[發明專利]數據中心環境下的網絡攻擊阻斷方法、系統、設備及介質有效
| 申請號: | 202310699154.3 | 申請日: | 2023-06-14 |
| 公開(公告)號: | CN116436706B | 公開(公告)日: | 2023-08-22 |
| 發明(設計)人: | 馮景華;徐斌;張寶辰;仝健輝;閆昊;楊滿堂;韓道林;麻羽 | 申請(專利權)人: | 天津市天河計算機技術有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京馳明知識產權代理有限公司 16099 | 代理人: | 武玉維 |
| 地址: | 300457 天津市濱海新區*** | 國省代碼: | 天津;12 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 數據中心 環境 網絡 攻擊 阻斷 方法 系統 設備 介質 | ||
1.一種數據中心環境下的網絡攻擊阻斷方法,其特征在于,所述數據中心部署有多個安全設備,所述多個安全設備分別是不同廠商提供的,或者是同一廠商提供的但對應的防護類型不同,針對同一攻擊行為,不同廠商提供的安全設備的識別結果不同;所述網絡攻擊阻斷方法包括如下步驟:
獲取所述多個安全設備分別生成的目標數據,所述目標數據包括網絡攻擊分析結果和日志;
基于設定分析策略以及獲取到的目標數據確定網絡攻擊參考結果,其中,所述設定分析策略至少包括下述中的一種或多種:對來自不同安全設備的網絡攻擊分析結果進行比對;以及基于日志中數據包內容的告警驗證;
當所述網絡攻擊參考結果指示為網絡攻擊時,基于所述目標數據確定距離攻擊源最近的安全設備,以及匹配的安全策略;
通過調用與所述最近的安全設備相對應的接口將所述安全策略下發至所述最近的安全設備,以通過所述最近的安全設備對網絡攻擊進行阻斷,其中,所述接口用于將所述安全策略轉換為與所述安全設備相適配的數據格式;
當所述設定分析策略是對來自不同安全設備的網絡攻擊分析結果進行比對時,所述基于設定分析策略以及獲取到的目標數據確定網絡攻擊參考結果,包括:
對來自不同安全設備的網絡攻擊分析結果進行比對;
基于網絡攻擊分析結果指示為網絡攻擊的個數以及網絡攻擊分析結果的總數確定網絡攻擊參考結果;
當所述設定分析策略是基于日志中數據包內容的告警驗證時,所述基于設定分析策略以及獲取到的目標數據確定網絡攻擊參考結果,包括:
當針對同一攻擊流量,不同安全設備的網絡攻擊分析結果不一致時,基于日志中記錄的請求方法、響應碼以及請求內容,結合威脅情報平臺返回的源IP的關聯信息確定所述網絡攻擊參考結果。
2.根據權利要求1所述的方法,其特征在于,所述基于網絡攻擊分析結果指示為網絡攻擊的個數以及網絡攻擊分析結果的總數確定網絡攻擊參考結果,包括:
若網絡攻擊分析結果指示為網絡攻擊的個數占網絡攻擊分析結果總數的比例達到閾值,則確定所述網絡攻擊參考結果為指示網絡攻擊;
或者,若網絡攻擊分析結果指示為網絡攻擊的個數大于網絡攻擊分析結果指示為非網絡攻擊的個數,則確定所述網絡攻擊參考結果為指示網絡攻擊。
3.根據權利要求1所述的方法,其特征在于,所述基于設定分析策略以及獲取到的目標數據確定網絡攻擊參考結果,包括:
對獲取到的目標數據基于關鍵詞進行標記、過濾以及轉換處理,以獲得目標格式的日志,其中,所述關鍵詞包括日志字段、源IP、目的IP、源端口、目的端口、協議、時間、數據流向、攻擊類型以及攻擊結果中的一個或多個。
4.根據權利要求1所述的方法,其特征在于,所述當所述網絡攻擊參考結果指示為網絡攻擊時,基于所述目標數據確定距離攻擊源最近的安全設備,以及匹配的安全策略,包括:
基于所述目標數據確定攻擊源;
根據資產信息記錄確定距離攻擊源最近的安全設備;
根據所述網絡攻擊參考結果所指示的攻擊類型,從預設對應表中確定匹配的安全策略。
5.根據權利要求1所述的方法,其特征在于,所述通過所述最近的安全設備對網絡攻擊進行阻斷,包括下述中的一種或多種:
當所述最近的安全設備是云平臺時,通過云平臺封禁虛擬機的IP或端口;
當所述最近的安全設備是防火墻時,通過在黑名單配置中增加目標IP;
當所述最近的安全設備是交換機時,關閉交換機的端口。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于天津市天河計算機技術有限公司,未經天津市天河計算機技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202310699154.3/1.html,轉載請聲明來源鉆瓜專利網。
