【技术实现步骤摘要】
一种攻击阻断方法及相关装置
[0001]本申请涉及网络安全
,尤其涉及一种攻击阻断方法及相关装置。
技术介绍
[0002]近年来,网络安全问题日益突出,攻击者使用各种手段进行网络攻击,致使网络安全事件层出不穷。为了保证网络的安全性,企业单位一般都会选择在网络出口部署防火墙来阻止外部攻击。防火墙通过对网络报文进行检测,匹配攻击行为特征,并在发现内部网络遭到攻击后直接丢弃报文,从而阻断外部攻击者和内部设备之间的通信,达到保护内部网络的目的。
[0003]由于防火墙部署于网络出口处,因此防火墙通常只能阻断内部网络与外部网络之间的网络报文,而无法阻断网络内部被成功入侵的设备向其他设备发起的横向攻击报文。因此,相关技术中在内部网络中靠近终端设备的交换机上发送访问黑名单,以阻断外部网络和内部网络的攻击源向终端设备发送的攻击报文。
[0004]然而,由于内部网络中通常包括多个靠近终端设备的交换机,相关技术中需要在靠近终端设备的各个交换机上部署相同的访问黑名单来阻断攻击报文,从而导致交换机的存储资源和处理资源开销较大。
技术实现思路
[0005]本申请提供了一种攻击阻断方法,在保证阻断多条攻击路径的情况下,由包括最少网络设备的目标阻断组来实现攻击报文的阻断,能够在实现防护效果最大化的同时,尽可能地节省网络设备中存储资源和处理资源的开销。
[0006]本申请第一方面提供一种攻击阻断方法,可以应用于控制设备或云端防护系统中的云端设备。云端设备获取多条攻击路径,根据多条攻击路径确定第一目标阻断 ...
【技术保护点】
【技术特征摘要】
1.一种攻击阻断方法,其特征在于,包括:获取多条攻击路径,所述多条攻击路径为攻击报文的转发路径,所述多条攻击路径具有相同的攻击源;根据所述多条攻击路径,确定第一目标阻断组,所述第一目标阻断组为多个阻断组中包括最少数量的网络设备的阻断组,所述多个阻断组中的每个阻断组均包括至少一个网络设备,且所述每个阻断组中的网络设备用于阻断所述多条攻击路径上的攻击报文;向所述第一目标阻断组中的网络设备发送报文阻断策略,所述报文阻断策略用于阻断与所述攻击源相关的攻击报文。2.根据权利要求1所述的方法,其特征在于,所述第一目标阻断组中包括一个网络设备,所述多条攻击路径上均包括所述第一目标阻断组中的网络设备。3.根据权利要求1所述的方法,其特征在于,所述第一目标阻断组中包括多个网络设备,所述多个网络设备中的每个网络设备位于所述多条攻击路径的部分攻击路径上,且所述多条攻击路径中的每条攻击路径上均包括所述第一目标阻断组中的至少一个网络设备。4.根据权利要求1
‑
3任意一项所述的方法,其特征在于,所述根据所述多条攻击路径,确定第一目标阻断组,包括:根据所述多条攻击路径,确定多个候选阻断组,所述多个候选阻断组均为所述多个阻断组中包括最少数量的网络设备的阻断组;根据预置策略在所述多个候选阻断组中确定所述第一目标阻断组。5.根据权利要求4所述的方法,其特征在于,所述预置策略包括以下策略中的一种或多种:近攻击源策略、近攻击目标策略、资源对比策略和随机策略;其中,所述近攻击源策略用于在所述多个候选阻断组中选择距离攻击源最近的阻断组,所述近攻击目标策略用于在所述多个候选阻断组中选择距离攻击目标最近的阻断组,所述资源对比策略用于在所述多个候选阻断组中选择拥有最多阻断资源的阻断组,所述阻断资源为网络设备中用于存储报文阻断策略的空闲存储空间。6.根据权利要求1
‑
5任意一项所述的方法,其特征在于,所述向所述第一目标阻断组中的网络设备发送报文阻断策略之后,所述方法还包括:获取新增的攻击路径,所述新增的攻击路径与所述多条攻击路径具有相同的攻击源;根据所述新增的攻击路径和所述多条攻击路径,确定第二目标阻断组,所述第二目标阻断组为多个新的阻断组中包括最少数量的网络设备的阻断组,所述多个新的阻断组中的每个阻断组用于阻断所述新增的攻击路径和所述多条攻击路径上的攻击报文;向第一目标网络设备发送所述报文阻断策略,所述第一目标网络设备包括在所述第二目标阻断组中且未包括在所述第一目标阻断组中。7.根据权利要求6所述的方法,其特征在于,所述方法还包括:向第二目标网络设备发送第一指令,所述第一指令用于指示所述第二目标网络设备删除所述报文阻断策略,所述第二目标网络设备包括在所述第一目标阻断组中且未包括在所述第二目标阻断组中。8.根据权利要求1
‑
7任意一项所述的方法,其特征在于,所述向所述第一目标阻断组中的网络设备发送报文阻断策略,包括:响应于所述多条攻击路径对应的攻击状态为正在攻击,向所述第一目标阻断组中的网
络设备发送访问控制列表ACL,所述ACL用于阻断来自于所述攻击源的报文。9.根据权利要求1
‑
7任意一项所述的方法,其特征在于,所述向所述第一目标阻断组中的网络设备发送报文阻断策略,包括:响应于所述多条攻击路径对应的攻击状态为攻击成功,向所述第一目标阻断组中的网络设备发送黑洞路由,所述黑洞路由用于阻断目的地址为所述攻击源的报文。10.一种攻击阻断装置,其特征在于,包括:获取模块,用于获取多条攻击路径,所述多条攻击路径为攻击报文的转发路径,所述多条攻击路径具有相同的攻击源;处理模块,用于根据所述多条攻击路径,确定第一目标阻断组,所述第一目标阻断组为多个阻断组中包括最少数...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。