一种流量入侵处理和流量入侵防御方法及装置制造方法及图纸

本发明专利技术公开了一种流量入侵处理和流量入侵防御方法及装置，流量入侵处理方法，包括：获取待防御流量，并提取待防御流量的流量特征；对待防御流量的流量特征进行分析，得到目标攻击流量特征和目标业务流量特征；根据目标攻击流量特征和目标业务流量特征生成防护规则；将防护规则下发到预设入侵防护系统中。本发明专利技术提供的流量入侵处理方法，通过待防御流量中对应的目标攻击流量特征和目标业务流量特征共同生成防护规则，有效降低了单方面判断规则造成的高误报率，同时根据待防御流量的流量特征形成防护规则，并将该防护规则下发到预设入侵防护系统中，有效丰富了预设入侵防御系统的入侵流量防御策略，得到更好的防御效果。得到更好的防御效果。得到更好的防御效果。

【技术实现步骤摘要】
一种流量入侵处理和流量入侵防御方法及装置


[0001]本专利技术涉及网络安全
，具体涉及一种流量入侵处理和流量入侵防御方法及装置。

技术介绍

[0002]大多数蜜罐系统工作原理只是部署N个低、中、高蜜罐，然后引诱攻击者进入蜜罐，当引诱失败，攻击者进入业务系统时，只能依靠防火墙、入侵检测系统(IDS)等产品做联动才能阻断可疑流量。而采用防火墙、IDS做入侵识别只能依靠标志的检测异常的检测技术，误报率高，且依靠IDS、防火墙产品，只能预先配置策略进行阻断，无法主动学习攻击方法。

技术实现思路

[0003]因此，本专利技术要解决的技术问题在于克服现有采用入侵防御系统阻断可疑流量存在误报率高、只能预先配置策略进行阻断，无法主动学习攻击方法的缺陷，从而提供一种流量入侵处理和流量入侵防御方法及装置。
[0004]根据第一方面，本专利技术实施例公开了一种流量入侵处理方法，包括：获取待防御流量，并提取所述待防御流量的流量特征；对所述待防御流量的流量特征进行分析，得到目标攻击流量特征和目标业务流量特征；根据所述目标攻击流量特征和目标业务流量特征生成防护规则；将所述防护规则下发到预设入侵防护系统中。
[0005]本专利技术提供的流量入侵处理方法，通过待防御流量中对应的目标攻击流量特征和目标业务流量特征共同生成防护规则，有效降低了单方面判断规则造成的高误报率，同时根据待防御流量的流量特征形成防护规则，并将该防护规则下发到预设入侵防护系统中，有效丰富了预设入侵防御系统的入侵流量防御策略，得到更好的防御效果。
[0006]可选地，所述方法还包括：将所述目标攻击流量特征存储到攻击流量特征库，将所述目标业务流量特征存储到业务流量特征库。
[0007]通过上述方法，将目标攻击流量特征存储到攻击流量特征库，并将目标业务流量特征存储到业务流量特征库，便于从数据库中获取流量特征数据生成防护规则的同时丰富了攻击流量特征库和业务流量特征库的数据。
[0008]可选地，所述方法还包括：当获取到新的待防御流量，将所述新的待防御流量的流量特征与所述攻击流量特征库进行比对，得到新的待防御流量中的目标攻击流量特征；和/或
[0009]当获取到新的待防御流量，将所述新的待防御流量的流量特征与所述业务流量特征库进行比对，得到新的待防御流量中的目标业务流量特征。
[0010]通过上述的方法，将新的待防御流量与攻击流量特征库和/或业务流量特征库进行比对，可以快速确定新的待防御流量中是否包含攻击流量特征和/或业务流量特征。
[0011]可选地，对所述待防御流量的流量特征进行分析，得到目标攻击流量特征和目标业务流量特征之后，所述方法还包括：根据所述目标攻击流量特征确定待防御流量中的攻
击流量，并将所述待防御流量中的攻击流量引入蜜网。
[0012]通过上述方法，根据目标攻击流量特征确定待防御流量中的攻击流量，并将其引入蜜网，在攻击流量进入业务网络之前将其引入蜜网，有效克服了现有蜜罐产品只能靠迷惑攻击者使之进行蜜罐存在的不够精准的缺陷。
[0013]可选地，将所述目标攻击流量特征存储到攻击流量特征库，将所述目标业务流量特征存储到业务流量特征库，包括：将所述目标攻击流量特征与所述攻击流量特征库进行比对，当所述攻击流量特征库中没有所述目标攻击流量特征，将所述目标攻击流量特征存储到所述攻击流量特征库中；将所述目标业务流量特征与所述业务流量特征库进行比对，当所述业务流量特征库中没有所述目标业务流量特征，将所述目标业务流量特征存储到所述业务流量特征库中。
[0014]通过上述方法，确定攻击流量特征库和业务流量特征库中不存在对应的目标攻击流量特征和目标业务流量特征时，才将目标攻击流量特征和目标攻击流量特征存储到对应的特征库，可以有效节约特征库的存储空间。
[0015]可选地，将所述目标攻击流量特征存储到攻击流量特征库，将所述目标业务流量特征存储到业务流量特征库之后，所述方法还包括：对所述攻击流量特征库和所述业务流量特征库进行监测；将监测到任一特征库开放分享权限，将相应特征库中的数据上传到云服务器。
[0016]通过上述方法，当任一特征库开放分享权限，将对应的特征库中的数据上传到云服务器，便于其他用户使用该特征库，其他用户也可以对该特征库进行更新，丰富特征库的数据。
[0017]根据第二方面，本专利技术实施例还公开了一种流量入侵防御方法，包括：接收防护规则，所述防护规则由第一方面或第一方面任意可选实施方式所述的流量入侵处理方法得到；根据防护规则对业务网络中的流量进行监测，当监测到业务网络中具有攻击特征的流量时，采用预设阻断方法对所述业务网络中攻击特征的流量进行阻断。
[0018]本专利技术提供的流量入侵防御方法，通过接收上述实施例中的流量入侵处理方法得到的防护规则，根据该防护规则对业务网络中的恶意流量进行防御，可以得到更好的防御效果。
[0019]可选地，所述方法还包括：当监测到越过蜜网的流量时，对所述越过蜜网的流量进行阻断。
[0020]通过上述的方法，对越过蜜网的流量进行阻断，可以预防蜜网被渗透后攻击流量进入业务网络。
[0021]根据第三方面，本专利技术实施例还公开了一种流量入侵处理装置，包括：获取模块，用于获取待防御流量，并提取所述待防御流量的流量特征；分析模块，用于对所述待防御流量的流量特征进行分析，得到目标攻击流量特征和目标业务流量特征；防护规则生成模块，用于根据所述目标攻击流量特征和目标业务流量特征生成防护规则；发送模块，用于将所述防护规则下发到预设入侵防护系统中。
[0022]根据第四方面，本专利技术实施方式还公开了一种流量入侵防御装置，包括：接收模块，用于接收防护规则，所述防护规则由第一方面或第一方面任一可选实施方式所述的流量入侵防御规则生成方法得到；阻断模块，用于根据防护规则对业务网络中的流量进行监
测，当监测到业务网络中具有攻击特征的流量时，采用预设阻断方法对所述业务网络中攻击特征的流量进行阻断。
[0023]根据第五方面，本专利技术实施例还公开了一种电子设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行如第一方面或第一方面任一可选实施方式所述的流量入侵处理方法的步骤，或执行如第二方面或第二方面任一可选实施方式所述的流量入侵防御方法。
[0024]根据第六方面，本专利技术实施例还公开了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面或第一方面任一可选实施方式所述的流量入侵处理方法的步骤，或实现如第二方面或第二方面任一可选实施方式所述的流量入侵防御方法的步骤。
附图说明
[0025]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量入侵处理方法，其特征在于，包括：获取待防御流量，并提取所述待防御流量的流量特征；对所述待防御流量的流量特征进行分析，得到目标攻击流量特征和目标业务流量特征；根据所述目标攻击流量特征和目标业务流量特征生成防护规则；将所述防护规则下发到预设入侵防护系统中。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述目标攻击流量特征存储到攻击流量特征库，将所述目标业务流量特征存储到业务流量特征库。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：当获取到新的待防御流量，将所述新的待防御流量的流量特征与所述攻击流量特征库进行比对，得到新的待防御流量中的目标攻击流量特征；和/或当获取到新的待防御流量，将所述新的待防御流量的流量特征与所述业务流量特征库进行比对，得到新的待防御流量中的目标业务流量特征。4.根据权利要求1所述的方法，其特征在于，对所述待防御流量的流量特征进行分析，得到目标攻击流量特征和目标业务流量特征之后，所述方法还包括：根据所述目标攻击流量特征确定待防御流量中的攻击流量，并将所述待防御流量中的攻击流量引入蜜网。5.根据权利要求2所述的方法，其特征在于，将所述目标攻击流量特征存储到攻击流量特征库，将所述目标业务流量特征存储到业务流量特征库，包括：将所述目标攻击流量特征与所述攻击流量特征库进行比对，当所述攻击流量特征库中没有所述目标攻击流量特征，将所述目标攻击流量特征存储到所述攻击流量特征库中；将所述目标业务流量特征与所述业务流量特征库进行比对，当所述业务流量特征库中没有所述目标业务流量特征，将所述目标业务流量特征存储到所述HA202201283业务流量特征库中。6.根据权利要求2所述的方法，其特征在于，将所述目标攻击流量特征存储到攻击流量特征库，将所述目标业务流量特征存储到业务流量特征库之后，所述方法还包括：对所述攻击流量特征库和所述业务流量特征库进行监测；将监测到任一特征库开放分享权限，将相应特征库中的数据上传到云服务器。7.一种流量入侵防御方法，...

【专利技术属性】
技术研发人员：尹志超，
申请(专利权)人：北京华境安技术有限公司，
类型：发明
国别省市：