【技术实现步骤摘要】
一种IP解封方法、装置、设备及可读存储介质
[0001]本申请涉及计算机网络安全
,具体涉及一种
IP
解封方法
、
装置
、
设备及可读存储介质
。
技术介绍
[0002]在计算机网络安全领域,应对网络攻击最直接且最有效的方法是
IP
封禁,即在防火墙
、IPS(Intrusion Prevention System
,入侵防御系统
)、IDS(Intrusion Detection System
,入侵检测系统
)
等网络安全设备上通过人工或自动化方式配置规则或黑名单,阻止攻击源
IP
的访问;而当攻击源
IP
不再有威胁或超过一定封禁时间后,再通过人工或自动化方式解除对该
IP
的封禁
。
[0003]相关技术中,针对
IP
解封,最常见的方案是
IP
封禁时间一到就立刻解封,但这种方案过于草率,后续一旦发现该
IP
仍在攻击,则又需要再次走一遍封禁流程,不仅耗时且留给了攻击者攻击时间窗口,安全性较差;另一种常见方案则是在进行
IP
封禁的设备和互联网出口之间设置安全检测设备
(
例如
IDS)
,针对已经封禁的
IP
,依然通过这些设备对流量
、
访问次数
、
恶意行为分析等进行实 ...
【技术保护点】
【技术特征摘要】
1.
一种
IP
解封方法,其特征在于,所述
IP
解封方法包括:当需要对被封禁的目标
IP
执行预解封动作时,基于目标
IP
的威胁类型确定出目标验证策略;在封禁目标
IP
的设备上临时解封目标
IP
,将来自目标
IP
的目标流量重定向至与目标验证策略对应的所有目标验证单元,以供所有目标验证单元基于与目标
IP
对应的目标封禁时长对目标流量进行攻击行为观测,得到目标通过率;当目标通过率不小于与目标
IP
的威胁等级对应的通过率阈值时,正式解封目标
IP。2.
如权利要求1所述的
IP
解封方法,其特征在于,所述所有目标验证单元基于与目标
IP
对应的目标封禁时长对目标流量进行攻击行为观测,得到目标通过率,包括:针对每个目标验证单元,基于与目标
IP
对应的目标封禁时长确定出目标观测时长,并根据所述目标观测时长对目标流量进行攻击行为观测;若在所述目标观测时长内观测到攻击行为,则判定验证结果为不通过;若在所述目标观测时长内未观测到攻击行为,则判定验证结果为通过;待所有目标验证单元均完成观测后,对所有目标验证单元的验证结果进行统计,基于验证结果为通过的数量和验证结果总数量计算出目标通过率
。3.
如权利要求1所述的
IP
解封方法,其特征在于,若目标
IP
包括
N
个威胁类型,则存在
N
个目标验证策略,所述所有目标验证单元基于与目标
IP
对应的目标封禁时长对目标流量进行攻击行为观测,得到目标通过率,包括:针对每个目标验证策略,与目标验证策略对应的所有目标验证单元基于与目标
IP
对应的目标封禁时长对目标流量进行攻击行为观测,得到目标通过率;待
N
个目标验证策略均执行完毕后,得到
N
个目标通过率,
N
为正整数
。4.
如权利要求3所述的
IP
解封方法,其特征在于,所述当目标通过率不小于与目标
IP
的威胁等级对应的通过率阈值时,正式解封目标
IP
,包括:若
N
个目标通过率均不小于所述通过率阈值,则执行所述正式解封目标
IP
的步骤;若存在至少一个目标通过率小于所述通过率阈值,则中断目标
IP
的临时解封并延长目标
IP
的封禁时长
。5.
如权利要求1所述的
IP
解封方法,其特征在于,在所述当需要对被封禁的目标
IP
执行预解封动作时的步骤之前,还包括:当检测到被封禁的目标
IP
已封禁的时长等于目标封禁时长时,判断与目标
IP
对应的威胁等级是否为最低等级;若是,则确定需要对被封禁的目标
IP
执行预解封动作;...
【专利技术属性】
技术研发人员:陈子夏,
申请(专利权)人:烽火通信科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。