2. 专利查询
  3. 一种基于IP价值评价的弹性安全防护方法及系统与流程

一种基于IP价值评价的弹性安全防护方法及系统与流程

专利查询2023-9-29  102

一种基于ip价值评价的弹性安全防护方法及系统
技术领域
1.本发明涉及网络安全防护技术领域,尤其涉及一种基于ip价值评价的弹性安全防护方法及系统。


背景技术:

2.随着越来越多的服务依赖于互联网提供,网络安全防护的重要性也愈发突出。
3.检测识别可疑访问,并对可疑访问进行访问控制是一种常用的网络安全防护手段。现有技术中,访问控制主要根据疑似攻击者的特征来进行安全防护,如攻击频率、攻击时间段、攻击目标等,计算出对应ip的信誉度,然后根据ip信誉度的值进行安全控制、封禁处理,或者直接根据攻击特征封禁对应ip。
4.这种基于攻击者的攻击特征进行防护的方法能够较有效的保护网络安全不受到常见攻击的侵害,但是基于攻击特征防护存在高误报、高误封禁ip;同时,如果被封禁的ip是nat出口或者基站网关地址,那将导致大量用户暂时无法访问,不仅影响用户体验,还将造成相关组织业务损失。
5.另一方面,攻击者也可能利用当前安全防护特征进行针对性攻击,即使攻击不成功,也会由于网络防护启动导致大量ip被封,特别是现有技术无法分辨ip所代表的价值或重要级别,会进行无差别的封禁,造成重大损失。


技术实现要素:

6.为解决现有技术的不足,本发明提出一种基于ip价值评价的弹性安全防护方法及系统,通过建立基于客户ip价值评分的防护策略,解决高误报、高误封禁ip问题,同时对ip进行分级安全保护;不同于现有技术根据攻击者的特征进行安全防护,是一种从用户特征的角度来进行安全防护的方法,当安全服务检测到攻击时,通过查询ip价值评分表,进行分级的安全策略保护。
7.为实现以上目的,本发明所采用的技术方案包括:
8.一种基于ip价值评价的弹性安全防护方法,其特征在于,包括:
9.设定一个或多个ip价值分界点和对应ip价值分界点的一个或多个防护执行手段;
10.对检测到的疑似攻击行为记录攻击者ip和攻击时间;
11.查询获取攻击者ip的ip价值;
12.判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段。
13.进一步地,所述查询获取攻击者ip的ip价值包括:
14.获取攻击者ip对应的评价数据,所述评价数据包括对应该ip的消费记录信息、访问人数信息、访问次数信息、既往攻击记录信息;
15.将评价数据带入评分计算模型计算得到攻击者ip的ip价值,所述评分计算模型如式i所示,
16.v(ipi)=λ
i1ci

i2
pi+λ
i3ni-λ
i4ai
ꢀꢀ
式i
17.其中,v(ipi)代表基于第i个ip的ip价值,λ
ij
代表基于第i个ip第j个权重系数,ci代表基于第i个ip的消费记录信息对应的消费金额,pi代表基于第i个ip的访问人数信息,ni代表基于第i个ip的访问次数信息,ai代表基于第i个ip的既往攻击记录信息;
18.当基于第i个ip的既往攻击记录信息不存在攻击记录时ai取值为0,当基于第i个ip的既往攻击记录信息存在攻击记录时ai取值为1。
19.进一步地,所述查询获取攻击者ip的ip价值包括:
20.根据业务数据库,获取所有ip以及对应各ip的评价数据;
21.将评价数据带入评分计算模型计算分别得到各ip的ip价值,获得ip价值表;
22.在ip价值表中查询获取攻击者ip的ip价值。
23.进一步地,所述判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段包括:
24.使用与攻击者ip的ip价值最接近的较大ip价值分界点作为匹配的ip价值分界点。
25.进一步地,所述防护执行手段包括指定时间段内增加图形验证码操作和指定时间段内封禁ip。
26.进一步地,所述判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段还包括:
27.判断疑似攻击行为是否属于web攻击;
28.当判断疑似攻击行为属于web攻击时,选择使用指定时间段内增加图形验证码操作的防护执行手段;
29.当判断疑似攻击行为不属于web攻击时,选择使用指定时间段内封禁ip的防护执行手段。
30.进一步地,所述判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段还包括:
31.根据业务数据库,获取攻击者ip对应的访问时间段数据;
32.判断疑似攻击行为的攻击时间是否处于对应的访问时间段内;
33.当判断疑似攻击行为的攻击时间处于对应的访问时间段内时,选择使用指定时间段内增加图形验证码操作的防护执行手段;
34.当判断疑似攻击行为的攻击时间不处于对应的访问时间段内时,选择使用指定时间段内封禁ip的防护执行手段。
35.本发明还涉及一种基于ip价值评价的弹性安全防护系统,其特征在于,包括:
36.安全防护模块,用于检测疑似攻击行为并记录攻击者ip和攻击时间;
37.ip价值模块,用于查询获取攻击者ip的ip价值;
38.防护执行模块,用于根据ip价值与ip价值分界点的匹配结果执行对应匹配的ip价值分界点的防护执行手段。
39.本发明还涉及一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
40.本发明还涉及一种电子设备,其特征在于,包括处理器和存储器;
41.所述存储器,用于存储ip价值;
42.所述处理器,用于通过调用ip价值,执行上述的方法。
43.本发明的有益效果为:
44.采用本发明所述基于ip价值评价的弹性安全防护方法及系统,是一种充分考量了ip对于系统运行价值的安全防护体系,能够有针对性的处理不同价值下ip的攻击行为,同时最大程度保证安全防护手段的执行对系统运行及具有较大价值ip的影响最小,区别于现有技术完全从攻击一方角度进行安全防护的策略,将正常用户的使用体验也纳入到了系统安全防护的执行过程决策流程下,从而使安全防护手段能够根据ip价值弹性执行,解决了高误报、高误封禁ip的问题,有效的提升了用户体验。
附图说明
45.图1为本发明基于ip价值评价的弹性安全防护方法流程示意图。
46.图2为本发明基于ip价值评价的弹性安全防护系统结构示意图。
具体实施方式
47.为了更清楚的理解本发明的内容,将结合附图和实施例详细说明。
48.本发明第一方面涉及一种基于ip价值评价的弹性安全防护方法,流程如图1所示,包括:
49.设定一个或多个ip价值分界点和对应ip价值分界点的一个或多个防护执行手段;
50.对检测到的疑似攻击行为记录攻击者ip和攻击时间;
51.查询获取攻击者ip的ip价值;
52.判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段。
53.在具体执行的过程中,优选的可以采用将系统业务相关所有ip预先建立ip价值表的方式简化安全防护方法的执行方式,具体包括:
54.根据业务数据库,获取所有ip以及对应各ip的评价数据,包括对应该ip的消费记录信息、访问人数信息、访问次数信息、既往攻击记录信息;
55.将评价数据带入评分计算模型计算分别得到各ip的ip价值,获得ip价值表,所述评分计算模型如式i所示,
56.v(ipi)=λ
i1ci

i2
pi+λ
i3ni-λ
i4ai
ꢀꢀ
式i
57.其中,v(ipi)代表基于第i个ip的ip价值,λ
ij
代表基于第i个ip第j个权重系数,ci代表基于第i个ip的消费记录信息对应的消费金额,pi代表基于第i个ip的访问人数信息,ni代表基于第i个ip的访问次数信息,ai代表基于第i个ip的既往攻击记录信息;
58.当基于第i个ip的既往攻击记录信息不存在攻击记录时ai取值为0,当基于第i个ip的既往攻击记录信息存在攻击记录时ai取值为1;
59.在ip价值表中查询获取攻击者ip的ip价值。
60.获得攻击者ip的ip价值后,既可以根据ip价值匹配设定的ip价值分界点,从而确定需要执行的防护执行手段,从而使安全防护的执行能够体现出与ip价值的相关性。
61.优选的,还可以通过ip攻击是否属于web攻击以及攻击时间是否处于攻击者ip对应的访问时间段数据进一步细化需要执行的防护执行手段,例如:当判断疑似攻击行为属
于web攻击时,选择使用指定时间段内增加图形验证码操作的防护执行手段;当判断疑似攻击行为不属于web攻击时,选择使用指定时间段内封禁ip的防护执行手段。以及,当判断疑似攻击行为的攻击时间处于对应的访问时间段内时,选择使用指定时间段内增加图形验证码操作的防护执行手段;当判断疑似攻击行为的攻击时间不处于对应的访问时间段内时,选择使用指定时间段内封禁ip的防护执行手段。
62.可供选择的防护执行手段可以根据实际需要进行配置,例如还可以包括发送预警信息给运维人员人工处理等方式。在本发明方法的一种具体实施例中,可以采取的防护执行手段包括以下部分:
63.当判断攻击时间不在访问时间段范围内,且攻击属于web攻击时采用的防护执行手段:
64.(1)ip价值小于第一ip价值分界点(10)分时,使用指定时间段内增加图形验证码操作让攻击者的自动攻击失效,同时设定采用图形验证码的指定时间段为第一时间段(6小时);
65.(2)当ip价值大于第一ip价值分界点(10)分小于第二ip价值分界点(50)分时,使用指定时间段内增加图形验证码操作让攻击者的自动攻击失效,同时设定采用图形验证码的指定时间段为第二时间段(30分钟);
66.(3)当受攻击的ip价值大于第二ip价值分界点(50)分时,向信息安全人员发送预警信息,信息安全人员直接介入分析,对系统无影响的扫描,判断攻击是否对系统产生影响;对于有影响的攻击,修复漏洞,或者设定采用图形验证码的指定时间段为第三时间段(1分钟及以内)。
67.当判断攻击时间不在访问时间段范围内,且攻击不属于web攻击时采用的防护执行手段:
68.(4)ip价值小于第一ip价值分界点(10)分时,使用指定时间段内封禁ip的操作,封禁时间为第一时间段(6小时);
69.(5)当ip价值大于第一ip价值分界点(10)分小于第二ip价值分界点(50)分时,使用指定时间段内封禁ip的操作,封禁时间为第二时间段(30分钟);
70.(6)当受攻击的ip价值大于第二ip价值分界点(50)分时,向信息安全人员发送预警信息,信息安全人员直接介入分析,对系统无影响的扫描;对于有影响的攻击,修复漏洞,或者设定封禁ip时间为第三时间段(1分钟及以内)。
71.类似的,对于判断攻击时间在访问时间段范围内的情况,也可以根据需要选择适当的防护执行手段以及执行的时间段长短。
72.本发明另一方面涉及一种结构如图2所示的基于ip价值评价的弹性安全防护系统,包括:
73.安全防护模块,用于检测疑似攻击行为并记录攻击者ip和攻击时间;
74.ip价值模块,用于查询获取攻击者ip的ip价值;
75.防护执行模块,用于根据ip价值与ip价值分界点的匹配结果执行对应匹配的ip价值分界点的防护执行手段。
76.优选的,防护执行模块还可以用于收集安全防护日志并根据设置针对性的提供警告信息。系统中的数据存储部分优选的存储有ip价值表,以及进一步优选的保存有对应各
ip的访问时间段数据,用于弹性选择防护执行手段时匹配判断使用。
77.使用该系统可以用于实现上述方法的执行。
78.以上所述仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换等都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。

技术特征:
1.一种基于ip价值评价的弹性安全防护方法,其特征在于,包括:设定一个或多个ip价值分界点和对应ip价值分界点的一个或多个防护执行手段;对检测到的疑似攻击行为记录攻击者ip和攻击时间;查询获取攻击者ip的ip价值;判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段。2.如权利要求1所述的方法,其特征在于,所述查询获取攻击者ip的ip价值包括:获取攻击者ip对应的评价数据,所述评价数据包括对应该ip的消费记录信息、访问人数信息、访问次数信息、既往攻击记录信息;将评价数据带入评分计算模型计算得到攻击者ip的ip价值,所述评分计算模型如式i所示,v(ip
i
)=λ
i1
c
i

i2
p
i

i3
n
i-λ
i4
a
i
ꢀꢀꢀꢀ
式i其中,v(ip
i
)代表基于第i个ip的ip价值,λ
ij
代表基于第i个ip第j个权重系数,c
i
代表基于第i个ip的消费记录信息对应的消费金额,p
i
代表基于第i个ip的访问人数信息,n
i
代表基于第i个ip的访问次数信息,a
i
代表基于第i个ip的既往攻击记录信息;当基于第i个ip的既往攻击记录信息不存在攻击记录时a
i
取值为0,当基于第i个ip的既往攻击记录信息存在攻击记录时a
i
取值为1。3.如权利要求2所述的方法,其特征在于,所述查询获取攻击者ip的ip价值包括:根据业务数据库,获取所有ip以及对应各ip的评价数据;将评价数据带入评分计算模型计算分别得到各ip的ip价值,获得ip价值表;在ip价值表中查询获取攻击者ip的ip价值。4.如权利要求1所述的方法,其特征在于,所述判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段包括:使用与攻击者ip的ip价值最接近的较大ip价值分界点作为匹配的ip价值分界点。5.如权利要求4所述的方法,其特征在于,所述防护执行手段包括指定时间段内增加图形验证码操作和指定时间段内封禁ip。6.如权利要求5所述的方法,其特征在于,所述判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段还包括:判断疑似攻击行为是否属于web攻击;当判断疑似攻击行为属于web攻击时,选择使用指定时间段内增加图形验证码操作的防护执行手段;当判断疑似攻击行为不属于web攻击时,选择使用指定时间段内封禁ip的防护执行手段。7.如权利要求5所述的方法,其特征在于,所述判断与攻击者ip的ip价值所匹配的ip价值分界点,执行对应匹配的ip价值分界点的防护执行手段还包括:根据业务数据库,获取攻击者ip对应的访问时间段数据;判断疑似攻击行为的攻击时间是否处于对应的访问时间段内;当判断疑似攻击行为的攻击时间处于对应的访问时间段内时,选择使用指定时间段内增加图形验证码操作的防护执行手段;
当判断疑似攻击行为的攻击时间不处于对应的访问时间段内时,选择使用指定时间段内封禁ip的防护执行手段。8.一种基于ip价值评价的弹性安全防护系统,其特征在于,包括:安全防护模块,用于检测疑似攻击行为并记录攻击者ip和攻击时间;ip价值模块,用于查询获取攻击者ip的ip价值;防护执行模块,用于根据ip价值与ip价值分界点的匹配结果执行对应匹配的ip价值分界点的防护执行手段。9.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法。10.一种电子设备,其特征在于,包括处理器和存储器;所述存储器,用于存储ip价值;所述处理器,用于通过调用ip价值,执行权利要求1至7中任一项所述的方法。

技术总结
本发明涉及一种基于IP价值评价的弹性安全防护方法及系统,通过判断与攻击者IP的IP价值所匹配的IP价值分界点,执行对应匹配的IP价值分界点的防护执行手段,建立基于客户IP价值评分的防护策略,解决高误报、高误封禁IP问题,同时对IP进行分级安全保护;不同于现有技术根据攻击者的特征进行安全防护,是一种从用户特征的角度来进行安全防护的方法,当安全服务检测到攻击时,通过查询IP价值评分表,进行分级的安全策略保护。的安全策略保护。的安全策略保护。


技术研发人员:谭杰
受保护的技术使用者:中信银行股份有限公司
技术研发日:2021.12.07
技术公布日:2022/3/8

专利

最新回复(0)