一种针对网络攻击的IP自动封禁的方法和装置制造方法及图纸

技术编号:33733357 阅读:41 留言:0更新日期:2022-06-08 21:29
本申请公开了一种针对网络攻击IP自动封禁的方法,包括:获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;对解析后的日志数据进行分析,根据配置策略确定匹配到的所有目标日志数据,获取相应的访问IP地址;对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问IP地址是否为高风险,并封禁高风险的访问IP地址。应用本申请,能够有效综合多个安全网络设备的信息进行网络攻击的识别,自动封禁攻击IP。击IP。击IP。

【技术实现步骤摘要】
一种针对网络攻击的IP自动封禁的方法和装置


[0001]本申请涉及计算机网络技术,特别涉及一种针对网络攻击的IP自动封禁的方法和装置。

技术介绍

[0002]随着信息化技术的快速发展,网络安全威胁日益上升,直接影响医疗卫生行业的业务连续性和数据安全。如何在网络安全管理和技术体系的基础上持续运营,已成为医疗卫生行业网络安全研究的一项重要课题,网络安全攻击与防护是安全运营的重要基础,因此识别攻击并有效的封堵攻击IP是网络安全运营的重要环节。
[0003]目前,大多数组织都购置了大量的网络安全设备,通过WAF阻挡应用层的攻击;利用网络防火墙,过滤攻击IP;通过IDS/IPS,检测和阻击攻击行为等等,但是这些安全设备大多来自不同的生产厂家,很难形成联动,未能最大发挥安全设备的总体势能。同时,在单个安全设备上形成的封堵IP动作基本上是基于单一的威胁IP库,将当前IP与威胁IP库进行比对形成封堵或者放行的决策,决策机制相对单一,同时,每个设备网络安全事件的报警数据具有冗余性与重复性,不能对统一的安全态势形成有效的关联分析,给网络安全管理人员带来沉重的管理成本。

技术实现思路

[0004]本申请提供一种针对网络攻击IP自动封禁的方法和装置,能够有效综合多个安全网络设备的信息进行网络攻击的识别,自动封禁攻击IP。
[0005]为实现上述目的,本申请采用如下技术方案:一种针对网络攻击IP自动封禁的方法,包括:获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址;对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险,并封禁高风险的访问IP地址。
[0006]较佳地,所述获取多个网络安全设备的日志数据包括:在所述多个网络安全设备中启用syslog协议,配置需要采集的日志级别和/或日志类型;所述多个网络安全设备根据配置将需要采集的日志数据通过syslog协议发送至rsyslog服务端,进行日志的统一存储管理;从所述rsyslog服务端读取所述多个网络安全设备的日志数据。
[0007]较佳地,所述对该目标日志数据对应的IP地址进行风险评估前,该方法进一步包括:判断该目标日志数据对应的访问IP地址是否在预设的IP地址白名单中,若是,则确定该目标日志数据对应的访问IP地址为低风险的IP地址,不再对该目标日志数据对应的
访问IP地址进行风险评估;否则,继续执行对该目标日志数据对应的访问IP地址进行风险评估的操作。
[0008]较佳地,所述对该日志数据对应的访问IP地址进行风险评估包括:判断该日志数据对应的访问IP地址是否在预设的IP地址黑名单中,若是,则确定相应的IP地址为高风险的访问IP地址。
[0009]较佳地,所述对该日志数据对应的访问IP地址进行风险评估包括:根据所述访问IP地址的IP地址归属地、用途、访问资源、访问频率和/或访问持续时间确定所述访问IP地址的加权评估值,当加权评估值大于或等于设定的风险阈值时,确定所述访问IP地址为高风险的访问IP地址,当加权评估值小于设定的风险阈值时,确定所述访问IP地址为低风险的访问IP地址。
[0010]较佳地,在所述通知所述多个网络安全设备封禁高风险的访问IP地址之前,该方法进一步包括:根据预先布置的蜜罐确定对于蜜罐所在应用系统的访问请求是否存在扫描行为,若存在,则将相应访问请求的来源IP确定为高风险的访问IP地址;其中,所述蜜罐是预先在业务访问场景中的应用系统上的若干端口处布置的。
[0011]较佳地,在对该目标日志数据对应的访问IP地址进行风险评估之前,该方法进一步包括:将所述访问IP地址进行去重处理。
[0012]较佳地,在进行去重处理前,该方法进一步包括:对进行所述去重处理的设备进行私钥加密验证,并在验证通过后执行所述进行去重处理的操作。
[0013]较佳地,所述封禁高风险的IP地址包括:通过API接口的方式将高风险的访问IP地址以POST方式推送到预设的企业网盾上,所述企业网盾对接收的高风险的访问IP地址进行全局封禁;对于不带有API接口的网络安全设备,使用模拟SSH命令的方式将高风险的IP地址推送到相应的网络安全设备,相应的网络安全设备根据接收的IP地址进行全局封禁。
[0014]较佳地,预先设定账户和设备执行所述封禁高风险的访问IP地址的操作。
[0015]较佳地,在所述封禁高风险的IP地址后,该方法进一步包括:对于封禁的访问IP地址,在封禁时间达到设定的时间阈值后进行解封处理。
[0016]较佳地,在所述封禁高风险的访问IP地址后,该方法进一步包括:对于封禁的访问IP地址,向网络安全管理员发送预警信息。
[0017]较佳地,所述预警信息包括:封禁的访问IP地址、评估时间、评估为高风险的原因。
[0018]较佳地,所述对解析后的日志数据进行分析确定与预设的配置策略相匹配的所有目标日志数据包括:根据统一格式后的日志中关键字段的取值,按照所述配置策略对解析后的日志进行检索,确定所述目标日志数据。
[0019]一种针对网络攻击IP自动封禁的装置,包括:日志数据获取模块、日志数据解析模块、日志数据分析模块、风险评估模块和封禁模块;所述日志数据获取模块,用于获取多个网络安全设备的日志数据;所述日志数据解析模块,用于将获取的日志数据解析为统一的格式;所述日志数据分析模块,用于对解析后的日志数据进行分析,确定与预设的配置
策略相匹配的所有目标日志数据,获取相应的访问IP地址;所述风险评估模块,用于针对每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险;所述封禁模块,用于封禁高风险的访问IP地址。
[0020]较佳地,所述装置进一步包括去重模块,用于将所述日志数据分析模块匹配到的所有目标日志数据进行去重处理,将去重处理后的目标日志数据提供给所述风险评估模块。
[0021]较佳地,所述装置进一步包括预警模块,用于针对封禁的访问IP地址,向网络安全管理员发送预警信息。
[0022]较佳地,所述装置进一步包括解封模块,用于对于封禁的访问IP地址,在封禁时间达到设定的时间阈值后进行解封处理。
[0023]由上述技术方案可见,本申请中, 获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;对解析后的日志数据进行分析,根据配置策略确定匹配到的所有目标日志数据;对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定访问 IP地址是否为高风险,并封禁高风险的访问IP地址。通过上述处理能够利用多个网络安全设备的日志数据,对访问IP地址是否高风险进行判定,并封禁高风险的访问IP地址,从而能够有效综合多个安全网络设备的信息进行网络攻击的识别,自动封禁攻击IP。
附图说明
[0024]图1为本申请中针对网本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.一种针对网络攻击IP自动封禁的方法,其特征在于,包括:获取多个网络安全设备的日志数据,将获取的日志数据解析为统一的格式;对解析后的日志数据进行分析,确定与预设的配置策略相匹配的所有目标日志数据,获取相应的访问IP地址;对于每一条目标日志数据,对该目标日志数据对应的访问IP地址进行风险评估,确定所述访问 IP地址是否为高风险,并封禁高风险的访问IP地址。2.根据权利要求1所述的方法,其特征在于,所述获取多个网络安全设备的日志数据包括:在所述多个网络安全设备中启用syslog协议,配置需要采集的日志级别和/或日志类型;所述多个网络安全设备根据配置将需要采集的日志数据通过syslog协议发送至rsyslog服务端,进行日志的统一存储管理;从所述rsyslog服务端读取所述多个网络安全设备的日志数据。3.根据权利要求1所述的方法,其特征在于,所述对该目标日志数据对应的IP地址进行风险评估前,该方法进一步包括:判断该目标日志数据对应的访问IP地址是否在预设的IP地址白名单中,若是,则确定该目标日志数据对应的访问IP地址为低风险的IP地址,不再对该目标日志数据对应的访问IP地址进行风险评估;否则,继续执行对该目标日志数据对应的访问IP地址进行风险评估的操作。4.根据权利要求1所述的方法,其特征在于,所述对该日志数据对应的访问IP地址进行风险评估包括:判断该日志数据对应的访问IP地址是否在预设的IP地址黑名单中,若是,则确定相应的IP地址为高风险的访问IP地址。5.根据权利要求1或4所述的方法,其特征在于,所述对该日志数据对应的访问IP地址进行风险评估包括:根据所述访问IP地址的IP地址归属地、用途、访问资源、访问频率和/或访问持续时间确定所述访问IP地址的加权评估值,当加权评估值大于或等于设定的风险阈值时,确定所述访问IP地址为高风险的访问IP地址,当加权评估值小于设定的风险阈值时,确定所述访问IP地址为低风险的访问IP地址。6.根据权利要求1所述的方法,其特征在于,在所述通知所述多个网络安全设备封禁高风险的访问IP地址之前,该方法进一步包括:根据预先布置的蜜罐确定对于蜜罐所在应用系统的访问请求是否存在扫描行为,若存在,则将相应访问请求的来源IP确定为高风险的访问IP地址;其中,所述蜜罐是预先在业务访问场景中的应用系统上的若干端口处布置的。7.根据权利要求1所述的方法,其特征在于,在对该目标日志数据对应的访问IP地址进行风险评估之前,该方法进一步包括:将所述访问IP地址进行去重处理。8.根据权利要求7所述的方法,其特征在于,在进行去重处理前,该方法进一步包括:对进行所述去重处理的设备进行...

【专利技术属性】
技术研发人员:赵韡韩作为李宏芳于虎林孙鸿羽岳明毛润泽陈宇飞
申请(专利权)人:中国医学科学院阜外医院
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1