一种基于SOC的非法IP省内网络封堵方法及装置与流程

一种基于soc的非法ip省内网络封堵方法及装置
技术领域
1.本发明涉及安全管理平台领域，尤其是一种基于soc的非法ip省内网络封堵方法及装置。


背景技术：

2.安全管理平台(security operations center,简称soc)是将目前信息系统中各类数据孤立分析的形态转变为智能的关联分析，能够将多种网络设备、安全设备和系统日志进行整合，并结合itil(information technology infrastructure library，一个基于行业最佳实践的框架，将it服务管理业务过程应用到it管理中)流程进行规范化。安全管理平台是一个以it资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险、运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化例行化常态化，最终实现业务信息系统的持续安全运营。
3.在省内网络和城域网安全管理过程中，常常遇到省外或国际等非法ip进行不定期攻击，造成省网核心路由器、交换机和云资源服务器数据包处理压力，对全省网络服务速率造成影响，对网络内容质量也造成安全隐患，省市网络运维人员无法精准定位故障根本原因，尤其在处理设备黑洞ip指向操作过程中效率很慢，时长较长。同时，网络非法ip攻击后，无法及时以秒级速度进行配置下发封堵，人员手工处理效率低下，无法及时进行必要的网络非法ip封堵，丢弃非法ip，进而杜绝网络安全隐患。


技术实现要素：

4.为解决现有技术存在的上述问题，本发明提供一种基于soc的非法ip省内网络封堵方法及装置，通过一键封停对ip地址进行封堵，通过向省路由器下发封堵策略来实现ip地址的不可访问，阻断不良信息的传播。
5.为实现上述目的，本发明采用下述技术方案：
6.在本发明一实施例中，提出了一种基于soc的非法ip省内网络封堵方法，该方法包括：
7.安全管理平台收集各网络管理资产系统上报的日志信息，综合分析出非法ip；
8.安全管理平台接入省内ip地址系统，获取省内ip地址分类情况，将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类；
9.安全管理平台调用ip黑洞省内封堵方法进行封堵并测试有效性。
10.进一步地，安全管理平台收集各网络管理资产系统上报的日志信息，综合分析出非法ip，包括：
11.安全管理平台收集各网络管理资产系统上报的网络安全日志、服务器操作日志、用户访问日志以及业务跟踪使用源地址日志信息；
12.安全管理平台综合分析ip数据包状态情况，对地址错误或异常情况的ip数据包进
行跟踪，侦查出非法ip。
13.进一步地，安全管理平台接入省内ip地址系统，获取省内ip地址分类情况，将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类，包括：
14.安全管理平台采用增量同步方式，将省内ip地址系统中已经注册的省内ip地址同步到安全管理平台的数据库中；
15.借助省内ip地址系统与国内公安机关的ip地址管理系统同步的机制，获取省内ip地址分类情况；
16.将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类。
17.进一步地，省内ip地址分为一类ip地址和二类ip地址，一类ip地址为省内运营商分配的系统互联及业务ip，二类ip地址为根据安全管理平台分析出的非法ip；一类ip地址通过封堵省内自有业务进行全省封堵，二类ip地址进行互联网暴露面封堵。
18.进一步地，安全管理平台调用ip黑洞省内封堵方法进行封堵并测试有效性，包括：
19.登陆省核心路由器，收集封堵指定ip命令，查看现有封堵前缀列表使用情况，确认列表列号使用情况，要封堵地址是否存在；
20.创建封堵地址路由发布前缀，创建封堵地址黑洞路由，将非法ip指向nullo，在bgp中发布封堵地址，形成封堵策略下发命令语句并预览，快速进行下发封堵并测试有效性。
21.在本发明一实施例中，还提出了一种基于soc的非法ip省内网络封堵装置，该装置包括：
22.日志信息收集模块，用于收集各网络管理资产系统上报的日志信息，综合分析出非法ip；
23.省内ip地址分类模块，用于接入省内ip地址系统，获取省内ip地址分类情况，将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类；
24.ip黑洞省内封堵模块，用于调用ip黑洞省内封堵方法进行封堵并测试有效性。
25.进一步地，日志信息收集模块，具体用于：
26.安全管理平台收集各网络管理资产系统上报的网络安全日志、服务器操作日志、用户访问日志以及业务跟踪使用源地址日志信息；
27.安全管理平台综合分析ip数据包状态情况，对地址错误或异常情况的ip数据包进行跟踪，侦查出非法ip。
28.进一步地，省内ip地址分类模块，具体用于：
29.安全管理平台采用增量同步方式，将省内ip地址系统中已经注册的省内ip地址同步到安全管理平台的数据库中；
30.借助省内ip地址系统与国内公安机关的ip地址管理系统同步的机制，获取省内ip地址分类情况；
31.将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类。
32.进一步地，省内ip地址分为一类ip地址和二类ip地址，一类ip地址为省内运营商分配的系统互联及业务ip，二类ip地址为根据安全管理平台分析出的非法ip；一类ip地址通过封堵省内自有业务进行全省封堵，二类ip地址进行互联网暴露面封堵。
33.进一步地，ip黑洞省内封堵模块，具体用于：
34.登陆省核心路由器，收集封堵指定ip命令，查看现有封堵前缀列表使用情况，确认
列表列号使用情况，要封堵地址是否存在；
35.创建封堵地址路由发布前缀，创建封堵地址黑洞路由，将非法ip指向nullo，在bgp中发布封堵地址，形成封堵策略下发命令语句并预览，快速进行下发封堵并测试有效性。
36.在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述基于soc的非法ip省内网络封堵方法。
37.在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行基于soc的非法ip省内网络封堵方法的计算机程序。
38.有益效果：
39.本发明通过一键封停对ip地址进行封堵，通过向省路由器下发封堵策略来实现ip地址的不可访问，阻断不良信息的传播，降低网络风险。
附图说明
40.图1是本发明一实施例的基于soc的非法ip省内网络封堵方法流程示意图；
41.图2是本发明一实施例的安全管理平台ip黑洞省内网络封堵的部署位置图；
42.图3是本发明一实施例的安全管理平台与各网络域中网络管理系统的互联图；
43.图4是本发明一实施例的ip黑洞省内网络封堵流程示意图；
44.图5是本发明一实施例的一键封停ip地址的页面示意图；
45.图6是本发明一实施例的一类ip地址的解封页面示意图；
46.图7是本发明一实施例的二类ip地址的封堵页面示意图；
47.图8是本发明一实施例的二类ip地址的解封页面示意图；
48.图9是本发明一实施例的基于soc的非法ip省内网络封堵装置结构示意图；
49.图10是本发明一实施例的计算机设备结构示意图。
具体实施方式
50.下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
51.本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
52.根据本发明的实施方式，提出了一种基于soc的非法ip省内网络封堵方法及装置，将各网络管理资产系统上报的日志信息整合分析出非法ip；接入省内ip地址系统，获取省内ip地址分类情况，将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类；调用ip黑洞省内封堵方法，查看现有省核心路由器封堵前缀列表使用情况，确认列表列号使用情况，要封堵地址是否存在，组织编排封堵策略，形成策略下发命令语句，进行快速命令语句预览，进行下发配置，形成日志供后续分析，实现快速封堵，杜绝网络安全隐患。
53.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
54.图1是本发明一实施例的基于soc的非法ip省内网络封堵方法流程示意图。如图1所示，该方法包括：
55.s1、安全管理平台收集各网络管理资产系统上报的日志信息，综合分析出非法ip；
56.安全管理平台收集各网络管理资产系统上报的网络安全日志、服务器操作日志、用户访问日志以及业务跟踪使用源地址日志信息；
57.安全管理平台综合分析ip数据包状态情况，对地址错误或异常情况的ip数据包进行跟踪，侦查出非法ip。
58.s2、安全管理平台接入省内ip地址系统，获取省内ip地址分类情况，将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类；
59.安全管理平台采用增量同步方式，将省内ip地址系统中已经注册的省内ip地址同步到安全管理平台的数据库中；
60.借助省内ip地址系统与国内公安机关的ip地址管理系统同步的机制，获取省内ip地址分类情况；
61.将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类；
62.省内ip地址分为一类ip地址和二类ip地址，一类ip地址为省内运营商分配的系统互联及业务ip，二类ip地址为根据安全管理平台分析出的非法ip；一类ip地址通过封堵省内自有业务进行全省封堵，二类ip地址进行互联网暴露面封堵。
63.s3、安全管理平台调用ip黑洞省内封堵方法进行封堵并测试有效性；
64.登陆省核心路由器，收集封堵指定ip命令，查看现有封堵前缀列表使用情况，确认列表列号使用情况，要封堵地址是否存在；
65.创建封堵地址路由发布前缀，创建封堵地址黑洞路由，将非法ip指向nullo，在bgp中发布封堵地址，形成封堵策略下发命令语句并预览，快速进行下发封堵并测试有效性。
66.需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
67.为了对上述基于soc的非法ip省内网络封堵方法进行更为清楚的解释，下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。
68.实施例：
69.本实施例调用ip黑洞省内网络封堵方法对如图2所示的部署位置进行封堵。具体的封堵步骤如下：
70.1、收集各网络域中网络管理系统ip信息及该系统采集所管辖的网络资源ip信息；
71.图3是本发明一实施例的安全管理平台与各网络域中网络管理系统的互联图。如图3所示，安全管理平台作为省内运营商资产集中安全管理系统平台，接入大量业务管理系统，资源管理系统和配置管理系统等，例如：ip城域网网络管理系统，ipran网络管理系统，接入网网络管理系统和综合资源管理系统等，这类系统将各自系统网络资源ip信息进行上报，包括主机ip信息，交换机接口互联地址，交换机连接主机端口地址，及其系统出口防火墙的各网络nat地址，互联网路由器对接地址等，ip地址和mac地址一一对应，并通过接口上
报到安全管理平台，安全管理平台将上报的系统中各主机和采集网络设备域中网络资源ip信息进行划分登记在案。
72.2、收集各网络管理资产系统的网络安全日志、服务器操作日志、用户访问日志和业务跟踪使用源地址日志；
73.安全管理平台收集各网络管理资产系统上报的日志信息，综合分析ip数据包状态情况，对地址错误或异常的ip数据包进行跟踪，侦查出非法ip。
74.3、接入省内ip地址系统
75.安全管理平台以每小时增量同步方式，将省内ip地址系统中已经注册的省内ip地址同步到安全管理平台的数据库中，包括ip地址业务分类和业务属性；借助省内ip地址系统与国内公安机关的ip地址管理系统同步的机制，获取省内ip地址分类情况；将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类；
76.省内ip地址分为一类ip地址和二类ip地址，一类ip地址为省内运营商分配的系统互联及业务ip，例如：黑龙江电信用户地址ip、专线用户ip等，二类ip地址为根据安全管理平台分析出的非法ip；一类ip地址通过封堵省内自有业务进行全省封堵，二类ip地址进行互联网暴露面封堵。
77.4、按照ip黑洞省内封堵流程进行封堵
78.4.1收集ip封堵命令
79.查看现有封堵前缀列表使用情况，确认列表列号使用情况，要封堵地址是否存在。
80.81.82.[0083][0084]
4.2 ip黑洞省内封堵流程
[0085]
图4是本发明一实施例的ip黑洞省内网络封堵流程示意图。如图4所示，具体封堵步骤如下：
[0086]
调用封堵程序，登陆省核心路由器，将省内运营商分配的一类ip地址与安全管理平台分析出的二类ip地址作为下发指令的参数，结合省核心路由器配置，整理出封堵命令；查看现有封堵前缀列表使用情况，确认列表列号使用情况，要封堵地址是否存在，用以判断是否已有过封堵ip，但没打开生效指令；组织编排封堵策略，形成策略下发命令语句，进行快速命令语句预览，快速进行下发封堵命令，将非法ip指向null0中；
[0087]
封堵命令分为互联网暴露面封堵和全省封堵：
[0088]
互联网暴露面封堵：判断是否封堵，是则判断是否是互联网封堵，是则封堵，否则调用全省解封程序，调用互联网封堵程序；
[0089]
全省封堵：判断是否封堵，是则判断是否是全省封堵，是则封堵，否则调用互联网解封程序，调用全省封堵程序。
[0090]
图5是本发明一实施例的一键封停ip地址的页面示意图。具体的封堵在如图5所示的页面上进行操作。
[0091]
5、ip地址封堵测试及解封
[0092]
5.1一类ip地址封堵测试
[0093]
封堵任务建立成功后，根据下表1进行测试(需要用户登录路由器确认)：
[0094]
表1
[0095]
[0096][0097]
若测试后与上表1中预期结果相同，则视为功能有效且正确。
[0098]
5.2一类ip地址的解封测试
[0099]
5.2.1首先在如图6所示的页面上进行解封：
[0100]
在封堵目标中选取相应的ip地址，然后点击ip地址后面的小锁头进行解封；
[0101]
5.2.2解封任务下达完成后，根据下表2进行测试(需要用户登录路由器确认)：
[0102]
表2
[0103]
[0104][0105]
若测试后与上表2中预期结果相同，则视为功能有效且正确。
[0106]
5.3、二类ip地址的封堵测试
[0107]
5.3.1、二类ip地址的封堵，使用互联网暴露面封堵模块进行封堵，主要用来防止外省地址对黑龙江电信互联网暴露面系统的攻击。
[0108]
点击如图7所示页面上的互联网暴露面封堵模块，点击新建封堵任务，在弹窗输入封堵ip地址，点击保存。
[0109]
5.3.2完成封堵任务后，按下表3进行测试操作(需要用户登录路由器确认)：
[0110]
表3
[0111]
[0112][0113]
若测试后与上表3中预期结果相同，则视为功能有效且正确。
[0114]
5.4二类ip地址的解封测试
[0115]
5.4.1首先在如图8所示页面上进行解封：
[0116]
在封堵目标中选取相应的ip地址，然后点击ip地址后面的小锁头进行解封。
[0117]
5.4.2解封任务下达完成后，根据如下表4进行测试(需要用户登录路由器确认)：
[0118]
[0119]
[0120][0121]
表4
[0122]
若测试后与上表4中预期结果相同，则视为功能有效且正确。
[0123]
基于同一发明构思，本发明还提出一种基于soc的非法ip省内网络封堵装置。该装置的实施可以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0124]
图9是本发明一实施例的基于soc的非法ip省内网络封堵装置结构示意图。如图9所示，该装置包括：
[0125]
日志信息收集模块101，用于收集各网络管理资产系统上报的日志信息，综合分析出非法ip；
[0126]
安全管理平台收集各网络管理资产系统上报的网络安全日志、服务器操作日志、用户访问日志以及业务跟踪使用源地址日志信息；
[0127]
安全管理平台综合分析ip数据包状态情况，对地址错误或异常情况的ip数据包进行跟踪，侦查出非法ip。
[0128]
省内ip地址分类模块102，用于接入省内ip地址系统，获取省内ip地址分类情况，将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类；
[0129]
安全管理平台采用增量同步方式，将省内ip地址系统中已经注册的省内ip地址同步到安全管理平台的数据库中；
[0130]
借助省内ip地址系统与国内公安机关的ip地址管理系统同步的机制，获取省内ip地址分类情况；
[0131]
将非法ip与网络地址分配资源库进行比对，区分省内ip地址分类。
[0132]
省内ip地址分为一类ip地址和二类ip地址，一类ip地址为省内运营商分配的系统互联及业务ip，二类ip地址为根据安全管理平台分析出的非法ip；一类ip地址通过封堵省内自有业务进行全省封堵，二类ip地址进行互联网暴露面封堵。
[0133]
ip黑洞省内封堵模块103，用于调用ip黑洞省内封堵方法进行封堵并测试有效性；
[0134]
登陆省核心路由器，收集封堵指定ip命令，查看现有封堵前缀列表使用情况，确认列表列号使用情况，要封堵地址是否存在；
[0135]
创建封堵地址路由发布前缀，创建封堵地址黑洞路由，将非法ip指向nullo，在bgp
中发布封堵地址，形成封堵策略下发命令语句并预览，快速进行下发封堵并测试有效性。
[0136]
应当注意，尽管在上文详细描述中提及了基于soc的非法ip省内网络封堵装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
[0137]
基于前述发明构思，如图10所示，本发明还提出一种计算机设备200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230时实现前述基于soc的非法ip省内网络封堵方法。
[0138]
基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述基于soc的非法ip省内网络封堵方法的计算机程序。
[0139]
本发明提出的基于soc的非法ip省内网络封堵方法及装置，本发明通过一键封停对ip地址进行封堵，通过向省路由器下发封堵策略来实现ip地址的不可访问，阻断不良信息的传播，降低网络风险。
[0140]
虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
[0141]
对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。