System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 攻击识别方法、系统及相关设备技术方案_技高网
当前位置: 首页 > 专利查询>深圳市深信服信息安全有限公司专利>正文

攻击识别方法、系统及相关设备技术方案

技术编号:40195067 阅读:5 留言:0更新日期:2024-01-26 23:58
本申请公开了攻击识别方法、系统及相关设备,该方法包括:获得各待用告警,所述待用告警包括流量相关告警和终端相关告警;确定各所述待用告警分别对应的情报特征;根据各所述情报特征判断各所述待用告警是否为病毒触发式告警。可见,本申请可基于待用告警的情报特征,关联性地识别出该待用告警是否为病毒触发式告警,以将大量的告警按是否为病毒触发的类型进行分类处置,从而减少对告警背后大量攻击行为的处理工作量,保障业务受击时的应对效率和防御效果。

全部详细技术资料下载

【技术实现步骤摘要】

本申请实施例涉及互联网,尤其涉及攻击识别方法、系统及相关设备


技术介绍

1、实际应用中,网络设备经常会受到不同类型的恶意攻击,这致使相应处置众多攻击的工作量成指数型增加。而此情况下,现有方式对攻击类型的识别效果不佳,导致处置攻击时的工作量和复杂度难以降低。针对于此,有必要提供有效的解决方案。


技术实现思路

1、本申请实施例提供了攻击识别方法、系统及相关设备,用于通过告警信息从各攻击行为中识别出病毒攻击行为,减少对攻击的处置工作量。

2、本申请实施例第一方面提供一种攻击识别方法,包括:

3、获得各待用告警,所述待用告警包括流量相关告警和终端相关告警;

4、确定各所述待用告警分别对应的情报特征;

5、根据所述情报特征判断各所述待用告警是否为病毒触发式告警。

6、可选地,根据所述情报特征判断各所述待用告警是否为病毒触发式告警之后,所述方法还包括:

7、对各所述病毒触发式告警进行分类,以识别出各所述病毒触发式告警中的同族告警。

8、可选地,所述对各所述病毒触发式告警进行分类,以识别出各所述病毒触发式告警中的同族告警,包括:

9、判断触发各所述病毒触发式告警的病毒攻击行为中,是否存在指向预设攻击行为的行为;

10、若存在,确定所述行为对应触发的所述病毒触发式告警,与所述预设攻击行为触发的告警同族。

11、可选地,所述对各所述病毒触发式告警进行分类,以识别出各所述病毒触发式告警中的同族告警,包括:

12、将各所述病毒触发式告警中指向同一家族信息的告警作为同族告警。

13、可选地,所述情报特征包括告警总数量、持续告警量、告警中是否携带家族信息、告警类型是否为病毒触发式中的至少一种特征。

14、可选地,所述根据所述情报特征判断各所述待用告警是否为病毒触发式告警,包括:

15、对于每一所述待用告警的各所述情报特征,对各所述情报特征和相应的权重信息进行加权计算,以得到所述待用告警的特征加权结果;其中,所述权重信息表征所述情报特征对告警类型的贡献程度;

16、根据所述特征加权结果判断所述待用告警是否为病毒触发式告警。

17、可选地,所述获得各待用告警,包括:

18、滤除各业务告警中属于预设警示范围的误报告警,得到所述待用告警。

19、本申请第一方面所述的方法在具体实施时可采用本申请第二方面所述的内容实现。

20、本申请实施例第二方面提供一种攻击识别系统,包括:

21、获取单元,用于获得各待用告警,所述待用告警包括流量相关告警和终端相关告警;

22、处理单元,用于确定各所述待用告警分别对应的情报特征;

23、所述处理单元,用于根据所述情报特征判断各所述待用告警是否为病毒触发式告警。

24、本申请实施例第三方面提供一种电子设备,包括:

25、中央处理器,存储器以及输入输出接口;

26、所述存储器为短暂存储存储器或持久存储存储器;

27、所述中央处理器配置为与所述存储器通信,并执行所述存储器中的指令操作以执行本申请实施例第一方面或第一方面的任一具体实现方式所描述的方法。

28、本申请实施例第四方面提供一种计算机可读存储介质,包括指令,当所述指令在计算机上运行时,使得计算机执行如本申请实施例第一方面或第一方面的任一具体实现方式所描述的方法。

29、本申请实施例第五方面提供一种包含指令或计算机程序的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行如本申请实施例第一方面或第一方面的任一具体实现方式所描述的方法。

30、从以上技术方案可以看出,本申请实施例至少具有以下优点:

31、本申请实施例可基于待用告警的情报特征,关联性地识别出该待用告警是否为病毒触发式告警,以将大量的告警按是否为病毒触发的类型进行分类处置,从而减少对告警背后大量攻击行为的处理工作量,保障业务受击时的应对效率和防御效果。

本文档来自技高网...

【技术保护点】

1.一种攻击识别方法,其特征在于,包括:

2.根据权利要求1所述的攻击识别方法,其特征在于,根据所述情报特征判断各所述待用告警是否为病毒触发式告警之后,所述方法还包括:

3.根据权利要求2所述的攻击识别方法,其特征在于,所述对各所述病毒触发式告警进行分类,以识别出各所述病毒触发式告警中的同族告警,包括:

4.根据权利要求2所述的攻击识别方法,其特征在于,所述对各所述病毒触发式告警进行分类,以识别出各所述病毒触发式告警中的同族告警,包括:

5.根据权利要求1所述的攻击识别方法,其特征在于,所述情报特征包括告警总数量、持续告警量、告警中是否携带家族信息、告警类型是否为病毒触发式中的至少一种特征。

6.根据权利要求1所述的攻击识别方法,其特征在于,所述根据所述情报特征判断各所述待用告警是否为病毒触发式告警,包括:

7.根据权利要求1所述的攻击识别方法,其特征在于,所述获得各待用告警,包括:

8.一种攻击识别系统,其特征在于,包括:

9.一种电子设备,其特征在于,包括:

10.一种计算机可读存储介质,其特征在于,包括指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至7中任意一项所述的方法。

...

【技术特征摘要】

1.一种攻击识别方法,其特征在于,包括:

2.根据权利要求1所述的攻击识别方法,其特征在于,根据所述情报特征判断各所述待用告警是否为病毒触发式告警之后,所述方法还包括:

3.根据权利要求2所述的攻击识别方法,其特征在于,所述对各所述病毒触发式告警进行分类,以识别出各所述病毒触发式告警中的同族告警,包括:

4.根据权利要求2所述的攻击识别方法,其特征在于,所述对各所述病毒触发式告警进行分类,以识别出各所述病毒触发式告警中的同族告警,包括:

5.根据权利要求1所述的攻击识别方法,其特征在于,所述情报特征包括告...

【专利技术属性】
技术研发人员:周运金谢世豪
申请(专利权)人:深圳市深信服信息安全有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有