防护方法的步骤。
本申请提供一种网络攻击的防护方法、装置、设备及存储介质,与现有技术中业务主机无法对产生网络攻击行为的来访主机精确拦截,导致网络防护的灵活性低下的问题相比,在本申请中,获取本地业务系统的访问日志;基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为;若存在所述攻击行为,则识别来访主机中的攻击主机,并获取所述攻击主机的IP地址;基于所述IP地址对所述攻击行为进行拦截。即在本申请中,先调取本地业务系统的访问日志,再对访问日志中主机的攻击行为进行检测,在检测到存在攻击行为时,确定来访主机中的攻击主机,并获取攻击主机的IP地址,以根据IP地址对攻击主机的攻击行为进行拦截,而不是对访问账号进行拦截,因此,在正常用户使用某一个账号连续访问失败次数达到一定次数后,可以换一台设备使用该账号正常访问,提高了网络防护的灵活性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例方案涉及的硬件运行环境的设备机构示意图;
图2为本申请网络攻击的防护方法第一实施例的流程示意图;
图3为本申请网络攻击的防护方法中外接服务端的拓扑示意图;
图4为本申请网络攻击的防护方法第二实施例的流程示意图;
图5为本申请网络攻击的防护方法第三实施例的流程示意图;
图6为本申请网络攻击的防护装置的结构配置示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,图1为本申请实施例方案涉及的硬件运行环境的网络攻击的防护设备结构示意图。
如图1所示,该网络攻击的防护设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对网络攻击的防护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及网络攻击的防护程序。
在图1所示的网络攻击的防护设备中,网络接口1004主要用于与其他设备进行数据通信;用户接口1003主要用于与用户进行数据交互;本申请网络攻击的防护设备中的处理器1001、存储器1005可以设置在网络攻击的防护设备中,所述网络攻击的防护设备通过处理器1001调用存储器1005中存储的网络攻击的防护程序,并执行本申请实施例提供的网络攻击的防护方法。
本申请实施例提供了一种网络攻击的防护方法,参照图2,图2为本申请一种网络攻击的防护方法第一实施例的流程示意图。
需要说明的是,本实施例的执行主体可以是所述网络攻击的防护设备,所述网络攻击的防护设备可以是个人电脑、智能手机、平板电脑等电子设备,还可以是其他可实现相同或相似功能的其他设备,本实施例对此不加以限制,在本实施例及下述各实施例中,以网络攻击的防护设备为例对本申请网络攻击的防护方法进行说明。
在本实施例中,所述网络攻击的防护方法包括:
步骤S10,获取本地业务系统的访问日志。
需要说明的是,根据本地业务系统的配置,获取业务系统的访问日志,其中,访问日志具体可以是来访主机登录业务系统的记录日志,访问日志包括历史登录日志与实时写入的日志。
需要说明的是,由于不同业务系统的访问日志格式可能不同,所以可能需要在获取访问日志时,对访问日志做特殊处理,以方便完整且快速地获取到访问日志。
例如,一些访问日志的格式为不对外公开的特有格式,为了可以获得该类格式的访问日志,可以利用日志API(Application Programming Interface,应用编程接口)读取该类访问日志,由于日志API可以不关心日志的存储格式,所以可以简单且方便的读取到特有格式的访问日志。
在具体实现中,获取访问日志之前先区分访问日志的格式,根据访问日志的格式,确定对未获取到的访问日志进行对应的处理,或根据不同的格式,确定不同获取访问日志的方式,在确定获取访问日志的方式后,根据该确定的方式,快捷完整的获取业务系统的访问日志,以便后续通过访问日志判断来访主机是否存攻击行为。
步骤S20,基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为。
需要说明的是,由于访问日志中记录有各来访主机的登录信息数据,可以通过检测该信息数据判断来访主机是否存在攻击行为,且访问日志中还记录有各来访主机的身份信息,所以利用访问日志可以精准识别来访主机是否存在攻击行为,并可以及时根据来访主机的身份信息,对该来访主机的攻击行为进行拦截。
需要说明的是,根据访问日志判断来访主机是否存在攻击行为的步骤还可以通过将来访日志上传服务器分析判断,参考图3,客户端获取访问日志后将访问日志上传至服务端,通过服务端对访问日志进行分析,识别来访主机是否存在攻击行为,并根据不同分析结果向客户端下发不同的规则,以使客户端及时应对,也即,通过将来访日志上传服务端可以减少客户端处理数据占用的系统资源,使客户端有足够的资源处理业务系统数据。
在具体实现中,从访问日志中读取业务系统的来访主机的登录信息数据以及来访主机的身份信息数据,通过对获取到的数据进行分析,若登录信息数据中的来访主机登录访问失败次数低于预设范围,则认为来访主机不存在攻击行为;若来访主机登录访问失败数据超出预设范围,则判断来访主机存在攻击行为。
进一步地,所述基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为的步骤,可以包括:
步骤S21,从所述访问日志中读取访问所述业务系统的登录信息;
步骤S22,基于所述登录信息统计访问所述业务系统的来访主机访问所述业务系统的连续失败次数;
步骤S23,若在预设事件周期内所述连续失败次数超出预设安全失败次数,则判定所述来访主机存在攻击行为。
在具体实现中,先对访问日志进行解析,以提取出后续分析攻击行为所必需的信息,例如,来访主机的主机名(或者网络名)、当前操作系统时间、攻击发生的时间。然后根据攻击发生的时间,统计一段时间周期内发生攻击的次数,也即,访问业务系统的连续失败次数,如果次数大于预设安全失败次数,那么就认为业务系统被攻击。
例如,统计的时间周期是5分钟,预设安全失败次数是10次。从2023年8月1日0点0分0秒到2023年8月1日0点5分0秒,出现了9次登录失败,没有超过预设安全失败次数,那么认为是安全的;从2023年8月1日0点5分0秒到2023年8月1日0点10分0秒,出现了25次登录失败,那么可以认为存在疑似攻击行为(可能是多个IP同时登录失败,比方说有25台机器同时登录,每一台都登录失败了一次,单个IP没有超过设定的预设安全失败次数10次,不算攻击行为,当同一个IP登录失败次数超过预设安全失败次数时才算攻击行为),接着对攻击主机进行统计,再判断是否有攻击行为。比如前面25次的登录失败有10次是主机A(IP地址是202.118.2.2)发起的,11次主机B(只有主机名,拿不到IP地址)发起的,4次是主机C(IP地址是202.118.2.100)发起的,那么将超过了预设安全失败次数的主机A和主机B判定存在攻击行为。
步骤S30,若存在所述攻击行为,则识别来访主机中的攻击主机,并获取所述攻击主机的IP地址。
需要说明的是,为了可以及时对存在攻击行为的来访主机精准拦截,需要从访问日志中检测出攻击行为,同时从来访主机中识别出具有攻击行为的攻击主机,并根据访问日志中的身份信息获取攻击主机的IP地址,以根据IP地址针对攻击主机精准拦截攻击行为。
在具体实现中,若存在攻击行为,则从来访主机中识别异常数据不满足预设安全范围攻击主机,从访问日志中获取攻击主机的身份信息,并根据身份信息确定攻击主机的IP地址。
步骤S40,基于所述IP地址对所述攻击行为进行拦截。
需要说明的是,根据IP地址对攻击行为进行拦截,以避免攻击主机继续访问业务系统,也即,对攻击行为进行拦截是对攻击主机进行拦截,并不是对登录业务系统的账号进行拦截,所以若将正常用户的访问误识别为攻击行为后,该用户可以换一台主机再利用该账号正常登录业务系统,避免了误识别后,正常用户受到访问影响,以此灵活识别攻击行为,并减少误识别的情况,因此,提高了网络防护的灵活性。
在具体实现中,根据IP地址对攻击行为进行拦截,具体可以是根据攻击主机访问的业务类型确定攻击端口,并给该端口下发阻止该IP地址主机访问的指令,使攻击主机不能继续访问业务系统。
本实施例提供一种网络攻击的防护方法,与现有技术中会因为正常用户登录失败或登录过程出现错误,将正常用户账号进行拦截,导致网络防护的灵活性低下相比,在本申请中,获取本地业务系统的访问日志;基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为;若存在所述攻击行为,则识别所述来访主机为攻击主机,并获取所述攻击主机的IP地址;基于所述IP地址对所述攻击行为进行拦截。即在本申请中,先调取本地业务系统的访问日志,再对访问日志中主机的攻击行为进行检测,在检测到存在攻击行为时,确定来访主机中的攻击主机,并获取攻击主机的IP地址,以根据IP地址对攻击主机的攻击行为进行拦截,而不是对访问账号进行拦截,因此,在正常用户使用某一个账号连续访问失败次数达到一定次数后,可以换一台设备使用该账号正常访问,提高了网络防护的灵活性。
参考图4,图4为本申请网络攻击的防护方法第二实施例的流程示意图。
基于上述实施例,在本实施例中,由于身份信息可能不包含IP地址,为了在身份信息中不包含IP地址时,仍可以根据身份信息获取到IP地址,所以步骤S30,包括:
步骤S31,若存在所述攻击行为,则识别来访主机中的攻击主机,并判断所述访问日志中是否存在所述攻击主机的IP地址;
步骤S32,若所述访问日志中不存在所述IP地址,则枚举所述业务系统的网络连接;
步骤S33,从所述网络连接中筛选所述攻击主机访问所述业务系统所用端口的目标网络连接;
步骤S34,基于所述目标网络连接获取所述攻击主机的IP地址。
需要说明的是,由于来访主机在访问业务系统时会根据业务系统类型的不同采用不同端口的网络连接,若存在攻击行为,且在访问日志中查询不到攻击主机的IP地址时,可以通过枚举对应业务系统类型的所有网络连接,其中,网络连接的连接信息中包括来访主机的IP地址与所用端口,所以在访问日志中查询不到攻击主机的IP地址时,可以根据攻击主机访问业务系统的网络连接查询攻击主机的IP地址,以精准对攻击主机的攻击行为进行拦截。
在具体实现中,若识别出存在攻击行为,且攻击行为是服务端识别出的,则会接收到服务端根据攻击主机生成的拦截指令,其中,拦截指令中包括业务系统的业务类型,或攻击主机的IP地址,若从访问日志中不能获取攻击主机的IP地址,则拦截指令中不包括IP地址,在访问日志中不存在IP地址,也即,拦截指令中不存在IP地址时,可以枚举业务系统的网络连接,并根据业务类型对应的端口,从网络连接中确定连接攻击主机的目标网络连接,并根据目标网络连接的连接信息获得攻击主机的IP地址。
可选地,由于访问日志中存在历史登录日志,且根据历史登录日志分析出的攻击主机当前可能已经结束了攻击行为,为了节省防护资源,所以在步骤S34之后,还包括:
步骤S4a,分析所述攻击行为发生的时间点;
步骤S4b,若所述时间点在当前时刻的预设检测时间范围内,则确定所述攻击行为是正在实施攻击的有效攻击行为;
步骤S4c,若所述时间点不在当前时刻的预设检测时间范围内,则确定所述攻击行为是历史攻击行为;
步骤S4d,对所述历史攻击行为进行告警。
需要说明的是,由于采用上传访问日志到服务端进行的分析,服务端或客户端可能离线导致上传失败,再次上线会上传离线期间的访问日志,如果日志不在预设检测时间范围内时,分析出来的攻击主机很可能已经退出了对该业务系统的攻击,此时对该行为(历史攻击行为)拦截时会找不到拦截对象,可以对历史攻击行为进行告警,以提醒用户在某个历史时间点可能遭到某个来访主机的网络攻击。
在具体实现中,通过分析攻击行为发生的时间点,确定攻击行为是在当前时刻的预设检测时间范围内的有效攻击行为,还是不在当前时刻的预设检测时间内的历史攻击行为,对历史攻击行为进行告警;对有效攻击行为进行拦截。
具体地,所述步骤S40,包括:
步骤S41,基于所述IP地址对所述有效攻击行为进行拦截。
需要说明的是,根据IP地址对有效攻击行为进行拦截,可以是利用本地的防火墙直接对攻击主机进行拦截,阻止攻击主机继续访问业务系统,以合理分配防火墙的网络资源,对攻击主机进行精准有效的拦截,进而灵活的对攻击行为进行拦截。
可选地,对于完全信任的主机可能会由于用户的错误操作,使该主机被判定为存在攻击行为,为了方便完全信任的主机可以顺利访问业务系统,在步骤S41之前,还包括:
步骤S4e,从预设拦截白名单中获取安全网络地址;
步骤S4f,从所述有效攻击行为的IP地址中除去所述安全网络地址,确定需要拦截的IP地址。
在具体实现中,可以将完全信任的主机的网络地址将添加至预设拦截白名单,其中,网络地址可以是IP地址,还可以是MAC地址等,也即,不对特定IP地址或者MAC地址(可以查询系统ARP映射表,获得IP地址或MAC地址)的主机进行拦截,实现即使做了全网拦截,也可以对特定主机保持开放的状态,保证该主机可以访问服务器,避免影响业务。其中,ARP为Address Resolution Protocol,地址解析协议。
进一步地,所述基于所述IP地址对所述有效攻击行为进行拦截的步骤之后,还包括:
步骤Sa1,统计在预设时长内拦截所述攻击行为的总数量;
步骤Sa2,若所述总数量满足暂停业务的预设数量门限,则对登录所述业务系统的所有访问行为进行拦截。
需要说明的是,由于本地的系统资源是有限的,所以在预设时长内拦截的攻击行为的总数量满足与暂停业务的预设数量门限,则对登陆业务系统的所有访问行为进行拦截。
在具体实现中,如果在预设时长内业务系统A受到多个攻击主机的攻击,也即,拦截攻击行为的总数量已超出预设数量门限,如果逐一对攻击主机进行拦截,会消耗大量的系统资源,为了减少消耗,可以关闭该业务系统的端口,使来访主机无法访问业务系统,即对所有访问行为进行拦截。
例如,当攻击行为的总数量超出预设数量门限(假设是10个)的时候,就拦截所有来访主机对该业务端口的访问,也就是向防火墙添加一个规则(全网拦截业务规则),把所有访问该端口的网络连接都拦截掉,以实现对所有主机的拦截。
进一步地,所述若所述总数量满足暂停业务的预设数量门限,则对登录所述业务系统的所有访问行为进行拦截的步骤之后,还包括:
步骤Sa3,若在预设持续时间段内检测不到攻击行为,则恢复访问所述业务系统的访问行为,继续进行攻击行为检测。
需要说明的是,为了保证业系统不会长时间中断,可以在预设持续时间段后恢复业务系统的端口,使来访主机可以再次访问业务系统,并对来访主机继续进行攻击行为的检测,以避免过度拦截,最大限度的保证客户业务的连续性。
在具体实现中,当持续一段时间(比如1个小时,或者1天)没有检测到对应业务类型被攻击的时候,也即,在分析业务系统的访问日志的时候,在这个持续时间内没有发现攻击行为,尝试把防火墙的全网拦截业务规则删除掉,重新恢复业务系统的对外访问;如果业务系统对外开发之后,又分析到了攻击行为,那么就会逐个对攻击主机拦截,或者全网业务拦截,既能保证业务系统不被攻击主机攻击,又能保证业务系统不会长时间中断,对正产用户造成长时间的影响。
参考图5,图5为本申请网络攻击的防护方法第三实施例的流程示意图。
基于上述实施例,在本实施例中,方便完整且快速地获取到访问日志,步骤S10之前,还包括:
步骤S1,枚举本地业务系统的业务监听端口,基于所述业务监听端口获取所述业务系统的进程标识;
步骤S2,基于所述进程标识获得所述业务系统的进程名称与业务类型;
步骤S3,基于所述进程名称与所述业务类型获取所述业务系统的访问日志。
需要说明的是,通过枚举本地业务系统的业务监听端口,获取业务系统的进程标识,以确定业务系统的名称与业务类型,根据业务类型确定访问日志的存储格式,并根据存储格式确定获取访问日志的获取方式,利用对应的获取方式获取对应存储格式的访问日志,以方便完整且快速地获取到访问日志,提高对网络攻击防护的速率。
在具体实现中,获取到业务监听端口后,可以根据业务监听端口直接从本地调用业务系统的进程标识的进程名称,由于不同的业务系统都有自己的服务进程名称与业务类型,所以可以根据进程名称获得访问业务系统进程的配置文件,根据该配置文件即可获得对应的访问日志路径,并根据业务系统的类型确定访问日志的存储格式,以根据存储格式确定对应的获取方式,最后利用获取方式按照访问日志路径获取访问日志。
本申请还提供一种网络攻击的防护装置,参考图6,网络攻击的防护装置包括:
获取模块601,用于获取本地业务系统的访问日志;
检测模块602,用于基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为;
判定模块603,用于若存在所述攻击行为,则识别来访主机中的攻击主机,并获取所述攻击主机的IP地址;
拦截模块604,用于基于所述IP地址对所述攻击行为进行拦截。
可选地,判定模块603,还用于若存在所述攻击行为,则识别来访主机中的攻击主机,并判断所述访问日志中是否存在所述攻击主机的IP地址;若所述访问日志中不存在所述IP地址,则枚举所述业务系统的网络连接;从所述网络连接中筛选所述攻击主机访问所述业务系统所用端口的目标网络连接;基于所述目标网络连接获取所述攻击主机的IP地址。
可选地,告警模块605,用于分析所述攻击行为发生的时间点;若所述时间点在当前时刻的预设检测时间范围内,则确定所述攻击行为是正在实施攻击的有效攻击行为;若所述时间点不在当前时刻的预设检测时间范围内,则确定所述攻击行为是历史攻击行为;对所述历史攻击行为进行告警;
拦截模块604,还用于基于所述IP地址对所述有效攻击行为进行拦截。
可选地,拦截模块604,还用于从预设拦截白名单中获取安全网络地址;从所述有效攻击行为的IP地址中除去所述安全网络地址,确定需要拦截的IP地址。
可选地,拦截模块604,还用于统计在预设时长内拦截所述攻击行为的总数量;若所述总数量满足暂停业务的预设数量门限,则对登录所述业务系统的所有访问行为进行拦截。
可选地,拦截模块604,还用于若在预设持续时间段内检测不到攻击行为,则恢复访问所述业务系统的访问行为,继续进行攻击行为检测。
可选地,获取模块601,还用于枚举本地业务系统的业务监听端口,基于所述业务监听端口获取所述业务系统的进程标识;基于所述进程标识获得所述业务系统的进程名称与业务类型;基于所述进程名称与所述业务类型获取所述业务系统的访问日志。
可选地,检测模块602,还用于从所述访问日志中读取访问所述业务系统的登录信息;基于所述登录信息统计访问所述业务系统的来访主机访问所述业务系统的连续失败次数;若在预设事件周期内所述连续失败次数超出预设安全失败次数,则判定所述来访主机存在攻击行为。
本申请网络攻击的防护装置的具体实施方式与上述网络攻击的防护方法各实施例基本相同,在此不再赘述。
本申请实施例提供了一种存储介质,且存储介质存储有一个或者一个以上程序,一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述任一项的网络攻击的防护方法的步骤。
本申请存储介质具体实施方式与上述网络攻击的防护方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个等”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效机构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (11)
1.一种网络攻击的防护方法,其特征在于,所述网络攻击的防护方法,包括:
获取本地业务系统的访问日志;
基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为;
若存在所述攻击行为,则识别来访主机中的攻击主机,并获取所述攻击主机的IP地址;
基于所述IP地址对所述攻击行为进行拦截。
2.如权利要求1所述的网络攻击的防护方法,其特征在于,所述若存在所述攻击行为,则识别来访主机中的攻击主机,并获取所述攻击主机的IP地址的步骤,包括:
若存在所述攻击行为,则识别来访主机中的攻击主机,并判断所述访问日志中是否存在所述攻击主机的IP地址;
若所述访问日志中不存在所述IP地址,则枚举所述业务系统的网络连接;
从所述网络连接中筛选所述攻击主机访问所述业务系统所用端口的目标网络连接;
基于所述目标网络连接获取所述攻击主机的IP地址。
3.如权利要求2所述的网络攻击的防护方法,其特征在于,所述基于所述目标网络连接获取所述攻击主机的IP地址的步骤之后,还包括:
分析所述攻击行为发生的时间点;
若所述时间点在当前时刻的预设检测时间范围内,则确定所述攻击行为是正在实施攻击的有效攻击行为;
若所述时间点不在当前时刻的预设检测时间范围内,则确定所述攻击行为是历史攻击行为;
对所述历史攻击行为进行告警;
所述基于所述IP地址对所述攻击行为进行拦截的步骤,包括:
基于所述IP地址对所述有效攻击行为进行拦截。
4.如权利要求3所述的网络攻击的防护方法,其特征在于,所述基于所述IP地址对所述有效攻击行为进行拦截的步骤之前,还包括:
从预设拦截白名单中获取安全网络地址;
从所述有效攻击行为的IP地址中除去所述安全网络地址,确定需要拦截的IP地址。
5.如权利要求3所述的网络攻击的防护方法,其特征在于,所述基于所述IP地址对所述有效攻击行为进行拦截的步骤之后,还包括:
统计在预设时长内拦截所述攻击行为的总数量;
若所述总数量满足暂停业务的预设数量门限,则对登录所述业务系统的所有访问行为进行拦截。
6.如权利要求5所述的网络攻击的防护方法,其特征在于,所述若所述总数量满足暂停业务的预设数量门限,则对登录所述业务系统的所有访问行为进行拦截的步骤之后,还包括:
若在预设持续时间段内检测不到攻击行为,则恢复访问所述业务系统的访问行为,继续进行攻击行为检测。
7.如权利要求1-6任一项所述的网络攻击的防护方法,其特征在于,所述获取本地业务系统的访问日志的步骤之前,还包括:
枚举本地业务系统的业务监听端口,基于所述业务监听端口获取所述业务系统的进程标识;
基于所述进程标识获得所述业务系统的进程名称与业务类型;
基于所述进程名称与所述业务类型获取所述业务系统的访问日志。
8.如权利要求1所述的网络攻击的防护方法,其特征在于,所述基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为的步骤,包括:
从所述访问日志中读取访问所述业务系统的登录信息;
基于所述登录信息统计访问所述业务系统的来访主机访问所述业务系统的连续失败次数;
若在预设事件周期内所述连续失败次数超出预设安全失败次数,则判定所述来访主机存在攻击行为。
9.一种网络攻击的防护装置,其特征在于,所述网络攻击的防护装置包括:
获取模块,用于获取本地业务系统的访问日志;
检测模块,用于基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测,判断所述来访主机是否存在攻击行为;
判定模块,用于若存在所述攻击行为,则识别所述来访主机为攻击主机,并获取所述攻击主机的IP地址;
拦截模块,用于基于所述IP地址对所述攻击行为进行拦截。
10.一种网络攻击的防护设备,其特征在于,所述网络攻击的防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击的防护程序,所述网络攻击的防护程序配置为实现如权利要求1至8中任一项所述的网络攻击的防护方法的步骤。
11.一种存储介质,其特征在于,存储介质上存储有实现网络攻击的防护方法的程序,实现网络攻击的防护方法的程序被处理器执行以实现如权利要求1至8中任一项所述网络攻击的防护方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311373026.6A CN117118753A (zh) | 2023-10-23 | 2023-10-23 | 网络攻击的防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311373026.6A CN117118753A (zh) | 2023-10-23 | 2023-10-23 | 网络攻击的防护方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117118753A true CN117118753A (zh) | 2023-11-24 |
Family
ID=88811321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311373026.6A Pending CN117118753A (zh) | 2023-10-23 | 2023-10-23 | 网络攻击的防护方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117118753A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150106930A1 (en) * | 2013-10-11 | 2015-04-16 | Fujitsu Limited | Log analysis device and method |
CN104901975A (zh) * | 2015-06-30 | 2015-09-09 | 北京奇虎科技有限公司 | 网站日志安全分析方法、装置及网关 |
US20160248788A1 (en) * | 2015-02-19 | 2016-08-25 | Fujitsu Limited | Monitoring apparatus and method |
CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
CN111464502A (zh) * | 2020-03-10 | 2020-07-28 | 湖南文理学院 | 一种基于大数据平台的网络安全防护方法及系统 |
CN112153052A (zh) * | 2020-09-25 | 2020-12-29 | 北京微步在线科技有限公司 | 一种撞库攻击监测方法及系统 |
CN115632827A (zh) * | 2022-09-28 | 2023-01-20 | 杭州安恒信息技术股份有限公司 | 一种网络防护方法、装置、计算机设备和存储介质 |
-
2023
- 2023-10-23 CN CN202311373026.6A patent/CN117118753A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150106930A1 (en) * | 2013-10-11 | 2015-04-16 | Fujitsu Limited | Log analysis device and method |
US20160248788A1 (en) * | 2015-02-19 | 2016-08-25 | Fujitsu Limited | Monitoring apparatus and method |
CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
CN104901975A (zh) * | 2015-06-30 | 2015-09-09 | 北京奇虎科技有限公司 | 网站日志安全分析方法、装置及网关 |
CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
CN111464502A (zh) * | 2020-03-10 | 2020-07-28 | 湖南文理学院 | 一种基于大数据平台的网络安全防护方法及系统 |
CN112153052A (zh) * | 2020-09-25 | 2020-12-29 | 北京微步在线科技有限公司 | 一种撞库攻击监测方法及系统 |
CN115632827A (zh) * | 2022-09-28 | 2023-01-20 | 杭州安恒信息技术股份有限公司 | 一种网络防护方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11775622B2 (en) | Account monitoring | |
JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
US20170142133A1 (en) | Ineffective network equipment identification | |
US8413247B2 (en) | Adaptive data collection for root-cause analysis and intrusion detection | |
US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
US20070094491A1 (en) | Systems and methods for dynamically learning network environments to achieve adaptive security | |
US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
US9185122B2 (en) | Methods and systems for managing security in a network | |
US20170244738A1 (en) | Distributed detection of malicious cloud actors | |
Vigna et al. | Host-based intrusion detection | |
CN115550068B (zh) | 一种主机日志信息安全审计方法 | |
CN117118753A (zh) | 网络攻击的防护方法、装置、设备及存储介质 | |
TWI764618B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
US20210266240A1 (en) | Embedded intrusion detection system on a chipset or device for use in connected hardware | |
JP4190508B2 (ja) | ネットワーク制御システムおよびネットワーク制御方法 | |
CN118200016A (zh) | 一种基于设备指纹的资产监控方法 | |
CN115827153A (zh) | 容器内ssh服务的暴力破解检测的方法、装置、设备及介质 | |
Zhang et al. | Research on automated rollbackability of intrusion response | |
CN117439757A (zh) | 终端风险程序的数据处理方法、装置和服务器 | |
CN114726562A (zh) | 一种流量过滤方法、装置、通信设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |