本公開(kāi)提出一種惡意地址管理方法和裝置，涉及信息安全技術(shù)領(lǐng)域。本公開(kāi)的一種惡意地址管理方法，包括：采集設(shè)備日志數(shù)據(jù)；根據(jù)日志數(shù)據(jù)獲取攻擊信息，攻擊信息包括攻擊源、攻擊類型、攻擊事件和被攻擊方；基于神經(jīng)網(wǎng)絡(luò)和日志數(shù)據(jù)獲取預(yù)測(cè)攻擊源地址；將預(yù)測(cè)攻擊源地址補(bǔ)充至惡意地址列表中。通過(guò)這樣的方法，能夠采集網(wǎng)絡(luò)中的攻擊信息，進(jìn)而進(jìn)行預(yù)測(cè)并更新至惡意地址列表，從而能夠?qū)崿F(xiàn)對(duì)惡意地址的預(yù)估和提前防護(hù)，提高設(shè)備的安全性。

技術(shù)領(lǐng)域

本公開(kāi)涉及信息安全技術(shù)領(lǐng)域，特別是一種惡意地址管理方法和裝置。

背景技術(shù)

網(wǎng)絡(luò)安全防護(hù)設(shè)備在對(duì)設(shè)備的安全防護(hù)過(guò)程中，會(huì)生成惡意IP(InternetProtocol，互聯(lián)網(wǎng)地址協(xié)議)列表的操作，通常是采用固定周期從互聯(lián)網(wǎng)開(kāi)源數(shù)據(jù)集中更新列表，而對(duì)于未在列表中的IP需要根據(jù)其發(fā)送的數(shù)據(jù)包和行為分析其是否為攻擊。

發(fā)明內(nèi)容

本公開(kāi)的一個(gè)目的在于提高網(wǎng)絡(luò)設(shè)備的安全性。

根據(jù)本公開(kāi)的一個(gè)方面，提出一種惡意地址管理方法，包括：采集設(shè)備日志數(shù)據(jù)；根據(jù)日志數(shù)據(jù)獲取攻擊信息，攻擊信息包括攻擊源、攻擊類型、攻擊事件和被攻擊方；基于神經(jīng)網(wǎng)絡(luò)和攻擊信息獲取預(yù)測(cè)攻擊源地址；將預(yù)測(cè)攻擊源地址補(bǔ)充至惡意地址列表中。

在一些實(shí)施例中，基于神經(jīng)網(wǎng)絡(luò)和攻擊信息獲取預(yù)測(cè)攻擊地址包括：根據(jù)攻擊信息構(gòu)建知識(shí)圖譜，知識(shí)圖譜的源節(jié)點(diǎn)為攻擊源，目的節(jié)點(diǎn)為被攻擊方，邊為攻擊事件，邊的屬性為攻擊類型；將知識(shí)圖譜輸入神經(jīng)網(wǎng)絡(luò)，獲取預(yù)測(cè)的邊；根據(jù)預(yù)測(cè)的邊的源節(jié)點(diǎn)確定預(yù)測(cè)攻擊源地址。

在一些實(shí)施例中，惡意地址管理方法還包括：配置預(yù)測(cè)攻擊源地址為預(yù)定生命周期；在達(dá)到預(yù)定生命周期的情況下，從惡意地址列表中刪除。

在一些實(shí)施例中，惡意地址管理方法還包括：基于預(yù)定第一頻率從開(kāi)源數(shù)據(jù)中獲取惡意地址信息，生成或更新靜態(tài)惡意地址列表；將預(yù)測(cè)攻擊源地址補(bǔ)充至惡意地址列表中為：將預(yù)測(cè)攻擊源地址補(bǔ)充至動(dòng)態(tài)惡意地址列表。

在一些實(shí)施例中，惡意地址管理方法還包括：根據(jù)神經(jīng)網(wǎng)絡(luò)獲取確定預(yù)測(cè)攻擊源地址的可信度；在動(dòng)態(tài)惡意地址列表中的地址與靜態(tài)惡意地址列表中的地址矛盾的情況下：若發(fā)生矛盾的預(yù)測(cè)攻擊源地址的可信度大于預(yù)定可信度，則采用動(dòng)態(tài)惡意地址列表中對(duì)預(yù)測(cè)攻擊源地址的處理方案同步靜態(tài)惡意地址列表；否則，采用靜態(tài)惡意地址列表中對(duì)預(yù)測(cè)攻擊源地址的處理方案同步動(dòng)態(tài)惡意地址列表。

在一些實(shí)施例中，惡意地址管理方法還包括：在各個(gè)設(shè)備中配置數(shù)據(jù)采集代理；采集設(shè)備日志數(shù)據(jù)為：數(shù)據(jù)采集代理以預(yù)定第二頻率獲取所處設(shè)備的設(shè)備日志數(shù)據(jù)；匯總來(lái)自各個(gè)設(shè)備的數(shù)據(jù)采集代理的設(shè)備日志數(shù)據(jù)。

在一些實(shí)施例中，根據(jù)日志數(shù)據(jù)獲取攻擊信息包括：清洗獲取的日志數(shù)據(jù)；通過(guò)自然語(yǔ)言理解提取日志數(shù)據(jù)中的攻擊信息。

通過(guò)這樣的方法，能夠采集網(wǎng)絡(luò)中的攻擊信息，進(jìn)而進(jìn)行預(yù)測(cè)并更新至惡意地址列表，從而能夠?qū)崿F(xiàn)對(duì)惡意地址的預(yù)估和提前防護(hù)，提高設(shè)備的安全性。

根據(jù)本公開(kāi)的另一個(gè)方面，提出一種惡意地址管理裝置，包括：日志采集單元，被配置為采集設(shè)備日志數(shù)據(jù)；攻擊信息獲取單元，被配置為根據(jù)日志數(shù)據(jù)獲取攻擊信息，攻擊信息包括攻擊源、攻擊類型、攻擊事件和被攻擊方；預(yù)測(cè)單元，被配置為基于神經(jīng)網(wǎng)絡(luò)和攻擊信息獲取預(yù)測(cè)攻擊源地址；列表更新單元，被配置為將預(yù)測(cè)攻擊源地址補(bǔ)充至惡意地址列表中。

在一些實(shí)施例中，惡意地址管理裝置還包括：過(guò)期管理單元，被配置為配置預(yù)測(cè)攻擊源地址為預(yù)定生命周期；在達(dá)到預(yù)定生命周期的情況下，從惡意地址列表中刪除。

在一些實(shí)施例中，惡意地址管理裝置還包括：靜態(tài)列表管理單元，被配置為基于預(yù)定第一頻率從開(kāi)源數(shù)據(jù)中獲取惡意地址信息，生成或更新靜態(tài)惡意地址列表；列表更新單元，被配置為將預(yù)測(cè)攻擊源地址補(bǔ)充至動(dòng)態(tài)惡意地址列表。