具体实施方式

下面通过附图和实施例，对本公开的技术方案做进一步的详细描述。

发明人发现，相关技术中的网路安全防护存在许多不足，比如：

时效性差、误报漏报率高：攻击者进行攻击行为时往往使用IP欺骗技术，每个恶意IP的生命周期很短，固定周期的更新方式时效性较差，导致攻击拦截的误报和漏报率较高；

静态、被动的更新方式：传统网络安全防护设备，此类方式浪费设备计算资源，且无法提前感知攻击者的攻击行为；

准确率低：基于人工智能的攻击检测方式利用关系型、攻击链和拓扑等历史数据，而此类数据在处理时会丢失原始数据的相互关系信息，降低人工智能算法的准确性。

本公开的恶意地址管理方法的一些实施例的流程图如图1所示。

在步骤101中，采集设备日志数据。在一些实施例中，可以在网络防护设备中安装数据采集代理，如智能agent，定期、批量的对于设备日志进行采集。在一些实施例中，还可以对采集的日志进行预处理，如清洗掉不相关的、重复的数据等。在一些实施例中，各个数据采集代理可以以预定的频率获取所处设备的设备日志数据，进而汇总来自各个设备的数据采集代理的设备日志数据执行接下来的操作。

在步骤102中，根据日志数据获取攻击信息，攻击信息包括攻击源、攻击类型、攻击事件和被攻击方。在一些实施例中，可以基于自然语言算法，在多格式的网络安全防护设备中对于实体和关系进行抽取。实体包括攻击源和被攻击方，以其IP地址标识。关系可以为攻击事件。

在一些实施例中，以某网络安全防护设备为例，其解析的命令为：

output alert_syslog:LOG_AUTH LOG_ALERT facility priority options

在步骤103中，基于神经网络和攻击信息获取预测攻击源地址。在一些实施例中，可以将攻击信息作为数据集输入神经网络算法中，通过智能预测得到预测攻击源地址，如预测其IP地址。

在步骤104中，将预测攻击源地址补充至恶意地址列表中。

通过这样的方法，能够采集网络中的攻击信息，进而进行预测并更新至恶意地址列表，从而能够实现对恶意地址的预估和提前防护，提高设备的安全性。

在一些实施例中，为提高神经网络预测的目标性和准确性，可以基于攻击信息生成知识图谱，攻击和被攻击设备地址为图谱的节点，攻击事件为知识图谱的边。在一些实施例中，知识图谱的源节点为攻击源，目的节点为被攻击方，边为攻击事件，边的属性为攻击类型；将知识图谱输入神经网络，神经网络获取预测的边。预测的边的源节点即为预测攻击源地址。在一些实施例中，还可以利用知识图谱的逻辑推理能力发现实体相互之间隐含的关系。ILP(Inductive Logic Programming，归纳逻辑程序设计)使用一阶谓词逻辑来进行知识表示，通过修改和扩充逻辑表达式来完成对数据的归纳：FOIL_GAIN＝m^+*(log2m^+m^++m^--log2m+m++m-)。

通过这样的方法，能够将零散的攻击行为转化成图谱形式表示，将预测定向化为预测图谱的边，从而提高了神经网络预测的目标性和准确性，提高预测效率；结合传统更新方式和人工智能分析的优点，在保证传统恶意地址列表工作方式优点以外，利用知识图谱的关系推理能力和神经网络的预测能力，提高恶意地址分析的准确性和感知能力。

在一些实施例中，预测的边的一端攻击源地址，另一端为被攻击节点地址，可以着重将预测攻击源地址加入被攻击节点的恶意地址列表中，加强对该节点的保护，从而使预测的结果得到充分应用。

本公开的恶意地址管理方法的另一些实施例的流程图如图2所示。

在步骤201中，基于预定第一频率从开源数据中获取恶意地址信息，生成或更新静态恶意地址列表。该静态恶意地址列表可以以相关技术中的操作来生成和维护。

与静态恶意地址列表的生成相对独立的，可以采用如下步骤202～204的方式生成动态恶意地址列表。

在步骤202中，采集设备日志数据，根据日志数据获取攻击信息，攻击信息包括攻击源、攻击类型、攻击事件和被攻击方。

在步骤203中，基于神经网络和日志数据获取预测攻击源地址，并配置预定生命周期，预定生命周期可以为4～8小时，如6小时。

在步骤204中，将预测攻击源地址补充至动态恶意地址列表中。

通过这样的方法，能够相对独立的产生静态恶意地址列表和动态恶意地址列表，通过两个列表的配合提高对安全防护的可靠性。

在一些实施例中，为了避免恶意地址列表过于庞大占据过多空间，可以通过步骤205、206维护地址列表：

在步骤205中，判断动态恶意地址列表中的各个地址是否达到预定生命周期。若达到其预定生命周期，则执行步骤206。

在步骤206中，将到达预定生命周期的地址从动态恶意地址列表中删除。

通过这样的方法，能够及时更新恶意地址列表，一方面避免恶意地址列表过于庞大占据过多空间，另一方面也能充分利用恶意地址更新快的特点，减少不必要的搜索，提高拦截效率。

在一些实施例中，由于动态恶意地址列表与静态恶意地址列表的生成方式不同，则有可能产生信息矛盾，如静态恶意地址列表中不包括某地址，或将该地址列入白名单，但动态恶意地址列表中包括该地址；或动态恶意地址列表中曾经记录的某地址由于过期已删除，但动态恶意地址列表中仍然包括该地址。

在步骤207中，根据神经网络获取确定预测攻击源地址的可信度。在一些实施例中，根据神经网络预测模型的准确率对于此地址的可信度打分，该预测模型的准确率可以为神经网络本身的准确度，随着使用逐渐提高；也可以为神经网络针对本次预测行为输出的预计准确度

在步骤208中，判断动态恶意地址列表中的地址与静态恶意地址列表中的地址是否有矛盾之处。若存在信息矛盾，则执行步骤209；否则，可以将动态恶意地址列表与静态恶意地址列表合并，作为拦截恶意数据包的地址依据。

在步骤209中，判断发生矛盾的预测攻击源地址的可信度是否大于预定可信度。预定可信度可以根据经验设定，在应用过程中根据效果调整。若发生矛盾的预测攻击源地址的可信度大于预定可信度，则执行步骤210。

在步骤210中，以动态恶意地址列表中对该预测攻击源地址的处理为准。在一些实施例中，可以将该处理方案同步至静态恶意地址列表。

在步骤211中，以静态恶意地址列表中对该预测攻击源地址的处理为准。在一些实施例中，可以将该处理方案同步至动态恶意地址列表。

通过这样的方法，能够将动态恶意地址列表与静态恶意地址列表相互印证，以可信度作为标准，提高恶意流量拦截的准确度。

本公开的恶意地址管理方法中网络设备管理过程的一些实施例的流程图如图3所示。

在301～306中，防护设备基于恶意地址列表进行流量、访问的拦截；对于未在列表中的IP，根据其发送的数据包和行为分析其是否为攻击，在确定非异常访问的情况下，放过该访问、流量。基于的恶意地址列表包括两部分，分别为动态恶意地址列表(如图中的动态IP黑名单)和静态恶意地址列表(如图中的静态IP黑名单)。如304所示，基于网络开源数据或厂商数据集更新静态恶意地址列表。

在307～312中，基于采集的日志进行攻击信息的提取，并预测将要发生的攻击行为，更新动态恶意地址列表。在一些实施例中，可以采用上文中任意一项所述的恶意地址管理方法生成、管理动态恶意地址列表。在一些实施例中，可以采用如上文图2所示实施例中的方式，结合动态、静态恶意地址列表生成供网络安全防护设备使用的恶意地址列表。

通过这样的方法，实现了基于关系推理预测的恶意IP列表生成。利用隐藏在网络安全防护设备日志和交互数据流中的语义特征、上下文关系、实体攻击关系、行为相似度等特征，实现高准确性、低误报率、强感知能力的恶意IP列表生成，解决了传统恶意IP列表更新方式滞后、时效性差和神经网络预测算法中使用关系型、攻击链、拓扑关系等数据丢失原始数据部分信息的问题，实现高准确性、低误报率、强感知能力的恶意IP列表生成方法。这样的方法使恶意地址列表由传统天周月级别静态更新提升为毫秒级动态更新，通过测试，准确率达到98.52％以上。

本公开的恶意地址管理装置的一些实施例的示意图如图4所示。

日志采集单元401，能够采集设备日志数据。在一些实施例中，可以在网络防护设备中安装数据采集代理，如智能agent，定期、批量的对于设备日志进行采集。在一些实施例中，还可以对采集的日志进行预处理，如清洗掉不相关的、重复的数据等。

攻击信息获取单元402能够根据日志数据获取攻击信息，攻击信息包括攻击源、攻击类型、攻击事件和被攻击方。在一些实施例中，可以基于自然语言算法，在多格式的网络安全防护设备中对于实体和关系进行抽取。实体包括攻击源和被攻击方，以其IP地址标识。关系可以为攻击事件。

预测单元403能够基于神经网络和攻击信息获取预测攻击源地址。在一些实施例中，可以将攻击信息作为数据集输入神经网络算法中，通过智能预测得到预测攻击源地址，如预测其IP地址。

列表更新单元404能够将预测攻击源地址补充至恶意地址列表中。

这样的装置能够采集网络中的攻击信息，进而进行预测并更新至恶意地址列表，从而能够实现对恶意地址的预估和提前防护，提高设备的安全性。

在一些实施例中，恶意地址管理装置可以包括过期管理单元405，能够基于神经网络和日志数据获取预测攻击源地址，并配置预定生命周期，预定生命周期可以为4～8小时，如6小时；过期管理单元405监控每一个预测攻击源地址的生命周期，将到达预定生命周期的地址从动态恶意地址列表中删除。

在一些实施例中，恶意地址管理装置还可以包括静态列表管理单元406基于预定第一频率从开源数据中获取恶意地址信息，生成或更新静态恶意地址列表。该静态恶意地址列表可以以相关技术中的操作来生成和维护，从而能够相对独立的产生静态恶意地址列表和动态恶意地址列表，通过两个列表的配合提高对安全防护的可靠性。

在一些实施例中，恶意地址管理装置还可以包括矛盾管理单元407，能够判断动态恶意地址列表中的地址与静态恶意地址列表中的地址是否有矛盾之处。若不存在信息矛盾，则将动态恶意地址列表与静态恶意地址列表合并，作为拦截恶意数据包的地址依据。若存在矛盾，则判断发生矛盾的预测攻击源地址的可信度是否大于预定可信度。

若发生矛盾的预测攻击源地址的可信度大于预定可信度，则以动态恶意地址列表中对该预测攻击源地址的处理为准，在一些实施例中，可以将该处理方案同步至静态恶意地址列表；否则以静态恶意地址列表中对该预测攻击源地址的处理为准；在一些实施例中，可以将该处理方案同步至动态恶意地址列表。

这样的装置能够将动态恶意地址列表与静态恶意地址列表相互印证，以可信度作为标准，提高恶意流量拦截的准确度。

本公开恶意地址管理装置的一个实施例的结构示意图如图5所示。恶意地址管理装置包括存储器501和处理器502。其中：存储器501可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储上文中恶意地址管理方法的对应实施例中的指令。处理器502耦接至存储器501，可以作为一个或多个集成电路来实施，例如微处理器或微控制器。该处理器502用于执行存储器中存储的指令，能够实现对恶意地址的预估和提前防护，提高设备的安全性。

在一个实施例中，还可以如图6所示，恶意地址管理装置600包括存储器601和处理器602。处理器602通过BUS总线603耦合至存储器601。该恶意地址管理装置600还可以通过存储接口604连接至外部存储装置605以便调用外部数据，还可以通过网络接口606连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。

在该实施例中，通过存储器存储数据指令，再通过处理器处理上述指令，能够实现对恶意地址的预估和提前防护，提高设备的安全性。

在另一个实施例中，一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现恶意地址管理方法对应实施例中的方法的步骤。本领域内的技术人员应明白，本公开的实施例可提供为方法、装置、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

至此，已经详细描述了本公开。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

可能以许多方式来实现本公开的方法以及装置。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。

最后应当说明的是：以上实施例仅用以说明本公开的技术方案而非对其限制；尽管参照较佳实施例对本公开进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本公开的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本公开技术方案的精神，其均应涵盖在本公开请求保护的技术方案范围当中。