基于流量的网络攻击防御方法及相关设备技术

本公开实施例提供了一种基于流量的网络攻击防御方法及相关设备。该方法包括：获取攻击网络地址以及攻击网络地址的网络地址特征；确定攻击网络地址为公共类型网络地址；获取攻击网络地址以及攻击网络地址的网络地址特征、被攻击网络地址、被攻击网络地址的服务特征以及攻击网络地址和被攻击网络地址之间的流量特征；根据被攻击网络地址的服务特征以及流量特征，确定攻击网络地址至被攻击网络地址之间的流量阻断方式；根据流量阻断方式阻断攻击网络地址至被攻击网络地址之间的部分流量。通过本公开实施例提供的技术方案，针对攻击网络地址是公共类型网络地址的场景，能够根据服务特征和流量特征实现部分流量阻断。征和流量特征实现部分流量阻断。征和流量特征实现部分流量阻断。

【技术实现步骤摘要】
基于流量的网络攻击防御方法及相关设备


[0001]本公开涉及网络安全
，具体而言，涉及一种基于流量的网络攻击防御方法及装置、计算机可读存储介质、电子设备。

技术介绍

[0002]在现有成熟地应用于市场的网络攻击防御方法中，在流量侧最为简单的防御方案是通过输入攻击者的IP(Internet Protocol，网际互联协议)，然后对该攻击者的IP到被攻击者的IP之间的单向或双向或针对某个端口的流量进行封禁。
[0003]但这种方法的缺点是，如果该攻击者的IP是公共类型IP(如攻击者通过公共场合的WIFI或者IDC机房进行攻击)，一方面，直接对攻击者的IP与被攻击者的IP之间的流量进行阻断，由于流量已经被阻断了，因此可能导致该公共类型IP下的其他用户无法正常访问被攻击方(防守方)的业务，从而会对被攻击者的业务造成很大的影响。另一方面，难以避免因为错误封禁、业务特性的原因导致业务被误伤。同时这种方式需要手动设置对该攻击者的IP的流量的封禁时长，在到达封禁时间后，还需要人为判断是否继续进行封禁，若不继续进行封禁，则还需要手动进行解禁。
[0004]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解。

技术实现思路

[0005]本公开实施例提供一种基于流量的网络攻击防御方法及装置、计算机可读存储介质、电子设备，能够解决上述相关技术中存在的流量阻断对正常业务造成影响的技术问题。
[0006]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0007]本公开实施例提供一种基于流量的网络攻击防御方法，所述方法包括：获取攻击网络地址以及所述攻击网络地址的网络地址特征；对所述攻击网络地址的网络地址特征进行网络地址类型分析处理，确定所述攻击网络地址为公共类型网络地址；获取所述攻击网络地址对应的被攻击网络地址、所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征；根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式；根据所述流量阻断方式阻断所述攻击网络地址至所述被攻击网络地址之间的部分流量。
[0008]本公开实施例提供一种基于流量的网络攻击防御装置，所述装置包括：网络地址特征获取单元，用于获取攻击网络地址以及所述攻击网络地址的网络地址特征；公共攻击网络确定单元，用于对所述攻击网络地址的网络地址特征进行网络地址类型分析处理，确定所述攻击网络地址为公共类型网络地址；服务流量特征获取单元，用于获取所述攻击网络地址对应的被攻击网络地址、所述被攻击网络地址的服务特征以及所述攻击网络地址和
所述被攻击网络地址之间的流量特征；阻断方式确定单元，用于根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式；部分流量阻断单元，用于根据所述流量阻断方式阻断所述攻击网络地址至所述被攻击网络地址之间的部分流量。
[0009]在本公开的一些示例性实施例中，所述攻击网络地址的网络地址特征包括所述攻击网络地址的互联网数据中心信息，所述公共类型网络地址包括互联网数据中心机房的网络地址。
[0010]其中，所述公共攻击网络确定单元包括：中心机房网络地址确定单元，用于根据所述互联网数据中心信息对所述攻击网络地址进行网络地址类型分析处理，确定所述攻击网络地址为所述互联网数据中心机房的网络地址。所述阻断方式确定单元包括：短时远程登录协议流量阻断单元，用于根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用远程登录协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启远程登录端口；确定所述流量阻断方式为在第一预设时间内阻断所述攻击网络地址至所述被攻击网络地址之间对应所述远程登录协议的流量。
[0011]在本公开的一些示例性实施例中，所述阻断方式确定单元包括：机房网络应用防火墙攻击流量阻断单元，用于根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用网络服务协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启网络服务端口；确定所述流量阻断方式为使用网络应用防火墙阻断所述攻击网络地址至所述被攻击网络地址之间的攻击流量。
[0012]在本公开的一些示例性实施例中，所述阻断方式确定单元包括：短时远程登录协议机房网络应用防火墙流量阻断单元，用于根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启远程登录端口和网络服务端口；确定所述流量阻断方式为在第一预设时间内阻断所述攻击网络地址至所述被攻击网络地址之间对应所述远程登录协议的流量，且使用网络应用防火墙阻断所述攻击网络地址至所述被攻击网络地址之间的攻击流量。
[0013]在本公开的一些示例性实施例中，所述攻击网络地址的网络地址特征包括所述攻击网络地址的物理位置信息、运营商信息以及互联网数据中心信息，所述公共类型网络地址包括通讯运营商的网络地址且为数据公共出口。其中，所述公共攻击网络确定单元包括：数据公共出口确定单元，用于根据所述互联网数据中心信息对所述攻击网络地址进行网络地址类型分析处理，确定所述攻击网络地址不属于互联网数据中心机房的网络地址；根据所述运营商信息确定所述攻击网络地址属于通讯运营商的网络地址；根据所述物理位置信息确定所述攻击网络地址为数据公共出口，则确定所述攻击网络地址为所述通讯运营商的网络地址且为数据公共出口。所述阻断方式确定单元包括：长时远程登录协议流量阻断单元，用于根据所述流量特征确定所述攻击网络地址的流量采用远程登录协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启远程登录端口；确定所述流量阻断方式为在预定时间内阻断所述攻击网络地址至
所述被攻击网络地址之间对应所述远程登录协议的流量。
[0014]在本公开的一些示例性实施例中，所述阻断方式确定单元包括：公共网络应用防火墙攻击流量阻断单元，用于根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用网络服务协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启网络服务端口；确定所述流量阻断方式为使用网络应用防火墙阻断所述攻击网络地址至所述被攻击网络地址之间的攻击流量。
[0015]在本公开的一些示例性实施例中，所述阻断方式确定单元包括：长时远程登录协议公共网络应用防火墙流量阻断单元，用于根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启远程登录本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量的网络攻击防御方法，其特征在于，包括：获取攻击网络地址以及所述攻击网络地址的网络地址特征；对所述攻击网络地址的网络地址特征进行网络地址类型分析处理，确定所述攻击网络地址为公共类型网络地址；获取所述攻击网络地址对应的被攻击网络地址、所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征；根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式；根据所述流量阻断方式阻断所述攻击网络地址至所述被攻击网络地址之间的部分流量。2.根据权利要求1所述的方法，其特征在于，所述攻击网络地址的网络地址特征包括所述攻击网络地址的互联网数据中心信息，所述公共类型网络地址包括互联网数据中心机房的网络地址；其中，对所述攻击网络地址的网络地址特征进行网络地址类型分析处理，确定所述攻击网络地址为公共类型网络地址，包括：根据所述互联网数据中心信息对所述攻击网络地址进行网络地址类型分析处理，确定所述攻击网络地址为所述互联网数据中心机房的网络地址；其中，根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式，包括：根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用远程登录协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启远程登录端口；确定所述流量阻断方式为在第一预设时间内阻断所述攻击网络地址至所述被攻击网络地址之间对应所述远程登录协议的流量。3.根据权利要求2所述的方法，其特征在于，根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式，包括：根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用网络服务协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启网络服务端口；确定所述流量阻断方式为使用网络应用防火墙阻断所述攻击网络地址至所述被攻击网络地址之间的攻击流量。4.根据权利要求2所述的方法，其特征在于，根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式，包括：根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启远程登录端口
和网络服务端口；确定所述流量阻断方式为在所述第一预设时间内阻断所述攻击网络地址至所述被攻击网络地址之间对应所述远程登录协议的流量，且使用网络应用防火墙阻断所述攻击网络地址至所述被攻击网络地址之间的攻击流量。5.根据权利要求1所述的方法，其特征在于，所述攻击网络地址的网络地址特征包括所述攻击网络地址的物理位置信息、运营商信息以及互联网数据中心信息，所述公共类型网络地址包括通讯运营商的网络地址且为数据公共出口；其中，对所述攻击网络地址的网络地址特征进行网络地址类型分析处理，确定所述攻击网络地址为公共类型网络地址，包括：根据所述互联网数据中心信息对所述攻击网络地址进行网络地址类型分析处理，确定所述攻击网络地址不属于互联网数据中心机房的网络地址；根据所述运营商信息确定所述攻击网络地址属于通讯运营商的网络地址；根据所述物理位置信息确定所述攻击网络地址为数据公共出口，则确定所述攻击网络地址为所述通讯运营商的网络地址且为数据公共出口；其中，根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式，包括：根据所述流量特征确定所述攻击网络地址的流量采用远程登录协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启远程登录端口；确定所述流量阻断方式为在预定时间内阻断所述攻击网络地址至所述被攻击网络地址之间对应所述远程登录协议的流量。6.根据权利要求5所述的方法，其特征在于，根据所述被攻击网络地址的服务特征以及所述攻击网络地址和所述被攻击网络地址之间的流量特征，确定所述攻击网络地址至所述被攻击网络地址之间的流量阻断方式，包括：根据所述流量特征确定所述攻击网络地址和所述被攻击网络地址之间的流量采用网络服务协议，或者，采用远程登录协议和网络服务协议；根据所述被攻击网络地址的服务特征确定所述被攻击网络地址上开启网络服务端口；确定所述流量阻断方式为使用网络应用防火墙阻断所述攻击网络地址至所述被攻击网络地址之间的攻击流量。7.根据权利要求5所述的方法，其特征在...

【专利技术属性】
技术研发人员：梁广鹏，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：