【技術實現步驟摘要】
本專利技術涉及大數據告警信息,具體涉及一種檢測低頻持續異常網絡攻擊行為的方法。
技術介紹
1、大數據(big?data),或稱巨量資料,指的是所涉及的資料量規模巨大到無法透過主流軟件工具,在合理時間內達到擷取、管理、處理、并整理成為幫助企業經營決策更積極目的的資訊。大數據分為數據采集和數據分析兩個方面。告警通知是當系統檢測到異常或達到預設條件時自動發送的警示信息,通常分為郵件告警、短信告警、電話告警等幾類,主要用于在發生特定事件或狀態變化時提醒用戶。
2、儀電儀表數據需要保障網絡安全和系統安全,對于長時間快節奏接收到的告警數據需要進行有效篩選,然而,對于系統的低頻持續攻擊,暫時還沒有高效的檢測方法。
技術實現思路
1、本專利技術的目的在于,針對上述現有技術的不足,提供一種檢測低頻持續異常網絡攻擊行為的方法,以解決系統低頻持續攻擊的檢測問題。
2、為實現上述目的,本專利技術采用的技術方案如下:
3、本專利技術提供了一種檢測低頻持續異常網絡攻擊行為的方法,該方法包括:
4、將網絡攻擊中不同來源的告警進行分析,以每n天為周期,近n天內,同一攻擊者ip告警數大于或等于第一預設數目時,查看該ip所有告警的時間間隔,若有第二預設數目個時間間隔相同,則觸發告警,n為7或者30,第一預設數目為大于或等于10的自然數,第二預設數目為大于或等于4的自然數;
5、提取采集數據中的攻擊者ip和受害者ip,分別校驗n天內同一受害者ip的告警數據的條
6、將收集到的數據通過篩選組件filter篩選,提取出符合預設條件的告警數據,并將其合并,再和數據庫中已有數據進行比較,最后得出的數據在序列化后存入elasticsearch中。
7、可選地,第一預設數目為10。
8、可選地,第二預設數目為4。
9、可選地,第三預設數目為5。
10、可選地,在查看告警的時間間隔時,時間間隔的容差為5分鐘。
11、可選地,在尋找相同的時間間隔時,采用貪心算法來實現。
12、本專利技術的有益效果包括:
13、本專利技術提供的檢測低頻持續異常網絡攻擊行為的方法包括:將網絡攻擊中不同來源的告警進行分析,以每n天為周期,近n天內,同一攻擊者ip告警數大于或等于第一預設數目時,查看該ip所有告警的時間間隔,若有第二預設數目個時間間隔相同,則觸發告警,n為7或者30,第一預設數目為大于或等于10的自然數,第二預設數目為大于或等于4的自然數;提取采集數據中的攻擊者ip和受害者ip,分別校驗n天內同一受害者ip的告警數據的條數是否超過第一預設數目以及同一攻擊者ip的告警數據的條數是否超過第一預設數目,如果超過第一預設數目,則進行檢測,檢測時提取查詢出的多條告警數據中的生成告警時間,按照從小到大順序,計算每兩個時間戳的差值作為可能的標準出現差值,統計相同的標準出現差值出現的次數,當統計到的次數達到第三預設數目時,通過篩選生成告警,第三預設數目為大于或等于5的自然數;將收集到的數據通過篩選組件filter篩選,提取出符合預設條件的告警數據,并將其合并,再和數據庫中已有數據進行比較,最后得出的數據在序列化后存入elasticsearch中。本專利技術能以較高的速度和較高的效率快速篩選出低頻攻擊信息,對網絡安全和系統安全的保障起到了巨大的作用,同時節約時間和節約成本,為企業的發展做出貢獻。
本文檔來自技高網...【技術保護點】
1.一種檢測低頻持續異常網絡攻擊行為的方法,其特征在于,所述方法包括:
2.根據權利要求1所述的檢測低頻持續異常網絡攻擊行為的方法,其特征在于,所述第一預設數目為10。
3.根據權利要求2所述的檢測低頻持續異常網絡攻擊行為的方法,其特征在于,所述第二預設數目為4。
4.根據權利要求3所述的檢測低頻持續異常網絡攻擊行為的方法,其特征在于,所述第三預設數目為5。
5.根據權利要求1所述的檢測低頻持續異常網絡攻擊行為的方法,其特征在于,在查看告警的時間間隔時,時間間隔的容差為5分鐘。
6.根據權利要求1所述的檢測低頻持續異常網絡攻擊行為的方法,其特征在于,在尋找相同的時間間隔時,采用貪心算法來實現。
【技術特征摘要】
1.一種檢測低頻持續異常網絡攻擊行為的方法,其特征在于,所述方法包括:
2.根據權利要求1所述的檢測低頻持續異常網絡攻擊行為的方法,其特征在于,所述第一預設數目為10。
3.根據權利要求2所述的檢測低頻持續異常網絡攻擊行為的方法,其特征在于,所述第二預設數目為4。
4.根據權利要求3所述的檢測...
【專利技術屬性】
技術研發人員:馬弓博,
申請(專利權)人:上海工業自動化儀表研究院有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。