一种网络攻击处置方法及装置与流程

1.本公开涉及网络安全技术领域，具体而言，涉及一种网络攻击处置方法及装置。


背景技术：

2.为了避免由于受到黑客攻击而导致数据泄露的情况发生，大部分企业都拥有较为完善的分布式拒绝服务(distributed denial of service，ddos)攻击防护产品。
3.目前，现有的ddos攻击防护产品在接收到告警信息之后，通常采用邮件、短信等方式提示用户网络存在安全隐患。用户可以根据提示完成后续的防护操作，以提高数据的安全性。但是，若用户未及时查看提示或者未及时完成后续防护操作，则数据的安全性可能会受到威胁，无法得到有效保障。


技术实现要素：

4.本公开提供了一种网络攻击处置方法及装置，以至少解决相关技术中数据的安全性无法保障的问题。
5.为达到上述目的，本公开采用如下技术方案：
6.第一方面，本公开提供了一种网络攻击处置方法，该方法包括以下步骤：在确定网络中存在异常数据、且异常数据占用的资源容量大于阈值的情况下，封禁异常数据的传输，并启动计时器；若在计时器达到预设时长之前的第一时刻接收到攻击告警信息，则控制计时器重新计时，并依旧封禁异常数据的传输，直到计时器的时长达到预设时长，且在预设时长内未接收到攻击告警信息为止。
7.本公开提供一种网络攻击处置方法，在确定出存在异常数据且异常数据的占用资源容量大于阈值时，触发封堵。在预设封堵时长内再次接收到攻击后，则计时器重新计时，直到未接收到攻击告警信息为止。在接收到告警后，根据预设的判定方式确定是否触发告警并封堵。当触发时，启动相应的防护任务；基于设定的防护规则可以对频繁的、间歇性的攻击进行有效防护，避免经常启动防护任务，浪费时间和资源，且无需人工参与，极大的提高了防护的及时性与可靠性。
8.第二方面，本公开提供了一种网络攻击处置装置，该装置包括判断模块和处理模块；具体的，判断模块，用于在确定网络中存在异常数据、且异常数据占用的资源容量大于阈值的情况下，封禁异常数据的传输，并启动计时器；处理模块，用于若在计时器达到预设时长之前的第一时刻接收到攻击告警信息，则控制计时器重新计时，并依旧封禁异常数据的传输，直到计时器的时长达到预设时长，且在预设时长内未接收到攻击告警信息为止。
9.第三方面，本公开提供了一种计算机可读的存储介质，存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
10.第四方面，本公开提供了一种电子装置，包括存储器和处理器，其特征在于，存储器中存储有计算机程序，处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
11.本公开中第二方面到第四方面及其各种实现方式的具体描述，可以参考第一方面的实现方式中的详细描述；并且，第二方面到第四方面及其各种实现方式的有益效果，可以参考第一方面的实现方式中的有益效果分析，此处不再赘述。
12.本公开的这些方面或其他方面在以下的描述中会更加简明易懂。
附图说明
13.为了更清楚地说明本公开实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
14.图1是根据本公开实施例中一种网络攻击处置装置的结构框图；
15.图2是根据本公开实施例中一种网络攻击处置方法的流程图；
16.图3是根据本公开实施例中一种网络攻击处置方法的示意图；
17.图4是根据本公开实施例中一种网络攻击处置装置的结构框图；
18.图5是根据本公开实施例中一种可选的电子装置结构示意图。
具体实施方式
19.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
20.术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中，除非另有说明，“多个”的含义是两个或两个以上。
21.在对本公开提供的网络攻击处置方法进行详细介绍之前，先对本公开涉及的应用场景和实施环境进行简单介绍。
22.首先，对本公开涉及的应用场景进行简单介绍。
23.目前，分布式拒绝服务攻击(distributed denial of service,ddos)是互联网中最常见的网络攻击方式之一，它通过大量错误流量对目标服务器进行攻击，堵塞网络耗尽服务器性能，导致服务器崩溃，影响了正常用户的访问。
24.随着网络流量不断增大，用户所受到的网络攻击也不断增加，网络安全已成为各领域的焦点。现如今，国内网络安全防护市场已初具规模，各个公司都拥有较为完善的ddos攻击防护产品。其中，大部分ddos攻击防护产品在接收到告警信息之后，通常采用人工、邮件、短信等方式告知用户，由用户来进行后续的防护操作；当用户没有及时查看或处理时，将会出现数据安全性的问题造。
25.针对上述问题，本公开提供的一种网络攻击处置方法及装置。该方法可以当接收到攻击警告时自动进行封堵处理，当同一个攻击源在封堵时间内再次接收到攻击警告时，将延长封堵时长，直至未收到攻击为止。即对于接收到的攻击能够自动防护，提高攻击处理
的及时性。
26.如图1所示，其示出了本公开适用的一种实施环境的示意图。该实施环境中可以包括攻击监测系统110和网络攻击处置装置120，该攻击监测系统110可以通过网络(有线网络或者无线网络)与该网络攻击处置装置120之间建立连接。
27.其中，该攻击监测系统110为监控设备，即网络攻击的监测设备，用于接收来自全网的异常和攻击流量。具体的，在检测网段内，如果产生了与往日不同的巨大持续流量，很可能是遭受不明的网络攻击，则发送相应的告警信息至网络攻击处理装置120。该攻击监测系统110可以为手机、平板电脑、笔记本电脑、台式计算机、便携式计算机等，本公开对此不做限定。
28.其中，该网络攻击处置装置120从攻击监测系统(genie)接收全网的异常和攻击流量告警信息。该网络攻击处置装置120可以为一台服务器，或者，也可以为由多台服务器组成的服务器集群，本公开对此不做限定。
29.图2是根据一示例性实施例示出的一种网络攻击处置方法的流程图，如图2所示，网络攻击处置方法用于网络攻击处置装置中，该方法可以包括步骤220-步骤230。
30.220、在确定网络中存在异常数据、且异常数据占用的资源容量大于阈值的情况下，封禁异常数据的传输，并启动计时器。
31.本步骤中，网络攻击处置装置120从核心网(core network，cn)的攻击监测系统110接收来自全网的异常信息和攻击流量告警信息。
32.在接收到告警信息时，分析告警信息中包括的攻击源具体信息，如：攻击类型、起始时间、流量大小，目标ip，目标端口等。
33.网络攻击处置装置120根据告警信息的数据和预设的攻击判定方式判断是否进行封堵。其中，判定方式包括:是否超过阈值、是否落入数值范围内、是否出现某特征因素等等。
34.在一具体的实施例中，当判定告警信息中的异常数据占用的资源容量大于阈值时，执行封堵，并启动计时器。其中，阈值为异常数据的流量大小超过50g。
35.230、若在计时器达到预设时长之前的第一时刻接收到攻击告警信息，则控制计时器重新计时，并依旧封禁异常数据的传输，直到计时器的时长达到预设时长，且在预设时长内未接收到攻击告警信息为止。其中，50g是不影响其他用户正常使用的情况下设定的。
36.本步骤中，根据可能发生的情况，执行预设的封堵策略。
37.在执行预设时长的封堵过程中，未接收到来自同一攻击源的告警信息，则达到预设封堵时长后，即停止封堵。
38.在执行预设时间的封堵过程中，接收到来自同一攻击源的告警信息。在一具体的实施例中，如图3所示，如：从0时刻开始进行封堵，封堵时长t，应于t2时刻(其中，t2＝t)结束封堵。但在t1时刻接收到来自同一攻击源的告警信息，则在接收到该告警信息的t1时刻起，向后延长预设时间t的封堵至t3时刻(其中，t3-t1＝t)，以此类推；直到没有收到新的告警，结束封堵。
39.进一步地，还包括：
40.210、接收异常数据的告警信息。
41.本步骤中，接收到来自攻击监测系统110发送的异常数据告警信息。
42.进一步地，预设时长根据攻击事件间歇的平均值确定。具体的，预设封堵时长为10分钟。
43.进一步地，预设封堵时长不大于30分钟。具体的，避免过久封堵的其中一个原因是为了避免在正常业务操作(如同步数据等)而引起流量突增被判定为攻击的情况。
44.示例性的，网络攻击处置装置120接收到异常数据的告警信息后；分析异常数据流量占用的大小，当占用大小超过设定阈值时，自动触发此流量的封堵处理。首次触发封堵时，定时封堵时长t分钟。
45.在封堵期间，收到新的告警；则从收到告警的时刻t1起，延长封堵时间至时刻t2(t2-t1＝t)；直到没有收到新的告警，结束封堵。
46.上述实施例提供的技术方案至少带来以下有益效果：接收到攻击流量告警信息后，对告警信息包含的攻击源属性值进行分析。当确定出攻击源属性值超过预设阈值时，触发告警，并执行预设时长的封堵；在执行预设封堵时长内的某一时刻，再次接收到同一攻击源的告警信息，则延长封堵时间。在接收到告警后，根据客户预设的判定方式确定是否触发告警并封堵。当触发时，启动相应的防护任务；基于设定的防护规则自动判断何时结束防护任务，无需人工参与，极大的提高了防护的及时性与可靠性。
47.上述主要从方法的角度对本公开实施例提供的方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本公开能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。
48.图4是根据一示例性实施例示出的一种网络攻击处置装置的框图，该网络攻击处置装置可以用于执行图1所示的网络攻击处置方法。作为一种可实现方式，该装置可以包括判断模块410、处理模块420和接收模块430。
49.判断模块410，用于在确定网络中存在异常数据、且异常数据占用的资源容量大于阈值的情况下，封禁异常数据的传输，并启动计时器；例如，结合图2，判断模块410可以用于执行s220。
50.处理模块420，用于若在计时器达到预设时长之前的第一时刻接收到攻击告警信息，则设置计时器重新计时，并依旧封禁异常数据的传输，直到计时器的时长达到预设时长，且在预设时长内未接收到攻击告警信息为止。例如，结合图2，处理模块420可以用于执行s230。
51.进一步地，还包括：接收模块430，用于接收异常数据的告警信息。例如，结合图2，接收模块430可以用于执行s230。
52.进一步地，预设时长根据攻击事件间歇的平均值确定。
53.当然，本公开实施例提供的网络攻击处置装置包括但不限于上述模块，例如还可以包括存储模块。存储模块可以用于存储该网络攻击处置装置的程序代码，还可以用于存储网络攻击处置装置在运行过程中生成、接收到的数据等。
54.根据本公开实施例的又一个方面，还提供了一种用于实施上述网络攻击处置方法的电子设备，上述电子设备可以但不限于应用于服务器中。如图5所示，该电子设备包括存
储器510和处理器520，该存储器510中存储有计算机程序，该处理器520被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
55.进一步地，在本实施例中，上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
56.进一步地，在本实施例中，上述处理器520可以被设置为通过计算机程序执行如图1的步骤。
57.可选地，本领域普通技术人员可以理解，图5所示的结构仅为示意，电子设备也可以是智能手机(如android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网设备(mobile internet devices，mid)、pad等终端设备。图5其并不对上述电子设备的结构造成限定。例如，电子设备还可包括比图5中所示更多或者更少的组件(如网络接口等)，或者具有与图5所示不同的配置。
58.其中，存储器510可用于存储软件程序以及模块，如本公开实施例中的网络攻击处置方法和装置对应的程序指令/模块，处理器520通过运行存储在存储器510内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的网络攻击处置方法。存储器510可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器510可进一步包括相对于处理器520远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中，存储器510具体可以但不限于用于储存网络攻击处置方法的程序步骤。此外，还可以包括但不限于上述网络攻击处置装置中的其他模块单元，本示例中不再赘述。
59.可选地，上述的传输装置540用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中，传输装置540包括一个网络适配器(network interface controller，nic)，其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中，传输装置540为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
60.此外，上述电子设备还包括：显示器540，用于显示可疑帐号的告警推送；和连接总线550，用于连接上述电子设备中的各个模块部件。
61.可选地，本公开另一实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当指令在计算机上运行时，使得计算机执行上述方法实施例所示的方法流程中网络攻击处置装置执行的各个步骤。
62.可选地，在本公开另一实施例中，还提供一种计算机程序产品，该计算机程序产品包括指令，当指令在计算机上运行时，使得计算机执行上述方法实施例所示的方法流程中网络攻击处置装置执行的各个步骤。
63.可选地，在本实施例中，本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-only memory，rom)、随机存取器(random acce ss memory，ram)、磁盘或光盘等。
64.上述本公开实施例序号仅仅为了描述，不代表实施例的优劣。
65.上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品
销售或使用时，可以存储在上述计算机可读取的存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在存储介质中，包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本公开各个实施例方法的全部或部分步骤。
66.在本公开的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
67.在本公开所提供的几个实施例中，应该理解到，所揭露的客户端，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
68.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
69.另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
70.以上仅是本公开的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本公开原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本公开的保护范围。

技术特征：
1.一种网络攻击处置方法，其特征在于，包括：在确定网络中存在异常数据、且异常数据占用的资源容量大于阈值的情况下，封禁所述异常数据的传输，并启动计时器；若在所述计时器达到预设时长之前的第一时刻接收到攻击告警信息，则控制所述计时器重新计时，并依旧封禁所述异常数据的传输，直到所述计时器的时长达到预设时长，且在预设时长内未接收到攻击告警信息为止。2.根据权利要求1所述的方法，其特征在于，所述在确定网络中存在异常数据步骤之前，还包括：接收所述异常数据的告警信息。3.根据权利要求1所述的方法，其特征在于，所述预设时长根据攻击事件间歇的平均值确定。4.一种网络攻击处置装置，其特征在于，包括：判断模块，用于在确定网络中存在异常数据、且异常数据占用的资源容量大于阈值的情况下，封禁所述异常数据的传输，并启动计时器；处理模块，用于若在所述计时器达到预设时长之前的第一时刻接收到攻击告警信息，则控制所述计时器重新计时，并依旧封禁所述异常数据的传输，直到所述计时器的时长达到预设时长，且在预设时长内未接收到攻击告警信息为止。5.根据权利要求4所述的装置，其特征在于，还包括：接收模块，用于接收所述异常数据的告警信息。6.根据权利要求4所述的装置，其特征在于，所述预设时长根据攻击事件间歇的平均值确定。7.一种计算机可读的存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至3任一项中所述的方法。8.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行所述权利要求1至3任一项中所述的方法。

技术总结
本公开实施例提供了一种网络攻击处置方法及装置，涉及网络安全技术领域，通过本公开能够实现对于异常攻击及时封堵，实现自动化。具体方案包括：在确定网络中存在异常数据、且异常数据占用的资源容量大于阈值的情况下，封禁异常数据的传输，并启动计时器；若在计时器达到预设时长之前的第一时刻接收到攻击告警信息，则设置计时器重新计时，并依旧封禁异常数据的传输，直到计时器的时长达到预设时长，且在预设时长内未接收到攻击告警信息为止。且在预设时长内未接收到攻击告警信息为止。且在预设时长内未接收到攻击告警信息为止。


技术研发人员：李长连 汪悦 蔺旋 刘果 张彬
受保护的技术使用者：中讯邮电咨询设计院有限公司
技术研发日：2020.11.05
技术公布日：2022/5/25