本发明专利技术实施例提供一种日志处理方法及系统。所述方法包括:检测攻击事件,获取所述攻击事件对应的IP地址;若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系,则更新所述绑定关系对应的发生次数;若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数设置为零。所述系统用于执行所述方法。本发明专利技术实施例通过检测到攻击事件,并将本地存储有攻击事件和攻击事件对应的IP地址的绑定关系对应的发生次数进行更新,判断获知更新后的发生次数达到了预设阈值,则输出一次攻击事件对应的日志信息,有效地避免了大量重复的日志信息输出,同时缓解了系统的性能压力。
【技术实现步骤摘要】
本专利技术实施例涉及计算机安全
,尤其涉及一种日志处理方法及系统。
技术介绍
随着计算机技术的迅速发展,给人们的生活带来了极大的便利的同时也带来了一些安全隐患,因此在计算机中需要有入侵防御系统来保证计算机的安全。现有技术中,日志功能模块是入侵防御系统(以下简称IPS)的主要模块,日志能够记录展现出当前网络动态,能够把IPS识别的网络攻击行为特征直观的提供给网络管理员。然而,偶尔海量的攻击流量或者IPS误报行为会产生海量的日志,这其中会有很多重复的日志,导致日志输出过程中好多有价值的日志被滚动覆盖,网络管理员几乎无法完整的查阅到当前网络安全概况,同时海量日志的输出,也严重影响了IPS系统的性能处理效率。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种日志处理方法及系统。一方面,本专利技术实施例提供一种日志处理方法,包括:检测攻击事件,获取所述攻击事件对应的IP地址;若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系,则更新所述绑定关系对应的发生次数;若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数设置为零。本专利技术实施例提供一种系统,包括:获取模块,用于检测攻击事件,获取所述攻击事件对应的IP地址;第一处理模块,用于若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系,则更新所述绑定关系对应的发生次数;第二处理模块,用于若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数设置为零。本专利技术实施例提供的一种日志处理方法及系统,通过检测到攻击事件,并将本地存储有攻击事件和攻击事件对应的IP地址的绑定关系对应的发生次数进行更新,判断获知更新后的发生次数达到了预设阈值,则输出一次攻击事件对应的日志信息,有效地避免了大量重复的日志信息输出,同时缓解了系统的性能压力。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种日志处理方法流程示意图;图2为本专利技术实施例提供的一种系统的结构示意图;图3为本专利技术另一实施例提供的一种系统结构示意图;图4为本专利技术再一实施例提供的一种系统结构示意图;图5为本专利技术又一实施例提供的一种系统结构示意图;图6为本专利技术实施例提供的一种系统实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术实施例提供的一种日志处理方法流程示意图,如图1所示,所述方法,包括:步骤101:检测攻击事件,获取所述攻击事件对应的IP地址;具体地,当系统检测到有攻击事件发生时,对该攻击事件进行防御,并获取该攻击事件对应的IP地址。应当说明的是,系统中包含攻击事件特征库,该攻击事件特征库中存有该系统可识别的攻击事件。步骤102:若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系,则更新所述绑定关系对应的发生次数;具体地,在获取到攻击事件对应的IP地址后,建立IP地址和该攻击事件的绑定关系,并在本地存储中判断是否有该绑定关系,若判断获知在本地存储中存在该绑定关系,则更新该绑定关系对应的发生次数,例如可以在该绑定关系对应的发生次数的基础上加1。步骤103:若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数设置为零。具体地,系统对发生次数设定了一个预设阈值,如果判断更新后的发生次数达到了设定的预设阈值,则输出一次该攻击事件对应的日志信息,并将本地存储的该攻击事件对应的发生次数设置为零。例如:系统中的攻击事件特征库中存有攻击事件A,给攻击事件A设置一个编号,如:攻击事件A对应编号sid,可以理解的是攻击事件特征库中存有大量的攻击事件,本实施例不一一列举。当系统检测到攻击事件A发生,获取攻击事件对应的IP地址,,建立该攻击事件A与攻击事件对应的IP地址的绑定关系,记为IP-sid,判断在本地存储中是否存在IP-sid,可以理解的是,本地存储可以为缓存记录,但不局限于本实施例中所述。如果在缓存记录中记录有IP-sid,则更新IP-sid对应的发生次数,如缓存记录中原记录IP-sid对应的发生次数为4,则更新后的IP-sid对应的发生次数为5。在系统中设置发生次数的预设阈值为5,但不局限于预设阈值为5,系统可根据实际情况进行调整。此时可知,IP-sid对应的发生次数达到了预设阈值,将IP-sid对应的日志信息输出一次,并将缓存记录中的IP-sid对应的发生次数设置为零。本专利技术实施例通过检测到攻击事件,并将本地存储有攻击事件和攻击事件对应的IP地址的绑定关系对应的发生次数进行更新,判断获知更新后的发生次数达到了预设阈值,则输出一次攻击事件对应的日志信息,有效地避免了大量重复的日志信息输出,同时缓解了系统的性能压力。在上述实施例的基础上,所述方法还包括:若判断获知本地没有存储所述攻击事件和所述IP地址的绑定关系,则在本地增加所述绑定关系,并将所述绑定关系对应的发生次数设置为1。具体地,当攻击事件发生后,如该攻击事件和攻击事件对应的IP地址的绑定关系没有在本地存储,则在本地的缓存记录中增加该绑定关系,并将该绑定关系对应的发生次数置为1。在上述实施例的基础上,所述方法还包括设置检测周期的步骤,相应地,所述若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数清零包括:若判断获知在当前的检测周期内、更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数清零。具体地,在系统内设定检测周期,在检测周期内,如果攻击事件的绑定关系对应的发生次数达到了预设阈值,则将该攻击事件对应的日志信息输出一次,相应的,将该发生次数清零,重新开始一个检测周期。例如:设定检测周期为5秒,预设阈值为5次,则在5秒内,若某个攻击事件的绑定关系对应的发生次数达到了5次,则将该攻击事件对应的日志信息输出一次。本专利技术实施例通过设定检测周期,将在检测周期内的发生次数为预设阈值的攻击事件对应的日志信息输出一次,减少了重复攻击事件对应的日志信息输出的次数,有利于网络管理员对有价值的日志信息的查看,同时缓解了系统的性能压力。在上述实施例的基础上,所述方法还包括:在当前的检测周期结束后,若判断获知所述绑定关系对应的发生次数大于0但尚未达到所述预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数清零。具体地,当检测周期结束后,如果本地存储的攻击事件的绑定关系对应的发生次数大于0小于预设阈值,则输出一次该攻击事件对应的日志信息,并将本文档来自技高网...
【技术保护点】
一种日志处理方法,其特征在于,包括:检测攻击事件,获取所述攻击事件对应的IP地址;若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系,则更新所述绑定关系对应的发生次数;若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数设置为零。
【技术特征摘要】
1.一种日志处理方法,其特征在于,包括:检测攻击事件,获取所述攻击事件对应的IP地址;若判断获知本地存储有所述攻击事件和所述IP地址的绑定关系,则更新所述绑定关系对应的发生次数;若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数设置为零。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若判断获知本地没有存储所述攻击事件和所述IP地址的绑定关系,则在本地增加所述绑定关系,并将所述绑定关系对应的发生次数设置为1。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括设置检测周期的步骤,相应地,所述若判断获知更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数清零包括:若判断获知在当前的检测周期内、更新后的所述发生次数达到了预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数清零。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:在当前的检测周期结束后,若判断获知所述绑定关系对应的发生次数大于0但尚未达到所述预设阈值,则输出一次与所述攻击事件对应的日志信息,并将本地存储的所述发生次数清零。5.根据权利要求1所述的方法,其特征在于,所述IP地址包括所述攻击事件对应的源IP地址或所述攻击事件的目的IP地址。6.一种系统,其特征在于,包括:获...
【专利技术属性】
技术研发人员:张辉,
申请(专利权)人:汉柏科技有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。