[发明专利]一种攻击预警方法及系统

说明书

本发明公开了一种攻击预警方法及系统，属于网络安全领域。该攻击预警方法及系统使得网络安全防护更有效、更安全。所述攻击预警方法包括：从网络入侵检测系统日志的告警数据中提取待处理告警数据；根据所述待处理告警数据的源IP和目的IP，从网络入侵检测系统日志中读取所述源IP和目的IP通信的流量数据；根据所述流量数据，生成攻击拦截的生效时间段；将所述待处理告警数据的源IP、目的IP和生效时间段信息生成IP拦截规则，并向安全墙发送所述IP拦截规则，用于攻击拦截。

技术领域

本发明涉及网络安全领域，尤其涉及一种攻击预警方法及系统。

背景技术

防火墙在网络中扮演被动防护的角色，防火墙通常是根据管理员 预设的基于IP或端口的安全策略对网络进行保护。由于单机硬件性 能瓶颈限制，防火墙不能提供面向大型、超大型网络实时的入侵检测 功能。网络入侵检测系统(对应英文全称：intrusiondetection system，文中简称：IDS)作为网络安全状况的监控设备部署在网络 里，能够对网络中的各类安全事件提供全面的检测，与防火墙结合提 供更加完善的安全解决方案。因为IDS是基于特征匹配的方式工作， 设备每天产生的告警日志量比较高，经常作为旁路设备部署在网络中 提供事后审计和分析的素材。

目前，防火墙和IDS都是孤立地为网络提供防护，无法很好的结 合二者的优势进行更加完善的保护。因此，需要提供通过对IDS产生 的日志信息进行统计分析和数据挖掘产生安全策略规则，提供给防火 墙进行更加精确的进行拦截的方案。

发明内容

本发明提供一种攻击预警方法及系统，使得网络安全防护更有效、 更安全。

为实现上述目的，本发明实施例采用以下方案：

第一方面，本发明实施例提供一种攻击预警方法，包括：

从网络入侵检测系统日志的告警数据中提取待处理告警数据；

根据所述待处理告警数据的源IP和目的IP，从网络入侵检测系 统日志中读取所述源IP和目的IP通信的流量数据；

根据所述流量数据，生成攻击拦截的生效时间段；

将所述待处理告警数据的源IP、目的IP和生效时间段信息生成 IP拦截规则，并向安全墙发送所述IP拦截规则，用于攻击拦截。

结合第一方面，作为第一种可能实现方案，所述从网络入侵检 测系统日志的告警数据中提取待处理告警数据，包括：

读取网络入侵检测系统产生的日志里的告警数据；所述告警数据 包括告警等级、告警类型、源IP、源端口、目的IP、目的端口信息；

从所述告警数据中提取满足预设告警等级和/或告警类型的告 警数据，作为待处理告警数据。

结合第一方面，作为第二种可能实现方案，所述根据所述流量 数据，生成攻击拦截的生效时间段，包括：

将所述流量数据进行规格化处理，并计算流量威胁特征值；所 述规格化处理为提取所述流量数据的上行包数、下行包数、上行流量、 下行流量、流量开始时间、流量结束时间和统计事件次数；

根据所述流量威胁特征值中最高的一个或多个流量数据确定时 间区间，作为攻击拦截的生效时间段。

结合第一方面的第二种可能实现方案，作为第三种可能实现方 案，所述计算流量威胁特征值，依据式(1)进行计算：