CN116527327A - 一种smtp流量还原方法 - Google Patents

Abstract

本申请涉及网络流量分析技术领域，特别是涉及一种SMTP流量还原方法，包括：捕获目标主机的原始数据包，将原始数据包发送至过滤模块；判断原始数据包是否为SMTP数据；若原始数据包为SMTP数据，生成待还原数据包，解析待还原数据包生成解析结果；根据解析结果生成告警指令，并根据解析结果生成储存数据包。通过预设文件后缀，对目标主机内的SMTP流量数据包进行标记，解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析，并根据解析结果及时进行邮件病毒检测，垃圾邮件筛选和检测，有效阻止垃圾邮件的泛滥。

Description

一种SMTP流量还原方法

技术领域

本申请涉及网络流量分析技术领域，特别是涉及一种SMTP流量还原方法。

背景技术

简单邮件传输协议SMTP(Simple Mail Transfer Protocol)来源于RFC821（Request For Comments，请求评议）规范，是一组用于由源地址到目的地址传送邮件的规则，用于控制信件的中转方式。SMTP协议属于TCP/IP协议族，帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器，就可把E-mail寄到收信人的服务器上了，整个过程只要几分钟。

随着互联网的高速发展，越来越多的用户和应用呈现爆发式的增长，随之而带来的互联网网络流量急剧增加。垃圾邮件泛滥成灾，攻击邮件服务的事件时有发生，如何通过动态监测SMTP数据，检测垃圾邮件并提高检测正确率，1阻止垃圾邮件的泛滥成为亟待解决的问题。

发明内容

本申请的目的是：为解决上述技术问题，本申请提供了一种SMTP流量还原方法，旨在实现对于垃圾文件的及时检测和告警。

本申请的一些实施例中，通过预设文件后缀，对目标主机内的SMTP流量数据包进行标记，解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析，并根据解析结果及时进行邮件病毒检测，垃圾邮件筛选和检测，有效阻止垃圾邮件的泛滥。

本申请的一些实施例中，通过预设检验端口，对目标主机的全部原始数据包进行筛选，对非STMTP数据包及时进行剔除，提高检测效率，并通过设置监测周期对恶意IP模型进行更新，提高对于垃圾邮件检测的准确性。

本申请的一些实施例中提供了一种SMTP流量还原方法，包括：

捕获目标主机的原始数据包，将所述原始数据包发送至过滤模块；判断所述原始数据包是否为SMTP数据；

若所述原始数据包为SMTP数据，生成待还原数据包，解析所述待还原数据包生成解析结果；

根据所述解析结果生成告警指令，并根据所述解析结果生成储存数据包。

本申请的一些实施例中，判断所述原始数据包是否为SMTP数据时，包括：

根据目标主机的历史SMTP数据，并根据所述目标主机的历史SMTP数据生成预设检验端口A1;

获取原始数据包数据，并根据所述原始数据包数据生成实时检验端口A2;

若A1与A2相同，则所述原始数据包为原始数据包为SMTP数据，并根据所述原始数据包生成待还原数据包；

若A1与A2不相同，则丢弃所述原始数据包。

本申请的一些实施例中，所述生成待还原数据包时，包括：

若所述原始数据包为SMTP数据，对所述原始数据包添加第一预设后缀生成待还原数据包；

解析模块根据所述第一预设后缀获取所述待还原数据包，将所述待还原数据包进行解析生成解析结果；

当所述待还原数据包进行储存时，删除所述第一预设后缀。

本申请的一些实施例中，解析所述待还原数据包生成解析结果时，包括：

获取目标主机历史SMTP数据，并根据所述历史SMTP数据生成恶意IP模型；

获取所述待还原数据包的IP数据，根据所述恶意IP模型生成初次判断结果；

若所述IP是所述恶意IP模型内数据，则设定所述IP为恶意IP，设定所述IP对应述的待还原数据包为恶意邮件；

若所述IP不是所述恶意IP模型内数据，则设定所述IP为标记IP；

根据预设监测周期t获取各个标记IP发送量，根据所述标记IP发送量判断所述标记IP是否为恶意IP。

本申请的一些实施例中，根据所述IP发送量判断所述IP是否为恶意IP时，包括：

预设第一发送量阈值B1和第二发送量阈值B2;

获取所述标记IP发送量b，根据所述发送量b判断所述标记IP是否为恶意IP;

若b＜B1，则所述标记IP为正常IP;

若B1＜b＜B2，则获取所述标记IP对应的待还原数据包解析结果，并根据所述解析结果判断所述标记IP是否为恶意IP;

若b>B2，则所述标记IP为恶意IP，设定所述标记IP对应的待还原数据包为恶意邮件。

本申请的一些实施例中，根据所述解析结果判断所述标记IP是否为恶意IP时，包括；

获取解析结果中UPL数据，并根据所述UPL数据获取具有相同UPL的标记IP数量c;

预设IP数量阈值C1，若c>C1，则设定所述标记IP为恶意IP，设定所述标记IP对应的待还原数据包为恶意邮件。

本申请的一些实施例中，解析所述待还原数据包生成解析结果时，还包括：

获取当前监测周期内标记IP中的全部恶意IP，并更新恶意IP模型；

根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1，并根据当前监测周期内全部恶意IP的总发送量e1修正下一监测周期时间间隔t1。

本申请的一些实施例中，根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1时，包括：

预设恶意IP发送量矩阵D，设定D(D1,D2,D3,D4)，其中，D1为预设第一恶意IP发送量，D2为预设第二恶意IP发送量，D3为预设第三恶意IP发送量，D4为预设第四恶意IP发送量，且D1＜D2＜D3＜D4;

预设监测周期时间间隔矩阵T，设定T(T1,T2,T3,T4)，其中，T1为预设第一监测周期时间间隔，T2为预设第二监测周期时间间隔，T3为预设第三监测周期时间间隔，T4为预设第四监测周期时间间隔，且T1＜T2＜T3＜T4;

若d1＜D1，设定下一监测周期时间间隔t1为预设第四监测周期时间间隔T4，即t=T4;

若D1＜d1＜D2，设定下一监测周期时间间隔t1为预设第三监测周期时间间隔T3，即t=T3;

若D2＜d1＜D3，设定下一监测周期时间间隔t1为预设第二监测周期时间间隔T2，即t=T2;

若D3＜d1＜D4，设定下一监测周期时间间隔t1为预设第一监测周期时间间隔T1，即t=T1。

本申请的一些实施例中，根据当前监测周期内全部恶意IP的发送量e1修正下一监测周期时间间隔t1时，包括：

预设恶意IP总发送量矩阵E，设定E(E1,E2,E3,E4)，其中，E1为预设第一恶意IP总发送量，E2为预设第二恶意IP总发送量，E3为预设第三恶意IP总发送量，E4为预设第四恶意IP总发送量，且E1＜E2＜E3＜E4;

预设修正参数矩阵N，设定N(n1,n2,n3,n4)，其中，n1为预设第一修正参数，n2为预设第二修正参数，n3为预设第三修正参数，n4为预设第四修正参数，且0.7＜n1＜n2＜n3＜n4＜1；

若E1＜e1＜E2，设定实时修正参数n为预设第四修正参数n4，修正后下一监测周期时间间隔t1=n4*Ti；

若E2＜e1＜E3，设定实时修正参数n为预设第三修正参数n3，修正后下一监测周期时间间隔t1=n3*Ti；

若E3＜e1＜E4，设定实时修正参数n为预设第二修正参数n2，修正后下一监测周期时间间隔t1=n2*Ti；

若e1>E4，设定实时修正参数n为预设第一修正参数n1，修正后下一监测周期时间间隔t1=n1*Ti。

本申请的一些实施例中，根据所述解析结果生成告警指令时，包括：

获取当前监测周期内全部恶意IP的总发送量e1；

预设告警指令等级矩阵F，设定F(F1,F2)，其中，F1为预设一级告警指令，F2为预设二级告警指令；

根据所述全部恶意IP的总发送量e1，设定实时告警指令；

若E2＜e1＜E4时，设定实时告警指令为预设一级告警指令；

若e1>E4时，设定实时告警指令为预设二级告警指令。

本申请实施例一种SMTP流量还原方法与现有技术相比，其有益效果在于：

通过预设文件后缀，对目标主机内的SMTP流量数据包进行标记，解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析，并根据解析结果及时进行邮件病毒检测，垃圾邮件筛选和检测，有效阻止垃圾邮件的泛滥。

通过预设检验端口，对目标主机的全部原始数据包进行筛选，对非STMTP数据包及时进行剔除，提高检测效率，并通过设置监测周期对恶意IP模型进行更新，提高对于垃圾邮件检测的准确性。

附图说明

图1是本申请实施例优选实施例中一种SMTP流量还原方法的流程示意图；

图2是本申请实施例优选实施例中一种SMTP流量还原方法中原始数据包判断流程图。

具体实施方式

下面结合附图和实施例，对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请，但不用来限制本申请的范围。

在本申请的描述中，需要理解的是，术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。

术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本申请的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。

如图1－图2所示，本申请实施例优选实施例的一种SMTP流量还原方法，包括：

S101：捕获目标主机的原始数据包，将原始数据包发送至过滤模块；判断原始数据包是否为SMTP数据；

S102：若原始数据包为SMTP数据，生成待还原数据包，解析待还原数据包生成解析结果；

S103：根据解析结果生成告警指令，并根据解析结果生成储存数据包。

具体而言，判断原始数据包是否为SMTP数据时，包括：

根据目标主机的历史SMTP数据，并根据目标主机的历史SMTP数据生成预设检验端口A1;

获取原始数据包数据，并根据原始数据包数据生成实时检验端口A2;

若A1与A2相同，则原始数据包为原始数据包为SMTP数据，并根据原始数据包生成待还原数据包；

若A1与A2不相同，则丢弃原始数据包。

具体而言，预设检测端口为25号端口，若原始数据包中的数据端口不是25号端口，则丢弃其原始数据包，若原始数据包中的数据端口为25号端口，则其原始数据包为SMTP数据包。

可以理解的是，上述实施例中，通过预设检验端口，检测到不满足预设端口特征时，丢弃数据包以减少后续多余的解析运算的时间代价，提高数据处理效率。

本申请实施例优选实施例中，生成待还原数据包时，包括：

若原始数据包为SMTP数据，对原始数据包添加第一预设后缀生成待还原数据包；

解析模块根据第一预设后缀获取待还原数据包，将待还原数据包进行解析生成解析结果；

当待还原数据包进行储存时，删除第一预设后缀。

具体而言，具体而言，对捕获的STMP协议的流量进行流量留存，并保存当前主机所有的协议流量信息。统一生成流量文件，然后通过数据采集模块写入kafka，再进行处理。

具体而言，预设文件后缀为.tmp，流量文件使用临时文件名，即在流量文件在未储存之前统一添加.tmp后缀，储存之后修改文件名去掉.tmp后缀，数据采集模块可以根据文件后缀名进行采集。

具体而言，解析待还原数据包生成解析结果时，包括：

获取目标主机历史SMTP数据，并根据历史SMTP数据生成恶意IP模型；

获取待还原数据包的IP数据，根据恶意IP模型生成初次判断结果；

若IP是恶意IP模型内数据，则设定IP为恶意IP，设定IP对应述的待还原数据包为恶意邮件；

若IP不是恶意IP模型内数据，则设定IP为标记IP；

根据预设监测周期t获取各个标记IP发送量，根据标记IP发送量判断标记IP是否为恶意IP。

具体而言，根据IP发送量判断IP是否为恶意IP时，包括：

预设第一发送量阈值B1和第二发送量阈值B2;

获取标记IP发送量b，根据发送量b判断标记IP是否为恶意IP;

若b＜B1，则标记IP为正常IP;

若B1＜b＜B2，则获取标记IP对应的待还原数据包解析结果，并根据解析结果判断标记IP是否为恶意IP;

若b>B2，则标记IP为恶意IP，设定标记IP对应的待还原数据包为恶意邮件。

具体而言，根据解析结果判断标记IP是否为恶意IP时，包括；

获取解析结果中UPL数据，并根据UPL数据获取具有相同UPL的标记IP数量c;

预设IP数量阈值C1，若c>C1，则设定标记IP为恶意IP，设定标记IP对应的待还原数据包为恶意邮件。

具体而言，正常邮件的发送频率较低，根据其发送量对发送IP进行判断，并根据邮件内容的相同性，对不同的IP进行归总，从而得到恶意IP，并根据全部恶意IP生成恶意IP模型。

可以理解的是，上述实施例中，通过预设文件后缀，对目标主机内的SMTP流量数据包进行标记，解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析，并根据解析结果及时进行邮件病毒检测，垃圾邮件筛选和检测，有效阻止垃圾邮件的泛滥。

本申请实施例优选实施例中，解析待还原数据包生成解析结果时，还包括：

获取当前监测周期内标记IP中的全部恶意IP，并更新恶意IP模型；

根据标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1，并根据当前监测周期内全部恶意IP的总发送量e1修正下一监测周期时间间隔t1。

具体而言，根据标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1时，包括：

预设恶意IP发送量矩阵D，设定D(D1,D2,D3,D4)，其中，D1为预设第一恶意IP发送量，D2为预设第二恶意IP发送量，D3为预设第三恶意IP发送量，D4为预设第四恶意IP发送量，且D1＜D2＜D3＜D4;

预设监测周期时间间隔矩阵T，设定T(T1,T2,T3,T4)，其中，T1为预设第一监测周期时间间隔，T2为预设第二监测周期时间间隔，T3为预设第三监测周期时间间隔，T4为预设第四监测周期时间间隔，且T1＜T2＜T3＜T4;

若d1＜D1，设定下一监测周期时间间隔t1为预设第四监测周期时间间隔T4，即t=T4;

若D1＜d1＜D2，设定下一监测周期时间间隔t1为预设第三监测周期时间间隔T3，即t=T3;

若D2＜d1＜D3，设定下一监测周期时间间隔t1为预设第二监测周期时间间隔T2，即t=T2;

若D3＜d1＜D4，设定下一监测周期时间间隔t1为预设第一监测周期时间间隔T1，即t=T1。

具体而言，根据当前监测周期内全部恶意IP的发送量e1修正下一监测周期时间间隔t1时，包括：

预设恶意IP总发送量矩阵E，设定E(E1,E2,E3,E4)，其中，E1为预设第一恶意IP总发送量，E2为预设第二恶意IP总发送量，E3为预设第三恶意IP总发送量，E4为预设第四恶意IP总发送量，且E1＜E2＜E3＜E4;

预设修正参数矩阵N，设定N(n1,n2,n3,n4)，其中，n1为预设第一修正参数，n2为预设第二修正参数，n3为预设第三修正参数，n4为预设第四修正参数，且0.7＜n1＜n2＜n3＜n4＜1；

若E1＜e1＜E2，设定实时修正参数n为预设第四修正参数n4，修正后下一监测周期时间间隔t1=n4*Ti；

若E2＜e1＜E3，设定实时修正参数n为预设第三修正参数n3，修正后下一监测周期时间间隔t1=n3*Ti；

若E3＜e1＜E4，设定实时修正参数n为预设第二修正参数n2，修正后下一监测周期时间间隔t1=n2*Ti；

若e1>E4，设定实时修正参数n为预设第一修正参数n1，修正后下一监测周期时间间隔t1=n1*Ti。

可以理解的是，上述实施例中通过预设监测周期对恶意IP模型进行动态更新，保证其对于恶意邮件检测的准确性，同时根据其监测周期内的接收的垃圾邮件数量对监测周期的时间间隔进行调整，保证其监测的及时性。

本申请实施例优选实施例中，根据解析结果生成告警指令时，包括：

获取当前监测周期内全部恶意IP的总发送量e1；

预设告警指令等级矩阵F，设定F(F1,F2)，其中，F1为预设一级告警指令，F2为预设二级告警指令；

根据全部恶意IP的总发送量e1，设定实时告警指令；

若E2＜e1＜E4时，设定实时告警指令为预设一级告警指令；

若e1>E4时，设定实时告警指令为预设二级告警指令。

具体而言，一级告警指令是指其目标主机接收的恶意邮件较多，威胁性较大，应该对目标主机进行周期性的维护，避免恶意邮件的攻击，二级告警指令是指其目标主机应立刻进行停机检测，否则容易受到邮件病毒的攻击。

根据本申请的第一构思，通过预设文件后缀，对目标主机内的SMTP流量数据包进行标记，解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析，并根据解析结果及时进行邮件病毒检测，垃圾邮件筛选和检测，有效阻止垃圾邮件的泛滥。

根据本申请的第二构思，通过预设检验端口，对目标主机的全部原始数据包进行筛选，对非STMTP数据包及时进行剔除，提高检测效率，并通过设置监测周期对恶意IP模型进行更新，提高对于垃圾邮件检测的准确性。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请技术原理的前提下，还可以做出若干改进和替换，这些改进和替换也应视为本申请的保护范围。

Claims (10)

1.一种SMTP流量还原方法，其特征在于，包括：

捕获目标主机的原始数据包，将所述原始数据包发送至过滤模块；判断所述原始数据包是否为SMTP数据；

若所述原始数据包为SMTP数据，生成待还原数据包，解析所述待还原数据包生成解析结果；

根据所述解析结果生成告警指令，并根据所述解析结果生成储存数据包。

2.如权利要求1所述的SMTP流量还原方法，其特征在于，判断所述原始数据包是否为SMTP数据时，包括：

根据目标主机的历史SMTP数据，并根据所述目标主机的历史SMTP数据生成预设检验端口A1;

获取原始数据包数据，并根据所述原始数据包数据生成实时检验端口A2;

若A1与A2相同，则所述原始数据包为原始数据包为SMTP数据，并根据所述原始数据包生成待还原数据包；

若A1与A2不相同，则丢弃所述原始数据包。

3.如权利要求2所述的SMTP流量还原方法，其特征在于，所述生成待还原数据包时，包括：

若所述原始数据包为SMTP数据，对所述原始数据包添加第一预设后缀生成待还原数据包；

解析模块根据所述第一预设后缀获取所述待还原数据包，将所述待还原数据包进行解析生成解析结果；

当所述待还原数据包进行储存时，删除所述第一预设后缀。

4.如权利要求3所述的SMTP流量还原方法，其特征在于，解析所述待还原数据包生成解析结果时，包括：

获取目标主机历史SMTP数据，并根据所述历史SMTP数据生成恶意IP模型；

获取所述待还原数据包的IP数据，根据所述恶意IP模型生成初次判断结果；

若所述IP是所述恶意IP模型内数据，则设定所述IP为恶意IP，设定所述IP对应述的待还原数据包为恶意邮件；

若所述IP不是所述恶意IP模型内数据，则设定所述IP为标记IP；

根据预设监测周期t获取各个标记IP发送量，根据所述标记IP发送量判断所述标记IP是否为恶意IP。

5.如权利要求4所述的SMTP流量还原方法，其特征在于，根据所述IP发送量判断所述IP是否为恶意IP时，包括：

预设第一发送量阈值B1和第二发送量阈值B2;

获取所述标记IP发送量b，根据所述发送量b判断所述标记IP是否为恶意IP;

若b＜B1，则所述标记IP为正常IP;

若B1＜b＜B2，则获取所述标记IP对应的待还原数据包解析结果，并根据所述解析结果判断所述标记IP是否为恶意IP;

若b>B2，则所述标记IP为恶意IP，设定所述标记IP对应的待还原数据包为恶意邮件。

6.如权利要求5所述的SMTP流量还原方法，其特征在于，根据所述解析结果判断所述标记IP是否为恶意IP时，包括；

获取解析结果中UPL数据，并根据所述UPL数据获取具有相同UPL的标记IP数量c;

预设IP数量阈值C1，若c>C1，则设定所述标记IP为恶意IP，设定所述标记IP对应的待还原数据包为恶意邮件。

7.如权利要求4所述的SMTP流量还原方法，其特征在于，解析所述待还原数据包生成解析结果时，还包括：

获取当前监测周期内标记IP中的全部恶意IP，并更新恶意IP模型；

根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1，并根据当前监测周期内全部恶意IP的总发送量e1修正下一监测周期时间间隔t1。

8.如权利要求7所述的SMTP流量还原方法，其特征在于，根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1时，包括：

预设恶意IP发送量矩阵D，设定D(D1,D2,D3,D4)，其中，D1为预设第一恶意IP发送量，D2为预设第二恶意IP发送量，D3为预设第三恶意IP发送量，D4为预设第四恶意IP发送量，且D1＜D2＜D3＜D4;

预设监测周期时间间隔矩阵T，设定T(T1,T2,T3,T4)，其中，T1为预设第一监测周期时间间隔，T2为预设第二监测周期时间间隔，T3为预设第三监测周期时间间隔，T4为预设第四监测周期时间间隔，且T1＜T2＜T3＜T4;

若d1＜D1，设定下一监测周期时间间隔t1为预设第四监测周期时间间隔T4，即t=T4;

若D1＜d1＜D2，设定下一监测周期时间间隔t1为预设第三监测周期时间间隔T3，即t=T3;

若D2＜d1＜D3，设定下一监测周期时间间隔t1为预设第二监测周期时间间隔T2，即t=T2;

若D3＜d1＜D4，设定下一监测周期时间间隔t1为预设第一监测周期时间间隔T1，即t=T1。

9.如权利要求8所述的SMTP流量还原方法，其特征在于，根据当前监测周期内全部恶意IP的发送量e1修正下一监测周期时间间隔t1时，包括：

预设恶意IP总发送量矩阵E，设定E(E1,E2,E3,E4)，其中，E1为预设第一恶意IP总发送量，E2为预设第二恶意IP总发送量，E3为预设第三恶意IP总发送量，E4为预设第四恶意IP总发送量，且E1＜E2＜E3＜E4;

预设修正参数矩阵N，设定N(n1,n2,n3,n4)，其中，n1为预设第一修正参数，n2为预设第二修正参数，n3为预设第三修正参数，n4为预设第四修正参数，且0.7＜n1＜n2＜n3＜n4＜1；

若E1＜e1＜E2，设定实时修正参数n为预设第四修正参数n4，修正后下一监测周期时间间隔t1=n4*Ti；

若E2＜e1＜E3，设定实时修正参数n为预设第三修正参数n3，修正后下一监测周期时间间隔t1=n3*Ti；

若E3＜e1＜E4，设定实时修正参数n为预设第二修正参数n2，修正后下一监测周期时间间隔t1=n2*Ti；

若e1>E4，设定实时修正参数n为预设第一修正参数n1，修正后下一监测周期时间间隔t1=n1*Ti。

10.如权利要求9所述的SMTP流量还原方法，其特征在于，根据所述解析结果生成告警指令时，包括：

获取当前监测周期内全部恶意IP的总发送量e1；

预设告警指令等级矩阵F，设定F(F1,F2)，其中，F1为预设一级告警指令，F2为预设二级告警指令；

根据所述全部恶意IP的总发送量e1，设定实时告警指令；

若E2＜e1＜E4时，设定实时告警指令为预设一级告警指令；

若e1>E4时，设定实时告警指令为预设二级告警指令。