网络攻击处理方法、装置、系统、设备和介质与流程

本公开涉及信息安全领域，更具体地，涉及一种网络攻击处理方法、装置、系统、设备、介质和程序产品。

背景技术：

1、一些企业会提供网络服务允许终端设备(如个人终端、移动终端或pos机等)访问内网。当允许访问内网的终端设备失陷，以此作为跳板对企业业务攻击，将会造成较大影响。

2、因nat(网络地址转换)协议无法根据公网ip有效定位失陷终端设备，现有的排查方法通常是人工排查接入点日志，但nat表中会话老化时间(ageing time)短，通常难以进行有效排查，无法准确溯源。

技术实现思路

1、鉴于上述问题，本公开提供了一种网络攻击处理方法、装置、系统、设备、介质和程序产品。

2、本公开实施例的一个方面，提供了一种网络攻击处理方法，包括：获得溯源信息表，其中，所述溯源信息表包括n条访问信息，其中每条访问信息包括终端设备的设备标识、公网ip地址和公网端口，n大于或等于1；当检测到网络攻击，获取涉及所述网络攻击的公网ip地址和公网端口；根据涉及所述网络攻击的公网ip地址和公网端口，从所述溯源信息表中检索到匹配的公网ip地址和公网端口；根据所述匹配的公网ip地址和公网端口，确定同条访问信息中的设备标识。

3、根据本公开的实施例，部署于内网的入侵检测防护设备被配置为检测所述网络攻击，在所述确定同条访问信息中的设备标识之后，所述方法还包括：将所述同条访问信息中的设备标识确定为恶意设备标识；对所述恶意设备标识的访问信息进行指定监控；将所述指定监控到的公网ip地址和公网端口推送至所述入侵检测防护设备，所述入侵检测防护设备被配置为根据推送的公网ip地址和公网端口进行流量阻断。

4、根据本公开的实施例，所述获得溯源信息表包括：获得第一网络信息表，所述第一网络信息表包括n条第一网络信息，其中每条第一网络信息包括私网ip地址和设备标识；获得第二网络信息表，所述第二网络信息表包括n条第二网络信息，其中每条第二网络信息包括私网ip地址、公网ip地址和公网端口；以具有相同私网ip地址为合并条件，将所述n条第一网络信息与所述n条第二网络信息一一对应地合并，得到所述n条访问信息，形成所述溯源信息表。

5、根据本公开的实施例，所述对所述恶意设备标识的访问信息进行指定监控包括：指定获取包括所述恶意设备标识的第一网络信息；从指定获取的第一网络信息中提取私网ip地址；指定获取包括所提取出私网ip地址的第二网络信息；将指定获取的第一网络信息和第二网络信息合并，得到攻击防问信息。

6、根据本公开的实施例，所述对所述恶意设备标识的访问信息进行指定监控包括：指定获取包括所述匹配的公网ip地址的第二网络信息；从指定获取的第二网络信息中提取私网ip地址；指定获取包括提取出私网ip地址的第一网络信息；将指定获取的第一网络信息和第二网络信息合并，得到攻击访问信息。

7、根据本公开的实施例，在所述确定同条访问信息中的设备标识之后，所述方法还包括：获取所述同条访问信息中的私网ip地址；根据所述同条访问信息中的所述恶意设备标识和私网ip地址得到网络攻击信息，形成网络攻击信息表；其中，所述网络攻击信息还包括网络攻击状态信息，当所述网络攻击状态信息为特定状态时，对所述恶意设备标识的访问信息进行指定监控。

8、根据本公开的实施例，所述方法还包括：若在第一预定时间段内未检测到网络攻击，更新所述特定状态为第一状态；若所述恶意设备标识涉及的网络攻击威胁解除，更新所述特定状态为第二状态。

9、根据本公开的实施例，在将所述指定监控到的公网ip地址和公网端口推送至所述入侵检测防护设备之后，所述方法还包括：接收所述入侵检测防护设备执行所述流量阻断的阻断信息；若成功触发阻断，且所述指定监控到的公网ip地址和公网端口在第二预定时间段内没有变化，并在所述第二预定时间段内未收到所述阻断信息，更新所述特定状态为第三状态。

10、根据本公开的实施例，所述获得第一网络信息表包括：根据运行动态主机配置协议的日志信息，获得所述第一网络信息表；和/或所述获得第二网络信息表包括：根据运行网络地址转换技术的日志信息，获得所述第二网络信息表。

11、根据本公开的实施例，在所述获得溯源信息表之前，所述方法还包括：提供统一上网接入点，其中，所述统一上网接入点用于为m个所述终端设备提供内网访问服务，m大于或等于1。

12、本公开实施例的另一方面提供了一种网络攻击处理装置，包括：溯源信息模块，用于获得溯源信息表，其中，所述溯源信息表包括n条访问信息，其中每条访问信息包括终端设备的设备标识、公网ip地址和公网端口，n大于或等于1；信息获取模块，用于当检测到网络攻击，获取涉及所述网络攻击的公网ip地址和公网端口；信息匹配模块，用于根据涉及所述网络攻击的公网ip地址和公网端口，从所述溯源信息表中检索到匹配的公网ip地址和公网端口；攻击溯源模块，用于根据所述匹配的公网ip地址和公网端口，确定同条访问信息中的设备标识。

13、本公开实施例的另一方面提供了一种网络攻击处理系统，包括：dhcp设备，部署于内网之外的局域网，用于提供第一网络信息表，其中，所述第一网络信息表包括n条第一网络信息，其中每条第一网络信息包括私网ip地址和设备标识；nat设备，部署于所述局域网，用于提供第二网络信息表，其中，所述第二网络信息表包括n条第二网络信息，其中每条第二网络信息包括私网ip地址、公网ip地址和公网端口；入侵检测防护设备，部署于所述内网，用于检测网络攻击，并执行流量阻断；网络攻击处理装置，分别与所述dhcp设备、所述nat设备和所述入侵检测防护设备通信连接，用于执行权利要求如上任一项的网络攻击处理方法。

14、本公开实施例的另一方面提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行如上所述的方法。

15、本公开实施例的另一方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行如上所述的方法。

16、本公开实施例的另一方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如上所述的方法。

17、上述一个或多个实施例具有如下有益效果：通过溯源信息表能够确定n条访问信息，其中包括终端设备的设备标识、公网ip地址和公网端口。在检测到网络攻击时，可以根据涉及所述网络攻击的公网ip地址和公网端口，从所述溯源信息表中检索到匹配的公网ip地址和公网端口，从而确定涉及网络攻击的终端设备的设备标识。因此能够对失陷终端设备的快速溯源，自动化定位失陷终端设备的唯一标识信息，克服人工流转排查的方式无法有效进行失陷终端设备定位的问题。

技术特征：

1.一种网络攻击处理方法，包括：

2.根据权利要求1所述的方法，其中，部署于内网的入侵检测防护设备被配置为检测所述网络攻击，在所述确定同条访问信息中的设备标识之后，所述方法还包括：

3.根据权利要求2所述的方法，其中，所述获得溯源信息表包括：

4.根据权利要求3所述的方法，其中，所述对所述恶意设备标识的访问信息进行指定监控包括：

5.根据权利要求3所述的方法，其中，所述对所述恶意设备标识的访问信息进行指定监控包括：

6.根据权利要求2所述的方法，其中，在所述确定同条访问信息中的设备标识之后，所述方法还包括：

7.根据权利要求6所述的方法，其中，所述方法还包括：

8.根据权利要求6所述的方法，其中，在将所述指定监控到的公网ip地址和公网端口推送至所述入侵检测防护设备之后，所述方法还包括：

9.根据权利要求3所述的方法，其中：

10.根据权利要求1～9任一项所述的方法，其中，在所述获得溯源信息表之前，所述方法还包括：

11.一种网络攻击处理装置，包括：

12.一种网络攻击处理系统，包括：

13.一种电子设备，包括：

14.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行根据权利要求1～10中任一项所述的方法。

15.一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现根据权利要求1～10中任一项所述的方法。

技术总结
本公开提供了一种网络攻击处理方法，涉及信息安全领域。该方法包括：获得溯源信息表，其中，所述溯源信息表包括N条访问信息，其中每条访问信息包括终端设备的设备标识、公网IP地址和公网端口，N大于或等于1；当检测到网络攻击，获取涉及所述网络攻击的公网IP地址和公网端口；根据涉及所述网络攻击的公网IP地址和公网端口，从所述溯源信息表中检索到匹配的公网IP地址和公网端口；根据所述匹配的公网IP地址和公网端口，确定同条访问信息中的设备标识。本公开还提供了一种网络攻击处理装置、设备、存储介质和程序产品。

技术研发人员：高铭剑,丁炎,李譞,王立帅
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：
技术公布日：2024/1/13