基于攻击IP画像的网络安全防护方法及其网络安全防护系统与流程

本申请涉及网络安全领域，尤其涉及基于攻击ip画像的网络安全防护方法及其网络安全防护系统。

背景技术：

随着网络技术的发展，网络攻击的规模和速度在不断增加，网络安全所面临的挑战日益严峻。为了及时、准确地识别攻击者并采取针对性的防御措施，常用的技术思路是：通过对攻击流量数据进行分析，以获得攻击者的特征和攻击意图。

识别攻击者是网络安全防护中最重要的部分。目前，识别攻击者的方式是在发现攻击活动之后，将攻击者的行为与攻击者的身份(ip)建立相关性，基于此建立攻击ip画像模型。攻击ip画像的表示方式对于网络安全防御具有极其重要的意义，其可以给安全网络防御提供决策支持。

申请内容

本申请的主要目的在于提供一种基于攻击ip画像的网络安全防护方法及其网络安全防护系统，其中，所述网络安全防护系统能够基于攻击ip画像实时地了解攻击者的意图，以利于为安全网络防御提供更好的决策支持。

本申请的主要目的在于提供一种基于攻击ip画像的网络安全防护方法及其网络安全防护系统，其中，所述网络安全防护系统能够基于攻击ip画像对攻击ip的攻击行为进行预测，以利于为安全网络防御提供更好的决策支持。

本申请的主要目的在于提供一种基于攻击ip画像的网络安全防护方法及其网络安全防护系统，其中，所述网络安全防护系统能够基于攻击ip画像对攻击ip进行溯源，定位到发起攻击的攻击者的位置。

本申请的另一目的在于提供一种基于攻击ip画像的网络安全防护方法及其网络安全防护系统，其中，所述网络安全防护系统能够基于攻击ip画像中的威胁度采取对应的防护措施，效率高，针对性较强。

本申请的另一目的在于提供一种基于攻击ip画像的网络安全防护方法及其网络安全防护系统，其中，所述网络安全防护系统能够基于攻击ip画像中威胁度采取对应防护措施，其防御实时性较佳。

本申请的另一目的在于提供一种基于攻击ip画像的网络安全防护方法及其网络安全防护系统，其中，所述攻击ip画像会随着攻击流量的演变而迭代优化。也就是说，本申请所揭露的所述网络安全防护系统具有自我迭代和优化的功能。

通过下面的描述，本申请的其它优势和特征将会变得显而易见，并可以通过权利要求书中特别指出的手段和组合得到实现。

为实现上述至少一目的或优势，本申请提供一种基于攻击ip画像的网络安全防护方法，其包括：

对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像，其中，各所述攻击ip画像中包含对应攻击ip的威胁度，所述攻击ip的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成。

响应于所述网络安防系统检测到攻击流量，匹配该攻击流量对应的攻击ip画像；以及

基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理。

在本申请一实施例中，该防护处理包括如下方式至少之一：将该攻击流量的攻击ip加入黑名单；拦截该攻击流量；将该攻击流量进行分流或导流处理；以及，限制该攻击流量的流量速率。。

在本申请一实施例中，基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理，还包括：通过所述网络安全防护系统中的ddos防御系统，拦截该攻击流量中的被识别为ddos攻击的攻击流量或者将该攻击流量的攻击ip加入黑名单；以及，通过所述网络安全防护系统中的cc防御系统，对该攻击流量中的被识别为cc攻击的攻击流量进行分流、导流或限流。

在本申请一实施例中，基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理，包括：响应于该攻击流量对应的攻击ip画像中的威胁度属于第一预设范围，拦截该攻击流量；响应于该攻击流量对应的攻击ip画像中的威胁度属于第二预设范围，将该攻击流量进行分流或导流处理，其中，第二预设范围的威胁度小于第一预设范围的威胁度；以及，响应于该攻击流量对应的攻击ip画像中的威胁度属于第三预设范围，限制该攻击流量的流量速率，其中，第三预设范围的威胁度小于第二预设范围的威胁度等级。

在本申请一实施例中，第一预设范围为威胁度等级大于7，第二预设范围为威胁度等级为4-6，以及，第三预设范围为威胁度等级为1-3。

在本申请一实施例中，基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理，包括：响应于该攻击流量对应的攻击ip画像中的威胁度属于第一预设范围，将该攻击流量的攻击ip加入黑名单；响应于该攻击流量对应的攻击ip画像中的威胁度属于第二预设范围，将该攻击流量进行分流、导流或限流处理，其中，第二预设范围的威胁度小于第一预设范围的威胁度；以及，响应于该攻击流量对应的攻击ip画像中的威胁度属于第三预设范围，不对该攻击流量做任何处理，其中，第三预设范围的威胁度小于第二预设范围的威胁度等级。

在本申请一实施例中，第一预设范围为威胁度等级为6-10，第二预设范围为威胁度等级为3-5，以及，第三预设范围为威胁度等级为1-2。

在本申请一实施例中，所述该攻击流量的攻击ip被加入黑白单的时间基于该攻击流量对应的威胁度设定。

在本申请一实施例中，基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理，包括：响应于该攻击流量对应的攻击ip画像中的威胁度属于第一预设范围，拦截该攻击流量；响应于该攻击流量对应的攻击ip画像中的威胁度属于第二预设范围，对该攻击流量进行限流处理，其中，第二预设范围的威胁度小于第一预设范围的威胁度；响应于该攻击流量对应的攻击ip画像中的威胁度属于第三预设范围，对该攻击流量进行导流处理，其中，第三预设范围的威胁度小于第二预设范围的威胁度等级；响应于该攻击流量对应的攻击ip画像中的威胁度属于第四预设范围，对该攻击流量进行分流处理，其中，第四预设范围的威胁度小于第三预设范围的威胁度等级；以及，响应于该攻击流量对应的攻击ip画像中的威胁度属于第五预设范围，不对该攻击流量做任何处理，其中，第五预设范围的威胁度小于第四预设范围的威胁度等级。

在本申请一实施例中，第一预设范围为威胁度等级为9-10，第二预设范围为威胁度等级为7-8，以及，第三预设范围为威胁度等级为5-6，第四预设范围为威胁度等级为3-4，以及，第五预设范围为威胁度等级1-2。

在本申请一实施例中，对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像，包括：获取由网络安防系统产生的历史攻击流量数据记录；对所述攻击流量数据记录进行预处理，以从所述攻击流量数据记录中获取关键字段，其中，所述关键字段包括攻击ip，攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标ip、攻击ip所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及，攻击时段；基于在预设时间范围内的各攻击ip的攻击次数，生成对应攻击ip的活跃度；基于各攻击ip的活跃度、攻击包速率、和攻击流量速率，生成对应攻击ip的威胁度；以及，基于至少部分从所述攻击流量数据记录中获取的关键字段、活跃度和威胁度，生成攻击ip画像。

在本申请一实施例中，基于各攻击ip的活跃度、攻击包速率、和攻击流量速率，生成对应攻击ip的威胁度，包括：基于各攻击ip的活跃度、攻击包速率、攻击流量速率和部分所述关键字段，生成对应攻击ip的威胁度，其中，部分所述关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。

根据本申请的另一方面，还提供一种基于攻击ip画像的网络安全防护系统，其包括：

攻击ip画像生成系统，用于对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像，其中，各所述攻击ip画像中包含对应攻击ip的威胁度，所述攻击ip的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成；

网络流量监控系统，用于对访问流量进行流量检测；以及

流量防护管理系统，用于响应于所述网络流量监控系统检测到访问流量为攻击流量，且基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理。

在本申请一实施例中，所述攻击ip画像生成系统，包括：获取单元，用于获取由网络安防系统产生的历史攻击流量数据记录；预处理单元，用于对所述攻击流量数据记录进行预处理，以从所述攻击流量数据记录中获取关键字段，其中，所述关键字段包括攻击ip，攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标ip、攻击ip所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及，攻击时段；活跃度生成单元，用于基于在预设时间范围内的各攻击ip的攻击次数，生成对应攻击ip的活跃度；威胁度生成单元，用于基于各攻击ip的活跃度、攻击包速率、和攻击流量速率，生成对应攻击ip的威胁度；以及，攻击ip画像生成单元，用于基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度，生成攻击ip画像。

在本申请一实施例中，其中，所述流量防护管理系统，包括ddos防御系统，用于拦截该攻击流量中的被识别为ddos攻击的攻击流量或者将该攻击流量的攻击ip加入黑名单；cc防御系统，用于对该攻击流量中的被识别为cc攻击的攻击流量进行分流、导流或限流处理。

在本申请一实施例中，其中，所述流量防护管理系统，还包括waf防御系统，用于响应于该攻击流量为web应用攻击流量，将所述攻击流量导流至蜜罐系统。

通过对随后的描述和附图的理解，本申请进一步的目的和优势将得以充分体现。

本申请的这些和其它目的、特点和优势，通过下述的详细说明，附图和权利要求得以充分体现。

附图说明

图1图示了根据本申请实施例的基于攻击ip画像的网络安全防护方法的流程图。

图2图示了根据本申请实施例的攻击ip画像生成过程的流程图。

图3图示了根据本申请实施例的攻击ip画像的一种具体示例。

图4图示了根据本申请实施例的威胁度与防护措施之间对应关系的一种具体示例。

图5图示了根据本申请实施例的威胁度与防护措施之间对应关系的另一种具体示例。

图6图示了根据本申请实施例的威胁度与防护措施之间对应关系的又一种具体示例。

图7图示了根据本申请实施例的网络安全防护系统的框图。

具体实施方式

以下描述用于揭露本申请以使本领域技术人员能够实现本申请。以下描述中的优选实施例只作为举例，本领域技术人员可以想到其他显而易见的变型。在以下描述中界定的本申请的基本原理可以应用于其他实施方案、变形方案、改进方案、等同方案以及没有背离本申请的精神和范围的其他技术方案。

本领域技术人员应理解的是，在本申请的揭露中，术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系是基于附图所示的方位或位置关系，其仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此上述术语不能理解为对本申请的限制。

可以理解的是，术语“一”应理解为“至少一”或“一个或多个”，即在一个实施例中，一个元件的数量可以为一个，而在另外的实施例中，该元件的数量可以为多个，术语“一”不能理解为对数量的限制。

虽然比如“第一”、“第二”等的序数将用于描述各种组件，但是在这里不限制那些组件。该术语仅用于区分一个组件与另一组件。例如，第一组件可以被称为第二组件，且同样地，第二组件也可以被称为第一组件，而不脱离发明构思的教导。在此使用的术语“和/或”包括一个或多个关联的列出的项目的任何和全部组合。

在这里使用的术语仅用于描述各种实施例的目的且不意在限制。如在此使用的，单数形式意在也包括复数形式，除非上下文清楚地指示例外。另外将理解术语“包括”和/或“具有”当在该说明书中使用时指定所述的特征、数目、步骤、操作、组件、元件或其组合的存在，而不排除一个或多个其它特征、数目、步骤、操作、组件、元件或其组的存在或者附加。

包括技术和科学术语的在这里使用的术语具有与本领域技术人员通常理解的术语相同的含义，只要不是不同地限定该术语。应当理解在通常使用的词典中限定的术语具有与现有技术中的术语的含义一致的含义。

下面结合附图和具体实施方式对本发明作进一步详细的说明：

申请概述

如上所述，识别攻击者是网络安全防护中最重要的部分。目前，识别攻击者的方式是在发现攻击活动之后，将攻击者的行为与攻击者的身份(ip)建立相关性，基于此建立攻击ip画像模型。本领域的技术人员应知晓，攻击ip画像指的是根据攻击ip的属性，攻击ip对应的行为、攻击ip对应的偏好等信息抽象出来的标签化ip模型。通过攻击ip画像模型可以给企业、政府提供安全网络防御决策支持。

在申请号为201710730912.8的专利中，揭露了一种基于云防护的ip信誉度评分模型(等价于ip画像模型)的网站防护技术，其核心在于通过攻击ip的攻击频率、攻击时段、攻击目标来对攻击ip的信誉度进行评价，其中，评分越高、表示信誉越高。基于此设立防御策略：将攻击ip信誉低于0.7分的攻击ip进行拦截。然而，这样网站防护技术在具体应用中却具有诸多缺陷。

首先，该ip信誉度评分模型通过单个攻击ip的历史攻击日志生成。通过这样的方式所生成的信誉度评分模型只关注对应ip自身的情况，而缺乏对该攻击ip在整体攻击流量中的分布特征、该攻击ip是否真实等其他要素的考量。通过这样的方式生成的ip信誉度模型，其维度是平面的，且评分因素较少，缺少整体性和全面性。

还有，基于该ip信誉度评分模型的防御策略为：将信誉度低于0.7分的ip进行拦截。然而，在实际网络防御中，不同的攻击ip在不同的时间段内其行为表征不同，仅通过攻击ip信誉度与固定预设阈值的对比结果来实施防御措施，过于简单粗暴，其防御结果不佳。

针对上述技术问题，本申请的基本构思是通过网络安防系统产生的历史攻击流量数据记录生成攻击ip画像，并基于攻击ip画像中的威胁度与预设阈值的对比结果采取防护措施，通过这样的方式，提高网络安防的效率和针对性。特别地，所述攻击ip画像中的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成。

基于此，本申请提出了一种基于攻击ip画像的网络安全防护方法，其首先基于网络安防系统产生的历史攻击流量数据记录生成攻击ip画像，其中，所述攻击ip画像中包含对应攻击ip的威胁度，所述攻击ip的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成；进而，响应于所述网络安防系统检测到攻击流量，匹配该攻击流量对应的攻击ip画像；响应于该攻击流量对应的攻击ip画像中的威胁度大于预设阈值，对该攻击流量进行防护处理。

这样，通过大数据统计分析历史攻击流量数据记录以生成攻击ip画像，并基于攻击ip画像中的威胁度选择对应的防护措施，以提高网络安防的效率和针对性，其中，所述攻击ip画像中的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成。

并且，所述攻击ip画像具有相对更为丰富的特征表示，能更为全面地描绘攻击ip的整体特征。还有，通过基于所述攻击ip画像的多个特征维度，能够更加及时地防御攻击ip的攻击、更实时地了解攻击者的意图并采取相应的措施，以利于为安全网络防御提供更好的决策支持。

在介绍本申请的基本原理之后，下面将参考附图来具体介绍本申请的各种非限制性实施例。

基于攻击ip画像的网络安全防护方法

图1图示了根据本申请实施例的基于攻击ip画像的网络安全防护方法的流程图。如图1所示，根据本申请实施例的基于攻击ip画像的网络安全防护方法，包括：s110，对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像，其中，各所述攻击ip画像中包含对应攻击ip的威胁度，所述攻击ip的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成；s120，响应于所述网络安防系统检测到攻击流量，匹配该攻击流量对应的攻击ip画像；以及，s130，基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理。

也就是说，本申请所揭露的基于攻击ip画像的网络安全防护方法，其通过大数据统计分析历史攻击流量数据记录以生成攻击ip画像，并基于攻击ip画像中的威胁度采取对应的防护措施，以提高网络安防的效率和针对性。特别地，所述攻击ip画像中的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成。这样，通过所述攻击ip画像，所述网络安防系统能够更加及时地防御攻击ip的攻击、更实时地了解攻击者的意图并采取相应的措施，以做出更优的安全网络防御决策。

在步骤s110中，对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像，其中，各所述攻击ip画像中包含对应攻击ip的威胁度，所述攻击ip的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成。

具体来说，图2图示了根据本申请实施例的对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像的流程图。如图2所示，在本申请实施例中，对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像的过程，包括：s210，获取由网络安防系统产生的历史攻击流量数据记录；s220，对所述攻击流量数据记录进行预处理，以从所述攻击流量数据记录中获取关键字段，其中，所述关键字段包括攻击ip，攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标ip、攻击ip所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及，攻击时段；s230，基于在预设时间范围内的各攻击ip的攻击次数，生成对应攻击ip的活跃度；s240，基于各攻击ip的活跃度、攻击包速率、和攻击流量速率，生成对应攻击ip的威胁度，以及，s250，基于至少部分从所述攻击流量数据记录中获取的关键字段、活跃度和威胁度，生成攻击ip画像。

在步骤s210中，获取由网络安防系统产生的历史攻击流量数据记录。本领域的技术人员应知晓，在用户访问网站(或者其他目标ip)时，访问流量会首先经过网络安防系统。所述网络安防系统包括网络流量监控系统和流量防护管理系统，其中，所述网络流量监控系统用于对访问流量进行监测，以判定访问流量是否为攻击流量。当访问流量被识别为攻击流量或者其他异常流量时，所述流量防护管理系统会对该攻击流量进行针对性地处理，以防止该攻击流量对目标ip造成破坏。并且，在所述流量防护管理系统对攻击流量进行处理的过程中，其会产生针对该攻击流量的记录，以供后续运维人员通过该记录对该攻击流量进行分析和监控。

例如，当所述流量防护管理系统中的防御设备被配置为atic防御设备(abnormaltrafficinspection&controlsystem)时，响应于检测到访问流量为攻击流量，所述atic防御设备会对该攻击流量进行针对性处理(例如，拦截、限速、分流等)以防止该攻击流量对目标ip造成破坏，同时，所述atic防御设备生成攻击流量系统日志(systemlog，后续简写为syslog)对该攻击流量进行记录，以供后续运维人员通过攻击流量系统日志对该攻击流量进行分析和监控。

更具体地，由atic防御设备所产生的攻击流量系统日志中包括入流量、丢弃流量、攻击包数、黑名单日志、白名单日志等信息。其中，入流量表示所有访问目标ip或者经过所述atic防御设备的流量，包含正常访问流量和攻击流量。丢弃流量表示所述atic防御设备清洗掉的攻击流量，其中，在能够100％完全不漏过任何攻击流量的情况下，攻击流量等于丢弃流量。攻击包数表示在防护攻击流量的攻击时段内所述atic防御设备受到的攻击包数总计。黑名单日志表示访问流量被识别为攻击流量时，其ip会被加入黑名单中一定时间。白名单日志表示被视为正常流量的ip。

从字段信息来看，由atic防御设备所产生的攻击流量系统主要包括字段：log_time(日志推送至服务器时间)、zone_ip(对应的高防ip)、device_ip(对应的设备ip)、max_drop_pps(峰值丢弃报文数)、max_in_kbps(峰值入流量)、max_drop_kbps(峰值丢弃流量)，attack_type(攻击类型)、attacker_ip(攻击ip)、ip_blacklist(黑名单列表)、reason_operated(加入黑名单的原因)、white_list(白名单列表)、start_time(开始攻击时间)、end_time(攻击结束时间)、totalpackage(总包大小)、target_ip(目标ip)、total_pps(总包速率)、total_kbps(总流量kbps)、protocol(攻击的协议)和port(攻击的端口)等。

应可以理解，所述流量防护管理系统中的防御设备还可被配置为其他类型的网络防御设备，其中，不同类型的防御设备同样能够对攻击流量进行针对性处理，并生成该攻击流量的记录。其区别在于：不同类型的防御设备所生成的攻击流量记录的格式不同，所包含的信息也存在一定的差异。这里，为了便于说明和理解，在本申请的该较佳实施例中，以所述流量防护管理系统中的防御设备配置为atic防御设备(abnormaltrafficinspection&controlsystem)，以及，所述攻击流量记录为攻击流量syslog为示例，说明本申请实施例的攻击ip画像生成过程。

在步骤s220中，对所述攻击流量数据记录进行预处理，以获取所述攻击流量数据记录中的关键字段，其中，所述关键字段包括攻击ip，攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标ip、攻击ip所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及，攻击时段。也就是说，在收集由网络安防系统产生的历史攻击流量记录之后，对所述攻击流量数据记录进行预处理，以从所述攻击流量记录中获取用于生成攻击ip画像的关键信息。

更具体地，所述关键字段中的攻击ip，攻击类型、攻击开始时间、攻击结束时间、攻击目标ip、攻击ip所在位置等字段可通过直接提取由atic防御设备生成的所述攻击流量系统日志中的对应字段获得。而所述关键字段中的攻击包速率、攻击流量速率、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及，攻击时段等字段，需对所述攻击流量系统日志中的字段进行进一步地加工处理才能得到。例如，可通过统计攻击流量系统记录中ip_blacklist字段出现的次数，获得对应攻击ip被列入黑名单的次数。这里，对所述攻击流量系统日志中的字段进行进一步地加工处理，以获得攻击包速率、攻击流量速率、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及，攻击时段等字段的过程中，采用的技术手段为常规的统计手段。故，在此不再赘述。

在步骤s230中，基于在预设时间范围内的各攻击ip的攻击次数，生成对应攻击ip的活跃度。这里，攻击ip的活跃度是攻击ip画像中一个重要的指标，用于评估该攻击ip在预设时间段内的活跃程度。

在本申请实施例中，基于在预设时间范围内的各攻击ip的攻击次数，生成对应攻击ip的活跃度的过程，包括：基于在第一预设时间段内各攻击ip的攻击次数在所有攻击ip中的攻击次数分布，获得对应攻击ip在第一预设时间段内的第一活跃度等级。同时，基于在第二预设时间段内各攻击ip的攻击次数在所有攻击ip中的攻击次数分布，获得对应攻击ip在第二预设时间段内的第二活跃度等级，其中，第一预设时间段大于第一预设时间段。进而，基于对应攻击ip的第一活跃度等级和第二活跃度等级，生成对应攻击ip的活跃度。

也就是说，首先根据攻击流量的在第一预设时间段内的总体样本特征对每一攻击ip在第一预设时间段内的活跃度进行评估。在具体实施中，可采用分级的方式对每一攻击ip的活跃度进行量化评估。例如，设定攻击ip的活跃度分成1-10个等级，其中，当攻击ip的攻击次数在所有攻击ip中的攻击次数分布属于特定区间时，评定该攻击ip的活跃度为特定等级。

进而，根据攻击流量的在第二预设时间段内的总体样本特征对每一攻击ip在第二预设时间段内的活跃度进行评估。这样处理的原因是因为：考虑到攻击ip在不同时间范围内的不同分布特征。相应地，在具体实施中，同样可采用分级的方式对每一攻击ip的第二活跃度进行量化评估。例如，同样设定攻击ip的第二活跃度分成1-10个等级，其中，当攻击ip的攻击次数在所有攻击ip中的攻击次数分布属于特定区间时，评定该攻击ip的活跃度为特定等级。

继而，基于对应攻击ip的第一活跃度等级和第二活跃度等级，生成对应攻击ip的活跃度。可选地，第一预设时间段可设为一周内、所述第二预设时间段可设为一个月内。此时，所述攻击ip的第一活跃度等级表示对应攻击ip在近7天内的活跃程度，所述攻击ip的第二活跃度等级表示对应攻击ip在近30天内的活跃程度。

本领域的技术人员应可以理解，攻击ip在第一预设时间段(较近的时间段内)的活跃度等级比对应攻击ip在第二预设时间段(较长的时间段内)的活跃度等级影响权重较大。因此，在基于对应攻击ip的第一活跃度等级和第二活跃度等级，求解对应攻击ip的活跃度的过程中，应赋予第一活跃度等级和第二活跃度等级不同的权重。例如，在具体实施中，可设定所述第一活跃度等级对应的第一权重的初始值为7，以及，所述第二活跃度等级对应的所述第二权重的初始值为3。并且，在后续数据处理的过程中，基于机器学习算法对所述第一权重和第二权重的取值进行调整优化。

可选地，在本申请另外的实施例中，所述第一预设时间段和所述第二预设时间段可设置为其他值。例如，所述第一预设时间段为近7天内，所述第二预设时间段为近15天内。对此，并不为本申请所局限。

可选地，在本申请另外的实施例中，还可以额外增设预设时间段，以更为准确地表征对应攻击ip的活跃度特征。例如，在本申请另外的实施例中，所述基于在预设时间范围内的各攻击ip的攻击次数，生成对应攻击ip的活跃度的过程，还包括：基于在第三预设时间段内各攻击ip的攻击次数在所有攻击ip中的攻击次数分布，获得对应攻击ip在第三预设时间段内的第三活跃度等级，其中，第三预设时间段位于所述第一预设时间段和所述第二预设时间段之间。例如，所述第一预设时间段为近7天，第二预设时间段为近30天，以及，所述第三预设时间段为近15天。对此，同样并不为本申请所局限。

在步骤s240中，基于各攻击ip的活跃度、攻击包速率、和攻击流量速率，生成对应攻击ip的威胁度。这里，攻击ip的威胁度是攻击ip画像中最重要的特征，其用于评估对应攻击ip的对目标ip的威胁程度，其中，威胁度越大，代表对目标ip的威胁力越大。

特别地，在本申请实施例中，攻击ip的威胁度基于对应攻击ip的活跃度、攻击包速率和攻击流量速率综合评定获得，其能够良好地表征该攻击ip对目标ip的破坏力程度。具体来说，攻击ip的攻击包速率表示每秒攻击包的大小，其表征攻击ip的体量。攻击流量速率表示每秒发包的次数，其表征攻击ip的攻速。也就是说，在本申请实施例中，基于攻击ip的活跃程度、体量和攻速对攻击ip的威胁度进行评定。

在具体实施中，同样可采用分级制的方式对所述攻击ip的威胁度进行评定，例如，在本申请实施例中，采用10级制对所述攻击ip的威胁度进行评定，其中，威胁度级别越高，表示对应攻击ip的威胁力越大。

为了更为准确地对攻击ip的威胁度进行预测评估，可选地，在本申请的另外的实施例中，还可以引入其他参量对攻击ip的活跃度进行评估。例如，还可引入部分关键字段结合活跃度、攻击包速率、和攻击流量速率对攻击ip的威胁度进行评估，其中，部分关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。

应可以理解，在具体求解威胁度的过程中，不同的特征分别具有不同的权重。因此，可采用有监督学习算法对用以求解威胁度的模型进行训练，以对模型中的参数进行调整，以使得最终获得的威胁度能更好地表征对应攻击ip对目标ip的威胁力。

在步骤s250中，基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度，生成攻击ip画像。也就是说，整合在步骤s210-s240中获得的关键字段、活跃度和威胁度，生成所述攻击ip画像。

图3图示了根据本申请实施例的攻击ip画像的一种具体示例。如图3所示，所述攻击ip画像包括特征维度：威胁度(分为高危、中危、低危，三个等级)、体量(即，攻击包速率，分为重量级、中量级、轻量级，三个等级)、攻速(即，攻击流量速率，分为快、中、慢，三个等级)、活跃度(采用十分制进行表示)、攻击时段、攻击方式、发源地(攻击ip所在地)、是否进入黑名单和其他信息(包括被攻击行业)。

值得一提的是，在实际应用中，可将攻击ip画像进行大屏展示，供运维人员和/或客户对攻击流量建立直观认知。或者，将攻击ip画像封装于api中，供所述网络安防系统调用。或者，将攻击ip画像模型配置于所述网络安防系统的储存器中，以供调用。

应可以理解，虽然上文中以所述防御设备配置为atic防御设备(abnormaltrafficinspection&controlsystem)，以及，所述攻击流量记录为攻击流量syslog为示例，阐述了本申请实施例的攻击ip画像生成过程。本领域的技术人员应可以理解，虽然，当所述流量防护管理系统中防御设备被实施为其他类型的防御设备时，其所产生的攻击流量记录会发生一定的变化，但是，本申请所揭露的攻击ip画像生成思路仍可以应用，只需不违背本申请的核心精神即可。

在步骤s120中，响应于所述网络安防系统检测到攻击流量，匹配该攻击流量对应的攻击ip画像。换言之，在通过上述过程基于历史攻击流量数据记录生成攻击ip画像之后，所述攻击ip画像被应用于网络安防系统中。

具体来说，所述攻击ip画像可存储于所述网络安防系统的存储器上(例如，存储器的数据库中)。这样，当所述网络安防系统的网络流量监测部分检测到访问流量为攻击流量时，所述网络流量监测系统可首先提取所述攻击流量的ip，进而基于攻击ip从存储器上匹配出与所述攻击ip对应的攻击ip画像。

或者，当所述攻击ip画像封装于api时，所述网络安防系统被配置可通信地与封装有攻击ip画像的api端口相连，以供所述网络安防系统调用所述攻击ip画像模型。这样，当所述网络安防系统的网络流量监测部分检测到访问流量为攻击流量时，所述网络流量监测系统可首先提取所述攻击流量的攻击ip，并从api端口中调用所述攻击ip画像，进而，基于攻击ip匹配出与所述攻击ip对应的攻击ip画像。

如前所述，攻击ip画像中包含对应攻击ip的威胁度，所述攻击ip的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成。攻击ip的威胁度是攻击ip画像中最重要的特征，其用于评估对应攻击ip的对目标ip的威胁程度，其中，威胁度越大，代表对目标ip的威胁力越大。换言之，通过所述攻击ip画像中的威胁度可以直接对攻击ip的攻击进行预测，以对该攻击流量进行量化评估。

应可以理解，所述攻击ip画像中还包括其他特征维度，例如：攻击包速率、攻击的类型、活跃度、活跃的区域、攻击的目标等。从而，基于所述攻击ip画像可从多个维度对攻击流量进行评估，评估内容包括：实时地了解攻击者的意图，对攻击ip的攻击行为进行预测，对攻击ip进行溯源以定位到发起攻击的攻击者的位置等。

在步骤s130中，基于该攻击流量对应的攻击ip画像中的威胁度，对该攻击流量进行防护处理。也就是说，在通过攻击ip画像对攻击流量进行即时评估之后，基于评估结果选择后续对攻击流量的处理方式。

具体来说，在本申请实施例中，基于该攻击流量对应的攻击ip画像中的威胁度等级，采用具有针对性的处理手段对该攻击流量进行处理。如前所述，在本申请实施例中，可采用10级制对所述攻击ip的威胁度进行评定，其中，威胁度级别越高，表示对应攻击ip的威胁力越大。可选地，在本申请实施例中，所述网络安防系统基于攻击流量的不同的威胁度将其分成若干攻击等级，并针对不同攻击等级采取不同的防护措施。

如图4所示，在本申请一种具体的实施方案中，将攻击流量基于其威胁度分成3攻击等级：第一攻击等级、第二攻击等级和第三攻击等级，其中，第一攻击等级对应的威胁度属于第一预设范围、第二攻击等级对应的威胁度属于第二预设范围、以及，第三攻击等级对应的威胁度属于第三预设范围。并且，攻击等级与所述网络安防系统所采用的防护手段之间的对应关系设定为：当攻击流量为第一攻击等级的攻击流量时，拦截该攻击流量；当攻击流量为第二攻击等级的攻击流量时，将该攻击流量进行分流处理；当攻击流量为第三攻击等级的攻击流量时，对该攻击流量进行限流处理。

对于第一种处理手段：对攻击流量进行拦截，其表示拒绝该攻击流量对目标ip的访问。

对于第二种处理手段：限制该攻击流量的流量速度。例如，可限制该攻击流量访问目标ip服务器的带宽，以防止目标ip服务器由于该攻击流量而瘫痪。

对于第三种处理手段，将该攻击流量进行分流处理。例如，可将该攻击流量分流到流量防护管理系统中的各台防御设备中，以降低各台防御设备的负载。或者，所述流量防护管理系统设置虚拟目标ip，将攻击流量引流到该虚拟目标ip上，以减少该攻击流量到目标ip的体量和攻速。或者，所述流量防护管理系统可设置蜜罐系统，将攻击流量引流到该蜜罐系统中，以通过蜜罐系统对该攻击流量的攻击行为进行分析。

优选地，所述第一预设范围、所述第二预设范围和所述第三预设范围具有连续性。例如，在本申请一种具体实施中，所述第一预设范围设定为威胁度等级大于7，第二预设范围设定为威胁度等级为4-6，以及，所述第三预设范围设定为威胁度等级为1-3。也就是说，当威胁度等级达到7级以上时，该攻击流量为第一攻击等级的攻击流量，属于高危攻击流量，对应采取拦截的防护手段直接将该攻击流量进行拦截。当威胁度等为4-6级时，该攻击流量为第二攻击等级的攻击流量，其为疑似攻击流量，采取分流的防护手段对该攻击流量进行处理。当威胁度等级为1-3时，该攻击流量为第三攻击等级的攻击流量，其威胁力较弱，采用限流的防护手段对该攻击流量进行处理。

应理解，所述第一攻击等级对应的第一预设范围、所述第二攻击等级对应的第二预设范围和所述第三攻击等级对应的第三预设范围可设置为其他威胁度等级参考值。并且，所述第一攻击等级、所述第二攻击等级和所述第三攻击等级对应的防护措施可作为调整。

如图5所示，所述第一攻击等级对应的所述第一预设范围设为6-10，所述第二攻击等级对应的所述第二预设范围设为3-5，所述第三攻击等级对应的所述第三预设范围设为1-2。并且，攻击等级与所述网络安防系统所采用的防护手段之间的对应关系设定为：当攻击流量为第一攻击等级的攻击流量时，将该攻击流量的攻击ip加入黑名单；当攻击流量为第二攻击等级的攻击流量时，将该攻击流量进行分流或限流处理；当攻击流量为第三攻击等级的攻击流量时，不对该攻击流量进行处理，但对该攻击流量进行监控。

特别地，当攻击流量为第一攻击等级的攻击流量时，该攻击流量的攻击ip被加入黑白单的时间可基于该攻击流量对应的威胁度设定，例如，与其威胁度呈正比(例如，2.4*威胁度＝被加入黑名单的时间)，或者，与其威胁度的平方成正比等。

值得一提的是，在本申请另外的具体实施方案中，所述攻击流量基于其威胁度可被分为更多或更少的攻击等级，并且，对应各攻击等级所采取的防护措施可做调整。

图6图示了根据本申请实施例的攻击等级和对应防护手段的另一种具体的示例。如图6所示，在该具体实施方案中，将攻击流量基于其威胁度分成5个攻击等级：第一攻击等级、第二攻击等级、第三攻击等级、第四攻击等级和第五攻击等级，其中，第一攻击等级对应的威胁度属于第一预设范围、第二攻击等级对应的威胁度属于第二预设范围、第三攻击等级对应的威胁度属于第三预设范围、第四攻击等级对应的威胁度属于第四预设范围，以及，第五攻击等级对应的威胁度属于第五预设范围。并且，攻击等级与所述网络安防系统所采用的防护手段之间的对应关系设定为：当攻击流量为第一攻击等级的攻击流量时，拦截该攻击流量；当攻击流量为第二攻击等级的攻击流量时，将该攻击流量进行限流处理；当攻击流量为第三攻击等级的攻击流量时，对该攻击流量进行导流处理；当攻击流量为第四攻击等级的攻击流量时，对该攻击流量进行分流处理；当攻击流量为第五攻击等级的攻击流量时，不对该攻击流量进行处理，但对该攻击流量进行监控。值得一提的是，导流处理与分流处理的技术实质并无本质差别，其区别仅在于被处理的流量占总流量的占比，当该占比为100％时为导流，当该占比小于100％时为分流。

特别地，所述第一预设范围、所述第二预设范围、所述第三预设范围、第四预设范围和第五预设范围具有连续性。例如，所述第一预设范围设定为威胁度等级为9-10，第二预设范围设定为威胁度等级为7-8，所述第三预设范围设定为威胁度等级为5-6，所述第四预设范围设定为威胁度等级为3-4，以及，所述第五预设范围设定为威胁度等级为1-2。也就是说，当威胁度等级为9-10时，该攻击流量为第一攻击等级的攻击流量，属于具有巨大威胁的攻击流量，对应采取拦截的防护手段直接将该攻击流量进行拦截。当威胁度等为7-8级时，该攻击流量为第二攻击等级的攻击流量，其为具有重大威胁度的攻击流量，采取限流的防护手段对该攻击流量进行处理。当威胁度等级为6-7时，该攻击流量为第三攻击等级的攻击流量，其为具有中等威胁度的攻击流量，采用导流的防护手段对该攻击流量进行处理。当威胁度等级为3-4时，该攻击流量为第四攻击等级的攻击流量，其威胁度可接受的攻击流量，采用分流的防护手段对该攻击流量进行处理。当威胁度等级为1-2时，该攻击流量为可忽略的攻击流量，不对该攻击流量进行处理，但对该攻击流量进行监控。在本申请该实施例中，所述流量防护管理系统包括ddos防御系统、cc防御系统，以及，waf防御系统，其中，所述ddos防御系统、所述cc防御系统和所述waf防御系统逐级深入地对进入所述网络安防系统的攻击流量进行处理，以实现安全防护效果。具体来说，ddos(distributeddenialofservice)防御系统也称为分布式拒绝服务防御系统，用于防御由“肉机”发出的ddos攻击流量。cc(challengecollapsar)防御系统是一种针对页面攻击的防御系统，用于防御cc流量攻击，其中，cc攻击指的是攻击者借助代理服务器生成指向受害主机的合法请求，实现ddos和伪装。waf(webapplicationfirewall)防御系统是一种针对于网站应用层的防护系统，用于解决web应用安全问题，例如，防御sql注入、网页篡改、网页挂马等攻击。

在安全防护过程中，所述ddos防御系统用于对攻击流量进行拦截，或者将所述攻击流量对应的攻击ip加入黑名单，其中，被加入黑白单的时间基于该攻击流量对应的威胁度设定。在经过ddos防御系统对攻击流量进行处理之后，所述cc防御系统进一步地将该攻击流量进行分流处理或导流处理，例如，将该攻击流量分流到流量防护管理系统中的各台防御设备中，以降低各台防御设备的负载；或者，所述流量防护管理系统设置虚拟目标ip，将攻击流量引流到该虚拟目标ip上，以减少该攻击流量到目标ip的体量和攻速。这样，通过ddos防御系统和cc防御系统之间的配合，对具有不同攻击等级的攻击流量进行逐层防护。

通常，抵达waf防御系统的攻击流量的威胁度较低，无需对攻击流量采取措施。然而，当在web应用端检测到攻击流量时，所述waf防护系统能够采用针对性的处理手段对这部分攻击流量进行处理。例如，所述waf防御系统可将这部分攻击流量分流至蜜罐系统，以通过蜜罐系统对该攻击流量的攻击行为进行学习，这样，可使得攻击特性会在威胁度的评定得以不断优化。本领域的技术人员应知晓，蜜罐系统基于蜜罐技术构建，其本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，修饰攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具和方法，推测攻击意图和动机。

值得一提的是，在具体应用中，所述网络安防系统可不断实时地获取正常流量和攻击流量的行为特征。因此，可基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击ip画像进行更新(例如，增加新的特征维度或对原先特征维度值进行更新)，使得攻击ip画像更为立体和完整。

综上，本申请所提供的基于攻击ip画像的网络安全防护方法被阐明，其首先通过大数据统计分析历史攻击流量数据记录以生成攻击ip画像，并基于攻击ip画像中的威胁度对所述攻击流量进行针对性处理，以提高网络安防的效率和针对性。并且，所述攻击ip画像具有相对更为丰富的特征表示，能更为全面地描绘攻击ip的整体特征。

示例性基于攻击ip画像的网络安全防护系统

下面，参考图7来描述根据本申请实施例的网络安全防护系统。

图7图示了根据本申请实施例的网络安全防护系统的框图。

如图7所示，根据本申请实施例的网络安全防护系统10，包括：攻击ip画像生成系统11、网络流量监控系统12，以及，流量防护管理系统13。其中，所述攻击ip画像生成系统11，用于对获取的由网络安防系统产生的历史攻击流量数据记录进行处理，以生成攻击ip画像，其中，各所述攻击ip画像中包含对应攻击ip的威胁度，所述攻击ip的威胁度基于各攻击ip的活跃度、攻击包速率、和攻击流量速率生成。所述网络流量监控系统12，用于对访问流量进行流量检测。所述流量防护管理系统13，用于响应于所述网络流量监控系统检测到访问流量为攻击流量，且该攻击流量对应的攻击ip画像中的威胁度大于预设阈值，对该攻击流量进行防护处理。

在本申请一实施例中，在上述网络安全防护系统10中，所述攻击ip画像生成系统11，还包括：获取单元111，用于获取由网络安防系统产生的历史攻击流量数据记录；预处理单元112，用于对所述攻击流量数据记录进行预处理，以从所述攻击流量数据记录中获取关键字段，其中，所述关键字段包括攻击ip，攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标ip、攻击ip所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及，攻击时段；活跃度生成单元113，用于基于在预设时间范围内的各攻击ip的攻击次数，生成对应攻击ip的活跃度；威胁度生成单元114，用于基于各攻击ip的活跃度、攻击包速率、和攻击流量速率，生成对应攻击ip的威胁度；以及，攻击ip画像生成单元115，基于至少部分从所述攻击流量数据记录中获取的关键字段、活跃度和威胁度，生成攻击ip画像。

在本申请一实施例中，在上述网络安全防护系统10中，其中，所述流量防护管理系统13，包括ddos防御系统131，用于：用于拦截该攻击流量中的被识别为ddos攻击的攻击流量或者将该攻击流量的攻击ip加入黑名单；cc防御系统132，用于对该攻击流量中的被识别为cc攻击的攻击流量进行分流、导流或限流处理。

在本申请一实施例中，在上述网络安全防护系统10中，所述流量防护管理系统13，还包括waf防御系统133，用于响应于该攻击流量为web应用攻击流量，将所述攻击流量导流至蜜罐系统。

这里，本领域技术人员可以理解，上述基于攻击ip画像的网络安全防护系统中的各个单元和模块的具体功能和操作已经在上面参考图1到图6描述的基于攻击ip画像的网络安全防护方法中详细介绍，并因此，将省略其重复描述。

如上所述，根据本申请实施例的基于攻击ip画像的网络安全防护系统可以实现在各种终端设备中，例如网络安防系统的服务器上。在一个示例中，根据本申请实施例的基于攻击ip画像的网络安全防护系统可以作为一个软件模块和/或硬件模块而集成到所述终端设备中。例如，该基于攻击ip画像的网络安全防护系统可以是该终端设备的操作系统中的一个软件模块，或者可以是针对于该终端设备所开发的一个应用程序。

以上结合具体实施例描述了本申请的基本原理，但是，需要指出的是，在本申请中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本申请为必须采用上述具体的细节来实现。

本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。

还需要指出的是，在本申请的装置、设备和方法中，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。

提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此，本申请不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。

为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

本领域的技术人员应理解，上述描述及附图中所示的本申请的实施例只作为举例而并不限制本申请。本申请的目的已经完整并有效地实现。本申请的功能及结构原理已在实施例中展示和说明，在没有背离所述原理下，本申请的实施方式可以有任何变形或修改。