一种提高网络安全性的方法及装置的制造方法
【技术领域】
[0001] 本发明涉及网络通信技术领域,尤其涉及一种提高网络安全性的方法及装置。
【背景技术】
[0002] 目前为了提高网络的安全性,需要一个子网中的各个网络设备与网络安全设备之 间实现联动,使得子网在受到攻击时子网中的各个网络设备能够进行协同防御,而为了实 现网络设备与网络安全设备之间联动,网络安全设备的制造商需要提供接口协议,而网络 设备的制造商则可W根据网络安全设备的制造商提供的接口协议开发相应的通信模块,从 而实现网络设备与网络安全设备之间实现联动。
[0003] 但是,对于具有多个子网的网络系统,在一个子网受到攻击源攻击时,只有直接受 到攻击的子网会执行相应的安全策略,因此同一攻击源只需对网络系统中不同的子网进行 相同的攻击,若其中的一个子网防御措施不足或安全性较差,则很容易被攻破,从而降低了 整个网络系统的安全性。
【发明内容】
[0004] 本发明的实施例提供一种提高网络安全性的方法及装置,降低网络系统中除当前 受到攻击的子网外的尚未被攻击的子网被攻破的可能性,从而提高了整个网络系统的安全 性。
[0005] 为达到上述目的,本发明的实施例采用如下技术方案:
[0006] 第一方面,本发明的实施例提供一种提高网络安全性的方法,所述网络包括控制 节点和与所述控制节点具有通信连接的至少两个子网,所述方法包括:
[0007] 所述控制节点获取报警信息;所述报警信息包括对所述至少两个子网中的子网 进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
[0008] 所述控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击 源进行排序,并将排序结果作为黑名单;
[0009] 所述控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击 的子网。
[0010] 结合第一方面,在第一方面的第一种可能的实现方式中,所述利用所述报警信息, 按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
[0011] 利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多 个攻击源中的各个攻击源攻击的子网数量;
[0012] 按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
[0013] 结合第一方面或第一种可能的实现方式,在第二种可能的实现方式中,所述利用 所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
[0014] 利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个 攻击源中的各个攻击源攻击的端口的数量;
[0015] 按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。
[0016] 结合第一方面,在第H种可能的实现方式中,在对所述攻击源进行排序之前,进 一步包括:
[0017] 确定每一个攻击源的威胁信息;其中,所述威胁信息包括;所述一个攻击源进行 攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被 所述一个攻击源攻击的端口数量;
[0018] 根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;
[0019] 相应地,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源 进行排序,并将排序结果作为黑名单,包括:利用所述报警信息,按照各个攻击源的威胁值 由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
[0020] 结合第一方面的第H种可能的实现方式,在第四种可能的实现方式中,在对所述 攻击源进行排序之前,还包括:
[0021] 根据rs=[(l-awri-l] ?!/,确定每一个攻击源与所有被攻击的子网之间的关联值, rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示该一个攻击源与所有被攻击 的子网之间的攻击关系的布尔向量,S表示该一个攻击源的标识,a表示该一个攻击源的威 胁值,I表示单位矩阵,W表示所述攻击源的地址;
[0022] 相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各 个攻击源进行排序,并将排序结果作为黑名单,包括:
[0023] 对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述 子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所 述的子网的危险程度;
[0024] 按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成 对应于所述子网的黑名单。
[0025] 结合第一方面的第四种可能的实现方式,在第五种可能的实现方式中,在对所述 攻击源进行排序之前,还包括:
[0026] 确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、 该一个子网被攻击的端口数量、该一个子网被攻击的持续时间和该一个子网接收到的来自 各个攻击源的数据量之和;
[0027] 根据每一个子网的受害信息获取脆弱程度值;
[0028] 相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各 个攻击源进行排序,并将排序结果作为黑名单包括:
[0029] 对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述 子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子 网的每一个攻击源对于所述的子网的危险程度;
[0030] 按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成 对应于所述子网的黑名单。
[0031] 结合第一方面的各种可能的实现方式,在第六种可能的实现方式中,所述控制节 点获取报警信息包括:
[0032] 所述控制节点从所述子网发送的化enflow异步消息中获取所述报警信息。
[0033] 第二方面,本发明的实施例提供一种提高网络安全性的装置,所述网络包括控制 节点和与所述控制节点具有通信连接的至少两个子网,所述装置包括:
[0034] 报警信息接收模块,用于获取报警信息;所述报警信息包括对所述至少两个子网 中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信 息;
[0035] 分析模块,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击 源进行排序,并将排序结果作为黑名单;
[0036] 发布模块,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击 的子网。
[0037] 结合第二方面,在第二方面的第一种可能的实现方式中,所述分析模块包括:
[0038] 受害子网统计单元,用于利用所述受到攻击的子网的识别信息,确定被与所述攻 击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;
[0039] 第一生成单元,用于按照被攻击的子网数量的由大到小的顺序,对各个攻击源进 行排序。
[0040] 结合第二方面或第一种可能的实现方式,在第二种可能的实现方式中,所述分析 模块包括:
[0041] 受害端口统计单元,用于利用所述受到攻击的子网的识别信息,确定与所述攻击 源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;
[0042] 第二生成单元,用于按照各个攻击源攻击的端口的数量的由大到小的顺序,对各 个攻击源进行排序。
[0043] 结合第二方面,在第H种可能的实现方式中,进一步包括:
[0044] 第一信息采集模块,用于在对所述攻击源进行排序之前,确定每一个攻击源的威 胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个 攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数 量;
[0045] 第一攻击源评估模块,用于根据每一个攻击源的威胁信息获取每一个攻击源的威 胁值;
[0046] 所述分析模块还包括第H生成单元,用于利用所述报警信息,按照各个攻击源的 威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
[0047] 结合第二方面的第H种可能的实现方式,在第四种可能的实现方式中,还包括:
[0048] 关联模块,用于在对所述攻击源进行排序之前,根据rs=[(l-awri-l] ?b%确定每 一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之 间的关联值,bs表示该一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,S表示 该一个攻击源的