CN106230815B - 一种告警日志的控制方法和装置 - Google Patents
一种告警日志的控制方法和装置 Download PDFInfo
- Publication number
- CN106230815B CN106230815B CN201610613595.7A CN201610613595A CN106230815B CN 106230815 B CN106230815 B CN 106230815B CN 201610613595 A CN201610613595 A CN 201610613595A CN 106230815 B CN106230815 B CN 106230815B
- Authority
- CN
- China
- Prior art keywords
- attack signature
- feature database
- server
- repaired
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种告警日志的控制方法和装置,该方法包括:接收报文,从所述报文中获取攻击特征;判断IPS特征库中是否存在所述攻击特征;若存在,则确定所述报文的目的IP地址对应的修复特征库,所述修复特征库中包括已被修复的攻击特征;判断所述修复特征库中是否具有所述攻击特征;如果有,则拒绝产生告警日志,如果没有,则产生告警日志。本发明大大减少了ISP设备产生以及向日志服务器发送告警日志的数量,保证了IPS设备、日志服务器的性能,同时减少了占用IPS设备和日志服务器之间的传输带宽。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种告警日志的控制方法和装置。
背景技术
随着互联网应用与规模的不断扩大,网络环境日趋复杂化,网络攻击呈现增多的趋势,IPS(Intrusion Prevention System,入侵防御系统)设备以其对服务器的主动防御优势,在网络安全中脱颖而出。通过在IPS设备中预置攻击特征,来发现网络攻击,IPS设备通过预置的攻击特征来发现报文是否为攻击报文,若报文是攻击报文,则产生日志,并丢弃该报文;若不是,则不产生日志,并转发该报文到服务器。目前,当攻击者发送大量攻击报文时,IPS设备会产生大量告警日志,且IPS设备需要将这些告警日志发送给日志服务器,这些告警日志的产生和发送,会对IPS设备、日志服务器以及它们之间的传输带宽造成一定的压力,影响设备性能。
发明内容
本发明提供一种告警日志的控制方法和装置,以解决现有技术中IPS设备会产生大量日志并发送到日志服务器,会对IPS设备、日志服务器以及它们之间的传输带宽造成一定的压力,影响设备性能的问题。
第一方面,本发明提供一种告警日志的控制方法,该方法应用于IPS设备,包括:
接收报文,从所述报文中获取攻击特征;
判断IPS特征库中是否存在所述攻击特征;
若存在,则确定所述报文的目的IP地址对应的修复特征库,所述修复特征库中包括已被修复的攻击特征;
判断所述修复特征库中是否具有所述攻击特征;
如果有,则拒绝产生告警日志。
第二方面,本发明提供另一种告警日志的控制方法,该方法应用于服务器,包括:
获得已被修复的攻击特征;
发送漏洞修复通知报文到入侵防御系统IPS设备,所述漏洞修复通知报文中携带所述已被修复的攻击特征,以使所述IPS设备在所述服务器的IP地址对应的修复特征库中记录所述已被修复的攻击特征,并在报文的目的IP地址对应的修复特征库中具有所述报文的攻击特征时,拒绝产生告警日志。
第三方面,本发明提供一种告警日志的控制装置,该装置应用于IPS设备,包括:
获取模块,用于接收报文,从所述报文中获取攻击特征;
第一判断模块,用于判断IPS特征库中是否存在所述攻击特征;
确定模块,用于当IPS特征库中存在所述攻击特征时,确定所述报文的目的IP地址对应的修复特征库,所述修复特征库中包括已被修复的攻击特征;
第二判断模块,用于判断所述修复特征库中是否具有所述攻击特征;
拒绝模块,用于当所述修复特征库中具有所述攻击特征时,拒绝产生告警日志。
第四方面,本发明提供一种告警日志的控制装置,该装置应用于服务器,包括:
获得模块,用于获得已被修复的攻击特征;
发送模块,用于发送漏洞修复通知报文到入侵防御系统IPS设备,所述漏洞修复通知报文中携带所述已被修复的攻击特征,以使所述IPS设备在所述服务器的IP地址对应的修复特征库中记录所述已被修复的攻击特征,并在报文的目的IP地址对应的修复特征库中具有所述报文的攻击特征时,拒绝产生告警日志。
由本发明实施例可见,IPS设备从接收报文中获取攻击特征,如果IPS设备特征库中具有该攻击特征,然后确定该报文的目的IP对应的修复特征库,当报文目的IP地址对应的修复特征库中具有该攻击特征时,拒绝产生告警日志;当报文目的IP地址对应的修复特征库中没有该攻击特征时,则产生告警日志。因此大大减少了ISP设备产生以及向日志服务器发送告警日志的数量,保证了IPS设备、日志服务器的性能,同时减少了占用IPS设备和日志服务器之间的传输带宽。
附图说明
图1是应用本发明实施例一种告警日志的控制方法和装置的应用场景示意图;
图2是本发明一种告警日志的控制方法的一个实施例流程图;
图3是本发明一种告警日志的控制方法的另一个实施例流程图;
图4是本发明一种告警日志的控制方法的另一个实施例流程图;
图5是本发明一种告警日志的控制装置所在设备的一种硬件结构图;
图6是本发明一种告警日志的控制装置的一个实施例框图;
图7是本发明一种告警日志的控制装置的另一个实施例框图;
图8是本发明一种告警日志的控制装置的另一个实施例框图;
图9是本发明一种告警日志的控制装置的另一个实施例框图;
图10是本发明一种告警日志的控制装置的另一个实施例框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图1,为本发明实施例的应用场景示意图:
其中,IPS(Intrusion Prevention System,入侵防御系统)设备:用于控制攻击报文的进入,对攻击行为和恶意行为进行检测和防御,从而对服务器起到保护作用。服务器,为网络中的主机提供业务服务。主机/攻击者,发送报文到服务器,并从服务器获得业务服务。
本发明实施例中,IPS设备接收报文,从报文中获取攻击特征,判断IPS特征库中是否存在该攻击特征,若存在,则通过确定报文目的IP对应的修复特征库,并判断该修复特征库中是否具有上述攻击特征,如果有则拒绝产生告警日志;若果没有则产生告警日志。本发明实施例可大大减少ISP设备产生以及向日志服务器发送告警日志的数量,保证了IPS设备、日志服务器的性能,同时减少了占用IPS设备和日志服务器之间的传输带宽。
参见图2,为本发明一种告警日志的控制方法的一个流程图,该实施例从IPS设备侧进行描述,包括以下步骤:
步骤201:接收报文,从所述报文中获取攻击特征。
步骤202:判断IPS特征库中是否存在所述攻击特征。若存在,则执行步骤203;若不存在,则执行步骤205。
步骤203:确定所述报文的目的IP地址对应的修复特征库,所述修复特征库中包含已被修复的攻击特征。
在一个例子中,针对维护修复特征库的过程包括:接收来自服务器的漏洞修复通知报文,所述漏洞修复通知报文中携带所述服务器上已被修复的攻击特征,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述漏洞修复通知报文中携带的攻击特征。
在另一个例子中,针对维护修复特征库的过程还包括:接收配置命令,所述配置命令中携带了服务器的IP地址与已被修复的攻击特征的对应关系,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述配置命令中携带的攻击特征。
在另一个例子中,针对维护修复特征库的过程还包括:当已被修复的攻击特征在所述服务器上重新生效时,接收服务器发送的自身的IP地址和重新生效的攻击特征的对应关系,从所述服务器的IP地址对应的修复特征库中,删除所述重新生效的攻击特征。
步骤204:判断所述修复特征库中是否具有所述攻击特征。如果有,则执行步骤205;如果没有,则执行步骤206。
步骤205:拒绝产生告警日志。
步骤206:产生告警日志。
由本发明实施例可见,IPS设备从接收报文中获取攻击特征,如果IPS设备特征库中具有该攻击特征,然后确定该报文的目的IP对应的修复特征库,当报文目的IP地址对应的修复特征库中具有该攻击特征时,拒绝产生告警日志;当报文目的IP地址对应的修复特征库中没有该攻击特征时,则产生告警日志。因此大大减少了向日志服务器发送告警日志的数量,保证了IPS设备、日志服务器的性能,同时减少占用IPS设备和日志服务器之间的传输带宽。
参见图3,为本发明一种告警日志的控制方法的另一个流程图,该实施例从服务器侧进行描述,包括以下步骤:
步骤301:获得已被修复的攻击特征;
步骤302:发送漏洞修复通知报文到入侵防御系统IPS设备,所述漏洞修复通知报文中携带所述已被修复的攻击特征,以使所述IPS设备在所述服务器的IP地址对应的修复特征库中记录所述已被修复的攻击特征,并在报文的目的IP地址对应的修复特征库中具有所述报文的攻击特征时,拒绝产生告警日志。
由本发明实施例可见,IPS设备从接收报文中获取攻击特征,如果IPS设备特征库中具有该攻击特征,然后确定该报文的目的IP对应的修复特征库,当报文目的IP地址对应的修复特征库中具有该攻击特征时,拒绝产生告警日志;当报文目的IP地址对应的修复特征库中没有该攻击特征时,则产生告警日志。因此大大减少了向日志服务器发送告警日志的数量,保证了IPS设备、日志服务器的性能,同时减少占用IPS设备和日志服务器之间的传输带宽。
参见图4,为本发明一种告警日志的控制方法的另一个流程图,该实施例详细介绍了IPS设备针对修复特征库的维护过程,具体包括以下步骤:
步骤401:IPS设备接收报文。报文是主机发送给服务器的报文,主机一般情况下是合法用户,但也可能是攻击者。
其中,该报文的目的IP地址为服务器的IP地址,如服务器1的IP地址IP1。
步骤402:IPS设备从该报文中获取攻击特征。
在一种实现方式中,针对从报文中获取攻击特征的过程,可以包括:对报文头的各层字段进行分析,获取攻击特征。例如,通过DPI(Deep Packet Inspection,深度包检测)技术,对报文头的应用层字段进行分析,获取攻击特征。DPI技术是一种基于应用层的报文检测和控制技术,对于通过DPI技术获取攻击特征的方式,在此不再赘述,而且,本发明实施例中并不限制获取攻击特征的方式,所有能够获取到攻击特征的方式均在本发明保护范围之内。
步骤403:判断IPS特征库中是否存在所述攻击特征。如果是,则执行步骤404;如果不存在,执行步骤406。
其中,IPS特征库可以是IPS设备通过获取网络流量数据,采用各种数据挖掘方法,从捕获的报文中获取大量的攻击特征,组合成的IPS特征库。IPS设备也可以定期(每周)或在紧急(当重大安全漏洞被发现)状态时,通过从互联网或专门的服务器获取新的攻击特征,更新IPS特征库。
步骤404:确定报文的目的IP地址对应的修复特征库,该修复特征库包含已被修复的攻击特征。
在本步骤之前,需要先维护修复特征库,针对维护上述IP地址对应的修复特征库的过程,包括但不限于如下方式:
方式一、
步骤1、服务器向IPS设备发送漏洞修复通知报文,该漏洞修复通知报文中携带服务器上已被修复的攻击特征;
其中,服务器可以通过定期检测,获取服务器当前存在的漏洞以及漏洞对应的攻击特征,并通过漏洞修复策略对存在的漏洞进行修复。该漏洞修复策略可以是从集中配置的漏洞修复服务器获取漏洞修复补丁,并使用该漏洞修复补丁修复攻击特征对应的漏洞。待攻击特征对应的漏洞修复完成后,则该攻击特征为已被修复的攻击特征。之后,服务器送漏洞修复通知报文到IPS设备,该漏洞修复通知报文中携带上述已被修复的攻击特征。
其中,针对服务器向IPS设备发送漏洞修复通知报文的过程,可以是周期性发送,也可以是当服务器进行漏洞修复完成后发送。
步骤2、IPS设备收到漏洞修复通知报文,解析出IP地址和已被修复的攻击特征;
其中,IP地址可以是上述漏洞修复通知报文的源IP地址,也可以是漏洞修复通知报文中数据部分携带的发送漏洞修复通知报文的服务器的IP地址。
步骤3、IPS设备在上述IP地址对应的修复特征库中记录漏洞修复通知消息中携带的已被修复的攻击特征。
在一个例子中,针对“IPS设备在上述IP地址对应的修复特征库中记录漏洞修复通知消息中携带的已被修复的攻击特征”的过程,IPS设备先判断是否已经存在该IP地址对应的修复特征库。
当IPS设备上没有该IP地址对应的修复特征库时,则创建该IP地址对应的修复特征库,并将该IP地址和已被修复的攻击特征记录在修复特征库。如,从漏洞修复通知报文中解析出的IP地址为IP1,解析出的已被修复的攻击特征包含攻击特征1,则创建并记录IP地址和修复特征库的对应关系,如表1所示:
表1
| IP地址 | 修复特征库 |
| IP地址1 | 攻击特征1 |
当IPS设备上有该IP地址对应的修复特征库时,确定该IP地址对应的修复特征库,判断该修复特征库中是否存在漏洞修复通知报文中解析出的攻击特征,若存在,则不对该修复特征库进行更新;若不存在,则将该攻击特征存储在该修复特征库。如,从漏洞修复通知报文解析出的的IP地址为IP2,解析出的已被修复的攻击特征包含攻击特征2,IPS设备查询该IP地址对应的修复特征库,如果该IP地址对应的修复特征库中包含攻击特征2,则不对该特征库进行更新;如果该IP地址对应的修复特征库中不包含攻击特征2,则对该特征库进行更新(将该攻击特征2记录在IP2对应的修复特征库中),如表2所示:
表2
| IP地址 | 修复特征库 |
| IP地址2 | 攻击特征2 |
方式二、
步骤1、IPS设备接收配置命令,该配置命令中携带了服务器的IP地址与已被修复的攻击特征的对应关系。
其中,当用户获知服务器对某一攻击特征进行了修复时,IPS设备就可以接收配置命令,该配置命令中携带了该服务器IP地址与已被修复的攻击特征。
步骤2、通过该配置命令,IPS设备解析出服务器IP地址及其对应的攻击特征,并在IP地址对应的修复特征库中记录解析出的攻击特征。
其中,针对解析出服务器IP地址及其对应的攻击特征和维护服务器的IP地址对应的修复特征库的过程与方式一的步骤2、3类似,这里不再赘述。
在一另个例子中,针对维护上述IP地址对应的修复特征库的过程,还可以包括:
当服务器因为某些原因(如漏洞修复补丁被恶意卸载)导致已经被修复的攻击特征重新生效时,服务器发送漏洞生效报文到IPS设备,该漏洞生效报文携带了服务器的IP地址和重新生效的攻击特征的对应关系,并从所述服务器的IP地址对应的修复特征库中,删除所述重新生效的攻击特征。
步骤405:判断上述修复特征库中是否具有上述已被修复攻击特征。
如果有,则执行步骤406,如果没有,则执行步骤407。
步骤406:如果上述修复特征库中具有上述已被修复攻击特征,则拒绝产生告警日志。
其中,当修复特征库中具有上述已被修复的攻击特征时,说明服务器已经对该攻击特征完成修复,携带该攻击特征的报文不会对服务器产生攻击行为或造成安全隐患,因此IPS设备可转发上述报文到目的IP地址对应的服务器,保证业务可以完成,提升用户业务体验。
由于携带该攻击特征的报文不会对服务器产生攻击行为或造成安全隐患,因此没有必要产生告警日志,再发送到日志服务器。其中,日志服务器的作用就是管理、分析告警日志,获得分析结果,用户可以根据该分析结果对相应服务器进行漏洞修复。
步骤407:如果上述修复特征库中没有上述已被修复攻击特征,则产生告警日志。
其中,当修复特征库中没有上述已被修复的攻击特征时,说明服务器没有对该攻击特征完成修复,携带该攻击特征的报文会对服务器产生攻击行为或造成安全隐患,因此IPS设备可通过丢弃报文的方式,来保护报文目的IP地址对应的服务器的安全。
由于携带该攻击特征的报文会对服务器产生攻击行为或造成安全隐患,因此需要产生告警日志,并发送到日志服务器。然后,日志服务器的通过对告警日志进行管理、分析,获得分析结果,用户可以根据该分析结果对相应服务器进行漏洞修复。
由上述实施例可见,IPS设备从接收报文中获取攻击特征,如果IPS设备特征库中具有该攻击特征,然后确定该报文的目的IP对应的修复特征库,当报文目的IP地址对应的修复特征库中具有该攻击特征时,由于携带该攻击特征的报文不会对服务器产生攻击行为或造成安全威胁,因此拒绝产生告警日志;当报文目的IP地址对应的修复特征库中没有该攻击特征时,由于携带该攻击特征的报文会对服务器产生攻击行为或造成安全威胁,因此则产生告警日志,并发送到日志服务器。因此大大减少了IPS设备产生告警日志的数量,保证了IPS设备的性能,进而减少了向日志服务器发送告警日志的数量,保证了日志服务器的性能,同时还能减少占用IPS设备和日志服务之间的传输带宽。
与前述一种告警日志的控制方法的实施例相对应,本发明还提供了一种告警日志的控制装置的实施例。
本发明一种告警日志的控制装置的实施例可以应用在IPS设备和服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在装置的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本发明一种告警日志的控制装置的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置通常根据该装置的实际功能,还可以包括其他硬件,对此不再赘述。
参见图6,为本发明一种告警日志的控制装置的一个实施例框图,所述装置可以应用在IPS设备上,所述装置包括:获取模块610、第一判断模块620、确定模块630、第二判断模块640和拒绝模块650。
其中,获取模块610,用于接收报文,从所述报文中获取攻击特征;
第一判断模块620,用于判断IPS特征库中是否存在所述攻击特征;
确定模块630,用于当IPS特征库中存在所述攻击特征时,确定所述报文的目的IP地址对应的修复特征库,所述修复特征库中包括已被修复的攻击特征;
第二判断模块640,用于判断所述修复特征库中是否具有所述攻击特征;
拒绝模块650,用于当所述修复特征库中具有所述攻击特征时,拒绝产生告警日志。
参见图7,为本发明一种告警日志的控制装置的另一个实施例框图,该实施例在前述图6所示实施例的基础上,所述装置还可以包括:维护模块660。
其中,维护模块660,用于针对维护修复特征库的过程,接收来自服务器的漏洞修复通知报文,所述漏洞修复通知报文中携带所述服务器上已被修复的攻击特征,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述漏洞修复通知报文中携带的攻击特征;和/或,
接收配置命令,所述配置命令中携带了服务器的IP地址与已被修复的攻击特征的对应关系,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述配置命令中携带的攻击特征。
参见图8,为本发明一种告警日志的控制装置的另一个实施例框图,该实施例在前述图7所示实施例的基础上,所述装置还可以包括:删除模块670。
其中,删除模块670,用于当已被修复的攻击特征在所述服务器上重新生效时,接收服务器发送的自身的IP地址和重新生效的攻击特征的对应关系,从所述服务器的IP地址对应的修复特征库中,删除所述重新生效的攻击特征。
参见图9,为本发明一种告警日志的控制装置的另一个实施例框图,该实施例在前述图6所示实施例的基础上,所述装置还可以包括:产生模块680。
其中,产生模块680,用于当判断所述修复特征库中是否具有所述已被修复攻击特征之后,如果没有,则产生告警日志。
参见图10,为本发明一种告警日志的控制装置的一个实施例框图,所述装置可以应用在服务器上,所述装置包括:获得模块710、发送模块720。
其中,获得模块710,用于获得已被修复的攻击特征;
发送模块720,用于发送漏洞修复通知报文到入侵防御系统IPS设备,所述漏洞修复通知报文中携带所述已被修复的攻击特征,以使所述IPS设备在所述服务器的IP地址对应的修复特征库中记录所述已被修复的攻击特征,并在报文的目的IP地址对应的修复特征库中具有所述报文的攻击特征时,拒绝产生告警日志。
由上述实施例可见,IPS设备从接收报文中获取攻击特征,如果IPS设备特征库中具有该攻击特征,然后确定该报文的目的IP对应的修复特征库,当报文目的IP地址对应的修复特征库中具有该攻击特征时,由于携带该攻击特征的报文不会对服务器产生攻击行为或造成安全威胁,因此拒绝产生告警日志;当报文目的IP地址对应的修复特征库中没有该攻击特征时,由于携带该攻击特征的报文会对服务器产生攻击行为或造成安全威胁,因此则产生告警日志,并发送到日志服务器。因此大大减少了IPS设备产生告警日志的数量,保证了IPS设备的性能,进而减少了向日志服务器发送告警日志的数量,保证了日志服务器的性能,同时还能减少占用IPS设备和日志服务之间的传输带宽。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (8)
1.一种告警日志的控制方法,其特征在于,应用于入侵防御系统IPS设备,该方法包括:
接收报文,从所述报文中获取攻击特征;
判断IPS特征库中是否存在所述攻击特征;
若存在,则确定所述报文的目的IP地址对应的修复特征库,所述修复特征库中包括已被修复的攻击特征;
判断所述修复特征库中是否具有所述攻击特征;
如果有,则拒绝产生告警日志;
其中,针对维护修复特征库的过程包括:接收来自服务器的漏洞修复通知报文,所述漏洞修复通知报文中携带所述服务器上已被修复的攻击特征,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述漏洞修复通知报文中携带的攻击特征;和/或,
接收配置命令,所述配置命令中携带了服务器的IP地址与已被修复的攻击特征的对应关系,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述配置命令中携带的攻击特征。
2.根据权利要求1所述的方法,其特征在于,
当已被修复的攻击特征在所述服务器上重新生效时,接收服务器发送的自身的IP地址和重新生效的攻击特征的对应关系,从所述服务器的IP地址对应的修复特征库中,删除所述重新生效的攻击特征。
3.根据权利要求1所述的方法,其特征在于,所述判断所述修复特征库中是否具有所述已被修复攻击特征之后,还包括:
如果没有,则产生告警日志。
4.一种告警日志的控制方法,其特征在于,应用于服务器,包括:
通过漏洞修复策略对存在的漏洞以及漏洞对应的攻击特征进行修复;
获得已被修复的攻击特征;
发送漏洞修复通知报文到入侵防御系统IPS设备,所述漏洞修复通知报文中携带所述已被修复的攻击特征,以使所述IPS设备在所述服务器的IP地址对应的修复特征库中记录所述已被修复的攻击特征,并在报文的目的IP地址对应的修复特征库中具有所述报文的攻击特征时,拒绝产生告警日志。
5.一种告警日志的控制装置,其特征在于,应用于入侵防御系统IPS设备,所述装置包括:
获取模块,用于接收报文,从所述报文中获取攻击特征;
第一判断模块,用于判断IPS特征库中是否存在所述攻击特征;
确定模块,用于当IPS特征库中存在所述攻击特征时,确定所述报文的目的IP地址对应的修复特征库,所述修复特征库中包括已被修复的攻击特征;
第二判断模块,用于判断所述修复特征库中是否具有所述攻击特征;
拒绝模块,用于当所述修复特征库中具有所述攻击特征时,拒绝产生告警日志;
维护模块,用于针对维护修复特征库的过程,接收来自服务器的漏洞修复通知报文,所述漏洞修复通知报文中携带所述服务器上已被修复的攻击特征,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述漏洞修复通知报文中携带的攻击特征;和/或,
接收配置命令,所述配置命令中携带了服务器的IP地址与已被修复的攻击特征的对应关系,维护所述服务器的IP地址对应的修复特征库,并在所述修复特征库中记录所述配置命令中携带的攻击特征。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
删除模块,用于当已被修复的攻击特征在所述服务器上重新生效时,接收服务器发送的自身的IP地址和重新生效的攻击特征的对应关系,从所述服务器的IP地址对应的修复特征库中,删除所述重新生效的攻击特征。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
产生模块,用于当判断所述修复特征库中是否具有所述已被修复攻击特征之后,如果没有,则产生告警日志。
8.一种告警日志的控制装置,其特征在于,应用于服务器,所述装置包括:
修复模块,用于通过漏洞修复策略对存在的漏洞以及漏洞对应的攻击特征进行修复;
获得模块,用于获得已被修复的攻击特征;
发送模块,用于发送漏洞修复通知报文到入侵防御系统IPS设备,所述漏洞修复通知报文中携带所述已被修复的攻击特征,以使所述IPS设备在所述服务器的IP地址对应的修复特征库中记录所述已被修复的攻击特征,并在报文的目的IP地址对应的修复特征库中具有所述报文的攻击特征时,拒绝产生告警日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610613595.7A CN106230815B (zh) | 2016-07-29 | 2016-07-29 | 一种告警日志的控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610613595.7A CN106230815B (zh) | 2016-07-29 | 2016-07-29 | 一种告警日志的控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106230815A CN106230815A (zh) | 2016-12-14 |
| CN106230815B true CN106230815B (zh) | 2019-05-07 |
Family
ID=57536217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610613595.7A Active CN106230815B (zh) | 2016-07-29 | 2016-07-29 | 一种告警日志的控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106230815B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878078B (zh) * | 2017-02-23 | 2019-06-07 | 杭州迪普科技股份有限公司 | 一种产生日志的方法和装置 |
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN110362536A (zh) * | 2019-07-15 | 2019-10-22 | 北京工业大学 | 基于告警关联的日志密文检索方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101018121A (zh) * | 2007-03-15 | 2007-08-15 | 杭州华为三康技术有限公司 | 日志的聚合处理方法及聚合处理装置 |
| CN101465767A (zh) * | 2009-01-14 | 2009-06-24 | 中兴通讯股份有限公司 | 一种媒体网关网络接口告警检测的方法及装置 |
| CN103929413A (zh) * | 2013-12-16 | 2014-07-16 | 汉柏科技有限公司 | 一种云网络防止受到攻击的方法及装置 |
-
2016
- 2016-07-29 CN CN201610613595.7A patent/CN106230815B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101018121A (zh) * | 2007-03-15 | 2007-08-15 | 杭州华为三康技术有限公司 | 日志的聚合处理方法及聚合处理装置 |
| CN101465767A (zh) * | 2009-01-14 | 2009-06-24 | 中兴通讯股份有限公司 | 一种媒体网关网络接口告警检测的方法及装置 |
| CN103929413A (zh) * | 2013-12-16 | 2014-07-16 | 汉柏科技有限公司 | 一种云网络防止受到攻击的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106230815A (zh) | 2016-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| KR101534192B1 (ko) | 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법 | |
| US20160381070A1 (en) | Protocol based detection of suspicious network traffic | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| CN102594623B (zh) | 防火墙的数据检测方法及装置 | |
| JP2017538376A (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| US10855722B1 (en) | Deception service for email attacks | |
| CN111756759A (zh) | 一种网络攻击溯源方法、装置及设备 | |
| CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| US11374972B2 (en) | Disinformation ecosystem for cyber threat intelligence collection | |
| CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及系统 | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| CN106230815B (zh) | 一种告警日志的控制方法和装置 | |
| CN103701793A (zh) | 服务器肉鸡的识别方法和装置 | |
| CN113992444A (zh) | 一种基于主机防御的网络攻击溯源与反制系统 | |
| CN101621428A (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
| US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
| CN104348924A (zh) | 一种域名解析方法、系统及装置 | |
| CN105447385A (zh) | 一种多层次检测的应用型数据库蜜罐实现系统及方法 | |
| CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
| KR20200011702A (ko) | 보안관제체계 진단장치 및 보안관제체계 진단방법 | |
| CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |