[发明专利]基于行业云黑客攻击识别与封堵方法、系统、装置及介质有效
| 申请号: | 202011565925.2 | 申请日: | 2020-12-25 |
| 公开(公告)号: | CN112565300B | 公开(公告)日: | 2023-04-07 |
| 发明(设计)人: | 陈木春;潘润铿;程伟;赖博林;杨锟;池淑玲;范文剑;廖钧熊 | 申请(专利权)人: | 联通(广东)产业互联网有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 广州嘉权专利商标事务所有限公司 44205 | 代理人: | 谭英强 |
| 地址: | 510000 广东省广州市中新*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 行业 黑客 攻击 识别 封堵 方法 系统 装置 介质 | ||
本发明公开了一种基于行业云黑客攻击识别与封堵方法、系统、装置及存储介质,所述方法包括:采集资源层的关联数据,所述关联数据包括客户资产信息、业务设备信息、安全设备信息和网络设备信息;接收所述关联数据并进行筛选,获取有效数据;根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为,所述威胁情报数据库包括威胁情报IP库和威胁情报事件库;通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击目标进行业务隔离与断开;本发明可以快速确认黑客攻击行为,快速阻断攻击行为,又可以关联业务,对黑客攻击目标进行业务隔离与断开处理;广泛应用于黑客攻击识别技术领域。
技术领域
本发明涉及黑客攻击识别技术领域,尤其是一种基于行业云黑客攻击识别与封堵方法、 系统、装置及存储介质。
背景技术
由于安全设备架构复杂,技术成本高,系统架构通常由多个厂商不同的设备共同构成防 护,需要具备很专业的安全知识,并经过复杂的配置流程才能对云资源进行防护,而且轻易 不敢修改,众多攻击行为却事后知晓,操作困难,效率低下。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明提出一种基于行业 云黑客攻击识别与封堵方法、系统、装置及存储介质。
本发明所采取的技术方案是:
一方面,本发明实施例包括一种基于行业云黑客攻击识别与封堵方法,包括:
采集资源层的关联数据,所述关联数据包括客户资产信息、业务设备信息、安全设备信 息和网络设备信息;
接收所述关联数据并进行筛选,获取有效数据;
根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事 件行为中识别出黑客攻击事件行为,所述威胁情报数据库包括威胁情报IP库和威胁情报事件 库;
通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击目标进行业务隔离与 断开。
进一步地,所述采集资源层的关联数据,具体为:
采集由资源层推送的实时日志数据,所述实时日志数据包括业务资源池日志、安全资源 池日志和网络设备日志;
从所述实时日志数据中获取资源层的关联数据。
进一步地,所述方法还包括:
对所述实时日志数据进行规范化处理,得到安全设备日志和虚机操作系统运行日志,所 述实时日志数据包含若干个设备类型的日志数据;
从所述安全设备日志中提取第一相关字段,所述第一相关字段包括发送时间、事件名称、 源IP、源端口、目标IP、目标端口和风险等级;
从所述虚机操作系统运行日志中提取第二相关字段,所述第二相关字段包括登录事件名 称、登录源IP、登录账号、登录结果、登录时间和登录目标地址。
进一步地,所述根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有 效数据对应的事件行为中识别出黑客攻击事件行为这一步骤,包括以下之一:
检测到所述第一相关字段中的源IP在威胁情报IP库中,将所述第一相关字段对应的事 件行为识别成黑客攻击事件行为;
或者,
检测到所述第二相关字段中的源IP在威胁情报IP库中,将所述第二相关字段对应的事 件行为识别成黑客攻击事件行为;
或者,
检测到所述第一相关字段中事件名称的特征匹配威胁情报事件库的名称特征,将所述第 一相关字段对应的事件行为识别成黑客攻击事件行为;
或者,
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于联通(广东)产业互联网有限公司,未经联通(广东)产业互联网有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011565925.2/2.html,转载请声明来源钻瓜专利网。
