网络攻击状态识别方法、装置、设备及计算机可读存储介质与流程

本发明涉及网络安全技术领域，特别地涉及一种网络攻击状态识别方法、装置、设备及计算机可读存储介质。

背景技术：

在网络受到外部攻击时，在流量引导设备处会生成流量引导策略。随着时间的积累，外部攻击自动生成或人为配置的历史策略不断累积，导致流量引导设备的流表数增加，并且可能超过最大限制。并且有可能将正常流量当做异常流量处理，加大了安全设备的负载。现有的方法是通过人为靠经验删除无效的引流策略，浪费人力和物理，如果策略删除不及时，也会导致其他正常流量的交互。

因此，如何快速识别出网络攻击状态，正确处理异常流量，仍是待解决的技术问题。

技术实现要素：

有鉴于此，本发明提出一种网络攻击状态识别方法、装置、设备及计算机可读存储介质。

本发明第一方面提供的一种网络攻击状态识别方法，包括：解析多个安全设备的网络信息；获取用户配置的安全信息；获取并筛选流量攻击数据，判断攻击状态的标识符是否存在；根据攻击状态的标识符的判断结果，识别当前流量攻击状态。

进一步的，所述安全设备的网络信息包括但不限于安全设备的ip地址、tcp/udp端口信息。

进一步的，所述用户配置的安全信息包括但不限于网络攻击类型、网络攻击网段、是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间。

进一步的，所述攻击状态的标识符的判断方法为：

设置网络攻击状态的标识符，所述网络攻击状态的标识符包括但不限于流量攻击开始标识符、流量攻击中标识符及流量攻击结束标识符；

获取并筛选流量攻击数据；

根据筛选后的流量攻击数据，判断网络攻击状态的标识符是否存在。

进一步的，所述当前流量攻击状态的识别方法为：

若网络攻击状态的标识符存在，则根据筛选出的网络信息，并结合用户配置的安全信息，进行自动下发或删除引导流量策略；

若网络攻击状态的标识符不存在，则提取并分析流量攻击数据的攻击特征，识别当前流量攻击状态。

进一步的，还包括根据识别到的当前流量攻击状态，同步清理已停止的攻击流量的引导流量策略的步骤。

进一步的，还包括将引导流量策略与用户配置的安全信息、当前流量攻击状态进行对比，删除无法找到对应关系的和过期的引导流量策略。

本发明第二方面提供的一种网络攻击状态识别装置，包括：

网络信息解析模块，用于解析多个安全设备的网络信息；

用户配置信息获取模块，用于获取用户配置的安全信息；

攻击状态识别模块，用于获取并筛选流量攻击数据，判断攻击状态的标识符是否存在；根据攻击状态的标识符的判断结果，识别当前流量攻击状态；引流策略处理模块，用于根据用户配置的安全信息和当前流量攻击状态，自动下发或删除相应的引导流量策略。

本发明第三方面提供的一种网络攻击状态识别设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如下步骤：解析多个安全设备的网络信息；获取用户配置的安全信息；获取并筛选流量攻击数据，判断攻击状态的标识符是否存在；根据攻击状态的标识符的判断结果，识别当前流量攻击状态。

本发明第四方面提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行如下步骤：解析多个安全设备的网络信息；获取用户配置的安全信息；获取并筛选流量攻击数据，判断攻击状态的标识符是否存在；根据攻击状态的标识符的判断结果，识别当前流量攻击状态。

上述的网络流量识别方法及装置，能够根据攻击状态的标识符，有效识别出流量攻击状态，并同步清理流量引导设备上已经停止的攻击流量的引导策略，还能根据引导流量策略的特征、自动获取设备上的引流策略同用户的配置的安全信息和当前流量攻击状态进行对比，删除无法找到对应关系的和过期的引导流量策略，实现了自动化管理，减少了人力，更而减轻了流量引导设备的负载。

附图说明

为了说明而非限制的目的，现在将根据本发明的优选实施例、特别是参考附图来描述本发明，其中：

图1是本发明实施例中网络攻击状态识别方法的流程图；

图2是本发明实施例中网络攻击状态识别装置的结构框图；

图3是本发明实施例中网络攻击状态识别设备的结构框图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施例对本发明进行详细描述。需要说明的是，在不冲突的情况下，本发明的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

实施例一

图1是本实施例一提出的网络攻击状态识别方法的流程图。

在本实施例中，所述网络攻击状态识别方法可以应用于计算机装置中，对于需要进行网络攻击状态识别的计算机装置，可以直接在计算机装置上集成本发明的方法所提供的用于网络攻击状态识别的功能，或者以软件开发工具包(softwaredevelopmentkit，sdk)的形式运行在计算机装置上。

如图1所示，所述网络攻击状态识别方法具体包括以下步骤，根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

本实施例中，所述计算机装置可以为个人电脑、服务器、智能电视、便携式电子设备如手机、平板电脑等设备。

步骤s101、所述计算机装置解析多个不同厂商的安全设备的ip地址、tcp/udp端口等网络信息。

所述计算机装置通过分析多个不同厂商的安全设备不同对接方式输出的告警信息和联动信息，筛选解析出安全设备的ip地址、tcp/udp端口等网络信息。

其中，安全设备的对接方式包括syslog、http、api等方式。

步骤s102、所述计算机装置获取用户配置的安全信息。

所述用户配置的安全信息包括网络攻击类型、网络攻击网段和是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间等安全信息。

步骤s103、所述计算机装置获取并筛选流量攻击数据，判断攻击状态的标识符是否存在。

具体地，所述步骤103中所述计算机装置判断攻击状态的标识符是否存在的具体实现方法为：

（1）所述计算机装置设置网络攻击状态的标识符。

所述计算机装置根据不同完全设备的告警信息，将网络流量数据处理统一归结成流量攻击开始、流量攻击中、流量攻击结束三个重要标识符。

其中，流量攻击开始标识符表示所述计算机装置自动下发引流策略至流量引导设备。

其中，流量攻击中标识符表示流量持续攻击中，若用户没有配置自动引流，流量开始攻击时没有即可下发引流策略，则显示恶意流量持续攻击。

其中，流量攻击结束标识符表示所述计算机装置下发引流策略至流量引导设备后，后续告警显示该流量没有攻击了，此时所述计算机装置自动删除先前对流量引导设备下发的引流策略。

所述计算机装置能够根据网络攻击状态的标识符自动下发、删除引流策略，实现了对流量引导设备自动化管理，减少了人力，更减轻了流量引导设备的负载。

（2）所述计算机装置获取流量攻击数据并筛选。

具体地，所述计算机装置获取流量攻击数据，并根据上述用户配置的安全信息对流量攻击数据进行筛选。

（3）所述计算机装置根据筛选后的流量攻击数据，判断网络攻击状态的标识符是否存在。

步骤s104、若网络攻击状态的标识符存在，则所述计算机装置能够根据筛选出的网络信息（ip地址、tcp/udp端口等），并结合用户配置的安全信息，进行自动下发引导流量策略或删除流量引导设备对应的引导流量策略。

当网络攻击状态的标识符存在时，若网络攻击状态的标识符为流量攻击开始标识符，则所述计算机装置自动下发引流策略至流量引导设备。

当网络攻击状态的标识符存在时，若网络攻击状态的标识符为流量攻击中标识符，若用户没有配置自动引流，流量开始攻击时没有即可下发引流策略，则表示恶意流量持续攻击。

当网络攻击状态的标识符存在时，若网络攻击状态的标识符为流量攻击结束标识符，则所述计算机装置下发引流策略至流量引导设备后，后续告警显示该流量没有攻击了，此时所述计算机装置自动删除先前对流量引导设备下发的引流策略。

步骤s105、若网络攻击状态的标识符不存在，则所述计算机装置对流量攻击数据的攻击特征进行分析，识别当前流量攻击状态。

具体地，若网络攻击状态的标识符（流量攻击开始、流量攻击中、流量攻击结束）不存在，则所述计算机装置先提取流量攻击数据的攻击特征，包括，提取出流量攻击数据的攻击特征后，对流量攻击数据的攻击特征进行分析。

其中，流量攻击数据的攻击特征包括攻击时间、攻击时间间隔等。

例如，针对ddos攻击判断未检测到攻击的时间是否超过1小时，则认定当前流量攻击状态为攻击结束。

例如，针对间歇性的网络配置变更引起的环路攻击，则认为前两次攻击间隔时间相同则判断当前流量攻击状态为攻击流量持续中，否则判断当前流量攻击状态为攻击已经停止。

步骤s106、所述计算机装置根据识别到的当前流量攻击状态，同步清理流量引导设备上已经停止的攻击流量的引导流量策略。

步骤s107、所述计算机装置获取设备上的引导流量策略，并将引导流量策略与用户配置的安全信息、当前流量攻击状态进行对比，删除无法找到对应关系的和过期的引导流量策略。

具体地，所述计算机装置删除无法找到对应关系的和过期的引导流量策略的步骤包括：

（1）所述计算机装置获取历史引导流量策略，并对其进行处理，生成日志文件。

所述计算机装置获取历史引导流量策略，按照安全设备的ip地址和日志时间将历史引导流量策略进行分片处理，根据安全设备的日志时间将历史引导流量策略分割成不同的文件，以生成相应的日志文件。

（2）所述计算机装置实时读取生成的日志文件，并解析所读取的日志文件。

（3）所述计算机装置获取设备上的引导流量策略，根据所解析的日志文件以及当前流量攻击状态，自动删除无法找到对应关系的和过期的引导流量策略。

上述的网络流量识别方法，能够根据攻击状态的标识符，有效识别出流量攻击状态，并同步清理流量引导设备上已经停止的攻击流量的引导策略，还能根据引导流量策略的特征、自动获取设备上的引流策略同用户的配置的安全信息和当前流量攻击状态进行对比，删除无法找到对应关系的和过期的引导流量策略，实现了自动化管理，减少了人力，更而减轻了流量引导设备的负载。

实施例二

图2是本发明实施例二提供的网络攻击状态识别装置20的结构框图。

在本实施例中，所述网络攻击状态识别装置20可以应用于计算机装置中，所述网络攻击状态识别装置20可以包括多个由程序代码段所组成的功能模块。所述网络攻击状态识别装置20中的各个程序段的程序代码可以存储于计算机装置的存储器中，并由所述计算机装置的至少一个处理器所执行，以实现(详见图1描述)网络攻击状态识别功能。

本实施例中，所述网络攻击状态识别装置20根据其所执行的功能，可以被划分为多个功能模块。所述功能模块可以包括：网络信息解析模块201、用户配置信息获取模块202、攻击状态识别模块203以及引流策略处理模块204。本发明所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机程序段，其存储在存储器中。在本实施例中，关于各模块的功能将在后续的实施例中详述。

网络信息解析模块201，用于解析多个不同厂商的安全设备的ip地址、tcp/udp端口等网络信息。

用户配置信息获取模块202，用于获取用户配置的安全信息（网络攻击类型、网络攻击网段和是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间等）。

攻击状态识别模块203，用于获取流量攻击数据并筛选，判断攻击状态的标识符（流量攻击开始、流量攻击中、流量攻击结束）是否存在；若网络攻击状态的标识符存在，则所述计算机装置能够根据筛选出的网络信息（ip地址、tcp/udp端口等），并结合用户配置的安全信息，进行自动下发引流策略或删除流量引导设备对应的流量引导策略；若网络攻击状态的标识符不存在，则所述计算机装置对流量攻击数据的攻击特征进行分析，识别当前流量攻击状态。

引流策略处理模块204，用于根据识别到的流量攻击状态，同步清理流量引导设备上已经停止的攻击流量的引导流量策略；获取设备上的引导流量策略，并将引导流量策略与用户配置的安全信息、当前流量攻击状态进行对比，删除无法找到对应关系的和过期的引导流量策略。

相应于上面的方法实施例，参见图3，图3为本发明所提供的网络攻击状态识别设备的示意图，该设备30可以包括：

存储器31，用于存储计算机程序；

处理器32，用于执行上述存储器11存储的计算机程序时可实现如下步骤：

解析多个安全设备的网络信息；获取用户配置的安全信息；获取并筛选流量攻击数据，判断攻击状态的标识符是否存在；根据攻击状态的标识符的判断结果，识别当前流量攻击状态。

对于本发明提供的设备的介绍请参照上述方法实施例，本发明在此不做赘述。

相应于上面的方法实施例，本发明还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如下步骤：

解析多个安全设备的网络信息；获取用户配置的安全信息；获取并筛选流量攻击数据，判断攻击状态的标识符是否存在；根据攻击状态的标识符的判断结果，识别当前流量攻击状态。

该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例，本发明在此不做赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。