| 发明名称 | 根据攻击日志调整命中特征的方法和装置 | ||
| 摘要 | 本发明涉及一种根据攻击日志调整命中特征的方法和装置,终端攻击被保护的web服务器时,终端的IP地址会在一定时间范围内命中多条命中特征,且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址且与该命中特征匹配时,不进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则,在不降低防御效果的前提下减少误报。 | ||
| 申请公布号 | CN103581180B | 申请公布日期 | 2017.01.11 |
| 申请号 | CN201310516168.3 | 申请日期 | 2013.10.28 |
| 申请人 | 深信服网络科技(深圳)有限公司 | 发明人 | 周欣 |
| 分类号 | H04L29/06(2006.01)I;G06F21/55(2013.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 深圳市世纪恒程知识产权代理事务所 44287 | 代理人 | 胡海国 |
| 主权项 | 一种根据攻击日志调整命中特征的方法,其特征在于,包括:获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址,其中,在接收到的报文与命中特征匹配,且接收到的报文的IP地址以及对应的目标网址与匹配的命中特征中的排除IP地址以及目标网址不同时,生成攻击日志。 | ||
| 地址 | 518000 广东省深圳市南山区麒麟路1号南山科技创业服务中心418、419 | ||