一种网络攻击的自动封禁方法技术

本发明专利技术公开了一种网络攻击的自动封禁方法

【技术实现步骤摘要】
一种网络攻击的自动封禁方法、装置、设备及存储介质


[0001]本专利技术涉及网络安全领域，尤其涉及一种网络攻击的自动封禁方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]随着信息化技术的快速发展，网络安全威胁日益上升，直接影响网络设施的安全性
。
对于信息技术公司，网络是及其重要的基础设置，对网络的安全性有着极高的要求，这就要求当网络安全攻击发生时，网络安全设施需要将网络攻击来源及时检测出来，并对危险的网络攻击源地址进行及时封禁
。
[0003]然而，传统的对于网络攻击威胁的评估方法更偏向于其对目标系统的毁伤程度的评估，但评估结果相对简单，如将威胁等级简单的分为低级，中级以及高级
。
[0004]传统的网络攻击威胁的评估方法已无法针对如今多变的网络攻击准确评估，评估结果准确度较低，且需要人工对网络攻击的
IP
地址进行封禁，对网络攻击处置效率低下，浪费了大量的人力和物力
。

技术实现思路

>[0005]本专利本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种网络攻击的自动封禁方法，其特征在于，包括：在多个网络设备中收集针对目标需求方的攻击告警日志，并根据各攻击告警日志的告警时间，获取与目标网络攻击事件关联的全部目标攻击告警日志；在各目标攻击告警日志中，分别提取各日志关键参数，并根据各日志关键参数和目标需求方预设的多维度告警分数模型，计算多个维度的告警得分；根据多个维度的告警得分和预设的威胁评分计算公式，计算与目标网络攻击事件匹配的威胁得分；在对与各目标攻击告警日志匹配的各源
IP
地址进行自动封禁处理
。2.
根据权利要求1所述的方法，其特征在于，根据各攻击告警日志的告警时间，获取与目标网络攻击事件关联的全部目标攻击告警日志，包括：抽取各所述攻击告警日志中的时间信息，并将各所述告警时间转换为统一时间格式下的告警时间；按照各所述告警时间，对各所述攻击告警日志进行聚类处理，得到至少一个聚类簇，并将每个聚类簇作为与单次网络攻击事件关联的全部攻击告警日志；在各所述聚类簇中获取目标聚类簇，作为与目标网络攻击事件关联的全部目标攻击告警日志
。3.
根据权利要求1所述的方法，其特征在于，在多个网络设备中收集针对目标需求方的攻击告警日志之后，还包括：根据收集各攻击告警日志的网络设备的设备类型，对各所述攻击告警日志进行分类；在各目标攻击告警日志中，分别提取各日志关键参数，包括：按照与各目标攻击告警日志所属分类匹配的解析方式，对各目标攻击告警日志进行数据解析，获取与各目标攻击告警日志对应的各日志关键参数
。4.
根据权利要求1‑3任一项所述的方法，其特征在于，根据各日志关键参数和目标需求方预设的多维度告警分数模型，计算多个维度的告警得分，包括：根据各日志关键参数，计算得到与全部目标攻击告警日志对应的至少一个共性维度参数的实际值，以及与每个目标攻击告警日志分别对应的至少一个特性维度参数的实际值；根据目标需求方预设的与各共性维度参数和各特性维度参数的不同取值分别对应的分数，确定与全部目标攻击告警日志对应的各共性维度参数的告警得分，和与每个目标攻击告警日志分别对应的各特性维度参数的告警得分
。5.
根据权利要求4所述的方法，其特征在于，所述共性维度参数包括：访问关系
、
威胁阶段
、
威胁告警级别以及威胁告警状态；所述特性维度参数包括源地址地理位置
、
源地址历史情况
、
目的地址地理位置以及目的地址地址历史情况；其中，访问关系的取值包括外网至内网
、
内网至内网以及内网至外网；威胁阶段的取值包括信息探测
、
恶意投放
、
漏洞利用
、
命令与控制
、
横向扩展以及实施攻击；威胁告警级别的取值包括低级
、
中级以及高级；威胁告警状态的取值包括误报
、
未成功
、
待分析以及成功；源地址地理位置的取值包括非国外地址以及国外地址；
源地址历史情况的取值包括
30
天内出现次数大于
15
次
、30
天内出现次数大于1次且小于等于
15
次以及
30
天内出现一次；目的地址地理位置包括非国外地址以及国外...

【专利技术属性】
技术研发人员：张大伟，
申请(专利权)人：北京优特捷信息技术有限公司，
类型：发明
国别省市：