本发明涉及互联网安全领域,尤其涉及一种针对ip地址的精确拦截方法和系统。
背景技术:
网络层防火墙可视为一种ip封包过滤器,运作在底层的tcp/ip协议堆栈上。可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
也可以以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源ip地址、来源端口号、目的ip地址或端口号、服务类型(如http或是ftp)。也能经由通信协议、ttl值、来源的网域名称或网段...等属性来进行过滤。
现有的拦截方案通过固定规则拦截,对访问请求分析的粒度过大、维度过低,对访问者分析不充分,造成正常访问被误拦,严重降低了网络传输效率与可靠性。
技术实现要素:
本发明旨在解决上面描述的问题。
根据本发明的第一方面,提供了一种针对ip地址的精确拦截方法,包括:
在判定一ip地址为疑似发起攻击ip地址时,向ip信用等级平台发起对所述ip地址的查询请求;
接收所述ip信用等级平台返回的响应消息,在所述响应消息中携带有所述ip地址的信用数据;
根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截。
优选的,所述ip地址的信用数据至少包括以下信息中的任一或任意多项:
ip属性信息、ip行为信息和ip污点数据信息,
其中,所述ip属性信息具体为所述ip地址使用者身份的概率,所述ip行为信息具体为所述ip地址使用人数信息和/或ip活跃度信息,所述ip污点数据信息具体为所述ip地址的污点分数。
优选的,所述配置文件包含多个拦截规则,各拦截规则至少包含以下条件中的任一或任意多项:
使用人数限制条件和/或ip活跃度限制条件,ip地址使用者身份概率限制条件,ip污点分数限制条件,
根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截的步骤包括:
在所述ip地址的信用数据与所述配置文件中的任一拦截规则匹配时,判定对所述ip地址进行拦截;
在所述ip地址的信用数据与所述配置文件中的任一拦截规则均不匹配时,判定不对所述ip地址进行拦截。
根据本发明的另一方面,提供了一种针对ip地址的精确拦截方法,包括:
接收拦截系统在判定一ip地址为疑似发起攻击ip地址时发起的对所述ip地址的查询请求;
向所述拦截系统返回响应消息,在所述响应消息中携带有所述ip地址的信用数据,供所述拦截系统判断是否对所述ip地址进行拦截。
优选的,所述ip地址的信用数据至少包括以下信息中的任一或任意多项:
ip属性信息、ip行为信息和ip污点数据信息,
其中,所述ip属性信息具体为所述ip地址使用者身份的概率,所述ip行为信息具体为所述ip地址使用人数信息和/或ip活跃度信息,所述ip污点数据信息具体为所述ip地址的污点分数。
优选的,该方法还包括:
收集日志文件,分析收集得到的日志文件,得到各ip地址的信用数据。
根据本发明的另一方面,提供了一种针对ip地址的精确拦截装置,包括:
查询模块,用于在判定一ip地址为疑似发起攻击ip地址时,向ip信用等级平台发起对所述ip地址的查询请求;
数据接收模块,用于接收所述ip信用等级平台返回的响应消息,在所述响应消息中携带有所述ip地址的信用数据;
拦截判定模块,用于根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截。
优选的,所述ip地址的信用数据至少包括以下信息中的任一或任意多项:
ip属性信息、ip行为信息和ip污点数据信息,
其中,所述ip属性信息具体为所述ip地址使用者身份的概率,所述ip行为信息具体为所述ip地址使用人数信息和/或ip活跃度信息,所述ip污点数据信息具体为所述ip地址的污点分数,
所述配置文件包含多个拦截规则,各拦截规则至少包含以下条件中的任一或任意多项:
使用人数限制条件和/或ip活跃度限制条件,ip地址使用者身份概率限制条件,ip污点分数限制条件,
所述拦截判定模块,具体用于在所述ip地址的信用数据与所述配置文件中的任一拦截规则匹配时,判定对所述ip地址进行拦截,在所述ip地址的信用数据与所述配置文件中的任一拦截规则均不匹配时,判定不对所述ip地址进行拦截。
根据本发明的另一方面,提供了一种针对ip地址的精确拦截装置,包括:
查询接收模块,用于接收拦截系统在判定一ip地址为疑似发起攻击ip地址时发起的对所述ip地址的查询请求;
数据返回模块,用于向所述拦截系统返回响应消息,在所述响应消息中携带有所述ip地址的信用数据,供所述拦截系统判断是否对所述ip地址进行拦截。
优选的,该装置还包括:
ip分析模块,用于收集日志文件,分析收集得到的日志文件,得到各ip地址的信用数据。
根据本发明的另一方面,提供了一种针对ip地址的精确拦截系统,包括拦截子系统与ip信用等级平台;
所述拦截子系统,用于在判定一ip地址为疑似发起攻击ip地址时,向ip信用等级平台发起对所述ip地址的查询请求,接收所述ip信用等级平台返回的响应消息,在所述响应消息中携带有所述ip地址的信用数据,根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截;
所述ip信用等级平台,用于接收所述拦截子系统在判定一ip地址为疑似发起攻击ip地址时发起的对所述ip地址的查询请求,向所述拦截子系统返回响应消息,在所述响应消息中携带有所述ip地址的信用数据,供所述拦截子系统判断是否对所述ip地址进行拦截。
优选的,所述ip地址的信用数据至少包括以下信息中的任一或任意多项:
ip属性信息、ip行为信息和ip污点数据信息,
其中,所述ip属性信息具体为所述ip地址使用者身份的概率,所述ip行为信息具体为所述ip地址使用人数信息和/或ip活跃度信息,所述ip污点数据信息具体为所述ip地址的污点分数,
所述配置文件包含多个拦截规则,各拦截规则至少包含以下条件中的任一或任意多项:
使用人数限制条件和/或ip活跃度限制条件,ip地址使用者身份概率限制条件,ip污点分数限制条件,
所述拦截子系统,具体用于在所述ip地址的信用数据与所述配置文件中的任一拦截规则匹配时,判定对所述ip地址进行拦截,在所述ip地址的信用数据与所述配置文件中的任一拦截规则均不匹配时,判定不对所述ip地址进行拦截。
参照附图来阅读对于示例性实施例的以下描述,本发明的其他特性特征和优点将变得清晰。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例,并且与描述一起用于解释本发明的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1示例性地示出了本发明的实施例一提供的一种针对ip地址的精确拦截方法的流程;
图2示例性地示出了现有web防火墙系统架构;
图3示例性地示出了本发明的实施二提供的一种针对ip地址的精确拦截装置的结构;
图4示例性地示出了本发明的实施二提供的又一种针对ip地址的精确拦截装置的结构;
图5示例性地示出了本发明的实施例二提供的一种针对ip地址的精确拦截系统的应用场景。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
现有的拦截方案通过固定规则拦截,对访问请求分析的粒度过大、维度过低,对访问者分析不充分,造成正常访问被误拦,严重降低了网络传输效率与可靠性。
为了解决上述问题,本发明的实施例提供了一种针对ip地址的精确拦截方法、装置和系统。通过本发明的实施例提供的技术方案,在不影响防火墙原有结构和功能的基础上,增加了对可疑ip地址二次验证机制,在保证防火墙拦截效率的基础之上提高了拦截的准确率,有效的防止了误拦的发生。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种针对ip地址的精确拦截方法,使用该方法完成ip地址拦截的流程如图1所示,包括:
步骤101、在拦截系统判定一ip地址为疑似发起攻击ip地址时,向ip信用等级平台发起对所述ip地址的查询请求;
本步骤中,拦截系统根据预置的过滤规则对访问请求进行过滤,在检测到疑似发起攻击的ip地址时,并不直接对该ip地址进行拦截,而是针对该疑似ip地址向ip信用等级平台发起查询请求,启动对该ip地址的二次验证。
本发明实施例中涉及的拦截系统为对ip有拦截操作的系统,其一般使用单一固定的拦截规则(如疑似发起攻击即拦截),响应速度较快,但对ip地址拦截的判定欠准确。具体的,拦截系统可为防火墙或防火墙系统。
以下以防火墙为例进行说明。
步骤102、向所述拦截系统返回响应消息,在所述响应消息中携带有所述ip地址的信用数据,供所述拦截系统判断是否对所述ip地址进行拦截;
本步骤中,ip信用等级平台接收防火墙在判定一ip地址为疑似发起攻击ip地址时发起的对所述ip地址的查询请求,具体的,疑似发起攻击ip地址可以是防火墙配置的黑白名单以外的ip,或者,防火墙配置的黑名单的ip以及不在黑名单中但检测为异常的ip,当然也可以是所有的访问ip,查询本地的ip地址信用数据,获取防火墙查询的ip地址的信用数据,将该信用数据通过响应消息返回给防火墙。
配置文件可作为拦截系统的一部分,由拦截系统结合配置文件作判断。也可以作为独立于现有拦截系统的一个功能模块,与拦截系统共同作用完成拦截操作的判断,例如集成于ip信用等级平台之上。
ip地址的信用数据至少包括但不限于以下信息中的任一或任意多项:
ip属性信息、ip行为信息和ip污点数据信息,
其中,所述ip属性信息具体为所述ip地址使用者身份的概率,所述ip行为信息具体为所述ip地址使用人数信息和/或ip活跃度信息,所述ip污点数据信息具体为所述ip地址的污点分数。
其中,ip活跃度信息为反应某ip互联网访问行为的活跃指数。
具体的,ip地址的污点分数,可以根据存在于第三方黑名单中的次数来获得,例如某ip地址存在于第三方黑名单中的次数越多,其信用污点分数越高,不存在于黑名单中则污点分数为0。
ip地址的信用数据可以是固定配置的,后续根据实际需要编辑对ip地址信用数据的配置;也可以是基于大数据平台,收集日志文件,对日志文件进行分析后生成的。
防火墙可根据当前应用的需要,设置配置文件,结合ip地址的信用数据与配置文件,相对于防火墙的单一验证方式,ip信用等级平台能够使用多个验证条件多维验证该ip地址的合法性。ip信用等级平台还能够对ip地址的相关数据进行收集整理,在数据挖掘的基础上分析ip地址的行为特征,以此建立ip地址的信用数据,为精确ip地址拦截提供依据。
步骤103、拦截系统根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截;
本步骤中,防火墙接收所述响应消息,根据其中的ip地址信用数据,结合预置的配置文件,对是否应进行拦截进行二次判断。
所述配置文件包含多个拦截规则,各拦截规则至少包含以下条件中的任一或任意多项:
使用人数限制条件和/或ip活跃度限制条件,ip地址使用者身份概率限制条件,ip污点分数限制条件,
根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截的步骤包括:
在所述ip地址的信用数据与所述配置文件中的任一拦截规则匹配时,判定对所述ip地址进行拦截;
在所述ip地址的信用数据与所述配置文件中的任一拦截规则均不匹配时,判定不对所述ip地址进行拦截。
例如,ip地址的信用数据表明:例如,ip地址为企业出口ip概率55%,为家庭出口ip概率30%,为真人概率15%,有信用污点,ip信用污点分数为2,使用人数为51-100人,如配置文件配置有拦截条件:真人概率低于30%则进行拦截,则进行拦截。
优选的,所述配置文件中还包含放行条件,在ip地址的信用数据符合所述放行条件时,该ip地址不进行拦截和/或加入白名单。针对上述举例,如配置文件配置有放行规则:使用人数超过10人不进行拦截且永久加入白名单,则将该ip地址加入白名单。
优选的,在拦截系统中还设置有黑名单与白名单,在配置文件中也可以配置有拦截条件,指示在一定条件下将ip地址加入拦截系统已有的黑名单或白名单。
下面结合附图,对本发明的实施例三进行说明。
传统的ip拦截系统一般通过单一条件拦截,如图2所示的web防火墙系统,其ip地址管理机制中包含黑名单、白名单及异常检测三种分类,对黑名单及异常检测指示的ip地址直接拦截,判断条件单一机械,容易造成误拦。
针对以上问题,本发明实施例提供了一种针对ip地址的精确拦截系统,包括拦截子系统与ip信用等级平台;
所述拦截子系统,用于在判定一ip地址为疑似发起攻击ip地址时,向ip信用等级平台发起对所述ip地址的查询请求,接收所述ip信用等级平台返回的响应消息,在所述响应消息中携带有所述ip地址的信用数据,根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截;
所述ip信用等级平台,用于接收所述拦截子系统在判定一ip地址为疑似发起攻击ip地址时发起的对所述ip地址的查询请求,向所述拦截子系统返回响应消息,在所述响应消息中携带有所述ip地址的信用数据,供所述拦截子系统判断是否对所述ip地址进行拦截。
优选的,所述ip地址的信用数据至少包括以下信息中的任一或任意多项:
ip属性信息、ip行为信息和ip污点数据信息,
其中,所述ip属性信息具体为所述ip地址使用者身份的概率,所述ip行为信息具体为所述ip地址使用人数信息和/或ip活跃度信息,所述ip污点数据信息具体为所述ip地址的污点分数,
所述配置文件包含多个拦截规则,各拦截规则至少包含以下条件中的任一或任意多项:
使用人数限制条件和/或ip活跃度限制条件,ip地址使用者身份概率限制条件,ip污点分数限制条件,
所述拦截子系统,具体用于在所述ip地址的信用数据与所述配置文件中的任一拦截规则匹配时,判定对所述ip地址进行拦截,在所述ip地址的信用数据与所述配置文件中的任一拦截规则均不匹配时,判定不对所述ip地址进行拦截。
本发明实施例还提供了一种针对ip地址的精确拦截装置,其结构如图3所示,包括:
查询模块301,用于在判定一ip地址为疑似发起攻击ip地址时,向ip信用等级平台发起对所述ip地址的查询请求;
数据接收模块302,用于接收所述ip信用等级平台返回的响应消息,在所述响应消息中携带有所述ip地址的信用数据;
拦截判定模块303,用于根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截。
优选的,所述ip地址的信用数据至少包括以下信息中的任一或任意多项:
ip属性信息、ip行为信息和ip污点数据信息,
其中,所述ip属性信息具体为所述ip地址使用者身份的概率,所述ip行为信息具体为所述ip地址使用人数信息和/或ip活跃度信息,所述ip污点数据信息具体为所述ip地址的污点分数,
所述配置文件包含多个拦截规则,各拦截规则至少包含以下条件中的任一或任意多项:
使用人数限制条件和/或ip活跃度限制条件,ip地址使用者身份概率限制条件,ip污点分数限制条件,
所述拦截判定模块303,具体用于在所述ip地址的信用数据与所述配置文件中的任一拦截规则匹配时,判定对所述ip地址进行拦截,
在所述ip地址的信用数据与所述配置文件中的任一拦截规则均不匹配时,判定不对所述ip地址进行拦截。
如图3所示的针对ip地址的精确拦截装置可集成于拦截子系统中,由拦截子系统实现相应功能。
本发明实施例还提供了一种针对ip地址的精确拦截装置,其结构如图4所示,包括:
查询接收模块401,用于接收拦截系统在判定一ip地址为疑似发起攻击ip地址时发起的对所述ip地址的查询请求;
数据返回模块402,用于向所述拦截系统返回响应消息,在所述响应消息中携带有所述ip地址的信用数据,供所述拦截系统判断是否对所述ip地址进行拦截。
优选的,该装置还包括:
ip分析模块403,用于收集日志文件,分析收集得到的日志文件,得到各ip地址的信用数据。
如图4所示的针对ip地址的精确拦截装置可集成于ip信用等级平台,由ip信用等级平台实现相应功能。
本发明实施例提供的针对ip地址的精确拦截系统可作为一个独立系统,通过接口供现有的ip拦截系统调用;也可将拦截子系统集成于现有的ip拦截系统中,拦截子系统与ip信用等级平台进行数据交互,实现对ip拦截系统检测到的异常ip地址的更精确细化的二次验证。以ip拦截系统为web防火墙系统为例,如图5所示,本发明实施例提供的针对ip地址的精确拦截系统能够与现有的web防火墙系统相结合,web防火墙系统原有功能不变,保证了对异常疑似攻击ip地址的响应速度,在快速检出异常ip地址的基础上,又通过针对ip地址的精确拦截系统提供ip信用数据,进行对检出的异常ip地址的进一步判断,以最终确定是否进行拦截,保证了ip地址拦截操作的准确性。
本发明的实施例提供了一种针对ip地址的精确拦截方法、装置和系统,拦截系统在判定一ip地址为疑似发起攻击ip地址时,向ip信用等级平台发起对所述ip地址的查询请求,ip信用等级平台向所述拦截系统返回响应消息,在所述响应消息中携带有所述ip地址的信用数据,供所述拦截系统判断是否对所述ip地址进行拦截,拦截系统接收所述ip信用等级平台返回的响应消息,根据预置的配置文件,结合所述ip地址的信用数据,判定是否需要对所述ip地址进行拦截。在现有防火墙等拦截系统结构的基础上,提供了一种二次验证的机制。现有防火墙拦截针对ip地址实时行为,响应速度虽然快,但由于防火墙处理能力及网络结构限制,防火墙拦截条件单一固定,容易造成误拦。而本发明的实施例提供的技术方案,可根据实际应用需求订制一个ip信用等级平台,通过该平台对防火墙初步获得的疑似发起攻击的异常ip地址进行更小粒度更多维度的二次验证,在保留了防火墙安全性功能的基础上,进一步增加了拦截的准确性,大大提高了网络可靠性及访问质量,实现了高精度的ip地址拦截,解决了防火墙容易造成误拦的问题。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。