[发明专利]告警误报排除方法、装置及计算机可读介质

说明书

本发明涉及告警误报排除方法、装置及计算机可读介质、装置及计算机可读介质，方法包括：捕获HTTP网络数据包；确定每个捕获到的网络数据包对应的通信协议；确定对应于预设的至少一种目标通信协议的至少一个目标数据包，其中，目标通信协议为对应于至少一种抢票站点的通信协议；将每个目标数据包输入预先构建的抢票站点地址特征库，确定当前目标数据包的地址信息是否对应一抢票站点的特征信息；其中，抢票站点地址特征库通过获取至少一种抢票站点的特征信息构建得到；当目标数据包的地址信息对应抢票站点，将其列为威胁访问告警白名单。本发明提供的方案能够排除抢票产生的高频访问而引起的告警误报。

技术领域

本发明涉及互联网技术领域，尤其涉及告警误报排除方法、装置及计算机可读介质、装置及计算机可读介质。

背景技术

在互联网安全领域中，为了防止黑客利用控制多台机器同时攻击服务器导致用户无法正常使用的情况，通常通过统计一段时间内相同的IP加端口的相关参数出现的频次来确定访问次数，并以此为依据来进行安全监测告警。

然而，在节假日期间用户通过互联网进行抢票的场景下，用户需要频繁的获取余票等数据，由此而产生的大量访问会触发监测告警机制，产生误报。

发明内容

本发明要解决的技术问题在于，针对抢票场景中产生的误报，提供告警误报排除方法、装置及计算机可读介质。

第一方面，本发明实施例提供了告警误报排除方法，包括：

捕获HTTP网络数据包；

确定每个捕获到的所述网络数据包对应的通信协议；

确定对应于预设的至少一种目标通信协议的至少一个目标数据包，其中，所述目标通信协议为对应于至少一种抢票站点的通信协议；

将每个目标数据包输入预先构建的抢票站点地址特征库，确定当前目标数据包的地址信息是否对应一抢票站点的特征信息；其中，所述抢票站点地址特征库通过获取至少一种抢票站点的特征信息构建得到；

当目标数据包的地址信息对应抢票站点，将其列为威胁访问告警白名单。

优选地，

所述抢票站点地址特征库，通过如下方式构建：

获取至少一种抢票站点域名对应的IP和Port组合生成第一特征库；

获取至少一种抢票站点域名对应的URL路径生成第二特征库；

所述第一特征库和所述第二特征库整合构成所述抢票站点地址特征库。

优选地，

所述获取至少一种抢票站点域名对应的IP和Port组合生成第一特征库，包括如下方式中的至少一种：

利用爬虫服务获取至少一种抢票站点对应的全国代理地址，获取IP和Port组合；

通过DNS协议向全国DNS服务器发送查询至少一种抢票站点的域名信息，获取IP和Port组合；

解析网络流量包中包含至少一种抢票站点域名且对应该抢票站点通信协议的IP和Port组合；

获取至少一种抢票站点域名对应的URL路径，包括如下方式中的至少一种：

遍历至少一种抢票站点的URI信息，解析URI信息中的URL路径；

通过旁路或直路设备分析网络流量包并以至少一种抢票站点域名进行匹配，识别所述网络流量包的URL路径。

优选地，