技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種網(wǎng)絡(luò)所受攻擊的報(bào)警方法及裝置。

背景技術(shù)

網(wǎng)頁(yè)Web入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，其通常部署在Web服務(wù)器上或者旁路上，并能夠?qū)eb訪問的實(shí)時(shí)流量進(jìn)行監(jiān)控分析，及時(shí)發(fā)現(xiàn)針對(duì)Web的攻擊行為，能夠有效解決Web所面臨的安全問題。

如果該系統(tǒng)發(fā)現(xiàn)了攻擊行為，應(yīng)該在第一時(shí)間內(nèi)予以響應(yīng)。常見響應(yīng)的方式包括報(bào)警、斷網(wǎng)、策略處理等。目前報(bào)警方式作為一種常見的響應(yīng)手段，系統(tǒng)可以通過對(duì)Web的攻擊行為進(jìn)行報(bào)警，及時(shí)將攻擊行為所對(duì)應(yīng)的威脅告知給管理員，管理員通過對(duì)報(bào)警的報(bào)警信息進(jìn)行處理，進(jìn)一步處理該威脅，該報(bào)警的方法的主要步驟包括：

獲取當(dāng)前報(bào)警的報(bào)警信息；

判斷當(dāng)前報(bào)警的報(bào)警信息中的威脅信息是否為預(yù)先劃分好的高危告警，該預(yù)先劃分好的高危告警通過預(yù)先劃分報(bào)警的報(bào)警信息中的威脅信息得到的，預(yù)先劃分報(bào)警的報(bào)警信息中的威脅信息包括：高危告警和一般告警；

如果當(dāng)前報(bào)警的報(bào)警信息中的威脅信息為高危告警，則直接告警；如果當(dāng)前報(bào)警的報(bào)警信息中的威脅信息不是高危告警，則推遲預(yù)設(shè)時(shí)間長(zhǎng)度后進(jìn)行告警，該預(yù)設(shè)時(shí)間長(zhǎng)度可以為1小時(shí)。

然而，發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中，發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下問題：

由于報(bào)警信息中威脅信息的劃分方式簡(jiǎn)單，系統(tǒng)出現(xiàn)大量高危報(bào)警，且相同的高危報(bào)警威脅消息會(huì)進(jìn)行重復(fù)告警，增大了消息的冗余度，管理員無(wú)法從大量高危報(bào)警信息提取告警的有效信息；或者在預(yù)設(shè)時(shí)間長(zhǎng)度以后，系統(tǒng)出現(xiàn)大量一般告警，且相同的一般報(bào)警威脅消息會(huì)進(jìn)行重復(fù)告警，增大了消息的冗余度，管理員也無(wú)法從一般告警提取告警的有效信息，總之，系統(tǒng)出現(xiàn)大量的報(bào)警信息，管理員從報(bào)警信息中的威脅信息提取報(bào)警信息難度大。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例的目的在于提供一種網(wǎng)絡(luò)所受攻擊的報(bào)警方法及裝置，以實(shí)現(xiàn)減少報(bào)警信息的冗余度，減小系統(tǒng)的報(bào)警信息，方便管理員提取報(bào)警信息。具體技術(shù)方案如下：

第一方面，本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)所受攻擊的報(bào)警方法，包括：

獲取對(duì)網(wǎng)絡(luò)所受攻擊需要進(jìn)行報(bào)警的待報(bào)警信息，其中，該待報(bào)警信息包括：所述網(wǎng)絡(luò)所受攻擊的攻擊特征；

基于所述待報(bào)警信息的攻擊特征與已報(bào)警信息的攻擊特征之間的相似度，確定所述待報(bào)警信息與所述已報(bào)警信息之間的相似度；

當(dāng)所述待報(bào)警信息與所述已報(bào)警信息之間的相似度不滿足預(yù)設(shè)相似條件時(shí)，使用所述待報(bào)警信息報(bào)警。

可選的，該待報(bào)警信息包括：所述網(wǎng)絡(luò)所受攻擊的多種攻擊特征；

所述基于所述待報(bào)警信息的攻擊特征與已報(bào)警信息的攻擊特征之間的相似度，確定所述待報(bào)警信息與所述已報(bào)警信息之間的相似度，包括：

針對(duì)所述待報(bào)警信息中的多種攻擊特征中的每種攻擊特征，計(jì)算該攻擊特征與對(duì)應(yīng)的已報(bào)警信息的攻擊特征之間的相似度；

基于所述待報(bào)警信息中的所有攻擊特征各自，與對(duì)應(yīng)的所述已報(bào)警信息的攻擊特征之間的相似度，計(jì)算所述待報(bào)警信息與所述已報(bào)警信息之間的相似度。

可選的，所述計(jì)算該攻擊特征與對(duì)應(yīng)的已報(bào)警信息的攻擊特征之間的相似度，包括：

分別計(jì)算該攻擊特征與對(duì)應(yīng)的已報(bào)警信息的攻擊特征之間的相似度；

根據(jù)該攻擊特征對(duì)應(yīng)的預(yù)設(shè)運(yùn)算方式，針對(duì)該攻擊特征與對(duì)應(yīng)的已報(bào)警信息的攻擊特征之間的相似度進(jìn)行運(yùn)算，得到該攻擊特征與對(duì)應(yīng)的已報(bào)警信息的攻擊特征之間的相似度。

可選的，所述基于所述待報(bào)警信息中的所有攻擊特征各自，與對(duì)應(yīng)的所述已報(bào)警信息的攻擊特征之間的相似度，計(jì)算所述待報(bào)警信息與所述已報(bào)警信息之間的相似度，包括：

獲取所述待報(bào)警信息中的多種攻擊特征中的每個(gè)攻擊特征對(duì)應(yīng)的權(quán)重，其中，所述每個(gè)攻擊特征對(duì)應(yīng)的權(quán)重之和為100％；

將所述待報(bào)警信息中的多種攻擊特征中的每個(gè)攻擊特征與對(duì)應(yīng)的所述已報(bào)警信息的攻擊特征之間的相似度，與對(duì)應(yīng)于每個(gè)攻擊特征的權(quán)重作加權(quán)，得到加權(quán)結(jié)果；

將所述加權(quán)結(jié)果作為所述待報(bào)警信息與所述已報(bào)警信息之間的相似度。

可選的，所述待報(bào)警信息中的多種攻擊特征包括：攻擊時(shí)間、攻擊的流量源IP地址、攻擊的流量目的IP地址及攻擊類型；

獲取所述待報(bào)警信息中的多種攻擊特征中的每個(gè)攻擊特征對(duì)應(yīng)的權(quán)重，包括：

獲取所述預(yù)設(shè)時(shí)間段內(nèi)，統(tǒng)計(jì)的所有報(bào)警信息的信息，所有報(bào)警信息的信息包括所有報(bào)警信息的消息總數(shù)及每一種攻擊特征對(duì)應(yīng)的報(bào)警信息總數(shù)；