网络攻击告警阈值配置方法、介质、装置和计算设备制造方法及图纸

本发明专利技术提供了一种网络攻击告警阈值配置方法。该方法包括：按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；将所述告警阈值配置于所述目标节点。本发明专利技术的方法根据业务流量匹配告警阈值，减少了人工运维成本，且对业务流量的波动进行更准确地适配和保障，减小防护响应时间，减轻攻击瞬间的压力影响，有效降低攻击告警的误报率和漏报率。此外，本发明专利技术的实施方式提供了一种网络攻击告警阈值配置装置、一种介质和一种计算设备。

Threshold Configuration Method, Media, Device and Computing Device for Network Attack Alert

The invention provides a network attack alarm threshold configuration method. The method includes: recording the traffic information of the target node according to the set period, obtaining the traffic history data of the target node; obtaining the warning threshold of the target node based on the traffic history data of the target node and the bandwidth configuration information of the target node; and configuring the warning threshold to the target node. The method of the present invention matches the warning threshold according to the traffic flow, reduces the cost of manual operation and maintenance, adapts and guarantees the fluctuation of traffic flow more accurately, reduces the protection response time, reduces the pressure influence at the moment of attack, and effectively reduces the false alarm rate and the false alarm rate of attack alarm. In addition, the embodiment of the present invention provides a network attack warning threshold configuration device, a medium and a computing device.

【技术实现步骤摘要】
网络攻击告警阈值配置方法、介质、装置和计算设备
本专利技术涉及信息
，更具体地，本专利技术涉及一种网络攻击告警阈值配置方法、介质、装置和计算设备。
技术介绍
网络信息系统在安全方面所面临的威胁来自很多方面。这些威胁可分为人为威胁和自然威胁。其中，人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。精心设计的人为攻击种类多、数量大。例如，分布式拒绝服务攻击(DistributedDenialofService，简称DDoS)借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标进行拥塞攻击，直接消耗系统资源，使得该目标系统无法提供正常的服务。现有的网络安全技术中，对网络信息系统的人为攻击威胁较难防备。以DDoS攻击为例，通常采用配置告警阈值的方法来防范网络攻击。现有的DDoS告警阈值的调整，通常是手工为一个IP(InternetProtocol，网络之间互联协议)或一段IP，分别配置一组固定的阈值，阈值的改变需要人工手动调整。IP数量或IP部署类型增加时，需要划分更多的小组配置固定阈值，无法根据业务的流量波动，协议特征等自动实时地匹配调整。人工运维成本较高，攻击告警准确性较差。
技术实现思路
如上所述，现有技术中网络攻击的告警阈值需要手工配置和调整。因此在现有技术中，IP数量或IP部署类型增加时，需要划分更多的小组配置固定阈值，无法根据业务的流量波动，协议特征等自动实时地匹配调整，这是非常令人烦恼的过程。为此，非常需要一种改进的网络攻击告警阈值配置方法，以减少人工运维成本，且对业务流量的波动进行更准确地适配和保障，有效降低攻击告警的误报率和漏报率。在本上下文中，本专利技术的实施方式期望提供一种网络攻击告警阈值配置方法和装置。在本专利技术实施方式的第一方面中，提供了一种网络攻击告警阈值配置方法，包括：按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；将所述告警阈值配置于所述目标节点。在本专利技术实施方式的第二方面中，提供了一种介质，其上存储有计算机程序，该程序被处理器执行实现上述网络攻击告警阈值配置方法中任一所述的方法。在本专利技术实施方式的第三方面中，提供了一种装置，包括：记录单元，用于按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；告警单元，用于根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；配置单元，用于将所述告警阈值配置于所述目标节点。在本专利技术实施方式的第四方面中，提供了一种计算设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述网络攻击告警阈值配置方法中任一所述的方法。根据本专利技术实施方式的网络攻击告警阈值配置方法和装置，可以根据业务流量匹配告警阈值，减少了人工运维成本，且对业务流量的波动进行更准确地适配和保障，减小防护响应时间，减轻攻击瞬间的压力影响，有效降低攻击告警的误报率和漏报率。附图说明通过参考附图阅读下文的详细描述，本专利技术示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本专利技术的若干实施方式，其中：图1示意性地示出了根据本专利技术一实施例的网络攻击告警阈值配置方法的流程图；图2示意性地示出了根据本专利技术实施方式的网络攻击告警阈值配置方法的网络部署结构图；图3示意性地示出了根据本专利技术又一实施例的网络攻击告警阈值配置方法的流程图；图4示意性地示出了根据本专利技术实施例的介质的示意图；图5示意性地示出了根据本专利技术一实施例的网络攻击告警阈值配置装置的结构示意图；图6示意性地示出了根据本专利技术另一实施例的网络攻击告警阈值配置装置的结构示意图；图7示意性地示出了根据本专利技术一实施例的计算设备的结构示意图。在附图中，相同或对应的标号表示相同或对应的部分。具体实施方式下面将参考若干示例性实施方式来描述本专利技术的原理和精神。应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本专利技术，而并非以任何方式限制本专利技术的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。本领域技术人员知道，本专利技术的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。根据本专利技术的实施方式，提出了一种网络攻击告警阈值配置的方法、介质、装置和计算设备。在本文中，附图中的任何元素数量均用于示例而非限制，以及任何命名都仅用于区分，而不具有任何限制含义。下面参考本专利技术的若干代表性实施方式，详细阐释本专利技术的原理和精神。专利技术概述本专利技术人发现，现有技术中网络攻击的告警阈值需要手工配置和调整；IP数量或IP部署类型增加时，需要划分更多的小组配置固定阈值，无法根据业务的流量波动，协议特征等自动实时地匹配调整。有鉴于此，本专利技术提供了一种网络攻击告警阈值配置方法和装置。该方法包括：按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；将所述告警阈值配置于所述目标节点。本专利技术的方法根据业务流量匹配告警阈值，减少了人工运维成本，且对业务流量的波动进行更准确地适配和保障，减小防护响应时间，减轻攻击瞬间的压力影响，有效降低攻击告警的误报率和漏报率。在介绍了本专利技术的基本原理之后，下面具体介绍本专利技术的各种非限制性实施方式。示例性方法下面结合图1-图3来描述根据本专利技术示例性实施方式的网络攻击告警阈值配置方法。如图1所示，本专利技术实施例的网络攻击告警阈值配置方法可以包括以下步骤：步骤S110，按照设定周期记录目标节点的流量信息，得到目标节点的流量历史数据；步骤S120，根据目标节点的流量历史数据与目标节点的带宽配置信息得到目标节点的告警阈值；步骤S130，将告警阈值配置于目标节点。以DDoS攻击告警触发为例，当服务器存在大量业务时，需要对每一个业务目标IP都配置相应的告警阈值，用于判断何时通知管控平台进行采取相关处理措施。每个业务目标IP的流量通常会不断波动。其中，IP为计算机网络相互链接进行通信而设计的协议。任何计算机采用IP协议可以与因特网互联互通。本实施例中的目标节点可以包含有多种IP业务(即多个业务目标IP)，如：SYN(SynchronizeSequenceNumbers，同步序列编号)、ACK(Acknowledgement，确认字符)、ICMP(InternetControlMessageProtocol，因特网控制报文协议)、UDP(UserDatagramProtocol，用户数据报协议)、NTP(NetworkTimeProtocol，网络时间协议)、DNS(DomainNameSystem，域名系统)、SSDP(SimpleServiceDiscoveryProtocol，简单服务发现协议)和SMA本文档来自技高网...

【技术保护点】
1.一种网络攻击告警阈值配置方法，其特征在于，包括：按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；将所述告警阈值配置于所述目标节点。

【技术特征摘要】
1.一种网络攻击告警阈值配置方法，其特征在于，包括：按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；将所述告警阈值配置于所述目标节点。2.根据权利要求1所述的方法，其特征在于，按照设定周期记录目标节点的流量信息得到所述目标节点的流量历史数据，包括：记录所述设定周期内每天各个时段的流量信息，并得到所述目标节点在所述设定周期内每天各个时段的时段流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值，包括：根据所述时段流量历史数据与所述目标节点的带宽配置信息，得到所述目标节点在各个时段的时段告警阈值。3.根据权利要求2所述的方法，其特征在于，记录所述设定周期内每天各个时段的流量信息并得到所述目标节点在所述设定周期内每天各个时段的时段流量历史数据，包括：记录所述设定周期内每天各个时段的流量峰值，并得出所述各个时段在所述设定周期内的流量峰值平均值；将所述各个时段的所述流量峰值平均值作为所述各个时段的所述时段流量历史数据。4.根据权利要求1所述的方法，其特征在于，所述流量信息包括各业务流量信息和总流量信息；所述告警阈值包括第一告警阈值和第二告警阈值；按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据，包括：按照设定周期记录目标节点的各业务流量信息和总流量信息，得到所述目标节点的各业务流量历史数据和总流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值，包括：根据所述目标节点的各业务流量历史数据与所述目标节点的各业务带宽配置信息得到所述目标节点各业务分别对应的所述第一告警阈值；根据所述目标节点的总流量历史数据与所述目标节点的总带宽配置信息得到所述目标节点总流量对应的所述第二告警阈值。5....

【专利技术属性】
技术研发人员：邢博武，
申请(专利权)人：网易杭州网络有限公司，
类型：发明
国别省市：浙江,33