少两个子网中受到攻击的子网的识别信息; 所述控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进 行排序,并将排序结果作为黑名单; 所述控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子 网。
2. 根据权利要求1所述的提高网络安全性的方法,其特征在于,所述利用所述报警信 息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括: 利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻 击源中的各个攻击源攻击的子网数量; 按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
3. 根据权利要求1或2所述的提高网络安全性的方法,其特征在于,所述利用所述报警 信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括: 利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击 源中的各个攻击源攻击的端口的数量; 按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。
4. 根据权利要求1所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行 排序之前,进一步包括: 确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击 的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述 一个攻击源攻击的端口数量; 根据每一个攻击源的威胁信息获取每一个攻击源的威胁值; 相应地,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行 排序,并将排序结果作为黑名单,包括:利用所述报警信息,按照各个攻击源的威胁值由大 到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
5. 根据权利要求4所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行 排序之前,还包括: 根据rMd-aWr-I] *bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs 表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的 子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁 值,I表示单位矩阵,W表示所述攻击源的地址; 相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻 击源进行排序,并将排序结果作为黑名单,包括: 对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网 的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的 子网的危险程度; 按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应 于所述子网的黑名单。
6. 根据权利要求5所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行 排序之前,还包括: 确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一 个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个 攻击源的数据量之和; 根据每一个子网的受害信息获取脆弱程度值; 相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻 击源进行排序,并将排序结果作为黑名单包括: 对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网 的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的 每一个攻击源对于所述的子网的危险程度; 按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应 于所述子网的黑名单。
7. 根据权利要求1-6所述的提高网络安全性的方法,其特征在于,所述控制节点获取 报警信息包括: 所述控制节点从所述子网发送的Openflow异步消息中获取所述报警信息。
8. -种提高网络安全性的装置,其特征在于,所述网络包括控制节点和与所述控制节 点具有通信连接的至少两个子网,所述装置包括: 报警信息接收模块,用于获取报警信息;所述报警信息包括对所述至少两个子网中的 子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息; 分析模块,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进 行排序,并将排序结果作为黑名单; 发布模块,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子 网。
9. 根据权利要求8所述的提高网络安全性的装置,其特征在于,所述分析模块包括: 受害子网统计单元,用于利用所述受到攻击的子网的识别信息,确定被与所述攻击源 的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量; 第一生成单元,用于按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排 序。
10. 根据权利要求8或9所述的提高网络安全性的装置,其特征在于,所述分析模块包 括: 受害端口统计单元,用于利用所述受到攻击的子网的识别信息,确定与所述攻击源的 地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量; 第二生成单元,用于按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻 击源进行排序。
11. 根据权利要求8所述的提高网络安全性的装置,其特征在于,进一步包括: 第一信息采集模块,用于在对所述攻击源进行排序之前,确定每一个攻击源的威胁信 息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源 的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量; 第一攻击源评估模块,用于根据每一个攻击源的威胁信息获取每一个攻击源的威胁 值; 所述分析模块还包括第三生成单元,用于利用所述报警信息,按照各个攻击源的威胁 值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
12. 根据权利要求11所述的提高网络安全性的装置,其特征在于,还包括: 关联模块,用于在对所述攻击源进行排序之前,根据rs= [ (I-aWr1-〗1. bs,确定每一个 攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的 关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一 个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地 址; 相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一 个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所 述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻 击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
13. 根据权利要求12所述的提高网络安全性的装置,其特征在于,还包括: 第二信息采集模块,用于在对所述攻击源进行排序之前,确定每一个子网的受害信息, 所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个 子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和; 子网评估模块,用于根据每一个子网的受害信息获取脆弱程度值; 相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一 个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网 的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危 险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网 的黑名单。
14. 根据权利要求8-13所述的提高网络安全性的装置,其特征在于,所述报警信息接 收模块,具体用于从所述子网发送的Openflow异步消息中获取所述报警信息。
【专利摘要】本发明实施例公开了一种提高网络安全性的方法及装置,涉及网络通信技术领域,能够一个子网受到攻击时就将对此次攻击的攻击源发布给对网络系统的尚未被攻击的子网,并以黑名单的形式发出预警。本发明的方法包括:控制节点获取报警信息;报警信息包括对至少两个子网中的子网进行攻击的攻击源的地址信息和至少两个子网中受到攻击的子网的识别信息;控制节点利用报警信息,按照威胁程度的由高到低的顺序,对攻击源进行排序,并将排序结果作为黑名单;控制节点将所获取的黑名单发送到网络系统中至少一个尚未受到攻击的子网。本发明适用于多个子网之间的协同防御。
【IPC分类】H04L29-06
【公开号】CN104753862
【申请号】CN201310740440
【发明人】吴晓昕, 李金明
【申请人】华为技术有限公司
【公开日】2015年7月1日
【申请日】2013年12月27日
【公告号】EP2889798A1, US20150188937