一种攻击阻断方法及相关装置与流程

本技术涉及网络安全，尤其涉及一种攻击阻断方法及相关装置。

背景技术：

1、近年来，网络安全问题日益突出，攻击者使用各种手段进行网络攻击，致使网络安全事件层出不穷。为了保证网络的安全性，企业单位一般都会选择在网络出口部署防火墙来阻止外部攻击。防火墙通过对网络报文进行检测，匹配攻击行为特征，并在发现内部网络遭到攻击后直接丢弃报文，从而阻断外部攻击者和内部设备之间的通信，达到保护内部网络的目的。

2、由于防火墙部署于网络出口处，因此防火墙通常只能阻断内部网络与外部网络之间的网络报文，而无法阻断网络内部被成功入侵的设备向其他设备发起的横向攻击报文。因此，相关技术中在内部网络中靠近终端设备的交换机上发送访问黑名单，以阻断外部网络和内部网络的攻击源向终端设备发送的攻击报文。

3、然而，由于内部网络中通常包括多个靠近终端设备的交换机，相关技术中需要在靠近终端设备的各个交换机上部署相同的访问黑名单来阻断攻击报文，从而导致交换机的存储资源和处理资源开销较大。

技术实现思路

1、本技术提供了一种攻击阻断方法，在保证阻断多条攻击路径的情况下，由包括最少网络设备的目标阻断组来实现攻击报文的阻断，能够在实现防护效果最大化的同时，尽可能地节省网络设备中存储资源和处理资源的开销。

2、本技术第一方面提供一种攻击阻断方法，可以应用于控制设备或云端防护系统中的云端设备。云端设备获取多条攻击路径，根据多条攻击路径确定第一目标阻断组，并向第一目标阻断组中的网络设备发送报文阻断策略，以使得第一目标阻断组中的各个网络设备能够根据所发送的报文阻断策略阻断与攻击源相关的攻击报文。该多条攻击路径为攻击报文的转发路径，且多条攻击路径具有相同的攻击源。即，云端设备所获取到的多条攻击路径的起点是相同的，且不同攻击路径上的网络设备或终点是不相同的。第一目标阻断组为多个阻断组中包括最少数量的网络设备的阻断组。该多个阻断组中的每个阻断组均包括至少一个网络设备，且每个阻断组中的网络设备用于阻断多条攻击路径上的攻击报文。对于多个阻断组中的任意一个阻断组，多条攻击路径中的每条攻击路径必然包括该阻断组中的网络设备，因此基于阻断组中的所有网络设备则能够实现阻断多条攻击路径上的攻击报文。

3、本方案中，云端设备通过获取多条具有相同攻击源的攻击路径，确定包括一个或多个网络设备的目标阻断组，该目标阻断组是所有能够阻断多条攻击路径的阻断组中包括最少数量网络设备的阻断组。并且，云端设备通过向目标阻断组中的网络设备发送报文阻断策略，实现阻断多条攻击路径上的攻击报文。在保证阻断多条攻击路径的情况下，由包括最少网络设备的目标阻断组来实现攻击报文的阻断，能够以占用最少资源的代价来实现防护效果最大化，从而尽可能地节省网络设备中存储资源和处理资源的开销。

4、可选的，第一目标阻断组中包括一个网络设备，云端设备所获取到的多条攻击路径上均包括第一目标阻断组中的网络设备。在这种情况下，网络中存在同一个网络设备位于所有的攻击路径上，因此，基于多条攻击路径上的同一个网络设备即能够实现阻断所有攻击路径上的攻击报文，可以更多地节省网络设备中存储资源和处理资源的开销。

5、可选的，第一目标阻断组中包括多个网络设备，该多个网络设备中的每个网络设备位于多条攻击路径的部分攻击路径上，且多条攻击路径中的每条攻击路径上均包括第一目标阻断组中的至少一个网络设备。也就是说，多条攻击路径上没有包括同一个网络设备，第一目标阻断组中的多个网络设备共同配合，以实现阻断所有攻击路径上的攻击报文。

6、可选的，云端设备根据多条攻击路径确定第一目标阻断组的过程，具体包括：云端设备根据多条攻击路径确定多个候选阻断组，并根据预置策略在多个候选阻断组中确定第一目标阻断组。该多个候选阻断组均为多个阻断组中包括最少数量的网络设备的阻断组。

7、可选的，预置策略包括以下策略中的一种或多种：近攻击源策略、近攻击目标策略、资源对比策略和随机策略。其中，近攻击源策略用于在多个候选阻断组中选择距离攻击源最近的阻断组，近攻击目标策略用于在多个候选阻断组中选择距离攻击目标最近的阻断组，资源对比策略用于在多个候选阻断组中选择拥有最多阻断资源的阻断组。阻断资源为网络设备中用于存储报文阻断策略的空闲存储空间。

8、本方案中，在出现多个满足要求的候选阻断组的情况下，云端设备基于预置策略在多个候选阻断组进一步选择最终的目标候选阻断组，从而能够在节省网络设备的存储资源的情况下，尽可能满足网络的其他需求。

9、可选的，在云端设备向第一目标阻断组中的网络设备发送报文阻断策略之后，云端设备获取新增的攻击路径，根据新增的攻击路径和多条攻击路径确定第二目标阻断组，并向第一目标网络设备发送报文阻断策略，该第一目标网络设备包括在第二目标阻断组中且未包括在第一目标阻断组中。

10、新增的攻击路径与云端设备之前所获取的多条攻击路径具有相同的攻击源。第二目标阻断组为多个新的阻断组中包括最少数量的网络设备的阻断组，该多个新的阻断组中的每个阻断组用于阻断新增的攻击路径和多条攻击路径上的攻击报文。也就是说，第二目标阻断组是云端设备根据旧的多条攻击路径和新增的攻击路径重新确定得到的阻断组，第二目标阻断组中的网络设备能够实现同时阻断旧的多条攻击路径和新增的攻击路径上的攻击报文。

11、本方案中，云端设备通过实时针对新增的攻击路径和旧的攻击路径确定新的阻断组，能够在网络运行过程中根据攻击事件的变化对阻断攻击报文的网络设备进行适应性调整，保证网络的防护效果。

12、可选的，在云端设备确定第二目标阻断组之后，云端设备向第二目标网络设备发送第一指令。第一指令用于指示第二目标网络设备删除报文阻断策略。该第二目标网络设备包括在第一目标阻断组中且未包括在第二目标阻断组中。

13、本方案中，由于第二目标网络设备不需要再对与攻击源相关的报文进行阻断，因此云端设备向第二目标网络设备指示删除报文阻断策略，以节省第二目标网络设备上的存储资源。

14、可选的，响应于所获取到的多条攻击路径对应的攻击状态为正在攻击，云端设备向第一目标阻断组中的网络设备发送访问控制列表(access control lists，acl)，该acl用于阻断来自于攻击源的报文。

15、本方案中，基于acl，第一目标阻断组中的网络设备能够对来自于攻击源的报文进行拦截，从而限制攻击源对内部网络中的终端设备的访问，保证内部网络中的终端设备免受攻击源的攻击。

16、可选的，响应于所获取到的多条攻击路径对应的攻击状态为攻击成功，云端设备向第一目标阻断组中的网络设备发送黑洞路由，该黑洞路由用于阻断目的地址为攻击源的报文。

17、本方案中，在攻击源成功攻击内部网络的终端设备的情况下，通过向第一目标阻断组中的网络设备发送黑洞路由，能够有效拦截从内部网络发往攻击源的报文，从而避免攻击造成的密钥、用户密码等隐私信息的泄漏。

18、可选的，云端设备获取多条攻击路径的过程，具体包括：云端设备获取多个威胁事件，该多个威胁事件包括相同的攻击源地址。然后，云端设备根据多个威胁事件中每个威胁事件的源地址和目的地址，确定多条攻击路径。

19、可选的，该多个威胁事件是云端设备根据预置规则从多个告警事件中确定的，该多个告警事件例如为防火墙所上报的告警日志中所指示的事件。

20、本技术第二方面提供一种攻击阻断装置。该装置包括获取模块、处理模块和发送模块。获取模块用于获取多条攻击路径。多条攻击路径为攻击报文的转发路径，多条攻击路径具有相同的攻击源。处理模块用于根据多条攻击路径确定第一目标阻断组。第一目标阻断组为多个阻断组中包括最少数量的网络设备的阻断组。多个阻断组中的每个阻断组均包括至少一个网络设备，且每个阻断组中的网络设备用于阻断多条攻击路径上的攻击报文。发送模块，用于向第一目标阻断组中的网络设备发送报文阻断策略，报文阻断策略用于阻断与攻击源相关的攻击报文。

21、可选的，第一目标阻断组中包括一个网络设备，多条攻击路径上均包括第一目标阻断组中的网络设备。

22、可选的，第一目标阻断组中包括多个网络设备，多个网络设备中的每个网络设备位于多条攻击路径的部分攻击路径上，且多条攻击路径中的每条攻击路径上均包括第一目标阻断组中的至少一个网络设备。

23、可选的，处理模块，具体用于：根据多条攻击路径确定多个候选阻断组，并根据预置策略在多个候选阻断组中确定第一目标阻断组。多个候选阻断组均为多个阻断组中包括最少数量的网络设备的阻断组。

24、可选的，预置策略包括以下策略中的一种或多种：近攻击源策略、近攻击目标策略、资源对比策略和随机策略。其中，近攻击源策略用于在多个候选阻断组中选择距离攻击源最近的阻断组，近攻击目标策略用于在多个候选阻断组中选择距离攻击目标最近的阻断组，资源对比策略用于在多个候选阻断组中选择拥有最多阻断资源的阻断组，阻断资源为网络设备中用于存储报文阻断策略的空闲存储空间。

25、可选的，获取模块还用于获取新增的攻击路径，新增的攻击路径与多条攻击路径具有相同的攻击源。处理模块，还用于根据新增的攻击路径和多条攻击路径，确定第二目标阻断组。第二目标阻断组为多个新的阻断组中包括最少数量的网络设备的阻断组，多个新的阻断组中的每个阻断组用于阻断新增的攻击路径和多条攻击路径上的攻击报文。发送模块，还用于向第一目标网络设备发送报文阻断策略，第一目标网络设备包括在第二目标阻断组中且未包括在第一目标阻断组中。

26、可选的，发送模块还用于向第二目标网络设备发送第一指令。第一指令用于指示第二目标网络设备删除报文阻断策略。第二目标网络设备包括在第一目标阻断组中且未包括在第二目标阻断组中。

27、可选的，发送模块，具体用于响应于多条攻击路径对应的攻击状态为正在攻击，向第一目标阻断组中的网络设备发送acl。acl用于阻断来自于攻击源的报文。

28、可选的，发送模块，具体用于响应于多条攻击路径对应的攻击状态为攻击成功，向第一目标阻断组中的网络设备发送黑洞路由。黑洞路由用于阻断目的地址为攻击源的报文。

29、本技术第三方面提供一种网络设备，包括处理器和存储器。存储器用于存储程序代码，处理器用于调用存储器中的程序代码以使得网络设备执行如第一方面的任意一种实施方式的方法。

30、本技术第四方面提供一种计算机可读存储介质，存储有指令，当指令在计算机上运行时，使得计算机执行如第一方面的任意一种实施方式的方法。

31、本技术第五方面提供一种计算机程序产品，当其在计算机上运行时，使得计算机执行如第一方面的任意一种实施方式的方法。

32、本技术第六方面提供一种芯片，包括一个或多个处理器。处理器中的部分或全部用于读取并执行存储器中存储的计算机指令，以执行上述任一方面任意可能的实施方式中的方法。可选地，芯片还包括存储器。可选地，芯片还包括通信接口，处理器与通信接口连接。通信接口用于接收需要处理的数据和/或信息，处理器从通信接口获取数据和/或信息，并对数据和/或信息进行处理，并通过通信接口输出处理结果。可选地，通信接口是输入输出接口或者总线接口。本技术提供的方法由一个芯片实现，或者由多个芯片协同实现。

33、上述第二方面至第六方面提供的方案，用于实现或配合实现上述第一方面提供的方法，因此能够与第一方面达到相同或相应的有益效果，此处不再进行赘述。