[发明专利]一种网络所受攻击的报警方法及装置

说明书

技术领域

本发明涉及计算机网络安全技术领域，特别是涉及一种网络所受攻击的报警方法及装置。

背景技术

网页Web入侵检测系统作为网络安全防护的重要手段，其通常部署在Web服务器上或者旁路上，并能够对Web访问的实时流量进行监控分析，及时发现针对Web的攻击行为，能够有效解决Web所面临的安全问题。

如果该系统发现了攻击行为，应该在第一时间内予以响应。常见响应的方式包括报警、断网、策略处理等。目前报警方式作为一种常见的响应手段，系统可以通过对Web的攻击行为进行报警，及时将攻击行为所对应的威胁告知给管理员，管理员通过对报警的报警信息进行处理，进一步处理该威胁，该报警的方法的主要步骤包括：

获取当前报警的报警信息；

判断当前报警的报警信息中的威胁信息是否为预先划分好的高危告警，该预先划分好的高危告警通过预先划分报警的报警信息中的威胁信息得到的，预先划分报警的报警信息中的威胁信息包括：高危告警和一般告警；

如果当前报警的报警信息中的威胁信息为高危告警，则直接告警；如果当前报警的报警信息中的威胁信息不是高危告警，则推迟预设时间长度后进行告警，该预设时间长度可以为1小时。

然而，发明人在实现本发明的过程中，发现现有技术至少存在如下问题：

由于报警信息中威胁信息的划分方式简单，系统出现大量高危报警，且相同的高危报警威胁消息会进行重复告警，增大了消息的冗余度，管理员无法从大量高危报警信息提取告警的有效信息；或者在预设时间长度以后，系统出现大量一般告警，且相同的一般报警威胁消息会进行重复告警，增大了消息的冗余度，管理员也无法从一般告警提取告警的有效信息，总之，系统出现大量的报警信息，管理员从报警信息中的威胁信息提取报警信息难度大。

发明内容

本发明实施例的目的在于提供一种网络所受攻击的报警方法及装置，以实现减少报警信息的冗余度，减小系统的报警信息，方便管理员提取报警信息。具体技术方案如下：

第一方面，本发明实施例提供了一种网络所受攻击的报警方法，包括：

获取对网络所受攻击需要进行报警的待报警信息，其中，该待报警信息包括：所述网络所受攻击的攻击特征；

基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度，确定所述待报警信息与所述已报警信息之间的相似度；

当所述待报警信息与所述已报警信息之间的相似度不满足预设相似条件时，使用所述待报警信息报警。

可选的，该待报警信息包括：所述网络所受攻击的多种攻击特征；

所述基于所述待报警信息的攻击特征与已报警信息的攻击特征之间的相似度，确定所述待报警信息与所述已报警信息之间的相似度，包括：

针对所述待报警信息中的多种攻击特征中的每种攻击特征，计算该攻击特征与对应的已报警信息的攻击特征之间的相似度；

基于所述待报警信息中的所有攻击特征各自，与对应的所述已报警信息的攻击特征之间的相似度，计算所述待报警信息与所述已报警信息之间的相似度。

可选的，所述计算该攻击特征与对应的已报警信息的攻击特征之间的相似度，包括：

分别计算该攻击特征与对应的已报警信息的攻击特征之间的相似度；

根据该攻击特征对应的预设运算方式，针对该攻击特征与对应的已报警信息的攻击特征之间的相似度进行运算，得到该攻击特征与对应的已报警信息的攻击特征之间的相似度。

可选的，所述基于所述待报警信息中的所有攻击特征各自，与对应的所述已报警信息的攻击特征之间的相似度，计算所述待报警信息与所述已报警信息之间的相似度，包括：

获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重，其中，所述每个攻击特征对应的权重之和为100％；

将所述待报警信息中的多种攻击特征中的每个攻击特征与对应的所述已报警信息的攻击特征之间的相似度，与对应于每个攻击特征的权重作加权，得到加权结果；

将所述加权结果作为所述待报警信息与所述已报警信息之间的相似度。

可选的，所述待报警信息中的多种攻击特征包括：攻击时间、攻击的流量源IP地址、攻击的流量目的IP地址及攻击类型；

获取所述待报警信息中的多种攻击特征中的每个攻击特征对应的权重，包括：

获取所述预设时间段内，统计的所有报警信息的信息，所有报警信息的信息包括所有报警信息的消息总数及每一种攻击特征对应的报警信息总数；