[发明专利]一种攻击预警方法及系统在审
| 申请号: | 201710625930.X | 申请日: | 2017-07-27 |
| 公开(公告)号: | CN109309649A | 公开(公告)日: | 2019-02-05 |
| 发明(设计)人: | 谢朝山;黄宙;梁琼文 | 申请(专利权)人: | 苏宁云商集团股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 江苏圣典律师事务所 32237 | 代理人: | 许峰 |
| 地址: | 210042 江苏省*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 告警数据 攻击预警 拦截 源IP 网络入侵检测系统 流量数据 日志 读取 网络安全防护 网络安全领域 时间段信息 攻击 安全墙 时间段 发送 安全 | ||
1.一种攻击预警方法,其特征在于,包括:
从网络入侵检测系统日志的告警数据中提取待处理告警数据;
根据所述待处理告警数据的源IP和目的IP,从网络入侵检测系统日志中读取所述源IP和目的IP通信的流量数据;
根据所述流量数据,生成攻击拦截的生效时间段;
将所述待处理告警数据的源IP、目的IP和生效时间段信息生成IP拦截规则,并向安全墙发送所述IP拦截规则,用于攻击拦截。
2.按照权利要求1所述的攻击预警方法,其特征在于,所述从网络入侵检测系统日志的告警数据中提取待处理告警数据,包括:
读取网络入侵检测系统产生的日志里的告警数据;所述告警数据包括告警等级、告警类型、源IP、源端口、目的IP、目的端口信息;
从所述告警数据中提取满足预设告警等级和/或告警类型的告警数据,作为待处理告警数据。
3.按照权利要求1所述的攻击预警方法,其特征在于,所述根据所述流量数据,生成攻击拦截的生效时间段,包括:
将所述流量数据进行规格化处理,并计算流量威胁特征值;所述规格化处理为提取所述流量数据的上行包数、下行包数、上行流量、下行流量、流量开始时间、流量结束时间和统计事件次数;
根据所述流量威胁特征值中最高的一个或多个流量数据确定时间区间,作为攻击拦截的生效时间段。
4.按照权利要求3所述的攻击预警方法,其特征在于,所述计算流量威胁特征值,依据式(1)进行计算:
其中,w表示流量威胁特征值,n表示告警数据中的参数总数,Ai表示告警数据中的第i个参数值,ai表示Ai的权值;m表示流量数据中的参数总数,Bj表示流量数据中的第j个参数值,bj表示Bj的权值。
5.按照权利要求3所述的攻击预警方法,其特征在于,所述根据所述流量威胁特征值中最高的多个流量数据确定时间区间,作为攻击拦截的生效时间段,是指将多个流量数据中最早的开始时间作为生效时间段的开始时间,多个流量数据中最晚的结束时间作为生效时间段的结束时间。
6.一种攻击预警系统,其特征在于,包括:
提取模块:用于从网络入侵检测系统日志的告警数据中提取待处理告警数据;
读取模块:用于根据所述待处理告警数据的源IP和目的IP,从网络入侵检测系统日志中读取所述源IP和目的IP通信的流量数据;
第一生成模块:用于根据所述流量数据,生成攻击拦截的生效时间段;
第二生成模块:用于将所述待处理告警数据的源IP、目的IP和生效时间段信息生成IP拦截规则;
发送模块:用于向安全墙发送所述IP拦截规则,用于攻击拦截。
7.按照权利要求6所述的攻击预警系统,其特征在于,所述提取模块,包括:
读取子模块:用于读取网络入侵检测系统产生的日志里的告警数据;所述告警数据包括告警等级、告警类型、源IP、源端口、目的IP、目的端口信息;
读取子模块:用于从所述告警数据中提取满足预设的告警等级或者告警类型的告警数据,作为待处理告警数据。
8.按照权利要求6所述的攻击预警系统,其特征在于,所述第一生成模块,包括:
计算子模块:用于将所述流量数据进行规格化处理,并计算流量威胁特征值;所述规格化处理为提取所述流量数据的上行包数、下行包数、上行流量、下行流量、流量开始时间、流量结束时间和统计事件次数;
确定子模块:用于根据所述流量威胁特征值中最高的一个或多个流量数据确定时间区间,作为攻击拦截的生效时间段。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏宁云商集团股份有限公司,未经苏宁云商集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710625930.X/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种信息传输的方法和设备
- 下一篇:处理数据的方法、终端设备和网络设备
