一种攻击阻断方法及相关装置制造方法及图纸

本申请公开了一种攻击阻断方法，应用于云端防护系统中的云端设备。云端设备通过获取多条具有相同攻击源的攻击路径，确定包括一个或多个网络设备的目标阻断组，该目标阻断组是所有能够阻断多条攻击路径的阻断组中包括最少数量网络设备的阻断组。并且，云端设备通过向目标阻断组中的网络设备发送报文阻断策略，实现阻断多条攻击路径上的攻击报文。在保证阻断多条攻击路径的情况下，由包括最少网络设备的目标阻断组来实现攻击报文的阻断，能够以占用最少资源的代价来实现防护效果最大化，从而尽可能地节省网络设备中存储资源和处理资源的开销。开销。开销。

【技术实现步骤摘要】
一种攻击阻断方法及相关装置


[0001]本申请涉及网络安全
，尤其涉及一种攻击阻断方法及相关装置。

技术介绍

[0002]近年来，网络安全问题日益突出，攻击者使用各种手段进行网络攻击，致使网络安全事件层出不穷。为了保证网络的安全性，企业单位一般都会选择在网络出口部署防火墙来阻止外部攻击。防火墙通过对网络报文进行检测，匹配攻击行为特征，并在发现内部网络遭到攻击后直接丢弃报文，从而阻断外部攻击者和内部设备之间的通信，达到保护内部网络的目的。
[0003]由于防火墙部署于网络出口处，因此防火墙通常只能阻断内部网络与外部网络之间的网络报文，而无法阻断网络内部被成功入侵的设备向其他设备发起的横向攻击报文。因此，相关技术中在内部网络中靠近终端设备的交换机上发送访问黑名单，以阻断外部网络和内部网络的攻击源向终端设备发送的攻击报文。
[0004]然而，由于内部网络中通常包括多个靠近终端设备的交换机，相关技术中需要在靠近终端设备的各个交换机上部署相同的访问黑名单来阻断攻击报文，从而导致交换机的存储资源和处理资源开销较大。

技术实现思路

[0005]本申请提供了一种攻击阻断方法，在保证阻断多条攻击路径的情况下，由包括最少网络设备的目标阻断组来实现攻击报文的阻断，能够在实现防护效果最大化的同时，尽可能地节省网络设备中存储资源和处理资源的开销。
[0006]本申请第一方面提供一种攻击阻断方法，可以应用于控制设备或云端防护系统中的云端设备。云端设备获取多条攻击路径，根据多条攻击路径确定第一目标阻断组，并向第一目标阻断组中的网络设备发送报文阻断策略，以使得第一目标阻断组中的各个网络设备能够根据所发送的报文阻断策略阻断与攻击源相关的攻击报文。该多条攻击路径为攻击报文的转发路径，且多条攻击路径具有相同的攻击源。即，云端设备所获取到的多条攻击路径的起点是相同的，且不同攻击路径上的网络设备或终点是不相同的。第一目标阻断组为多个阻断组中包括最少数量的网络设备的阻断组。该多个阻断组中的每个阻断组均包括至少一个网络设备，且每个阻断组中的网络设备用于阻断多条攻击路径上的攻击报文。对于多个阻断组中的任意一个阻断组，多条攻击路径中的每条攻击路径必然包括该阻断组中的网络设备，因此基于阻断组中的所有网络设备则能够实现阻断多条攻击路径上的攻击报文。
[0007]本方案中，云端设备通过获取多条具有相同攻击源的攻击路径，确定包括一个或多个网络设备的目标阻断组，该目标阻断组是所有能够阻断多条攻击路径的阻断组中包括最少数量网络设备的阻断组。并且，云端设备通过向目标阻断组中的网络设备发送报文阻断策略，实现阻断多条攻击路径上的攻击报文。在保证阻断多条攻击路径的情况下，由包括最少网络设备的目标阻断组来实现攻击报文的阻断，能够以占用最少资源的代价来实现防
护效果最大化，从而尽可能地节省网络设备中存储资源和处理资源的开销。
[0008]可选的，第一目标阻断组中包括一个网络设备，云端设备所获取到的多条攻击路径上均包括第一目标阻断组中的网络设备。在这种情况下，网络中存在同一个网络设备位于所有的攻击路径上，因此，基于多条攻击路径上的同一个网络设备即能够实现阻断所有攻击路径上的攻击报文，可以更多地节省网络设备中存储资源和处理资源的开销。
[0009]可选的，第一目标阻断组中包括多个网络设备，该多个网络设备中的每个网络设备位于多条攻击路径的部分攻击路径上，且多条攻击路径中的每条攻击路径上均包括第一目标阻断组中的至少一个网络设备。也就是说，多条攻击路径上没有包括同一个网络设备，第一目标阻断组中的多个网络设备共同配合，以实现阻断所有攻击路径上的攻击报文。
[0010]可选的，云端设备根据多条攻击路径确定第一目标阻断组的过程，具体包括：云端设备根据多条攻击路径确定多个候选阻断组，并根据预置策略在多个候选阻断组中确定第一目标阻断组。该多个候选阻断组均为多个阻断组中包括最少数量的网络设备的阻断组。
[0011]可选的，预置策略包括以下策略中的一种或多种：近攻击源策略、近攻击目标策略、资源对比策略和随机策略。其中，近攻击源策略用于在多个候选阻断组中选择距离攻击源最近的阻断组，近攻击目标策略用于在多个候选阻断组中选择距离攻击目标最近的阻断组，资源对比策略用于在多个候选阻断组中选择拥有最多阻断资源的阻断组。阻断资源为网络设备中用于存储报文阻断策略的空闲存储空间。
[0012]本方案中，在出现多个满足要求的候选阻断组的情况下，云端设备基于预置策略在多个候选阻断组进一步选择最终的目标候选阻断组，从而能够在节省网络设备的存储资源的情况下，尽可能满足网络的其他需求。
[0013]可选的，在云端设备向第一目标阻断组中的网络设备发送报文阻断策略之后，云端设备获取新增的攻击路径，根据新增的攻击路径和多条攻击路径确定第二目标阻断组，并向第一目标网络设备发送报文阻断策略，该第一目标网络设备包括在第二目标阻断组中且未包括在第一目标阻断组中。
[0014]新增的攻击路径与云端设备之前所获取的多条攻击路径具有相同的攻击源。第二目标阻断组为多个新的阻断组中包括最少数量的网络设备的阻断组，该多个新的阻断组中的每个阻断组用于阻断新增的攻击路径和多条攻击路径上的攻击报文。也就是说，第二目标阻断组是云端设备根据旧的多条攻击路径和新增的攻击路径重新确定得到的阻断组，第二目标阻断组中的网络设备能够实现同时阻断旧的多条攻击路径和新增的攻击路径上的攻击报文。
[0015]本方案中，云端设备通过实时针对新增的攻击路径和旧的攻击路径确定新的阻断组，能够在网络运行过程中根据攻击事件的变化对阻断攻击报文的网络设备进行适应性调整，保证网络的防护效果。
[0016]可选的，在云端设备确定第二目标阻断组之后，云端设备向第二目标网络设备发送第一指令。第一指令用于指示第二目标网络设备删除报文阻断策略。该第二目标网络设备包括在第一目标阻断组中且未包括在第二目标阻断组中。
[0017]本方案中，由于第二目标网络设备不需要再对与攻击源相关的报文进行阻断，因此云端设备向第二目标网络设备指示删除报文阻断策略，以节省第二目标网络设备上的存储资源。
[0018]可选的，响应于所获取到的多条攻击路径对应的攻击状态为正在攻击，云端设备向第一目标阻断组中的网络设备发送访问控制列表(access control lists，ACL)，该ACL用于阻断来自于攻击源的报文。
[0019]本方案中，基于ACL，第一目标阻断组中的网络设备能够对来自于攻击源的报文进行拦截，从而限制攻击源对内部网络中的终端设备的访问，保证内部网络中的终端设备免受攻击源的攻击。
[0020]可选的，响应于所获取到的多条攻击路径对应的攻击状态为攻击成功，云端设备向第一目标阻断组中的网络设备发送黑洞路由，该黑洞路由用于阻断目的地址为攻击源的报文。
[0021]本方案中，在攻击源成功攻击内部网络的终端设备的情况下，通过向第一目标阻断组中的网络设备发送黑洞路由，能够有效拦截从内部网络发往攻击本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击阻断方法，其特征在于，包括：获取多条攻击路径，所述多条攻击路径为攻击报文的转发路径，所述多条攻击路径具有相同的攻击源；根据所述多条攻击路径，确定第一目标阻断组，所述第一目标阻断组为多个阻断组中包括最少数量的网络设备的阻断组，所述多个阻断组中的每个阻断组均包括至少一个网络设备，且所述每个阻断组中的网络设备用于阻断所述多条攻击路径上的攻击报文；向所述第一目标阻断组中的网络设备发送报文阻断策略，所述报文阻断策略用于阻断与所述攻击源相关的攻击报文。2.根据权利要求1所述的方法，其特征在于，所述第一目标阻断组中包括一个网络设备，所述多条攻击路径上均包括所述第一目标阻断组中的网络设备。3.根据权利要求1所述的方法，其特征在于，所述第一目标阻断组中包括多个网络设备，所述多个网络设备中的每个网络设备位于所述多条攻击路径的部分攻击路径上，且所述多条攻击路径中的每条攻击路径上均包括所述第一目标阻断组中的至少一个网络设备。4.根据权利要求1
‑
3任意一项所述的方法，其特征在于，所述根据所述多条攻击路径，确定第一目标阻断组，包括：根据所述多条攻击路径，确定多个候选阻断组，所述多个候选阻断组均为所述多个阻断组中包括最少数量的网络设备的阻断组；根据预置策略在所述多个候选阻断组中确定所述第一目标阻断组。5.根据权利要求4所述的方法，其特征在于，所述预置策略包括以下策略中的一种或多种：近攻击源策略、近攻击目标策略、资源对比策略和随机策略；其中，所述近攻击源策略用于在所述多个候选阻断组中选择距离攻击源最近的阻断组，所述近攻击目标策略用于在所述多个候选阻断组中选择距离攻击目标最近的阻断组，所述资源对比策略用于在所述多个候选阻断组中选择拥有最多阻断资源的阻断组，所述阻断资源为网络设备中用于存储报文阻断策略的空闲存储空间。6.根据权利要求1
‑
5任意一项所述的方法，其特征在于，所述向所述第一目标阻断组中的网络设备发送报文阻断策略之后，所述方法还包括：获取新增的攻击路径，所述新增的攻击路径与所述多条攻击路径具有相同的攻击源；根据所述新增的攻击路径和所述多条攻击路径，确定第二目标阻断组，所述第二目标阻断组为多个新的阻断组中包括最少数量的网络设备的阻断组，所述多个新的阻断组中的每个阻断组用于阻断所述新增的攻击路径和所述多条攻击路径上的攻击报文；向第一目标网络设备发送所述报文阻断策略，所述第一目标网络设备包括在所述第二目标阻断组中且未包括在所述第一目标阻断组中。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：向第二目标网络设备发送第一指令，所述第一指令用于指示所述第二目标网络设备删除所述报文阻断策略，所述第二目标网络设备包括在所述第一目标阻断组中且未包括在所述第二目标阻断组中。8.根据权利要求1
‑
7任意一项所述的方法，其特征在于，所述向所述第一目标阻断组中的网络设备发送报文阻断策略，包括：响应于所述多条攻击路径对应的攻击状态为正在攻击，向所述第一目标阻断组中的网
络设备发送访问控制列表ACL，所述ACL用于阻断来自于所述攻击源的报文。9.根据权利要求1
‑
7任意一项所述的方法，其特征在于，所述向所述第一目标阻断组中的网络设备发送报文阻断策略，包括：响应于所述多条攻击路径对应的攻击状态为攻击成功，向所述第一目标阻断组中的网络设备发送黑洞路由，所述黑洞路由用于阻断目的地址为所述攻击源的报文。10.一种攻击阻断装置，其特征在于，包括：获取模块，用于获取多条攻击路径，所述多条攻击路径为攻击报文的转发路径，所述多条攻击路径具有相同的攻击源；处理模块，用于根据所述多条攻击路径，确定第一目标阻断组，所述第一目标阻断组为多个阻断组中包括最少数...

【专利技术属性】
技术研发人员：吴朱亮，王仲宇，谢于明，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：