CN114598525A - 一种针对网络攻击的ip自动封禁的方法和装置 - Google Patents
一种针对网络攻击的ip自动封禁的方法和装置 Download PDFInfo
- Publication number
- CN114598525A CN114598525A CN202210222312.1A CN202210222312A CN114598525A CN 114598525 A CN114598525 A CN 114598525A CN 202210222312 A CN202210222312 A CN 202210222312A CN 114598525 A CN114598525 A CN 114598525A
- Authority
- CN
- China
- Prior art keywords
- access
- address
- log data
- risk
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种针对网络攻击IP自动封禁的方法,包括:获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;对解析后的日志数据进行分析,根据配置策略确定匹配到的所有目标日志数据,获取相应的访问IP地址;对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问IP地址是否为高风险,并封禁高风险的访问IP地址。应用本申请,能够有效综合多个安全网络设备的信息进行网络攻击的识别,自动封禁攻击IP。
Description
技术领域
本申请涉及计算机网络技术,特别涉及一种针对网络攻击的IP自动封禁的方法和装置。
背景技术
随着信息化技术的快速发展,网络安全威胁日益上升,直接影响医疗卫生行业的业务连续性和数据安全。如何在网络安全管理和技术体系的基础上持续运营,已成为医疗卫生行业网络安全研究的一项重要课题,网络安全攻击与防护是安全运营的重要基础,因此识别攻击并有效的封堵攻击IP是网络安全运营的重要环节。
目前,大多数组织都购置了大量的网络安全设备,通过WAF阻挡应用层的攻击;利用网络防火墙,过滤攻击IP;通过IDS/IPS,检测和阻击攻击行为等等,但是这些安全设备大多来自不同的生产厂家,很难形成联动,未能最大发挥安全设备的总体势能。同时,在单个安全设备上形成的封堵IP动作基本上是基于单一的威胁IP库,将当前IP与威胁IP库进行比对形成封堵或者放行的决策,决策机制相对单一,同时,每个设备网络安全事件的报警数据具有冗余性与重复性,不能对统一的安全态势形成有效的关联分析,给网络安全管理人员带来沉重的管理成本。
发明内容
本申请提供一种针对网络攻击IP自动封禁的方法和装置,能够有效综合多个安全网络设备的信息进行网络攻击的识别,自动封禁攻击IP。
为实现上述目的,本申请采用如下技术方案:
一种针对网络攻击IP自动封禁的方法,包括:
获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;
对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址;
对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险,并封禁高风险的访问IP地址。
较佳地,所述获取多个网络安全设备的日志数据包括:
在所述多个网络安全设备中启用syslog协议,配置需要采集的日志级别和/或日志类型;所述多个网络安全设备根据配置将需要采集的日志数据通过syslog协议发送至rsyslog服务端,进行日志的统一存储管理;
从所述rsyslog服务端读取所述多个网络安全设备的日志数据。
较佳地,所述对该目标日志数据对应的IP地址进行风险评估前,该方法进一步包括:
判断该目标日志数据对应的访问IP地址是否在预设的IP地址白名单中,若是,则确定该目标日志数据对应的访问IP地址为低风险的IP地址,不再对该目标日志数据对应的访问IP地址进行风险评估;否则,继续执行对该目标日志数据对应的访问IP地址进行风险评估的操作。
较佳地,所述对该日志数据对应的访问IP地址进行风险评估包括:
判断该日志数据对应的访问IP地址是否在预设的IP地址黑名单中,若是,则确定相应的IP地址为高风险的访问IP地址。
较佳地,所述对该日志数据对应的访问IP地址进行风险评估包括:
根据所述访问IP地址的IP地址归属地、用途、访问资源、访问频率和/或访问持续时间确定所述访问IP地址的加权评估值,当加权评估值大于或等于设定的风险阈值时,确定所述访问IP地址为高风险的访问IP地址,当加权评估值小于设定的风险阈值时,确定所述访问IP地址为低风险的访问IP地址。
较佳地,在所述通知所述多个网络安全设备封禁高风险的访问IP地址之前,该方法进一步包括:
根据预先布置的蜜罐确定对于蜜罐所在应用***的访问请求是否存在扫描行为,若存在,则将相应访问请求的来源IP确定为高风险的访问IP地址;其中,所述蜜罐是预先在业务访问场景中的应用***上的若干端口处布置的。
较佳地,在对该目标日志数据对应的访问IP地址进行风险评估之前,该方法进一步包括:将所述访问IP地址进行去重处理。
较佳地,在进行去重处理前,该方法进一步包括:对进行所述去重处理的设备进行私钥加密验证,并在验证通过后执行所述进行去重处理的操作。
较佳地,所述封禁高风险的IP地址包括:
通过API接口的方式将高风险的访问IP地址以POST方式推送到预设的企业网盾上,所述企业网盾对接收的高风险的访问IP地址进行全局封禁;
对于不带有API接口的网络安全设备,使用模拟SSH命令的方式将高风险的IP地址推送到相应的网络安全设备,相应的网络安全设备根据接收的IP地址进行全局封禁。
较佳地,预先设定账户和设备执行所述封禁高风险的访问IP地址的操作。
较佳地,在所述封禁高风险的IP地址后,该方法进一步包括:对于封禁的访问IP地址,在封禁时间达到设定的时间阈值后进行解封处理。
较佳地,在所述封禁高风险的访问IP地址后,该方法进一步包括:对于封禁的访问IP地址,向网络安全管理员发送预警信息。
较佳地,所述预警信息包括:封禁的访问IP地址、评估时间、评估为高风险的原因。
较佳地,所述对解析后的日志数据进行分析确定与预设的配置策略相匹配的所有目标日志数据包括:
根据统一格式后的日志中关键字段的取值,按照所述配置策略对解析后的日志进行检索,确定所述目标日志数据。
一种针对网络攻击IP自动封禁的装置,包括:日志数据获取模块、日志数据解析模块、日志数据分析模块、风险评估模块和封禁模块;
所述日志数据获取模块,用于获取多个网络安全设备的日志数据;
所述日志数据解析模块,用于将获取的日志数据解析为统一的格式;
所述日志数据分析模块,用于对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址;
所述风险评估模块,用于针对每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险;
所述封禁模块,用于封禁高风险的访问IP地址。
较佳地,所述装置进一步包括去重模块,用于将所述日志数据分析模块匹配到的所有目标日志数据进行去重处理,将去重处理后的目标日志数据提供给所述风险评估模块。
较佳地,所述装置进一步包括预警模块,用于针对封禁的访问IP地址,向网络安全管理员发送预警信息。
较佳地,所述装置进一步包括解封模块,用于对于封禁的访问IP地址,在封禁时间达到设定的时间阈值后进行解封处理。
由上述技术方案可见,本申请中, 获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;对解析后的日志数据进行分析,根据配置策略确定匹配到的所有目标日志数据;对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定访问 IP地址是否为高风险,并封禁高风险的访问IP地址。通过上述处理能够利用多个网络安全设备的日志数据,对访问IP地址是否高风险进行判定,并封禁高风险的访问IP地址,从而能够有效综合多个安全网络设备的信息进行网络攻击的识别,自动封禁攻击IP。
附图说明
图1为本申请中针对网络攻击IP自动封禁的方法基本流程图;
图2为本申请实施例中针对网络攻击IP自动封禁方法的具体流程图;
图3为本申请中针对网络攻击IP自动封禁装置的基本结构示意图。
具体实施方式
为了使本申请的目的、技术手段和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。
图1为本申请中针对网络攻击IP自动封禁的方法基本流程图。如图1所示,该方法包括:
步骤101获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式。
步骤102,对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址。
步骤103,对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定相应的访问 IP地址是否为高风险,并封禁高风险的访问IP地址。
至此,图1所示的基本流程结束。下面通过具体实施例说明本申请的具体实现。
图2为本申请实施例中针对网络攻击IP自动封禁方法的具体流程图。如图2所示,该方法包括:
步骤201,获取多个网络安全设备的日志数据。
本申请中需要综合多个网络安全设备的信息进行网络攻击的识别,进行攻击识别时基于的网络安全设备的信息主要是日志数据,因此本步骤获取多个网络安全设备的日志数据。市面上具有销售许可的网络安全设备均支持日志导出功能,具体每个安全设备支持的日志导出方式各有差异,有数据库、文本文件、Syslog、简单网络管理协议(SimpleNetwork Management Protocol,SNMP)、REST API等多种形式。本步骤可以按照现有方式导出各个网络安全设备的日志数据。
更详细地,在网络安全设备中启用syslog协议,配置需要采集的日志级别或日志类型,通过syslog协议发送至rsyslog服务端做日志的统一存储管理;rsyslog服务端根据日志类型或来源IP存储为本地不同的日志文件作为区分;从rsyslog服务端读取保存的日志数据。其中,获取日志数据可以是进行实时读取。
另外,在进行网络攻击的识别中,除最基本地利用网络安全设备的日志数据之外,还可以通过人工输入或者第三方威胁情报信息输入的方式来获取信息,用于识别网络攻击。
具体地,为了防止收集的日志出现漏报事件,在收集网络安全设备日志数据的同时,采用人工监控各安全设备的方式定时进行威胁处置,并上报访问IP地址,根据上报访问IP地址的威胁程度,选择将接收的访问IP放入黑名单或直接作为高风险地址。
或者,还可以从第三方威胁情报API获取信息,用于识别网络攻击。与行业网络安全主管和监管机构的威胁情况实时联防联控,匹配互联网网络流量,接收恶意标签IP,根据标签级别,择将接收的访问IP放入黑名单或直接作为高风险地址,从而在实施攻击前进行快速处置。
在本步骤中对于各个网络安全设备的日志数据获取时,既可以是直接获取全量日志数据,也可以是获取网络安全设备识别出的有潜在风险的日志数据。具体获取哪些数据可以根据实际需要进行设定。
步骤202,将获取的日志数据解析为统一的格式。
对于新获取到的日志数据,采取写模式(schema on write),日志数据可以在存储前进行解析,提升解析速度,从而可以更早地匹配出攻击IP进行后续处理。
本步骤通过对收集到的日志数据做解析,从而标准化所有日志。具体地,可以配置json或自定义字段解析方式,将所有日志数据做标准化,转换为统一的格式,例如json格式,并将标准化解析后的日志数据进行存储,以供后续的字段分析。
步骤203,对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址。
对于统一格式表示的日志,本步骤能够根据配置的规则抽取日志关键字段,将非结构化的日志转换成结构化数据。然后,利用日志的关键字段进行检索,确定与配置策略相匹配的日志作为目标日志,并获取相应的访问IP地址。对于匹配到的目标日志,保存其目标地址、目标URL、源IP、源MAC地址等重要字段。
对日志数据进行分析抽取关键字段的好处在于:可以利用关键字段进行日志数据的统计分析。用于进行日志分析的设备可以对日志关键字段及原始日志进行索引,用户可对关键字段及原始日志进行搜索。
具体地,为实现对日志数据的分析和检索,可以对日志的关键字段及全文做索引,以时间维度将日志存为多个索引文件,方便用户决定保留多长时间的日志。索引文件可以采用分布式存储,并且有副本,保障高可用。即使对于日志中没有抽取关键字段的那些信息,依然可以通过事后提取的方式完成即时的字段统计分析工作。另外,用于进行日志分析的设备基于上述信息还可以支持对不同来源的日志做关联分析。
对于完成关键字段抽取的日志,可以利用日志的关键字段进行检索,确定出与配置策略相匹配的日志作为目标日志,并获取相应的访问IP地址。
例如,当需要匹配攻击日志时,可以根据配置策略进行检索,具体可以是检索日志来源为WAF、且具备攻击IP、攻击来源、服务器IP、攻击URL等关键字的日志,将检索匹配到的日志作为目标日志进行后续处理。或者,当需要对流量高危进行分析时,可以检索日志来源为360、且具备检索流氓推广、僵尸网络、远控木马、黑市工具、窃密木马等关键字的日志,将检索匹配到的日志作为目标日志进行后续处理。
除此之外,用于进行日志分析的设备还可以提供WEB界面,可在界面根据日志来源添加自定义仪表盘分析,如waf访问情况、waf阻断情况、waf入侵情况分析等。
通过步骤203,根据配置策略可以匹配到若干目标日志条目。在基本的流程中可以针对所有目标日志条目直接执行步骤206。但是,考虑到日志数据来源于多个不同的网络安全设备,而不同设备可能会有重复的数据,为提高处理效率,优选地包括本步骤的处理进行数据去重。
步骤204,对步骤203确定的目标日志数据进行去重处理。
具体地可以将步骤203匹配到的目标日志条目通过webhook方式上报用于去重处理。为保证安全性,优选地,可以预先开发数据去重接口,对接口做私钥加密验证方法,增强接口调用的安全性,接口支持白名单策略配置,避免误封正常的调用。
去重处理操作具体可以包括:获取上报的目标日志数据之后,在历史已上报的目标日志中利用目标IP等字段做去重工作,避免同一IP重复封禁,造成不必要的资源浪费,将去重后的日志可以转化为指定格式的文本文件存储,待下一步操作。具体地,历史已上报的目标日志可以保存在一个设定位置上,例如保存在一个临时表中;将本次上报的目标日志的目标IP字段与临时表中各日志的目标IP字段进行比较,若存在相同的目标IP,则不将本次上报的目标日志保存在临时表中,直接丢弃;否则将本次上报的目标日志保存在临时表中。临时表中可以是保存设定时间内已上报且去重的目标日志,设定时间可以根据需要,例如可以是保存当天上报的日志。
在步骤203或204之后,可以直接执行步骤206,或者,为了防止误封ip对日常业务应用造成影响,还可以在步骤206之前执行步骤205,以进行白名单过滤。
步骤205,对于每一条目标日志数据,进行白名单过滤。
为了防止误封IP地址对日常业务应用造成影响,可以预先建立IP地址白名单,IP地址白名单可以包括CDN节点、内部IP地址、合作伙伴IP地址以及临时IP地址等。
对于每条目标日志数据,首先判断对应的访问IP地址是否位于IP地址白名单内,若是,则对该访问IP地址直接放行,不再进行风险评估;否则,对该目标日志数据及其访问IP地址(即目标IP)执行步骤206。IP地址白名单可以由手工维护,每日自动重置白名单。
步骤206,对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定访问 IP地址是否为高风险。
对于每个目标日志数据,可以利用前述日志分析结果中ip归属地、用途、访问资源、访问频率及持续时间等多维度采用加权评估的方式给出ip地址的综合赋值,从而进行风险评估。具体地,可以根据每个目标日志数据对应的访问IP地址的IP地址归属地、用途、访问资源、访问频率和/或访问持续时间,计算访问IP地址的加权评估值,当加权评估值大于或等于设定的风险阈值时,确定该访问IP地址为高风险的访问IP地址,当加权评估值小于设定的风险阈值时,确定该访问IP地址为低风险的访问IP地址。
在进行加权评估时,可以根据具体的情况修改不同维度的赋值情况,例如,假定风险阈值为5,ip地址归属地为国外的赋值可以为4,ip地址的访问资源路径不存在且包含phpMyAdmin等敏感词的,可以赋值为5。以上赋值可以根据不同的环境实施修改,如在攻防演习阶段,可以将ip地址归属地为特定地区同时访问资路径异常的ip,赋值为5,判定为高风险ip。
在进行加权评估时,访问资源主要包括目的IP,如访问的是患者***、普通业务***等。对于高价值的***,如医院的挂号***,权重是比较高的,一般可以分为三档(非常重要、重要、一般)。根据访问***的重要程序及访问***的数量,会形成一个赋值的矩阵。对于访问频率,频率越高赋值可以越大。具体可以由访问频率和访问资源结合后进行加权评估的赋值。访问持续时间通常是在一个设定时间以上持续时间越久,一般赋值越大;该设定时间主要是考虑到进行一般操作的基础时间,例如挂号***中填写基础信息的平均时间大概是10分钟,那么设定时间就是10分钟,在10分钟之后,持续时间越久一般赋值越大。
除通过上述方式进行风险评估之外,还可以利用IP地址黑名单来进行。具体地,可以预先设置IP地址黑名单,判断该日志数据对应的访问IP地址是否在预设的IP地址黑名单中,若是,则确定相应的IP地址为高风险的访问IP地址;若不是,可以对该访问IP地址继续进行风险评估。其中,IP地址黑名单中的IP地址可以是来自监管机构威胁情报与反欺诈***(“号贩”),例如恶意攻击IP、号贩子IP等,或者,也可以是步骤101中通过人工输入或来自第三方威胁情报API的IP地址。
另外,还可以预先在业务访问场景中应用***上的若干端口处布置蜜罐,例如在院的业务访问场景中在官网、OA、挂号等应用***的端口出布置蜜罐,引诱非法用户进行攻击。当访问请求发送至应用***时,根据各个设置的蜜罐判断相应的访问请求是否有扫描行为,若是,则确定该访问请求的来源IP为高风险的访问IP地址。
步骤207,封禁高风险的访问IP地址。
本步骤对判定为高风险的ip需要实施封禁操作。
自动封禁可以通过公安部网络威胁情报联防处置平台网盾k01、防火墙、WAF、CDN等来实现,也可以利用任何网络安全设备来实现。
在收到待封禁的高风险ip后,定期自动与上述一个或多个安全设备或***进行联动,联动方式可以包括API和SSH。
API方式:使API接口的方式把需要封禁的ip以POST方式的推动到上述网络安全设备(例如K01)上,由相应的网络安全设备完成全局封禁以及封禁时间设定。
SSH方式:如果涉及的安全设备没有API接口,可以使用模拟SSH命令的方式把ip推动到安全设备上,实现全局自动封禁。例如在一些没有API接口的防火墙上,可以事先定义多个地址组对象,并将其设置为封禁策略的源地址。通过python的requests模块调用SSH的shell并按照符合防火墙自身命令行的格式,把需要封禁的IP写入到地址组对象中。
以上自动封禁的完成,为了确保权责分离以及最小权限,在实施封禁的设备上可以建立独立的账号进行封禁操作且只允许特定设备使用。
步骤208,对于封禁的访问IP地址,向网络安全管理员发送预警信息。
本步骤中将封禁信息通过预警的形式发送给网络安全管理员,发送途径的可以采用短信、邮件、电话的形式,预警信息格式可以包括但不限于封禁IP、评估时间、评估为高危IP的原因等。网络安全管理员可以根据预警信息直观感觉特点时间段,***封禁IP数量,粗略判定目前***的安全情况。
同时,后台记录封禁IP的详细信息,包括来源地、行为等信息,方便形成攻击报表进一步分析,同时依据封禁和解封情况动态调整IP风险评估赋值模型。
步骤209,对于封禁的访问IP地址,在封禁超过时间阈值后自动进行解封。
由于某些应用程序的执行机制存在非标准化问题,导致处罚安全设备的告警,进而对非攻击ip进行的误封。同时,目前在医院访问场景中,用户对医院***的访问多为查询、挂号服务。基于现在移动网络和家庭宽带IP分配均为动态,很可能一次攻击之后IP地址就发生了变化,而经过我们自动封禁的IP地址可能分配给一个正常访问医院***的用户,所以解封策略至关重要。
解封的具体实现方式与封禁方式大致相同,分别通过API以及SSH的方式解封ip。将IP自动封禁后,将IP信息存储到自动封禁IP库并打上时间标签,设定封堵有效期为12小时,超时自动解封策略,同时可根据实际运行情况可以灵活配置封堵有效期。
至此,图2所示的流程结束。由上述图2所示的流程给出了本申请自动封禁方法的具体实现,突破对安全设备同一厂商的依赖,通过集中收集各个安全设备日志,并对日志进行关联实时分析,建立IP多维度风险评估策略,最终实现访问IP自动封禁或者是放行的决策,有效防范恶意攻击及0day攻击行为。
上述即为本申请中封禁方法的具体实现。本申请还提供了一种针对网络攻击IP自动封禁的装置,可以用于实现上述封禁方法。图3为封禁装置的基本结构示意图。如图3所示,该装置包括:日志数据获取模块、日志数据解析模块、日志数据分析模块、风险评估模块和封禁模块。
其中,日志数据获取模块,用于获取多个网络安全设备的日志数据。日志数据解析模块,用于将获取的日志数据解析为统一的格式。日志数据分析模块,用于对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址。风险评估模块,用于针对每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险。封禁模块,用于封禁高风险的访问IP地址。
可选地,装置可以进一步包括去重模块,用于将日志数据分析模块匹配到的所有目标日志数据进行去重处理,将去重处理后的目标日志数据提供给风险评估模块。
可选地,装置还可以进一步包括预警模块,用于针对封禁的访问IP地址,向网络安全管理员发送预警信息。
可选地,装置还可以进一步包括解封模块,用于对于封禁的访问IP地址,在封禁时间达到设定的时间阈值后进行解封处理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (18)
1.一种针对网络攻击IP自动封禁的方法,其特征在于,包括:
获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;
对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址;
对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险,并封禁高风险的访问IP地址。
2.根据权利要求1所述的方法,其特征在于,所述获取多个网络安全设备的日志数据包括:
在所述多个网络安全设备中启用syslog协议,配置需要采集的日志级别和/或日志类型;所述多个网络安全设备根据配置将需要采集的日志数据通过syslog协议发送至rsyslog服务端,进行日志的统一存储管理;
从所述rsyslog服务端读取所述多个网络安全设备的日志数据。
3.根据权利要求1所述的方法,其特征在于,所述对该目标日志数据对应的IP地址进行风险评估前,该方法进一步包括:
判断该目标日志数据对应的访问IP地址是否在预设的IP地址白名单中,若是,则确定该目标日志数据对应的访问IP地址为低风险的IP地址,不再对该目标日志数据对应的访问IP地址进行风险评估;否则,继续执行对该目标日志数据对应的访问IP地址进行风险评估的操作。
4.根据权利要求1所述的方法,其特征在于,所述对该日志数据对应的访问IP地址进行风险评估包括:
判断该日志数据对应的访问IP地址是否在预设的IP地址黑名单中,若是,则确定相应的IP地址为高风险的访问IP地址。
5.根据权利要求1或4所述的方法,其特征在于,所述对该日志数据对应的访问IP地址进行风险评估包括:
根据所述访问IP地址的IP地址归属地、用途、访问资源、访问频率和/或访问持续时间确定所述访问IP地址的加权评估值,当加权评估值大于或等于设定的风险阈值时,确定所述访问IP地址为高风险的访问IP地址,当加权评估值小于设定的风险阈值时,确定所述访问IP地址为低风险的访问IP地址。
6.根据权利要求1所述的方法,其特征在于,在所述通知所述多个网络安全设备封禁高风险的访问IP地址之前,该方法进一步包括:
根据预先布置的蜜罐确定对于蜜罐所在应用***的访问请求是否存在扫描行为,若存在,则将相应访问请求的来源IP确定为高风险的访问IP地址;其中,所述蜜罐是预先在业务访问场景中的应用***上的若干端口处布置的。
7.根据权利要求1所述的方法,其特征在于,在对该目标日志数据对应的访问IP地址进行风险评估之前,该方法进一步包括:将所述访问IP地址进行去重处理。
8.根据权利要求7所述的方法,其特征在于,在进行去重处理前,该方法进一步包括:对进行所述去重处理的设备进行私钥加密验证,并在验证通过后执行所述进行去重处理的操作。
9.根据权利要求1所述的方法,其特征在于,所述封禁高风险的IP地址包括:
通过API接口的方式将高风险的访问IP地址以POST方式推送到预设的企业网盾上,所述企业网盾对接收的高风险的访问IP地址进行全局封禁;
对于不带有API接口的网络安全设备,使用模拟SSH命令的方式将高风险的IP地址推送到相应的网络安全设备,相应的网络安全设备根据接收的IP地址进行全局封禁。
10.根据权利要求1或9所述的方法,其特征在于,预先设定账户和设备执行所述封禁高风险的访问IP地址的操作。
11.根据权利要求1所述的方法,其特征在于,在所述封禁高风险的IP地址后,该方法进一步包括:对于封禁的访问IP地址,在封禁时间达到设定的时间阈值后进行解封处理。
12.根据权利要求1所述的方法,其特征在于,在所述封禁高风险的访问IP地址后,该方法进一步包括:对于封禁的访问IP地址,向网络安全管理员发送预警信息。
13.根据权利要求12所述的方法,其特征在于,所述预警信息包括:封禁的访问IP地址、评估时间、评估为高风险的原因。
14.根据权利要求1所述的方法,其特征在于,所述对解析后的日志数据进行分析确定与预设的配置策略相匹配的所有目标日志数据包括:
根据统一格式后的日志中关键字段的取值,按照所述配置策略对解析后的日志进行检索,确定所述目标日志数据。
15.一种针对网络攻击IP自动封禁的装置,其特征在于,包括:日志数据获取模块、日志数据解析模块、日志数据分析模块、风险评估模块和封禁模块;
所述日志数据获取模块,用于获取多个网络安全设备的日志数据;
所述日志数据解析模块,用于将获取的日志数据解析为统一的格式;
所述日志数据分析模块,用于对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址;
所述风险评估模块,用于针对每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险;
所述封禁模块,用于封禁高风险的访问IP地址。
16.根据权利要求15所述的装置,其特征在于,所述装置进一步包括去重模块,用于将所述日志数据分析模块匹配到的所有目标日志数据进行去重处理,将去重处理后的目标日志数据提供给所述风险评估模块。
17.根据权利要求15所述的装置,其特征在于,所述装置进一步包括预警模块,用于针对封禁的访问IP地址,向网络安全管理员发送预警信息。
18.根据权利要求15所述的装置,其特征在于,所述装置进一步包括解封模块,用于对于封禁的访问IP地址,在封禁时间达到设定的时间阈值后进行解封处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210222312.1A CN114598525A (zh) | 2022-03-09 | 2022-03-09 | 一种针对网络攻击的ip自动封禁的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210222312.1A CN114598525A (zh) | 2022-03-09 | 2022-03-09 | 一种针对网络攻击的ip自动封禁的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114598525A true CN114598525A (zh) | 2022-06-07 |
Family
ID=81815792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210222312.1A Pending CN114598525A (zh) | 2022-03-09 | 2022-03-09 | 一种针对网络攻击的ip自动封禁的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114598525A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115022056A (zh) * | 2022-06-09 | 2022-09-06 | 国网湖南省电力有限公司 | 针对电网***的网络攻击行为智能处置方法 |
| CN115208647A (zh) * | 2022-07-05 | 2022-10-18 | 南京领行科技股份有限公司 | 一种攻击行为处置方法及装置 |
| CN115766201A (zh) * | 2022-11-11 | 2023-03-07 | 北京哈工信息产业股份有限公司 | 一种大量ip地址快速封禁的解决方法 |
| CN115913683A (zh) * | 2022-11-07 | 2023-04-04 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
| CN115913665A (zh) * | 2022-11-01 | 2023-04-04 | 国家管网集团北方管道有限责任公司 | 一种基于串口防火墙的网络安全预警方法及设备 |
| CN116455642A (zh) * | 2023-04-21 | 2023-07-18 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与*** |
| CN116545645A (zh) * | 2023-03-20 | 2023-08-04 | 中国华能集团有限公司北京招标分公司 | 一种ip地址封禁方法 |
| CN117201189A (zh) * | 2023-11-03 | 2023-12-08 | 北京微步在线科技有限公司 | 一种防火墙联动方法、装置、计算机设备和存储介质 |
| CN117675387A (zh) * | 2023-12-12 | 2024-03-08 | 广州达悦信息科技有限公司 | 基于用户行为分析的网络安全风险预测方法及*** |
| CN117749645A (zh) * | 2023-11-29 | 2024-03-22 | 北京金诺珩科技发展有限公司 | 一种机房动态ip地址数据采集方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506243A (zh) * | 2016-12-19 | 2017-03-15 | 武汉虹信通信技术有限责任公司 | 一种基于日志数据的网管故障诊断方法 |
| CN110650038A (zh) * | 2019-09-12 | 2020-01-03 | 国家电网有限公司 | 面向多类监管对象的安全事件日志采集处理方法和*** |
| CN111866016A (zh) * | 2020-07-29 | 2020-10-30 | 中国平安财产保险股份有限公司 | 日志的分析方法及*** |
| CN112084249A (zh) * | 2020-09-11 | 2020-12-15 | 浙江立元科技有限公司 | 一种访问记录提取方法及装置 |
| WO2021093051A1 (zh) * | 2019-11-15 | 2021-05-20 | 网宿科技股份有限公司 | 一种ip地址的评估方法、***及设备 |
| CN113254964A (zh) * | 2021-06-02 | 2021-08-13 | 杭州趣链科技有限公司 | 日志安全存证方法、装置、电子设备及存储介质 |
| CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、***、设备和存储介质 |
| CN114143064A (zh) * | 2021-11-26 | 2022-03-04 | 国网四川省电力公司信息通信公司 | 一种多源网络安全告警事件溯源与自动处置方法及装置 |
-
2022
- 2022-03-09 CN CN202210222312.1A patent/CN114598525A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506243A (zh) * | 2016-12-19 | 2017-03-15 | 武汉虹信通信技术有限责任公司 | 一种基于日志数据的网管故障诊断方法 |
| CN110650038A (zh) * | 2019-09-12 | 2020-01-03 | 国家电网有限公司 | 面向多类监管对象的安全事件日志采集处理方法和*** |
| WO2021093051A1 (zh) * | 2019-11-15 | 2021-05-20 | 网宿科技股份有限公司 | 一种ip地址的评估方法、***及设备 |
| CN111866016A (zh) * | 2020-07-29 | 2020-10-30 | 中国平安财产保险股份有限公司 | 日志的分析方法及*** |
| CN112084249A (zh) * | 2020-09-11 | 2020-12-15 | 浙江立元科技有限公司 | 一种访问记录提取方法及装置 |
| CN113254964A (zh) * | 2021-06-02 | 2021-08-13 | 杭州趣链科技有限公司 | 日志安全存证方法、装置、电子设备及存储介质 |
| CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、***、设备和存储介质 |
| CN114143064A (zh) * | 2021-11-26 | 2022-03-04 | 国网四川省电力公司信息通信公司 | 一种多源网络安全告警事件溯源与自动处置方法及装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115022056A (zh) * | 2022-06-09 | 2022-09-06 | 国网湖南省电力有限公司 | 针对电网***的网络攻击行为智能处置方法 |
| CN115022056B (zh) * | 2022-06-09 | 2023-11-21 | 国网湖南省电力有限公司 | 针对电网***的网络攻击行为智能处置方法 |
| CN115208647A (zh) * | 2022-07-05 | 2022-10-18 | 南京领行科技股份有限公司 | 一种攻击行为处置方法及装置 |
| CN115913665A (zh) * | 2022-11-01 | 2023-04-04 | 国家管网集团北方管道有限责任公司 | 一种基于串口防火墙的网络安全预警方法及设备 |
| CN115913683A (zh) * | 2022-11-07 | 2023-04-04 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
| CN115913683B (zh) * | 2022-11-07 | 2024-04-30 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
| CN115766201A (zh) * | 2022-11-11 | 2023-03-07 | 北京哈工信息产业股份有限公司 | 一种大量ip地址快速封禁的解决方法 |
| CN116545645A (zh) * | 2023-03-20 | 2023-08-04 | 中国华能集团有限公司北京招标分公司 | 一种ip地址封禁方法 |
| CN116455642A (zh) * | 2023-04-21 | 2023-07-18 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与*** |
| CN116455642B (zh) * | 2023-04-21 | 2023-11-21 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与*** |
| CN117201189A (zh) * | 2023-11-03 | 2023-12-08 | 北京微步在线科技有限公司 | 一种防火墙联动方法、装置、计算机设备和存储介质 |
| CN117201189B (zh) * | 2023-11-03 | 2024-01-30 | 北京微步在线科技有限公司 | 一种防火墙联动方法、装置、计算机设备和存储介质 |
| CN117749645A (zh) * | 2023-11-29 | 2024-03-22 | 北京金诺珩科技发展有限公司 | 一种机房动态ip地址数据采集方法 |
| CN117749645B (zh) * | 2023-11-29 | 2024-06-04 | 北京金诺珩科技发展有限公司 | 一种机房动态ip地址数据采集方法 |
| CN117675387A (zh) * | 2023-12-12 | 2024-03-08 | 广州达悦信息科技有限公司 | 基于用户行为分析的网络安全风险预测方法及*** |
| CN117675387B (zh) * | 2023-12-12 | 2024-06-14 | 广州达悦信息科技有限公司 | 基于用户行为分析的网络安全风险预测方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| US8375120B2 (en) | Domain name system security network | |
| CN112637220B (zh) | 一种工控***安全防护方法及装置 | |
| CN111600856B (zh) | 数据中心运维的安全*** | |
| CN101176331B (zh) | 计算机网络入侵检测***和方法 | |
| EP2715522B1 (en) | Using dns communications to filter domain names | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN111800395A (zh) | 一种威胁情报防御方法和*** | |
| US20130081141A1 (en) | Security threat detection associated with security events and an actor category model | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN111510463B (zh) | 异常行为识别*** | |
| CN107733699B (zh) | 互联网资产安全管理方法、***、设备及可读存储介质 | |
| US20230231885A1 (en) | Multi-perspective security context per actor | |
| CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| KR20170052779A (ko) | 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법 | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| CN113852625A (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
| KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
| CN116991680B (zh) | 一种日志降噪方法及电子设备 | |
| CN118250088A (zh) | 一种基于蜜罐技术的网络安全服务*** | |
| Ghazzawi et al. | Design and Implementation of an Efficient Intrusion Response System for 5G RAN Baseband Units | |
| Abusamrah et al. | Next-Generation Firewall, Deep Learning Endpoint Protection and Intelligent SIEM Integration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |