[发明专利]一种基于网络设备日志实现自动压制和防护的方法及装置

说明书

本发明公开一种基于网络设备日志实现自动压制和防护的方法及装置，其中，该方法包括：通过配置各资源池的前置机服务器分别采集网络设备日志信息，并进行分类和预处理；安全防护管理系统接收到预处理后的告警和流量信息进行分析和入库，并实时动态呈现；安全防护管理系统根据获取的IP告警和流量信息、IP防护级别、告警通知阈值和自动压制阈值，执行自动压制逻辑，判断目前是否存在实时压制任务，压制是否处于等待期或观察期，进而实施或调整相应防护策略并下发。该方法及装置根据自身业务特征和需求，灵活配置资源池IP防护策略，降低运维管理人员的工作难度；根据网络设备日志中的流量值动态调整相应压制或防护规则，提高网络安全防护效率。

技术领域

本发明涉及基于分析网络设备日志实现安全防护领域，尤其是一种基于网络设备日志实现自动压制和防护的方法及装置。

背景技术

现有技术已经存在多种基于分析网络设备日志实现的安全防护方法，这些方法通常是为待防护IP配置固定的防护策略，但不能根据实时流量攻击情况进行动态的控制和调整，比如一旦确定是黑名单，就不能自动升级黑+名单；没有提前录入的资源池IP，就算受到大流量攻击也会自动丢弃；比如自动压制启动后，不能结合当前流量值和是否进入等待期和观察期等状态调整压制策略等；因此，现有技术不够灵活，功能相对单一，需要运维管理人员来手动调整防护策略，导致网络安全防护的效率较低。

发明内容

为解决现有技术存在的上述问题，本发明提供一种基于网络设备日志实现自动压制和防护的方法及装置，通过分析网络设备上传的告警日志和流量日志信息，结合用户预配置的安全防护策略，实现告警和流量日志的入库和流量超出阈值时的自动压制和防护。

为实现上述目的，本发明采用下述技术方案：

在本发明一实施例中，提出了一种基于网络设备日志实现自动压制和防护的方法，该方法包括：

通过配置各资源池的前置机服务器分别采集网络设备日志信息，并进行分类和预处理；

安全防护管理系统接收到预处理后的告警和流量信息进行分析和入库，并实时动态呈现；

安全防护管理系统根据获取的资源池IP告警和流量信息、资源池IP的防护级别、资源池告警通知阈值和资源池自动压制阈值，执行自动压制逻辑，判断目前是否存在实时的压制任务，压制是否处于等待期或观察期，进而实施或调整相应的防护策略并下发。

进一步地，通过配置各资源池的前置机服务器分别采集网络设备日志信息，并进行分类和预处理，包括：

通过配置各资源池的前置机服务器分别采集网络设备日志，并将采集到的网络设备日志信息分为告警日志信息和流量日志信息，通过分析告警日志信息中的告警开始和结束时间，将告警日志信息分为实时告警日志信息和历史告警日志信息，将流量日志信息和实时告警日志信息通过资源池IP进行匹配；

将采集到的网络设备日志信息中无用的字段信息进行删减，将低于流量基础阈值的日志进行丢弃。

进一步地，安全防护管理系统接收到预处理后的告警和流量信息进行分析和入库，并实时动态呈现，包括：

安全防护管理系统接收到预处理后的告警和流量信息，通过与预配置的资源池IP各类信息进行匹配，判断告警IP的防护级别，并将告警和流量信息入库，并展示在前端页面。

进一步地，安全防护管理系统根据获取的资源池IP告警和流量信息、资源池IP的防护级别、资源池告警通知阈值和资源池自动压制阈值，执行自动压制逻辑，判断目前是否存在实时的压制任务，压制是否处于等待期或观察期，进而实施或调整相应的防护策略并下发，包括：