一种联动阻断方法、装置、电子设备和介质与流程

本技术涉及网络安全，具体而言，涉及一种联动阻断方法、装置、电子设备和介质。

背景技术：

1、网络安全和日常生活紧密相关，如何有效进行攻击阻断成了目前较大需求项。防火墙作为隔绝外网和内网的安全设备承担着网络至关重要的作用，但是由于防火墙的检测功能局限性，部分安全检测还需要依赖于入侵检查设备。入侵检查设备作为旁路部署设备，旁挂在核心边上承担着网络攻击行为检测的功能。

2、目前入侵检测与防火墙联动都是通过在入侵检测和防火墙上配置相关认证信息，入侵检测系统检测数据，如果检测出来存在攻击行为会将对应会话信息发送至所有联动防火墙，防火墙会根据收集到入侵检测系统信息对相应的流量进行封堵，这种方法会提高检测设备上的无效联动信息的数量，降低检查设备的检测力度。

技术实现思路

1、本技术实施例的目的在于提供一种联动阻断方法、装置、电子设备和介质，能够减少不同区域的防火墙之间的差异性，使得不同的区域的防火墙更具针对性，既能保护计算机，又能保护业务数据正常传输。

2、第一方面，本技术实施例提供了一种联动阻断方法，包括：

3、获取多个检查设备的地址，所述多个检查设备用于保护不同区域的服务器，所述检查设备配置有所述检查设备保护的服务器的第一引用地址；

4、接收网络流量；

5、对所述网络流量进行检测，若所述网络流量存在异常，判断所述异常是否和所述多个检查设备的第一引用地址匹配；

6、若是，向所述异常匹配的第一引用地址对应的检查设备发送联动信息；

7、若否，向所有检查设备发送联动信息；

8、所述联动信息用于使所述检查设备根据所述异常对所述检查设备保护的服务器的流量报文进行检测。

9、在上述实现过程中，对网络流量进行检测，当检测出异常的时候，并不是将联动信息发送给所有的检查设备，而是判断所述异常是否和所述多个检查设备的第一引用地址匹配，如果没有匹配，则将联动信息发送给所有的检查设备。基于上述实施方式，减少检测设备上的无效联动信息的数量，提高检查设备的检测力度。

10、进一步地，所述对所述网络流量进行检测的步骤之前，还包括：

11、接收所述多个检查设备发送的秘钥；

12、所述向所述异常匹配的第一引用地址对应的检查设备发送联动信息的步骤，包括：

13、根据所述秘钥对所述联动信息加密，得到加密后的联动信息；

14、向所述异常匹配的第一引用地址对应的检查设备发送所述加密后的联动信息；所述向所有检查设备发送联动信息的步骤，包括：

15、根据所述秘钥对所述联动信息加密进行加密，得到加密后的联动信息；

16、将所述加密后的联动信息发送到所述所有检查设备。

17、在上述实现过程中，检查设备通过本身产生秘钥，建立各自的加密通道，不同的加密通道用于传输不同的检查设备的联动信息。基于此，能够保证联动信息的安全性。

18、进一步地，所述对所述网络流量进行检测的步骤，包括：

19、对所述网络流量进行解析，得到所述网络流量中的会话信息；

20、判断所述会话信息中是否包括攻击信息，若是，判定所述网络流量存在异常。

21、在上述实现过程中，病毒、恶意文件通过植入于会话信息中实现对服务器的攻击，而检查设备通常不对所有会话信息进行检查，通过在网络流量中解析出会话信息，能够在检查设备的基础上实现对网络流量地进一步检查、保护。

22、进一步地，所述多个检查设备第一引用地址包括所述多个检查设备保护的服务器的ip地址；

23、所述攻击信息包括：目的ip和源ip；

24、所述判断所述异常是否和所述多个检查设备的第一引用地址匹配的步骤，包括：

25、判断所述多个检查设备保护的服务器的ip地址是否包括所述攻击信息中的目的ip或源ip，若是，判定所述异常和所述第一引用地址匹配。

26、在上述实现过程中，当会话信息中的攻击信息的目的ip和第一引用地址相同时，说明此时外部对该目的ip发动了攻击，此时应该发送联动消息到对应的防火墙，使防火墙后续对该目的ip对应的服务器的网络流量进行进一步检查，当会话攻击中的攻击信息的源ip和第一引用地址相同时，说明此时该源ip对应的服务器已经受到了攻击，此时应该发送联动消息到该第一引用地址对应的检查设备，使检查设备后续加强对该服务器的检查，提高安全性。

27、进一步地，所述接收网络流量的为所述不同区域的服务器的镜像流量。在上述实现过程中，通过获取镜像流量进行分析，可以保证不同区域的服务器的正常网络流量不受影响。

28、进一步地，所述不同区域的服务器和所述不同区域的网关设备连接；所述向所述异常匹配的第一引用地址对应的检查设备发送联动信息的步骤之后，还包括：

29、判断是否接收所述异常匹配的第一引用地址对应的检查设备发送的确认信息；

30、若否，向所述不同的区域服务器对应的网关设备发送阻断信息，以使所述网关设备根据所述阻断信息对所述异常匹配的第一引用地址对应的检查设备所保护的服务器进行封禁；

31、所述根据所述多个检查设备的地址向所有检查设备发送联动信息的步骤之后，还包括：

32、判断是否接收到所述第一引用地址对应的检查设备发送的确认信息；

33、若否，向所述不同的区域服务器所在的网关设备发送阻断信息，以使所述网关设备根据所述阻断信息对所有检查设备所保护的服务器进行封禁。

34、在上述实现过程中，检查设备和其他设备的通信本身具有一定的延迟性，在检测出有异常时，可能检查设备本身已经被攻击失去防护作用，通过检查设备发送确认信息，能够确认检查设备正常运行，如果检查设备没有正常运行，则直接通知网关设备将对应的服务器进行封禁，保护区域内的其他服务器不受侵害。

35、进一步地，所述异常包括：不同类型的攻击信息；同一类型的攻击信息对应不同的第一引用地址；

36、所述根据所述多个检查设备的地址向所有检查设备发送联动信息的步骤之后，包括：

37、向所有检查设备发送联动信息，所述联动信息还用于使所有检查设备功根据所述同一类型的攻击信息对服务器的流量报文进行检测；

38、当所述同一类型的攻击信息和所述第一引用地址中的第二引用地址的匹配次数超过预设阈值时，生成撤销联动信息；

39、将所述撤销联动信息发送到第三引用地址对应的检查设备；

40、所述撤销联动信息用于使所述第三引用地址对应的检查设备撤销对所述同一类型的攻击信息的检测；

41、所述第三引用地址为所述第一引用地址中除所述第二引用地址外的其它第一引用地址。

42、第二方面，本技术实施例提供一种联动保护装置，包括：

43、地址获取模块，用于获取多个检查设备的第一引用地址，所述多个检查设备用于保护不同区域的服务器；

44、接收模块，用于接收网络流量；

45、检测模块，用于对所述网络流量进行检测，若所述网络流量存在异常，判断所述异常是否和所述多个检查设备的第一引用地址匹配；

46、发送模块，在所述检测模块的判断结果为是时，向所述异常匹配的第一引用地址对应的检查设备发送联动信息；

47、所述发送模块还用于在所述检测模块的判断结果为否时，向所有检查设备发送联动信息；

48、所述联动信息用于使所述检查设备根据所述异常对所述检查设备保护的服务器的流量报文进行检测。

49、第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。

50、第四方面，本技术实施例提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。