[发明专利]一种攻击源告警的方法和系统在审
| 申请号: | 201910930353.4 | 申请日: | 2019-09-29 |
| 公开(公告)号: | CN110611683A | 公开(公告)日: | 2019-12-24 |
| 发明(设计)人: | 杨鹏 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 11514 北京酷爱智慧知识产权代理有限公司 | 代理人: | 张绍磊 |
| 地址: | 100029 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 协议报文 攻击源 匹配规则 告警 管理平台 用户端 警示信息 通信连接 内网 匹配 发送 响应 服务 | ||
1.一种攻击源告警的方法,其特征在于,包括:
从端管理平台获取匹配规则,所述匹配规则用于对异常协议报文进行识别;
对当前协议报文进行识别,并将识别出来的内容与所述匹配规则进行匹配,判断所述当前协议报文是否为异常协议报文;
响应于所述当前协议报文为异常协议报文,将所述异常协议报文的发出方定义为攻击源;
当再次接收到所述攻击源的协议报文时,对所述攻击源发送警示信息,并重置与内网服务的通信连接。
2.根据权利要求1所述的攻击源告警的方法,其特征在于,所述端管理平台中存储有信誉库,所述从端管理平台获取匹配规则,所述匹配规则用于对攻击事件进行识别,具体包括:
从端管理平台的信誉库中获取匹配规则,所述匹配规则用于对攻击事件进行识别。
3.根据权利要求2所述的攻击源告警的方法,其特征在于,还包括:
端管理平台从云中心获取信誉库数据,对所述信誉库中的匹配规则进行更新。
4.根据权利要求3所述的攻击源告警的方法,其特征在于,还包括:
若所述当前协议报文不为异常协议报文,则进一步判断所述当前协议报文是否为带有攻击性的报文,若所述当前协议报文为带有攻击性的报文,则对所述当前协议报文进行重新定义,确定所述当前协议报文的异常类型。
5.根据权利要求4所述的攻击源告警的方法,其特征在于,还包括:
将确定异常类型后的所述当前协议报文发送给端管理平台,由端管理平台将确定异常类型后的所述当前协议报文上报给云中心。
6.根据权利要求5所述的攻击源告警的方法,其特征在于,所述判断所述当前协议报文是否为带有攻击性的报文,具体包括:
对所述当前协议报文进行协议解析,确定所述当前协议报文的可能威胁能力,将可能威胁能力超过预设阈值的当前协议报文确定为带有攻击性的报文。
7.根据权利要求6所述的攻击源告警的方法,其特征在于,在所述将确定异常类型后的所述当前协议报文发送给端管理平台后,端管理平台基于攻击事件从攻击者、被攻击者和/或攻击过个角度通过大数据技术对捕捉到的安全事件进行二次分析。
8.根据权利要求7所述的攻击源告警的方法,其特征在于,所述当再次接收到所述攻击源的协议报文时,对所述攻击源发送警示信息,并重置与内网服务的通信连接,包括:
当再次接收到所述攻击源的协议报文时,利用原始套接字技术对所述攻击源发送警示信息,并重置与内网服务的通信连接。
9.一种攻击源告警的系统,其特征在于,包括:
攻击源告警装置、端管理平台和云中心;
所述攻击源告警装置用于从端管理平台获取匹配规则,所述匹配规则用于对异常协议报文进行识别;对当前协议报文进行识别,并将识别出来的内容与所述匹配规则进行匹配,判断所述当前协议报文是否为异常协议报文;响应于所述当前协议报文为异常协议报文,将所述异常协议报文的发出方定义为攻击源;当再次接收到所述攻击源的协议报文时,对所述攻击源发送警示信息,并重置与内网服务的通信连接;
所述端管理平台用于从所述云中心获取匹配规则。
10.根据权利要求9所述的攻击源告警系统,其特征在于,所述云中心具体用于:
对所述端管理平台中的匹配规则进行更新。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910930353.4/1.html,转载请声明来源钻瓜专利网。
