[发明专利]告警误报排除方法、装置及计算机可读介质

权利要求书

1.告警误报排除方法，其特征在于，包括：

捕获HTTP网络数据包；

确定每个捕获到的所述网络数据包对应的通信协议；

确定对应于预设的至少一种目标通信协议的至少一个目标数据包，其中，所述目标通信协议为对应于至少一种抢票站点的通信协议；

将每个目标数据包输入预先构建的抢票站点地址特征库，确定当前目标数据包的地址信息是否对应一抢票站点的特征信息；其中，所述抢票站点地址特征库通过获取至少一种抢票站点的特征信息构建得到；

当目标数据包的地址信息对应抢票站点，将其列为威胁访问告警白名单。

2.根据权利要求1所述的方法，其特征在于，

所述抢票站点地址特征库，通过如下方式构建：

获取至少一种抢票站点域名对应的IP和Port组合生成第一特征库；

获取至少一种抢票站点域名对应的URL路径生成第二特征库；

所述第一特征库和所述第二特征库整合构成所述抢票站点地址特征库。

3.根据权利要求2所述的方法，其特征在于，

所述获取至少一种抢票站点域名对应的IP和Port组合生成第一特征库，包括如下方式中的至少一种：

利用爬虫服务获取至少一种抢票站点对应的全国代理地址，获取IP和Port组合；

通过DNS协议向全国DNS服务器发送查询至少一种抢票站点的域名信息，获取IP和Port组合；

解析网络流量包中包含至少一种抢票站点域名且对应该抢票站点通信协议的IP和Port组合；

获取至少一种抢票站点域名对应的URL路径，包括如下方式中的至少一种：

遍历至少一种抢票站点的URI信息，解析URI信息中的URL路径；

通过旁路或直路设备分析网络流量包并以至少一种抢票站点域名进行匹配，识别所述网络流量包的URL路径。

4.根据权利要求1所述的方法，其特征在于，

在当目标数据包的地址信息对应抢票站点之后，进一步包括：判断所述目标数据包的访问时间，当所述访问时间为预设的时间段时，将其列为威胁访问告警白名单；其中，所述预设时间段根据全国假期日期表得到。

5.根据权利要求1所述的方法，其特征在于，

当目标数据包的地址信息不对应抢票站点时，对网络数据包进行威胁分析；

所述威胁分析，包括：判断所述目标数据包的来源IP是否为黑名单IP；

当所述目标数据包的来源IP不为黑名单IP时，判断在当前时间之前预设时间段内所述相同的地址信息的访问次数是否超过阈值，其中，所述阈值根据常态统计值、用户设置值和经验值中的至少一种得到；

若超过阈值，则判定为DDOS攻击，向外部管理终端进行威胁访问警告。

6.根据权利要求5所述的方法，其特征在于，

进一步包括：当监控到目标数据包内存在恶意文件时，对恶意文件进行查杀处理，并克隆受攻击网络环境信息；

将恶意文件防御日志和克隆的所述受攻击网络环境信息上传至外部管理终端，以使所述外部管理终端基于上报的信息数据，对恶意文件和受攻击网络环境信息进行深入分析并形成分析报告，根据分析报告编排恶意文件的处置策略。

7.根据权利要求1-6所述的方法，其特征在于，

所述捕获HTTP网络数据包，包括：

当针对直路或旁路环境时，通过NDPI开源项目识别；当针对客户端环境时，通过HOOK系统API实现或通过对应的系统驱动实现。