本公開提供了一種網(wǎng)絡(luò)攻擊處理方法，涉及信息安全領(lǐng)域。該方法包括：獲得溯源信息表，其中，所述溯源信息表包括N條訪問信息，其中每條訪問信息包括終端設(shè)備的設(shè)備標(biāo)識、公網(wǎng)IP地址和公網(wǎng)端口，N大于或等于1；當(dāng)檢測到網(wǎng)絡(luò)攻擊，獲取涉及所述網(wǎng)絡(luò)攻擊的公網(wǎng)IP地址和公網(wǎng)端口；根據(jù)涉及所述網(wǎng)絡(luò)攻擊的公網(wǎng)IP地址和公網(wǎng)端口，從所述溯源信息表中檢索到匹配的公網(wǎng)IP地址和公網(wǎng)端口；根據(jù)所述匹配的公網(wǎng)IP地址和公網(wǎng)端口，確定同條訪問信息中的設(shè)備標(biāo)識。本公開還提供了一種網(wǎng)絡(luò)攻擊處理裝置、設(shè)備、存儲介質(zhì)和程序產(chǎn)品。

技術(shù)領(lǐng)域

本公開涉及信息安全領(lǐng)域，更具體地，涉及一種網(wǎng)絡(luò)攻擊處理方法、裝置、系統(tǒng)、設(shè)備、介質(zhì)和程序產(chǎn)品。

背景技術(shù)

一些企業(yè)會提供網(wǎng)絡(luò)服務(wù)允許終端設(shè)備(如個(gè)人終端、移動終端或POS機(jī)等)訪問內(nèi)網(wǎng)。當(dāng)允許訪問內(nèi)網(wǎng)的終端設(shè)備失陷，以此作為跳板對企業(yè)業(yè)務(wù)攻擊，將會造成較大影響。

因NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)協(xié)議無法根據(jù)公網(wǎng)IP有效定位失陷終端設(shè)備，現(xiàn)有的排查方法通常是人工排查接入點(diǎn)日志，但NAT表中會話老化時(shí)間(Ageing?Time)短，通常難以進(jìn)行有效排查，無法準(zhǔn)確溯源。

發(fā)明內(nèi)容

鑒于上述問題，本公開提供了一種網(wǎng)絡(luò)攻擊處理方法、裝置、系統(tǒng)、設(shè)備、介質(zhì)和程序產(chǎn)品。

本公開實(shí)施例的一個(gè)方面，提供了一種網(wǎng)絡(luò)攻擊處理方法，包括：獲得溯源信息表，其中，所述溯源信息表包括N條訪問信息，其中每條訪問信息包括終端設(shè)備的設(shè)備標(biāo)識、公網(wǎng)IP地址和公網(wǎng)端口，N大于或等于1；當(dāng)檢測到網(wǎng)絡(luò)攻擊，獲取涉及所述網(wǎng)絡(luò)攻擊的公網(wǎng)IP地址和公網(wǎng)端口；根據(jù)涉及所述網(wǎng)絡(luò)攻擊的公網(wǎng)IP地址和公網(wǎng)端口，從所述溯源信息表中檢索到匹配的公網(wǎng)IP地址和公網(wǎng)端口；根據(jù)所述匹配的公網(wǎng)IP地址和公網(wǎng)端口，確定同條訪問信息中的設(shè)備標(biāo)識。

根據(jù)本公開的實(shí)施例，部署于內(nèi)網(wǎng)的入侵檢測防護(hù)設(shè)備被配置為檢測所述網(wǎng)絡(luò)攻擊，在所述確定同條訪問信息中的設(shè)備標(biāo)識之后，所述方法還包括：將所述同條訪問信息中的設(shè)備標(biāo)識確定為惡意設(shè)備標(biāo)識；對所述惡意設(shè)備標(biāo)識的訪問信息進(jìn)行指定監(jiān)控；將所述指定監(jiān)控到的公網(wǎng)IP地址和公網(wǎng)端口推送至所述入侵檢測防護(hù)設(shè)備，所述入侵檢測防護(hù)設(shè)備被配置為根據(jù)推送的公網(wǎng)IP地址和公網(wǎng)端口進(jìn)行流量阻斷。

根據(jù)本公開的實(shí)施例，所述獲得溯源信息表包括：獲得第一網(wǎng)絡(luò)信息表，所述第一網(wǎng)絡(luò)信息表包括N條第一網(wǎng)絡(luò)信息，其中每條第一網(wǎng)絡(luò)信息包括私網(wǎng)IP地址和設(shè)備標(biāo)識；獲得第二網(wǎng)絡(luò)信息表，所述第二網(wǎng)絡(luò)信息表包括N條第二網(wǎng)絡(luò)信息，其中每條第二網(wǎng)絡(luò)信息包括私網(wǎng)IP地址、公網(wǎng)IP地址和公網(wǎng)端口；以具有相同私網(wǎng)IP地址為合并條件，將所述N條第一網(wǎng)絡(luò)信息與所述N條第二網(wǎng)絡(luò)信息一一對應(yīng)地合并，得到所述N條訪問信息，形成所述溯源信息表。

根據(jù)本公開的實(shí)施例，所述對所述惡意設(shè)備標(biāo)識的訪問信息進(jìn)行指定監(jiān)控包括：指定獲取包括所述惡意設(shè)備標(biāo)識的第一網(wǎng)絡(luò)信息；從指定獲取的第一網(wǎng)絡(luò)信息中提取私網(wǎng)IP地址；指定獲取包括所提取出私網(wǎng)IP地址的第二網(wǎng)絡(luò)信息；將指定獲取的第一網(wǎng)絡(luò)信息和第二網(wǎng)絡(luò)信息合并，得到攻擊防問信息。

根據(jù)本公開的實(shí)施例，所述對所述惡意設(shè)備標(biāo)識的訪問信息進(jìn)行指定監(jiān)控包括：指定獲取包括所述匹配的公網(wǎng)IP地址的第二網(wǎng)絡(luò)信息；從指定獲取的第二網(wǎng)絡(luò)信息中提取私網(wǎng)IP地址；指定獲取包括提取出私網(wǎng)IP地址的第一網(wǎng)絡(luò)信息；將指定獲取的第一網(wǎng)絡(luò)信息和第二網(wǎng)絡(luò)信息合并，得到攻擊訪問信息。

根據(jù)本公開的實(shí)施例，在所述確定同條訪問信息中的設(shè)備標(biāo)識之后，所述方法還包括：獲取所述同條訪問信息中的私網(wǎng)IP地址；根據(jù)所述同條訪問信息中的所述惡意設(shè)備標(biāo)識和私網(wǎng)IP地址得到網(wǎng)絡(luò)攻擊信息，形成網(wǎng)絡(luò)攻擊信息表；其中，所述網(wǎng)絡(luò)攻擊信息還包括網(wǎng)絡(luò)攻擊狀態(tài)信息，當(dāng)所述網(wǎng)絡(luò)攻擊狀態(tài)信息為特定狀態(tài)時(shí)，對所述惡意設(shè)備標(biāo)識的訪問信息進(jìn)行指定監(jiān)控。

根據(jù)本公開的實(shí)施例，所述方法還包括：若在第一預(yù)定時(shí)間段內(nèi)未檢測到網(wǎng)絡(luò)攻擊，更新所述特定狀態(tài)為第一狀態(tài)；若所述惡意設(shè)備標(biāo)識涉及的網(wǎng)絡(luò)攻擊威脅解除，更新所述特定狀態(tài)為第二狀態(tài)。