[发明专利]恶意攻击的防护方法、装置和系统

权利要求书

1.一种恶意攻击的防护方法，其特征在于，包括：

获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数；

保存所述具有恶意攻击特征的访问设备的设备参数至攻击设备列表，并保存所述具有安全访问特征的访问设备的设备参数至安全设备列表；

在恶意防护中，检测接入网关路由器的当前访问设备的设备参数，其中，如果检测到所述当前接入网关路由器的当前访问设备的设备参数与所述攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值，则确定所述当前访问设备为攻击设备，如果检测到所述当前访问设备的设备参数与所述安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值，则确定所述当前访问设备为安全设备。

2.根据权利要求1所述的方法，其特征在于，获取具有恶意攻击特征的访问设备的设备参数的步骤包括：

采集接入网关路由器的任意一个访问设备的特征信息；

将所述任意一个访问设备的特征信息与预先配置的恶意攻击特征库中预先保存的至少一个恶意特征信息依次进行匹配；

如果所述任意一个访问设备的特征信息与所述恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第三阈值，则确定所述任意一个访问设备为具有所述恶意攻击特征的设备；

读取具有所述恶意攻击特征的设备发送的网络数据包中携带的设备参数，所述设备参数包括如下任意一个或多个参数：IP地址、MAC地址、设备出厂标识。

3.根据权利要求1所述的方法，其特征在于，获取具有安全访问特征的访问设备的设备参数的步骤包括：

采集接入网关路由器的任意一个访问设备的业务请求数据；

当所述任意一个访问设备的业务请求数据满足预先设定的任意一种行为数据时，确定所述任意一个访问设备的为具有所述安全访问特征的设备；

读取具有所述安全访问特征的设备发送的网络数据包中携带的设备参数，所述设备参数包括如下任意一个或多个参数：IP地址、MAC地址、设备出厂标识。

4.根据权利要求1所述的方法，其特征在于，获取具有安全访问特征的访问设备的设备参数的步骤包括：

采集接入网关路由器的任意一个访问设备的特征信息；

将所述任意一个访问设备的特征信息与预先配置的安全访问特征库中预先保存的至少一个安全特征信息依次进行匹配；

如果所述任意一个访问设备的特征信息与所述安全访问特征库中预先保存的任意一个安全特征信息的匹配度大于等于第四阈值，则确定所述任意一个访问设备为具有所述安全访问特征的设备；

读取具有所述安全访问特征的设备发送的网络数据包中携带的设备参数，所述设备参数包括如下任意一个或多个参数：IP地址、MAC地址、设备出厂标识。

5.根据权利要求1至4中任意一项所述的方法，其特征在于，在确定所述当前访问设备为攻击设备之后，所述方法还包括：将所述当前访问设备的流量进行清洗。

6.根据权利要求1至3中任意一项所述的方法，其特征在于，在保存所述具有恶意攻击特征的访问设备的设备参数至攻击设备列表，并保存所述具有安全访问特征的访问设备的设备参数至安全设备列表之前，所述方法还包括：

检测所述具有恶意攻击特征的设备的业务请求数据，当所述具有恶意攻击特征的设备的业务请求数据满足预先设定的任意一种行为数据时，将所述具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表；

和/或，

检测所述具有安全访问特征的设备的特征信息，当所述任意一个访问设备的特征信息与所述恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第五阈值，则将所述具有安全访问特征的设备的设备参数保存至第二灰度设备列表。

7.根据权利要求6所述的方法，其特征在于，在将所述具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表之后，所述方法还包括：

在恶意防护中，如果检测到当前访问设备的设备参数与所述第一灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第六阈值，则确定所述当前访问设备为信誉度高的设备；

禁止清洗所述信誉度高的设备的流量。