一种基于反馈机制的流量风险告警方法及警告系统技术方案

本发明专利技术涉及一种基于反馈机制的流量风险告警方法及警告系统，包括以下步骤：步骤1、流量检测服务器部署镜像流量，所有经过流量检测服务器的流量都会被同样发送到服务器Mirror；步骤2、服务器Mirror中的Suricata流量检测工具根据Suricata规则集对步骤1中的流量进行采集分析，生成对应的日志信息；步骤3、filebeat日志传输工具采集日志信息中的告警内容，发送给告警处理系统；步骤4、告警处理系统将告警信息发送给用户。本发明专利技术提出的基于反馈机制的流量风险告警方法和系统，生成相应的告警信息，通过各种通信手段通知到相关用户。同时，根据用户对告警信息的处理行为进一步修改流量分析规则，使整体的流量检测更贴合于用户的实际需求。需求。需求。

【技术实现步骤摘要】
一种基于反馈机制的流量风险告警方法及警告系统


[0001]本专利技术涉及一种流量数据的检测方法，尤其是一种基于反馈机制的流量风险告警方法及警告系统。

技术介绍

[0002]流量检测可以发现流量数据中的攻击行为(如端口扫描、暴力破解、挖矿木马等)，让使用者得以及时采取合理的防护应对措施，保障系统的安全。
[0003]为了减轻流量数据采集、分析、存储对用户业务系统造成的压力，目前大多数的流量检测系统都采用旁路部署的形式，即部署镜像流量，在独立的服务器对采集到的镜像流量进行规则匹配和风险检测。
[0004]然而现有的基于流量的入侵检测方法通常只停留在获取日志统计信息层面，且其检测规则管理通常为静态的，仅在部署之前对规则进行简单的设置，并未考虑到根据现有的告警信息和用户对不同信息的处理行为来动态维护流量检测规则。

技术实现思路

[0005]本专利技术设计了一种基于反馈机制的流量风险告警方法以及警告系统，其解决的技术问题是现有的基于流量的入侵检测方法通常只停留在获取日志统计信息层面，且其检测规则管理通常为静态的，仅在部署之前对规则进行简单的设置，并未考虑到根据现有的告警信息和用户对不同信息的处理行为来动态维护流量检测规则。
[0006]为了解决上述存在的技术问题，本专利技术采用了以下方案：
[0007]一种基于反馈机制的流量风险告警方法，包括以下步骤：步骤1、流量检测服务器部署镜像流量，所有经过流量检测服务器的流量都会被同样发送到服务器Mirror；步骤2、服务器Mirror中的Suricata流量检测工具根据Suricata规则集对步骤1中的流量进行采集分析，生成对应的日志信息；步骤3、filebeat日志传输工具采集日志信息中的告警内容，发送给告警处理系统；步骤4、告警处理系统将告警信息发送给用户。
[0008]优选地，还包括步骤5、用户登录告警处理系统来处理各类告警信息，包括提高/降低告警等级、为某个IP开放白名单或设置某信息为误报中的一种或多种。
[0009]优选地，还包括步骤6、告警处理系统收集近期用户处理行为，汇总并生成新的规则，补充到步骤2中Suricata规则集中，重启步骤2中Suricata流量检测工具，后续流量检测将按照新的规则集检测数据。
[0010]优选地，新的规则能够部署在其他服务器中。
[0011]优选地，步骤1中服务器Mirror负责实际的流量采集、分析、日志告警工作。
[0012]优选地，步骤4中告警处理系统将告警信息以站内信、邮件、短信方式发送给用户。
[0013]一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现上述基于反馈机制的流量风险告警方法的步骤。
[0014]一种基于反馈机制的流量风险告警系统，包括检测服务器，其用于流量的检测；服
务器Mirror，其通过旁路方式采集检测服务器的流量，所有经过流量检测服务器的流量都会被同样发送到服务器Mirror；Suricata流量检测模块，其部署在服务器Mirror，对流量进行采集、分析和记录；Suricata流量检测模块中Suricata规则集，用于存放规则信息，当检测到的流量匹配规则时，会生成日志；filebeat日志传输模块，其部署在服务器Mirror中，从suricata流量检测模块记录的日志中获取并转发告警信息；告警处理模块，其部署在服务器Mirror中，用于接收告警信息并通知用户。
[0015]优选地，告警处理模块还收集近期用户处理行为，汇总并生成新的规则，补充到Suricata规则集中，重启Suricata流量检测模块，后续流量检测将按照新的规则集检测数据。
[0016]一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述基于反馈机制的流量风险告警系统。
[0017]该基于反馈机制的流量风险告警方法具有以下有益效果：
[0018](1)本专利技术提出的基于反馈机制的流量风险告警方法和系统，在现有的流量检测技术基础上，还会生成相应的告警信息，通过各种通信手段通知到相关用户，允许用户单次或批量针对不同的告警信息，采取不同的处理手段。同时，根据用户对告警信息的处理行为进一步修改流量分析规则，使整体的流量检测更贴合于用户的实际需求。
[0019](2)本专利技术对于收集到的日志数据，尤其是其中的告警日志，不仅限于提供可视化的统计数据信息，还会生成相应的告警信息，通过各种通信手段通知到相关用户，允许用户单次或批量针对不同的告警日志，采取不同的处理手段。
[0020](3)本专利技术统计用户对不同告警的处理行为，并以规则的形式补充入对当前维护的suricata规则库，使风险告警方法具有基于反馈机制的规则动态完善、可成长、降低误报率且贴合用户实际业务需求的优秀特性。
附图说明
[0021]图1是本专利技术基于反馈机制的流量风险告警方法整体处理的流程图。
具体实施方式
[0022]下面结合图1，对本专利技术做进一步说明：
[0023]如图1所示，实施例为应用服务器部署的基于反馈机制的流量风险告警方案。
[0024]本实例中涉及到的功能模块有应用服务器A(需要我们做流量检测的服务器)、服务器Mirror(旁路方式采集服务器A的流量)、Suricata流量检测工具(部署在服务器Mirror，对流量进行采集、分析、记录)、Suricata规则集(用于存放规则信息，当检测到的流量匹配规则时，会生成日志)、filebeat日志传输工具(部署在服务器Mirror，从suricata记录的日志中获取并转发告警信息到告警处理系统)、告警处理系统(本实例中部署在服务器Mirror，用于接收告警信息并通知用户，同时采集用户的处理行为，处理成规则形式补充到Suricata规则集中，本系统也可以部署在其他服务器中)。
[0025]本实例是为用户应用服务器A部署的基于反馈机制的流量风险告警方案。具体执行过程如下：
[0026]为服务器A部署镜像流量，即所有经过服务器A的流量都会被同样发送到服务器
Mirror。服务器Mirror负责实际的流量采集、分析、日志告警等实际工作。
[0027]服务器Mirror中的Suricata流量检测工具对流量进行采集分析，生成对应的日志信息。
[0028]filebeat日志传输工具采集日志中的告警内容，发送给告警处理系统。
[0029]告警处理系统讲告警信息以站内信、邮件、短信等方式发送给用户。
[0030]用户登录告警处理系统来处理各类告警信息(提高/降低告警等级、为某个IP开放白名单、设置某信息为误报)。
[0031]告警处理系统收集近期用户处理行为，汇总并生成新的规则，补充到Suricata规则集中，重启Suricata流量检测工具，后续流量检测将按照新的规则集检测数据。
[0032]本专利技术的技术关键点在于：
[0033]1、对生成的流量告警本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于反馈机制的流量风险告警方法，包括以下步骤：步骤1、流量检测服务器部署镜像流量，所有经过流量检测服务器的流量都会被同样发送到服务器Mirror；步骤2、服务器Mirror中的Suricata流量检测工具根据Suricata规则集对步骤1中的流量进行采集分析，生成对应的日志信息；步骤3、filebeat日志传输工具采集日志信息中的告警内容，发送给告警处理系统；步骤4、告警处理系统将告警信息发送给用户。2.根据权利要求1所述的基于反馈机制的流量风险告警方法，其特征在于：还包括步骤5、用户登录告警处理系统来处理各类告警信息，包括提高/降低告警等级、为某个IP开放白名单或设置某信息为误报中的一种或多种。3.根据权利要求2所述的基于反馈机制的流量风险告警方法，其特征在于：还包括步骤6、告警处理系统收集近期用户处理行为，汇总并生成新的规则，补充到步骤2中Suricata规则集中，重启步骤2中Suricata流量检测工具，后续流量检测将按照新的规则集检测数据。4.根据权利要求3所述的基于反馈机制的流量风险告警方法，其特征在于：新的规则能够部署在其他服务器中。5.根据权利要求1
‑
4中任何一项所述的基于反馈机制的流量风险告警方法，其特征在于：步骤1中服务器Mirror负责实际的流量采集、分析、日志告警工作。6.根据权利要求2所述的基于反馈机制的流量风险告警方法，其特征在于：步骤4中告警处理...

【专利技术属性】
技术研发人员：蓝江艳，梁宵，孟媛媛，刘春娜，耿方，庞胜民，陈宏远，郑皓，何丽飞，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：