本發明涉及數據安全領域，公開了一種數據中心環境下的網絡攻擊阻斷方法、系統、設備及介質。方法包括：獲取所述多個安全設備分別生成的目標數據；基于設定分析策略以及獲取到的目標數據確定網絡攻擊參考結果；當所述網絡攻擊參考結果指示為網絡攻擊時，基于所述目標數據確定距離攻擊源最近的安全設備，以及匹配的安全策略；通過調用與所述最近的安全設備相對應的接口將所述安全策略下發至所述最近的安全設備，以通過所述最近的安全設備對網絡攻擊進行阻斷，所述接口用于將所述安全策略轉換為與所述安全設備相適配的數據格式。具備攻擊阻斷自動化、精準化的優點，通過高效的攻擊阻斷提高了運維效率，降低了運維成本。

技術領域

本發明涉及數據安全領域，尤其涉及一種數據中心環境下的網絡攻擊阻斷方法、設備及介質。

背景技術

數據中心的數據量較龐大，網絡環境較復雜。為了提高網絡安全，數據中心部署有較多的、不同種類的安全設備（比如網絡安全設備、流量監測平臺、安全態勢感知平臺等），這些安全設備用于針對不同網絡設備進行不同類型的防護。隨著數據中心遭受到的網絡攻擊的種類和數量不斷攀升，各安全設備會產生龐大的攻擊流量和告警日志。由于不同廠商提供的安全設備的日志字段和告警規則具有一定的獨立性，因此根據某一個安全設備的檢測結果難以對全網的網絡攻擊情況進行綜合分析，并且現有的安全設備均存在不同程度的攻擊漏報和誤報。

針對上述問題，目前在日常網絡安全運維過程中，需要網絡安全工程師對各安全設備的攻擊日志進行二次分析和研判，然后通過手動方式在安全設備上配置安全策略以對攻擊源進行阻斷。顯然，現有做法存在運維效率低且耗費大量人力成本的問題，而且要求運維人員具備較豐富的運維經驗，增加了運維難度。

有鑒于此，特提出本發明。

發明內容

為了解決上述技術問題，本發明提供了一種數據中心環境下的網絡攻擊阻斷方法、設備及介質，具備攻擊阻斷自動化、精準化的優點，通過高效的攻擊阻斷提高了運維效率，降低了運維成本。

第一方面，本發明實施例提供了一種數據中心環境下的網絡攻擊阻斷方法，所述數據中心部署有多個安全設備，所述多個安全設備分別是不同廠商提供的，或者是同一廠商提供的但對應的防護類型不同；所述網絡攻擊阻斷方法包括如下步驟：

獲取所述多個安全設備分別生成的目標數據，所述目標數據包括網絡攻擊分析結果和日志；

基于設定分析策略以及獲取到的目標數據確定網絡攻擊參考結果，其中，所述設定分析策略至少包括下述中的一種或多種：對來自不同安全設備的日志進行關聯分析；對來自不同安全設備的網絡攻擊分析結果進行比對；以及基于日志中數據包內容的告警驗證；

當所述網絡攻擊參考結果指示為網絡攻擊時，基于所述目標數據確定距離攻擊源最近的安全設備，以及匹配的安全策略；

通過調用與所述最近的安全設備相對應的接口將所述安全策略下發至所述最近的安全設備，以通過所述最近的安全設備對網絡攻擊進行阻斷，其中，所述接口用于將所述安全策略轉換為與所述安全設備相適配的數據格式。

第二方面，本發明實施例提供了一種數據中心環境下的網絡攻擊阻斷系統，包括：數據源、統一安全平臺和防護設備；

其中，所述數據源包括多個安全設備，所述多個安全設備分別是不同廠商提供的，或者是同一廠商提供的但對應的防護類型不同；