本公开提供了一种网络攻击处理方法,涉及信息安全领域。该方法包括:获得溯源信息表,其中,所述溯源信息表包括N条访问信息,其中每条访问信息包括终端设备的设备标识、公网IP地址和公网端口,N大于或等于1;当检测到网络攻击,获取涉及所述网络攻击的公网IP地址和公网端口;根据涉及所述网络攻击的公网IP地址和公网端口,从所述溯源信息表中检索到匹配的公网IP地址和公网端口;根据所述匹配的公网IP地址和公网端口,确定同条访问信息中的设备标识。本公开还提供了一种网络攻击处理装置、设备、存储介质和程序产品。储介质和程序产品。储介质和程序产品。
【技术实现步骤摘要】
网络攻击处理方法、装置、系统、设备和介质
[0001]本公开涉及信息安全领域,更具体地,涉及一种网络攻击处理方法、装置、系统、设备、介质和程序产品。
技术介绍
[0002]一些企业会提供网络服务允许终端设备(如个人终端、移动终端或POS机等)访问内网。当允许访问内网的终端设备失陷,以此作为跳板对企业业务攻击,将会造成较大影响。
[0003]因NAT(网络地址转换)协议无法根据公网IP有效定位失陷终端设备,现有的排查方法通常是人工排查接入点日志,但NAT表中会话老化时间(Ageing Time)短,通常难以进行有效排查,无法准确溯源。
技术实现思路
[0004]鉴于上述问题,本公开提供了一种网络攻击处理方法、装置、系统、设备、介质和程序产品。
[0005]本公开实施例的一个方面,提供了一种网络攻击处理方法,包括:获得溯源信息表,其中,所述溯源信息表包括N条访问信息,其中每条访问信息包括终端设备的设备标识、公网IP地址和公网端口,N大于或等于1;当检测到网络攻击,获取涉及所述网络攻击的公网IP地址和公网端口;根据涉及所述网络攻击的公网IP地址和公网端口,从所述溯源信息表中检索到匹配的公网IP地址和公网端口;根据所述匹配的公网IP地址和公网端口,确定同条访问信息中的设备标识。
[0006]根据本公开的实施例,部署于内网的入侵检测防护设备被配置为检测所述网络攻击,在所述确定同条访问信息中的设备标识之后,所述方法还包括:将所述同条访问信息中的设备标识确定为恶意设备标识;对所述恶意设备标识的访问信息进行指定监控;将所述指定监控到的公网IP地址和公网端口推送至所述入侵检测防护设备,所述入侵检测防护设备被配置为根据推送的公网IP地址和公网端口进行流量阻断。
[0007]根据本公开的实施例,所述获得溯源信息表包括:获得第一网络信息表,所述第一网络信息表包括N条第一网络信息,其中每条第一网络信息包括私网IP地址和设备标识;获得第二网络信息表,所述第二网络信息表包括N条第二网络信息,其中每条第二网络信息包括私网IP地址、公网IP地址和公网端口;以具有相同私网IP地址为合并条件,将所述N条第一网络信息与所述N条第二网络信息一一对应地合并,得到所述N条访问信息,形成所述溯源信息表。
[0008]根据本公开的实施例,所述对所述恶意设备标识的访问信息进行指定监控包括:指定获取包括所述恶意设备标识的第一网络信息;从指定获取的第一网络信息中提取私网IP地址;指定获取包括所提取出私网IP地址的第二网络信息;将指定获取的第一网络信息和第二网络信息合并,得到攻击防问信息。
[0009]根据本公开的实施例,所述对所述恶意设备标识的访问信息进行指定监控包括:指定获取包括所述匹配的公网IP地址的第二网络信息;从指定获取的第二网络信息中提取私网IP地址;指定获取包括提取出私网IP地址的第一网络信息;将指定获取的第一网络信息和第二网络信息合并,得到攻击访问信息。
[0010]根据本公开的实施例,在所述确定同条访问信息中的设备标识之后,所述方法还包括:获取所述同条访问信息中的私网IP地址;根据所述同条访问信息中的所述恶意设备标识和私网IP地址得到网络攻击信息,形成网络攻击信息表;其中,所述网络攻击信息还包括网络攻击状态信息,当所述网络攻击状态信息为特定状态时,对所述恶意设备标识的访问信息进行指定监控。
[0011]根据本公开的实施例,所述方法还包括:若在第一预定时间段内未检测到网络攻击,更新所述特定状态为第一状态;若所述恶意设备标识涉及的网络攻击威胁解除,更新所述特定状态为第二状态。
[0012]根据本公开的实施例,在将所述指定监控到的公网IP地址和公网端口推送至所述入侵检测防护设备之后,所述方法还包括:接收所述入侵检测防护设备执行所述流量阻断的阻断信息;若成功触发阻断,且所述指定监控到的公网IP地址和公网端口在第二预定时间段内没有变化,并在所述第二预定时间段内未收到所述阻断信息,更新所述特定状态为第三状态。
[0013]根据本公开的实施例,所述获得第一网络信息表包括:根据运行动态主机配置协议的日志信息,获得所述第一网络信息表;和/或所述获得第二网络信息表包括:根据运行网络地址转换技术的日志信息,获得所述第二网络信息表。
[0014]根据本公开的实施例,在所述获得溯源信息表之前,所述方法还包括:提供统一上网接入点,其中,所述统一上网接入点用于为M个所述终端设备提供内网访问服务,M大于或等于1。
[0015]本公开实施例的另一方面提供了一种网络攻击处理装置,包括:溯源信息模块,用于获得溯源信息表,其中,所述溯源信息表包括N条访问信息,其中每条访问信息包括终端设备的设备标识、公网IP地址和公网端口,N大于或等于1;信息获取模块,用于当检测到网络攻击,获取涉及所述网络攻击的公网IP地址和公网端口;信息匹配模块,用于根据涉及所述网络攻击的公网IP地址和公网端口,从所述溯源信息表中检索到匹配的公网IP地址和公网端口;攻击溯源模块,用于根据所述匹配的公网IP地址和公网端口,确定同条访问信息中的设备标识。
[0016]本公开实施例的另一方面提供了一种网络攻击处理系统,包括:DHCP设备,部署于内网之外的局域网,用于提供第一网络信息表,其中,所述第一网络信息表包括N条第一网络信息,其中每条第一网络信息包括私网IP地址和设备标识;NAT设备,部署于所述局域网,用于提供第二网络信息表,其中,所述第二网络信息表包括N条第二网络信息,其中每条第二网络信息包括私网IP地址、公网IP地址和公网端口;入侵检测防护设备,部署于所述内网,用于检测网络攻击,并执行流量阻断;网络攻击处理装置,分别与所述DHCP设备、所述NAT设备和所述入侵检测防护设备通信连接,用于执行权利要求如上任一项的网络攻击处理方法。
[0017]本公开实施例的另一方面提供了一种电子设备,包括:一个或多个处理器;存储装
置,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行如上所述的方法。
[0018]本公开实施例的另一方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如上所述的方法。
[0019]本公开实施例的另一方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上所述的方法。
[0020]上述一个或多个实施例具有如下有益效果:通过溯源信息表能够确定N条访问信息,其中包括终端设备的设备标识、公网IP地址和公网端口。在检测到网络攻击时,可以根据涉及所述网络攻击的公网IP地址和公网端口,从所述溯源信息表中检索到匹配的公网IP地址和公网端口,从而确定涉及网络攻击的终端设备的设备标识。因此能够对失陷终端设备的快速溯源,自动化定位失陷终端设备的唯一标识信息,克服人工流转排查的方式无法有效进行失陷终端设备定位的问题。
附图说明
[0021]通过以下参照附图对本公开实施例的描述,本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击处理方法,包括:获得溯源信息表,其中,所述溯源信息表包括N条访问信息,其中每条访问信息包括终端设备的设备标识、公网IP地址和公网端口,N大于或等于1;当检测到网络攻击,获取涉及所述网络攻击的公网IP地址和公网端口;根据涉及所述网络攻击的公网IP地址和公网端口,从所述溯源信息表中检索到匹配的公网IP地址和公网端口;根据所述匹配的公网IP地址和公网端口,确定同条访问信息中的设备标识。2.根据权利要求1所述的方法,其中,部署于内网的入侵检测防护设备被配置为检测所述网络攻击,在所述确定同条访问信息中的设备标识之后,所述方法还包括:将所述同条访问信息中的设备标识确定为恶意设备标识;对所述恶意设备标识的访问信息进行指定监控;将所述指定监控到的公网IP地址和公网端口推送至所述入侵检测防护设备,所述入侵检测防护设备被配置为根据推送的公网IP地址和公网端口进行流量阻断。3.根据权利要求2所述的方法,其中,所述获得溯源信息表包括:获得第一网络信息表,所述第一网络信息表包括N条第一网络信息,其中每条第一网络信息包括私网IP地址和设备标识;获得第二网络信息表,所述第二网络信息表包括N条第二网络信息,其中每条第二网络信息包括私网IP地址、公网IP地址和公网端口;以具有相同私网IP地址为合并条件,将所述N条第一网络信息与所述N条第二网络信息一一对应地合并,得到所述N条访问信息,形成所述溯源信息表。4.根据权利要求3所述的方法,其中,所述对所述恶意设备标识的访问信息进行指定监控包括:指定获取包括所述恶意设备标识的第一网络信息;从指定获取的第一网络信息中提取私网IP地址;指定获取包括所提取出私网IP地址的第二网络信息;将指定获取的第一网络信息和第二网络信息合并,得到攻击访问信息。5.根据权利要求3所述的方法,其中,所述对所述恶意设备标识的访问信息进行指定监控包括:指定获取包括所述匹配的公网IP地址的第二网络信息;从指定获取的第二网络信息中提取私网IP地址;指定获取包括提取出私网IP地址的第一网络信息;将指定获取的第一网络信息和第二网络信息合并,得到攻击访问信息。6.根据权利要求2所述的方法,其中,在所述确定同条访问信息中的设备标识之后,所述方法还包括:获取所述同条防问信息中的私网IP地址;根据所述同条访问信息中的所述恶意设备标识和私网IP地址得到网络攻击信息,形成网络攻击信息表;其中,所述网络攻击信息还包括网络攻击状态信息,当所述网络攻击状态信息为特定状态时,对所述恶意设备标识的访问信息进行指定监控。
7.根据权利要求6所述的方法,其中,所述方法还包括:若在第一预定时间段内未检测到网络攻击,更新所述特定状态为第一状态;若所述恶意设备标识涉及的网络攻...
【专利技术属性】
技术研发人员:高铭剑,丁炎,李譞,王立帅,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。