本发明专利技术提供一种监测方法、装置、电子设备及存储介质,所述监测方法包括:获取入侵监测系统监测获得的攻击事件;基于所述攻击事件的CDN特征值,确定所述攻击事件中的目标攻击事件。本发明专利技术通过对入侵监测系统监测获得的攻击事件进行进一步监测,即基于所述攻击事件的CDN特征值确定所述攻击事件是否为可以告警的目标攻击事件,有效降低了IPS误告警概率。有效降低了IPS误告警概率。有效降低了IPS误告警概率。
【技术实现步骤摘要】
监测方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种监测方法、装置、电子设备及存储介质。
技术介绍
[0002]入侵防御系统(Intrusion Prevention System,IPS)入侵防御监测系统可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
[0003]但现有技术中IPS入侵防御监测系统中月均日志量高达30万条,误告警概率高。
技术实现思路
[0004]本专利技术提供一种监测方法、装置、电子设备及存储介质,用以解决现有技术中IPS入侵防御监测系统误告警概率高的缺陷,实现降低 IPS入侵防御监测系统误告警概率。
[0005]第一方面,本专利技术提供一种监测方法,包括:
[0006]获取入侵监测系统监测获得的攻击事件;
[0007]基于所述攻击事件的CDN特征值,确定所述攻击事件中的目标攻击事件。
[0008]可选地,根据本专利技术提供的一种监测方法,所述CDN特征值,包括以下任一项或任意组合:
[0009]所述攻击事件的时间特征Time;
[0010]所述攻击事件的严重等级Severity;
[0011]所述攻击时间的标签Protocol信息;
[0012]用于指示所述攻击事件是否包括CVE/BID的CVE/BID信息;
[0013]所述攻击事件的攻击源IP的历史攻击频次Att_count;
[0014]所述攻击事件的Action信息;
[0015]所述攻击事件的第三方接口IP信誉信息Asn_rank;
[0016]所述攻击事件的攻击源地址的IP归属Country;
[0017]用于指示所述攻击事件是否包括攻击团伙或安全事件标签的Tag;
[0018]所述攻击事件的威胁类型Judgements;
[0019]所述攻击事件的攻击源IP溯源严重等级Severity_IP;
[0020]用于指示所述攻击事件的攻击源IP是否为恶意IP的Malicious 信息;
[0021]用于指示IPS的攻击目的IP是否能够检索到主机病毒的Virus信息;
[0022]用于指示IPS的攻击目的IP是否发起DDOS攻击的NTA_d信息;
[0023]用于指示IPS受害攻击源IP是否发起DDOS攻击的NTA_s信息。
[0024]可选地,根据本专利技术提供的一种监测方法,所述基于所述攻击事件的CDN特征值,确定所述攻击事件中的目标攻击事件,包括:
[0025]确定所述攻击事件的CDN特征值;
[0026]将所述攻击事件的CDN特征值输入至CDN监测模型,获得所述攻击事件是否为目标攻击事件。
[0027]可选地,根据本专利技术提供的一种监测方法,所述将所述攻击事件的CDN特征值输入至CDN监测模型,获得所述攻击事件是否为目标攻击事件,包括:
[0028]将所述攻击事件的CDN特征值输入至目标CDN监测模型,计算获得所述攻击事件的打分值;
[0029]基于所述攻击事件的打分值,确定所述攻击事件是否为目标攻击事件。
[0030]可选地,根据本专利技术提供的一种监测方法,所述方法还包括:
[0031]基于带标签的第一攻击事件样本,以及所述攻击事件样本的 CDN特征值,训练获得所述CDN监测模型;
[0032]基于带标签的第二攻击事件样本,和基于所述CDN监测模型确定的所述第二攻击事件样本的估计值,确定目标CDN监测模型。
[0033]可选地,根据本专利技术提供的一种监测方法,所述基于带标签的第二攻击事件样本,和基于所述CDN监测模型确定的所述第二攻击事件样本的估计值,确定目标CDN监测模型,包括:
[0034]在每一次目标CDN监测模型的调整过程中,将所述带标签的第二攻击事件样本,和基于所述CDN监测模型确定的所述第二攻击事件样本的估计值输入至交叉熵损失函数,确定交叉熵;
[0035]基于所述交叉熵,调整所述CDN监测模型的特征值权重和调整值;
[0036]在至少一次目标CDN监测模型的调整过程结束后,基于最后一次目标CDN监测模型的调整过程中确定的所述特征值权重和调整值,确定所述目标CDN监测模型。
[0037]可选地,根据本专利技术提供的一种监测方法,所述入侵监测系统包括以下至少一项:
[0038]IPS监测系统;
[0039]DDOS监测系统;
[0040]抗病毒系统。
[0041]第二方面,本专利技术还提供一种监测装置,包括:
[0042]获取模块,用于获取至少一个入侵监测系统监测获得的攻击事件;
[0043]确定模块,用于基于所述攻击事件的CDN特征值,确定所述攻击事件中的目标攻击事件。
[0044]第三方面,本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述监测方法的步骤。
[0045]第四方面,本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述监测方法的步骤。
[0046]本专利技术提供的监测方法、装置、电子设备及存储介质,通过对入侵监测系统监测获得的攻击事件进行进一步监测,即基于所述攻击事件的CDN特征值确定所述攻击事件是否为可以告警的目标攻击事件,有效降低了IPS误告警概率。
附图说明
[0047]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0048]图1是本申请实施例提供的监测方法的流程示意图;
[0049]图2是本申请实施例提供的监测平台的示意图;
[0050]图3是本专利技术提供的sigmoid函数图像示意图;
[0051]图4是本专利技术提供的监测装置的结构示意图;
[0052]图5示例了一种电子设备的实体结构示意图。
具体实施方式
[0053]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术中的附图,对本专利技术中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0054]下面结合图1
‑
图4描述本专利技术的监测方法、装置、电子设备及存储介质。
[0055]图1是本申请实施例提供的监测方法的流程示意图,如图1所示,该方法包括如下步骤:
[0056]步骤100,获取入侵监测系统监测获得的攻击事件;
[0057]步骤110,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种监测方法,其特征在于,包括:获取入侵监测系统监测获得的攻击事件;基于所述攻击事件的内容分发网络CDN特征值,确定所述攻击事件中的目标攻击事件。2.根据权利要求1所述的监测方法,其特征在于,所述CDN特征值,包括以下任一项或任意组合:所述攻击事件的时间特征Time;所述攻击事件的严重等级Severity;所述攻击时间的标签Protocol信息;用于指示所述攻击事件是否包括通用漏洞披露CVE/BID的CVE/BID信息;所述攻击事件的攻击源IP的历史攻击频次Att_count;所述攻击事件的Action信息;所述攻击事件的第三方接口IP信誉信息Asn_rank;所述攻击事件的攻击源地址的IP归属Country;用于指示所述攻击事件是否包括攻击团伙或安全事件标签的Tag;所述攻击事件的威胁类型Judgements;所述攻击事件的攻击源IP溯源严重等级Severity_IP;用于指示所述攻击事件的攻击源IP是否为恶意IP的Malicious信息;用于指示入侵防御系统IPS的攻击目的IP是否能够检索到主机病毒的Virus信息;用于指示IPS的攻击目的IP是否发起抗分布式阻断服务DDOS攻击的NTA_d信息;用于指示IPS受害攻击源IP是否发起DDOS攻击的NTA_s信息。3.根据权利要求1所述的监测方法,其特征在于,所述基于所述攻击事件的CDN特征值,确定所述攻击事件中的目标攻击事件,包括:确定所述攻击事件的CDN特征值;将所述攻击事件的CDN特征值输入至CDN监测模型,获得所述攻击事件是否为目标攻击事件。4.根据权利要求3所述的监测方法,其特征在于,所述将所述攻击事件的CDN特征值输入至CDN监测模型,获得所述攻击事件是否为目标攻击事件,包括:将所述攻击事件的CDN特征值输入至目标CDN监测模型,计算获得所述攻击事件的打分值;基...
【专利技术属性】
技术研发人员:吴倩,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。