[發(fā)明專利]安全日志的處理方法及電子設(shè)備、存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202210844266.9 | 申請日: | 2022-07-18 |
| 公開(公告)號: | CN115174249A | 公開(公告)日: | 2022-10-11 |
| 發(fā)明(設(shè)計)人: | 方銳 | 申請(專利權(quán))人: | 湖北天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京超凡宏宇專利代理事務(wù)所(特殊普通合伙) 11463 | 代理人: | 呂愛霞 |
| 地址: | 430040 湖北省武漢市臨*** | 國省代碼: | 湖北;42 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 安全 日志 處理 方法 電子設(shè)備 存儲 介質(zhì) | ||
1.一種安全日志的處理方法,應(yīng)用于分布式抗DDOS設(shè)備,所述分布式抗DDOS設(shè)備包括交換設(shè)備和多個防護(hù)設(shè)備,所述多個防護(hù)設(shè)備包括主設(shè)備和若干從設(shè)備,其特征在于,包括:
所述主設(shè)備定時向所述多個防護(hù)設(shè)備下發(fā)指示傳輸日志的DMT指令;其中,所述DMT指令包括采集時間段和傳遞時間;
每一防護(hù)設(shè)備響應(yīng)于DMT指令,在所述傳遞時間將所述采集時間段內(nèi)采集的日志信息,傳遞至所述主設(shè)備;
所述主設(shè)備匯總所述多個防護(hù)設(shè)備傳遞的日志信息后存儲至本地數(shù)據(jù)庫,并將已存儲的日志信息的日志索引信息,寫入至與日志信息匹配的防護(hù)結(jié)構(gòu)體中;其中,所述防護(hù)結(jié)構(gòu)體為防護(hù)對象對應(yīng)的結(jié)構(gòu)體。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
所述主設(shè)備在獲取任一防護(hù)設(shè)備傳遞的日志信息之后,檢查所述日志信息內(nèi)是否包括攻擊開始日志;其中,所述攻擊開始日志指示針對任一目標(biāo)服務(wù)器開始DDOS攻擊;
若存在,以所述攻擊開始日志中目的IP作為防護(hù)對象,并以所述目的IP在本地已構(gòu)建的防護(hù)結(jié)構(gòu)體中進(jìn)行查找;
若查到與目的IP對應(yīng)的防護(hù)結(jié)構(gòu)體,將所述攻擊開始日志寫入所述數(shù)據(jù)庫后,將所述攻擊開始日志的日志索引信息,寫入與所述目的IP對應(yīng)的防護(hù)結(jié)構(gòu)體;
若未查到與目的IP對應(yīng)的防護(hù)結(jié)構(gòu)體,為所述目的IP創(chuàng)建對應(yīng)的防護(hù)結(jié)構(gòu)體,并將所述攻擊開始日志寫入所述數(shù)據(jù)庫后,將所述攻擊開始日志的日志索引信息,寫入與所述目的IP對應(yīng)的防護(hù)結(jié)構(gòu)體。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
所述主設(shè)備在獲取任一防護(hù)設(shè)備傳遞的日志信息之后,檢查所述日志信息內(nèi)是否包括攻擊結(jié)束日志;其中,所述攻擊結(jié)束日志指示針對任一目標(biāo)服務(wù)器結(jié)束DDOS攻擊;
若存在,以所述攻擊結(jié)束日志中目的IP,在本地已構(gòu)建的防護(hù)結(jié)構(gòu)體中進(jìn)行查找;
將所述攻擊結(jié)束日志寫入所述數(shù)據(jù)庫后,將所述攻擊結(jié)束日志的日志索引信息,寫入查找到的防護(hù)結(jié)構(gòu)體。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述每一防護(hù)設(shè)備響應(yīng)于DMT指令,在所述傳遞時間將所述采集時間段內(nèi)采集的日志信息,傳遞至所述主設(shè)備,包括:
每一防護(hù)設(shè)備在所述采集時間段內(nèi)采集通用流量日志和攻擊流量日志,作為日志信息;其中,所述通用流量日志對應(yīng)于以目的IP劃分的流量,所述攻擊流量日志對應(yīng)于以源IP和目的IP劃分的攻擊流量;
在到達(dá)所述傳遞時間后,每一防護(hù)設(shè)備將采集到的日志信息傳遞至所述主設(shè)備。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述方法還包括:
每一防護(hù)設(shè)備接收到交換設(shè)備轉(zhuǎn)發(fā)的報文后,依據(jù)防護(hù)策略判斷所述報文是否為首次出現(xiàn)的攻擊流量的報文;
若是,為所述報文對應(yīng)的攻擊流量生成攻擊開始日志,并將所述攻擊開始日志作為日志信息。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述方法還包括:
任一防護(hù)設(shè)備為攻擊流量生成攻擊開始日志之后,對所述攻擊流量進(jìn)行監(jiān)控,若所述攻擊流量滿足攻擊終止條件,生成攻擊結(jié)束日志,并將所述攻擊結(jié)束日志作為日志信息。
7.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述方法還包括:
在所述防護(hù)設(shè)備采集日志信息之前,所述交換設(shè)備根據(jù)從外部接收的報文的源IP和目的IP,確定流量哈希;
所述交換設(shè)備在本地流量分配表中查找所述流量哈希;其中,所述流量分配表包括若干流量分配表項,每一流量分配表項包括流量哈希與防護(hù)設(shè)備的設(shè)備標(biāo)識之間的映射關(guān)系;
若查到與流量哈希對應(yīng)的流量分配表項,所述交換設(shè)備將報文發(fā)送至流量分配表項指示的防護(hù)設(shè)備;
若未查到與流量哈希對應(yīng)的流量分配表項,所述交換設(shè)備為所述流量哈希分配防護(hù)設(shè)備,基于已分配的防護(hù)設(shè)備的設(shè)備標(biāo)識和所述流量哈希構(gòu)建流量分配表項,并將報文發(fā)送至已分配的防護(hù)設(shè)備。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于湖北天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司,未經(jīng)湖北天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210844266.9/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:換熱器高空就位機(jī)
- 下一篇:一種具有清潔功能的籃球存放裝置
