根據(jù)攻擊日志調(diào)整命中特征的方法和裝置制造方法
【專利摘要】本發(fā)明涉及一種根據(jù)攻擊日志調(diào)整命中特征的方法和裝置����,終端攻擊被保護(hù)的web服務(wù)器時(shí)���,終端的IP地址會(huì)在一定時(shí)間范圍內(nèi)命中多條命中特征����,且每條命中特征所對(duì)應(yīng)的日志數(shù)量較少�����;故在第一時(shí)間間隔內(nèi)同一IP地址的各個(gè)攻擊日志中的命中特征相同以及目標(biāo)網(wǎng)址相同,且在第一時(shí)間間隔內(nèi)攻擊日志數(shù)量大于或等于第一預(yù)設(shè)閥值時(shí)���,認(rèn)為該IP地址在瀏覽該目標(biāo)網(wǎng)址時(shí)被誤報(bào)��,則在命中特征中同時(shí)避免該IP地址和目標(biāo)網(wǎng)址,以使該IP地址的終端在瀏覽該目標(biāo)網(wǎng)址且與該命中特征匹配時(shí)�����,不進(jìn)行攔截���,但其他IP地址的終端在瀏覽該目標(biāo)網(wǎng)址時(shí)�,若與該命中特征匹配����,則會(huì)被攔截且生成攻擊日志,不用直接關(guān)閉某條規(guī)則��,在不降低防御效果的前提下減少誤報(bào)���。
【專利說(shuō)明】根據(jù)攻擊日志調(diào)整命中特征的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】����,尤其涉及一種根據(jù)攻擊日志調(diào)整命中特征的方法和裝置。
【背景技術(shù)】
[0002]基于Web網(wǎng)站攻擊的防御����,可以采用web應(yīng)用防火墻(WAF)進(jìn)行防御。Web應(yīng)用防火墻都內(nèi)置了一個(gè)規(guī)則庫(kù)��,提取了各種攻擊web網(wǎng)站常見(jiàn)的攻擊特征���,當(dāng)報(bào)文通過(guò)web防火墻時(shí)��,檢測(cè)引擎通過(guò)和預(yù)先定義的特征做對(duì)比�����,檢測(cè)提交到web服務(wù)器的報(bào)文是否存在攻擊���。內(nèi)置規(guī)則庫(kù)會(huì)根據(jù)規(guī)則的復(fù)雜、嚴(yán)重程度�����,每條規(guī)則設(shè)定一個(gè)缺省的動(dòng)作�。如果匹配某個(gè)規(guī)則,WAF防火墻會(huì)根據(jù)規(guī)則的缺省動(dòng)作決定如何進(jìn)一步處理報(bào)文�。
[0003]由于網(wǎng)絡(luò)報(bào)文的復(fù)雜性和多樣性�����,用戶網(wǎng)絡(luò)實(shí)現(xiàn)環(huán)境各不相同����,規(guī)則誤報(bào)不可避免�,不同的規(guī)則在不同的用戶處使用�,也會(huì)觸發(fā)不同的效果,有的可能是真正攻擊�����,有的可能就是誤報(bào)����。比如針對(duì)一個(gè)目錄穿越攻擊,某個(gè)規(guī)則是識(shí)別目錄穿越攻擊��,規(guī)則是URL中存在./”等關(guān)鍵字����,一般情況下,如果URL中存在這類關(guān)鍵字���,都是黑客嘗試使用目錄穿越攻擊���。但是在實(shí)際情況中��,有的網(wǎng)站中在參數(shù)中包含參數(shù)來(lái)實(shí)現(xiàn)不同路徑間文件訪問(wèn):在這種情況下�����,該規(guī)則針對(duì)該用戶網(wǎng)站就會(huì)觸發(fā)誤報(bào)���。
[0004]正因?yàn)橛脩魒eb網(wǎng)站實(shí)現(xiàn)差異很大,規(guī)則的配置也很難有完全通用統(tǒng)一的標(biāo)準(zhǔn)����,只能根據(jù)具體網(wǎng)站進(jìn)行調(diào)整,常規(guī)的做法一般為將WAF設(shè)備放到實(shí)際環(huán)境中�,測(cè)試一段時(shí)間如I到2周,然后人工分析攻擊日志��,找出哪些規(guī)則在用戶網(wǎng)站環(huán)境下是誤報(bào)��,然后人工調(diào)整規(guī)則狀態(tài)�,避免影響用戶的正常使用。
[0005]這種方法�����,缺點(diǎn)非常明顯:人工分析日志,效率很低����,一方面需要投入較多人力進(jìn)行日志分析,另外一方面對(duì)日志分析人員也有一定技能要求�,需要對(duì)攻擊比較熟悉,才能給出正確分析結(jié)果��,所以對(duì)人力和技能要求都比較高�����,整體投入較大����。特征的調(diào)整無(wú)法做到精細(xì)化��,如果出現(xiàn)誤報(bào)����,一般就是打開(kāi)或者關(guān)閉該規(guī)則,某個(gè)規(guī)則可能只是針對(duì)某個(gè)URL和IP地址不適用���,但是其它環(huán)境還是適用的�,直接關(guān)閉某個(gè)規(guī)則可能會(huì)降低防御效果。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的主要目的是提供一種根據(jù)攻擊日志調(diào)整命中特征的方法和裝置�,旨在不降低防御效果的前提下減少誤報(bào)。
[0007]本發(fā)明提出一種根據(jù)攻擊日志調(diào)整命中特征的方法��,包括:
[0008]獲取預(yù)設(shè)的第一時(shí)間間隔內(nèi)同一 IP地址的攻擊日志��,并提取獲取到的攻擊日志中的命中特征和目標(biāo)網(wǎng)址���;
[0009]若提取到的攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同�����,確定獲取到的攻擊日志的數(shù)量���;
[0010]若確定的攻擊日志的數(shù)量大于或等于第一預(yù)設(shè)閾值,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址���。[0011]優(yōu)選地���,提取到的攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同,確定獲取到的攻擊日志的數(shù)量的步驟之后���,還包括:
[0012]若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值大于或等于第二預(yù)設(shè)閾值�����,且在持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí)����,在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址。
[0013]優(yōu)選地�,該方法還包括:
[0014]獲取預(yù)設(shè)的第二時(shí)間間隔內(nèi)同一命中特征的攻擊日志,并提取所述攻擊日志中的IP地址和目標(biāo)網(wǎng)址����;
[0015]若獲取到的攻擊日志的目標(biāo)網(wǎng)址相同,則確定獲取到的攻擊日志中不同IP地址的數(shù)量��;
[0016]若確定的不同IP地址的數(shù)量大于或等于第三預(yù)設(shè)閾值��,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址���。
[0017]優(yōu)選地,所述確定獲取到的攻擊日志中不同IP地址的數(shù)量的步驟之后����,該方法還包括:
[0018]若確定的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值大于或等于第四預(yù)設(shè)閾值�����,且在持續(xù)時(shí)間超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí)�����,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址���。
[0019]優(yōu)選地,所述確定獲取到的攻擊日志的數(shù)量的步驟之后該方法還包括:
[0020]若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第五預(yù)設(shè)閾值��,且所述IP地址為內(nèi)網(wǎng)地址���,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址����。
[0021]本發(fā)明還提出一種根據(jù)攻擊日志調(diào)整命中特征的裝置���,包括:
[0022]獲取模塊����,用于獲取預(yù)設(shè)的第一時(shí)間間隔內(nèi)同一 IP地址的攻擊日志,并提取獲取到的攻擊日志中的命中特征和目標(biāo)網(wǎng)址���;
[0023]確定模塊��,若提取到的目標(biāo)網(wǎng)址相同且命中特征相同��,確定獲取到的攻擊日志的
數(shù)量�����;
[0024]控制模塊����,若確定的攻擊日志的數(shù)量大于或等于第一預(yù)設(shè)閾值�,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址。
[0025]優(yōu)選地��,所述控制模塊還用于若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第二預(yù)設(shè)閾值����,且在持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí),則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址���。
[0026]優(yōu)選地,所述獲取模塊還用于獲取預(yù)設(shè)的第二時(shí)間間隔內(nèi)同一命中特征的攻擊日志��,并提取所述攻擊日志中的IP地址和目標(biāo)網(wǎng)址;所述確定模塊還用于若獲取到的攻擊日志的目標(biāo)網(wǎng)址相同�,則確定獲取到的攻擊日志中不同IP地址的數(shù)量;所述控制模塊還用于若確定的不同IP地址的數(shù)量大于或等于第三預(yù)設(shè)閾值����,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址。
[0027]優(yōu)選地���,所述控制模塊還用于若確定的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值且大于或等于第四預(yù)設(shè)閾值�,且在持續(xù)時(shí)間超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí)����,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址。
[0028]優(yōu)選地����,所述控制模塊還用于若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第五預(yù)設(shè)閾值,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����。
[0029]本發(fā)明提出的根據(jù)攻擊日志調(diào)整命中特征的方法和裝置��,終端在攻擊被保護(hù)的web服務(wù)器時(shí),該終端的IP地址會(huì)在一定時(shí)間范圍內(nèi)命中多條命中特征��,并且每條命中特征所對(duì)應(yīng)的日志數(shù)量較少��;故在第一時(shí)間間隔內(nèi)同一 IP地址的各個(gè)攻擊日志中的命中特征相同以及目標(biāo)網(wǎng)址相同�,且在第一時(shí)間間隔內(nèi)攻擊日志數(shù)量大于或等于第一預(yù)設(shè)閥值時(shí),認(rèn)為該IP地址在瀏覽該目標(biāo)網(wǎng)址時(shí)被誤報(bào)��,則在命中特征中同時(shí)避免該IP地址和目標(biāo)網(wǎng)址����,以使該IP地址的終端在瀏覽該目標(biāo)網(wǎng)址并且與該命中特征匹配時(shí),不會(huì)進(jìn)行攔截�,但其他IP地址的終端在瀏覽該目標(biāo)網(wǎng)址時(shí),若與該命中特征匹配�����,則會(huì)被攔截且生成攻擊日志��,不用直接關(guān)閉某條規(guī)則在不降低防御效果的前提下減少誤報(bào)�����。
【專利附圖】
【附圖說(shuō)明】
[0030]圖1為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第一實(shí)施例的流程示意圖��;
[0031]圖2為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第二實(shí)施例的流程示意圖;
[0032]圖3為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第三實(shí)施例的流程示意圖����;
[0033]圖4為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第四實(shí)施例的流程示意圖�����;
[0034]圖5為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第五實(shí)施例的流程示意圖���;
[0035]圖6為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的裝置較佳實(shí)施例的結(jié)構(gòu)示意圖�。
[0036]本發(fā)明目的的實(shí)現(xiàn)���、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例�,參照附圖做進(jìn)一步說(shuō)明�����。
【具體實(shí)施方式】
[0037]下面結(jié)合附圖及具體實(shí)施例就本發(fā)明的技術(shù)方案做進(jìn)一步的說(shuō)明��。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明��。
[0038]參照?qǐng)D1���,圖1為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第一實(shí)施例的流程示意圖��。
[0039]本實(shí)施例提出一種根據(jù)攻擊日志調(diào)整命中特征的方法���,包括:
[0040]步驟S10,獲取預(yù)設(shè)的第一時(shí)間間隔內(nèi)同一 IP地址的攻擊日志����,并提取獲取到的攻擊日志中的命中特征和目標(biāo)網(wǎng)址;
[0041]攻擊日志中包括IP地址�、命中特征、目標(biāo)網(wǎng)址����、攻擊時(shí)間以及攻擊負(fù)載等信息,在本實(shí)施例中IP地址指源IP地址,可根據(jù)攻擊日志中的攻擊時(shí)間和IP地址獲取第一時(shí)間間隔內(nèi)同一 IP地址的攻擊日志,該第一時(shí)間間隔可由用戶進(jìn)行設(shè)置���,如I天�。在本實(shí)施例中����,指web應(yīng)用防火墻為識(shí)別各種攻擊�,設(shè)置一個(gè)規(guī)則庫(kù)��,保存了各種常見(jiàn)的攻擊代碼特征�����,該攻擊代碼特征即為命中特征�����,若web服務(wù)器接收到的報(bào)文中的代碼與預(yù)存的攻擊代碼特征匹配�,則認(rèn)為該報(bào)文為攻擊報(bào)文����,根據(jù)預(yù)存的攻擊代碼特征與攻擊報(bào)文處理方案的映射關(guān)系對(duì)攻擊報(bào)文進(jìn)行處理,如攔截����。
[0042]步驟S20,若提取到的目標(biāo)網(wǎng)址相同且命中特征相同���,確定獲取到的攻擊日志的數(shù)量;
[0043]步驟S30�����,判斷確定的攻擊日志的數(shù)量是否大于或等于第一預(yù)設(shè)閾值��;
[0044]步驟S40�,若確定的攻擊日志的數(shù)量大于或等于第一預(yù)設(shè)閾值,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址����。[0045]黑客在發(fā)起攻擊時(shí),都有一定的步驟�����,一般的步驟是收集信息����,然后嘗試各種不同的攻擊方式如注入結(jié)構(gòu)化查詢語(yǔ)言以及或插入惡意html代碼,則攻擊終端的IP地址則可在一定的時(shí)間范圍內(nèi)與多個(gè)命中特征匹配����,則在第一時(shí)間間隔內(nèi)每個(gè)命中特征所對(duì)應(yīng)的攻擊日志較少。若第一時(shí)間間隔內(nèi)獲取到的同一 IP地址的各個(gè)攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同�����,并且同一 IP地址的攻擊日志的數(shù)量大于第一預(yù)設(shè)閾值,則認(rèn)為該IP地址對(duì)應(yīng)的攻擊日志中的目標(biāo)網(wǎng)址時(shí)發(fā)送的報(bào)文為誤報(bào),在命中特征中排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址���,則在下一次web服務(wù)器接收到終端發(fā)送的報(bào)文時(shí)���,解析該報(bào)文并將該解析后的報(bào)文與該命中特征匹配,并判斷該解析后的報(bào)文中的目標(biāo)網(wǎng)址以及終端的IP地址是否與命中特征中排除的目標(biāo)網(wǎng)址和IP地址相同�,若相同則不產(chǎn)生攻擊日志且根據(jù)解析后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端,若不同則產(chǎn)生攻擊日志且對(duì)該報(bào)文進(jìn)行攔截或其它處理��。
[0046]本實(shí)施例提出的根據(jù)攻擊日志調(diào)整命中特征的方法���,終端在攻擊被保護(hù)的web服務(wù)器時(shí),該終端的IP地址會(huì)在一定時(shí)間范圍內(nèi)命中多條命中特征�����,并且每條命中特征所對(duì)應(yīng)的日志數(shù)量較少����;故在第一時(shí)間間隔內(nèi)同一 IP地址的各個(gè)攻擊日志中的命中特征相同以及目標(biāo)網(wǎng)址相同,且在第一時(shí)間間隔內(nèi)攻擊日志數(shù)量大于或等于第一預(yù)設(shè)閥值時(shí)�,認(rèn)為該IP地址在瀏覽該目標(biāo)網(wǎng)址時(shí)被誤報(bào),則在命中特征中同時(shí)避免該IP地址和目標(biāo)網(wǎng)址�����,以使該IP地址的終端在瀏覽該目標(biāo)網(wǎng)址并且與該命中特征匹配時(shí),不會(huì)進(jìn)行攔截���,但其他IP地址的終端在瀏覽該目標(biāo)網(wǎng)址時(shí)���,若與該命中特征匹配,則會(huì)被攔截且生成攻擊日志�,不用直接關(guān)閉某條規(guī)則在不降低防御效果的前提下減少誤報(bào)。
[0047]參照?qǐng)D2�,圖2為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第二實(shí)施例的流程示意圖。
[0048]基于第一實(shí)施例提出本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第二實(shí)施例�,在本實(shí)施例中步驟S30之后還包括:
[0049]步驟S50,若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值�����,則判斷確定的攻擊日志的數(shù)量是否大于或等于第二預(yù)設(shè)閾值���,其中所述第二預(yù)設(shè)閾值小于所述第一預(yù)設(shè)閥值���;
[0050]步驟S60,若確定的攻擊日志的數(shù)量大于或等于第二預(yù)設(shè)閾值,且在持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍��,在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����。
[0051]若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值則繼續(xù)判斷確定的攻擊日志的數(shù)量是否大于或等于第二預(yù)設(shè)閾值�����,若確定的攻擊日志的數(shù)量大于或等于第二預(yù)設(shè)閾值�����,則開(kāi)始計(jì)時(shí)直至連續(xù)多個(gè)第一時(shí)間間隔內(nèi)確定的攻擊日志的數(shù)量均大于或等于第二預(yù)設(shè)閥值���,其中持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍,例如第一時(shí)間間隔為I天���、第一預(yù)設(shè)閾值為10個(gè)預(yù)設(shè)整數(shù)倍為3倍即需要持續(xù)的時(shí)間為3天���,則當(dāng)持續(xù)3天每天同一 IP地址所對(duì)應(yīng)的各個(gè)攻擊日志中目標(biāo)網(wǎng)址相同且命中特征相同,且攻擊日志的數(shù)量大于或等于10時(shí)���,則認(rèn)為該IP地址訪問(wèn)攻擊日志中目標(biāo)網(wǎng)址時(shí)所生成的攻擊日志為誤報(bào),在命中特征中排除該IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�,即在下一次web服務(wù)器接收到終端發(fā)送的報(bào)文時(shí),解析該報(bào)文并將該解析后的報(bào)文與該命中特征匹配�����,則判斷解析后的報(bào)文中的訪問(wèn)網(wǎng)址以及終端的IP地址是否與命中特征中排除的訪問(wèn)網(wǎng)址和IP地址相同����,若相同則不產(chǎn)生攻擊日志且根據(jù)該解析后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理��。若確定的攻擊日志的數(shù)量小于第二預(yù)設(shè)閾值����,且在持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍,不做任何處理���。
[0052]參照?qǐng)D3�����,圖3為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第三實(shí)施例的流程示意圖�。
[0053]基于第一實(shí)施例或第二實(shí)施例提出本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第三實(shí)施例�,在本實(shí)施例中該方法還包括:
[0054]步驟S70,獲取預(yù)設(shè)的第二時(shí)間間隔內(nèi)同一命中特征的攻擊日志,并提取所述攻擊日志中的IP地址和目標(biāo)網(wǎng)址�����;
[0055]步驟S80��,若獲取到的攻擊日志的目標(biāo)網(wǎng)址相同���,則確定獲取到的攻擊日志中不同IP地址的數(shù)量�;
[0056]步驟S90���,判斷確定的不同IP地址的數(shù)量是否大于或等于第三預(yù)設(shè)閾值�;
[0057]步驟S100��,若確定的不同IP地址的數(shù)量大于或等于第三預(yù)設(shè)閾值�����,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址���。
[0058]web攻擊和病毒不同,病毒可自行傳播定時(shí)發(fā)作,而基于web網(wǎng)站的攻擊更多是需要人為控制的攻擊行為�����,一個(gè)web網(wǎng)站每天不會(huì)受到多個(gè)IP地址發(fā)起的攻擊,所以真正的web攻擊��,攻擊的IP地址成收斂狀態(tài)��。故,若同一命中特征所對(duì)應(yīng)的攻擊日志目標(biāo)網(wǎng)址相同�,則確定攻擊日志中不同IP地址的數(shù)量,若該不同IP地址的數(shù)量大于第三預(yù)設(shè)閥值時(shí)���,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址�,即web服務(wù)器在接收到終端發(fā)送的報(bào)文時(shí)���,對(duì)接收到的報(bào)文進(jìn)行解碼��,將解碼后的報(bào)文與預(yù)存的命中特征進(jìn)行比對(duì)�,若解碼后的報(bào)文與命中特征匹配��,則確定該命中特征中是否排除目標(biāo)網(wǎng)址�����,若該命中特征中排除目標(biāo)網(wǎng)址��,則判斷解碼后的報(bào)文中的目標(biāo)網(wǎng)址是否與命中特征中排除的網(wǎng)址相同,若相同根據(jù)該解碼后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端����,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理。
[0059]參照?qǐng)D4�����,圖4為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第四實(shí)施例的流程示意圖����。
[0060]基于第三實(shí)施例提出本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第四實(shí)施例,在本實(shí)施例中步驟S90之后還包括:
[0061]步驟S110��,若確定的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值���,則判斷確定的不同IP地址的數(shù)量是否大于或等于第四預(yù)設(shè)閾值�,其中所述第四閾值小于第三閾值���;
[0062]步驟S120��,若確定的不同IP地址的數(shù)量大于或等于第四預(yù)設(shè)閾值,且在持續(xù)時(shí)間超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí)���,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址�����。
[0063]若獲取到的同一命中特征所對(duì)應(yīng)的攻擊日志中的目標(biāo)網(wǎng)址相同���,且多個(gè)攻擊日志終端的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值�,則繼續(xù)判斷多個(gè)攻擊日志中的不同IP地址的數(shù)量是否大于或等于第四預(yù)設(shè)閾值�,若確定的多個(gè)攻擊日志中的不同IP地址的數(shù)量大于或等于第四預(yù)設(shè)閾值,則開(kāi)始計(jì)時(shí)直至預(yù)設(shè)的持續(xù)時(shí)長(zhǎng)確定的多個(gè)攻擊日志中的不同IP地址的數(shù)量均大于或等于第四預(yù)設(shè)閥值��,其中持續(xù)時(shí)長(zhǎng)超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍����,例如第一時(shí)間間隔為I天、第四預(yù)設(shè)閾值為10個(gè)預(yù)設(shè)整數(shù)倍為3倍即需要持續(xù)的時(shí)間為3天�����,則當(dāng)持續(xù)3天每天同一命中特征所對(duì)應(yīng)的攻擊日志中的目標(biāo)網(wǎng)址相同��,且多個(gè)攻擊日志終端的不同IP地址的數(shù)量大于或等于10��,則認(rèn)為該攻擊日志中針對(duì)該目標(biāo)網(wǎng)址的訪問(wèn)所生成的攻擊日志為誤報(bào)��,在命中特征中排除該目標(biāo)網(wǎng)址,即Web服務(wù)器在接收到終端發(fā)送的報(bào)文時(shí)���,對(duì)接收到的報(bào)文進(jìn)行解碼�����,將解碼后的報(bào)文與預(yù)存的命中特征進(jìn)行比對(duì)��,若解碼后的報(bào)文與命中特征匹配�,則確定該命中特征中是否排除目標(biāo)網(wǎng)址��,若該命中特征中排除目標(biāo)網(wǎng)址��,則判斷解碼后的報(bào)文中的目標(biāo)網(wǎng)址是否與命中特征中排除的網(wǎng)址相同��,若相同根據(jù)該報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端��,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理����。若確定的不同IP地址的數(shù)量小于第四預(yù)設(shè)閾值,且在持續(xù)時(shí)間超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍�����,不做任何處理。
[0064]參照?qǐng)D5����,圖5為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第五實(shí)施例的流程示意圖���。
[0065]基于上述任一實(shí)施例提出本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的方法第五實(shí)施例�����,在本實(shí)施例中�,步驟S30之后還包括:
[0066]步驟S130�,若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第五預(yù)設(shè)閾值,且所述IP地址為內(nèi)網(wǎng)地址�,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址。
[0067]基于Web網(wǎng)站的攻擊具有方向性����,一般均為外網(wǎng)向內(nèi)網(wǎng)發(fā)起攻擊,即使是內(nèi)部終端攻擊內(nèi)部Web服務(wù)器��,但內(nèi)部網(wǎng)絡(luò)很容易發(fā)現(xiàn)攻擊源��。故基于Web網(wǎng)站的攻擊�����,攻擊發(fā)起方一般為外網(wǎng)的終端。在針對(duì)同一 IP地址的攻擊日志中�����,若多個(gè)攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同且確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值���,則繼續(xù)判斷確定的攻擊日志的數(shù)量是否大于或等于第五預(yù)設(shè)閾值����,在本實(shí)施例中����,第五預(yù)設(shè)閥值可由用戶根據(jù)網(wǎng)絡(luò)狀況以及運(yùn)行環(huán)境等參數(shù)進(jìn)行設(shè)置,該第五預(yù)設(shè)閥值可與第二實(shí)施例中的第二預(yù)設(shè)閥值相同也可不同����,若確定的攻擊日志的數(shù)量大于或等于第五預(yù)設(shè)閾值,則判斷該IP地址是否為內(nèi)網(wǎng)IP地址���,在判斷IP地址是否為內(nèi)網(wǎng)地址時(shí)��,可在web服務(wù)器中預(yù)存內(nèi)網(wǎng)地址���,將該IP地址與預(yù)存的內(nèi)網(wǎng)地址進(jìn)行匹配�����,若該IP地址與預(yù)存的內(nèi)網(wǎng)地址匹配,則在命中特征中排除該IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�,即在web服務(wù)器接收到終端發(fā)送的報(bào)文時(shí),解析該報(bào)文并將該解析后的報(bào)文與該命中特征匹配�,判斷解析后的報(bào)文中的訪問(wèn)網(wǎng)址以及終端的IP地址是否與命中特征中排除的訪問(wèn)網(wǎng)址和IP地址相同,若相同則不產(chǎn)生攻擊日志且根據(jù)該解碼后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端�����,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理��。
[0068]參照?qǐng)D6��,圖6為本發(fā)明根據(jù)攻擊日志調(diào)整命中特征的裝置較佳實(shí)施例的結(jié)構(gòu)示意圖�。
[0069]本實(shí)施例提出一種根據(jù)攻擊日志調(diào)整命中特征的裝置,包括:
[0070]獲取模塊10�,用于獲取預(yù)設(shè)的第一時(shí)間間隔內(nèi)同一 IP地址的攻擊日志,并提取獲取到的攻擊日志中的命中特征和目標(biāo)網(wǎng)址��;
[0071]確定模塊20,若提取到的目標(biāo)網(wǎng)址相同且命中特征相同��,確定獲取到的攻擊日志的數(shù)量�����;
[0072]控制模塊30��,若獲取到的攻擊日志的數(shù)量大于或等于第一預(yù)設(shè)閾值��,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����。
[0073]攻擊日志中包括IP地址��、命中特征����、目標(biāo)網(wǎng)址、攻擊時(shí)間以及攻擊負(fù)載等信息,在本實(shí)施例中IP地址指源IP地址,可根據(jù)攻擊日志中的攻擊時(shí)間和IP地址獲取第一時(shí)間間隔內(nèi)同一IP地址的攻擊日志���,該第一時(shí)間間隔可由用戶進(jìn)行設(shè)置��,如I天�����。在本實(shí)施例中����,指web應(yīng)用防火墻為識(shí)別各種攻擊,設(shè)置一個(gè)規(guī)則庫(kù)�,保存了各種常見(jiàn)的攻擊代碼特征,該攻擊代碼特征即為命中特征�,若web服務(wù)器接收到的報(bào)文中的代碼與預(yù)存的攻擊代碼特征匹配,則認(rèn)為該報(bào)文為攻擊報(bào)文�,根據(jù)預(yù)存的攻擊代碼特征與攻擊報(bào)文處理方案的映射關(guān)系對(duì)攻擊報(bào)文進(jìn)行處理����,如攔截。
[0074]黑客在發(fā)起攻擊時(shí)�,都有一定的步驟,一般的步驟是收集信息����,然后嘗試各種不同的攻擊方式如注入結(jié)構(gòu)化查詢語(yǔ)言以及或插入惡意html代碼,則攻擊終端的IP地址則可在一定的時(shí)間范圍內(nèi)與多個(gè)命中特征匹配�,則在第一時(shí)間間隔內(nèi)每個(gè)命中特征所對(duì)應(yīng)的攻擊日志較少。若第一時(shí)間間隔內(nèi)獲取到的同一 IP地址的各個(gè)攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同����,并且同一 IP地址的攻擊日志的數(shù)量大于第一預(yù)設(shè)閾值����,則認(rèn)為該IP地址對(duì)應(yīng)的攻擊日志中的目標(biāo)網(wǎng)址時(shí)發(fā)送的報(bào)文為誤報(bào),在命中特征中排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����,則在下一次web服務(wù)器接收到終端發(fā)送的報(bào)文時(shí)���,解析該報(bào)文并將該解析后的報(bào)文與該命中特征匹配��,并判斷該解析后的報(bào)文中的目標(biāo)網(wǎng)址以及終端的IP地址是否與命中特征中排除的目標(biāo)網(wǎng)址和IP地址相同�,若相同則不產(chǎn)生攻擊日志且根據(jù)解析后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端�,若不同則產(chǎn)生攻擊日志且對(duì)該報(bào)文進(jìn)行攔截或其它處理。
[0075]本實(shí)施例提出的根據(jù)攻擊日志調(diào)整命中特征的裝置�����,終端在攻擊被保護(hù)的web服務(wù)器時(shí)���,該終端的IP地址會(huì)在一定時(shí)間范圍內(nèi)命中多條命中特征�,并且每條命中特征所對(duì)應(yīng)的日志數(shù)量較少�����;故在第一時(shí)間間隔內(nèi)同一 IP地址的各個(gè)攻擊日志中的命中特征相同以及目標(biāo)網(wǎng)址相同,且在第一時(shí)間間隔內(nèi)攻擊日志數(shù)量大于或等于第一預(yù)設(shè)閥值時(shí)��,認(rèn)為該IP地址在瀏覽該目標(biāo)網(wǎng)址時(shí)被誤報(bào)���,則在命中特征中同時(shí)避免該IP地址和目標(biāo)網(wǎng)址��,以使該IP地址的終端在瀏覽該目標(biāo)網(wǎng)址并且與該命中特征匹配時(shí)����,不會(huì)進(jìn)行攔截��,但其他IP地址的終端在瀏覽該目標(biāo)網(wǎng)址時(shí)����,若與該命中特征匹配����,則會(huì)被攔截且生成攻擊日志,不用直接關(guān)閉某條規(guī)則在不降低防御效果的前提下減少誤報(bào)�����。
[0076]進(jìn)一步地,所述控制模塊30還用于若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第二預(yù)設(shè)閾值��,且在持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí)�����,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����。
[0077]若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值則繼續(xù)判斷確定的攻擊日志的數(shù)量是否大于或等于第二預(yù)設(shè)閾值���,若確定的攻擊日志的數(shù)量大于或等于第二預(yù)設(shè)閾值�,則開(kāi)始計(jì)時(shí)直至連續(xù)多個(gè)第一時(shí)間間隔內(nèi)確定的攻擊日志的數(shù)量均大于或等于第二預(yù)設(shè)閥值�����,其中持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍�����,例如第一時(shí)間間隔為I天����、第一預(yù)設(shè)閾值為10個(gè)預(yù)設(shè)整數(shù)倍為3倍即需要持續(xù)的時(shí)間為3天�,則當(dāng)持續(xù)3天每天同一 IP地址所對(duì)應(yīng)的各個(gè)攻擊日志中目標(biāo)網(wǎng)址相同且命中特征相同���,且攻擊日志的數(shù)量大于或等于10時(shí)���,則認(rèn)為該IP地址訪問(wèn)攻擊日志中目標(biāo)網(wǎng)址時(shí)所生成的攻擊日志為誤報(bào),在命中特征中排除該IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址,即在下一次web服務(wù)器接收到終端發(fā)送的報(bào)文時(shí)��,解析該報(bào)文并將該解析后的報(bào)文與該命中特征匹配����,則判斷解析后的報(bào)文中的訪問(wèn)網(wǎng)址以及終端的IP地址是否與命中特征中排除的訪問(wèn)網(wǎng)址和IP地址相同,若相同則不產(chǎn)生攻擊日志且根據(jù)該解析后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端�����,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理�����。
[0078]進(jìn)一步地����,所述獲取模塊10還用于獲取預(yù)設(shè)的第二時(shí)間間隔內(nèi)同一命中特征的攻擊日志���,并提取所述攻擊日志中的IP地址和目標(biāo)網(wǎng)址��;所述確定模塊20還用于若獲取到的攻擊日志的目標(biāo)網(wǎng)址相同����,則確定獲取到的攻擊日志中不同IP地址的數(shù)量;所述控制模塊30還用于若確定的不同IP地址的數(shù)量大于或等于第三預(yù)設(shè)閾值��,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址�����。
[0079]web攻擊和病毒不同��,病毒可自行傳播定時(shí)發(fā)作,而基于web網(wǎng)站的攻擊更多是需要人為控制的攻擊行為�,一個(gè)web網(wǎng)站每天不會(huì)受到多個(gè)IP地址發(fā)起的攻擊,所以真正的web攻擊�,攻擊的IP地址成收斂狀態(tài)。故,若同一命中特征所對(duì)應(yīng)的攻擊日志目標(biāo)網(wǎng)址相同���,則確定攻擊日志中不同IP地址的數(shù)量���,若該不同IP地址的數(shù)量大于第三預(yù)設(shè)閥值時(shí),則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址�����,即web服務(wù)器在接收到終端發(fā)送的報(bào)文時(shí),對(duì)接收到的報(bào)文進(jìn)行解碼�����,將解碼后的報(bào)文與預(yù)存的命中特征進(jìn)行比對(duì)��,若解碼后的報(bào)文與命中特征匹配���,則確定該命中特征中是否排除目標(biāo)網(wǎng)址���,若該命中特征中排除目標(biāo)網(wǎng)址,則判斷解碼后的報(bào)文中的目標(biāo)網(wǎng)址是否與命中特征中排除的網(wǎng)址相同�����,若相同根據(jù)該解碼后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端����,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理。
[0080]進(jìn)一步地�����,所述控制模塊30還用于若確定的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值且大于或等于第四預(yù)設(shè)閾值���,且在持續(xù)時(shí)間超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí)���,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址。
[0081 ] 若獲取到的同一命中特征所對(duì)應(yīng)的攻擊日志中的目標(biāo)網(wǎng)址相同��,且多個(gè)攻擊日志終端的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值��,則繼續(xù)判斷多個(gè)攻擊日志中的不同IP地址的數(shù)量是否大于或等于第四預(yù)設(shè)閾值�����,若確定的多個(gè)攻擊日志中的不同IP地址的數(shù)量大于或等于第四預(yù)設(shè)閾值�����,則開(kāi)始計(jì)時(shí)直至預(yù)設(shè)的持續(xù)時(shí)長(zhǎng)確定的多個(gè)攻擊日志中的不同IP地址的數(shù)量均大于或等于第四預(yù)設(shè)閥值�����,其中持續(xù)時(shí)長(zhǎng)超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍����,例如第一時(shí)間間隔為I天���、第四預(yù)設(shè)閾值為10個(gè)預(yù)設(shè)整數(shù)倍為3倍即需要持續(xù)的時(shí)間為3天,則當(dāng)持續(xù)3天每天同一命中特征所對(duì)應(yīng)的攻擊日志中的目標(biāo)網(wǎng)址相同�����,且多個(gè)攻擊日志終端的不同IP地址的數(shù)量大于或等于10��,則認(rèn)為該攻擊日志中針對(duì)該目標(biāo)網(wǎng)址的訪問(wèn)所生成的攻擊日志為誤報(bào)��,在命中特征中排除該目標(biāo)網(wǎng)址�,即web服務(wù)器在接收到終端發(fā)送的報(bào)文時(shí),對(duì)接收到的報(bào)文進(jìn)行解碼���,將解碼后的報(bào)文與預(yù)存的命中特征進(jìn)行比對(duì)�����,若解碼后的報(bào)文與命中特征匹配����,則確定該命中特征中是否排除目標(biāo)網(wǎng)址��,若該命中特征中排除目標(biāo)網(wǎng)址,則判斷解碼后的報(bào)文中的目標(biāo)網(wǎng)址是否與命中特征中排除的網(wǎng)址相同�,若相同根據(jù)該報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理�。
[0082]進(jìn)一步地�����,所述控制模塊30還用于若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第五預(yù)設(shè)閾值�����,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�。
[0083]基于Web網(wǎng)站的攻擊具有方向性,一般均為外網(wǎng)向內(nèi)網(wǎng)發(fā)起攻擊����,即使是內(nèi)部終端攻擊內(nèi)部Web服務(wù)器,但內(nèi)部網(wǎng)絡(luò)很容易發(fā)現(xiàn)攻擊源�。故基于Web網(wǎng)站的攻擊,攻擊發(fā)起方一般為外網(wǎng)的終端�。在針對(duì)同一 IP地址的攻擊日志中,若多個(gè)攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同且確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值,則繼續(xù)判斷確定的攻擊日志的數(shù)量是否大于或等于第五預(yù)設(shè)閾值��,在本實(shí)施例中���,第五預(yù)設(shè)閥值可由用戶根據(jù)網(wǎng)絡(luò)狀況以及運(yùn)行環(huán)境等參數(shù)進(jìn)行設(shè)置�,該第五預(yù)設(shè)閥值可與第二實(shí)施例中的第二預(yù)設(shè)閥值相同也可不同,若確定的攻擊日志的數(shù)量是否大于或等于第五預(yù)設(shè)閾值��,則判斷該IP地址是否為內(nèi)網(wǎng)IP地址���,在判斷IP地址是否為內(nèi)網(wǎng)地址時(shí)�,可在web服務(wù)器中預(yù)存內(nèi)網(wǎng)地址���,將該IP地址與預(yù)存的內(nèi)網(wǎng)地址進(jìn)行匹配���,若該IP地址與預(yù)存的內(nèi)網(wǎng)地址匹配,則在命中特征中排除該IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址���,即在web服務(wù)器接收到終端發(fā)送的報(bào)文時(shí)�����,解析該報(bào)文并將該解析后的報(bào)文與該命中特征匹配�����,判斷解析后的報(bào)文中的訪問(wèn)網(wǎng)址以及終端的IP地址是否與命中特征中排除的訪問(wèn)網(wǎng)址和IP地址相同�,若相同則不產(chǎn)生攻擊日志且根據(jù)該解碼后的報(bào)文進(jìn)行相應(yīng)的處理如發(fā)送網(wǎng)頁(yè)界面至該終端,若不同則產(chǎn)生攻擊日志且不響應(yīng)該報(bào)文或進(jìn)行其它處理�����。
[0084]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例���,并非因此限制本發(fā)明的專利范圍��,凡是利用本發(fā)明說(shuō)明書及附圖內(nèi)容所作的等效結(jié)構(gòu)變換,或直接或間接運(yùn)用在其他相關(guān)的【技術(shù)領(lǐng)域】�����,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)�����。
【權(quán)利要求】
1.一種根據(jù)攻擊日志調(diào)整命中特征的方法���,其特征在于�,包括: 獲取預(yù)設(shè)的第一時(shí)間間隔內(nèi)同一 IP地址的攻擊日志���,并提取獲取到的攻擊日志中的命中特征和目標(biāo)網(wǎng)址����; 若提取到的攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同,確定獲取到的攻擊日志的數(shù) 量; 若確定的攻擊日志的數(shù)量大于或等于第一預(yù)設(shè)閾值�����,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,若提取到的攻擊日志中的目標(biāo)網(wǎng)址相同且命中特征相同���,確定獲取到的攻擊日志的數(shù)量的步驟之后,還包括: 若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值大于或等于第二預(yù)設(shè)閾值����,且在持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí),在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于,該方法還包括: 獲取預(yù)設(shè)的第二時(shí)間間隔內(nèi)同一命中特征的攻擊日志�����,并提取所述攻擊日志中的IP地址和目標(biāo)網(wǎng)址�����; 若獲取到的攻擊日志的目標(biāo)網(wǎng)址相同�����,則確定獲取到的攻擊日志中不同IP地址的數(shù)量; 若確定的不同IP地址的數(shù)量大于或等于第三預(yù)設(shè)閾值��,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址��。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于����,所述確定獲取到的攻擊日志中不同IP地址的數(shù)量的步驟之后�����,該方法還包括: 若確定的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值大于或等于第四預(yù)設(shè)閾值,且在持續(xù)時(shí)間超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí)��,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址�����。
5.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述確定獲取到的攻擊日志的數(shù)量的步驟之后該方法還包括: 若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第五預(yù)設(shè)閾值��,且所述IP地址為內(nèi)網(wǎng)地址�,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址��。
6.一種根據(jù)攻擊日志調(diào)整命中特征的裝置�����,其特征在于����,包括: 獲取模塊�����,用于獲取預(yù)設(shè)的第一時(shí)間間隔內(nèi)同一 IP地址的攻擊日志���,并提取獲取到的攻擊日志中的命中特征和目標(biāo)網(wǎng)址; 確定模塊���,若提取到的目標(biāo)網(wǎng)址相同且命中特征相同���,確定獲取到的攻擊日志的數(shù)量; 控制模塊,若確定的攻擊日志的數(shù)量大于或等于第一預(yù)設(shè)閾值���,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于����,所述控制模塊還用于若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第二預(yù)設(shè)閾值,且在持續(xù)時(shí)間超出第一時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí),則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址��。
8.根據(jù)權(quán)利要求6所述的裝置����,其特征在于,所述獲取模塊還用于獲取預(yù)設(shè)的第二時(shí)間間隔內(nèi)同一命中特征的攻擊日志�����,并提取所述攻擊日志中的IP地址和目標(biāo)網(wǎng)址�����;所述確定模塊還用于若獲取到的攻擊日志的目標(biāo)網(wǎng)址相同�,則確定獲取到的攻擊日志中不同IP地址的數(shù)量;所述控制模塊還用于若確定的不同IP地址的數(shù)量大于或等于第三預(yù)設(shè)閾值�,則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址。
9.根據(jù)權(quán)利要求8所述的裝置�,其特征在于,所述控制模塊還用于若確定的不同IP地址的數(shù)量小于第三預(yù)設(shè)閾值且大于或等于第四預(yù)設(shè)閾值�,且在持續(xù)時(shí)間超出第二時(shí)間間隔的預(yù)設(shè)整數(shù)倍時(shí),則在所述命中特征中排除獲取到的攻擊日志中的目標(biāo)網(wǎng)址���。
10.根據(jù)權(quán)利要求6所述的裝置��,其特征在于���,所述控制模塊還用于若確定的攻擊日志的數(shù)量小于第一預(yù)設(shè)閾值且大于或等于第五預(yù)設(shè)閾值����,則在所述命中特征中同時(shí)排除所述IP地址以及對(duì)應(yīng)的目標(biāo)網(wǎng)址�����。
【文檔編號(hào)】H04L29/06GK103581180SQ201310516168
【公開(kāi)日】2014年2月12日 申請(qǐng)日期:2013年10月28日 優(yōu)先權(quán)日:2013年10月28日
【發(fā)明者】周欣 申請(qǐng)人:深信服網(wǎng)絡(luò)科技(深圳)有限公司