发明名称 |
根据攻击日志调整命中特征的方法和装置 |
摘要 |
本发明涉及一种根据攻击日志调整命中特征的方法和装置,终端攻击被保护的web服务器时,终端的IP地址会在一定时间范围内命中多条命中特征,且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址且与该命中特征匹配时,不进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则,在不降低防御效果的前提下减少误报。 |
申请公布号 |
CN103581180B |
申请公布日期 |
2017.01.11 |
申请号 |
CN201310516168.3 |
申请日期 |
2013.10.28 |
申请人 |
深信服网络科技(深圳)有限公司 |
发明人 |
周欣 |
分类号 |
H04L29/06(2006.01)I;G06F21/55(2013.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
深圳市世纪恒程知识产权代理事务所 44287 |
代理人 |
胡海国 |
主权项 |
一种根据攻击日志调整命中特征的方法,其特征在于,包括:获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址,其中,在接收到的报文与命中特征匹配,且接收到的报文的IP地址以及对应的目标网址与匹配的命中特征中的排除IP地址以及目标网址不同时,生成攻击日志。 |
地址 |
518000 广东省深圳市南山区麒麟路1号南山科技创业服务中心418、419 |