黑名单采集管理方法、装置、计算机设备及存储介质与流程
本发明涉及网络安全技术领域,尤其涉及一种黑名单采集管理方法、装置、计算机设备及存储介质。
背景技术:
互联网技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网与生俱有的开放性、交互性和分散性特征,产生了许多安全问题,如网络攻击、信息窃取等。
其中比较常见的有攻击者控制某些主机不停地发送大量数据包给对方服务器造成目标服务器资源耗尽的ddos攻击、利用操作系统/数据库漏洞进行特定服务渗透的数据窃取等。现有技术中,被攻击者一般只有在攻击实施时才能监控/发现攻击者的行为,其应对措施是延缓滞后的。可见,如何提前发现/识别攻击者,以避免其攻击行是本领域技术人员亟需解决的技术问题。
技术实现要素:
本发明实施例提供了一种黑名单采集管理方法、装置、计算机设备及存储介质,旨在解决现有技术中无法提前发现/识别恶意攻击者的问题。
第一方面,本发明实施例提供了一种黑名单采集管理方法,其包括:
分别获取多个采集节点采集到的攻击数据,其中,每一所述采集结点至少伪装一服务;
根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期;
在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中;
判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip;
若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,并设定所述再次攻击ip的封禁期,其中,所述再次攻击ip的封禁期大于所述攻击ip的封禁期。
第二方面,本发明实施例还提供了一种黑名单采集管理装置,其包括:
第一获取单元,用于分别获取多个采集节点采集到的攻击数据,其中,每一所述采集结点至少伪装一服务;
确定单元,用于根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期;
添加单元,用于在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中;
第一判断单元,用于判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip;
延长单元,用于若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,设定所述再次攻击ip的封禁期,其中,所述再次攻击ip的封禁期大于所述攻击ip的封禁期。
第三方面,本发明实施例还提供了一种计算机设备,其包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时可实现上述方法。
本发明实施例的技术方案,分别获取多个采集节点采集到的攻击数据;根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期;在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中;判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip;若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,并设定所述再次攻击ip的封禁期,从而能够提前识别拟定封禁的攻击ip,提前对攻击ip的攻击行为进行防御,避免陷入被动防御状态,极大地提高了网络的安全性。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种黑名单采集管理方法的流程示意图;
图2为本发明实施例提供的一种黑名单采集管理方法的子流程示意图;
图3为本发明实施例提供的一种黑名单采集管理装置的示意性框图;
图4为本发明实施例提供的一种黑名单采集管理装置的第一获取单元的示意性框图;
图5为本发明实施例提供的一种黑名单采集管理装置的确定单元的示意性框图;
图6为本发明实施例提供的一种计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
请参阅图1,图1是本发明实施例提供的黑名单采集管理方法的流程示意图。如图所示,该方法包括以下步骤s1-s5。
s1,分别获取多个采集节点采集到的攻击数据。其中,每一所述采集结点至少伪装一服务。
具体实施中,预先设置多个采集节点,每一所述采集结点至少伪装一服务。采集结点的服务是伪装的,其后端的服务是不存在的,其设立的目的是为了吸引攻击者对其进行攻击,正常的用户不会去访问采集节点的。首先,服务器分别获取多个采集节点采集到的攻击数据。
在一实施例中,所述服务包括windows远程桌面服务、mysql数据库服务、oracle数据库服务以及sqlserver数据库服务。例如,一采集节点伪装windows远程桌面服务、一采集节点伪装mysql数据库服务、一采集节点伪装oracle数据库服务、一采集节点伪装sqlserver数据库服务。
在一实施例中,各所述采集节点均通过配置nginx的tcp代理来实现伪装服务。
nginx(enginex)是一个高性能的http和反向代理web服务器,同时也提供了imap/pop3/smtp服务。
以上步骤s1具体包括:分别获取多个所述采集节点的nginx的error日志。攻击数据存在于各所述采集节点的nginx的error日志。
s2,根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期。
具体实施中,根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期。禁止所述黑名单库中的攻击ip访问正常的服务。需要说明的是,攻击ip的封禁期可由本领域技术人员进行设定,例如,在一实施例中,设定攻击ip的封禁期为1周。
参见图2,在一实施例中,以上步骤s2具体包括如下步骤:
s21,分别对多个所述采集节点的nginx的error日志以获取攻击各采集节点的主机ip,以及所述主机ip的攻击时间和攻击次数。
具体实施中,分别对多个所述采集节点的nginx的error日志以获取攻击各采集节点的主机ip,以及所述主机ip的攻击时间和攻击次数。
s22,判断所述主机ip的攻击次数是否大于预设的次数阈值。
具体实施中,判断所述主机ip的攻击次数是否大于预设的次数阈值。
s23,若所述主机ip的攻击次数大于预设的次数阈值,判定所述主机ip为攻击ip。
具体实施中,若所述主机ip的攻击次数大于预设的次数阈值,判定所述主机ip为攻击ip。
若所述主机ip的攻击次数不大于预设的次数阈值,判定所述主机ip不是攻击ip,并继续观察所述主机ip的行为。
再通过ip地址查询功能,分析得到攻击ip的地理位置、网络服务商等进一步信息。将以上采集到的攻击ip信息存入后台数据库,并对ip的采集节点、攻击次数、攻击服务、攻击频率等进行综合分析。
s3,在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中。
具体实施中,在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中。并实时监控所述观察名单库中各所述攻击ip的的行为。
s4,判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip。
具体实施中,判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip。
s5,若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,并设定所述再次攻击ip的封禁期。其中,所述再次攻击ip的封禁期大于所述攻击ip的封禁期。
具体实施中,如果所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,并设定所述再次攻击ip的封禁期,其中,所述再次攻击ip的封禁期大于所述攻击ip的封禁期。例如,在一实施例中,设定所述再次攻击ip的封禁期为1个月。
本发明实施例的技术方案,分别获取多个采集节点采集到的攻击数据;根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期;在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中;判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip;若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,并设定所述再次攻击ip的封禁期,从而能够提前识别拟定封禁的攻击ip,提前对攻击ip的攻击行为进行防御,避免陷入被动防御状态,极大地提高了网络的安全性。
图3是本发明实施例提供的一种黑名单采集管理装置70的示意性框图。如图3所示,对应于以上黑名单采集管理方法,本发明还提供一种黑名单采集管理装置70。该黑名单采集管理装置70包括用于执行上述黑名单采集管理方法的单元,该装置70可以被配置于服务器中。具体地,请参阅图3,该黑名单采集管理装置70包括第一获取单元71、确定单元72、添加单元73、第一判断单元74以及延长单元75。
第一获取单元71,用于分别获取多个采集节点采集到的攻击数据,其中,每一所述采集结点至少伪装一服务。
确定单元72,用于根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期。
添加单元73,用于在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中。
第一判断单元74,用于判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip。
延长单元75,用于若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,设定所述再次攻击ip的封禁期,其中,所述再次攻击ip的封禁期大于所述攻击ip的封禁期。
在一实施例中,各所述采集节点均通过配置nginx的tcp代理来实现伪装服务,如图4所示,所述第一获取单元71包括第二获取单元711。
第二获取单元711,用于分别获取多个所述采集节点的nginx的error日志。
在一实施例中,如图5所示,所述确定单元72包括解析单元721、第二判断单元722以及判定单元723。
解析单元721,用于分别对多个所述采集节点的nginx的error日志以获取攻击各采集节点的主机ip,以及所述主机ip的攻击时间和攻击次数。
第二判断单元722,用于判断所述主机ip的攻击次数是否大于预设的次数阈值。
判定单元723,用于若所述主机ip的攻击次数大于预设的次数阈值,判定所述主机ip为攻击ip。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述黑名单采集管理装置70和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述黑名单采集管理装置可以实现为一种计算机程序的形式,该计算机程序可以在如图6所示的计算机设备上运行。
请参阅图6,图6是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是终端,也可以是服务器,其中,终端可以是智能手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等具有通信功能的电子设备。服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图6,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行一种黑名单采集管理方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种黑名单采集管理方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
分别获取多个采集节点采集到的攻击数据,其中,每一所述采集结点至少伪装一服务;
根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期;
在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中;
判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip;
若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,并设定所述再次攻击ip的封禁期,其中,所述再次攻击ip的封禁期大于所述攻击ip的封禁期。
在一实施例中,各所述采集节点均通过配置nginx的tcp代理来实现伪装服务,处理器502在实现所述分别获取多个采集节点采集到的攻击数据步骤时,具体实现如下步骤:
分别获取多个所述采集节点的nginx的error日志。
在一实施例中,处理器502在实现所述根据所述攻击数据确定攻击ip步骤时,具体实现如下步骤:
分别对多个所述采集节点的nginx的error日志以获取攻击各采集节点的主机ip,以及所述主机ip的攻击时间和攻击次数;
判断所述主机ip的攻击次数是否大于预设的次数阈值;
若所述主机ip的攻击次数大于预设的次数阈值,判定所述主机ip为攻击ip。
应当理解,在本申请实施例中,处理器502可以是中央处理单元(centralprocessingunit,cpu),该处理器502还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现成可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该计算机程序被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序。该计算机程序被处理器执行时使处理器执行如下步骤:
分别获取多个采集节点采集到的攻击数据,其中,每一所述采集结点至少伪装一服务;
根据所述攻击数据确定攻击ip,将所述攻击ip加入到预设的黑名单库中,并设定所述攻击ip的封禁期;
在所述攻击ip的封禁期到期后,将所述攻击ip加入到预设的观察名单库中;
判断所述观察名单库中是否存在攻击所述采集结点的再次攻击ip;
若所述观察名单库中存在攻击所述采集结点的再次攻击ip,将所述再次攻击ip加入到所述黑名单库中,并设定所述再次攻击ip的封禁期,其中,所述再次攻击ip的封禁期大于所述攻击ip的封禁期。
在一实施例中,各所述采集节点均通过配置nginx的tcp代理来实现伪装服务,所述处理器在执行所述计算机程序而实现所述分别获取多个采集节点采集到的攻击数据步骤时,具体实现如下步骤:
分别获取多个所述采集节点的nginx的error日志。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据所述攻击数据确定攻击ip步骤时,具体实现如下步骤:
分别对多个所述采集节点的nginx的error日志以获取攻击各采集节点的主机ip,以及所述主机ip的攻击时间和攻击次数;
判断所述主机ip的攻击次数是否大于预设的次数阈值;
若所述主机ip的攻击次数大于预设的次数阈值,判定所述主机ip为攻击ip。
所述存储介质可以是u盘、移动硬盘、只读存储器(read-onlymemory,rom)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,尚且本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!