[發(fā)明專利]一種告警消減方法、裝置、設備和計算機可讀存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 202110700500.6 | 申請日: | 2021-06-23 |
| 公開(公告)號: | CN113315785B | 公開(公告)日: | 2023-05-12 |
| 發(fā)明(設計)人: | 岳巍;裴琦杰 | 申請(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L41/0604 |
| 代理公司: | 深圳市深佳知識產(chǎn)權(quán)代理事務所(普通合伙) 44285 | 代理人: | 張金香 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 告警 消減 方法 裝置 設備 計算機 可讀 存儲 介質(zhì) | ||
1.一種告警消減方法,其特征在于,包括:
獲取初始的攻擊流量;
提取所述攻擊流量的特征參數(shù);其中,所述特征參數(shù)用于表征所述攻擊流量的分布特征;
基于設定的攻擊行為篩選條件對所述特征參數(shù)對應的告警信息進行消減,以消減掉非攻擊行為的攻擊流量對應的告警信息;其中,所述攻擊行為篩選條件包含不同分布特征對應的消減方式。
2.根據(jù)權(quán)利要求1所述的告警消減方法,其特征在于,所述特征參數(shù)包括攻擊方向和攻擊階段;相應的,所述攻擊行為篩選條件包含各攻擊方向及其匹配的攻擊階段;
所述基于設定的攻擊行為篩選條件對所述特征參數(shù)對應的告警信息進行消減包括:
基于所述攻擊行為篩選條件選取出攻擊方向和攻擊階段不匹配的目標攻擊流量;刪除所述目標攻擊流量對應的告警信息。
3.根據(jù)權(quán)利要求1所述的告警消減方法,其特征在于,所述特征參數(shù)包括攻擊類型和攻擊內(nèi)容;相應的,所述攻擊行為篩選條件包含基于攻擊類型和攻擊內(nèi)容設置的聚合方式;
所述基于設定的攻擊行為篩選條件對所述特征參數(shù)對應的告警信息進行消減包括:
利用所述攻擊行為篩選條件中與所述特征參數(shù)匹配的目標聚合方式,對所述特征參數(shù)對應的告警信息進行消減。
4.根據(jù)權(quán)利要求3所述的告警消減方法,其特征在于,所述攻擊內(nèi)容包括有效攻擊載荷、攻擊結(jié)果和攻擊時間;所述利用所述攻擊行為篩選條件中與所述特征參數(shù)匹配的目標聚合方式,對所述特征參數(shù)對應的告警信息進行消減包括:
依據(jù)所述攻擊流量對應的攻擊時間,將設定的時間范圍內(nèi)具有相同源地址和相同目的地址的攻擊流量進行匯總;
將匯總得到的攻擊流量中具有相同攻擊類型、相同有效攻擊載荷并且攻擊結(jié)果為失敗的攻擊流量聚合生成一條告警信息。
5.根據(jù)權(quán)利要求4所述的告警消減方法,其特征在于,在所述依據(jù)所述攻擊流量對應的攻擊時間,將設定的時間范圍內(nèi)具有相同源地址和相同目的地址的攻擊流量進行匯總之后還包括:
將匯總得到的攻擊流量中具有相同攻擊類型、相同有效攻擊載荷并且攻擊結(jié)果為成功的攻擊流量各自生成相應的告警信息。
6.根據(jù)權(quán)利要求1所述的告警消減方法,其特征在于,所述基于設定的攻擊行為篩選條件對所述特征參數(shù)對應的告警信息進行消減包括:
將所述攻擊流量中滿足設定的業(yè)務流量特征的攻擊流量對應的告警信息進行刪除。
7.根據(jù)權(quán)利要求6所述的告警消減方法,其特征在于,所述業(yè)務流量特征包括業(yè)務流量的產(chǎn)生時間、流量來源和流量類型;相應的,所述將所述攻擊流量中滿足設定的業(yè)務流量特征的攻擊流量對應的告警信息進行刪除包括:
將預設時間段內(nèi)同一目的地址對應的具有不同流量來源且流量類型相同的攻擊流量對應的告警信息進行刪除。
8.根據(jù)權(quán)利要求6所述的告警消減方法,其特征在于,所述將所述攻擊流量中滿足設定的業(yè)務流量特征的攻擊流量對應的告警信息進行刪除包括:
將所述攻擊流量中滿足服務器訪問關(guān)系的攻擊流量對應的告警信息進行刪除。
9.一種告警消減裝置,其特征在于,包括獲取單元、提取單元和消減單元;
所述獲取單元,用于獲取初始的攻擊流量;
所述提取單元,用于提取所述攻擊流量的特征參數(shù);其中,所述特征參數(shù)用于表征所述攻擊流量的分布特征;
所述消減單元,用于基于設定的攻擊行為篩選條件對所述特征參數(shù)對應的告警信息進行消減,以消減掉非攻擊行為的攻擊流量對應的告警信息;其中,所述攻擊行為篩選條件包含不同分布特征對應的消減方式。
10.一種告警消減設備,其特征在于,包括:
存儲器,用于存儲計算機程序;
處理器,用于執(zhí)行所述計算機程序以實現(xiàn)如權(quán)利要求1至8任意一項所述告警消減方法的步驟。
11.一種計算機可讀存儲介質(zhì),其特征在于,所述計算機可讀存儲介質(zhì)上存儲有計算機程序,所述計算機程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1至8任意一項所述告警消減方法的步驟。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110700500.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
