本申请提供一种网络攻击黑名单管理方法及装置,所述方法应用于入侵防御系统IPS设备上,所述方法包括:根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;根据预设管理策略对所述网络攻击黑名单进行分级管理。应用本申请实施例,通过预设管理策略对所述网络攻击黑名单进行分级管理,使得IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。
【技术实现步骤摘要】
本申请涉及网络通信
,尤其涉及一种网络攻击黑名单管理方法及装置。
技术介绍
随着网络应用深入人们的生活,网络攻击层出不穷,尤其在一些重要的网络节点,例如大型企业单位、政府机构、运营商等,常面临着各种网络攻击威胁。在这种情况下,人们对IPS(Intrusion Prevention System,入侵防御系统)设备的防攻击效果提出了更高的要求。在现有技术中,维护人员通过定期分析IPS设备产生的网络攻击日志,筛选出可能的网络攻击源,将该网络攻击源的特征信息添加到网络攻击黑名单中,以使IPS设备通过所述网络攻击黑名单对网络攻击源执行阻断。然而,由于网络攻击黑名单中有些网络攻击源可能是受黑客远程控制的客户端,这些网络攻击源一定时间之后会失效,但是单纯依靠人工无法分辨失效的网络攻击源,从而导致IPS设备通过网络攻击黑名单无法实现合理、及时有效的网络攻击防护功能。
技术实现思路
有鉴于此,本申请提供一种网络攻击黑名单管理方法及装置,以解决现有技术中IPS设备无法实现合理、及时有效的网络攻击防护功能的问题。根据本申请实施例的第一方面,提供一种网络攻击黑名单管理方法,所述方法应用于分别与网络攻击源与目标客户端通信的IPS设备上,所述方法
包括:根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;根据预设管理策略对所述网络攻击黑名单进行分级管理。根据本申请实施例的第二方面,提供一种网络攻击黑名单管理装置,所述装置应用于分别与网络攻击源与目标客户端通信的IPS设备上,所述装置包括:确定单元,用于根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;添加单元,用于从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;管理单元,用于根据预设管理策略对所述网络攻击黑名单进行分级管理。应用本申请实施例,当在IPS设备上开启网络攻击防护功能时,IPS设备根据预设规则自动对网络攻击日志进行分析,从所述网络攻击日志的网络源中确定网络攻击源,并将所述网络攻击源的特征信息添加到网络攻击黑名单,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。附图说明图1是本申请根据一示例性实施例示出的一种网络攻击黑名单管理应用场景示意图;图2是本申请根据一示例性实施例示出的一种网络攻击黑名单管理方法实施例流程图;图3是本申请根据一示例性实施例示出的一种网络攻击黑名单管理装置所在设备的一种硬件结构图;图4是本申请根据一示例性实施例示出的一种网络攻击黑名单管理装置实施例结构图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本领域技术人员可以理解的是,用于防护网络攻击的IPS设备在阻断网络攻击的同时会产生网络攻击日志,网络攻击日志蕴含了大量的数据信息,根据这些数据信息便可以重现网络环境,本申请IPS设备通过分析网络攻击日志,对网络攻击黑名单进行更新,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。参见图1所示,为本申请根据一示例性实施例示出的一种网络攻击黑名单管理应用场景示意图:如图1所示的应用场景中,包括网络攻击源、IPS设备、目标客户端。其中,IPS设备位于网络攻击源与目标客户端之间,通过维护的网络攻击黑名单,对网络攻击源发出的网络攻击进行阻断,以防护目标客户端不受到网络攻击。在图1中,以目标客户端作为示例,在实际应用中,也可以是受保护服务器,所述目标客户端可以是PC(Personal Computer,个人计算机)、手机等。具体的,在IPS设备上开启网络攻击防护功能之后,IPS设备根据预设规则自动对网络攻击日志进行分析,从所述网络攻击日志的网络源中确定网络攻击源,将所有网络攻击源的特征信息(比如IP地址)添加到网络攻击黑名单,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使得IPS设备通过网络攻击黑名单实现合理、及时有效的网络攻击防护功能。参见图2所示,为本申请根据一示例性实施例示出的一种网络攻击黑名单管理方法实施例流程图,该实施例应用于分别与网络攻击源与目标客户端通信的IPS设备上,包括以下步骤:步骤S201:根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源。当在IPS设备上开启网络攻击防护功能时,所述IPS设备根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源。在实际网络应用中,网络设备通过IPS设备传输报文时,IPS设备中的攻击防护模块会根据预先配置的策略对所述报文进行实时分析,若所述报文被判定为异常报文时,则对所述报文执行阻断,并将所述报文所属的网络源添加到网络攻击日志中,所述网络攻击日志包括网络源的特征信息,所述特征信息可以包括IP(Internet Protocol,网际协议)地址。在一种可选的实现方式中,IPS设备可以从网络攻击日志中,以时间和攻击次数计算网络源的攻击频率是否超过预设频率作为判断网络攻击源的规则,即首先统计单位时间或某一时间段网络源发起攻击的次数得到的攻击频率,然后判定所得攻击频率是否超过预设频率,比如统计所述网络攻击日志中的某些网络源,其对应的IP地址分别为IP1、IP2、IP3、IP4、IP5,在12:00至12:05这
一时间段内,各个网络源发起攻击的攻击次数分别为1000、85、60、1500、55,计算得到其攻击频率分别为f1=1000/5=200次/min、f2=85/5=17次/min、f3=60/5=12次/min、f4=1500/5=300次/min、f5=55/5=11次/min,如果预设频率f为145次/min,从上述计算结果可以判断出,攻击频率f1和f4超过了预设频率f,则f1和f4分别对应的IP地址对应的网络源为网络攻击源。需要说明的是,上述说明仅仅是作为示例,而不造成本文档来自技高网...
【技术保护点】
一种网络攻击黑名单管理方法,所述方法应用于分别与网络攻击源与目标客户端通信的入侵防御系统IPS设备上,其特征在于,所述方法包括:根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;根据预设管理策略对所述网络攻击黑名单进行分级管理。
【技术特征摘要】
1.一种网络攻击黑名单管理方法,所述方法应用于分别与网络攻击源与目标客户端通信的入侵防御系统IPS设备上,其特征在于,所述方法包括:根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;根据预设管理策略对所述网络攻击黑名单进行分级管理。2.根据权利要求1所述的方法,其特征在于,所述根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,包括:根据所述网络攻击日志,通过统计预设时间段内网络源发起攻击的攻击次数,计算所述网络源发起攻击的攻击频率;判断所述攻击频率是否超过预设频率;当所述攻击频率超过所述预设频率时,确定所述网络源为网络攻击源。3.根据权利要求1所述的方法,其特征在于,所述根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,包括:根据所述网络攻击日志,统计预设时间段内受保护客户端受到预设类型攻击的攻击次数;判断所述攻击次数是否超过第一预设次数;当所述攻击次数超过所述第一预设次数时,确定发起所述预设类型攻击的网络源为网络攻击源。4.根据权利要求1所述的方法,其特征在于,所述从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单,包括:提取被确定为所述网络攻击源的网络源的网际协议IP地址;将所述IP地址添加至所述网络攻击黑名单。5.根据权利要求1所述的方法,其特征在于,所述根据预设管理策略对
\t所述网络攻击黑名单进行分级管理,包括:为所述网络攻击黑名单中网络攻击源的特征信息设置老化时间;检测所述网络攻击源的特征信息的老化时间;当检测到老化时间已经过期的网络攻击源的特征信息时,则所述网络攻击源作为失效网络攻击源,将所述失效网络攻击源的特征信息从所述网络攻击黑名单中删除。6.根据权利要求1所述的方法,其特征在于,所述根据预设管理策略对所述网络攻击黑名单进行分级管理,包括:当网络攻击源的特征信息初次添加到网络攻击黑名单中时,为该网络攻击源的特征信息的添加次数设置计数器,初始计数值设置为1,当所述网络攻击源的特征信息在网络攻击黑名单中已存在,则计数器的计数值加1;按照设置的第一时间周期检测所述网络攻击黑名单中每个网络攻击源的特征信息的计数值是否超过第二预设数值;当超过所述第二预设数值时,则所述网络攻击源作为固定网络攻击源,为所述固定网络攻击源的特征信息设置固化标识,所述固化标识用于禁止所述IPS设备自动删除所述固定网络攻击源。7.一种网络攻...
【专利技术属性】
技术研发人员:张闻闻,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。