本申请提供一种IP地址的封堵处理方法、装置、电子设备及存储介质。该方法包括:在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;根据源网络设备、目的网络设备以及网络系统的网络拓扑结构,确定攻击源的攻击路径;根据攻击源IP地址、被攻击对象IP地址以及至少一个防火墙的设备信息,生成对应的封堵策略;将封堵策略发送给攻击路径中的至少一个防火墙,当网络系统中再次出现攻击源IP地址时,使至少一个防火墙能根据对应的封堵策略对攻击源IP地址进行封堵处理。本申请的方法,可以提高网络防御效果。以提高网络防御效果。以提高网络防御效果。
【技术实现步骤摘要】
IP地址的封堵处理方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全技术,尤其涉及一种IP地址的封堵处理方法、装置、电子设备及存储介质。
技术介绍
[0002]随着网络安全技术的发展,为了提高网络系统的安全性,出现了IP地址的封堵处理方法。
[0003]对IP地址进行封堵处理,运维工程师在通过防火墙和路由器配置封锁IP地址的过程中采用人工输入方式,对恶意IP进行封堵,以实现安全运维,对于网络安全事件的处置过程中,运维工程师比较常见于使用固定的出口防火墙用于封堵处置,难以产生最优化的封堵下发效果,缺乏对恶意IP攻击事件的精准定位分析,对网络防御的效果大打折扣。
技术实现思路
[0004]本申请提供一种IP地址的封堵处理方法、装置、电子设备及存储介质,用以解决现有技术中,网络防御效果较差的技术问题。
[0005]第一方面,本申请提供一种IP地址的封堵处理方法,包括:
[0006]在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;
[0007]确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;
[0008]根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;
[0009]根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;
[0010]将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
[0011]在一个实施例中,所述确定攻击源IP地址所归属的源网络设备,包括:
[0012]扫描所述网络系统中所有网关设备的路由信息,确定直连路由;
[0013]根据所述直连路由与所述攻击源IP地址进行匹配,以确定攻击源IP地址所归属的源网络设备。
[0014]在一个实施例中,所述确定被攻击对象IP地址所在的目的网络设备,包括:
[0015]以所述攻击源IP地址所归属的网络设备作为起始,逐个遍历所述网络系统中的网络设备,直至确定被攻击对象IP地址所在的目的网络设备。
[0016]在一个实施例中,所述根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,包括:
[0017]根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,获得所述攻击源的候选攻击路径;
[0018]若确定所述攻击源的候选攻击路径上不具有环路,则将所述攻击源的候选攻击路径确定为所述攻击源的攻击路径。
[0019]第二方面,本申请提供一种IP地址的封堵处理装置,包括:
[0020]攻击源IP地址确定模块,用于在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;
[0021]网络设备确定模块,用于确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;
[0022]攻击路径确定模块,用于根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;
[0023]封堵策略生成模块,用于根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;
[0024]封堵策略发送模块,用于将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
[0025]第三方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
[0026]所述存储器存储计算机执行指令;
[0027]所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面所述的方法。
[0028]第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面所述的方法。
[0029]本申请提供的IP地址的封堵处理方法、装置、电子设备及存储介质,在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。由于在网络防御时,根据攻击源IP地址和被攻击对象IP地址确定了攻击源的攻击路径,至少一个防火墙是根据攻击源的攻击路径确定的,是攻击源IP地址所经过的网络设备,因此根据该至少一个防火墙以及对应生成的封堵策略对攻击源IP地址进行封堵处理,相比于只使用固定的出口防火墙进行封堵处理的方式较为灵活,因此可以提高网络防御的效果。
附图说明
[0030]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
[0031]图1为实现本申请实施例的IP地址的封堵处理方法的一种应用场景图;
[0032]图2为本申请一实施例的实现IP地址的封堵处理方法的流程示意图;
[0033]图3为本申请另一实施例的实现IP地址的封堵处理方法的流程示意图;
[0034]图4为本申请一实施例中的网络系统的网络拓扑结构的示意图;
[0035]图5为本申请实现IP地址的封堵处理装置的结构示意图;
[0036]图6为用来实现IP地址的封堵处理方法中的电子设备的结构示意图。
[0037]通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
[0038]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种IP地址的封堵处理方法,其特征在于,应用于电子设备,所述电子设备中安装有封堵系统;所述方法包括:在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。2.根据权利要求1所述的方法,其特征在于,所述确定攻击源IP地址所归属的源网络设备,包括:扫描所述网络系统中所有网络设备的路由表信息,确定多个网段包含电子设备的IP地址的网络设备;从所述多个网段包含电子设备的IP地址的网络设备中,将与所述电子设备的路由协议为直连路由的网络设备确定为攻击源IP地址所归属的源网络设备。3.根据权利要求2所述的方法,其特征在于,所述确定被攻击对象IP地址所在的目的网络设备,包括:以所述源网络设备作为起始,逐个遍历所述网络系统中路由表信息包含被攻击对象IP地址的网络设备,直至确定被攻击对象IP地址所在的目的网络设备。4.根据权利要求1
‑
3中任一项所述的方法,其特征在于,所述根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,包括:根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,获得所述攻击源的候选攻击路径;若确定所述攻击源的候选攻击路径上不具有环路,则将所述攻击源的候选攻击路径确定为所述攻击源的攻击路径。5.根据权利要求4所述的方法,其特征在于,若所述攻击源的候选攻击路径上具有至少一个环路,在确定所述攻击源的攻击路径时,包括:对所述攻击源的候选攻击路径上的至少一个环路进行裁剪,获得不具有环...
【专利技术属性】
技术研发人员:田晋,孙毅,许正虎,董建国,杨阳,梁佳祥,郝阳,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。