[发明专利]一种基于网络设备日志实现自动压制和防护的方法及装置

权利要求书

1.一种基于网络设备日志实现自动压制和防护的方法，其特征在于，该方法包括：

通过配置各资源池的前置机服务器分别采集网络设备日志信息，并进行分类和预处理；

安全防护管理系统接收到预处理后的告警和流量信息进行分析和入库，并实时动态呈现，包括：

安全防护管理系统接收到预处理后的告警和流量信息，通过与预配置的资源池IP各类信息进行匹配，判断告警IP的防护级别，并将告警和流量信息入库，并展示在前端页面；

安全防护管理系统根据获取的资源池IP告警和流量信息、资源池IP的防护级别、资源池告警通知阈值和资源池自动压制阈值，执行自动压制逻辑，判断目前是否存在实时的压制任务，压制是否处于等待期或观察期，进而实施或调整相应的防护策略并下发，包括：

安全防护管理系统获取到资源池IP告警和流量信息、资源池IP的防护级别、资源池告警通知阈值和资源池自动压制阈值；其中资源池IP的防护级别包括白名单、VIP名单、黑名单及黑+名单，白名单仅发送告警通知不启动压制，VIP名单启动海外压制，黑名单逐步升级压制级别，其中海外压制级别大于网间压制级别，网间压制级别大于全网压制级别，黑+名单直接启动全网压制；

若流量值大于自动压制阈值，且没有正在执行的压制任务，则根据资源池IP的防护级别，启动相应的压制任务,并将压制任务置为等待期；

若流量值大于自动压制阈值，且存在正在执行的压制任务，压制级别为全网压制，则继续执行压制任务；

若流量值大于自动压制阈值，且存在正在执行的压制任务，压制级别为海外压制或网间压制，且资源池IP的防护级别为黑名单，则判断压制任务是否在等待期或者观察期，不在等待期和观察期的压制任务，升级到更高级别的压制任务，其中升级到全网压制的黑名单自动调整为黑+名单；在观察期的压制任务，变更回原压制级别，继续执行压制任务；

若定时任务检测到压制任务为等待期状态，则15分钟后自动将压制任务置为压制中状态；

若定时任务检测到压制任务已执行超过2小时，则将压制任务设置为观察期状态；

若定时任务检测到压制任务已执行24小时，则调用解压接口关闭压制；

所有的压制和防护策略下发成功后，安全防护管理系统通过短信和邮件的方式通知用户防护成功。

2.根据权利要求1所述的基于网络设备日志实现自动压制和防护的方法，其特征在于，通过配置各资源池的前置机服务器分别采集网络设备日志信息，并进行分类和预处理，包括：

通过配置各资源池的前置机服务器分别采集网络设备日志，并将采集到的网络设备日志信息分为告警日志信息和流量日志信息，通过分析告警日志信息中的告警开始和结束时间，将告警日志信息分为实时告警日志信息和历史告警日志信息，将流量日志信息和实时告警日志信息通过资源池IP进行匹配；

将采集到的网络设备日志信息中无用的字段信息进行删减，将低于流量基础阈值的日志进行丢弃。