防护网络攻击的方法和装置与流程

本公开涉及互联网技术领域，特别是涉及一种防护网络攻击的方法和装置。

背景技术：

近年来，网络安全威胁的严重程度已经上升了很多倍，几乎每个月都会发生严重的数据泄露事件。如何建立有效的安全运维体系，已成为互联网企业积极研究的一项重要课题。这一点在金融行业体现尤甚，因为金融行业对网络安全的要求通常要高出一般的互联网企业。互联网攻击防护是安全防护的重要基础，一般来说入侵防御系统(intrusionpreventionsystem，简称ips)等安全防护设备可以从一定层面上探测和隔离攻击行为，但是还不足以满足金融行业在精准控制方面的严苛要求。

技术实现要素：

本公开的一个方面提供了一种防护网络攻击的方法，包括：获取攻击源的ip地址；确定所述ip地址是否是白名单中的地址；如果确定所述ip地址是所述白名单中的地址，则确定所述攻击源的真实ip地址；以及封禁所述真实ip地址，以防止所述攻击源攻击目标对象。

可选地，所述封禁所述真实ip地址，包括以下中的一种或几种：在路由器处封禁所述真实ip地址；在防火墙设备处封禁所述真实ip地址；以及在内容分发网络侧封禁所述真实ip地址。

可选地，所述在路由器处封禁所述真实ip地址，包括：确定访问所述目标对象需要经由的所有路由器；以及针对所述所有路由器中的每个，在访问控制列表中添加所述真实ip地址并将所述真实ip地址的属性设置为拒绝访问。

可选地，所述在防火墙设备处封禁所述真实ip地址，包括：确定访问所述目标对象需要经由的所有防火墙设备；以及针对所述所有防火墙设备中的每个，在防火墙策略表中添加所述真实ip地址并将所述真实ip地址的属性设置为拒绝访问。

可选地，所述在内容分发网络侧封禁所述真实ip地址，包括：通知生产代理调用所述内容分发网络的ip封禁接口；以及将所述真实ip地址作为参数传递给所述ip封禁接口，使得所述ip封禁接口将所述真实ip地址下发给所述内容分发网络中的边缘节点，从而实现对所述真实ip地址的封禁。

可选地，所述确定所述攻击源的真实ip地址，包括：如果所述ip地址是伪装内容分发网络的地址，则通知所述内容分发网络的运营商基于所述ip地址返回所述真实ip地址。

可选地，所述方法还包括：如果确定所述ip地址不是所述白名单中的地址，则直接封禁所述ip地址。

本公开的另一个方面提供了一种防护网络攻击的装置，包括：获取模块，用于获取攻击源的ip地址；第一确定模块，用于确定所述ip地址是否是白名单中的地址；第二确定模块，用于在确定所述ip地址是所述白名单中的地址的情况下，确定所述攻击源的真实ip地址；以及封禁模块，用于封禁所述真实ip地址，以防止所述攻击源攻击目标对象。

本公开的另一方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现本公开实施例的方法。

本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现本公开实施例的方法。

本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现本公开实施例的方法。

附图说明

为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了根据本公开实施例的适于防护网络攻击的方法和装置的系统架构；

图2示意性示出了根据本公开实施例的防护网络攻击的方法的流程图；

图3示意性示出了根据本公开实施例的封禁ip的示意图；

图4示意性示出了根据本公开另一实施例的封禁ip的示意图；

图5示意性示出了根据本公开实施例的防护网络攻击的装置的框图；以及

图6示意性示出了根据本公开实施例的电子设备的框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。

附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。

本公开的实施例提供了一种防护网络攻击的方法以及能够应用该方法的防护网络攻击的装置。该方法例如可以包括获取攻击源的ip地址，确定该ip地址是否是白名单中的地址，如果确定该ip地址是该白名单中的地址，则确定该攻击源的真实ip地址，以及封禁该真实ip地址，以防止该攻击源攻击目标对象。

图1示意性示出了根据本公开实施例的适于防护网络攻击的方法和装置的系统架构。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1所示，该系统架构100包括：服务器101(可称为攻击源的攻击对象，即目标对象)、路由器102和防火墙设备103，以及内容分发网络cdn104。其中，一定数量的服务器101、路由器102和防火墙设备103可以构成金融机构的内网，cdn104可以作为外网的一部分。

应该理解，为了减轻服务器101的访问压力，可以将一部分业务放在cdn104上处理。因此，为了降低安全风险，需要同时对服务器101和cdn104进行安全防护。

在本公开实施例中，通过在路由器102和防火墙设备103处以及cdn104侧对攻击源进行全面封禁，实现隔离攻击源、保护金融机构安全的目的。

图2示意性示出了根据本公开实施例的防护网络攻击的方法的流程图。

如图2所示，该方法例如可以包括操作s210～s240。

在操作s210，获取攻击源的ip地址。

具体地，在本公开实施例中，攻击源的ip地址可以通过以下途径获得：1)读取ips设备探测得到的攻击源ip；2)获取外部(如国家安全部门)提供的攻击源ip；3)通过主动探测获取相应的攻击源ip。

需要说明的是，主动探测攻击源ip包括：获取安全类日志或者连接类日志，并通过分析这些日志获取相应的攻击源ip。

更具体地，可以通过集中监控告警过滤、页面录入、邮件附件自动导入、http接口等多种渠道获取攻击源的ip地址。

接下来，在操作s220，确定该ip地址是否是白名单中的地址。

需要说明的是，在本公开实施例中，所有罗列在白名单中的ip地址理论上都应该允许访问目标对象(如某银行的服务器等)，都不应该被封禁。而如果将白名单中的任一ip地址封禁，则可能导致目标对象无法正常对外提供服务。

因此，本公开实施例在封禁攻击源ip之前，先确定该ip是否是白名单中的ip。其中，如果确定该ip不是白名单中的ip，则直接将其封禁。如果确定该ip是白名单中的ip，则执行操作s230。

然后，在操作s230，如果确定该ip地址是该白名单中的地址，则确定该攻击源的真实ip地址。

应该理解，如果一个攻击源的ip地址是白名单中的一个地址，则表明该ip地址并不是该攻击源的实际ip地址，它只是攻击源伪装的ip地址。在这种情况下，为了避免白名单中的ip地址被误封禁而导致目标对象无法正常对外提供服务，同时为了防止攻击源继续攻击目标对象，需要确定该攻击源的真实ip地址。

具体地，对于金融机构而言，由于攻击源既可能伪装成金融机构的相关ip地址，也可能伪装成cdn的相关ip地址，因此确定攻击源的真实ip地址例如可以包括：先确定攻击源所伪装的ip地址的类型，再根据确定的类型来确定真实的ip地址。其中如果确定攻击源所伪装的ip地址为内网ip地址(如某银行的互联网接口ip地址)，则可以根据攻击源访问目标对象的时间点通过查看tcp连接日志来确定攻击源的真实ip地址。如果确定攻击源所伪装的ip地址为外网ip地址(如cdn的相关回源ip地址)，则可以通知cdn运营商确定该攻击源的真实ip地址。

在操作s240，封禁该真实ip地址，以防止该攻击源攻击目标对象。

具体地，对于任意目标对象如服务器而言，为了避免攻击源攻击该目标对象，可以在该目标对象的前置防火墙设备和路由器处以及cdn侧对该攻击源的ip地址进行全面封禁。

通过本公开实施例，可以确保隔离攻击源时封禁攻击源的真实ip地址，从而在保护目标对象安全的同时避免隔离操作导致目标对象无法正常对外提供服务。

作为一种可选的实施例，该封禁该真实ip地址例如可以包括以下中的一种或几种：在路由器处封禁该真实ip地址，在防火墙设备处封禁该真实ip地址，以及在内容分发网络侧封禁该真实ip地址。

应该理解，只有全面封禁攻击源的真实ip地址，才能确保目标对象安全。其中，对于没有使用cdn和防火墙设备的情况，可以仅在路由器处阻断攻击源。同理，以此类推，对于同时使用了cdn和防火墙设备的情况，可以在路由器处和防火墙设备处以及cdn侧同时阻断攻击源，等等。

通过本公开实施例，可以在互联网边界网络设备(如接入路由器、防火墙设备)及cdn运营商侧封禁攻击源的ip地址，从而实现攻击防护流程的闭环。

作为一种可选的实施例，该在路由器处封禁该真实ip地址例如可以包括：确定访问该目标对象需要经由的所有路由器，以及针对该所有路由器中的每个，在访问控制列表中添加该真实ip地址并将该真实ip地址的属性设置为拒绝访问。

在本公开实施例中，一个ip地址可以经由一个或者多个路由器访问目标对象。因此为了全面阻断攻击源的ip地址，需要在访问目标对象可能经由的所有路由器处阻断攻击源的ip地址。

图3示意性示出了根据本公开实施例的封禁ip的示意图。如图3所示，在访问控制列表中设置有两类属性，即permit和deny。其中permit表示允许访问，deny表示拒绝访问。因此对于一个ip地址，如果要实现封禁，则可以将其写入deny一栏中。并且如果该ip地址之前已写入permit一栏中，则需要将其从permit一栏中删除。

通过本公开实施例，可以实现对来自互联网攻击的快速阻断操作，并且可以对多个设备进行并发操作，因此单个ip地址在全网接入路由器处完成封禁用时一般在1分钟以内，大大提高了工作效率。

作为一种可选的实施例，该在防火墙设备处封禁该真实ip地址例如可以包括：确定访问该目标对象需要经由的所有防火墙设备，以及针对该所有防火墙设备中的每个，在防火墙策略表中添加该真实ip地址并将该真实ip地址的属性设置为拒绝访问。

在本公开实施例中，一个ip地址可以经由一个或者多个防火墙设备访问目标对象。因此为了全面阻断攻击源的ip地址，需要在访问目标对象可能经由的所有防火墙设备处阻断攻击源的ip地址。

图4示意性示出了根据本公开另一实施例的封禁ip的示意图。如图3所示，在防火墙策略表中设置有两类属性，即permit和deny。其中permit表示允许访问，deny表示拒绝访问。因此对于一个ip地址，如果要实现封禁，则可以将其写入deny一栏中。并且如果该ip地址之前已写入permit一栏中，则需要将其从permit一栏中删除。

通过本公开实施例，可以实现对来自互联网攻击的快速阻断操作，并且可以对多个设备进行并发操作。

作为一种可选的实施例，在内容分发网络侧封禁该真实ip地址例如可以包括：通知生产代理调用该内容分发网络的ip封禁接口，以及将该真实ip地址作为参数传递给该ip封禁接口，使得该ip封禁接口将该真实ip地址下发给该内容分发网络中的边缘节点，从而实现对该真实ip地址的封禁。

具体地，在cdn侧进行ip封禁时，可以将待封禁的ip地址下发给该cdn中的边缘节点(即边缘服务器)。并且，在本公开实施例中，可以在每个边缘服务器中设置对应的ip表，执行封禁操作时，将待封禁的ip地址写入该ip表，并对写入的ip地址添加deny属性(表示拒绝防问)即可实现ip地址的封禁。

通过本公开实施例，不仅可以在内网实现对来自互联网攻击的快速阻断操作，并且还可以同时联动cdn运营商接口，在cdn侧实现对来自互联网攻击的快速阻断操作。

作为一种可选的实施例，确定该攻击源的真实ip地址例如可以包括：如果该ip地址是伪装了内容分发网络的地址，则通知该内容分发网络的运营商基于该ip地址返回该真实ip地址。

具体地，在攻击源伪装了cdn的地址的情况下，例如可以通过自动发外网邮件或者调用cdn通知接口的方式将伪装的ip地址自动推送给运营商。运营商根据攻击源使用该伪装ip地址访问目标对象的时间点并通过查看连接日志来确定攻击源的真实ip地址，进而向后台反馈信息。后台接收cdn侧反馈的信息，并自动提取攻击源的真实ip地址并录入状态表中。

通过本公开实施例，可以联动cdn运营商来确定真实的ip地址，以减轻金融机构的压力。

此外，在本公开实施例中，支持ipv4及ipv6两种类型的ip地址封禁操作。需要说明的是，ipv4类型的ip地址具有32个地址位，ipv6类型的ip地址具有128个地址位。具体地，在封禁某个ip地址的过程中，可以先提取该ip地址的特征，然后根据提取出ip特征自动判断该地址是ipv4或ipv6地址，然后再根据判断结果关联对应的白名单分别判断是否为白名单ip。

此外，对于已封禁的ip地址，在封禁期结束后，可以将其解禁。其中解禁操作过程与封禁操做过程相反。即将ip地址从如图3所示的deny一栏中删除即可实现解禁。

此外，在本公开实施例中，在封禁之前可以先将所有的攻击源ip地址插入状态表中，并将其全部标注为未处理状态。在封禁过程中，对于一个ip地址，如果在所涉及的所有路由器中都封禁成功，则将其状态修改为封禁成功，如果在所涉及的所有路由器中有一处封禁失败，则将其状态修改为封禁失败。进一步，对于封禁成功的ip地址，可以将其插入历史表中，同时将其从状态表中删除。对于封禁失败的ip地址，需要重新执行封禁操作，直到封禁成功为止。

此外，在本公开实施例中，对于攻击源的ip地址，在阻断完成后例如可以还自动通知相关部门和工作人员了解。并且例如可以通过直观可视化方式呈现攻击源ip的阻断状态，从而实现集中监控、实时更新攻击告警处理进度的目的。

通过本公开实施例，可以实现从探测攻击源、阻断攻击源、到联动cdn、自动通知阻断结果、失败情况自动重试、更新监控告警状态等的全流程攻击防护，并且全流程无需人工干预。同时考虑到互联网地址dhcp分配的特性，对封禁期满的ip地址进行及时解禁，实现了防护措施的防护日期及防护白名单的精准控制，避免了正常的访问需求无法满足，实现了更为精准的攻击防护，极大地解放了运行及网络专业人员。

图5示意性示出了根据本公开实施例的防护网络攻击的装置的框图。

如图5所示，防护网络攻击的装置500包括获取模块501、第一确定模块502、第二确定模块503和封禁模块504。该处理装置可以执行上面参考方法实施例部分描述的方法，在此不再赘述。

具体地，获取模块501用于获取攻击源的ip地址。

第一确定模块502用于确定该ip地址是否是白名单中的地址。

第二确定模块503用于在确定该ip地址是该白名单中的地址的情况下，确定该攻击源的真实ip地址。

封禁模块504用于封禁该真实ip地址，以防止该攻击源攻击目标对象。

需要说明的是，装置部分的实施例方式与方法部分的实施例方式对应类似，并且所达到的技术效果也对应类似，在此不再赘述。

根据本公开的实施例的模块中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，获取模块501、第一确定模块502、第二确定模块503和封禁模块504中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，获取模块501、第一确定模块502、第二确定模块503和封禁模块504中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，获取模块501、第一确定模块502、第二确定模块503和封禁模块504中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图6示意性示出了根据本公开实施例的电子设备的框图。图6示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，电子设备600包括处理器610、计算机可读存储介质620。该电子设备600可以执行根据本公开实施例的方法。

具体地，处理器610例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器610还可以包括用于缓存用途的板载存储器。处理器610可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

计算机可读存储介质620，例如可以是非易失性的计算机可读存储介质，具体示例包括但不限于：磁存储装置，如磁带或硬盘(hdd)；光存储装置，如光盘(cd-rom)；存储器，如随机存取存储器(ram)或闪存；等等。

计算机可读存储介质620可以包括计算机程序621，该计算机程序621可以包括代码/计算机可执行指令，其在由处理器610执行时使得处理器610执行根据本公开实施例的方法或其任何变形。

计算机程序621可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序621中的代码可以包括一个或多个程序模块，例如包括621a、模块621b、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器610执行时，使得处理器610可以执行根据本公开实施例的方法或其任何变形。

根据本公开的实施例，获取模块501、第一确定模块502、第二确定模块503和封禁模块504中的至少一个可以实现为参考图6描述的计算机程序模块，其在被处理器610执行时，可以实现上面描述的相应操作。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。