本申请一般涉及信息安全,具体涉及一种网络安全防护方法、服务器、安全设备、系统及存储介质。
背景技术:
1、随着网络技术的不断发展,网络攻击事件愈发频繁活跃。通过威胁情报可以为威胁响应、攻击预测和处理决策等主动防御手段提供信息支持,由此来降低网络攻击的影响。
2、然而,相关技术中威胁情报的来源多样,没有统一标准,使得数据过滤困难,影响准确性,同时依赖人工进行分析操作,这会造成数据更新不及时,无法应对频繁变化的网络环境,具有局限性。
技术实现思路
1、鉴于相关技术中的上述缺陷或不足,期望提供一种网络安全防护方法、服务器、安全设备、系统及存储介质,能够精准、高效地对网络进行防护,确保运行安全。
2、第一方面,本申请提供一种网络安全防护方法,所述方法用于服务器,所述方法包括:
3、获取分布式防护集群中各安全设备上报的威胁数据,所述威胁数据通过所述安全设备对网络攻击威胁信息进行第一次聚合处理得到,所述网络攻击威胁信息包括发起攻击的互联网协议地址;
4、对所述威胁数据进行第二次聚合处理,并计算所述互联网协议地址对应的威胁分数,所述威胁分数用于表征所述互联网协议地址所实施攻击行为对网络安全的影响程度;
5、根据所述威胁分数的排名顺序,生成包含所述互联网协议地址的威胁情报库,并下发至各所述安全设备以基于所述威胁情报库执行安全防护动作。
6、可选地,在本申请一些实施例中,所述对所述威胁数据进行第二次聚合处理,包括:
7、提取处于预设时间段内的各所述威胁数据;
8、根据基准时间单位,将同一互联网协议地址对不同安全设备发起的所述威胁数据进行聚合,构建包含所述互联网协议地址、日期和攻击安全设备总数的映射关系表。
9、可选地,在本申请一些实施例中,所述构建包含所述互联网协议地址、日期和攻击安全设备总数的映射关系表,还包括:
10、依次比较各所述互联网协议地址对应的攻击安全设备总数与预设总数阈值的大小;
11、若所述互联网协议地址对应的攻击安全设备总数小于或者等于所述预设总数阈值,则在所述映射关系表中删除所述互联网协议地址。
12、可选地,在本申请一些实施例中,所述映射关系表还包含攻击日志条数,所述计算所述互联网协议地址对应的威胁分数,包括:
13、根据时间权重衰减系数,依次计算所述映射关系表中不同日期对应的时间权重;
14、根据所述时间权重和所述攻击日志条数,计算所述不同日期各自的贡献分值,并将所述贡献分值进行累加得到所述威胁分数。
15、可选地,在本申请一些实施例中,所述映射关系表还包含攻击类型,所述根据所述时间权重和所述攻击日志条数,计算所述不同日期各自的贡献分值,还包括:
16、获取与所述日期相关联的不同攻击类型所对应得分权重以及攻击日志条数;
17、将所述时间权重、所述得分权重以及攻击日志条数相乘,并累加得到所述日期的贡献分值。
18、第二方面,本申请提供一种服务器,所述服务器包括:
19、获取模块,配置用于获取分布式防护集群中各安全设备上报的威胁数据,所述威胁数据通过所述安全设备对网络攻击威胁信息进行第一次聚合处理得到,所述网络攻击威胁信息包括发起攻击的互联网协议地址;
20、计算模块,配置用于对所述威胁数据进行第二次聚合处理,并计算所述互联网协议地址对应的威胁分数,所述威胁分数用于表征所述互联网协议地址所实施攻击行为对网络安全的影响程度;
21、下发模块,配置用于根据所述威胁分数的排名顺序,生成包含所述互联网协议地址的威胁情报库,并下发至各所述安全设备以基于所述威胁情报库执行安全防护动作。
22、第三方面,本申请提供一种网络安全防护方法,所述方法用于分布式防护集群中各安全设备,所述方法包括:
23、对网络攻击威胁信息进行第一次聚合处理得到威胁数据,并向服务器上报所述威胁数据,所述网络攻击威胁信息包括发起攻击的互联网协议地址;
24、接收所述服务器下发的根据所述威胁数据所生成的威胁情报库,并基于所述威胁情报库执行安全防护动作。
25、第四方面,本申请提供一种安全设备,所述安全设备位于分布式防护集群,所述安全设备包括:
26、上报模块,配置用于对网络攻击威胁信息进行第一次聚合处理得到威胁数据,并向服务器上报所述威胁数据,所述网络攻击威胁信息包括发起攻击的互联网协议地址;
27、接收模块,配置用于接收所述服务器下发的根据所述威胁数据所生成的威胁情报库,并基于所述威胁情报库执行安全防护动作。
28、第五方面,本申请提供一种网络安全防护系统,所述系统包括第二方面所述的服务器以及第四方面所述的安全设备。
29、第六方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面或者第三方面所述的网络安全防护方法的步骤。
30、从以上技术方案可以看出,本申请实施例具有以下优点:
31、本申请实施例提供了一种网络安全防护方法、服务器、安全设备、系统及存储介质,通过分布式防护集群中各安全设备来上报威胁数据,其中威胁数据经由该安全设备对网络攻击威胁信息进行第一次聚合处理得到,该网络攻击威胁信息包括发起攻击的互联网协议地址,标准统一,大幅提高了准确度,进而服务器能够自动高效地对威胁数据进行第二次聚合处理,并计算互联网协议地址对应的威胁分数,以及根据威胁分数的排名顺序,生成包含互联网协议地址的威胁情报库,并下发至各安全设备来据此执行安全防护动作,可靠性强。
1.一种网络安全防护方法,其特征在于,所述方法用于服务器,所述方法包括:
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述对所述威胁数据进行第二次聚合处理,包括:
3.根据权利要求2所述的网络安全防护方法,其特征在于,所述构建包含所述互联网协议地址、日期和攻击安全设备总数的映射关系表,还包括:
4.根据权利要求2或3所述的网络安全防护方法,其特征在于,所述映射关系表还包含攻击日志条数,所述计算所述互联网协议地址对应的威胁分数,包括:
5.根据权利要求4所述的网络安全防护方法,其特征在于,所述映射关系表还包含攻击类型,所述根据所述时间权重和所述攻击日志条数,计算所述不同日期各自的贡献分值,还包括:
6.一种服务器,其特征在于,所述服务器包括:
7.一种网络安全防护方法,其特征在于,所述方法用于分布式防护集群中各安全设备,所述方法包括:
8.一种安全设备,其特征在于,所述安全设备位于分布式防护集群,所述安全设备包括:
9.一种网络安全防护系统,其特征在于,所述系统包括权利要求6所述的服务器以及权利要求8所述的安全设备。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1至5或者权利要求7中所述的网络安全防护方法的步骤。
