CN107819606A - 一种网络所受攻击的报警方法及装置 - Google Patents
一种网络所受攻击的报警方法及装置 Download PDFInfo
- Publication number
- CN107819606A CN107819606A CN201710905355.9A CN201710905355A CN107819606A CN 107819606 A CN107819606 A CN 107819606A CN 201710905355 A CN201710905355 A CN 201710905355A CN 107819606 A CN107819606 A CN 107819606A
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- alarm
- similarity
- alarm information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000012545 processing Methods 0.000 claims description 23
- 230000009467 reduction Effects 0.000 claims description 14
- 238000004891 communication Methods 0.000 description 22
- 238000004590 computer program Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000007704 transition Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000003247 decreasing effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种网络所受攻击的报警方法及装置,其中,该网络所受攻击的报警方法,包括:获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:所述网络所受攻击的攻击特征;基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度;当所述待报警信息与所述已报警信息之间的相似度不满足预设相似条件时,使用所述待报警信息报警。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种网络所受攻击的报警方法及装置。
背景技术
网页Web入侵检测***作为网络安全防护的重要手段,其通常部署在Web服务器上或者旁路上,并能够对Web访问的实时流量进行监控分析,及时发现针对Web的攻击行为,能够有效解决Web所面临的安全问题。
如果该***发现了攻击行为,应该在第一时间内予以响应。常见响应的方式包括报警、断网、策略处理等。目前报警方式作为一种常见的响应手段,***可以通过对Web的攻击行为进行报警,及时将攻击行为所对应的威胁告知给管理员,管理员通过对报警的报警信息进行处理,进一步处理该威胁,该报警的方法的主要步骤包括:
获取当前报警的报警信息;
判断当前报警的报警信息中的威胁信息是否为预先划分好的高危告警,该预先划分好的高危告警通过预先划分报警的报警信息中的威胁信息得到的,预先划分报警的报警信息中的威胁信息包括:高危告警和一般告警;
如果当前报警的报警信息中的威胁信息为高危告警,则直接告警;如果当前报警的报警信息中的威胁信息不是高危告警,则推迟预设时间长度后进行告警,该预设时间长度可以为1小时。
然而,发明人在实现本发明的过程中,发现现有技术至少存在如下问题:
由于报警信息中威胁信息的划分方式简单,***出现大量高危报警,且相同的高危报警威胁消息会进行重复告警,增大了消息的冗余度,管理员无法从大量高危报警信息提取告警的有效信息;或者在预设时间长度以后,***出现大量一般告警,且相同的一般报警威胁消息会进行重复告警,增大了消息的冗余度,管理员也无法从一般告警提取告警的有效信息,总之,***出现大量的报警信息,管理员从报警信息中的威胁信息提取报警信息难度大。
发明内容
本发明实施例的目的在于提供一种网络所受攻击的报警方法及装置,以实现减少报警信息的冗余度,减小***的报警信息,方便管理员提取报警信息。具体技术方案如下:
第一方面,本发明实施例提供了一种网络所受攻击的报警方法,包括:
获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:所述网络所受攻击的攻击特征;
基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度;
当所述待报警信息与所述已报警信息之间的相似度不满足预设相似条件时,使用所述待报警信息报警。
可选的,该待报警信息包括:所述网络所受攻击的多种攻击特征;
所述基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度,包括:
针对所述待报警信息中的多种攻击特征中的每种攻击特征,计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
基于所述待报警信息中的所有攻击特征各自,与对应的所述已报警信息的攻击特征之间的相似度,计算所述待报警信息与所述已报警信息之间的相似度。
可选的,所述计算该攻击特征与对应的已报警信息的攻击特征之间的相似度,包括:
分别计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
根据该攻击特征对应的预设运算方式,针对该攻击特征与对应的已报警信息的攻击特征之间的相似度进行运算,得到该攻击特征与对应的已报警信息的攻击特征之间的相似度。
可选的,所述基于所述待报警信息中的所有攻击特征各自,与对应的所述已报警信息的攻击特征之间的相似度,计算所述待报警信息与所述已报警信息之间的相似度,包括:
获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重,其中,所述每个攻击特征对应的权重之和为100%;
将所述待报警信息中的多种攻击特征中的每个攻击特征与对应的所述已报警信息的攻击特征之间的相似度,与对应于每个攻击特征的权重作加权,得到加权结果;
将所述加权结果作为所述待报警信息与所述已报警信息之间的相似度。
可选的,所述待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重,包括:
获取所述预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数及每一种攻击特征对应的报警信息总数;
针对每一种攻击特征,若所有报警信息的信息中同一该攻击特征对应的报警信息总数,占所述消息总数的百分比大于预设百分比,则增加该攻击特征对应的权重,相应减小除该攻击特征以外的其余攻击特征对应的权重;
将增大后的该攻击特征对应的权重作为该攻击特征对应的权重;将相应减小后的除该攻击特征以外的其余攻击特征对应的权重作为除该攻击特征以外的其余攻击特征对应的权重。
可选的,所述待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重,包括:
获取所述预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括将预设时间段平均划分的多个单位时间,每个单位时间内的报警信息出现的次数;
若单位时间内报警信息出现的次数大于预设次数,则累加出现的次数大于预设次数的报警信息所在的每个单位时间,得到累加时长;
若所述累加时长占所述预设时间段的百分比大于预设百分比,则增大所述攻击时间对应的权重,相应减小除该攻击时间以外的其余攻击特征对应的权重;
将增大后的攻击时间对应的权重作为攻击时间对应的权重;将相应减小后的除该攻击时间以外的其余攻击特征对应的权重作为除该攻击时间以外的其余攻击特征对应的权重。
可选的,所述预设相似条件为大于相似度阈值,所述相似度阈值通过以下步骤获得:
获取预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数;
若该所有报警信息的消息总数高于第一预设报警数量,且不低于第二预设报警数量,则减小所述相似度阈值,并更新所述相似度阈值为减小后的相似度阈值,其中,所述第二预设报警数量大于所述第一预设报警数量;
若该所有报警信息的消息总数高于所述第一预设报警数量,低于所述第二预设报警数量,则更新所述相似度阈值为该所有报警信息总数;
若该所有报警信息的消息总数低于所述第一预设报警数量,则增大所述相似度阈值,并更新所述相似度阈值为增大后的相似度阈值。
可选的,所述减小所述相似度阈值,更新所述相似度阈值为减小后的相似度阈值,包括:
基于所述相似度阈值上减小固定数值,更新所述相似度阈值为减小固定数值后的相似度阈值;
所述增大所述相似度阈值,更新所述相似度阈值为增大后的相似度阈值,包括:
基于所述相似度阈值上增大固定数值,更新所述相似度阈值为增大固定数值后的相似度阈值。
可选的,在所述确定所述待报警信息与所述已报警信息之间的相似度之后,所述方法还包括:
若所述待报警信息与所述已报警信息之间的相似度满足预设相似条件,则获取所述已报警信息中与该待报警信息相似度最高的报警信息;
获取对该相似度最高的报警信息中所受攻击进行处理的方式,处理所述待报警信息中的攻击。
第二方面,本发明实施例提供一种网络所受攻击的报警装置,包括:
第一获取模块,用于获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:所述网络所受攻击的攻击特征;
确定模块,用于基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度;
第一处理模块,用于当所述待报警信息与所述已报警信息之间的相似度不满足预设相似条件时,使用所述待报警信息报警。
可选的,该待报警信息包括:所述网络所受攻击的多种攻击特征;
所述确定模块包括:
第一计算模块,用于针对所述待报警信息中的多种攻击特征中的每种攻击特征,计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
第二计算模块,用于基于所述待报警信息中的所有攻击特征各自,与对应的所述已报警信息的攻击特征之间的相似度,计算所述待报警信息与所述已报警信息之间的相似度。
可选的,所述第一计算模块具体用于:
分别计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
根据该攻击特征对应的预设运算方式,针对该攻击特征与对应的已报警信息的攻击特征之间的相似度进行运算,得到该攻击特征与对应的已报警信息的攻击特征之间的相似度。
可选的,所述第二计算模块包括:
获取子模块,用于获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重,其中,所述每个攻击特征对应的权重之和为100%;
加权子模块,用于将所述待报警信息中的多种攻击特征中的每个攻击特征与对应的所述已报警信息的攻击特征之间的相似度,与对应于每个攻击特征的权重作加权,得到加权结果;
将所述加权结果作为所述待报警信息与所述已报警信息之间的相似度。
可选的,所述待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
所述获取子模块具体用于:
获取所述预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数及每一种攻击特征对应的报警信息总数;
针对每一种攻击特征,若所有报警信息的信息中同一该攻击特征对应的报警信息总数,占所述消息总数的百分比大于预设百分比,则增加该攻击特征对应的权重,相应减小除该攻击特征以外的其余攻击特征对应的权重;
将增大后的该攻击特征对应的权重作为该攻击特征对应的权重;将相应减小后的除该攻击特征以外的其余攻击特征对应的权重作为除该攻击特征以外的其余攻击特征对应的权重。
可选的,所述待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
所述获取子模块具体用于:
获取所述预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括将预设时间段平均划分的多个单位时间,每个单位时间内的报警信息出现的次数;
若单位时间内报警信息出现的次数大于预设次数,则累加出现的次数大于预设次数的报警信息所在的每个单位时间,得到累加时长;
若所述累加时长占所述预设时间段的百分比大于预设百分比,则增大所述攻击时间对应的权重,相应减小除该攻击时间以外的其余攻击特征对应的权重;
将增大后的攻击时间对应的权重作为攻击时间对应的权重;将相应减小后的除该攻击时间以外的其余攻击特征对应的权重作为除该攻击时间以外的其余攻击特征对应的权重。
可选的,所述预设相似条件为大于相似度阈值,所述相似度阈值通过第二获取模块获得,所述第二获取模块,用于:
获取预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数;
若该所有报警信息的消息总数高于第一预设报警数量,且不低于第二预设报警数量,则减小所述相似度阈值,并更新所述相似度阈值为减小后的相似度阈值,其中,所述第二预设报警数量大于所述第一预设报警数量;
若该所有报警信息的消息总数高于所述第一预设报警数量,低于所述第二预设报警数量,则更新所述相似度阈值为该所有报警信息总数;
若该所有报警信息的消息总数低于所述第一预设报警数量,则增大所述相似度阈值,并更新所述相似度阈值为增大后的相似度阈值。
可选的,所述第二获取模块,具体用于基于所述相似度阈值上减小固定数值,更新所述相似度阈值为减小固定数值后的相似度阈值;
基于所述相似度阈值上增大固定数值,更新所述相似度阈值为增大固定数值后的相似度阈值。
可选的,所述装置还包括:
第三获取模块,用于在所述确定模块确定所述待报警信息与所述已报警信息之间的相似度之后,若所述待报警信息与所述已报警信息之间的相似度满足预设相似条件,则获取所述已报警信息中与该待报警信息相似度最高的报警信息;
第二处理模块,用于获取对该相似度最高的报警信息中所受攻击进行处理的方式,处理所述待报警信息中的攻击。
第三方面,本发明实施例提供一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面所述的方法步骤。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法步骤。
第五方面,本发明实施例提供一种计算机设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序,实现所述第一方面所述的方法步骤。
第六方面,本发明实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行所述第一方面所述的步骤。
第七方面,本发明实施例提供了一种计算机程序,当其在计算机上运行时,使得计算机执行所述第一方面所述的步骤。
本发明实施例提供的一种网络所受攻击的报警方法及装置,可以通过获取对网络所受攻击需要进行报警的待报警信息;基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度;当所述待报警信息与所述已报警信息之间的相似度不满足预设相似条件时,使用所述待报警信息报警。
将不满足预设相似条件的相似度对应的待报警信息进行报警,避免了相似度比较大的报警信息进行重复报警,从而减少报警信息的冗余度,进一步减少***的报警信息,方便管理员提取报警信息。
当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的网络所受攻击的报警方法的流程示意图;
图2为本发明实施例的网络所受攻击的报警方法的第一结构示意图;
图3为本发明实施例的网络所受攻击的报警方法的第二结构示意图;
图4为本发明实施例的电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中的***出现大量的报警信息,管理员从报警信息中的威胁信息提取报警信息难度大的问题,本发明实施例提供一种网络所受攻击的报警方法及装置,通过待报警信息与已报警信息之间的相似度,当待报警信息与已报警信息之间的相似度不满足预设相似条件时,使用该待报警信息报警。这样将不满足预设相似条件的相似度对应的待报警信息进行报警,避免了相似度比较大的报警信息进行重复报警,从而减少报警信息的冗余度,进一步减少***的报警信息,方便管理员提取报警信息。
下面首先对本发明实施例所提供的网络所受攻击的报警方法进行介绍。
本发明实施例所提供的一种网络所受攻击的报警方法可以应用于互联网行业,具体可以应用于电子设备。
如图1所示,本发明实施例所提供的一种网络所受攻击的报警方法,可以包括如下步骤:
步骤101,获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:该网络所受攻击的攻击特征。
一种实施例中,攻击特征的数目可以是一种。利用一种攻击特征表征的网络所受的攻击,所使用的信息量小,占用运行内存小。
在其他实施例中,攻击特征的数目可以是多种,利用多种攻击特征表征的网络所受的攻击,确定该待报警信息与已报警信息之间的相似度较为准确。
攻击特征可以包括但不限于攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型。
步骤102,基于该待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定该待报警信息与已报警信息之间的相似度。
当该待报警信息与已报警信息之间的相似度不满足预设相似度条件时,表明待报警信息与已有报警信息存在差异,则使用该待报警信息报警。
在一种实施例中,本步骤102中的已报警信息的攻击特征可以通过如下步骤获得的:
先将已报警信息的攻击特征存储至一个预设的数据库中,然后本步骤201可以直接从预设的数据库中获得已报警信息的攻击特征。
在一种实施例中,所述步骤102中该待报警信息的攻击特征与已报警信息的攻击特征之间的相似度可以通过如下步骤确定:
先比对待报警信息的攻击特征与已报警信息的攻击特征,区分出来与该待报警信息的攻击特征对应的已报警信息中的攻击特征,和与该待报警信息的攻击特征不对应的已报警信息的攻击特征;
然后分别针对与该待报警信息的攻击特征对应的已报警信息中的攻击特征,计算该待报警信息的攻击特征与对应的已报警信息中的攻击特征之间的相似度;
针对与该待报警信息的攻击特征不对应的已报警信息中的攻击特征,计算该待报警信息的攻击特征与不对应的已报警信息中的攻击特征之间的相似度为零。与该待报警信息的攻击特征不对应的已报警信息中的攻击特征,表明该待报警信息的攻击特征与该不对应的已报警信息的攻击特征不同。
在一种实施例中,在该待报警信息包括:该网络所受攻击的一种攻击特征时,本步骤102中通过如下步骤,确定该待报警信息与已报警信息之间的相似度:
将该待报警信息的该攻击特征与对应已报警信息的攻击特征之间的相似度,将该该待报警信息的该攻击特征与对应已报警信息的攻击特征之间的相似度作为待报警信息与已报警信息之间的相似度。这样在该待报警信息中只有网络所受攻击的一种攻击特征时,可以利用该攻击特征,可以快速确定该待报警信息与已报警信息之间的相似度。
在其他实施例中,在该待报警信息包括:该网络所受攻击的多种攻击特征时,步骤102中通过如下步骤,确定待报警信息与已报警信息之间的相似度:
针对该待报警信息中的多种攻击特征中的每种攻击特征,计算该攻击特征与对应的已报警信息的攻击特征之间的相似度。基于所述待报警信息中的所有攻击特征各自,与对应的已报警信息的攻击特征之间的相似度,计算该待报警信息与已报警信息之间的相似度。这样在该待报警信息包括该网络所受攻击的多种攻击特征时,可以使用待报警信息中的多种攻击特征,准确地确定该待报警信息与已报警信息之间的相似度。
步骤103,当该待报警信息与已报警信息之间的相似度不满足预设相似条件时,使用该待报警信息报警。
预设相似度条件根据用户需要或工业需要设置。该预设相似度条件可以固定不变,也可以动态调整。
一种实施例中,该预设相似条件为大于相似度阈值,该相似度阈值可以在60%至100%的数值范围内取值。该相似度阈值的取值越大,则确定该待报警信息与已有报警信息的相似度的准确性越高。
在其他实施例中,所述步骤103中该预设相似条件为大于相似度阈值,该相似度阈值可以通过以下步骤获得:
先获取预设时间段内,统计的所有报警信息的信息,该信息包括所有报警信息的消息总数,再判断该信息中所有报警信息的消息总数分别与第一预设报警数量和第二预设报警数量的关系。
若该所有报警信息的消息总数高于第一预设报警数量,且不低于第二预设报警数量,则减小相似度阈值,并更新所述相似度阈值为减小后的相似度阈值。
若该所有报警信息的消息总数高于所述第一预设报警数量,低于所述第二预设报警数量,则更新所述相似度阈值为该所有报警信息总数,其中,所述第二预设报警数量大于所述第一预设报警数量。
若该所有报警信息的消息总数低于所述第一预设报警数量,则增大相似度阈值,并更新所述相似度阈值为增大后的相似度阈值。
所述预设时间段可以根据用户需求及工业需要设置。示例性的,预设时间段为1小时、半天、一天、半个月或一个月。
在一种实施例中,可以通过如下步骤获取预设时间段内,统计的所有报警信息的信息:
先将该预设时间段内,所统计的所有报警信息的信息记录在预设的数据库中,然后本步骤可以从预设的数据库中获得预设时间段内,统计的所有报警信息的信息。
在其他实施例中,可以通过如下步骤获取预设时间段内,统计的所有报警信息的信息:
首先终端记录预设时间段内的所有报警信息的信息,然后用户使用终端所记录的信息,并通过终端向电子设备反馈预设时间段内的所有报警信息的信息。对应的,电子设备接收用户针对预设时间段内反馈的所有报警信息的信息。本步骤可以通过接收用户反馈的所有报警信息的信息。所述终端可以为任何终端,比如,手机。能够实现在本发明实施例的终端,均属于本发明的保护范围。
用户可以选择电子设备反馈页面上能够反馈,预设时间段内的所有报警信息的信息的选择按钮,然后向电子设备反馈预设时间段内的所有报警信息的信息。对应的,电子设备接收该反馈页面的选择按钮的选择信号,然后启动接收用户针对预设时间段内反馈的所有报警信息的信息。
所述第一预设报警数量和第二预设报警数量均可以根据用户需要或工业需要进行设置。通过第一预设报警数量和第二预设报警数量,均可以与所有报警信息的消息总数比较,来调整相似度阈值。
接收的所有报警信息的消息总数大于第二预设报警数量,说明接收的所有报警信息的消息总数过多,用户提取报警信息的难度大,则需要减小相似度阈值,这样可以筛选出相似度较小的报警信息,也就是,筛选出差异性较大的报警信息,从而减小报警信息的使用数量。
接收的所有报警信息的消息总数小于第一预设报警数量,说明接收的所有报警信息的消息总数过少,报警信息被过度限制,虽然用户提取报警信息的难度小,但是电子设备在预设时间段的一部分时间内,可能没有报警信息,用户提取不到报警信息,则需要增大相似度阈值,这样可以筛选出相似度不高的报警信息,也就是,筛选出差异性不大的报警信息,从而增加报警信息的使用数量。
所述减小相似度阈值可以是基于相似度阈值上减小固定数值,这样可以更新所述相似度阈值为减小固定数值后的相似度阈值。该固定数值可以根据用户需要及工业需求确定。示例性的,该固定数值可以在0.5%至10%的数值范围内取值。这样每次可以按照固定数值减少相似度阈值,方便每次调整相似度阈值。
若该所有报警信息的消息总数高于所述第一预设报警数量,低于所述第二预设报警数量,表明设置的相似度阈值合适。
所述增大相似度阈值可以是基于该相似度阈值上增加固定数值,这样可以更新该相似度阈值为增大固定数值后的相似度阈值。该固定数值与减小相似度阈值所使用的固定数值相类似,且均能达到相同或相似的有益效果,在此不再赘述。
由此可见,由于本发明实施例中,将不满足预设相似条件的相似度对应的待报警信息进行报警,避免了相似度比较大的报警信息进行重复报警,从而减少报警信息的冗余度,进一步减少***的报警信息,方便管理员提取报警信息,也提高了***的安全性。
在一种实施方式中,所述基于该待报警信息中的所有攻击特征各自,与对应的已报警信息的攻击特征之间的相似度,计算该待报警信息与已报警信息之间的相似度,包括:
分别计算该攻击特征与对应的已报警信息的攻击特征之间的相似度。
根据该攻击特征对应的预设运算方式,针对该攻击特征与对应的已报警信息的攻击特征之间的相似度进行运算,得到该攻击特征与对应的已报警信息的攻击特征之间的相似度。
在攻击特征为攻击时间时,本步骤中通过如下步骤获取该攻击特征与对应的已报警信息的攻击特征之间的相似度:
将该待报警信息中的攻击时间与对应的每个已报警信息中的攻击时间作差,得到该第一攻击时间与第二攻击时间之间的第一时间间隔。
根据时间间隔与相似度之间的对应关系,确定与第一时间间隔对应的第一相似度,将该第一相似度作为该待报警信息中的攻击时间与对应的已报警信息的攻击时间之间的相似度。
在一种实施例中,时间间隔与相似度之间的对应关系可以通过表格表示,该表1可以为时间间隔与相似度之间的对应关系。
表1
| 时间间隔 | 相似度 |
| 0~0.2 | 100 |
| 0.2~0.4 | 80 |
| 0.4~0.6 | 60 |
| 0.6~0.8 | 30 |
| 0.8~1 | 10 |
| 大于1 | 0 |
示例性的,通过所述该第一攻击时间与第二攻击时间之间的第一时间间隔为0.8小时,则对应的确定的第一相似度为10,也就是说,该待报警信息中的攻击时间与对应的已报警信息的攻击时间之间的相似度为10。
所述时间间隔的单位可以为分钟,也可以为小时,还可以为天。当然所述时间间隔所处的不同时间范围只是举例说明。若需要该待报警信息中的攻击时间与对应的已报警信息的攻击时间之间的相似度更加准确,将0到1之间划分的时间范围更加精细,与时间范围对应的相似度设置也需要更加精细。
在其他实施例中,时间间隔与相似度之间的对应关系可以通过反比例函数表示,能够标识时间间隔与相似度呈反比关系的反比例函数,均属于本发明实施例的保护范围。
示例性的反比例函数,
其中,x为时间间隔,该时间间隔的取值为大于或等于0的自然数,Y为相似度,k为反比例系数,k的取值为大于或等于0的自然数,k和x的单位可以为分钟,也可以为小时,还可以为天,该反比例系数可以根据用户需要进行设置。在此不一一举例。
在攻击特征为IP地址,该IP地址为攻击的流量源IP地址或者攻击的流量目的IP地址时,本步骤中通过如下步骤获取该攻击特征和,与该待报警信息中的该攻击特征对应的已报警信息的攻击特征之间的相似度:
转换该待报警信息中的IP地址为二进制IP地址,转换与该待报警信息中的该攻击特征对应的每个已报警信息中的IP地址为二进制IP地址;
通过汉明距离函数,计算该待报警信息中的IP地址转换后的二进制IP地址,和与该待报警信息中的该攻击特征对应的每个已报警信息中的IP地址转换后的二进制IP地址之间的第一汉明距离;利用所有第一汉明距离,计算该待报警信息中的该攻击特征和,与该待报警信息中的该攻击特征对应的已报警信息的该攻击特征的第二汉明距离。
根据汉明距离与相似度之间的对应关系,确定与第二汉明距离对应的第二相似度,将该第二相似度作为该待报警信息中的该攻击特征和,与该待报警信息中的该攻击特征对应的已报警信息的该攻击特征之间的相似度。
在一种实施例中,汉明距离与相似度之间的对应关系可以通过表格表示,该表2可以为汉明距离与相似度之间的对应关系。
表2
| 汉明距离 | 相似度 |
| 小于预设汉明距离 | 100 |
| 大于预设汉明距离 | 0 |
该预设汉明距离与相似度之间的关系可以根据用户需求进行设置,预设汉明距离与相似度均可以调整,在此不再赘述。
在其他实施例中,汉明距离与相似度之间的对应关系可以为表征汉明距离和相似度的函数。
所述汉明距离函数可以为
其中,
H为该待报警信息中的该攻击特征与对应的已报警信息的该攻击特征的第一汉明距离,n为该待报警信息中的IP地址转换后的二进制IP地址或与该待报警信息中的该攻击特征对应的每个已报警信息中的IP地址转换后的二进制IP地址的字符个数。需要注意的是,n通常取该待报警信息中的IP地址转换后的二进制IP地址或与该待报警信息中的该攻击特征对应的每个已报警信息中的IP地址转换后的二进制IP地址对应字符串的字符个数中较多的二进制IP地址所对应的字符个数。当Vi为该待报警信息中的IP地址转换后的二进制IP地址中的第i字符时,Vj为与该待报警信息中的该攻击特征对应的每个已报警信息中的IP地址转换后的二进制IP地址中的第j字符,或者,当Vi为与该待报警信息中的该攻击特征对应的每个已报警信息中的IP地址转换后的二进制IP地址的第i字符时,Vj为该待报警信息中的IP地址转换后的二进制IP地址中的第j字符。
表征汉明距离和相似度的函数为:
其中,Adj(P,T)为待报警信息中的IP地址转换后的二进制IP地址对应的字符串P和与该待报警信息中的该攻击特征对应的每个已报警信息中的IP地址转换后的二进制IP地址对应的字符串T之间的第二相似度,H为该待报警信息中的该攻击特征和,与该待报警信息中的该攻击特征对应的已报警信息的该攻击特征的第一汉明距离,maxH为该待报警信息中的该攻击特征和,与该待报警信息中的该攻击特征对应的已报警信息的该攻击特征的最大第一汉明距离。
例如,预设阈值为B,当Adj(P,T)>B时,待报警信息中的该攻击特征和,与该待报警信息中的该攻击特征对应的已报警信息的该攻击特征不相同;当Adj(P,T)≤B时,待报警信息中的该攻击特征和,与该待报警信息中的该攻击特征对应的已报警信息的该攻击特征相同。
在攻击特征为攻击类型时,本步骤中通过如下步骤获取该攻击特征与对应的已报警信息的攻击特征之间的相似度:
转换该待报警信息中的攻击类型为第一攻击状态;
比较该第一攻击状态与对应的每个已有报警信息中的攻击类型所形成的状态转移图中的攻击状态,确定该第一攻击状态的状态转移概率,其中,该状态转移概率表征第一攻击状态变成所述状态转移图中的攻击状态的概率;
将该状态转移概率求平均值,并将状态转移概率所得到的平均值作为待报警信息中的攻击类型与对应的已报警信息的攻击类型之间的相似度。
在一种实施方式中,所述基于该待报警信息中的多种攻击特征中的每个攻击特征,与对应的该已报警信息的攻击特征之间的相似度,计算该待报警信息与该已报警信息之间的相似度,包括:
在一种具体实施例中,将该待报警信息中的多种攻击特征中的每个攻击特征的相似度作和,将该和作为该待报警信息与该已报警信息之间的相似度。这样利用作和计算该待报警信息与该已报警信息之间的相似度,计算方式方便快捷。
在其他实施例中,
第一步,获取该待报警信息中的多种攻击特征中的每个攻击特征对应的权重,其中,每个攻击特征对应的权重通过每个攻击特征的重要程度确定的,该每个攻击特征对应的权重之和为100%。
第二步,将该待报警信息中的多种攻击特征中每个攻击特征与对应的该已报警信息的攻击特征之间的相似度,与对应于每个攻击特征的权重作加权,得到加权结果。
第三步,将该加权结果作为该待报警信息与该已报警信息之间的相似度。
可选的,所述待报警信息中的多种攻击特征中的每个攻击特征分别定义的特征向量为(time,src_ip,dest_ip,type),其中,特征向量time表示攻击时间、特征向量src_ip表示攻击的流量源IP、特征向量dest_ip表示攻击的流量目的IP、特征向量type表示攻击类型。
根据所述获取该攻击特征与对应的已报警信息的攻击特征之间的相似度的步骤,分别确定攻击时间、攻击的流量源IP、攻击的流量目的IP、攻击类型的相似度,该攻击时间、攻击的流量源IP、攻击的流量目的IP、攻击类型的相似度分别对应为Sim(time),Sim(src_ip),Sim(dst_ip),Sim(type)。
获取攻击时间、攻击的流量源IP、攻击的流量目的IP、攻击类型分别对应的权重为p,q,m,n;
计算加权结果SIM的计算公式如下:
SIM=Sim(time)×p+Sim(src_ip)×q+Sim(dst_ip)×m+Sim(type)×n,将加权结果SIM作为该待报警信息与该已报警信息之间的相似度。该p,q,m,n可以设置为固定的数值,也可以为可变的数值。具体的,p,q,m,n可以根据用户需求或工业需要设置。
在所述实施例中,先获取每个攻击特征对应的权重,然后利用加权计算待报警信息与已报警信息之间的相似度,这样按照每个攻击特征的重要性来计算待报警信息与已报警信息之间的相似度,可以满足用户或电子设备对不同攻击特征的需求,也可以提高计算相似度的准确性。
在一种实施例中,获取该待报警信息中的多种攻击特征中的每个攻击特征对应的权重,包括:
获取在该预设时间内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数及每一种攻击特征对应的报警信息总数。
针对每一种攻击特征,若所有报警信息的信息中同一该攻击特征对应的报警信息总数,占所述消息总数的百分比大于预设百分比,则增加该攻击特征对应的权重,相应减小除该攻击特征以外的其余攻击特征对应的权重。
将增大后的该攻击特征对应的权重作为该攻击特征对应的权重;将相应减小后的除该攻击特征以外的其余攻击特征对应的权重作为除该攻击特征以外的其余攻击特征对应的权重。
预设百分比可以根据用户需要及工业需要进行设置。示例性的,该预设百分比可以在20%至40%的数值范围内取值。
在本发明实施例中,通过按照所有报警信息的信息中同一该攻击特征对应的报警信息总数,占所述消息总数的百分比大于预设百分比,调整该攻击特征对应的权重,这样可以根据实际情况,按照每个攻击特征的重要性来计算该待报警信息与该已报警信息之间的相似度,也可以提高计算结果的准确性。
实例性的,针对攻击的流量源IP地址,若所有报警信息的信息中同一攻击的流量源IP地址对应的报警信息总数,占所述消息总数的百分比大于30%,则增加该攻击特征对应的权重,相应减小除该攻击特征以外的其余攻击特征对应的权重。
所述增加该攻击特征对应的权重可以增大固定数值,所述减小除该攻击特征以外的其余攻击特征对应的权重可以减小固定数值。该固定数值可以根据用户需要及工业需求确定。示例性的,该固定数值可以在0.5%至10%的数值范围内取值。这样每次可以按照固定数值减少相似度阈值,方便每次调整权重。
在本发明实施例中,通过自动地调整每个攻击特征对应的权重,可以较好地符合实际报警场景,提高报警信息进行报警的准确度。
在其他一种实施例中,获取该待报警信息中的多种攻击特征中的每个攻击特征对应的权重,包括:
先获取预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括将预设时间段平均划分的多个单位时间,每个单位时间内的报警信息出现的次数。
若单位时间内报警信息出现的次数大于预设次数,则累加出现的次数大于预设次数的报警信息所在的每个单位时间,得到累加时长。该预设次数可以根据用户需要进行设置。
若该累加时长占该预设时间段的百分比大于预设百分比,则增大所述攻击时间对应的权重,相应减小除该攻击时间以外的其余攻击特征对应的权重。
将增大后的攻击时间对应的权重作为攻击时间对应的权重;将相应减小后的除该攻击时间以外的其余攻击特征对应的权重作为除该攻击时间以外的其余攻击特征对应的权重。
所述得到攻击特征的权重的实现流程过程具体如下:
该预设时间段为5秒,每个单位时间为1秒,该预设时间段有5个单位时间;
第1秒内报警信息出现的次数为20;
第2秒内报警信息出现的次数为10;
第3秒内报警信息出现的次数为0次;
第4秒内报警信息出现的次数为5次;
第5秒内报警信息出现的次数为12次;
假设预设次数为8次,则分别在第1秒、第2秒、第5秒内报警信息出现的次数大于8次,得到将这报警信息出现的次数大于8次所在的第1秒,第2秒及第5秒累加,得到累加时长,该累加时长为3秒,则该3秒内报警信息的出现的次数大于8次。
假设预设百分比为30%,3秒占5秒的百分比为60%;60%大于30%,则增大攻击时间对应的权重,相应减小除该攻击时间以外的其余攻击特征对应的权重。
将增大后的攻击时间对应的权重作为攻击时间对应的权重;将相应减小后的除该攻击时间以外的其余攻击特征对应的权重作为除该攻击时间以外的其余攻击特征对应的权重。
在本发明实施例中,通过自动地调整每个攻击特征对应的权重,可以较好地符合实际报警场景,提高待警信息进行报警的准确度。
一种实施例中,在所述步骤103之后,所述方法还包括:
当该待报警信息与该已报警信息之间的相似度满足预设相似条件时,则获取该已报警信息中与该待报警信息相似度最高的报警信息;
获取对该相似度最高的报警信息中所受攻击进行处理的方式,处理所述待报警信息中的攻击。
该所受攻击进行处理的方式包括:加入黑名单。只要能够实现在报警信息报警给用户以后,用户对所受攻击进行处理,所采用的处理方式,均属于本发明实施例的保护范围,在此不再一一赘述。
在本发明实施例中,将待报警的消息与已经报警过的报警信息进行比对后,如果相似度高于预设阈值,说明相似度较大,与已经报警过的报警信息的差异性较小,则直接按照已经报警过的报警信息所对应的攻击处理操作进行操作处理,减少管理员对攻击的待报警信息的分析及处理时间,极大地提高了管理员对网络所受攻击的及时处理,从而提高网络web***整体的安全性。
如图2所示,本发明实施例还提供一种网络所受攻击的报警装置,包括:
第一获取模块201,用于获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:该网络所受攻击的攻击特征;
确定模块202,用于基于该待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定该待报警信息与该已报警信息之间的相似度;
第一处理模块203,用于当该待报警信息与该已报警信息之间的相似度不满足预设相似条件时,使用该待报警信息报警。
相应于所述图2的基础上,如图3所示,可选的,该待报警信息包括:该网络所受攻击的多种攻击特征;
该确定模块202包括:
第一计算模块301,用于针对该待报警信息中的多种攻击特征中的每种攻击特征,计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
第二计算模块302,用于基于该待报警信息中的所有攻击特征各自,与对应的该已报警信息的攻击特征之间的相似度,计算该待报警信息与该已报警信息之间的相似度。
可选的,该第一计算模块301具体用于:
分别计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
根据该攻击特征对应的预设运算方式,针对该攻击特征与对应的已报警信息的攻击特征之间的相似度进行运算,得到该攻击特征与对应的已报警信息的攻击特征之间的相似度。
可选的,该第二计算模块302包括:
获取子模块3021,用于获取该待报警信息中的多种攻击特征中的每个攻击特征对应的权重,其中,该每个攻击特征对应的权重之和为100%;
加权子模块3022,用于将该待报警信息中的多种攻击特征中的每个攻击特征与对应的该已报警信息的攻击特征之间的相似度,与对应于每个攻击特征的权重作加权,得到加权结果;
将该加权结果作为该待报警信息与该已报警信息之间的相似度。
可选的,该待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
该获取子模块3021具体用于:
获取该预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数及每一种攻击特征对应的报警信息总数;
针对每一种攻击特征,若所有报警信息的信息中同一该攻击特征对应的报警信息总数,占该消息总数的百分比大于预设百分比,则增加该攻击特征对应的权重,相应减小除该攻击特征以外的其余攻击特征对应的权重;
将增大后的该攻击特征对应的权重作为该攻击特征对应的权重;将相应减小后的除该攻击特征以外的其余攻击特征对应的权重作为除该攻击特征以外的其余攻击特征对应的权重。
可选的,该待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
该获取子模块3021具体用于:
获取该预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括将预设时间段平均划分的多个单位时间,每个单位时间内的报警信息出现的次数;
若单位时间内报警信息出现的次数大于预设次数,则累加出现的次数大于预设次数的报警信息所在的每个单位时间,得到累加时长;
若该累加时长占该预设时间段的百分比大于预设百分比,则增大该攻击时间对应的权重,相应减小除该攻击时间以外的其余攻击特征对应的权重;
将增大后的攻击时间对应的权重作为攻击时间对应的权重;将相应减小后的除该攻击时间以外的其余攻击特征对应的权重作为除该攻击时间以外的其余攻击特征对应的权重。
可选的,该预设相似条件为大于相似度阈值,该相似度阈值通过第二获取模块获得,该第二获取模块,用于:
获取预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数;
若该所有报警信息的消息总数高于第一预设报警数量,且不低于第二预设报警数量,则减小该相似度阈值,并更新该相似度阈值为减小后的相似度阈值,其中,所述第二预设报警数量大于所述第一预设报警数量;
若该所有报警信息的消息总数高于该第一预设报警数量,低于该第二预设报警数量,则更新该相似度阈值为该所有报警信息总数;
若该所有报警信息的消息总数低于该第一预设报警数量,则增大该相似度阈值,并更新该相似度阈值为增大后的相似度阈值。
可选的,该第二获取模块,具体用于基于该相似度阈值上减小固定数值,更新该相似度阈值为减小固定数值后的相似度阈值;
基于该相似度阈值上增大固定数值,更新该相似度阈值为增大固定数值后的相似度阈值。
可选的,该装置还包括:
第三获取模块303,用于在该确定模块202确定该待报警信息与该已报警信息之间的相似度之后,若该待报警信息与该已报警信息之间的相似度满足预设相似条件,则获取该已报警信息中与该待报警信息相似度最高的报警信息;
第二处理模块304,用于获取对该相似度最高的报警信息中所受攻击进行处理的方式,处理该待报警信息中的攻击。
相应于所述图1所示的方法实施例,本发明实施例还提供了一种电子设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现如下步骤:
获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:该网络所受攻击的攻击特征;
基于该待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定该待报警信息与该已报警信息之间的相似度;
当该待报警信息与该已报警信息之间的相似度不满足预设相似条件时,使用该待报警信息报警。
本发明实施例提供一种计算机设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序,实现所述网络所受攻击的报警方法的步骤。
所述电子设备提到的通信总线可以是外设部件互连标准(PerIP地址heralComponent Interconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于所述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
所述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例提供的方法可以应用于电子设备。具体的,该电子设备可以为:台式计算机、便携式计算机、智能移动终端、服务器等。在此不作限定,任何可以实现本发明的电子设备,均属于本发明的保护范围。
本发明实施例提供了一种计算机可读存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现所述网络所受攻击的报警方法的步骤。
本发明实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行所述网络所受攻击的报警方法的步骤。
本发明实施例提供了一种计算机程序,当其在计算机上运行时,使得计算机执行所述网络所受攻击的报警方法的步骤。
对于装置/电子设备/计算机可读存储介质/包含指令的计算机程序产品/计算机程序实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置/电子设备/计算机可读存储介质/包含指令的计算机程序产品/计算机程序实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种网络所受攻击的报警方法,其特征在于,包括:
获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:所述网络所受攻击的攻击特征;
基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度;
当所述待报警信息与所述已报警信息之间的相似度不满足预设相似条件时,使用所述待报警信息报警。
2.如权利要求1所述的方法,其特征在于,该待报警信息包括:所述网络所受攻击的多种攻击特征;
所述基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度,包括:
针对所述待报警信息中的多种攻击特征中的每种攻击特征,计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
基于所述待报警信息中的所有攻击特征各自,与对应的所述已报警信息的攻击特征之间的相似度,计算所述待报警信息与所述已报警信息之间的相似度。
3.如权利要求2所述的方法,其特征在于,
所述计算该攻击特征与对应的已报警信息的攻击特征之间的相似度,包括:
分别计算该攻击特征与对应的已报警信息的攻击特征之间的相似度;
根据该攻击特征对应的预设运算方式,针对该攻击特征与对应的已报警信息的攻击特征之间的相似度进行运算,得到该攻击特征与对应的已报警信息的攻击特征之间的相似度。
4.如权利要求2所述的方法,其特征在于,
所述基于所述待报警信息中的所有攻击特征各自,与对应的所述已报警信息的攻击特征之间的相似度,计算所述待报警信息与所述已报警信息之间的相似度,包括:
获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重,其中,所述每个攻击特征对应的权重之和为100%;
将所述待报警信息中的多种攻击特征中的每个攻击特征与对应的所述已报警信息的攻击特征之间的相似度,与对应于每个攻击特征的权重作加权,得到加权结果;
将所述加权结果作为所述待报警信息与所述已报警信息之间的相似度。
5.如权利要求4所述的方法,其特征在于,
所述待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重,包括:
获取所述预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数及每一种攻击特征对应的报警信息总数;
针对每一种攻击特征,若所有报警信息的信息中同一该攻击特征对应的报警信息总数,占所述消息总数的百分比大于预设百分比,则增加该攻击特征对应的权重,相应减小除该攻击特征以外的其余攻击特征对应的权重;
将增大后的该攻击特征对应的权重作为该攻击特征对应的权重;将相应减小后的除该攻击特征以外的其余攻击特征对应的权重作为除该攻击特征以外的其余攻击特征对应的权重。
6.如权利要求4所述的方法,其特征在于,
所述待报警信息中的多种攻击特征包括:攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型;
获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重,包括:
获取所述预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括将预设时间段平均划分的多个单位时间,每个单位时间内的报警信息出现的次数;
若单位时间内报警信息出现的次数大于预设次数,则累加出现的次数大于预设次数的报警信息所在的每个单位时间,得到累加时长;
若所述累加时长占所述预设时间段的百分比大于预设百分比,则增大所述攻击时间对应的权重,相应减小除该攻击时间以外的其余攻击特征对应的权重;
将增大后的攻击时间对应的权重作为攻击时间对应的权重;将相应减小后的除该攻击时间以外的其余攻击特征对应的权重作为除该攻击时间以外的其余攻击特征对应的权重。
7.如权利要求1所述的方法,其特征在于,
所述预设相似条件为大于相似度阈值,所述相似度阈值通过以下步骤获得:
获取预设时间段内,统计的所有报警信息的信息,所有报警信息的信息包括所有报警信息的消息总数;
若该所有报警信息的消息总数高于第一预设报警数量,且不低于第二预设报警数量,则减小所述相似度阈值,并更新所述相似度阈值为减小后的相似度阈值,其中,所述第二预设报警数量大于所述第一预设报警数量;
若该所有报警信息的消息总数高于所述第一预设报警数量,低于所述第二预设报警数量,则更新所述相似度阈值为该所有报警信息总数;
若该所有报警信息的消息总数低于所述第一预设报警数量,则增大所述相似度阈值,并更新所述相似度阈值为增大后的相似度阈值。
8.如权利要求7所述的方法,其特征在于,所述减小所述相似度阈值,更新所述相似度阈值为减小后的相似度阈值,包括:
基于所述相似度阈值上减小固定数值,更新所述相似度阈值为减小固定数值后的相似度阈值;
所述增大所述相似度阈值,更新所述相似度阈值为增大后的相似度阈值,包括:
基于所述相似度阈值上增大固定数值,更新所述相似度阈值为增大固定数值后的相似度阈值。
9.如权利要求1至8任一项所述的方法,其特征在于,
在所述确定所述待报警信息与所述已报警信息之间的相似度之后,所述方法还包括:
若所述待报警信息与所述已报警信息之间的相似度满足预设相似条件,则获取所述已报警信息中与该待报警信息相似度最高的报警信息;
获取对该相似度最高的报警信息中所受攻击进行处理的方式,处理所述待报警信息中的攻击。
10.一种网络所受攻击的报警装置,其特征在于,包括:
第一获取模块,用于获取对网络所受攻击需要进行报警的待报警信息,其中,该待报警信息包括:所述网络所受攻击的攻击特征;
确定模块,用于基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度,确定所述待报警信息与所述已报警信息之间的相似度;
第一处理模块,用于当所述待报警信息与所述已报警信息之间的相似度不满足预设相似条件时,使用所述待报警信息报警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710905355.9A CN107819606A (zh) | 2017-09-29 | 2017-09-29 | 一种网络所受攻击的报警方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710905355.9A CN107819606A (zh) | 2017-09-29 | 2017-09-29 | 一种网络所受攻击的报警方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107819606A true CN107819606A (zh) | 2018-03-20 |
Family
ID=61607196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710905355.9A Pending CN107819606A (zh) | 2017-09-29 | 2017-09-29 | 一种网络所受攻击的报警方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819606A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088775A (zh) * | 2018-08-29 | 2018-12-25 | 阿里巴巴集团控股有限公司 | 异常监控方法、装置以及服务器 |
| CN109688099A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 服务器端撞库识别方法、装置、设备及可读存储介质 |
| CN110601894A (zh) * | 2019-09-18 | 2019-12-20 | 中国工商银行股份有限公司 | 告警处理方法和装置、以及电子设备和可读存储介质 |
| CN111210827A (zh) * | 2020-04-20 | 2020-05-29 | 成都派沃特科技股份有限公司 | 响应报警的方法、装置、电子设备及可读存储介质 |
| CN115378791A (zh) * | 2022-08-22 | 2022-11-22 | 平安银行股份有限公司 | 数据管理方法、装置、存储介质及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465041A (zh) * | 2007-12-21 | 2009-06-24 | 上海申瑞电力科技股份有限公司 | 一种自动屏蔽频繁告警的方法 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
| CN105117322A (zh) * | 2015-08-28 | 2015-12-02 | 国网浙江省电力公司 | 一种基于多源报警日志安全事件特征分析的去冗余方法 |
| CN105550714A (zh) * | 2015-12-30 | 2016-05-04 | 国家电网公司 | 一种异构网络环境中告警信息的聚类融合方法 |
| CN106411617A (zh) * | 2016-11-29 | 2017-02-15 | 国网山西省电力公司忻州供电公司 | 电力通信网络故障告警关联处理方法 |
-
2017
- 2017-09-29 CN CN201710905355.9A patent/CN107819606A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465041A (zh) * | 2007-12-21 | 2009-06-24 | 上海申瑞电力科技股份有限公司 | 一种自动屏蔽频繁告警的方法 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
| CN105117322A (zh) * | 2015-08-28 | 2015-12-02 | 国网浙江省电力公司 | 一种基于多源报警日志安全事件特征分析的去冗余方法 |
| CN105550714A (zh) * | 2015-12-30 | 2016-05-04 | 国家电网公司 | 一种异构网络环境中告警信息的聚类融合方法 |
| CN106411617A (zh) * | 2016-11-29 | 2017-02-15 | 国网山西省电力公司忻州供电公司 | 电力通信网络故障告警关联处理方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088775A (zh) * | 2018-08-29 | 2018-12-25 | 阿里巴巴集团控股有限公司 | 异常监控方法、装置以及服务器 |
| CN109688099A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 服务器端撞库识别方法、装置、设备及可读存储介质 |
| CN109688099B (zh) * | 2018-09-07 | 2022-09-20 | 平安科技(深圳)有限公司 | 服务器端撞库识别方法、装置、设备及可读存储介质 |
| CN110601894A (zh) * | 2019-09-18 | 2019-12-20 | 中国工商银行股份有限公司 | 告警处理方法和装置、以及电子设备和可读存储介质 |
| CN111210827A (zh) * | 2020-04-20 | 2020-05-29 | 成都派沃特科技股份有限公司 | 响应报警的方法、装置、电子设备及可读存储介质 |
| CN111210827B (zh) * | 2020-04-20 | 2020-08-21 | 成都派沃特科技股份有限公司 | 响应报警的方法、装置、电子设备及可读存储介质 |
| CN115378791A (zh) * | 2022-08-22 | 2022-11-22 | 平安银行股份有限公司 | 数据管理方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819606A (zh) | 一种网络所受攻击的报警方法及装置 | |
| EP3771168B1 (en) | Abnormal user identification method | |
| CN108985553B (zh) | 一种异常用户的识别方法及设备 | |
| US9832214B2 (en) | Method and apparatus for classifying and combining computer attack information | |
| CN112258093B (zh) | 风险等级的数据处理方法及装置、存储介质、电子设备 | |
| US20180336353A1 (en) | Risk scores for entities | |
| CN108615119B (zh) | 一种异常用户的识别方法及设备 | |
| CN112188531B (zh) | 异常检测方法、装置、电子设备及计算机存储介质 | |
| CN107800684B (zh) | 一种低频爬虫识别方法及装置 | |
| CN109257390B (zh) | Cc攻击的检测方法、装置及电子设备 | |
| CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
| CN110809010A (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
| CN112596990A (zh) | 告警风暴的处理方法、装置及终端设备 | |
| CN110020025B (zh) | 一种数据处理方法及装置 | |
| CN112839014B (zh) | 建立识别异常访问者模型的方法、***、设备及介质 | |
| CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
| CN113079047B (zh) | 一种告警处理方法及装置 | |
| US10637878B2 (en) | Multi-dimensional data samples representing anomalous entities | |
| CN112416590A (zh) | 服务器***资源调整方法、装置、计算机设备及存储介质 | |
| CN111092849B (zh) | 基于流量的分布式拒绝服务的检测方法及装置 | |
| CN112765502B (zh) | 恶意访问检测方法、装置、电子设备和存储介质 | |
| CN112100037A (zh) | 告警级别识别方法、装置、电子设备及存储介质 | |
| CN116610547A (zh) | 服务器性能评估方法、装置、计算机设备和存储介质 | |
| CN113127878A (zh) | 威胁事件的风险评估方法及装置 | |
| CN113535449B (zh) | 异常事件修复处理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180320 |
|
| RJ01 | Rejection of invention patent application after publication |