本发明专利技术公开了一种封堵网络攻击的方法和装置,用以解决封堵网络攻击的有效性低的问题。本申请提供的方案包括:获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址,目标网络设备表征发起网络攻击的设备;根据本地网络设备清单从数据包途径的至少一个设备中确定边界网络设备,边界网络设备包括连接在本地网络与非本地网络之间的本地网络设备,本地网络设备清单包括本地网络设备的互联网协议地址;控制边界网络设备对目标网络设备的互联网协议地址执行封堵操作。不论发起网络攻击的目标网络设备是否是本地网络设备,通过本发明专利技术实施例的方案均能快速确定边界网络设备,进而有效地实现封堵,避免网络攻击扩散,提高网络安全性。提高网络安全性。提高网络安全性。
【技术实现步骤摘要】
一种封堵网络攻击的方法和装置
[0001]本专利技术涉及网络安全领域,尤其涉及一种封堵网络攻击的方法和装置。
技术介绍
[0002]信息技术的普及提高了人们的生活质量,但是网络安全问题也不容忽视。各种有害内容、垃圾流量、网络攻击、病毒和恶意代码等成为互联网健康发展面临的新问题。
[0003]网络攻击的形式多种多样,网络中各个网络设备的连接关系复杂,当有多个出口、多条路径需要封堵时,难以快速有效地实现封堵。
[0004]如何提高封堵网络攻击的有效性,是本申请所要解决的技术问题。
技术实现思路
[0005]本申请实施例的目的是提供一种封堵网络攻击的方法和装置,用以解决封堵网络攻击的有效性低的问题。
[0006]第一方面,提供了一种封堵网络攻击的方法,包括:
[0007]获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址,所述目标网络设备表征发起网络攻击的设备;
[0008]根据本地网络设备清单从所述数据包途径的至少一个设备中确定边界网络设备,所述边界网络设备包括连接在本地网络与非本地网络之间的本地网络设备,所述本地网络设备清单包括本地网络设备的互联网协议地址;
[0009]控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作。
[0010]第二方面,提供了一种封堵网络攻击的装置,包括:
[0011]获取模块,获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址,所述目标网络设备表征发起网络攻击的设备;/>[0012]确定模块,根据本地网络设备清单从所述数据包途径的至少一个设备中确定边界网络设备,所述边界网络设备包括连接在本地网络与非本地网络之间的本地网络设备,所述本地网络设备清单包括本地网络设备的互联网协议地址;
[0013]控制模块,控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作。
[0014]第三方面,提供了一种电子设备,该电子设备包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序,该计算机程序被该处理器执行时实现如第一方面的方法的步骤。
[0015]第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质上存储计算机程序,该计算机程序被处理器执行时实现如第一方面的方法的步骤。
[0016]在本申请实施例中,通过获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址,目标网络设备表征发起网络攻击的设备;根据本地网络设备清单从数据包途径的至少一个设备中确定边界网络设备,边界网络设备包括连接在本地网络与非本地
网络之间的本地网络设备,本地网络设备清单包括本地网络设备的互联网协议地址;控制边界网络设备对目标网络设备的互联网协议地址执行封堵操作。不论发起网络攻击的目标网络设备是否是本地网络设备,通过本专利技术实施例的方案均能快速确定边界网络设备,进而有效地实现封堵,避免网络攻击扩散,提高网络安全性。
附图说明
[0017]此处所说明的附图用来提供对本专利技术的进一步理解,构成本专利技术的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:
[0018]图1是本专利技术的一个实施例一种封堵网络攻击的方法的流程示意图之一。
[0019]图2是本专利技术的一个实施例一种封堵网络攻击的方法的流程示意图之二。
[0020]图3是本专利技术的一个实施例一种封堵网络攻击的方法的流程示意图之三。
[0021]图4是本专利技术的一个实施例一种封堵网络攻击的方法的流程示意图之四。
[0022]图5是本专利技术的一个实施例一种封堵网络攻击的方法的流程示意图之五。
[0023]图6是本专利技术的一个实施例一种封堵网络攻击的方法的流程示意图之六。
[0024]图7是本专利技术的一个实施例一种封堵网络攻击的方法的流程示意图之七。
[0025]图8是本专利技术的一个实施例的一种网络拓扑图;
[0026]图9是本专利技术的一个实施例一种封堵网络攻击的装置的结构示意图。
具体实施方式
[0027]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本申请中附图编号仅用于区分方案中的各个步骤,不用于限定各个步骤的执行顺序,具体执行顺序以说明书中描述为准。
[0028]网络攻击可由外部网络或内部网络发起,安全管控设备可以在网络特定位置部署软硬件进行进出数据监控和分析,并通过自身特征库匹配相应处理规则,能自动或手动阻断部分常见网络攻击。
[0029]但是,依然存在一些不能通过安全设备自动拦截的网络攻击。对于这些特殊的网络攻击,通常需要人工进行干预,以实现封堵拦截。比如信息安全中心通报外部某个IP正在发起攻击,安全管理员需要登录安全边界设备,配置相关命令进行封堵,以拦截相关攻击数据报文。虽然这种人工拦截的方式能实现有效拦截,但需要消耗较多的人力,且即时性较差。
[0030]上述网络攻击封堵方式至少有以下缺点:只能在特定节点进行封堵;当有多个出口、多条路径需要进行封堵时,封堵实时性差,不能自动封堵;当内部发起攻击时,无法对内部网络进行封堵。
[0031]为了解决现有技术中存在的问题,本申请实施例提供一种封堵网络攻击的方法,如图1所示,包括:
[0032]S11:获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址,所述目标网络设备表征发起网络攻击的设备。
[0033]在实际应用中,上述发起网络攻击的目标网络设备可能是本地网络设备,也可能是非本地网络设备。本步骤中获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址,其中,数据包途径的至少一个设备包括目标网络设备,通常还包括与目标网络设备直接或间接连接的网络设备。上述互联网协议地址(Internet Protocol Address,IP地址)是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。获取到的至少一个互联网协议地址可以表征目标网络设备发起攻击的网络路线。
[0034]S12:根据本地网络设备清单从所述数据包途径的至少一个设备中确定边界网络设备,所述边界网络设备包括连接在本地网络与非本地网络之间的本地网络设备,所述本地网络设备清单包括本地网络设备的互联网协议地址。
[0035]上述本地网络设备清单包括本地网络设备的互联网协议地址,本步骤中可以将上述步骤中获取的互联网协议地址与本地网络设备清单执行比对,本地网络清单中包含的互联网协议地址所对应的网络设备即是本地网络设备,否则是非本地网络设备。通过本步骤能分别判断上述数据包途径的至少一个设备中,哪些是本地网络设备,进而从这些设备中确定出边界网络设备。
...
【技术保护点】
【技术特征摘要】
1.一种封堵网络攻击的方法,其特征在于,包括:获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址,所述目标网络设备表征发起网络攻击的设备;根据本地网络设备清单从所述数据包途径的至少一个设备中确定边界网络设备,所述边界网络设备包括连接在本地网络与非本地网络之间的本地网络设备,所述本地网络设备清单包括本地网络设备的互联网协议地址;控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作。2.如权利要求1所述的方法,其特征在于,根据本地网络设备清单确定边界网络设备,包括:根据本地网络设备清单确定第一网络设备和第二网络设备,所述第一网络设备和所述第二网络设备为所述数据包途径的至少一个设备中相互连接的网络设备,所述第一网络设备的互联网协议地址表征所述第一网络设备为本地网络设备,所述第二网络设备的互联网协议地址表征所述第二网络设备为非本地网络设备;将所述第一网络设备确定为所述边界网络设备。3.如权利要求2所述的方法,其特征在于,控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作,包括:当所述目标网络设备的互联网协议地址表征所述目标网络设备为非本地网络设备时,生成包含所述目标网络设备的互联网协议地址的访问控制列表,所述访问控制列表用于拒绝所述目标网络设备接入本地网络;控制所述第一网络设备根据所述访问控制列表对所述目标网络设备的互联网协议地址执行封堵操作。4.如权利要求2所述的方法,其特征在于,控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作,包括:当所述目标网络设备的互联网协议地址表征所述目标网络设备为非本地网络设备时,生成包含所述目标网络设备的互联网协议地址的黑洞路由条目,所述黑洞路由条目用于将所述目标网络设备的互联网协议地址转向伪接口;控制所述第一网络设备根据所述黑洞路由条目对所述目标网络设备的互联网协议地址执行封堵操作。5.如权利要求2所述的方法,其特征在于,控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作,包括:当所...
【专利技术属性】
技术研发人员:苏凌,苟浩淞,李丹,李志恒,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。