CN115208601B - 一种主动防御恶意扫描的方法及*** - Google Patents

Abstract

本申请公开了一种主动防御恶意扫描的方法及***，所述方法包括：收集来自IPS和商户前台***的用户行为日志数据，并存储至数据仓库ODS层；对存储的用户行为日志数据进行分析，分析其恶意扫描规律；针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略；根据制定的所述防御策略，将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中；将恶意扫描IP黑名单应用于防火墙，在恶意扫描IP黑名单之内的IP禁止访问；输出IPS的监控数据，根据监控数据所获得的防御结果调整并优化所述防御策略。本申请可以精准、及时地区分正常使用行为和恶意扫描行为，并对恶意扫描行为进行主动防御。

Description

一种主动防御恶意扫描的方法及***

技术领域

本发明涉及互联网风险控制领域，尤其涉及一种主动防御恶意扫描的方法及***。

背景技术

随着计算机应用范围的扩大和互联网技术的迅速发展，计算机信息技术已经渗透到人们生活的方方面面，例如，网上购物、商业贸易、金融财务等。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、恶意软件和其他不轨人员的攻击。

在众多的恶意网络攻击当中，网际互连协议(Internet Protocol，IP)扫描是最普遍的一种攻击途径，在互联网世界中，每天都有百万以上的IP在不断扫描公网IP，用以发现漏洞并尝试入侵。目前恶意扫描和正常访问的界线没有那么清晰，不法分子会通过模拟普通用户的正常使用行为去进行恶意扫描。

主动防御技术是网络安全领域的一门新兴技术，就是在入侵行为对网络或***造成危害之前，识别可疑威胁行为，以便及时进行网络隔离或流量诱捕。近几年，网络空间的主动防御技术成为越来越重要的研究课题。

因此，如何精准、及时地区分正常使用行为和恶意扫描行为，并对恶意扫描行为进行主动防御，是本领域技术人员所面对的技术问题。

发明内容

本发明的目的在于提供一种主动防御恶意扫描的方法及***，以解决上述技术背景中提出的问题。

为实现上述目的，本发明采用以下技术方案：

本申请第一个方面提供了一种主动防御恶意扫描的方法，包括：

A1，收集来自IPS(入侵防御***)和商户前台***的用户行为日志数据，并存储至数据仓库ODS层；

A2，对数据仓库ODS层存储的用户行为日志数据进行分析，分析其恶意扫描规律；针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略，所述防御策略由规则组组成；

A3，根据制定的所述防御策略，将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中；

A4，将恶意扫描IP黑名单应用于防火墙，在恶意扫描IP黑名单之内的IP 禁止访问；

A5，输出IPS的监控数据，根据监控数据所获得的防御结果调整并优化步骤A2中制定的所述防御策略。

优选地，所述步骤A1具体包括：

从生产机房IPS(入侵防御***)确定所需收集的日志数据，该日志数据存储在ES数据库中，所述ES数据库中存储的数据字段，包括IPS主机地址、危险等级、协议、事件描述、源地址IP、源端口、目的地址IP、目的端口、发生时间中的一种或几种；以及

从商户前台***确定所需收集的登录日志数据，该登录日志数据存储在 mongoDB数据库中，所述mongoDB数据库中存储的数据字段，包括登录源地址IP、登录时间、登录用户名、登录结果、登录备注中的一种或多种；

从生产机房IPS的ES数据库读取所需收集的日志数据，从商户前台***的mongoDB数据库读取所需收集的登录日志数据，使用数据仓库预设的抽取任务和预先配置的调度任务，将所需数据写入数据仓库ODS层中；其中，所需数据包含历史数据和实时数据。

更优选地，所述使用数据仓库预设的抽取任务和预先配置的调度任务获取所需数据，包括：

读取任务；

获取所述任务的触发时间条件；

根据触发时间条件中的数据调度时间进行计时，当到达调度周期时，执行数据抽取；

其中，所述数据调度时间包括调度周期，所述调度周期以月、周、日、时、分或秒为单位设置。

优选地，步骤A2中，所述对数据仓库ODS层存储的用户行为日志数据进行分析，具体包括：

观察数据仓库ODS层的IPS的日志样本数据，根据防御事件的危害等级、源地址IP对应的防御事件种类、防御频率关键特征来分析恶意扫描规律；以及

观察数据仓库ODS层的商户前台***的登录日志样本数据，根据登录用户名的合规性、登录失败的频次来分析恶意扫描规律。

优选地，步骤A2中，所述针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略，具体包括：

针对IPS的分析规律制定第一防御策略，所述第一防御策略包括：

1)不管防御事件的危害等级，一旦满足N小时内，源地址IP对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上非预设的IP白名单中的 IP，立即将源地址IP加入恶意扫描IP黑名单；

2)不管防御事件的危害等级，一旦满足N小时内，源地址IP对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上是预设的IP白名单中的 IP，则邮件短信告警至预先确定的终端；

3)针对高危害等级的防御事件，一旦满足N小时内，源地址IP对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)针对高危害等级的防御事件，一旦满足N小时内，源地址IP对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

针对商户前台***登录的分析规律制定第二防御策略，所述第二防御策略包括：

1)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼，且该登录源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

2)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼，且该登录源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

3)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上尚未成功登录过，且该登录源地址IP历史上非预设的IP 白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上有成功登录的记录，但近N4个月未成功登录过，且该登录源地址IP近N4个月非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

5)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，但该登录源地址IP近N4个月有成功登录的记录或该登录源地址IP近N4个月是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

其中，所述N、N1、N2、N3和N4，均为大于等于1的自然数。

优选地，所述步骤A3具体包括：

在数据仓库DW层创建恶意扫描IP黑名单的列表，该列表包括的字段包括序号、黑名单IP、IP状态、是否列入白名单、IP应用状态、创建人、创建事件、修改人、修改时间中的任意一种或多种；

将步骤A2制定的防御策略，使用使用数据仓库的转换加载任务流程和调度任务配置技术，输出到数据仓库DW层的恶意扫描IP黑名单的列表中；

其中，所述IP状态包括：启用和禁用；

所述IP应用状态包括：拉黑状态、解封状态和永久拉黑状态，所述拉黑状态表示该IP添加至防火墙，所述解封状态表示该IP移除防火墙，所述永久拉黑状态表示该IP添加至防火墙且永不移除。

优选地，所述步骤A4具体包括：

B1，定时获取恶意扫描IP黑名单；

B2，判断恶意扫描IP黑名单中的IP是否是预设的IP白名单中的IP，若是，则不加入防火墙，结束流程；否则，执行步骤B3；

B3，判断该IP被拉黑的次数(即加入防火墙的次数)是否小于等于N次，若是，执行步骤B4；否则，执行步骤B5；

B4，该IP在超过N1小时后进行解封，移除防火墙，结束流程；

B5，将该IP永久加入防火墙，结束流程。

优选地，所述步骤A5具体包括：

输出IPS的黑名单IP的监控报表，根据报表结果调整并优化所述防御策略；

输出IPS防御攻击类型事件的监控报表，根据报表结果调整并优化所述防御策略。

本申请第二个方面提供了一种主动防御恶意扫描的***，包括：

日志数据收集存储模块，用于收集来自IPS和商户前台***的用户行为日志数据，并存储至数据仓库ODS层；

防御策略管理模块，用于对数据仓库ODS层存储的用户行为日志数据进行分析，分析其恶意扫描规律，并针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略，所述防御策略由规则组组成；

恶意扫描IP黑名单输出模块，用于根据制定的所述防御策略，将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中；

主动防御模块，用于将恶意扫描IP黑名单应用于防火墙，在恶意扫描IP黑名单之内的IP禁止访问；

防御策略优化模块，用于根据IPS的监控数据所获得的防御结果调整并优化防御策略管理模块中制定的防御策略。

本申请第三个方面还提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述所述的主动防御恶意扫描的方法。

本申请第四个方面还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如上述所述的主动防御恶意扫描的方法。

与现有技术相比，本发明的技术方案具有以下有益效果：

本发明是通过收集用户行为日志，数据分析规律获取恶意扫描行为并制定防御策略，使用数据仓库技术将恶意扫描策略结果自动同步至数据应用层，以达到主动并且自动防御恶意扫描行为。本发明具有以下特点：1)整个防御策略配置中有IP白名单表，以防止信息安全工程师测试误中策略导致生产事故。该IP白名单包括：公司机房IP，公司办公IP，公司办公测试IP等，一旦防御策略输出恶意扫描黑名单IP中含IP白名单中的IP，则该IP不进入恶意扫描黑名单IP的列表。2)整个防御应用中，防御机制比较灵活，既有针对恶意扫描行为的用户永久拉黑机制，也有针对非恶意扫描行为误中防御策略的解封机制。本发明可以精准、及时地区分正常使用行为和恶意扫描行为，并对恶意扫描行为进行主动防御，将任何有损信息安全的苗头扼杀在萌芽状态。

附图说明

构成本申请的一部分附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本发明实施例一中的一种主动防御恶意扫描的方法的原理图；

图2是本发明实施例一中收集用户行为数据并进行存储的实现流程图；

图3是本发明实施例一中调度任务配置的示例图；

图4是本发明实施例一中数据仓库ODS层的IPS存储的部分日志样本数据示例图；

图5是本发明实施例一中将防御策略使用数据仓库的转换加载任务流程+调度任务配置技术输出到数据仓库DW层的实现流程图；

图6是本发明实施例一中将恶意扫描IP黑名单应用于防火墙，使该IP禁止访问的流程示意图；

图7是本发明实施例一中IPS输出的黑名单IP监控报表示例图；

图8是本发明实施例二的一种主动防御恶意扫描的***的结构框图；

图9是本发明实验结果中恶意扫描IP黑名单在防御前和防御后的IP数量变化图；

图10是本发明实验结果中IPS防御次数在防御前和防御后的数量变化图。

具体实施方式

为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序，应该理解这样使用的数据在适当情况下可以互换。此外，术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一：

本发明一种主动防御恶意扫描的方法，如图1所示的原理图，其具体实现过程一共包括五个阶段：

阶段一：收集用户行为日志数据并进行存储。

参阅图2，其具体步骤包括：

1)从生产机房IPS(入侵防御***)确定所需收集的日志数据，该日志数据存储在ES数据库中，存储的数据字段包括IPS主机地址、危险等级、协议、事件描述、源地址IP、源端口、目的地址IP、目的端口、发生时间中的一种或几种。

其中，IPS(入侵防御***，Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter， ApplicationGateway)的补充。IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。ES数据库，是非关系型数据库，是一个接近实时的搜索平台。

2)从商户前台***确定所需收集的登录日志数据，该登录日志数据存储在mongoDB数据库中，存储的数据字段包括登录源地址IP、登录时间、登录用户名、登录结果、登录备注中的一种或多种。其中，mongoDB数据库，是基于分布式文件存储的数据库。

3)从生产机房IPS的ES数据库读取所需收集的日志数据，从商户前台***的mongoDB数据库读取所需收集的登录日志数据，使用数据仓库预设的抽取任务和预先配置的调度任务，将所需数据写入数据仓库ODS层(mysql数据库) 中。其中，所需数据包含历史数据和实时数据。

上述的ODS(Operational Data Store)，是一种数据存储***，它将来自不同数据源的数据(各种操作型数据库、外部数据源等)通过ETL过程汇聚整合成面向主题的、集成的、企业全局的、一致的数据集合(主要是最新的或者最近的细节数据以及可能需要的汇总数据)，用于满足企业准实时的OLAP操作和企业全局的OLTP操作，并为数据仓库提供集成后的数据，将数据仓库***中的 ETL过程下沉到ODS中完成以减轻数据仓库的压力。

上述的数据仓库ODS层，用于存放原始数据，保持数据原貌不做处理。

上述的调度任务配置，用于控制任务的启动运行(启动时间、运行周期及触发条件)，实现数据的传输转换操作。

调度任务配置的示例图如图3所示。该示例中，先设定任务标识，然后设定该任务标识的触发时间条件，该触发时间条件中包含有数据调度时间，例如：每日凌晨1点触发，每月1日凌晨2点触发等。数据调度时间中包括调度周期，所述调度周期以月、周、日、时、分或秒为单位设置。配置好任务调度后，各任务会按照预设的调度时间进行触发，即：先读取任务标识，获取该任务标识对应的触发时间条件，然后根据触发时间条件中的数据调度时间进行计时，当到达调度周期时，自动执行数据抽取。

阶段二：分析用户行为日志数据并制定防御策略。

步骤S1：对数据仓库ODS层存储的用户行为日志数据进行分析，获取恶意扫描行为。其具体步骤如下：

1)观察数据仓库ODS层的IPS的部分日志样本数据(参阅图4)，从防御事件的危害等级、源地址IP对应的防御事件种类、防御频率等方向分析恶意扫描规律；

2)观察数据仓库ODS层的商户前台***的部分登录日志样本数据，从登录用户名的合规性、登录失败的频次等方向分析恶意扫描规律。

步骤S2：针对IPS的分析规律制定第一防御策略，所述第一防御策略包括：

1)不管防御事件的危害等级，一旦满足N小时内，源地址IP(排除局域网IP：172和192开头的)对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

2)不管防御事件的危害等级，一旦满足N小时内，源地址IP(排除局域网 IP：172和192开头的)对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至运营专员处理；

3)针对高危害等级的防御事件，一旦满足N小时内，源地址IP(排除局域网IP：172和192开头的)对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)针对高危害等级的防御事件，一旦满足N小时内，源地址IP(排除局域网IP：172和192开头的)对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至运营专员处理。

步骤S3：针对商户前台***登录的分析规律制定第二防御策略，所述第二防御策略包括：

1)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段一旦出现黑客组织字眼，且该登录源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

2)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段一旦出现黑客组织字眼，且该登录源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至运营专员处理；

3)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上尚未成功登录过，且该登录源地址IP历史上非预设的IP 白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上有成功登录的记录，但近N4个月未成功登录过，且该登录源地址IP近N4个月非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

5)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，但该登录源地址IP近N4个月有成功登录的记录或该登录源地址IP近N4个月是预设的IP白名单中的IP，则邮件短信告警至运营专员处理。

上述防御规则中的N、N1、N2、N3和N4，均为大于等于1的自然数。

阶段三：使用数据仓库技术并精准输出恶意扫描IP黑名单。

其具体步骤包括：

1)在数据仓库DW层创建恶意扫描IP黑名单的列表，详见表1。

表1，

2)将阶段二的防御策略使用数据仓库的转换加载任务流程+调度任务配置技术(参阅图5)，输出到数据仓库DW层的恶意扫描IP黑名单的列表中。输出结果有：黑名单IP(防御策略得出)、state(默认启用)、white_list(默认黑名单状态)、apply_state(默认初始化状态)、create_by(IPS或商户前台***) 和create_at(当前时间)。

3)针对数据仓库的转换加载任务流程+调度任务配置技术任务难点，主要在SQL撰写拼接上。以下是其中某策略SQL解决方案示例：

策略：不管防御事件的危害等级，一旦满足N小时内，源地址IP(排除局域网IP：172和192开头的)对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上非预设的IP白名单(商户业务IP表)中的IP，立即将源地址 IP加入恶意扫描IP黑名单。

该策略及对应的SQL分解如下：

(a)N小时内：

select*from IPS表where时间>＝date_sub(now(),interval N hour)

(b)源地址排除局域网IP：172和192开头的：

select*from IPS表where源地址IP not like‘192％’and源地址IP not like‘172％’

(c)防御事件类型的次数大于等于N1次：

select源地址IP from(

select源地址IP,count(distinct防御事件)防御事件类型次数

from IPS表

where时间>＝date_sub(now(),interval N hour)

and源地址IP not like‘192％’and源地址IP not like‘172％’

group by源地址IP

)表

where防御事件类型次数>＝N1

(d)该源地址IP历史上非预设的IP白名单(商户业务IP表)中的业务IP：

select业务IP from商户业务IP表

将以上分解策略及SQL拼接如下：

select

/**表1.源地址IP去重**/

distinct表1.源地址IP

from IPS表as表1

left join(

/**查询防御事件类型的次数大于等于N1次的源地址IP**/

select源地址IP from(

/**查询源地址IP出现的防御事件类型的次数**/

select源地址IP,count(distinct防御事件)防御事件类型次数

from IPS表

where时间>＝date_sub(now(),interval N hour)

and源地址IP not like‘192％’and源地址IP not like‘172％’

group by源地址IP)表where防御事件类型次数>＝N1

)表2on表1.源地址IP＝表2.源地址IP left join(

/**查询商户业务IP**/

select业务IP from商户业务IP表

)表3on表1.源地址IP＝表3.源地址IP where/**表示N小时内**/

表1.时间>＝date_sub(now(),interval N hour)

/**表示排除局域网IP：172和192开头的**/

and表1.源地址IP not like‘192％’and表1.源地址IP not like‘172％’

/**表2.源地址IP非空，表示能关联到，即该源地址IP防御事件类型的次数大于等于N1次**/

and表2.源地址IP is not null

/**表3.业务IP空，表示不能关联到，即该源地址IP历史上非预设的商户业务IP**/

and表3.业务IP is null

其余的防御策略，均按该SQL解决方案进行类似处理。

阶段四：将恶意扫描IP黑名单应用于防火墙，使恶意扫描IP黑名单之内的 IP禁止访问。

参阅图6所示，其具体步骤包括：

B1，使用JAVA程序定时获取获取黑名单初始化IP；

B2，判断初始化IP是否为预设的IP白名单中的IP(配置IP白名单表，在该表中的IP，如若同时也在恶意扫描IP黑名单中，不应用于防火墙)，如果是，则不加入防火墙，结束流程；否则，执行步骤B3；

B3，判断该IP被拉黑的次数(即加入防火墙的次数)是否小于等于N次，若是，执行步骤B4；否则，执行步骤B5；

B4，该IP在超过N1小时后进行解封(即移除防火墙)，结束流程；

B5，将IP加入防火墙，永不解封(即永不移除防火墙)，结束流程。

阶段五：输出防御成果报表，并反馈至第二个阶段优化防御策略。

其具体步骤包括：

1)输出IPS黑名单IP监控报表(参阅图7)，根据报表结果调整并优化防御策略；

2)输出IPS防御攻击类型事件监控报表，根据报表结果调整并优化防御策略(调整防御危害等级高的事件类型)。

实施例二：

参阅图8所示，本实施例提供了一种主动防御恶意扫描的***，包括：

日志数据收集存储模块100，用于收集来自IPS和商户前台***的用户行为日志数据，并存储至数据仓库ODS层；

防御策略管理模块200，用于对数据仓库ODS层存储的用户行为日志数据进行分析，分析其恶意扫描规律，并针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略，所述防御策略由规则组组成；

恶意扫描IP黑名单输出模块300，用于根据制定的所述防御策略，输出恶意扫描IP黑名单；

主动防御模块400，用于将恶意扫描IP黑名单应用于防火墙，在恶意扫描 IP黑名单之内的IP禁止访问；

防御策略优化模块500，用于根据IPS的监控数据所获得的防御结果调整并优化防御策略管理模块200中的防御策略。

本发明实施例还提供一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行计算机程序时实现如上所述的主动防御恶意扫描的方法的步骤。

由于电子设备部分的实施例与主动防御恶意扫描的方法部分的实施例相互对应，因此电子设备部分的实施例请参见主动防御恶意扫描的方法部分的实施例的描述，这里不再赘述。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上所述的主动防御恶意扫描的方法的步骤。

由于计算机可读存储介质部分的实施例与主动防御恶意扫描的方法部分的实施例相互对应，因此计算机可读存储介质部分的实施例请参见主动防御恶意扫描的方法部分的实施例的描述，这里不再赘述。

实验结果：

本发明精准、实时、有效地防御了不法分子的恶意扫描行为，从***上线之后，效果非常显著。

图9是恶意扫描IP黑名单中的IP数量的变化图，左侧为防御前的效果，右侧为防御后的效果。由图9可见，恶意扫描IP黑名单中的IP数量由每天的数十个变成每天几个，采取了主动防御后的黑名单IP的数量显著减少。

图10是IPS防御次数的数量变化图，左侧为防御前的效果，右侧为防御后的效果。IPS防御次数也由每天的数千次变成每天数百次，采取了主动防御后的 IPS防御次数显著减少。

综上所述，本发明是通过收集用户行为日志，数据分析规律获取恶意扫描行为并制定防御策略，使用数据仓库技术将恶意扫描策略结果自动同步至数据应用层，以达到主动并且自动防御恶意扫描行为。本发明具有以下特点：1)整个防御策略配置中有IP白名单表，以防止信息安全工程师测试误中策略导致生产事故。该IP白名单包括：公司机房IP，公司办公IP，公司办公测试IP等，一旦防御策略输出恶意扫描黑名单IP中含IP白名单中的IP，则该IP不进入恶意扫描黑名单IP的列表。2)整个防御应用中，防御机制比较灵活，既有针对恶意扫描行为的用户永久拉黑机制，也有针对非恶意扫描行为误中防御策略的解封机制。本发明可以精准、及时地区分正常使用行为和恶意扫描行为，并对恶意扫描行为进行主动防御，将任何有损信息安全的苗头扼杀在萌芽状态。

以上对本发明的具体实施例进行了详细描述，但其只是作为范例，本发明并不限制于以上描述的具体实施例。对于本领域技术人员而言，任何对本发明进行的等同修改和替代也都在本发明的范畴之中。因此，在不脱离本发明的精神和范围下所作的均等变换和修改，都应涵盖在本发明的范围内。

Claims (7)

1.一种主动防御恶意扫描的方法，其特征在于，包括：

A1，收集来自IPS和商户前台***的用户行为日志数据，并存储至数据仓库ODS层；

A2，对数据仓库ODS层存储的用户行为日志数据进行分析，分析其恶意扫描规律；针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略，所述防御策略由规则组组成；

A3，根据制定的所述防御策略，将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中；

A4，将恶意扫描IP黑名单应用于防火墙，在恶意扫描IP黑名单之内的IP禁止访问；

A5，输出IPS的监控数据，根据监控数据所获得的防御结果调整并优化步骤A2中制定的所述防御策略；

其中，步骤A2中，所述针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略，具体包括：

针对IPS的分析规律制定第一防御策略，所述第一防御策略包括：

1)不管防御事件的危害等级，一旦满足N小时内，源地址IP对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

2)不管防御事件的危害等级，一旦满足N小时内，源地址IP对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

3)针对高危害等级的防御事件，一旦满足N小时内，源地址IP对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)针对高危害等级的防御事件，一旦满足N小时内，源地址IP对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

针对商户前台***登录的分析规律制定第二防御策略，所述第二防御策略包括：

1)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼，且该登录源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

2)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼，且该登录源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

3)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上尚未成功登录过，且该登录源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上有成功登录的记录，但近N4个月未成功登录过，且该登录源地址IP近N4个月非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

5)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，但该登录源地址IP近N4个月有成功登录的记录或该登录源地址IP近N4个月是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

其中，所述N、N1、N2、N3和N4，均为大于等于1的自然数；

其中，所述步骤A4具体包括：

B1，定时获取恶意扫描IP黑名单；

B2，判断恶意扫描IP黑名单中的IP是否是预设的IP白名单中的IP，若是，则不加入防火墙，结束流程；否则，执行步骤B3；

B3，判断该IP加入防火墙的次数是否小于等于N次，若是，执行步骤B4；否则，执行步骤B5；

B4，该IP在超过N1小时后进行解封，移除防火墙，结束流程；

B5，将该IP永久加入防火墙，结束流程。

2.根据权利要求1所述的一种主动防御恶意扫描的方法，其特征在于，所述步骤A1具体包括：

从生产机房IPS确定所需收集的日志数据，该日志数据存储在ES数据库中，所述ES数据库中存储的数据字段，包括IPS主机地址、危险等级、协议、事件描述、源地址IP、源端口、目的地址IP、目的端口、发生时间中的一种或几种；以及

从商户前台***确定所需收集的登录日志数据，该登录日志数据存储在mongoDB数据库中，所述mongoDB数据库中存储的数据字段，包括登录源地址IP、登录时间、登录用户名、登录结果、登录备注中的一种或多种；

从生产机房IPS的ES数据库读取所需收集的日志数据，从商户前台***的mongoDB数据库读取所需收集的登录日志数据，使用数据仓库预设的抽取任务和预先配置的调度任务，将所需数据写入数据仓库ODS层中；其中，所需数据包含历史数据和实时数据。

3.根据权利要求2所述的一种主动防御恶意扫描的方法，其特征在于，所述使用数据仓库预设的抽取任务和预先配置的调度任务获取所需数据，包括：

读取任务；

获取所述任务的触发时间条件；

根据触发时间条件中的数据调度时间进行计时，当到达调度周期时，执行数据抽取；

其中，所述数据调度时间包括调度周期，所述调度周期以月、周、日、时、分或秒为单位设置。

4.根据权利要求1所述的一种主动防御恶意扫描的方法，其特征在于，步骤A2中，所述对数据仓库ODS层存储的用户行为日志数据进行分析，具体包括：

观察数据仓库ODS层的IPS的日志样本数据，根据防御事件的危害等级、源地址IP对应的防御事件种类、防御频率关键特征来分析恶意扫描规律；以及

观察数据仓库ODS层的商户前台***的登录日志样本数据，根据登录用户名的合规性、登录失败的频次来分析恶意扫描规律。

5.根据权利要求1所述的一种主动防御恶意扫描的方法，其特征在于，所述步骤A3具体包括：

在数据仓库DW层创建恶意扫描IP黑名单的列表，该列表包括的字段包括序号、黑名单IP、IP状态、是否列入白名单、IP应用状态、创建人、创建事件、修改人、修改时间中的任意一种或多种；

将步骤A2制定的防御策略，使用使用数据仓库的转换加载任务流程和调度任务配置技术，输出到数据仓库DW层的恶意扫描IP黑名单的列表中；

其中，所述IP状态包括：启用和禁用；

所述IP应用状态包括：拉黑状态、解封状态和永久拉黑状态，所述拉黑状态表示该IP添加至防火墙，所述解封状态表示该IP移除防火墙，所述永久拉黑状态表示该IP添加至防火墙且永不移除。

6.根据权利要求1所述的一种主动防御恶意扫描的方法，其特征在于，所述步骤A5具体包括：

输出IPS的黑名单IP的监控报表，根据报表结果调整并优化所述防御策略；

输出IPS防御攻击类型事件的监控报表，根据报表结果调整并优化所述防御策略。

7.一种主动防御恶意扫描的***，其特征在于，包括：

日志数据收集存储模块，用于收集来自IPS和商户前台***的用户行为日志数据，并存储至数据仓库ODS层；

防御策略管理模块，用于对数据仓库ODS层存储的用户行为日志数据进行分析，分析其恶意扫描规律，并针对IPS的分析规律、以及商户前台***登录的分析规律分别制定防御策略，所述防御策略由规则组组成；

恶意扫描IP黑名单输出模块，用于根据制定的所述防御策略，将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中；

主动防御模块，用于将恶意扫描IP黑名单应用于防火墙，在恶意扫描IP黑名单之内的IP禁止访问；

防御策略优化模块，用于根据IPS的监控数据所获得的防御结果调整并优化防御策略管理模块中制定的防御策略；

其中，防御策略管理模块中，所述防御策略包括针对IPS的分析规律制定的第一防御策略和针对商户前台***登录的分析规律制定的第二防御策略；

所述第一防御策略包括：

1)不管防御事件的危害等级，一旦满足N小时内，源地址IP对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

2)不管防御事件的危害等级，一旦满足N小时内，源地址IP对应的防御事件类型的次数大于等于N1次，且该源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

3)针对高危害等级的防御事件，一旦满足N小时内，源地址IP对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)针对高危害等级的防御事件，一旦满足N小时内，源地址IP对应的防御事件的防御次数大于等于N2次，且该源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

所述第二防御策略包括：

1)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼，且该登录源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

2)针对高危害等级的恶意扫描，一旦满足N小时内，登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼，且该登录源地址IP历史上是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

3)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上尚未成功登录过，且该登录源地址IP历史上非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

4)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，且该登录源地址IP历史上有成功登录的记录，但近N4个月未成功登录过，且该登录源地址IP近N4个月非预设的IP白名单中的IP，立即将源地址IP加入恶意扫描IP黑名单；

5)不管恶意扫描危害等级，一旦满足N小时内，登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同，登录失败次数超过N3次，但该登录源地址IP近N4个月有成功登录的记录或该登录源地址IP近N4个月是预设的IP白名单中的IP，则邮件短信告警至预先确定的终端；

其中，所述N、N1、N2、N3和N4，均为大于等于1的自然数；

其中，主动防御模块，还用于执行如下步骤B1～B5：

B1，定时获取恶意扫描IP黑名单；

B2，判断恶意扫描IP黑名单中的IP是否是预设的IP白名单中的IP，若是，则不加入防火墙；否则，执行步骤B3；

B3，判断该IP加入防火墙的次数是否小于等于N次，若是，执行步骤B4；否则，执行步骤B5；

B4，该IP在超过N1小时后进行解封，移除防火墙；

B5，将该IP永久加入防火墙。