网络防护方法及相关装置与流程

1.本技术涉及网络领域，具体而言，涉及一种网络防护方法及相关装置。


背景技术：

2.随着网络化程度的提高，网络安全问题也愈发严重。例如，由于ddos攻击具有实现低成本，收益高等特点，因此，对于ddos的防护也是日渐严峻的问题之一。
3.为了提高网络安全，一些网络集群中会部署多个异常检测设备，用于检测可能存在的网络攻击。然而，发明人研究发现，目前多个异常检测设备的检测结果相对独立，单个异常检测设备的识别结果存在偶然性，容易产生误判，继而影响网络集群的服务质量。


技术实现要素：

4.为了克服现有技术中的至少一个不足，本技术实施例提供一种网络防护方法及相关装置，包括：
5.第一方面，本实施例提供一种网络防护方法，应用于集群中的防护设备，所述防护设备与所述集群中的多个异常检测设备通信连接，所述方法包括：
6.获取可疑网络地址；其中，所述可疑网络地址被所述多个异常检测设备中的至少两个目标检测设备检测到；
7.根据所述可疑网络地址，获取所述可疑网络地址的访问特征，其中，所述访问特征由所述至少两个目标检测设备检测提供；
8.若所述访问特征满足拦截条件，则确定所述可疑网络地址为待拦截网络地址。
9.第二方面，本实施例提供一种网络防护装置，应用于集群中的防护设备，所述防护设备与所述集群中的多个异常检测设备通信连接，所述网络防护装置包括：
10.网址获取模块，用于获取可疑网络地址；其中，所述可疑网络地址为被所述多个异常检测设备中的至少两个目标检测设备检测到的网络地址；
11.特征获取模块，用于根据所述可疑网络地址，获取所述可疑网络地址的访问特征，其中，所述访问特征由所述至少两个目标检测设备检测提供；
12.特征处理模块，用于若所述访问特征满足拦截条件，则确定所述可疑网络地址为待拦截网络地址。
13.第三方面，本实施例提供一种防护设备，所述防护设备包括处理器以及存储器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，实现所述的网络防护方法。
14.第四方面，本实施例提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现所述的网络防护方法。
15.第五方面，本实施例提供一种计算机程序产品，包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现所述的网络防护方法。
16.相对于现有技术而言，本技术具有以下有益效果：
17.本实施例提供的网络防护方法及相关装置中，该防护设备获取可疑网络地址，并在该可疑网络地址的访问特征满足拦截条件时，将其确定为待拦截网络地址。由于该可疑网络地址被多个异常检测设备中的至少两个目标检测设备检测到，且该访问特征由于至少两个目标检测设备提供，因此，使得基于该访问特征所确定出的待拦截网络地址更为准确。
附图说明
18.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
19.图1为本技术实施例提供的集群示意图之一；
20.图2为本技术实施例提供的集群示意图之二；
21.图3为本技术实施例提供的防护设备结构示意图；
22.图4为本技术实施例提供的网络防护方法的流程示意图；
23.图5为本技术实施例提供的网络防护装置的结构示意图。
24.图标：120
‑
存储器；130
‑
处理器；140
‑
通信装置；201
‑
网址获取模块；202
‑
特征获取模块；203
‑
特征处理模块。
具体实施方式
25.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
26.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
27.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
28.在本技术的描述中，需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
29.应该理解，流程图的操作可以不按顺序实现，没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外，本领域技术人员在本技术内容的指引下，可以向流程图添加一个或多个其他操作，也可以从流程图中移除一个或多个操作。
30.如图1所示，本实施例提供集群的一种结构示意图，该集群中包括多个异常检测设备。其中，各异常检测设备可以通过预设异常检测策略，或者部署的机器学习模型从访问的
网络地址中确定出异常网络地址，并对其进行拦截。或者，提供一台异常检测设备，将其部署现在内网环境中，对流经内网的网络流量进行异常检测。
31.然而，单个异常检测设备相对独立，因此，所检测出的异常网络地址存在一定的偶然性，容易将正常网络地址判定为异常网络地址，并对其进行拦截，继而会降低网络服务的质量。
32.鉴于此，本实施例提供一种应用于集群中的防护设备的网络防护方法。如图2所示，该防护设备还与集群中的多个异常检测设备通信连接，从异常检测设备检测出的异常网络地址中筛选出可疑网络地址，并结合检测到该可疑网络地址的至少两个目标检测设备所提供的访问特征，以确定该可疑网络地址是否为待拦截网络地址。
33.其中，该防护设备的具体类型，可以是集群中的单个服务器，也可以是服务器组。若该防护设备是服务器组，则该服务器组可以是集中式的，也可以是分布式的(例如，服务器可以是分布式系统)。在一些实施例中，防护设备可以在云平台上实现；仅作为示例，云平台可以包括私有云、公有云、混合云、社区云(community cloud)、分布式云、跨云(inter
‑
cloud)、多云(multi
‑
cloud)等，或者它们的任意组合。在一些实施例中，防护设备可以在具有一个或多个组件的电子设备上实现。
34.需要说明的是，本实施例中可疑网络地址对应的设备，可以是，但不限于，移动终端、平板计算机、膝上型计算机、或机动车辆中的内置设备等，或其任意组合。在一些实施例中，移动终端可以包括智能家居设备、可穿戴设备、智能移动设备、虚拟现实设备、或增强现实设备等，或其任意组合。
35.在一些实施例中，智能家居设备可以包括智能照明设备、智能电器设备的控制设备、智能监控设备、智能电视、智能摄像机、或对讲机等，或其任意组合。在一些实施例中，可穿戴设备可包括智能手环、智能鞋带、智能玻璃、智能头盔、智能手表、智能服装、智能背包、智能配件等、或其任何组合。
36.在一些实施例中，智能移动设备可以包括智能手机、个人数字助理(personal digital assistant，pda)、游戏设备、导航设备、或销售点(point of sale，pos)设备等，或其任意组合。
37.在介绍本实施例提供的网络防护方法之前，为了便于本领域技术人员理解本方案，下面先对防护设备的结构进行介绍。
38.本实施例提供该防护设备的一种结构示意图。如图3所示，该防护设备包括存储器120、处理器130、通信装置140。
39.该存储器120、处理器130以及通信装置140各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
40.其中，该存储器120可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read
‑
only memory，prom)，可擦除只读存储器(erasable programmable read
‑
only memory，eprom)，电可擦除只读存储器(electric erasable programmable read
‑
only memory，eeprom)等。其中，存储器120用于存储程序，该处理器130在接收到执行指令后，执行该程序。
41.该通信装置140用于通过网络建立服务器与用户终端之间的通信连接，并用于通
过网络收发数据。网络可以包括有线网络、无线网络、光纤网络、远程通信网络、内联网、因特网、局域网(localarea network，lan)、广域网(wide area network，wan)、无线局域网(wireless local area networks，wlan)、城域网(metropolitan area network，man)、广域网(wide area network，wan)、公共电话交换网(public switched telephone network，pstn)、蓝牙网络、zigbee网络、或近场通信(near field communication，nfc)网络等，或其任意组合。在一些实施例中，网络可以包括一个或多个网络接入点。例如，网络可以包括有线或无线网络接入点，例如基站和/或网络交换节点，服务请求处理系统的一个或多个组件可以通过该接入点连接到网络以交换数据和/或信息。
42.该处理器130可能是一种集成电路芯片，具有信号的处理能力，并且，该处理器可以包括一个或多个处理核(例如，单核处理器或多核处理器)。仅作为举例，上述处理器可以包括中央处理单元(central processing unit，cpu)、专用集成电路(application specific integrated circuit，asic)、专用指令集处理器(application specific instruction
‑
set processor，asip)、图形处理单元(graphics processing unit，gpu)、物理处理单元(physics processing unit，ppu)、数字信号处理器(digital signal processor，dsp)、现场可编程门阵列(field programmable gate array，fpga)、可编程逻辑器件(programmable logic device，pld)、控制器、微控制器单元、简化指令集计算机(reduced instruction set computing，risc)、或微处理器等，或其任意组合。
43.基于上述防护设备以及应用场景的相关介绍，下面结合图4所示的网络防护方法的流程图，对该方法包括各个步骤进行详细阐述。如图4所示，该方法包括：
44.步骤s101，获取可疑网络地址。
45.其中，可疑网络地址被多个异常检测设备中的至少两个目标检测设备检测到。
46.示例性的，该防护设备接收各异常检测设备检测出的至少一个异常网络地址，然后，针对每个异常网络地址，当该异常网络地址被多个异常检测设备中的至少两个目标检测设备检测到，则将异常网络地址确定为可疑网络地址。
47.步骤s102，根据可疑网络地址，获取可疑网络地址的访问特征。
48.其中，访问特征由至少两个目标检测设备检测提供。
49.步骤s103，若访问特征满足拦截条件，则确定可疑网络地址为待拦截网络地址。
50.基于上述设计，该防护设备获取可疑网络地址，并在该可疑网络地址的访问特征满足拦截条件时，将其确定为待拦截网络地址。由于该可疑网络地址被多个异常检测设备中的至少两个目标检测设备检测到，且该访问特征由于至少两个目标检测设备提供，因此，使得基于该访问特征所确定出的待拦截网络地址更为准确。
51.需要说明的是，针对仅被多个异常检测设备中的单个目标检测设备检测的异常网络地址，则使用另外一套拦截条件对其进行判别。例如，该防护设备在检测到异常网络地址的访问次数、访问频率以及访问时段满足设定的拦截条件时，则将该异常网络地址判定为待拦截网络地址。
52.此外，本实施例中，该防护设备还将待拦截网络地址配置到防火墙，使得防火墙对待拦截网络地址的访问请求进行拦截。
53.其中，该防火墙可以是防护设备所在网络环境的防火墙，还可以是防护设备所在网络环境以外的其他防火墙。例如，该防火墙还可以是其他单点登录的网络环境中部署的
防火墙。需要说明的是，本实施例所指的单点登录，用于管理多个彼此独立系统的访问权限，使得用户可以使用单一的用户名及密码，访问某个或多个系统；从而避免切换系统时，需要繁琐的使用不同的用户名及密码。例如，银行内网环境，医院内网环境，各大型企业机构内网环境等。
54.因此，在一些实施方式中，该防护设备还可以提供一显示设备，并将待拦截网络地址显示到该显示设备，以提醒单点登录系统的运维人员，将待拦截网络地址配置到该系统的防火墙，使得防火墙对待拦截网络地址的访问请求进行拦截。
55.本实施例提供多种拦截条件，用于适应对检测精度的不同需求。在一种实施方式中，访问特征包括可疑网络地址被至少两个目标检测设备检测到的访问总次数。该防护设备若检测到可以网络地址的访问总次数超过设定的次数阈值，则确定该可以网络地址为待拦截网络地址。
56.示例性的，假定该可以网络地址被5个目标检测设备检测到，具体包括设备a、设备b、设备c、设备d以及设备e。而其中设备a检测到5次，设备b检测到1次，设备c检测到3次，设备d检测到7次，设备e检测到2次，则访问总次数为18次。并且，假定次数阈值为15次，由于该可以网络地址的访问总次数超过18次，因此，该可疑网络地址为待拦截网络地址。
57.在另外一种实施方式中，访问特征包括至少两个目标检测设备的设备数量。该防护设备若检测到设备数量大于数量阈值，则确定可疑网络地址为待拦截网络地址。
58.示例性的，假定数量阈值为5，而目标检测设备的数量为7，则该可疑网络地址为待拦截网络地址。
59.进一步地，为了使得对带拦截网络地址的检测更为客观准确，在另外一种实施方式中，兼顾了可疑网络地址的访问总次数以及目标检测设备的设备数量。即访问特征包括可疑网络地址被至少两个目标检测设备测到的访问总次数以及目标检测设备的设备数量，该数据处理设备根据访问总次数以及设备数量各自的权重进行加权求和，获得拦截评估分数；然后，若拦截评估分数大于分数阈值，则确定可疑网络地址为待拦截网络地址。
60.示例性，假定可疑网络地址的被检测到的访问总次数为10次，而目标检测设备的设备数量为7个；而访问总次数与设备数量各自的权重均为0.5。
61.并且，为了在统一的尺度对访问总次数以及设备数量进行衡量，本实施例中，还对访问总次数以及设备数量进行了归一化处理。同样假定访问总次数的数量阈值为15，目标检测设备的数量阈值为5；则以10/15的方式对访问总次数进行归一化，以7/5的方式对设备数量进行归一化，因此，最终的拦截评估分数为：10/15*0.5+7/5*0.5＝1.03。若分数阈值为1，则该可疑网络地址为待拦截网络地址。
62.需要说明的是，上述访问总次数以及目标设备的设备数量均是在预设时段内进行统计获得，并且，上述分数阈值、数量阈值以及次数阈值本领域技术人员可疑根据需要进行适当调整，本实施例不做具体的限定。
63.此外，本领域技术人员还可以根据需要适当增加访问特征以提高对待拦截网络地址的识别精度。例如，访问特征包括可疑网络地址被至少两个目标检测设备测到的访问总次数、目标检测设备的设备数量以及可以网络地址的访问频率；防护设备根据访问总次数、设备数量以及访问频率各自的权重，获得拦截评估分数，若该拦截评估分数大于分数阈值，则确定可疑网络地址为待拦截网络地址。
64.基于与本实施例所提供网络防护方法相同的发明构思，本实施例还提供了相应装置，具体包括：
65.本实施例提供一种网络防护装置，应用于集群中的防护设备，防护设备与集群中的多个异常检测设备通信连接。网络防护装置包括至少一个可以软件形式存储于存储器中的功能模块。如图5所示，从功能上划分，网络防护装置包括：
66.网址获取模块201，用于获取可疑网络地址；其中，可疑网络地址为被多个异常检测设备中的至少两个目标检测设备检测到的网络地址。
67.本实施例中，该网址获取模块201用于实现图4中的步骤s101，关于该网址获取模块201的详细描述，可以参见步骤s101的详细描述。
68.特征获取模块202，用于根据可疑网络地址，获取可疑网络地址的访问特征，其中，访问特征由至少两个目标检测设备检测提供。
69.本实施例中，该特征获取模块202用于实现图4中的步骤s102，关于该特征获取模块202的详细描述，可以参见步骤s102的详细描述。
70.特征处理模块203，用于若访问特征满足拦截条件，则确定可疑网络地址为待拦截网络地址。
71.本实施例中，该特征处理模块203用于实现图4中的步骤s103，关于该特征处理模块203的详细描述，可以参见步骤s103的详细描述。
72.需要说明的是，该网络防护装置还可以包括其他软件功能模块，用于实现该网络防护方法的其他步骤或则子步骤。或者，上述网址获取模块201、特征获取模块202以及特征处理模块203同样还可以用于实现该网络防护方法的其他步骤或则子步骤，本实施例不对此做具体的限定，本领域技术人员可以根据不同的模块划分标准进行适当调整。
73.本实施例提供一种防护设备，防护设备包括处理器以及存储器，存储器存储有计算机程序，计算机程序被处理器执行时，实现所述的网络防护方法。
74.本实施例提供一种计算机存储介质，计算机存储介质存储有计算机程序，计算机程序被处理器执行时，实现所述的网络防护方法。
75.本实施例提供一种计算机程序产品，包括计算机程序/指令，计算机程序/指令被处理器执行时实现所述的网络防护方法。
76.综上所述，本技术实施例提供的网络防护方法及相关装置中，该防护设备获取可疑网络地址，并在该可疑网络地址的访问特征满足拦截条件时，将其确定为待拦截网络地址。由于该可疑网络地址被多个异常检测设备中的至少两个目标检测设备检测到，且该访问特征由于至少两个目标检测设备提供，因此，使得基于该访问特征所确定出的待拦截网络地址更为准确。
77.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可
以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
78.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
79.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
80.以上所述，仅为本技术的各种实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。