技术领域
[0001] 本
申请涉及网络通信技术领域,特别设计一种报文过滤规则的处理方法和装置。
背景技术
[0002] 随着网络技术的飞速发展,网络攻击呈增长趋势,网络运营商面临的安全和运营挑战也不断增多,网络运营商必须在攻击威胁影响关键业务和应用之前对攻击报文进行阻断。
[0003] 互联网协议(Internet Protocol,IP)地址是一种在互联网(Internet)上给主机编址的方式,网络中的各个主机通过IP地址才能互相通信,由此可见,IP地址具有一定的唯一性。因此,针对网络攻击有效的防护措施就是过滤触发过攻击事件的IP地址的报文。报文过滤规则可以根据报文的五元组信息构成,即源IP地址、目的IP地址、源端口号、目的端口号和协议。网络设备通过报文过滤规则来过滤网络中的报文。
[0004] 目前,报文过滤规则的处理方法是,在出现攻击事件后,技术人员通过分析网络设备的攻击日志,手动配置针对攻击源IP地址的报文过滤规则来防护攻击,以确保网络正常稳定的运行以及业务的正常开展。上述报文过滤规则的处理方法,采用人工方式分析攻击日志、配置报文过滤规则,这就导致报文过滤规则的处理效率非常低。
发明内容
[0005] 有鉴于此,本申请提供一种报文过滤规则的处理方法和装置,以解决采用人工方式分析攻击日志、配置报文过滤规则,导致的报文过滤规则的处理效率非常低的问题。
[0006] 具体地,本申请是通过如下技术方案实现的:
[0007] 一种报文过滤规则的处理方法,应用于网络设备中,所述方法包括:
[0008] 根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
[0009] 确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉
阈值;
[0010] 若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值,则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则;
[0011] 若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则,则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则;
[0012] 将生成的报文过滤规则添加到所述报文过滤规则库中。
[0013] 一种报文过滤规则的处理装置,应用于网络设备中,所述装置包括:
[0014] 更新模
块,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
[0015] 第一确定模块,用于确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;
[0016] 第二确定模块,用于若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值,则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则;
[0017] 生成模块,用于若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则,则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则;
[0018] 添加模块,用于将生成的报文过滤规则添加到所述报文过滤规则库中。
[0019] 一种
电子设备,所述电子设备包括处理器、通信
接口、
存储器和通信总线,其中,处理器,
通信接口,存储器通过通信总线完成相互间的通信;
[0021] 处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
[0022] 一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
[0023] 由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
附图说明
[0024] 图1为本申请示出的一种报文过滤规则的处理方法的
流程图;
[0025] 图2为本申请示出的一种报文过滤规则的处理装置的结构示意图;
[0026] 图3为本申请示出的一种电子设备的结构示意图。
具体实施方式
[0027] 这里将详细地对示例性
实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附
权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0028] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0029] 应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0030] 为了解决上述问题,本发明实施例提供了一种报文过滤规则的处理方法,以大大提高报文过滤规则的处理效率。请参见图1,图1为本申请示出的一种报文过滤规则的处理方法的流程图,应用于网络设备中。
[0031] S11:根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源IP地址信誉库。
[0032] 为了实时获取网络中的安全设备的攻击日志,首先需要配置安全设备的攻击日志发送的目的地址为网络设备的地址,配置完成后安全设备的攻击日志就会自动发送到本网络设备。另外,由于不同攻击日志的格式不同,为了分析攻击日志,还需要与安全设备约定好攻击日志的格式。约定的方式可以但不限于为在攻击日志的格式页面配置数据格式信息。一种预设格式的示例如下表1所示:
[0033]
[0034] 表1
[0035] 其中,括号中的数值代表该字段在攻击日志中占用的字节数,该字段之前所有字段占用的字节数为该字段的偏移,例如,“攻击源IP地址”的在攻击日志中的偏移为92字节,长度为4字节,“日志类型”在攻击日志中的偏移为16字节,长度为4字节。
[0036] 设定时段可以根据实际需要进行设定,例如,可以但不限于设定为1小时、2小时等等。
[0037] S12:确定攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值。
[0038] 攻击源IP地址信誉库中保存的是各个攻击源IP地址的信誉值,可以确定这些攻击源IP地址的信誉值是否大于设定信誉阈值。
[0039] 其中,设定信誉阈值可以根据实际需要进行设定。
[0040] S13:若确定攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于设定信誉阈值,则确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则。
[0041] 对于攻击源IP地址信誉库中的信誉度小于或等于设定信誉阈值的攻击源IP地址,这些攻击源IP地址相对还是安全的,无需执行任何操作;对于攻击源IP地址信誉库中的信誉度大于设定信誉阈值的攻击源IP地址,可以定义为第一攻击源IP地址,第一攻击源IP地址的数量至少一个,这些攻击源IP地址是非常危险的,因此,需要确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则。
[0042] S14:若确定报文过滤规则库中未保存第一攻击源IP地址对应的报文过滤规则,则根据第一攻击源IP地址对应的攻击日志生成报文过滤规则。
[0043] 由于根据第一攻击源IP地址对应的攻击日志中记录着各种相关的信息,因此,可以基于该攻击日志生成报文过滤规则。
[0044] S15:将生成的报文过滤规则添加到报文过滤规则库中。
[0045] 以便于后续转发报文时使用。
[0046] 由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
[0047] 具体的,上述S11中的根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库,实现过程具体包括:
[0048] 获取设定时段内接收到的预定格式的至少一个攻击日志;
[0049] 统计至少一个攻击日志出现的各个攻击源IP地址;
[0050] 确定在至少一个攻击日志中各个攻击源IP地址的出现次数;
[0051] 在攻击源IP地址信誉库中查找至少一个攻击日志出现的各个攻击源IP地址的历史信誉度;
[0052] 对于在攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据第二攻击源IP地址的出现次数和历史信誉度确定第二攻击源IP地址的当前信誉度,并将第二攻击源IP地址的当前信誉度替换第二攻击源的历史信誉度;
[0053] 对于在攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据第三攻击源IP地址的出现次数确定第三攻击源IP地址的当前信誉度,并将第三攻击源IP地址及其当前信誉度添加到攻击源IP地址信誉库中。
[0054] 假设,在至少一个攻击日志中各个攻击源IP地址的出现次数为N,在攻击源IP地址信誉库中查找至少一个攻击日志出现的各个攻击源IP地址的历史信誉度为Y0,对于在攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据第二攻击源IP地址的出现次数和历史信誉度确定第二攻击源IP地址的当前信誉度Y1,Y1=Y0+W*(N+1)^3,其中,W为合适的权值,Y1的取值范围为[0,100];对于在攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据第三攻击源IP地址的出现次数确定第三攻击源IP地址的当前信誉度Y1,Y1=W*(N+1)^3,其中,W为合适的权值,Y1的取值范围为[0,100]。Y1的值越大,表示该攻击源IP地址的威胁程度越高。
[0055] 一种可选的实施方式,上述方法还包括:
[0056] 确定报文过滤规则库中包括的各个攻击源IP地址;
[0057] 从攻击源IP地址信誉库中获取报文过滤规则库中包括的各个攻击源IP地址的信誉度;
[0058] 将从攻击源IP地址信誉库中获取的各个攻击源IP地址的信誉度分别与设定权重相乘,得到报文过滤规则库中包括的各个攻击源IP地址对应的报文过滤规则的生效时长。
[0059] 生效时长T=K*Y;其中,K为合适的权值。其中,Y的获取依据报文来源不同有不同的方式,报文过滤规则库中的报文过滤规则可以有两个来源,第一个来源是通过S11-S15生成的,第二个来源是由用户手动配置的,对于第一个来源的报文过滤规则,可以从攻击源IP地址信誉库中获取对应的信誉度,若信誉度大于100时,生效时长为永久生效;对于第二种来源的报文过滤规则,首先从攻击源IP地址信誉库中获取对应的信誉度,若获取不到,则信誉度可以但不限于取为60。
[0060] 相应地,上述方法还包括:
[0061] 为报文过滤规则库中的每个报文过滤规则设置对应的生效时长的倒计时器;
[0062] 监控报文过滤规则库中的每个报文过滤规则的倒计时器是否为零;
[0063] 删除报文过滤规则库中倒计时器为零的报文过滤规则。
[0064] 通过定期删除报文过滤规则库中的报文过滤规则,来精简报文过滤规则库,从而提高后续报文过滤的效率。
[0065] 请参见图2,图2为本申请示出的一种报文过滤规则的处理装置的结构示意图,应用于网络设备中,该装置包括:
[0066] 更新模块21,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库;
[0067] 第一确定模块22,用于确定攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值;
[0068] 第二确定模块23,用于若确定攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于设定信誉阈值,则确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则;
[0069] 生成模块24,用于若确定报文过滤规则库中未保存第一攻击源IP地址对应的报文过滤规则,则根据第一攻击源IP地址对应的攻击日志生成报文过滤规则;
[0070] 添加模块25,用于将生成的报文过滤规则添加到报文过滤规则库中。
[0071] 由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
[0072] 具体的,更新模块,用于根据设定时段内接收到的预定格式的至少一个攻击日志更新源IP地址信誉库,具体用于:
[0073] 获取设定时段内接收到的预定格式的至少一个攻击日志;
[0074] 统计至少一个攻击日志出现的各个攻击源IP地址;
[0075] 确定在至少一个攻击日志中各个攻击源IP地址的出现次数;
[0076] 在攻击源IP地址信誉库中查找至少一个攻击日志出现的各个攻击源IP地址的历史信誉度;
[0077] 对于在攻击源IP地址信誉库中查找到历史信誉度的第二攻击源IP地址,根据第二攻击源IP地址的出现次数和历史信誉度确定第二攻击源IP地址的当前信誉度,并将第二攻击源IP地址的当前信誉度替换第二攻击源的历史信誉度;
[0078] 对于在攻击源IP地址信誉库中未查找到历史信誉度的第三攻击源IP地址,根据第三攻击源IP地址的出现次数确定第三攻击源IP地址的当前信誉度,并将第三攻击源IP地址及其当前信誉度添加到攻击源IP地址信誉库中。
[0079] 一种可选的实施方式,上述方法还包括:
[0080] 第三确定模块,用于确定报文过滤规则库中包括的各个攻击源IP地址;
[0081] 获取模块,用于从攻击源IP地址信誉库中获取报文过滤规则库中包括的各个攻击源IP地址的信誉度;
[0082] 计算模块,用于将从攻击源IP地址信誉库中获取的各个攻击源IP地址的信誉度分别与设定权重相乘,得到报文过滤规则库中包括的各个攻击源IP地址对应的报文过滤规则的生效时长。
[0083] 一种可选的实施方式,上述方法还包括:
[0084] 设置模块,用于为报文过滤规则库中的每个报文过滤规则设置对应的生效时长的倒计时器;
[0085] 监控模块,用于监控报文过滤规则库中的每个报文过滤规则的倒计时器是否为零;
[0086] 删除模块,用于删除报文过滤规则库中倒计时器为零的报文过滤规则。
[0087] 对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0088] 本申请实施例还提供了一种电子设备,请参见图3所示,包括处理器310、通信接口320、存储器330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线
340完成相互间的通信。
[0089] 存储器330,用于存放计算机程序;
[0090] 处理器310,用于执行存储器330上所存放的程序时,执行上述实施例中任一所述的报文过滤规则的处理方法。
[0091] 通信接口320用于上述电子设备与其他设备之间的通信。
[0092] 存储器可以包括
随机存取存储器(Random Access Memory,RAM),也可以包括
非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
[0093] 上述的处理器可以是通用处理器,包括
中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字
信号处理器(Digital Signal Processing,DSP)、专用集成
电路(Application Specific Integrated Circuit,ASIC)、现场可编程
门阵列(Field-Programmable Gate Array,FPGA)或者其他
可编程逻辑器件、分立门或者晶体管逻辑器件、分立
硬件组件。
[0094] 由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
[0095] 相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的报文过滤规则的处理方法。
[0096] 由以上本申请提供的技术方案可见,可以实现自动分析攻击日志,并基于分析结果配置报文过滤规则,相对于人工方式,可以大大提高报文过滤规则的处理效率。
[0097] 以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何
修改、等同替换、改进等,均应包含在本申请保护的范围之内。