网络攻击黑名单管理方法及装置的制造方法
【专利摘要】本申请提供一种网络攻击黑名单管理方法及装置,所述方法应用于入侵防御系统IPS设备上,所述方法包括:根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;根据预设管理策略对所述网络攻击黑名单进行分级管理。应用本申请实施例,通过预设管理策略对所述网络攻击黑名单进行分级管理,使得IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。
【专利说明】
网络攻击黑名单管理方法及装置
技术领域
[0001]本申请涉及网络通信技术领域,尤其涉及一种网络攻击黑名单管理方法及装置。 【背景技术】
[0002]随着网络应用深入人们的生活,网络攻击层出不穷,尤其在一些重要的网络节点, 例如大型企业单位、政府机构、运营商等,常面临着各种网络攻击威胁。在这种情况下,人们对IPS(Intrus1n Prevent1n System,入侵防御系统)设备的防攻击效果提出了更高的要求。[〇〇〇3]在现有技术中,维护人员通过定期分析IPS设备产生的网络攻击日志,筛选出可能的网络攻击源,将该网络攻击源的特征信息添加到网络攻击黑名单中,以使IPS设备通过所述网络攻击黑名单对网络攻击源执行阻断。然而,由于网络攻击黑名单中有些网络攻击源可能是受黑客远程控制的客户端,这些网络攻击源一定时间之后会失效,但是单纯依靠人工无法分辨失效的网络攻击源,从而导致IPS设备通过网络攻击黑名单无法实现合理、及时有效的网络攻击防护功能。
【发明内容】
[0004]有鉴于此,本申请提供一种网络攻击黑名单管理方法及装置,以解决现有技术中 IPS设备无法实现合理、及时有效的网络攻击防护功能的问题。
[0005]根据本申请实施例的第一方面,提供一种网络攻击黑名单管理方法,所述方法应用于分别与网络攻击源与目标客户端通信的IPS设备上,所述方法包括:
[0006]根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;
[0007]从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;
[0008]根据预设管理策略对所述网络攻击黑名单进行分级管理。
[0009]根据本申请实施例的第二方面,提供一种网络攻击黑名单管理装置,所述装置应用于分别与网络攻击源与目标客户端通信的IPS设备上,所述装置包括:
[0010]确定单元,用于根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;
[0011]添加单元,用于从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单;
[0012]管理单元,用于根据预设管理策略对所述网络攻击黑名单进行分级管理。
[0013]应用本申请实施例,当在IPS设备上开启网络攻击防护功能时,IPS设备根据预设规则自动对网络攻击日志进行分析,从所述网络攻击日志的网络源中确定网络攻击源,并将所述网络攻击源的特征信息添加到网络攻击黑名单,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。【附图说明】
[0014]图1是本申请根据一示例性实施例示出的一种网络攻击黑名单管理应用场景示意图;
[0015]图2是本申请根据一示例性实施例示出的一种网络攻击黑名单管理方法实施例流程图;
[0016]图3是本申请根据一示例性实施例示出的一种网络攻击黑名单管理装置所在设备的一种硬件结构图;
[0017]图4是本申请根据一示例性实施例示出的一种网络攻击黑名单管理装置实施例结构图。【具体实施方式】
[0018]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0019]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0020]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当…… 时”或“响应于确定”。
[0021]本领域技术人员可以理解的是,用于防护网络攻击的IPS设备在阻断网络攻击的同时会产生网络攻击日志,网络攻击日志蕴含了大量的数据信息,根据这些数据信息便可以重现网络环境,本申请IPS设备通过分析网络攻击日志,对网络攻击黑名单进行更新,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。
[0022]参见图1所示,为本申请根据一示例性实施例示出的一种网络攻击黑名单管理应用场景不意图:
[0023]如图1所示的应用场景中,包括网络攻击源、IPS设备、目标客户端。其中,IPS设备位于网络攻击源与目标客户端之间,通过维护的网络攻击黑名单,对网络攻击源发出的网络攻击进行阻断,以防护目标客户端不受到网络攻击。在图1中,以目标客户端作为示例, 在实际应用中,也可以是受保护服务器,所述目标客户端可以是PC (Personal Computer,个人计算机)、手机等。具体的,在IPS设备上开启网络攻击防护功能之后,IPS设备根据预设规则自动对网络攻击日志进行分析,从所述网络攻击日志的网络源中确定网络攻击源,将所有网络攻击源的特征信息(比如IP地址)添加到网络攻击黑名单,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使得IPS设备通过网络攻击黑名单实现合理、 及时有效的网络攻击防护功能。
[0024]参见图2所示,为本申请根据一示例性实施例示出的一种网络攻击黑名单管理方法实施例流程图,该实施例应用于分别与网络攻击源与目标客户端通信的IPS设备上,包括以下步骤:
[0025]步骤S201:根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源。
[0026]当在IPS设备上开启网络攻击防护功能时,所述IPS设备根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源。在实际网络应用中,网络设备通过IPS设备传输报文时,IPS设备中的攻击防护模块会根据预先配置的策略对所述报文进行实时分析,若所述报文被判定为异常报文时,则对所述报文执行阻断,并将所述报文所属的网络源添加到网络攻击日志中,所述网络攻击日志包括网络源的特征信息,所述特征信息可以包括IP (Internet Protocol,网际协议)地址。
[0027]在一种可选的实现方式中,IPS设备可以从网络攻击日志中,以时间和攻击次数计算网络源的攻击频率是否超过预设频率作为判断网络攻击源的规则,即首先统计单位时间或某一时间段网络源发起攻击的次数得到的攻击频率,然后判定所得攻击频率是否超过预设频率,比如统计所述网络攻击日志中的某些网络源,其对应的IP地址分别为IP1、IP2、 IP3、IP4、IP5,在12:00至12:05这一时间段内,各个网络源发起攻击的攻击次数分别为 1000、85、60、1500、55,计算得到其攻击频率分别为打=1000/5 = 200次/111111汀2 = 85/5 =17 次 /min、f3 = 60/5 = 12 次 /min、f4 = 1500/5 = 300 次 /min、f5 = 55/5 = 11 次 /min,如果预设频率f■为145次/min,从上述计算结果可以判断出,攻击频率fl和f4超过了预设频率f,则fl和f4分别对应的IP地址对应的网络源为网络攻击源。
[0028]需要说明的是,上述说明仅仅是作为示例,而不造成对本发明的保护范围的限制, 其预设频率的值可以根据实际应用条件和网络环境进行设置,攻击频率的统计也不限于上述结果,只需满足上述统计原理即可。
[0029]在另一种可选的实现方式中,IPS设备可以根据所述网络攻击日志,统计在预设时间段内目标客户端受到预设类型攻击的攻击次数是否超过第一预设次数作为判断网络攻击源的规则,当攻击次数超过第一预设次数时,确定发起预设类型攻击的网络源为网络攻击源。与前述实现方式不同的是,在本实现方式中,可以首先选定一个或者多个目标客户端 (例如,用该客户端的IP地址代表该客户端),然后对其受到的预设类型攻击的攻击次数进行统计,当预设类型攻击的攻击次数超过了第一预设次数时,确定发起预设类型攻击的网络源为网络攻击源。例如,某目标客户端的IP地址为218.30.13.36,假设预设类型攻击为端口扫描攻击和地址扫描攻击,其中,在预设时间段内,受到端口扫描攻击的攻击次数为28 次,受到地址扫描攻击的攻击次数为55次,如果所述第一预设次数为10,则上述两种类型的网络攻击的攻击次数均超过第一预设次数,则确定发起这两类网络攻击的所有网络源为网络攻击源。
[0030]需要进一步说明的是,在该可选实现方式中,所述目标客户端还可以通过网络端口、网络协议等进行选定或限定,例如,通过对目标客户端的网络协议进行限定,具体地,假设对目标客户端的HTTP (Hypertext Transfer Protocol,超文本传输协议)协议进行网络攻击防护,统计预设类型攻击的攻击次数时,可以仅统计该协议下的预设类型攻击的攻击次数,而不对其他的网络协议下的预设类型攻击的攻击次数进行统计,比如,SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)。
[0031]步骤S202:从所述网络攻击日志中提取网络攻击源的特征信息,添加到网络攻击黑名单。
[0032]网络攻击源的特征信息可以唯一确定网络攻击源,本申请实施例中,可以以网络攻击源的特征信息更新网络攻击黑名单,该黑名单可以包括已确定的网络攻击源的特征信息。
[0033]本领域技术人员可以理解的是,IP地址是一种在互联网中给主机编址的方式,每台主机(比如计算机)都有唯一的IP地址,因此可以将IP地址作为网络攻击源的特征信息。在一个可选的实现方式中,可以提取所有被确定为网络攻击源的网络源的IP地址,将 IP地址更新至所述网络攻击黑名单中。这样,IPS设备通过网络攻击黑名单中的IP地址, 便可以识别出网络攻击源,并在网络攻击源发起攻击时,对其执行阻断。
[0034]步骤S203:根据预设管理策略对所述网络攻击黑名单进行分级管理。
[0035]由于网络攻击黑名单中有些网络攻击源可能是受黑客远程控制的客户端,在某段时间会持续不断的发起网络攻击,而这些网络攻击源并不是恶意的网络攻击源,对于这些网络攻击源,如果长时间加入到网络攻击黑名单中,会造成一些使用该客户端的合法用户无法正常使用网络,因此在添加网络攻击源时可以设置管理策略对所述网络攻击黑名单中的网络攻击源进行管理,比如,在添加网络攻击源的特征信息至网络攻击黑名单时,为每个网络攻击源的特征信息设置老化时间,IPS设备检测网络攻击黑名单中所有网络攻击源的特征信息的老化时间,当从所述网络攻击黑名单中检测到老化时间已经过期的网络攻击源时,则所述网络攻击源作为失效网络攻击源,将该失效网络攻击源的特征信息从所述网络攻击黑名单中删除。
[0036]另一方面,网络攻击黑名单中会存在一些固定的恶意网络攻击源,这些恶意网络攻击源会对目标客户端频繁的发起攻击,会多次被添加到网络攻击黑名单中,因此可以将这些网络攻击源永久加到网络攻击黑名单中,并只允许由管理员手动删除,可以通过下面管理策略实现,比如,IPS设备在添加网络攻击源的特征信息至网络攻击黑名单中时,可以为该网络攻击源的特征信息的添加次数设置计数器,初始计数值设置为1,每添加一次,计数器的计数值加1。然后IPS设备可以按照设置的第一时间周期检测网络攻击黑名单中每个网络攻击源的特征信息的添加次数是否超过第二预设数值,当检测到有超过所述第二预设数值的网络攻击源时,则所述网络攻击源作为固定网络攻击源,此时可以为所述固定网络攻击源的特征信息设置固化标识,根据该固化标识,IPS设备无法自动删除固定网络攻击源,可以由管理员对固定网络攻击源进行手动删除。
[0037]由上述实施例所述,当在IPS设备上开启网络攻击防护功能时,IPS设备根据预设规则自动对网络攻击日志进行分析,从所述网络攻击日志的网络源中确定网络攻击源,并将所述网络攻击源的特征信息添加到网络攻击黑名单,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。
[0038]与前述网络攻击黑名单管理方法的实施例相对应,本申请还提供了网络攻击黑名单管理装置的实施例。
[0039]本申请网络攻击黑名单管理装置的实施例可以应用在IPS设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请网络攻击黑名单管理装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件, 对此不再赘述。
[0040]参见图4所示,为本申请根据一示例性实施例示出的一种网络攻击黑名单管理装置结构图,该实施例应用于分别与网络攻击源与目标客户端通信的IPS设备上,所述装置包括:确定单元410、添加单元420、管理单元430。
[0041]其中,所述确定单元410,用于根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息;
[0042]所述添加单元420,用于从所述网络攻击日志中提取所述网络攻击源的特征信息, 添加到网络攻击黑名单;
[0043]所述管理单元430,用于根据预设管理策略对所述网络攻击黑名单进行分级管理。
[0044]在一个可选的实现方式中,所述确定单元410可以包括(图4中未示出):
[0045]计算子单元,用于根据所述网络攻击日志,通过统计预设时间段内网络源发起攻击的攻击次数,计算所述网络源发起攻击的攻击频率;
[0046]第一判断子单元,用于判断所述攻击频率是否超过预设频率;
[0047]第一确定子单元,用于当所述攻击频率超过所述预设频率时,确定所述网络源为网络攻击源。
[0048]在另一个可选的实现方式中,所述确定单元410可以包括(图4中未示出):
[0049]统计子单元,用于根据所述网络攻击日志,统计预设时间段内受保护客户端受到预设类型攻击的攻击次数;
[0050]第二判断子单元,用于判断所述攻击次数是否超过第一预设次数;
[0051]第二确定子单元,用于当所述攻击次数超过所述第一预设次数时,确定发起所述预设类型攻击的网络源为网络攻击源。
[0052]在另一个可选的实现方式中,所述添加单元420可以包括(图4中未示出):
[0053]提取子单元,用于提取被确定为所述网络攻击源的网络源的网际协议IP地址;
[0054]添加子单元,用于将所述IP地址添加至所述网络攻击黑名单。
[0055]在另一个可选的实现方式中,所述管理单元430可以包括(图4中未示出):
[0056]设置子单元,用于为所述网络攻击黑名单中网络攻击源的特征信息设置老化时间;
[0057]第一检测子单元,用于检测所述网络攻击源的特征信息的老化时间;
[0058]删除子单元,用于当检测到老化时间已经过期的网络攻击源的特征信息时,则所述网络攻击源作为失效网络攻击源,将所述失效网络攻击源的特征信息从所述网络攻击黑名单中删除。
[0059]在另一个可选的实现方式中,所述管理单元430可以包括(图4中未示出):
[0060]计数子单元,用于当网络攻击源的特征信息初次添加到网络攻击黑名单中时,为该网络攻击源的特征信息的添加次数设置计数器,初始计数值设置为1,每添加一次,计数器的计数值加1 ;
[0061]第二检测子单元,用于按照设置的第一时间周期检测所述网络攻击黑名单中每个网络攻击源的特征信息的计数值是否超过第二预设数值;
[0062]固化子单元,用于当超过所述第二预设数值时,则所述网络攻击源作为固定网络攻击源,为所述固定网络攻击源的特征信息设置固化标识,所述固化标识用于禁止所述IPS 设备自动删除所述固定网络攻击源。
[0063]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
[0064]对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0065]由上述实施例所述,当在IPS设备上开启网络攻击防护功能时,IPS设备根据预设规则自动对网络攻击日志进行分析,从所述网络攻击日志的网络源中确定网络攻击源,并将所述网络攻击源的特征信息添加到网络攻击黑名单,并根据预设管理策略对所述网络攻击黑名单进行分级管理,从而使IPS设备通过网络攻击黑名单实现及时有效、合理的网络攻击防护功能。
[0066]以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
【主权项】
1.一种网络攻击黑名单管理方法,所述方法应用于分别与网络攻击源与目标客户端通信的入侵防御系统IPS设备上,其特征在于,所述方法包括: 根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息; 从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单; 根据预设管理策略对所述网络攻击黑名单进行分级管理。2.根据权利要求1所述的方法,其特征在于,所述根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,包括: 根据所述网络攻击日志,通过统计预设时间段内网络源发起攻击的攻击次数,计算所述网络源发起攻击的攻击频率; 判断所述攻击频率是否超过预设频率; 当所述攻击频率超过所述预设频率时,确定所述网络源为网络攻击源。3.根据权利要求1所述的方法,其特征在于,所述根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,包括: 根据所述网络攻击日志,统计预设时间段内受保护客户端受到预设类型攻击的攻击次数; 判断所述攻击次数是否超过第一预设次数; 当所述攻击次数超过所述第一预设次数时,确定发起所述预设类型攻击的网络源为网络攻击源。4.根据权利要求1所述的方法,其特征在于,所述从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单,包括: 提取被确定为所述网络攻击源的网络源的网际协议IP地址; 将所述IP地址添加至所述网络攻击黑名单。5.根据权利要求1所述的方法,其特征在于,所述根据预设管理策略对所述网络攻击黑名单进行分级管理,包括: 为所述网络攻击黑名单中网络攻击源的特征信息设置老化时间; 检测所述网络攻击源的特征信息的老化时间; 当检测到老化时间已经过期的网络攻击源的特征信息时,则所述网络攻击源作为失效网络攻击源,将所述失效网络攻击源的特征信息从所述网络攻击黑名单中删除。6.根据权利要求1所述的方法,其特征在于,所述根据预设管理策略对所述网络攻击黑名单进行分级管理,包括: 当网络攻击源的特征信息初次添加到网络攻击黑名单中时,为该网络攻击源的特征信息的添加次数设置计数器,初始计数值设置为1,当所述网络攻击源的特征信息在网络攻击黑名单中已存在,则计数器的计数值加I ; 按照设置的第一时间周期检测所述网络攻击黑名单中每个网络攻击源的特征信息的计数值是否超过第二预设数值; 当超过所述第二预设数值时,则所述网络攻击源作为固定网络攻击源,为所述固定网络攻击源的特征信息设置固化标识,所述固化标识用于禁止所述IPS设备自动删除所述固定网络攻击源。7.—种网络攻击黑名单管理装置,所述装置应用于分别与网络攻击源与目标客户端通信的入侵防御系统IPS设备上,其特征在于,所述装置包括: 确定单元,用于根据预设规则分析网络攻击日志,从所述网络攻击日志的网络源中确定网络攻击源,所述网络攻击日志包括网络源的特征信息; 添加单元,用于从所述网络攻击日志中提取所述网络攻击源的特征信息,添加到网络攻击黑名单; 管理单元,用于根据预设管理策略对所述网络攻击黑名单进行分级管理。8.根据权利要求7所述的装置,其特征在于,所述确定单元,包括: 计算子单元,用于根据所述网络攻击日志,通过统计预设时间段内网络源发起攻击的攻击次数,计算所述网络源发起攻击的攻击频率; 第一判断子单元,用于判断所述攻击频率是否超过预设频率; 第一确定子单元,用于当所述攻击频率超过所述预设频率时,确定所述网络源为网络攻击源。9.根据权利要求7所述的装置,其特征在于,所述确定单元,包括: 统计子单元,用于根据所述网络攻击日志,统计预设时间段内受保护客户端受到预设类型攻击的攻击次数; 第二判断子单元,用于判断所述攻击次数是否超过第一预设次数; 第二确定子单元,用于当所述攻击次数超过所述第一预设次数时,确定发起所述预设类型攻击的网络源为网络攻击源。10.根据权利要求7所述的装置,其特征在于,所述添加单元,包括: 提取子单元,用于提取被确定为所述网络攻击源的网络源的网际协议IP地址; 添加子单元,用于将所述IP地址添加至所述网络攻击黑名单。11.根据权利要求7所述的装置,其特征在于,所述管理单元,包括: 设置子单元,用于为所述网络攻击黑名单中网络攻击源的特征信息设置老化时间; 第一检测子单元,用于检测所述网络攻击源的特征信息的老化时间; 删除子单元,用于当检测到老化时间已经过期的网络攻击源的特征信息时,则所述网络攻击源作为为失效网络攻击源,将所述失效网络攻击源的特征信息从所述网络攻击黑名单中删除。12.根据权利要求7所述的装置,其特征在于,所述管理单元,包括: 计数子单元,用于当网络攻击源的特征信息初次添加到网络攻击黑名单中时,为该网络攻击源的特征信息的添加次数设置计数器,初始计数值设置为I ;当所述网络攻击源的特征信息在网络攻击黑名单中已存在,则计数器的计数值加I ; 第二检测子单元,用于按照设置的第一时间周期检测所述网络攻击黑名单中每个网络攻击源的特征信息的计数值是否超过第二预设数值; 固化子单元,用于当超过所述第二预设数值时,则所述网络攻击源作为固定网络攻击源,为所述固定网络攻击源的特征信息设置固化标识,所述固化标识用于禁止所述IPS设备自动删除所述固定网络攻击源。
【文档编号】H04L29/06GK105959250SQ201510690099
【公开日】2016年9月21日
【申请日】2015年10月22日
【发明人】张闻闻
【申请人】杭州迪普科技有限公司