CN115412363A - 异常流量日志处理方法和装置 - Google Patents

异常流量日志处理方法和装置 Download PDF

Info

Publication number
CN115412363A
CN115412363A CN202211108187.8A CN202211108187A CN115412363A CN 115412363 A CN115412363 A CN 115412363A CN 202211108187 A CN202211108187 A CN 202211108187A CN 115412363 A CN115412363 A CN 115412363A
Authority
CN
China
Prior art keywords
attack
alarm
abnormal traffic
handling
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211108187.8A
Other languages
English (en)
Other versions
CN115412363B (zh
Inventor
于京琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202211108187.8A priority Critical patent/CN115412363B/zh
Priority claimed from CN202211108187.8A external-priority patent/CN115412363B/zh
Publication of CN115412363A publication Critical patent/CN115412363A/zh
Application granted granted Critical
Publication of CN115412363B publication Critical patent/CN115412363B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种DDoS异常流量日志处理及展示方法和装置,该方法包括:接收异常流量检测设备发送的异常流量日志;判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性,并根据攻击属性对所接收到的异常流量日志进行属性标识;判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态;基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态,将所接收到的异常流量日志存储在告警处置数据表或处置记录数据表中,其中在告警处置数据表和处置记录数据表均存储有所接收到的异常流量日志的攻击属性;基于告警处置数据表或处置记录数据表,对所接收到的异常流量日志及其攻击属性进行展示。

Description

异常流量日志处理方法和装置
技术领域
本公开涉及网络流量复制技术领域,具体而言,涉及一种异常流量日志处理方法和装置。
背景技术
在网络发展如此迅速的年代,网络给我们带来便利的同时也会给我们带来烦恼,比如网络诈骗,黑客攻击等。DDoS攻击是黑客比较常用的攻击方式,,针对DDoS攻击,结合使用DDoS防护设备、Probe异常流量检测设备以及Guard异常流量清洗设备,可及时发现网络中的各类DDoS攻击并实现对攻击流量的快速过滤,最大可提供T级抗DDoS能力。OMC平台是一个集中管理DDoS攻击相关设备的平台,可为用户提供安全可视化服务,帮助用户直观了解现网安全状况,及时消除安全隐患。
OMC平台接收到Probe设备发送的异常流量日志时,OMC平台仅记录当前异常信息,当需要处置的时候,需要用户在OMC平台上进行相应的操作,在某些特定情况下引流方式必须为手动引流。在采用手动引流的方式时,如果又无法及时到现场处理,就会使异常情况持续较长时间,最终影响正常业务。
现有的OMC平台,日志模块较多,存储表较多,操作繁琐,不利于现网环境中具体问题的定位;此外,手动引流不及时,容易影响客户正常业务的运行,从而造成损失。
因此,需要一种便于用户快速定位告警及及时处理的异常流量日志处理方法和装置。
发明内容
有鉴于此,本公开提供一种DDoS异常流量日志处理及展示方法和装置。根据本公开的一方面,提出一种DDoS异常流量日志处理及展示方法,该方法包括:接收异常流量检测设备发送的异常流量日志;判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性,并根据所述攻击属性对所接收到的异常流量日志进行属性标识,所述攻击属性包括全局流量、群组流量、黑洞流量以及自定义流量;判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态,所述攻击状态包括攻击开始、攻击持续或攻击结束;基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态,将所接收到的异常流量日志存储在告警处置数据表或处置记录数据表中,所述告警处置数据表和所述处置记录数据表均存储有所接收到的异常流量日志的攻击属性;基于所述告警处置数据表或所述处置记录数据表,对所接收到的异常流量日志及其攻击属性进行展示,其中,基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志,基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志。
根据本公开的DDoS异常流量日志处理及展示方法,在基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志时,其还包括:针对所展示的异常流量日志,展示手动告警处置功能的接口,以使用户可以直接通过所述接口对所述异常流量日志所对应的DDoS攻击使用告警处置功能进行相应的处置。
根据本公开的DDoS异常流量日志处理及展示方法,其中,展示的手动告警处置功能包括清洗处置和黑洞处置。
根据本公开的DDoS异常流量日志处理及展示方法,在基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志时,其还包括:针对所展示的异常流量日志,对其所对应的DDoS攻击的多维度信息进行展示,以使用户在对异常流量日志进行查看时,实现包括对所述异常流量日志所对应的当前告警的整体信息的查看。
根据本公开的DDoS异常流量日志处理及展示方法,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型的查看。
根据本公开的DDoS异常流量日志处理及展示方法,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击类型、流量趋势以及各种攻击类型的分布情况的查看。
根据本公开的DDoS异常流量日志处理及展示方法,在基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志时,其还包括:针对展示的异常流量日志,展示所述异常流量日志中异常流量所对应的DDoS攻击的处置状态,所述处置状态包括以已清洗处置、已黑洞处置和未处置。
根据本公开的DDoS异常流量日志处理及展示方法,其还包括:针对所接收到的异常流量日志中需要进行告警处置的异常流量日志,创建告警信息,所述告警信息包括对所述异常流量日志中的异常流量所对应的DDoS攻击的可实施的告警处置方式;将所述告警信息通过远程通讯的方式向用户移动终端进行发送;在接收到用户返回的选中的远程告警处置方式后,对所述异常流量日志中的异常流量所对应的DDoS攻击实施与所述远程告警处置方式相一致的告警处置。
根据本公开的DDoS异常流量日志处理及展示方法,其中,在将所述告警信息通过远程通讯的方式向用户移动终端进行发送时,包括:针对所述异常流量日志,判断告警级别;基于所述告警级别向用户发送与所述告警级别相对应的频次的所述告警信息。
根据本公开的另一方面,提出一种DDoS异常流量日志处理及展示装置,该装置包括:日志接收组件,用于接收异常流量检测设备发送的异常流量日志;攻击属性判断组件,用于判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性,并根据所述攻击属性对所接收到的异常流量日志进行属性标识,所述攻击属性包括全局流量、群组流量、黑洞流量以及自定义流量;攻击状态判断组件,用于判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态,所述攻击状态包括攻击开始、攻击持续或攻击结束;存储组件,用于基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态,将所接收到的异常流量日志存储在告警处置数据表或处置记录数据表中,所述告警处置数据表和所述处置记录数据表均存储有所述异常流量日志的攻击属性;展示组件,用于基于所述告警处置数据表或所述处置记录数据表,对所接收到的异常流量日志及其攻击属性进行展示,其中,基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志,基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志。
根据本公开的DDoS异常流量日志处理及展示装置,其中所述展示组件还包括:手动处置告警功能展示组件,用于针对所展示的异常流量日志,展示手动告警处置功能的接口,以使用户可以直接通过所述接口对所述异常流量日志所对应的DDoS攻击使用告警处置功能进行相应的处置。
根据本公开的DDoS异常流量日志处理及展示装置,其中,展示的手动告警处置功能包括清洗处置和黑洞处置。
根据本公开的DDoS异常流量日志处理及展示装置,所述展示组件还包括:整体信息展示组件,用于针对所展示的异常流量日志,对其所对应的DDoS攻击的多维度信息进行展示,以使用户在对异常流量日志进行查看时,实现包括对所述异常流量日志所对应的当前告警的整体信息的查看。
根据本公开的DDoS异常流量日志处理及展示装置,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型的查看。
根据本公开的DDoS异常流量日志处理及展示装置,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击类型、流量趋势以及各种攻击类型的分布情况的查看。
根据本公开的DDoS异常流量日志处理及展示装置,所述展示组件还包括:告警处置状态展示组件,用于针对展示的异常流量日志,展示所述异常流量日志中异常流量所对应的DDoS攻击的处置状态,所述处置状态包括以已清洗处置、已黑洞处置和未处置。
根据本公开的DDoS异常流量日志处理及展示装置,其还包括:告警信息创建组件,用于针对所接收到的异常流量日志中需要进行告警处置的异常流量日志,创建告警信息,所述告警信息包括对所述异常流量日志中的异常流量所对应的DDoS攻击的可实施的告警处置方式;告警信息发送组件,用于将所述告警信息通过远程通讯的方式向用户移动终端进行发送;告警处置组件,用于在接收到用户返回的选中的远程告警处置方式后,对所述异常流量日志中的异常流量所对应的DDoS攻击实施与所述远程告警处置方式相一致的告警处置。
根据本公开的DDoS异常流量日志处理及展示装置,其还包括:告警级别判断组件,用于针对所述异常流量日志,判断告警级别,以使所述告警信息发送组件基于所述告警级别向用户发送与所述告警级别相对应的频次的所述告警信息。
综上,采用本公开的DDoS异常流量日志处理及展示方法和装置,在OMC平台将多种DDoS告警日志进行汇总展示,并在展示的同时内嵌处置动作,并且借由移动设备进行远程协助,以使用户更快、更准地发现攻击并做出相应处理,从而保障业务的正常运行。具体而言,OMC平台将多种DDoS告警日志进行汇总展示,并能从多维度查看当前业务对应的告警情况和清洗情况,操作简单,便于现网环境中具体问题的定位;通过短信、邮件等方式控制手动引流,保障客户正常业务的运行,避免不必要的损失以及可根据异常流量级别发送不同次数的告警,可确保不漏掉重要告警信息。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
通过参照附图详细描述其示例实施例,本申请的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示的是根据本公开实施例的DDoS异常流量日志处理及展示方法的流程示意图。
图2所示的是根据本公开实施例的DDoS异常流量日志处理及展示方法中的日志存储的流程示意图。
图3所示的是根据本公开实施例的DDoS异常流量日志处理及展示装置的原理示意图。
图4所示的是根据本公开实施例的DDoS异常流量日志处理及展示装置中的展示组件的原理示意图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、***、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
根据本公开实施例的DDoS异常流量日志处理及展示方法,主要通过将OMC平台接收到的异常流量日志基于日志所属攻击的攻击类型整合在告警处置(即当前异常流量整合)和处置记录(即历史异常流量整合)两个模块中进行展示,以简化用户的查询操作,提升使用效果。
图1所示的是根据本公开实施例的DDoS异常流量日志处理及展示方法的流程示意图。
如图1所示,在步骤S102中,接收异常流量日志,即接收异常流量检测设备发送的异常流量日志。
在步骤S104中,判断攻击属性,即判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性,并根据所述攻击属性对所接收到的异常流量日志进行属性标识,所述攻击属性包括全局流量、群组流量、黑洞流量以及自定义流量。具体而言,根据本公开实施例的DDoS异常流量日志处理及展示方法,在存储数据时,将不同类型的日志存储在一张数据表中,并用类型标识来对日志进行区分,如用1代表全局异常流量日志、2代表群组异常流量日志、3代表黑洞异常流量日志、4代表自定义异常流量日志。
在步骤S106中,判断攻击状态,即判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态,所述攻击状态包括攻击开始、攻击持续或攻击结束。
在步骤S108中,将异常流量日志进行存储,即基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态,将所接收到的异常流量日志存储在告警处置数据表或处置记录数据表中,所述告警处置数据表和所述处置记录数据表均存储有所接收到的异常流量日志的攻击属性。
在步骤S110中,对异常流量日志进行展示,即基于所述告警处置数据表或所述处置记录数据表,对所接收到的异常流量日志及其攻击属性进行展示,其中,基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志,基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志。
具体而言,根据本公开实施例的DDoS异常流量日志处理及展示方法,在接收到异常流量日志后,当判断异常流量日志中的异常流量所对应的DDoS攻击的攻击状态为攻击开始或攻击持续时,判定该异常流量日志为当前需进行告警处置的告警事件,故将该异常流量日志存储在告警处置数据表中,并基于告警处置数据表将当前全局、群组、黑洞、自定义异常等类型的事件进行统一展示,以及在将不同类型的异常流量日志进行统一展示的时候,通过不同业务标志进行区分标识。
根据本公开实施例的DDoS异常流量日志处理及展示方法,在基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志时,其还包括:针对所展示的异常流量日志,展示手动告警处置功能的接口,以使用户可以直接通过所述接口对所述异常流量日志所对应的DDoS攻击使用告警处置功能进行相应的处置。具体而言,根据本公开实施例的DDoS异常流量日志处理及展示方法,在对需要进行告警处置的异常流量日志进行展示的同时,将告警处置功能直接内嵌,便于用户在查看相关告警信息时,随时可通过手动处置的方式将当前异常进行处理。
根据本公开实施例的DDoS异常流量日志处理及展示方法,其中,展示的手动告警处置功能包括清洗处置和黑洞处置。具体而言,根据本公开实施例的DDoS异常流量日志处理及展示方法,将告警处置功能中的清洗处置功能和黑洞处置功能进行了内嵌。
根据本公开实施例的DDoS异常流量日志处理及展示方法,在基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志时,其还包括:针对所展示的异常流量日志,对其所对应的DDoS攻击的多维度信息进行展示,以使用户在对异常流量日志进行查看时,实现包括对所述异常流量日志所对应的当前告警的整体信息的查看,即:实现用户可通过一个入口便可查看所有数据的效果。
更具体的,根据本公开实施例的DDoS异常流量日志处理及展示方法,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型的查看。具体而言,在展示页面除了内嵌了告警处置功能外,同时还提供了多种数据展示方式供用户查看告警相关的数据。例如是,可通过数据下拉方式来展示当前告警的整体信息,包含但不限于异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型等数据。
更具体的,根据本公开实施例的DDoS异常流量日志处理及展示方法,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击类型、流量趋势以及各种攻击类型的分布情况的查看。具体而言,例如是,可选择通过弹框方式展示当前告警对应的相关信息,比如当前告警对应的各种异常/清洗对应的攻击类型、流量趋势及各种攻击类型的分布情况等信息。
根据本公开实施例的DDoS异常流量日志处理及展示方法,在基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志时,其还包括:针对展示的异常流量日志,展示所述异常流量日志中异常流量所对应的DDoS攻击的处置状态,所述处置状态包括以已清洗处置、已黑洞处置和未处置。具体而言,在基于处置记录数据表对攻击已结束的异常流量日志进行展示时,将已经处于攻击结束状态的异常流量日志进行统一展示,并且按照全局、群组、黑洞、自定义异常事件进行区分;同时该展示模块还将对攻击的处置状态给予展示,例如是,可分为两类,一类是已处置,一类是未处置;而在已处置的状态下可将具体的告警处置方式进行展示,例如是,已清洗处置或以黑洞处置。此外,还可以同时提供如上文中所述的对于处于当前告警状态的日志的整体信息的展示方式,将多种数据进行展示,以使用户可以更便捷的查看相关信息。
根据本公开实施例的DDoS异常流量日志处理及展示方法,其还包括:针对所接收到的异常流量日志中需要进行告警处置的异常流量日志,创建告警信息,所述告警信息包括对所述异常流量日志中的异常流量所对应的DDoS攻击的可实施的告警处置方式;将所述告警信息通过远程通讯的方式向用户移动终端进行发送;在接收到用户返回的选中的远程告警处置方式后,对所述异常流量日志中的异常流量所对应的DDoS攻击实施与所述远程告警处置方式相一致的告警处置。具体而言,根据本公开实施例的DDoS异常流量日志处理及展示方法,对于需要进行手动引流的告警,将只能在OMC平台上操作的手动处置变成可以通过回复短信、邮件等方式进行远程操作,可大大提高效率,以避免特殊情况下处理不及时所引起的不必要的损失。
更具体的,根据本公开实施例的DDoS异常流量日志处理及展示方法,其中,在将所述告警信息通过远程通讯的方式向用户移动终端进行发送时,包括:针对所述异常流量日志,判断告警级别;基于所述告警级别向用户发送与所述告警级别相对应的频次的所述告警信息。具体而言,为避免手动引流不及时所造成的客户正常业务瘫痪或不必要的损失,当告警发生时,OMC***会将告警信息通过短信及邮件方式发送给相关负责人,同时支持短信及邮件回复功能(1清洗,2黑洞);OMC平台接收到客户回复短信后,会立即对相关异常告警进行对应处理。此外,告警信息的发送频率会根据其告警级别不同而不一样,比如,当告警级别为一般时,该告警信息只会发送一次;当告警级别为严重时,且一定时间范围内没有接收到相应的处置操作(包括页面手动处置,短信或邮件回复等),会再一次进行告警,最多告警三次。
图2所示的是根据本公开实施例的DDoS异常流量日志处理及展示方法中的日志存储的流程示意图。
如图2所示,在步骤S202中,OMC平台接收Probe设备发送的异常流量日志。
在步骤S204中,判断是否为全局流量。在步骤S204中判断是否为全局流量的结果为“是”时进入步骤S206,在步骤S206中,添加全局流量标识,即为所接收到的异常流量日志添加全局流量标识。在步骤S208中,判断攻击状态是否为攻击开始。在步骤S208中,判断攻击状态是否为攻击开始的结果为“是”时进入步骤S210,在步骤S210中,将异常流量日志添加到告警处置对应的数据表。
在步骤S208中,判断攻击状态是否为攻击开始的结果为“否”时进入步骤S212,在步骤S212中,判断攻击状态是否为攻击持续。在步骤S212中判断攻击状态是否为攻击持续的结果为“是”时进入步骤S214,在步骤S214中,将异常流量日志更新到告警处置对应的数据表。
在步骤S212中判断攻击状态是否为攻击持续的结果为“否”时进入步骤S216,在步骤S216中,判断攻击状态是否为攻击结束。在步骤S216中判断攻击状态是否为攻击结束的结果为“是”时进入步骤S218,在步骤S218中,将异常流量日志添加到处置记录对应的数据表,将告警处置对应的数据删除。
在步骤S216中判断攻击状态是否为攻击结束的结果为“否”时,结束流程。
在步骤S204中判断是否为全局流量的结果为“否”时进入步骤S220,在步骤S220中,判断是否为群组流量。在步骤S220中判断是否为群组流量的结果为“是”时进入步骤S222,在步骤S222中,添加群组流量标识,即为所接收到的异常流量日志添加群组流量标识。在步骤S224中,判断攻击状态是否为攻击开始。在步骤S224中判断攻击状态是否为攻击开始的结果为“是”时进入步骤S210,在步骤S210中,将异常流量日志添加到告警处置对应的数据表。
在步骤S224中判断攻击状态是否为攻击开始的结果为“否”时进入步骤S226,在步骤S226中,判断攻击状态是否为攻击持续。在步骤S226中判断攻击状态是否为攻击持续的结果为“是”时进入步骤S214,在步骤S214中,将异常流量日志更新到告警处置对应的数据表。
在步骤S226中判断攻击状态是否为攻击持续的结果为“否”时进入步骤S228,在步骤S228中,判断攻击状态是否为攻击结束。在步骤S228中判断攻击状态是否为攻击结束的结果为“是”时进入步骤S218,在步骤S218中,将异常流量日志添加到处置记录对应的数据表,将告警处置对应的数据删除。
在步骤S228中判断攻击状态是否为攻击结束的结果为“否”时,结束流程。
在步骤S220中判断是否为群组流量的结果为“否”时进入步骤S230,在步骤S230中,添加自定义流量标识,即为所接收到的异常流量日志添加自定义流量标识。在步骤S232中,判断攻击状态是否为攻击开始。在步骤S232中判断攻击状态是否为攻击开始的结果为“是”时进入步骤S210,在步骤S210中,将异常流量日志添加到告警处置对应的数据表。
在步骤S232中判断攻击状态是否为攻击开始的结果为“否”时进入步骤S234,在步骤S234中,判断攻击状态是否为攻击持续。在步骤S234中判断攻击状态是否为攻击持续的结果为“是”时进入步骤S214,在步骤S214中,将异常流量日志更新到告警处置对应的数据表。
在步骤S234中判断攻击状态是否为攻击持续的结果为“否”时进入步骤S236,在步骤S236中,判断攻击状态是否为攻击结束。在步骤S236中判断攻击状态是否为攻击结束的结果为“是”时进入步骤S218,在步骤S218中,将异常流量日志添加到处置记录对应的数据表,将告警处置对应的数据删除。
在步骤S236中判断攻击状态是否为攻击结束的结果为“否”时,结束流程。
图3所示的是根据本公开实施例的DDoS异常流量日志处理及展示装置的原理示意图,如图3所示,该装置包括:日志接收组件302,用于接收异常流量检测设备发送的异常流量日志;攻击属性判断组件304,用于判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性,并根据所述攻击属性对所接收到的异常流量日志进行属性标识,所述攻击属性包括全局流量、群组流量、黑洞流量以及自定义流量;攻击状态判断组件306,用于判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态,所述攻击状态包括攻击开始、攻击持续或攻击结束;存储组件308,用于基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态,将所接收到的异常流量日志存储在告警处置数据表或处置记录数据表中,所述告警处置数据表和所述处置记录数据表均存储有所述异常流量日志的攻击属性;展示组件310,用于基于所述告警处置数据表或所述处置记录数据表,对所接收到的异常流量日志及其攻击属性进行展示,其中,基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志,基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志。
图4所示的是根据本公开实施例的DDoS异常流量日志处理及展示装置中的展示组件的原理示意图,如图4所示,根据本公开实施例的DDoS异常流量日志处理及展示装置,其中所述展示组件310还包括:手动处置告警功能展示组件310a,用于针对所展示的异常流量日志,展示手动告警处置功能的接口,以使用户可以直接通过所述接口对所述异常流量日志所对应的DDoS攻击使用告警处置功能进行相应的处置。
根据本公开实施例的DDoS异常流量日志处理及展示装置,其中,展示的手动告警处置功能包括清洗处置和黑洞处置。
如图4所示,根据本公开实施例的DDoS异常流量日志处理及展示装置,所述展示组件310还包括:整体信息展示组件310b,用于针对所展示的异常流量日志,对其所对应的DDoS攻击的多维度信息进行展示,以使用户在对异常流量日志进行查看时,实现包括对所述异常流量日志所对应的当前告警的整体信息的查看。
根据本公开实施例的DDoS异常流量日志处理及展示装置,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型的查看。
根据本公开实施例的DDoS异常流量日志处理及展示装置,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击类型、流量趋势以及各种攻击类型的分布情况的查看。
如图4所示,根据本公开实施例的DDoS异常流量日志处理及展示装置,所述展示组件310还包括:告警处置状态展示组件310c,用于针对展示的异常流量日志,展示所述异常流量日志中异常流量所对应的DDoS攻击的处置状态,所述处置状态包括以已清洗处置、已黑洞处置和未处置。
如图1所示,根据本公开实施例的DDoS异常流量日志处理及展示装置,其还包括:告警信息创建组件312,用于针对所接收到的异常流量日志中需要进行告警处置的异常流量日志,创建告警信息,所述告警信息包括对所述异常流量日志中的异常流量所对应的DDoS攻击的可实施的告警处置方式;告警信息发送组件314,用于将所述告警信息通过远程通讯的方式向用户移动终端进行发送;告警处置组件316,用于在接收到用户返回的选中的远程告警处置方式后,对所述异常流量日志中的异常流量所对应的DDoS攻击实施与所述远程告警处置方式相一致的告警处置。
如图1所示,根据本公开实施例的DDoS异常流量日志处理及展示装置,其还包括:告警级别判断组件318,用于针对所述异常流量日志,判断告警级别,以使所述告警信息发送组件314基于所述告警级别向用户发送与所述告警级别相对应的频次的所述告警信息。
综上,采用本公开的DDoS异常流量日志处理及展示方法和装置,在OMC平台将多种DDoS告警日志进行汇总展示,并在展示的同时内嵌处置动作,并且借由移动设备进行远程协助,以使用户更快、更准地发现攻击并做出相应处理,从而保障业务的正常运行。具体而言,OMC平台将多种DDoS告警日志进行汇总展示,并能从多维度查看当前业务对应的告警情况和清洗情况,操作简单,便于现网环境中具体问题的定位;通过短信、邮件等方式控制手动引流,保障客户正常业务的运行,避免不必要的损失以及可根据异常流量级别发送不同次数的告警,可确保不漏掉重要告警信息。
总体而言,采用本公开的技术手段,
本发明针对异常流量日志模块页面多,存储表个数多,操作繁琐等问题,在保障原有功能不缺失的条件下,对异常流量日志存储进行整合优化,从而达到操作精简,便于问题的定位。针对引流方式为手动引流时,会出现异常信息处理不及时问题,通过添加邮件、短信告警功能,给用户提供远程操控入口。用户可通过回复短信或邮件来达到远程控制OMC平台下发相关清洗策略,保证不在场也可正常处置异常情况。本发明主要通过将原有存储当前/历史全局异常流量、当前/历史群组异常流量、当前/历史自定义异常流量日志整合为告警处置(即当前异常流量整合)和处置记录(历史异常流量整合)两个模块,在不缺失原有数据的情况下,简化查询操作,提升使用效果。优化原有手动引流方式,将只能在OMC平台上操作手动处置变成可以通过回复短信、邮件等方式进行远程操作,大大提高效率,避免特殊情况下处理不及时引起的不必要的损失。日志模块整合时,日志类型判断和原有技术流程基本一致,只是在存储数据时不再是将原有不同类型的日志分别存储在各自对应的数据表中,而是存储在一张数据表中,并用类型标识来区分不同的日志,如用1代表自定义异常流量日志、2代表全局异常流量日志、3代表群组异常流量日志、4代表黑洞异常流量日志。随后,将原有的当前自定义、全局、群组、黑洞异常事件统一展示,通过不同业务标志进行区分,同时该模块将原有的告警处置功能(清洗、黑洞)直接内嵌,便于用户在查看相关告警信息时,随时可通过手动处置的方式将当前异常进行处理(清洗、黑洞)。该页面同时提供了多种数据展示方式供用户查看告警相关的数据,通过数据下拉方式来展示当前告警的整体信息,包含但不限于异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型等数据;通过弹框方式展示当前告警对应的各种异常/清洗对应的攻击类型流量趋势及各种攻击类型的分布情况等信息,达到一个入口可查看所有数据的效果。接着与上述相同,将原有的历史自定义、全局、群组、黑洞异常事件统一展示,通过不同业务标志进行区分,同时该模块包含已结束的已处置(已清洗、已黑洞)和未处置的告警信息,同时提供同2中的多种数据展示方式供用户更便捷的查看相关信息。而异常信息手动处置时,为避免手动引流不及时,造成客户正常业务瘫痪及不必要的损失。当告警发生时,OMC***会将告警信息通过短信及邮件方式发送给相关负责人,同时支持短信及邮件回复功能(1清洗,2黑洞),OMC平台接收到客户回复短信后,会立即对相关异常告警进行对应处理。告警信息的发送频率会根据其告警级别不同而不一样,比如,当告警级别为一般时,该告警信息只会发送一次;当告警级别为严重时,且一定时间范围内没有接收到相应的处置操作(包括页面手动处置,短信或邮件回复等),会再一次进行告警,最多告警三次。因此,本公开的异常流量日志模块整合,操作简单,便于现网环境中具体问题的定位,并且能够根据异常流量级别发送不同次数的告警,确保不漏掉重要告警信息,而且,通过短信、邮件等方式控制手动引流,保障客户正常业务的运行,避免不必要的损失。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本申请实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:通过添加邮件、短信告警功能,给用户提供远程操控入口。用户可通过回复短信或邮件来达到远程控制OMC平台下发相关清洗策略,保证不在场也可正常处置异常情况。本发明主要通过将原有存储当前/历史全局异常流量、当前/历史群组异常流量、当前/历史自定义异常流量日志整合为告警处置(即当前异常流量整合)和处置记录(历史异常流量整合)两个模块,在不缺失原有数据的情况下,简化查询操作,提升使用效果。优化原有手动引流方式,将只能在OMC平台上操作手动处置变成可以通过回复短信、邮件等方式进行远程操作,大大提高效率,避免特殊情况下处理不及时引起的不必要的损失。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施例的方法。
以上具体地示出和描述了本申请的示例性实施例。应可理解的是,本申请不限于这里描述的详细结构、设置方式或实现方法;相反,本申请意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。

Claims (18)

1.一种DDoS异常流量日志处理及展示方法,包括:
接收异常流量检测设备发送的异常流量日志;
判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性,并根据所述攻击属性对所接收到的异常流量日志进行属性标识,所述攻击属性包括全局流量、群组流量、黑洞流量以及自定义流量;
判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态,所述攻击状态包括攻击开始、攻击持续或攻击结束;
基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态,将所接收到的异常流量日志存储在告警处置数据表或处置记录数据表中,所述告警处置数据表和所述处置记录数据表均存储有所接收到的异常流量日志的攻击属性;
基于所述告警处置数据表或所述处置记录数据表,对所接收到的异常流量日志及其攻击属性进行展示,其中,基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志,基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志。
2.根据权利要求1所述的DDoS异常流量日志处理及展示方法,在基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志时,其还包括:
针对所展示的异常流量日志,展示手动告警处置功能的接口,以使用户可以直接通过所述接口对所述异常流量日志所对应的DDoS攻击使用告警处置功能进行相应的处置。
3.根据权利要求2所述的DDoS异常流量日志处理及展示方法,其中,展示的手动告警处置功能包括清洗处置和黑洞处置。
4.根据权利要求1所述的DDoS异常流量日志处理及展示方法,在基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志时,其还包括:
针对所展示的异常流量日志,对其所对应的DDoS攻击的多维度信息进行展示,以使用户在对异常流量日志进行查看时,实现包括对所述异常流量日志所对应的当前告警的整体信息的查看。
5.根据权利要求4所述的DDoS异常流量日志处理及展示方法,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型的查看。
6.根据权利要求4所述的DDoS异常流量日志处理及展示方法,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:
对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击类型、流量趋势以及各种攻击类型的分布情况的查看。
7.根据权利要求1所述的DDoS异常流量日志处理及展示方法,在基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志时,其还包括:
针对展示的异常流量日志,展示所述异常流量日志中异常流量所对应的DDoS攻击的处置状态,所述处置状态包括以已清洗处置、已黑洞处置和未处置。
8.根据权利要求1所述的DDoS异常流量日志处理及展示方法,其还包括:
针对所接收到的异常流量日志中需要进行告警处置的异常流量日志,创建告警信息,所述告警信息包括对所述异常流量日志中的异常流量所对应的DDoS攻击的可实施的告警处置方式;
将所述告警信息通过远程通讯的方式向用户移动终端进行发送;
在接收到用户返回的选中的远程告警处置方式后,对所述异常流量日志中的异常流量所对应的DDoS攻击实施与所述远程告警处置方式相一致的告警处置。
9.根据权利要求8所述的DDoS异常流量日志处理及展示方法,其中,在将所述告警信息通过远程通讯的方式向用户移动终端进行发送时,包括:
针对所述异常流量日志,判断告警级别;
基于所述告警级别向用户发送与所述告警级别相对应的频次的所述告警信息。
10.一种DDoS异常流量日志处理及展示装置,包括:
日志接收组件,用于接收异常流量检测设备发送的异常流量日志;
攻击属性判断组件,用于判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性,并根据所述攻击属性对所接收到的异常流量日志进行属性标识,所述攻击属性包括全局流量、群组流量、黑洞流量以及自定义流量;
攻击状态判断组件,用于判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态,所述攻击状态包括攻击开始、攻击持续或攻击结束;
存储组件,用于基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态,将所接收到的异常流量日志存储在告警处置数据表或处置记录数据表中,所述告警处置数据表和所述处置记录数据表均存储有所述异常流量日志的攻击属性;
展示组件,用于基于所述告警处置数据表或所述处置记录数据表,对所接收到的异常流量日志及其攻击属性进行展示,其中,基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续的异常流量日志,基于所述处置记录数据表展示攻击状态属于攻击结束的异常流量日志。
11.根据权利要求10所述的DDoS异常流量日志处理及展示装置,其中所述展示组件还包括:
手动处置告警功能展示组件,用于针对所展示的异常流量日志,展示手动告警处置功能的接口,以使用户可以直接通过所述接口对所述异常流量日志所对应的DDoS攻击使用告警处置功能进行相应的处置。
12.根据权利要求11所述的DDoS异常流量日志处理及展示装置,其中,展示的手动告警处置功能包括清洗处置和黑洞处置。
13.根据权利要求10所述的DDoS异常流量日志处理及展示装置,所述展示组件还包括:
整体信息展示组件,用于针对所展示的异常流量日志,对其所对应的DDoS攻击的多维度信息进行展示,以使用户在对异常流量日志进行查看时,实现包括对所述异常流量日志所对应的当前告警的整体信息的查看。
14.根据权利要求13所述的DDoS异常流量日志处理及展示装置,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:对异常/清洗总流量、最大流量/最大清洗速率、检测/防护类型的查看。
15.根据权利要求13所述的DDoS异常流量日志处理及展示装置,其中,对所述异常流量日志所对应的当前告警的整体信息的查看,包括:
对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击类型、流量趋势以及各种攻击类型的分布情况的查看。
16.根据权利要求10所述的DDoS异常流量日志处理及展示装置,所述展示组件还包括:
告警处置状态展示组件,用于针对展示的异常流量日志,展示所述异常流量日志中异常流量所对应的DDoS攻击的处置状态,所述处置状态包括以已清洗处置、已黑洞处置和未处置。
17.根据权利要求10所述的DDoS异常流量日志处理及展示装置,其还包括:
告警信息创建组件,用于针对所接收到的异常流量日志中需要进行告警处置的异常流量日志,创建告警信息,所述告警信息包括对所述异常流量日志中的异常流量所对应的DDoS攻击的可实施的告警处置方式;
告警信息发送组件,用于将所述告警信息通过远程通讯的方式向用户移动终端进行发送;
告警处置组件,用于在接收到用户返回的选中的远程告警处置方式后,对所述异常流量日志中的异常流量所对应的DDoS攻击实施与所述远程告警处置方式相一致的告警处置。
18.根据权利要求17所述的DDoS异常流量日志处理及展示装置,其还包括:
告警级别判断组件,用于针对所述异常流量日志,判断告警级别,以使所述告警信息发送组件基于所述告警级别向用户发送与所述告警级别相对应的频次的所述告警信息。
CN202211108187.8A 2022-09-13 异常流量日志处理方法和装置 Active CN115412363B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211108187.8A CN115412363B (zh) 2022-09-13 异常流量日志处理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211108187.8A CN115412363B (zh) 2022-09-13 异常流量日志处理方法和装置

Publications (2)

Publication Number Publication Date
CN115412363A true CN115412363A (zh) 2022-11-29
CN115412363B CN115412363B (zh) 2024-06-28

Family

ID=

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120107232A (ko) * 2011-03-21 2012-10-02 에스케이브로드밴드주식회사 이상 트래픽 자동 차단 시스템 및 방법
CN108270600A (zh) * 2016-12-30 2018-07-10 ***通信集团黑龙江有限公司 一种对恶意攻击流量的处理方法及相关服务器
CN108712365A (zh) * 2017-08-29 2018-10-26 长安通信科技有限责任公司 一种基于流量日志的DDoS攻击事件检测方法及***
CN109450955A (zh) * 2018-12-30 2019-03-08 北京世纪互联宽带数据中心有限公司 一种基于网络攻击的流量处理方法及装置
CN110149350A (zh) * 2019-06-24 2019-08-20 国网安徽省电力有限公司信息通信分公司 一种告警日志关联的网络攻击事件分析方法及装置
CN110417578A (zh) * 2019-06-20 2019-11-05 国网辽宁省电力有限公司信息通信分公司 一种异常ftp连接告警处理方法
CN110830469A (zh) * 2019-11-05 2020-02-21 中国人民解放军战略支援部队信息工程大学 基于SDN和BGP流程规范的DDoS攻击防护***及方法
CN111092852A (zh) * 2019-10-16 2020-05-01 平安科技(深圳)有限公司 基于大数据的网络安全监控方法、装置、设备及存储介质
CN111818089A (zh) * 2020-07-31 2020-10-23 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
WO2021017139A1 (zh) * 2019-07-30 2021-02-04 株洲中车时代电气股份有限公司 一种轨道车辆及其通信网络
CN112738087A (zh) * 2020-12-29 2021-04-30 杭州迪普科技股份有限公司 攻击日志的展示方法及装置
CN113904845A (zh) * 2021-10-08 2022-01-07 杭州迪普科技股份有限公司 一种攻击流量统计方法及装置
CN114329451A (zh) * 2021-12-27 2022-04-12 深信服科技股份有限公司 一种安全分析方法、装置、设备及可读存储介质
JPWO2022091720A1 (zh) * 2020-10-26 2022-05-05
CN114531257A (zh) * 2020-11-05 2022-05-24 中国联合网络通信集团有限公司 一种网络攻击处置方法及装置
CN114745142A (zh) * 2020-12-23 2022-07-12 腾讯科技(深圳)有限公司 一种异常流量处理方法、装置、计算机设备及存储介质

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120107232A (ko) * 2011-03-21 2012-10-02 에스케이브로드밴드주식회사 이상 트래픽 자동 차단 시스템 및 방법
CN108270600A (zh) * 2016-12-30 2018-07-10 ***通信集团黑龙江有限公司 一种对恶意攻击流量的处理方法及相关服务器
CN108712365A (zh) * 2017-08-29 2018-10-26 长安通信科技有限责任公司 一种基于流量日志的DDoS攻击事件检测方法及***
CN109450955A (zh) * 2018-12-30 2019-03-08 北京世纪互联宽带数据中心有限公司 一种基于网络攻击的流量处理方法及装置
CN110417578A (zh) * 2019-06-20 2019-11-05 国网辽宁省电力有限公司信息通信分公司 一种异常ftp连接告警处理方法
CN110149350A (zh) * 2019-06-24 2019-08-20 国网安徽省电力有限公司信息通信分公司 一种告警日志关联的网络攻击事件分析方法及装置
WO2021017139A1 (zh) * 2019-07-30 2021-02-04 株洲中车时代电气股份有限公司 一种轨道车辆及其通信网络
CN111092852A (zh) * 2019-10-16 2020-05-01 平安科技(深圳)有限公司 基于大数据的网络安全监控方法、装置、设备及存储介质
CN110830469A (zh) * 2019-11-05 2020-02-21 中国人民解放军战略支援部队信息工程大学 基于SDN和BGP流程规范的DDoS攻击防护***及方法
CN111818089A (zh) * 2020-07-31 2020-10-23 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
JPWO2022091720A1 (zh) * 2020-10-26 2022-05-05
CN114531257A (zh) * 2020-11-05 2022-05-24 中国联合网络通信集团有限公司 一种网络攻击处置方法及装置
CN114745142A (zh) * 2020-12-23 2022-07-12 腾讯科技(深圳)有限公司 一种异常流量处理方法、装置、计算机设备及存储介质
CN112738087A (zh) * 2020-12-29 2021-04-30 杭州迪普科技股份有限公司 攻击日志的展示方法及装置
CN113904845A (zh) * 2021-10-08 2022-01-07 杭州迪普科技股份有限公司 一种攻击流量统计方法及装置
CN114329451A (zh) * 2021-12-27 2022-04-12 深信服科技股份有限公司 一种安全分析方法、装置、设备及可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"面向校园网的异常流量监测***设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 March 2022 (2022-03-15) *
WANG HE: "Big-Data Analysis of Multi-Source Logs for Network Anomaly Detection", 《2018 5TH INTERNATIONAL CONFERENCE ON INFORMATION, CYBERNETICS, AND COMPUTATIONAL SOCIAL SYSTEMS (ICCSS)》, 13 December 2018 (2018-12-13) *

Similar Documents

Publication Publication Date Title
US9716613B2 (en) Automated alert management
US20150207771A1 (en) Outgoing communications inventory
EP2180660B1 (en) Method and system for statistical analysis of botnets
CN112636957B (zh) 基于日志的预警方法、装置、服务器及存储介质
US20090157675A1 (en) Method and System for Processing Fraud Notifications
US20040111507A1 (en) Method and system for monitoring network communications in real-time
US20130081065A1 (en) Dynamic Multidimensional Schemas for Event Monitoring
US8195750B1 (en) Method and system for tracking botnets
US8886729B2 (en) Methods, systems and computer program products for a mobile-terminated message SPAM restrictor
CN111274094B (zh) 接口预警方法、***、设备及存储介质
CN102077511A (zh) 监控***中的消息管理和抑制
CN112905548B (zh) 一种安全审计***及方法
CN110674021A (zh) 一种移动应用登录日志的检测方法及***
CN111064656A (zh) 数据管理方法、装置、***、存储介质及电子设备
CN113672939A (zh) 一种终端行为告警溯源分析的方法、装置、设备及介质
US20130145289A1 (en) Real-time duplication of a chat transcript between a person of interest and a correspondent of the person of interest for use by a law enforcement agent
CN115412363A (zh) 异常流量日志处理方法和装置
CN115412363B (zh) 异常流量日志处理方法和装置
CN116069540A (zh) 一种***软硬件部位运行状态的采集分析处理方法及装置
Cisco The Configure Logging and Notifications Panel
CN102843258B (zh) 一种业务运行故障确定方法及装置
CN109388546B (zh) 处理应用程序的故障的方法、装置和***
CN101951563A (zh) 邮件网关的故障避免方法
CN115865525B (zh) 日志数据处理方法、装置、电子设备和存储介质
CN116016261B (zh) 一种***运维方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant