网络攻击的防护方法技术

本申请公开了一种网络攻击的防护方法

【技术实现步骤摘要】
网络攻击的防护方法、装置、设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种网络攻击的防护方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]随着远程登录和数据管理技术的广泛应用，为用户提供了便捷的远程访问服务，但随之网络安全的问题也愈发严重
。
[0003]目前，网络安全的漏洞与风险主要为恶意用户利用暴力破解
、
字典攻击等多种手段，获取正常用户的账户凭据，并对远程登录服务和数据库等进行未经授权的访问，导致数据库信息的曝光
、
数据加密
、
系统文件损坏等危险
。
目前常用的解决方式为通过设定登陆失败次数锁定业务系统账号
。
但是，很多情况下，业务系统都没开启账号锁定功能（有些业务不具备这个功能
、
有些业务系统默认不开启
、
有些开启很麻烦），而且利用锁定业务系统账号会导致恶意登陆产生锁定账户行为时，正常用户也无法使用相同的账号进行登陆，导致网络防护的灵活性低下
。

技术实现思路

[0004]本申请的主要目的在于提供一种网络攻击的防护方法
、
装置
、
设备及存储介质，旨在解决现有技术中业务主机无法对产生网络攻击行为的来访主机精确拦截，导致网络防护的灵活性低下的技术问题
。
[0005]为实现上述目的，本申请提供一种网络攻击的防护方法，所述网络攻击的防护方法，包括：获取本地业务系统的访问日志；基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测，判断所述来访主机是否存在攻击行为；若存在所述攻击行为，则识别来访主机中的攻击主机，并获取所述攻击主机的
IP
地址；基于所述
IP
地址对所述攻击行为进行拦截
。
[0006]可选地，所述若存在所述攻击行为，则识别来访主机中的攻击主机，并获取所述攻击主机的
IP
地址的步骤，包括：若存在所述攻击行为，则识别来访主机中的攻击主机，并判断所述访问日志中是否存在所述攻击主机的
IP
地址；若所述访问日志中不存在所述
IP
地址，则枚举所述业务系统的网络连接；从所述网络连接中筛选所述攻击主机访问所述业务系统所用端口的目标网络连接；基于所述目标网络连接获取所述攻击主机的
IP
地址
。
[0007]可选地，所述基于所述目标网络连接获取所述攻击主机的
IP
地址的步骤之后，还
包括：分析所述攻击行为发生的时间点；若所述时间点在当前时刻的预设检测时间范围内，则确定所述攻击行为是正在实施攻击的有效攻击行为；若所述时间点不在当前时刻的预设检测时间范围内，则确定所述攻击行为是历史攻击行为；对所述历史攻击行为进行告警；所述基于所述
IP
地址对所述攻击行为进行拦截的步骤，包括：基于所述
IP
地址对所述有效攻击行为进行拦截
。
[0008]可选地，所述基于所述
IP
地址对所述有效攻击行为进行拦截的步骤之前，还包括：从预设拦截白名单中获取安全网络地址；从所述有效攻击行为的
IP
地址中除去所述安全网络地址，确定需要拦截的
IP
地址
。
[0009]可选地，所述基于所述
IP
地址对所述有效攻击行为进行拦截的步骤之后，还包括：统计在预设时长内拦截所述攻击行为的总数量；若所述总数量满足暂停业务的预设数量门限，则对登录所述业务系统的所有访问行为进行拦截
。
[0010]可选地，所述若所述总数量满足暂停业务的预设数量门限，则对登录所述业务系统的所有访问行为进行拦截的步骤之后，还包括：若在预设持续时间段内检测不到攻击行为，则恢复访问所述业务系统的访问行为，继续进行攻击行为检测
。
[0011]可选地，所述获取本地业务系统的访问日志的步骤之前，还包括：枚举本地业务系统的业务监听端口，基于所述业务监听端口获取所述业务系统的进程标识；基于所述进程标识获得所述业务系统的进程名称与业务类型；基于所述进程名称与所述业务类型获取所述业务系统的访问日志
。
[0012]可选地，所述基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测，判断所述来访主机是否存在攻击行为的步骤，包括：从所述访问日志中读取访问所述业务系统的登录信息；基于所述登录信息统计访问所述业务系统的来访主机访问所述业务系统的连续失败次数；若在预设事件周期内所述连续失败次数超出预设安全失败次数，则判定所述来访主机存在攻击行为
。
[0013]此外，为实现上述目的，本申请还提供一种网络攻击的防护装置，网络攻击的防护装置包括：获取模块，用于获取本地业务系统的访问日志；检测模块，用于基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测，判断所述来访主机是否存在攻击行为；判定模块，用于若存在所述攻击行为，则识别所述来访主机为攻击主机，并获取所
述攻击主机的
IP
地址；拦截模块，用于基于所述
IP
地址对所述攻击行为进行拦截
。
[0014]此外，为实现上述目的，本申请还提出一种网络攻击的防护设备，所述设备包括：存储器
、
处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击的防护程序，所述网络攻击的防护程序配置为实现如上文所述的网络攻击的防护方法的步骤
。
[0015]此外，为实现上述目的，本申请还提出一种存储介质，所述存储介质上存储有网络攻击的防护程序，所述网络攻击的防护程序被处理器执行时实现如上文所述的网络攻击的防护方法的步骤
。
[0016]本申请提供一种网络攻击的防护方法
、
装置
、
设备及存储介质，与现有技术中业务主机无法对产生网络攻击行为的来访主机精确拦截，导致网络防护的灵活性低下的问题相比，在本申请中，获取本地业务系统的访问日志；基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测，判断所述来访主机是否存在攻击行为；若存在所述攻击行为，则识别来访主机中的攻击主机，并获取所述攻击主机的
IP
地址；基于所述
IP
地址对所述攻击行为进行拦截
。
即在本申请中，先调取本地业务系统的访问日志，再对访问日志中主机的攻击行为进行检测，在检测到存在攻击行为时，确定来访主机中的攻击主机，并获取攻击主机的
IP
地址，以根据
IP
地址对攻击主机的攻击行为进行拦截，而不是对访问账号进行拦截，因此，在正常用户使用某一个账号连续访问失败次数达到一定次数后，可以换一台设备使用该账号正常访问，提高了网络防护的灵活性
。
附图说明...

【技术保护点】

【技术特征摘要】
1.
一种网络攻击的防护方法，其特征在于，所述网络攻击的防护方法，包括：获取本地业务系统的访问日志；基于所述访问日志对访问所述业务系统的来访主机进行攻击行为检测，判断所述来访主机是否存在攻击行为；若存在所述攻击行为，则识别来访主机中的攻击主机，并获取所述攻击主机的
IP
地址；基于所述
IP
地址对所述攻击行为进行拦截
。2.
如权利要求1所述的网络攻击的防护方法，其特征在于，所述若存在所述攻击行为，则识别来访主机中的攻击主机，并获取所述攻击主机的
IP
地址的步骤，包括：若存在所述攻击行为，则识别来访主机中的攻击主机，并判断所述访问日志中是否存在所述攻击主机的
IP
地址；若所述访问日志中不存在所述
IP
地址，则枚举所述业务系统的网络连接；从所述网络连接中筛选所述攻击主机访问所述业务系统所用端口的目标网络连接；基于所述目标网络连接获取所述攻击主机的
IP
地址
。3.
如权利要求2所述的网络攻击的防护方法，其特征在于，所述基于所述目标网络连接获取所述攻击主机的
IP
地址的步骤之后，还包括：分析所述攻击行为发生的时间点；若所述时间点在当前时刻的预设检测时间范围内，则确定所述攻击行为是正在实施攻击的有效攻击行为；若所述时间点不在当前时刻的预设检测时间范围内，则确定所述攻击行为是历史攻击行为；对所述历史攻击行为进行告警；所述基于所述
IP
地址对所述攻击行为进行拦截的步骤，包括：基于所述
IP
地址对所述有效攻击行为进行拦截
。4.
如权利要求3所述的网络攻击的防护方法，其特征在于，所述基于所述
IP
地址对所述有效攻击行为进行拦截的步骤之前，还包括：从预设拦截白名单中获取安全网络地址；从所述有效攻击行为的
IP
地址中除去所述安全网络地址，确定需要拦截的
IP
地址
。5.
如权利要求3所述的网络攻击的防护方法，其特征在于，所述基于所述
IP
地址对所述有效攻击行为进行拦截的步骤之后，还包括：统计在预设时长内拦截所述攻击行为的总数量；若所述总...

【专利技术属性】
技术研发人员：程方全，王振兴，赵俊勤，
申请(专利权)人：深圳市科力锐科技有限公司，
类型：发明
国别省市：