一种统计告警方法和装置制造方法及图纸

本发明专利技术涉及一种统计告警方法和装置，该方法包括：获取用户的网络环境和流量数据信息；根据用户的网络环境，确定对应用户的目标IP信息和目标端口信息；将目标IP信息和目标端口信息对应添加至白名单库；对流量数据信息进行解析，获得对应的第一IP信息和第一端口信息；根据白名单库，对第一IP信息和第一端口信息进行筛选，得到对应的第二IP信息和第二端口信息；利用预设的告警匹配算法对第二IP信息和第二端口信息进行匹配，得到匹配结果；如果匹配结果为匹配成功，则生成告警信息并发送至用户；告警信息用于指示用户的流量数据信息为异常。本方案能够降低点对点环境下统计告警的误报率。

【技术实现步骤摘要】
一种统计告警方法和装置
本专利技术涉及网络安全
，尤其涉及一种统计告警方法和装置。
技术介绍
随着互联网科技的高速发展，日常生活中越来越离不开互联网，但同时网络攻击也变得更加频繁。现有的网络安全设备大多基于统计的安全检测告警算法进行告警，比如，常见的网络攻击包括：恶意的向某个服务器端口发送大量的SYN包，会使服务器打开大量的半开连接，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。如此，基于现有安全检测告警算法可以在SYN包超出预设阈值时发出告警，以便及时作出防御。然而，在点对点传输网络(peer-to-peer,简称P2P)中，数据传输过程中本就会产生大量的SYN包的无效连接，采用现有基于统计的安全检测告警算法，则将该传输环境下产生的SYN包无效连接计入在内，从而产生误报。鉴于此，针对以上不足，需要提供一种统计告警方法和装置来解决上述不足。
技术实现思路
本专利技术要解决的技术问题在于如何降低点对点环境下统计告警的误报率，针对现有技术中的缺陷，提供了一种统计告警方法和装置。为了解决上述技术问题，第一方面，本专利技术提供了一种统计告警方法，该方法包括：获取用户的网络环境和流量数据信息；根据所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息；将所述目标IP信息和所述目标端口信息对应添加至白名单库；对所述流量数据信息进行解析，获得对应的第一IP信息和第一端口信息；根据所述白名单库，对所述第一IP信息和所述第一端口信息进行筛选，得到对应的第二IP信息和第二端口信息；其中，所述第一IP信息中包括目标IP信息和第二IP信息；所述第一端口信息中包括所述目标端口信息和所述第二端口信息；利用预设的告警匹配算法对所述第二IP信息和所述第二端口信息进行匹配，得到匹配结果；如果所述匹配结果为匹配成功，则生成告警信息并发送至所述用户；所述告警信息用于指示所述用户的流量数据信息为异常。可选地，所述网络环境中包括至少两个节点；所述用户的网络环境包括：BitTorrent传输环境；所述根据所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息，包括：获取所述用户的网络环境中所包括的所述至少两个节点；获取对应所述BitTorrent传输环境的BitTorrent资源信息；对所述BitTorrent资源信息进行解析，获得对应至少一个节点的IP信息和端口信息，并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。可选地，所述网络环境中包括至少两个节点；所述用户的网络环境包括：ED2K传输环境；所述根据所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息，包括：获取所述用户的网络环境中所包括的所述至少两个节点；获取对应所述ED2K传输环境的ED2K资源信息；对所述ED2K资源信息进行解析，获得对应至少一个节点的IP信息和端口信息，并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。可选地，所述对所述流量数据信息进行解析，获得对应的第一IP信息和第一端口信息，包括：确定所述流量数据信息中包括的协议类型；根据所述协议类型对所述流量数据信息进行分类，获得对应每一类协议类型的流量文件；对每一类协议类型的流量文件进行解析处理，得到对应的所述第一IP信息和所述第一端口信息。可选地，所述利用预设的告警匹配算法对所述第二IP信息和所述第二端口进行匹配，得到匹配结果，包括：利用预测的告警匹配算法，确定预设的黑名单库中所包括的异常流量数据信息与所述第二IP信息和所述第二端口信息之间的相似度；其中，所述异常流量数据信息中包括对应的恶意IP信息和恶意端口信息；针对每一组第二IP信息和第二端口信息，判断对应该组第二IP信息和第二端口信息的相似度是否大于预设相似度阈值；如果是，则该组第二IP信息和第二端口信息为异常流量数据信息，并记录匹配次数；判断所记录的所述匹配次数是否大于预设次数阈值，得到所述匹配结果；如果是，则确定该匹配结果为匹配成功。可选地，在所述生成告警信息并发送至所述用户之后，进一步包括：对确定为异常的数据流量信息进行特征提取；得到对应的更新恶意IP信息和更新恶意端口信息，并添加至所述预设的黑名单库中。可选地，在所述生成告警信息并发送至所述用户之后，进一步包括：检测所述用户的网络环境；当检测到所述用户的网络环境发生变化时，获取当前所述用户的网络环境；确定对应当前所述用户的网络环境的目标IP信息和目标端口信息；将所述目标IP信息和所述目标端口信息对应添加至白名单库，获得更新白名单库。第二方面，本专利技术还提供了一种统计告警装置，包括：获取模块，用于获取用户的网络环境和流量数据信息；白名单构建模块，用于根据由所述获取模块获取到的所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息，并将所述目标IP信息和所述目标端口信息对应添加至白名单库；解析模块，用于对由所述获取模块获取到的所述流量数据信息进行解析，获得对应的第一IP信息和第一端口信息；筛选模块，用于根据由所述白名单构建模块得到的所述白名单库，对由所述解析模块获得的所述第一IP信息和所述第一端口信息进行筛选，得到对应的第二IP信息和第二端口信息；其中，所述第一IP信息中包括目标IP信息和第二IP信息；所述第一端口信息中包括所述目标端口信息和所述第二端口信息；判断模块，用于利用预设的告警匹配算法对由所述筛选模块确定的所述第二IP信息和所述第二端口信息进行匹配，得到匹配结果；如果所述匹配结果为匹配成功，则生成告警信息并发送至所述用户；所述告警信息用于指示所述用户的流量数据信息为异常。可选地，所述网络环境中包括至少两个节点；所述用户的网络环境包括：BitTorrent传输环境；所述白名单构建模块，还用于执行如下操作：获取所述用户的网络环境中所包括的所述至少两个节点；对所述BitTorrent资源信息进行解析，获得对应至少一个节点的IP信息和端口信息，并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。可选地，所述网络环境中包括至少两个节点；所述用户的网络环境包括：ED2K传输环境；所述白名单构建模块，还用于执行如下操作：获取所述用户的网络环境中所包括的所述至少两个节点；获取对应所述ED2K传输环境的ED2K资源信息；对所述ED2K资源信息进行解析，获得对应至少一个节点的IP信息和端口信息，并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。第三方面，本专利技术还提供了一种统计告警装置，包括：至少一个存储器和至少一个处理器；所述至少一个存储器，用于存储机器可读程序；所述至少一个处本文档来自技高网...

【技术保护点】
1.一种统计告警方法，其特征在于，包括：/n获取用户的网络环境和流量数据信息；/n根据所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息；/n将所述目标IP信息和所述目标端口信息对应添加至白名单库；/n对所述流量数据信息进行解析，获得对应的第一IP信息和第一端口信息；/n根据所述白名单库，对所述第一IP信息和所述第一端口信息进行筛选，得到对应的第二IP信息和第二端口信息；其中，所述第一IP信息中包括目标IP信息和第二IP信息；所述第一端口信息中包括所述目标端口信息和所述第二端口信息；/n利用预设的告警匹配算法对所述第二IP信息和所述第二端口信息进行匹配，得到匹配结果；/n如果所述匹配结果为匹配成功，则生成告警信息并发送至所述用户；所述告警信息用于指示所述用户的流量数据信息为异常。/n

【技术特征摘要】
1.一种统计告警方法，其特征在于，包括：
获取用户的网络环境和流量数据信息；
根据所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息；
将所述目标IP信息和所述目标端口信息对应添加至白名单库；
对所述流量数据信息进行解析，获得对应的第一IP信息和第一端口信息；
根据所述白名单库，对所述第一IP信息和所述第一端口信息进行筛选，得到对应的第二IP信息和第二端口信息；其中，所述第一IP信息中包括目标IP信息和第二IP信息；所述第一端口信息中包括所述目标端口信息和所述第二端口信息；
利用预设的告警匹配算法对所述第二IP信息和所述第二端口信息进行匹配，得到匹配结果；
如果所述匹配结果为匹配成功，则生成告警信息并发送至所述用户；所述告警信息用于指示所述用户的流量数据信息为异常。


2.根据权利要求1所述的方法，其特征在于，所述网络环境中包括至少两个节点；
所述用户的网络环境包括：BitTorrent传输环境；
所述根据所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息，包括：
获取所述用户的网络环境中所包括的所述至少两个节点；
获取对应所述BitTorrent传输环境的BitTorrent资源信息；
对所述BitTorrent资源信息进行解析，获得对应至少一个节点的IP信息和端口信息，并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息；
和/或，
所述用户的网络环境包括：ED2K传输环境；
所述根据所述用户的网络环境，确定对应所述用户的目标IP信息和目标端口信息，包括：
获取所述用户的网络环境中所包括的所述至少两个节点；
获取对应所述ED2K传输环境的ED2K资源信息；
对所述ED2K资源信息进行解析，获得对应至少一个节点的IP信息和端口信息，并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。


3.根据权利要求1所述的方法，其特征在于，所述对所述流量数据信息进行解析，获得对应的第一IP信息和第一端口信息，包括：
确定所述流量数据信息中包括的协议类型；
根据所述协议类型对所述流量数据信息进行分类，获得对应每一类协议类型的流量文件；
对每一类协议类型的流量文件进行解析处理，得到对应的所述第一IP信息和所述第一端口信息。


4.根据权利要求1所述的方法，其特征在于，所述利用预设的告警匹配算法对所述第二IP信息和所述第二端口进行匹配，得到匹配结果，包括：
利用预测的告警匹配算法，确定预设的黑名单库中所包括的异常流量数据信息与所述第二IP信息和所述第二端口信息之间的相似度；其中，所述异常流量数据信息中包括对应的恶意IP信息和恶意端口信息；
针对每一组第二IP信息和第二端口信息，判断对应该组第二IP信息和第二端口信息的相似度是否大于预设相似度阈值；
如果是，则该组第二IP信息和第二端口信息为异常流量数据信息，并记录匹配次数；
判断所记录的所述匹配次数是否大于预设次数阈值，得到所述匹配结果；
如果是，则确定该匹配结果为匹配成功。


5.根据权利要求4所述的方法，其特征在于，在...

【专利技术属性】
技术研发人员：李林哲，郭丹枫，关墨辰，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京;11