一種提高網(wǎng)絡(luò)安全性的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域���,尤其涉及一種提高網(wǎng)絡(luò)安全性的方法及裝置���。
【背景技術(shù)】
[0002] 目前為了提高網(wǎng)絡(luò)的安全性,需要一個(gè)子網(wǎng)中的各個(gè)網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)安全設(shè)備之 間實(shí)現(xiàn)聯(lián)動(dòng)�,使得子網(wǎng)在受到攻擊時(shí)子網(wǎng)中的各個(gè)網(wǎng)絡(luò)設(shè)備能夠進(jìn)行協(xié)同防御,而為了實(shí) 現(xiàn)網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)安全設(shè)備之間聯(lián)動(dòng)��,網(wǎng)絡(luò)安全設(shè)備的制造商需要提供接口協(xié)議���,而網(wǎng)絡(luò) 設(shè)備的制造商則可W根據(jù)網(wǎng)絡(luò)安全設(shè)備的制造商提供的接口協(xié)議開發(fā)相應(yīng)的通信模塊����,從 而實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)安全設(shè)備之間實(shí)現(xiàn)聯(lián)動(dòng)����。
[0003] 但是����,對于具有多個(gè)子網(wǎng)的網(wǎng)絡(luò)系統(tǒng)���,在一個(gè)子網(wǎng)受到攻擊源攻擊時(shí)�,只有直接受 到攻擊的子網(wǎng)會執(zhí)行相應(yīng)的安全策略���,因此同一攻擊源只需對網(wǎng)絡(luò)系統(tǒng)中不同的子網(wǎng)進(jìn)行 相同的攻擊���,若其中的一個(gè)子網(wǎng)防御措施不足或安全性較差,則很容易被攻破���,從而降低了 整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的實(shí)施例提供一種提高網(wǎng)絡(luò)安全性的方法及裝置���,降低網(wǎng)絡(luò)系統(tǒng)中除當(dāng)前 受到攻擊的子網(wǎng)外的尚未被攻擊的子網(wǎng)被攻破的可能性����,從而提高了整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全 性�����。
[0005] 為達(dá)到上述目的�,本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0006] 第一方面,本發(fā)明的實(shí)施例提供一種提高網(wǎng)絡(luò)安全性的方法�,所述網(wǎng)絡(luò)包括控制 節(jié)點(diǎn)和與所述控制節(jié)點(diǎn)具有通信連接的至少兩個(gè)子網(wǎng),所述方法包括:
[0007] 所述控制節(jié)點(diǎn)獲取報(bào)警信息���;所述報(bào)警信息包括對所述至少兩個(gè)子網(wǎng)中的子網(wǎng) 進(jìn)行攻擊的攻擊源的地址信息和所述至少兩個(gè)子網(wǎng)中受到攻擊的子網(wǎng)的識別信息�;
[0008] 所述控制節(jié)點(diǎn)利用所述報(bào)警信息�����,按照威脅程度的由高到低的順序��,對所述攻擊 源進(jìn)行排序�,并將排序結(jié)果作為黑名單;
[0009] 所述控制節(jié)點(diǎn)將所獲取的黑名單發(fā)送到所述網(wǎng)絡(luò)系統(tǒng)中至少一個(gè)尚未受到攻擊 的子網(wǎng)��。
[0010] 結(jié)合第一方面�����,在第一方面的第一種可能的實(shí)現(xiàn)方式中��,所述利用所述報(bào)警信息, 按照威脅程度的由高到低的順序�,對所述攻擊源進(jìn)行排序,包括:
[0011] 利用所述受到攻擊的子網(wǎng)的識別信息��,確定被與所述攻擊源的地址信息對應(yīng)的多 個(gè)攻擊源中的各個(gè)攻擊源攻擊的子網(wǎng)數(shù)量���;
[0012] 按照被攻擊的子網(wǎng)數(shù)量的由大到小的順序�,對各個(gè)攻擊源進(jìn)行排序���。
[0013] 結(jié)合第一方面或第一種可能的實(shí)現(xiàn)方式���,在第二種可能的實(shí)現(xiàn)方式中,所述利用 所述報(bào)警信息�,按照威脅程度的由高到低的順序,對所述攻擊源進(jìn)行排序��,包括:
[0014] 利用所述受到攻擊的子網(wǎng)的識別信息��,確定與所述攻擊源的地址信息對應(yīng)的多個(gè) 攻擊源中的各個(gè)攻擊源攻擊的端口的數(shù)量����;
[0015] 按照各個(gè)攻擊源攻擊的端口的數(shù)量的由大到小的順序,對各個(gè)攻擊源進(jìn)行排序��。
[0016] 結(jié)合第一方面,在第H種可能的實(shí)現(xiàn)方式中����,在對所述攻擊源進(jìn)行排序之前���,進(jìn) 一步包括:
[0017] 確定每一個(gè)攻擊源的威脅信息�;其中�����,所述威脅信息包括���;所述一個(gè)攻擊源進(jìn)行 攻擊的持續(xù)時(shí)間�����、來自所述一個(gè)攻擊源的數(shù)據(jù)量����、被所述一個(gè)攻擊源攻擊的子網(wǎng)數(shù)量和被 所述一個(gè)攻擊源攻擊的端口數(shù)量�����;
[0018] 根據(jù)每一個(gè)攻擊源的威脅信息獲取每一個(gè)攻擊源的威脅值;
[0019] 相應(yīng)地����,所述利用所述報(bào)警信息,按照威脅程度的由高到低的順序����,對所述攻擊源 進(jìn)行排序,并將排序結(jié)果作為黑名單����,包括:利用所述報(bào)警信息,按照各個(gè)攻擊源的威脅值 由大到小的順序���,對各個(gè)攻擊源進(jìn)行排序�,并將排序結(jié)果作為黑名單����。
[0020] 結(jié)合第一方面的第H種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方式中����,在對所述 攻擊源進(jìn)行排序之前,還包括:
[0021] 根據(jù)rs=[(l-awri-l] ?!/����,確定每一個(gè)攻擊源與所有被攻擊的子網(wǎng)之間的關(guān)聯(lián)值��, rs表示一個(gè)攻擊源與所有被攻擊的子網(wǎng)之間的關(guān)聯(lián)值���,bs表示該一個(gè)攻擊源與所有被攻擊 的子網(wǎng)之間的攻擊關(guān)系的布爾向量�,S表示該一個(gè)攻擊源的標(biāo)識,a表示該一個(gè)攻擊源的威 脅值����,I表示單位矩陣,W表示所述攻擊源的地址�����;
[0022] 相應(yīng)地���,所述利用所述報(bào)警信息���,按照各個(gè)攻擊源的威脅值由大到小的順序,對各 個(gè)攻擊源進(jìn)行排序�����,并將排序結(jié)果作為黑名單,包括:
[0023] 對于一個(gè)被攻擊的子網(wǎng)���,利用攻擊所述子網(wǎng)的每一個(gè)攻擊源的威脅值和攻擊所述 子網(wǎng)的每一個(gè)攻擊源與所述子網(wǎng)之間的關(guān)聯(lián)值���,確定攻擊所述子網(wǎng)的每一個(gè)攻擊源對于所 述的子網(wǎng)的危險(xiǎn)程度;
[0024] 按照危險(xiǎn)程度由高到低的順序?qū)羲鲎泳W(wǎng)的每一個(gè)攻擊源進(jìn)行排序并生成 對應(yīng)于所述子網(wǎng)的黑名單�。
[0025] 結(jié)合第一方面的第四種可能的實(shí)現(xiàn)方式,在第五種可能的實(shí)現(xiàn)方式中��,在對所述 攻擊源進(jìn)行排序之前����,還包括:
[0026] 確定每一個(gè)子網(wǎng)的受害信息,所述受害信息包括:攻擊一個(gè)子網(wǎng)的攻擊源的數(shù)量��、 該一個(gè)子網(wǎng)被攻擊的端口數(shù)量�����、該一個(gè)子網(wǎng)被攻擊的持續(xù)時(shí)間和該一個(gè)子網(wǎng)接收到的來自 各個(gè)攻擊源的數(shù)據(jù)量之和�����;
[0027] 根據(jù)每一個(gè)子網(wǎng)的受害信息獲取脆弱程度值����;
[0028] 相應(yīng)地����,所述利用所述報(bào)警信息���,按照各個(gè)攻擊源的威脅值由大到小的順序���,對各 個(gè)攻擊源進(jìn)行排序���,并將排序結(jié)果作為黑名單包括:
[0029] 對于一個(gè)被攻擊的子網(wǎng)�����,利用攻擊所述子網(wǎng)的每一個(gè)攻擊源的威脅值和攻擊所述 子網(wǎng)的每一個(gè)攻擊源與所述子網(wǎng)之間的關(guān)聯(lián)值和所述子網(wǎng)的脆弱程度值��,確定攻擊所述子 網(wǎng)的每一個(gè)攻擊源對于所述的子網(wǎng)的危險(xiǎn)程度�����;
[0030] 按照危險(xiǎn)程度由高到低的順序?qū)羲鲎泳W(wǎng)的每一個(gè)攻擊源進(jìn)行排序并生成 對應(yīng)于所述子網(wǎng)的黑名單���。
[0031] 結(jié)合第一方面的各種可能的實(shí)現(xiàn)方式�,在第六種可能的實(shí)現(xiàn)方式中�����,所述控制節(jié) 點(diǎn)獲取報(bào)警信息包括:
[0032] 所述控制節(jié)點(diǎn)從所述子網(wǎng)發(fā)送的化enflow異步消息中獲取所述報(bào)警信息���。
[0033] 第二方面���,本發(fā)明的實(shí)施例提供一種提高網(wǎng)絡(luò)安全性的裝置,所述網(wǎng)絡(luò)包括控制 節(jié)點(diǎn)和與所述控制節(jié)點(diǎn)具有通信連接的至少兩個(gè)子網(wǎng)��,所述裝置包括:
[0034] 報(bào)警信息接收模塊�����,用于獲取報(bào)警信息�;所述報(bào)警信息包括對所述至少兩個(gè)子網(wǎng) 中的子網(wǎng)進(jìn)行攻擊的攻擊源的地址信息和所述至少兩個(gè)子網(wǎng)中受到攻擊的子網(wǎng)的識別信 息;
[0035] 分析模塊��,用于利用所述報(bào)警信息��,按照威脅程度的由高到低的順序����,對所述攻擊 源進(jìn)行排序���,并將排序結(jié)果作為黑名單;
[0036] 發(fā)布模塊�����,用于將所獲取的黑名單發(fā)送到所述網(wǎng)絡(luò)系統(tǒng)中至少一個(gè)尚未受到攻擊 的子網(wǎng)���。
[0037] 結(jié)合第二方面����,在第二方面的第一種可能的實(shí)現(xiàn)方式中�,所述分析模塊包括:
[0038] 受害子網(wǎng)統(tǒng)計(jì)單元����,用于利用所述受到攻擊的子網(wǎng)的識別信息,確定被與所述攻 擊源的地址信息對應(yīng)的多個(gè)攻擊源中的各個(gè)攻擊源攻擊的子網(wǎng)數(shù)量���;
[0039] 第一生成單元���,用于按照被攻擊的子網(wǎng)數(shù)量的由大到小的順序,對各個(gè)攻擊源進(jìn) 行排序���。
[0040] 結(jié)合第二方面或第一種可能的實(shí)現(xiàn)方式���,在第二種可能的實(shí)現(xiàn)方式中����,所述分析 模塊包括:
[0041] 受害端口統(tǒng)計(jì)單元�����,用于利用所述受到攻擊的子網(wǎng)的識別信息��,確定與所述攻擊 源的地址信息對應(yīng)的多個(gè)攻擊源中的各個(gè)攻擊源攻擊的端口的數(shù)量��;
[0042] 第二生成單元����,用于按照各個(gè)攻擊源攻擊的端口的數(shù)量的由大到小的順序,對各 個(gè)攻擊源進(jìn)行排序�����。
[0043] 結(jié)合第二方面����,在第H種可能的實(shí)現(xiàn)方式中���,進(jìn)一步包括:
[0044] 第一信息采集模塊,用于在對所述攻擊源進(jìn)行排序之前��,確定每一個(gè)攻擊源的威 脅信息:其中�,所述威脅信息包括:所述一個(gè)攻擊源進(jìn)行攻擊的持續(xù)時(shí)間、來自所述一個(gè) 攻擊源的數(shù)據(jù)量�����、被所述一個(gè)攻擊源攻擊的子網(wǎng)數(shù)量和被所述一個(gè)攻擊源攻擊的端口數(shù) 量�;
[0045] 第一攻擊源評估模塊,用于根據(jù)每一個(gè)攻擊源的威脅信息獲取每一個(gè)攻擊源的威 脅值���;
[0046] 所述分析模塊還包括第H生成單元�,用于利用所述報(bào)警信息�����,按照各個(gè)攻擊源的 威脅值由大到小的順序����,對各個(gè)攻擊源進(jìn)行排序,并將排序結(jié)果作為黑名單�����。
[0047] 結(jié)合第二方面的第H種可能的實(shí)現(xiàn)方式�,在第四種可能的實(shí)現(xiàn)方式中,還包括:
[0048] 關(guān)聯(lián)模塊���,用于在對所述攻擊源進(jìn)行排序之前�,根據(jù)rs=[(l-awri-l] ?b%確定每 一個(gè)攻擊源與所有被攻擊的子網(wǎng)之間的關(guān)聯(lián)值��,rs表示一個(gè)攻擊源與所有被攻擊的子網(wǎng)之 間的關(guān)聯(lián)值���,bs表示該一個(gè)攻擊源與所有被攻擊的子網(wǎng)之間的攻擊關(guān)系的布爾向量���,S表示 該一個(gè)攻擊源的