一种日志处理方法及系统技术方案

本发明专利技术实施例提供一种日志处理方法及系统。所述方法包括：检测攻击事件，获取所述攻击事件对应的IP地址；若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系，则更新所述绑定关系对应的发生次数；若判断获知更新后的所述发生次数达到了预设阈值，则输出一次与所述攻击事件对应的日志信息，并将本地存储的所述发生次数设置为零。所述系统用于执行所述方法。本发明专利技术实施例通过检测到攻击事件，并将本地存储有攻击事件和攻击事件对应的IP地址的绑定关系对应的发生次数进行更新，判断获知更新后的发生次数达到了预设阈值，则输出一次攻击事件对应的日志信息，有效地避免了大量重复的日志信息输出，同时缓解了系统的性能压力。

【技术实现步骤摘要】

本专利技术实施例涉及计算机安全
，尤其涉及一种日志处理方法及系统。
技术介绍
随着计算机技术的迅速发展，给人们的生活带来了极大的便利的同时也带来了一些安全隐患，因此在计算机中需要有入侵防御系统来保证计算机的安全。现有技术中，日志功能模块是入侵防御系统(以下简称IPS)的主要模块，日志能够记录展现出当前网络动态，能够把IPS识别的网络攻击行为特征直观的提供给网络管理员。然而，偶尔海量的攻击流量或者IPS误报行为会产生海量的日志，这其中会有很多重复的日志，导致日志输出过程中好多有价值的日志被滚动覆盖，网络管理员几乎无法完整的查阅到当前网络安全概况，同时海量日志的输出，也严重影响了IPS系统的性能处理效率。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种日志处理方法及系统。一方面，本专利技术实施例提供一种日志处理方法，包括：检测攻击事件，获取所述攻击事件对应的IP地址；若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系，则更新所述绑定关系对应的发生次数；若判断获知更新后的所述发生次数达到了预设阈值，则输出一次与所述攻击事件对应的日志信息，并将本地存储的所述发生次数本文档来自技高网...

【技术保护点】
一种日志处理方法，其特征在于，包括：检测攻击事件，获取所述攻击事件对应的IP地址；若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系，则更新所述绑定关系对应的发生次数；若判断获知更新后的所述发生次数达到了预设阈值，则输出一次与所述攻击事件对应的日志信息，并将本地存储的所述发生次数设置为零。

【技术特征摘要】
1.一种日志处理方法，其特征在于，包括：检测攻击事件，获取所述攻击事件对应的IP地址；若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系，则更新所述绑定关系对应的发生次数；若判断获知更新后的所述发生次数达到了预设阈值，则输出一次与所述攻击事件对应的日志信息，并将本地存储的所述发生次数设置为零。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：若判断获知本地没有存储所述攻击事件和所述IP地址的绑定关系，则在本地增加所述绑定关系，并将所述绑定关系对应的发生次数设置为1。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括设置检测周期的步骤，相应地，所述若判断获知更新后的所述发生次数达到了预设阈值，则输出一次与所述攻击事件对应的日志信息，并将本地存储的所述发生次数清零包括：若判断获知在当前的检测周期内、更新后的所述发生次数达到了预设阈值，则输出一次与所述攻击事件对应的日志信息，并将本地存储的所述发生次数清零。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：在当前的检测周期结束后，若判断获知所述绑定关系对应的发生次数大于0但尚未达到所述预设阈值，则输出一次与所述攻击事件对应的日志信息，并将本地存储的所述发生次数清零。5.根据权利要求1所述的方法，其特征在于，所述IP地址包括所述攻击事件对应的源IP地址或所述攻击事件的目的IP地址。6.一种系统，其特征在于，包括：获...

【专利技术属性】
技术研发人员：张辉，
申请(专利权)人：汉柏科技有限公司，
类型：发明
国别省市：天津;12