CN117278286A - 一种异常报文处理方法、装置、电子设备和存储介质 - Google Patents
一种异常报文处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN117278286A CN117278286A CN202311257384.0A CN202311257384A CN117278286A CN 117278286 A CN117278286 A CN 117278286A CN 202311257384 A CN202311257384 A CN 202311257384A CN 117278286 A CN117278286 A CN 117278286A
- Authority
- CN
- China
- Prior art keywords
- rule
- aggregation
- suppression
- characteristic
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 133
- 238000003672 processing method Methods 0.000 title claims abstract description 16
- 230000001629 suppression Effects 0.000 claims abstract description 201
- 230000002776 aggregation Effects 0.000 claims abstract description 176
- 238000004220 aggregation Methods 0.000 claims abstract description 176
- 230000005764 inhibitory process Effects 0.000 claims abstract description 147
- 238000012545 processing Methods 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000004590 computer program Methods 0.000 claims description 16
- 238000006116 polymerization reaction Methods 0.000 claims description 4
- 230000004931 aggregating effect Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 11
- 230000000670 limiting effect Effects 0.000 description 10
- 208000014674 injury Diseases 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 208000012260 Accidental injury Diseases 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Business, Economics & Management (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常报文处理方法、装置、电子设备和存储介质,涉及网络安全领域,该方法包括:将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树;根据目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量;根据至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。本发明实施例的技术方案,聚合抑制规则的获取,极大地减少了防火墙中抑制规则的数量,降低了对防火墙系统资源的占用,提高了防火墙的处理效率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种异常报文处理方法、装置、电子设备和存储介质。
背景技术
随着互联网技术的不断发展,服务器受到的网络攻击也越来越多,如何构建有效的防火墙名单以对异常报文进行抑制,成为了设备安全领域的重要课题。
现有技术中,针对各种网络攻击行为,例如,DDoS(Distributed Denial ofServic,分布式拒绝服务)攻击,通常是在确定当前报文为存在网络攻击行为的异常报文时,将该报文的流量特征(例如,五元组特征)加入防火墙名单中,即作为防火墙名单中记录的一种抑制规则,后续在获取到符合该流量特征的报文时,即可将该报文直接确定为异常报文并进行抑制。
然而,这样的抑制方式,由于各种网络攻击的隐秘性较强,经常通过变换流量特征的方式进行攻击,导致防火墙名单中记录的抑制规则的数量过多,不但占用了防火墙的系统资源,而且降低了防火墙的处理效率。
发明内容
本发明提供了一种异常报文处理方法、装置、电子设备及存储介质,以解决防火墙中针对异常报文的抑制规则数量过多的问题。
根据本发明的一方面,提供了一种异常报文处理方法,包括:
将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树;
根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量;
根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:将多元特征组中的至少一个特征元素作为固定序列元素,并将多元特征组中除所述至少一个特征元素之外的剩余特征元素作为非固定序列元素;根据所述固定序列元素和所述非固定序列元素获取多个分类树,并获取各分类树中第一聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第一聚合抑制规则的特征元素数量的差值为第一数量阈值;将报文类型数量最多的第一聚合抑制规则对应的分类树,作为目标分类树。不但针对自身IP地址和自身端口等特定类型的特征元素,构建了针对性的目标分类树,进而获取到上述特征元素中出现的异常报文,而且减少了作为备选的分类树的数量,提高了目标分类树的获取效率。
所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:获取所述异常报文集中各个特征元素分别对应的元素类型数量,依次将元素类型数量最少的各个特征元素作为分类节点,以获取异常报文集对应的目标分类树。由此使得根据异常报文集中各个特征元素的元素类型分布构建完成的目标分类树中,优先将分支较多的分类节点定义为下层分类节点,便于分支较多的分类节点的优先聚合,进一步提升了目标分类树中获取到的聚合抑制规则的抑制范围。
所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:获取异常报文集对应的全部分类树,并获取各分类树中第二聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第二聚合抑制规则的特征元素数量的差值为第二数量阈值;将报文类型数量最多的第二聚合抑制规则对应的分类树,作为目标分类树。既确保了分类树的结构准确,又使得基于该分类树获取到的聚合抑制规则,可以覆盖更多类型的异常报文,提升了聚合抑制规则的抑制范围。
所述根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则,具体包括:获取至少一个初始抑制规则;其中,多元特征组的特征元素数量与初始抑制规则的特征元素数量的差值为第三数量阈值;根据当前初始抑制规则的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;其中,若当前初始抑制规则对应的报文类型数量,大于等于匹配的报文类型阈值,则将当前初始抑制规则作为聚合抑制规则;若当前初始抑制规则对应的报文类型数量,小于匹配的报文类型阈值,则不将当前初始抑制规则作为聚合抑制规则;将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;继续将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则,直至聚合抑制规则的特征元素数量达到第四数量阈值为止。由此获取到不同特征元素数量下的聚合抑制规则,既确保了异常报文集中多个聚合抑制规则的完整获取,又避免了聚合抑制规则的抑制范围过大,降低了针对正常报文的误伤率。
所述根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理,包括:将所述至少一个聚合抑制规则加入防火墙抑制名单,并根据所述聚合抑制规则的特征元素数量,为所述聚合抑制规则设置有效时间;其中,所述聚合抑制规则的有效时间与特征元素数量为正相关关系。聚合抑制规则包括的特征元素数量越少,表示限制范围越大,相应的限制针对性越差,那么为其设置的有效时间越短,以降低对正常报文的误伤率;聚合抑制规则包括的特征元素数量越多,表示限制范围越小,相应的限制针对性越强,那么为其设置的有效时间越长,以提高该聚合抑制规则的限制效果,确保当前电子设备的运行安全。
在将所述至少一个聚合抑制规则加入防火墙抑制名单之后,还包括:根据预设聚合周期,基于分类树对防火墙抑制名单中的抑制规则进行聚合。由此实现了不同时段获取到的异常报文的聚合,进一步减少了防火墙抑制名单中抑制规则的数量,提高了抑制规则的抑制效果,降低了对防火墙系统资源的占用。
根据本发明的另一方面,提供了一种异常报文处理装置,包括:
目标分类树获取模块,用于将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树;
聚合抑制规则获取模块,用于根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量;
抑制处理执行模块,用于根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的异常报文处理方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的异常报文处理方法。
本发明实施例的技术方案,首先将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树,再根据目标分类树,获取异常报文集对应的至少一个聚合抑制规则,最后根据至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理,相比于为每个异常报文分别设置抑制规则,聚合抑制规则的获取,极大地减少了防火墙中针对异常报文的抑制规则的数量,不但降低了对防火墙系统资源的占用,而且提高了防火墙的处理效率。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A是根据本发明实施例一提供的一种异常报文处理方法的流程图;
图1B是根据本发明实施例一提供的一种分类树的结构示意图;
图2是根据本发明实施例二提供的一种异常报文处理方法的流程图;
图3是根据本发明实施例三提供的一种异常报文处理方法的流程图;
图4是根据本发明实施例四提供的一种异常报文处理装置的结构示意图;
图5是实现本发明实施例的异常报文处理方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1A为本发明实施例一提供的一种异常报文处理方法的流程图,本实施例可适用于根据异常报文集对应的目标分类树,获取针对异常报文的聚合抑制规则,该方法可以由异常报文处理装置来执行,该异常报文处理装置可以采用硬件和/或软件的形式实现,该异常报文处理装置配置于服务器等电子设备中。如图1A所示,该方法包括:
S101、将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树。
异常报文可以包括DDoS攻击、蠕虫攻击、Web(World Wide Web,全球广域网)攻击、扫描探测攻击、暴力破解攻击、僵尸网络攻击和漏洞利用攻击等不同攻击方式下产生的攻击报文;针对不同类型攻击报文的攻击特点不同,可以分别设置不同的评价规则,并根据各个评价规则判断当前报文请求是否为异常报文。
具体的,DDoS攻击是攻击者通过控制的傀儡主机发起突发大流量,造成计算机系统的计算资源的过度消耗,使计算机系统无法为合法用户提供正常服务的攻击行为;僵尸网络攻击是攻击者通过僵尸程序病毒,控制计算机系统的攻击行为;暴力破解攻击是攻击者通过组合计算机系统中所有可能的数据组成方式,以破解计算机系统的敏感信息(例如,账户名和密码)的攻击行为;Web攻击是攻击者篡改Web服务数据的攻击行为;蠕虫攻击是攻击者利用蠕虫病毒攻击计算机系统的攻击行为;漏洞利用攻击是攻击者利用漏洞检测程序,获取计算机系统控制权的攻击行为;扫描探测攻击是攻击者利用扫描工具(例如,端口扫描工具)进行探测,以获取计算机系统信息的攻击行为。
以DDoS攻击为例,该攻击行为下报文中的数据包较大,即大于第一容量阈值,因此,可以根据报文中的数据包大小,判断该报文是否为DDoS攻击报文;根据上述评价规则获取到各个报文的评价结果之后,可以将第一预设时间内的异常报文汇总为异常报文集,或者在异常报文的数量达到第一数量阈值时,将上述异常报文汇总为异常报文集;可选的,在本发明实施例中,对异常报文的攻击类型以及各类型异常报文的评价规则均不作具体限定。
多元特征组包括多个特征元素,每个特征元素表示当前报文在一个特定维度下的特征值,多元特征组即从多个特征维度完整表述了一个报文的特征值;例如,多远特征组可以为四元组,包括源端口号、目的端口号、源IP地址和目的IP地址;还可以为五元组和七元组;其中,五元组即四元组再加上协议类型,七元组即五元组再加上接口索引和服务类型(ToS)。
此外,多元特征组还可以包括时间戳和设备标识;其中,时间戳表示该报文的接收时间或者发出时间;设备标识表示报文发出方的设备标识;可选的,在本发明实施例中,对多元特征组中的特征元素数量和特征元素类型均不作具体限定。以多元特征组为上述五元组为例,例如,若异常报文集包括如表1所示的九个异常流量;可以根据预设分类顺序,依次将目的IP地址、目的端口、协议类型、源IP地址和源端口作为分类节点,获取图1B所示的分类树,该分类树即为目标分类树。
表1异常报文集
报文编号 | 目的IP地址 | 目的端口 | 源IP地址 | 源端口 | 协议类型 |
1 | 15.0.0.1 | 300 | 32.0.0.1 | 5501 | 80 |
2 | 15.0.0.1 | 300 | 32.0.0.2 | 5502 | 80 |
3 | 15.0.0.1 | 300 | 32.0.0.3 | 5503 | 80 |
4 | 15.0.0.1 | 300 | 32.0.0.4 | 5504 | 80 |
5 | 15.0.0.1 | 300 | 32.0.0.5 | 5505 | 80 |
6 | 15.0.0.1 | 300 | 32.0.0.6 | 5506 | 80 |
7 | 15.0.0.1 | 300 | 32.0.0.7 | 5507 | 80 |
8 | 15.0.0.1 | 300 | 32.0.0.8 | 5508 | 80 |
9 | 15.0.0.1 | 301 | 32.0.0.1 | 5500 | 80 |
可选的,在本发明实施例中,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:获取异常报文集对应的全部分类树,并获取各分类树中第二聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第二聚合抑制规则的特征元素数量的差值为第二数量阈值;将报文类型数量最多的第二聚合抑制规则对应的分类树,作为目标分类树。
具体的,同样以多元特征组为五元组为例,根据五个特征元素的排列顺序不同,由五个特征元素依次排列构建的分类树总共有120种;第二数量阈值为大于等于1的自然数,第二聚合抑制规则实际上为四元组、三元组、二元组或者一元组下的抑制规则;以第二数量阈值为1为例,第二聚合抑制规则即为四元组抑制规则,对于上述120种分类树而言,每种分类树下均包括一个或多个第二聚合抑制规则;以表1为例,其中一个第二聚合抑制规则A为“目的IP地址15.0.0.1+目的端口300+源IP地址32.0.0.1+协议类型80”。
对于第二聚合抑制规则A而言,其仅对应一种报文,即报文1“目的IP地址15.0.0.1+目的端口300+源IP地址32.0.0.1+协议类型80+源端口5501”,也即第二聚合抑制规则A对应的报文类型数量为一种;由此获取全部第二聚合抑制规则对应的报文类型数量,并将报文类型数量最多的第二聚合抑制规则对应的分类树作为目标分类树;目标分类树表示该分类树下的第二聚合抑制规则,可以覆盖较多类型的异常报文,根据上述方式获取到的目标分类树,既确保了分类树的结构准确,又使得基于该分类树获取到的聚合抑制规则,可以覆盖更多类型的异常报文,提升了聚合抑制规则的抑制范围。
S102、根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则,其中,所述聚合抑制规则中的特征元素数量少于多元特征组中的特征元素数量。
分类树的节点深度越深,且该分类树下属的子节点数量越多,即表示该分类树的汇聚越精确,覆盖面越大;以多元特征组为五元组为例,聚合抑制规则实际上可以为四元组、三元组、二元组或者一元组下的抑制规则;聚合抑制规则包括的特征元素数量可以预先配置完成,例如,以四元组抑制规则的形式获取各个聚合抑制规则;还可以根据预先设定的报文类型阈值,依次将四元组、三元组、二元组和一元组下的抑制规则覆盖的报文类型数量,与上述报文类型阈值进行比较,如果当前抑制规则覆盖的报文类型数量,大于等于报文类型阈值,则将当前抑制规则作为聚合完成的聚合抑制规则。
以图1B中的目标分类树为例,如果报文类型阈值配置为8个;首先获取目标分类树中的各个四元组抑制规则,并获取每个四元组抑制规则覆盖的报文类型数量;其中,图1B中的每个四元组抑制规则均仅能覆盖一种报文类型,显然不符合聚合抑制规则的要求;其次获取目标分类树中的各个三元组抑制规则,并获取每个三元组抑制规则覆盖的报文类型数量,显然其中的三元组抑制规则“目的IP地址15.0.0.1+目的端口300+协议类型80”,可以覆盖8条异常报文,符合聚合抑制规则的要求,由此即将该三元组抑制规则作为聚合完成的聚合抑制规则;相比于为上述8条异常报文分别设置一条五元组抑制规则,上述三元组聚合抑制规则极大地减少了抑制规则的数量。
特别的,如上述技术方案所述,如果以“目的IP地址+目的端口”作为聚合抑制规则,虽然相当于将当前设备上的一个IP地址下的一个端口禁用了,但是由于每个设备包括多个IP地址,而每个IP地址包括多个端口,相当于通过禁用自身设备的某个端口,来确保设备本身的中央处理器等功能组件的运行安全,该设备还可以通过其它IP地址以及其它端口继续对外提供相应的服务。
S103、根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
如上述技术方案所述,对于异常报文集而言,可能获取到一个或多个聚合抑制规则,将上述聚合抑制规则加入防火墙的抑制名单后,后续通过抑制名单的各个抑制规则,即可对各种类型的异常报文进行抑制;此外,对于异常报文集中不符合聚合抑制规则的剩余异常报文而言,为每个剩余异常报文设置一条匹配的五元组抑制规则,并将上述五元组抑制规则同样加入防火墙的抑制中,以实现针对异常报文集中各个异常报文的抑制规则的完整获取。
可选的,在本发明实施例中,所述根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理,包括:将所述至少一个聚合抑制规则加入防火墙抑制名单,并根据所述聚合抑制规则的特征元素数量,为所述聚合抑制规则设置有效时间;其中,所述聚合抑制规则的有效时间与特征元素数量为正相关关系。
具体的,聚合抑制规则包括的特征元素数量越少,表示限制范围越大,相应的限制针对性越差,那么为其设置的有效时间越短,以降低对正常报文的误伤率;聚合抑制规则包括的特征元素数量越多,表示限制范围越小,相应的限制针对性越强,那么为其设置的有效时间越长,以提高该聚合抑制规则的限制效果,确保当前电子设备的运行安全。
可选的,在本发明实施例中,在将所述至少一个聚合抑制规则加入防火墙抑制名单之后,还包括:根据预设聚合周期,基于分类树对防火墙抑制名单中的抑制规则进行聚合。具体的,还可以根据预设聚合周期,对已加入防火墙抑制名单中的各个抑制规则,基于分类树继续进行聚合,例如,将多个五元组抑制规则聚合为一个新的四元组聚合规则或者三元组聚合规则,将多个四元组抑制规则聚合为一个三元组聚合规则,由此实现了不同时段获取到的异常报文的聚合,进一步减少了防火墙抑制名单中抑制规则的数量,提高了抑制规则的抑制效果,降低了对防火墙系统资源的占用。
本发明实施例的技术方案,先将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树,再根据目标分类树,获取异常报文集对应的至少一个聚合抑制规则,最后根据至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理,相比于为每个异常报文分别设置抑制规则,聚合抑制规则的获取,极大地减少了防火墙中针对异常报文的抑制规则的数量,不但降低了对防火墙系统资源的占用,而且提高了防火墙的处理效率。
实施例二
图2为本发明实施例二提供的一种异常报文处理方法的流程图,本实施例与上述实施例之间的关系在于,在获取目标分类树的过程中,基于部分固定序列的特征元素获取多种备选分类树。如图2所示,该方法包括:
S201、将多元特征组中的至少一个特征元素作为固定序列元素,并将多元特征组中除所述至少一个特征元素之外的剩余特征元素作为非固定序列元素。
同样以多元特征组为五元组为例,对于服务器而言,其检测到的网络攻击行为是针对其自身设备的网络攻击行为,因此上述网络攻击行为的目的IP地址即为自身设备的IP地址,目的端口即为自身设备的端口;由于每个服务器可以具备多个IP地址,每个IP地址下还可以包括不同功能或相同功能的多个端口,对于网络攻击行为的检测,实际上是检测自身的哪些IP地址以及哪些端口中存在异常报文,因此,可以将报文中的目的IP地址作和目的端口,作为固定序列元素,且分别作为第一分类节点和第二分类节点,也即聚合抑制规则表示针对某个IP地址下的某个端口中的异常报文进行抑制;剩余的源IP地址、源端口和协议类型则作为非固定序列元素,位于第三分类节点、第四分类节点以及第五分类节点中,但并不确定上述非固定序列元素各自在目标分类树中的具体分类位置。
S202、根据所述固定序列元素和所述非固定序列元素获取多个分类树,并获取各分类树中第一聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第一聚合抑制规则的特征元素数量的差值为第一数量阈值。
以上述技术方案为例,根据上述三个非固定序列元素的排列顺序不同,可以构建9种分类树,由此将上述9种分类树作为备选的分类树;第一数量阈值为大于等于1的自然数,第一聚合抑制规则实际上为四元组、三元组、二元组或者一元组下的聚合抑制规则;以第一数量阈值为1为例,第一聚合抑制规则即为四元组抑制规则;对于上述9种分类树而言,每种分类树下均包括一个或多个第一聚合抑制规则。
获取全部第一聚合抑制规则对应的报文类型数量,并将报文类型数量最多的第一聚合抑制规则对应的分类树作为目标分类树;目标分类树表示该分类树下的第一聚合抑制规则,可以覆盖较多类型的异常报文,根据上述方式获取到的目标分类树,不但针对自身IP地址和自身端口等特定类型的特征元素,构建了针对性的目标分类树,进而获取到上述特征元素中出现的异常报文,而且减少了作为备选的分类树的数量,提高了目标分类树的获取效率。
S203、将报文类型数量最多的第一聚合抑制规则对应的分类树,作为目标分类树。
可选的,在本发明实施例中,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:获取所述异常报文集中各个特征元素分别对应的元素类型数量,依次将元素类型数量最少的各个特征元素作为分类节点,以获取异常报文集对应的目标分类树。
具体的,以表1中的异常报文集为例,目的IP地址仅包括一种元素类型,即15.0.0.1,也即其元素类型数量为1;目的端口包括两种元素类型,即300和301,也即其元素类型数量为2;源IP地址包括八种元素类型,即32.0.0.1至32.0.0.8,也即其元素类型数量为8;源端口包括九种元素类型,即5500至5508,也即其元素类型数量为9;协议类型包括一种元素类型,即80,也即其元素类型数量为1。
依次将元素类型数量最少的各个特征元素作为分类节点,当多个特征元素的元素类型数量相等时,根据预设分类顺序,获取上述元素类型数量相等的多个特征元素之间的分类节点顺序,例如,根据上述技术方案,可以获取到根据“目的IP地址→协议类型→目的端口→源IP地址→源端口”的分类顺序构建的目标分类树;由此使得根据异常报文集中各个特征元素的元素类型分布构建完成的目标分类树中,优先将分支较多的分类节点定义为下层分类节点,便于分支较多的分类节点的优先聚合,进一步提升了目标分类树中获取到的聚合抑制规则的抑制范围。
S204、根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量。
S205、根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
本发明实施例的技术方案,在根据多元特征组中的固定序列元素和非固定序列元素,获取到多个分类树后,将多个分类树中报文类型数量最多的第一聚合抑制规则对应的分类树,作为目标分类树,不但针对自身IP地址和自身端口等特定类型的特征元素,构建了针对性的目标分类树,进而获取到上述特征元素中出现的异常报文,而且减少了作为备选的分类树的数量,提高了目标分类树的获取效率。
实施例三
图3为本发明实施例三提供的一种异常报文处理方法的流程图,在本发明实施例中,将初始抑制规则中的特征元素数量进行减法处理,并不断获取减法处理后的聚合抑制规则,直至初始抑制规则中的特征元素数量达到第四数量阈值为止。如图3所示,该方法包括:
S301、将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树。
S302、获取至少一个初始抑制规则;其中,多元特征组的特征元素数量与初始抑制规则的特征元素数量的差值为第三数量阈值。
第三数量阈值为大于等于1的自然数,实际上初始抑制规则也是根据多元特征组中的部分特征元素构建的抑制规则,同样以上述多元特征组为五元组为例,当第三数量阈值为1时,初始抑制规则为目标分类树中的四元组抑制规则;一个目标分类树中可以包括一个或多个四元组抑制规则,对于每个四元组抑制规则分别执行后续判断过程。
S303、根据当前初始抑制规则的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;其中,若当前初始抑制规则对应的报文类型数量,大于等于匹配的报文类型阈值,则将当前初始抑制规则作为聚合抑制规则;若当前初始抑制规则对应的报文类型数量,小于匹配的报文类型阈值,则不将当前初始抑制规则作为聚合抑制规则。
当初始抑制规则覆盖较多类型的异常报文时,该初始抑制规则不但可以有效抑制多种异常报文,同时还减少了对正常报文的误伤率,而当初始抑制规则覆盖较少类型的异常报文时,该初始抑制规则可以抑制的异常报文类型较少,还会提升对正常报文的误伤率,因此,当初始抑制规则覆盖较多的报文类型时,即大于等于匹配的报文类型阈值时,才能将当前初始抑制规则作为一种有效的聚合抑制规则,否则不能将当前初始抑制规则作为有效的聚合抑制规则。
例如,如表1所示的异常报文集,对于任意一个四元组抑制规则而言,其仅能覆盖1种异常报文,显然该四元组抑制规则的抑制效果较差,且会存在较高的误伤率;如果该四元组抑制规则可以覆盖20种以上的异常报文,该四元组抑制规则的抑制效果较好,且会降低对正常报文的误伤率,此时可以将四元组抑制规则作为聚合抑制规则。
S304、将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,确定是否将当前初始抑制规则作为聚合抑制规则。
在对当前四元组抑制规则判断完成后,可以继续对三元组抑制规则进行判断;其中,当前初始抑制规则的特征元素数量越多,对应的报文类型阈值越大,当前初始抑制规则的特征元素数量越少,对应的报文类型阈值越小;例如,对于四元组抑制规则而言,其可以覆盖20种以上的异常报文时,即可将上述20种以上的异常报文聚合为四元组抑制规则;对于三元组抑制规则而言,其需要覆盖100种以上的异常报文时,才能将上述100种以上的异常报文聚合为三元组抑制规则。
S305、继续将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,确定是否将当前初始抑制规则作为聚合抑制规则,直至聚合抑制规则的特征元素数量达到第四数量阈值为止。
第四数量阈值为大于等于1的自然数;为了避免聚合抑制规则覆盖的抑制范围过大,可以将第四数量阈值设置为较大设置,例如,将第四数量阈值设置为3或4,也即每个聚合抑制规则需要至少包括3个或者4个特征元素,以防止仅包括1个或2个特征元素的聚合抑制规则,导致抑制范围过大,进而对正常报文造成误伤。
S306、根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
本发明实施例的技术方案,首先在获取初始抑制规则之后,根据当前初始抑制规则的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则,再将当前初始抑制规则的特征元素数量进行减法处理,并继续根据减法处理后的特征元素数量,确定是否将当前初始抑制规则作为聚合抑制规则,直至聚合抑制规则的特征元素数量达到第四数量阈值为止,由此获取到不同特征元素数量下的聚合抑制规则,既确保了异常报文集中多个聚合抑制规则的完整获取,又避免了聚合抑制规则的抑制范围过大,降低了针对正常报文的误伤率。
实施例四
图4是本发明实施例四所提供的一种异常报文处理装置的结构框图,该装置具体包括:
目标分类树获取模块401,用于将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树;
聚合抑制规则获取模块402,用于根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量;
抑制处理执行模块403,用于根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
本发明实施例的技术方案,先将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树,再根据目标分类树,获取异常报文集对应的至少一个聚合抑制规则,最后根据至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理,相比于为每个异常报文分别设置抑制规则,聚合抑制规则的获取,极大地减少了防火墙中针对异常报文的抑制规则的数量,不但降低了对防火墙系统资源的占用,而且提高了防火墙的处理效率。
可选的,目标分类树获取模块401,具体用于将多元特征组中的至少一个特征元素作为固定序列元素,并将多元特征组中除所述至少一个特征元素之外的剩余特征元素作为非固定序列元素;根据所述固定序列元素和所述非固定序列元素获取多个分类树,并获取各分类树中第一聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第一聚合抑制规则的特征元素数量的差值为第一数量阈值;将报文类型数量最多的第一聚合抑制规则对应的分类树,作为目标分类树。
可选的,目标分类树获取模块401,具体用于获取所述异常报文集中各个特征元素分别对应的元素类型数量,依次将元素类型数量最少的各个特征元素作为分类节点,以获取异常报文集对应的目标分类树。
可选的,目标分类树获取模块401,具体用于获取异常报文集对应的全部分类树,并获取各分类树中第二聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第二聚合抑制规则的特征元素数量的差值为第二数量阈值;将报文类型数量最多的第二聚合抑制规则对应的分类树,作为目标分类树。
可选的,聚合抑制规则获取模块402,具体用于获取至少一个初始抑制规则;其中,多元特征组的特征元素数量与初始抑制规则的特征元素数量的差值为第三数量阈值;根据当前初始抑制规则的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;其中,若当前初始抑制规则对应的报文类型数量,大于等于匹配的报文类型阈值,则将当前初始抑制规则作为聚合抑制规则;若当前初始抑制规则对应的报文类型数量,小于匹配的报文类型阈值,则不将当前初始抑制规则作为聚合抑制规则;将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;继续将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则,直至聚合抑制规则的特征元素数量达到第四数量阈值为止。
可选的,抑制处理执行模块403,具体用于将所述至少一个聚合抑制规则加入防火墙抑制名单,并根据所述聚合抑制规则的特征元素数量,为所述聚合抑制规则设置有效时间;其中,所述聚合抑制规则的有效时间与特征元素数量为正相关关系。
可选的,抑制处理执行模块403,具体用于根据预设聚合周期,基于分类树对防火墙抑制名单中的抑制规则进行聚合。
上述装置可执行本发明任意实施例所提供的异常报文处理方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例提供的异常报文处理方法。
实施例五
图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如异常报文处理方法。
在一些实施例中,异常报文处理方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元而被载入和/或安装到异构硬件加速器上。当计算机程序加载到RAM并由处理器执行时,可以执行上文描述的异常报文处理方法的一个或多个步骤。备选地,在其他实施例中,处理器可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行异常报文处理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在异构硬件加速器上实施此处描述的系统和技术,该异构硬件加速器具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给异构硬件加速器。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种异常报文处理方法,其特征在于,包括:
将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树;
根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量;
根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
2.根据权利要求1所述的方法,其特征在于,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:
将多元特征组中的至少一个特征元素作为固定序列元素,并将多元特征组中除所述至少一个特征元素之外的剩余特征元素作为非固定序列元素;
根据所述固定序列元素和所述非固定序列元素获取多个分类树,并获取各分类树中第一聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第一聚合抑制规则的特征元素数量的差值为第一数量阈值;
将报文类型数量最多的第一聚合抑制规则对应的分类树,作为目标分类树。
3.根据权利要求1所述的方法,其特征在于,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:
获取所述异常报文集中各个特征元素分别对应的元素类型数量,依次将元素类型数量最少的各个特征元素作为分类节点,以获取异常报文集对应的目标分类树。
4.根据权利要求1所述的方法,其特征在于,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:
获取异常报文集对应的全部分类树,并获取各分类树中第二聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第二聚合抑制规则的特征元素数量的差值为第二数量阈值;
将报文类型数量最多的第二聚合抑制规则对应的分类树,作为目标分类树。
5.根据权利要求1-4任一所述的方法,其特征在于,所述根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则,具体包括:
获取至少一个初始抑制规则;其中,多元特征组的特征元素数量与初始抑制规则的特征元素数量的差值为第三数量阈值;
根据当前初始抑制规则的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;其中,若当前初始抑制规则对应的报文类型数量,大于等于匹配的报文类型阈值,则将当前初始抑制规则作为聚合抑制规则;若当前初始抑制规则对应的报文类型数量,小于匹配的报文类型阈值,则不将当前初始抑制规则作为聚合抑制规则;
将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;
继续将当前初始抑制规则的特征元素数量进行减法处理,并根据减法处理后的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则,直至聚合抑制规则的特征元素数量达到第四数量阈值为止。
6.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理,包括:
将所述至少一个聚合抑制规则加入防火墙抑制名单,并根据所述聚合抑制规则的特征元素数量,为所述聚合抑制规则设置有效时间;其中,所述聚合抑制规则的有效时间与特征元素数量为正相关关系。
7.根据权利要求6所述的方法,其特征在于,在将所述至少一个聚合抑制规则加入防火墙抑制名单之后,还包括:
根据预设聚合周期,基于分类树对防火墙抑制名单中的抑制规则进行聚合。
8.一种异常报文处理装置,其特征在于,包括:
目标分类树获取模块,用于将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树;
聚合抑制规则获取模块,用于根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量;
抑制处理执行模块,用于根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的异常报文处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的异常报文处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311257384.0A CN117278286A (zh) | 2023-09-27 | 2023-09-27 | 一种异常报文处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311257384.0A CN117278286A (zh) | 2023-09-27 | 2023-09-27 | 一种异常报文处理方法、装置、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117278286A true CN117278286A (zh) | 2023-12-22 |
Family
ID=89221023
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311257384.0A Pending CN117278286A (zh) | 2023-09-27 | 2023-09-27 | 一种异常报文处理方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117278286A (zh) |
-
2023
- 2023-09-27 CN CN202311257384.0A patent/CN117278286A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10581915B2 (en) | Network attack detection | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US20200244676A1 (en) | Detecting outlier pairs of scanned ports | |
CN112953938B (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
US20200244685A1 (en) | Scanner probe detection | |
US11184376B2 (en) | Port scan detection using destination profiles | |
JP2023508302A (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
CN114157480A (zh) | 网络攻击方案的确定方法、装置、设备和存储介质 | |
CN117424743A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
CN117278286A (zh) | 一种异常报文处理方法、装置、电子设备和存储介质 | |
CN113395297B (zh) | 漏洞处理方法、装置、设备和计算机可读存储介质 | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
CN110162969B (zh) | 一种流量的分析方法和装置 | |
CN113872931A (zh) | 一种端口扫描行为的检测方法及系统、服务器、代理节点 | |
CN117714200A (zh) | 一种网络安全防御方法、装置、设备及存储介质 | |
CN113591088B (zh) | 一种标识识别方法、装置及电子设备 | |
WO2023179461A1 (zh) | 一种处理疑似攻击行为的方法及相关装置 | |
CN111431796B (zh) | 一种即时通讯预警方法、装置、计算设备和存储介质 | |
CN112836212B (zh) | 邮件数据的分析方法、钓鱼邮件的检测方法及装置 | |
Yang et al. | Design issues of enhanced DDoS protecting scheme under the cloud computing environment | |
CN114567687B (zh) | 报文转发方法、装置、设备、介质及程序产品 | |
CN113452647B (zh) | 特征鉴定方法、装置、电子设备及计算机可读存储介质 | |
CN111224916B (zh) | 一种ddos攻击检测的方法及装置 | |
CN116015765A (zh) | 一种网络攻击预警方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |