[发明专利]一种攻击源告警的方法和系统

说明书

本发明公开了一种攻击源告警的方法和系统，其中方法，包括：从端管理平台获取匹配规则，所述匹配规则用于对异常协议报文进行识别；对当前协议报文进行识别，并将识别出来的内容与所述匹配规则进行匹配，判断所述当前协议报文是否为异常协议报文；响应于所述当前协议报文为异常协议报文，将所述异常协议报文的发出方定义为攻击源；当再次接收到所述攻击源的协议报文时，对所述攻击源发送警示信息，并重置与内网服务的通信连接。本发明实施例的攻击源告警的方法和系统，通过端管理平台向用户端下发匹配规则，实现了用户端对攻击源的匹配规则的同步，进而实现了对攻击源的群防群治。

技术领域

本发明涉及网络安全技术领域，具体涉及一种攻击源告警的方法和系统。

背景技术

近年来，黑客攻击、网络犯罪、网络恐怖主义等网络安全事件频繁发生，国家级、有组织、大规模的网络攻击行为也屡见不鲜。黑客攻击正在从个人向组织化、国家化方向发展，他们目的性强，动机明显，往往有明确的商业、经济利益或政治诉求，攻击手段从传统的随机病毒、木马感染及网络攻击，向高级化、组合化、长期化转变，如何有效的识别出攻击源并及时作出应对成为一个不容忽视的问题。传统的入侵检测系统是基于自身的规则，进行特征识别，即超出规则覆盖范围就不能识别，同时各企事业单位往往是单打独斗，很难形成协同效应。

专利【CN109561111A】提供了一种攻击源确定方法，基于ARP协议使用场景有限，同时判定为攻击源后没有进一步的告警策略；专利【CN109561109A】提供了一种报文处理方法，但仅局限于无线控制器AC。

总的来说，现有方案的能力比较单一，或者局限于特定应用，无法实现群防群治。

发明内容

针对现有技术中的缺陷，本发明提供一种攻击源告警的方法，包括：从端管理平台获取匹配规则，所述匹配规则用于对异常协议报文进行识别；

对当前协议报文进行识别，并将识别出来的内容与所述匹配规则进行匹配，判断所述当前协议报文是否为异常协议报文；

响应于所述当前协议报文为异常协议报文，将所述异常协议报文的发出方定义为攻击源；

当再次接收到所述攻击源的协议报文时，对所述攻击源发送警示信息，并重置与内网服务的通信连接。

在一些实施例中，所述端管理平台中存储有信誉库，所述从端管理平台获取匹配规则，所述匹配规则用于对攻击事件进行识别，具体包括：

从端管理平台的信誉库中获取匹配规则，所述匹配规则用于对攻击事件进行识别。

在一些实施例中，还包括：

端管理平台从云中心获取信誉库数据，对所述信誉库中的匹配规则进行更新。

在一些实施例中，还包括：

若所述当前协议报文不为异常协议报文，则进一步判断所述当前协议报文是否为带有攻击性的报文，若所述当前协议报文为带有攻击性的报文，则对所述当前协议报文进行重新定义，确定所述当前协议报文的异常类型。

在一些实施例中，还包括：

将确定异常类型后的所述当前协议报文发送给端管理平台，由端管理平台将确定异常类型后的所述当前协议报文上报给云中心。

在一些实施例中，所述判断所述当前协议报文是否为带有攻击性的报文，具体包括：

对所述当前协议报文进行协议解析，确定所述当前协议报文的可能威胁能力，将可能威胁能力超过预设阈值的当前协议报文确定为带有攻击性的报文。

在一些实施例中，在所述将确定异常类型后的所述当前协议报文发送给端管理平台后，端管理平台基于攻击事件从攻击者、被攻击者和/或攻击过个角度通过大数据技术对捕捉到的安全事件进行二次分析。