一种报警关联方法及装置与流程

技术特征：

1.一种报警关联方法，其特征在于，包括：

根据应用防火墙WAF报警日志，得到攻击行为信息；

根据所述攻击行为信息，获取攻击者的攻击模式信息，所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息；

根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理。

2.根据权利要求1所述的报警关联方法，其特征在于，所述根据应用防火墙WAF报警日志，得到攻击行为信息，包括：

从所述WAF报警日志中提取出至少一个攻击行为，每个所述攻击行为包括：被攻击者的域名信息、攻击时间信息、攻击类型信息及攻击者的IP信息；

根据每个所述攻击者的IP信息，分配一用于标识攻击者身份的标识信息，其中，不同的IP对应于不同的标识信息；

将包括所述攻击行为及用于标识所述攻击行为中攻击者身份的标识信息的信息组合，作为所述攻击行为信息。

3.根据权利要求2所述的报警关联方法，其特征在于，所述根据所述攻击行为信息，获取攻击者的攻击模式信息，包括：

根据所述攻击行为信息，将具有相同域名信息和相同标识信息、且攻击时间的差值小于第一预设阈值的攻击行为划分为同一个攻击过程；

获取每个攻击过程中的攻击类型信息；

将每个攻击过程对应的域名信息、标识信息及攻击类型信息作为所述标识信息所标识攻击者的攻击模式信息。

4.根据权利要求3所述的报警关联方法，其特征在于，所述获取每个攻击过程中的攻击类型信息，包括：

根据攻击时间信息，对每个攻击过程中的各个攻击行为所对应的攻击类型信息进行排序处理，得到每个攻击过程中的攻击类型序列信息；

将每个攻击过程的攻击类型序列信息中相邻且相同的两个攻击类型信息进行合并处理，并将合并后的攻击类型序列信息，作为该攻击过程中的攻击类型 信息。

5.根据权利要求4所述的报警关联方法，其特征在于，所述根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理，包括：

获取不同的攻击者的攻击模式信息之间的相似度；

若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息。

6.根据权利要求5所述的报警关联方法，其特征在于，所述获取不同的攻击者的攻击模式信息之间的相似度，包括：

分别获取两个不同的攻击者的攻击类型序列信息S_a和S_b；

通过如下公式获取S_a和S_b的最长公共子序列的长度m_a,b：

$f\left(i,j\right)=\left\{\begin{array}{ccc}0& if& i=0orj=0\\ f\left(i-1,j-1\right)+1& if& i,j\>0and{\mathrm{Type}}_{a,i}={\mathrm{Type}}_{b,j}\\ \max \left\{f\left(i-1,j\right),f\left(i,j-1\right)\right\}& if& i,j\>0and{\mathrm{Type}}_{a,i}\≠{\mathrm{Type}}_{b,j}\end{array}\right.;$

m_a,b＝f(n_a,n_b)；

其中，Type_a,i表示S_a中的第i个攻击类型，Type_b,j表示S_b中的第j个攻击类型，n_a表示S_a的长度，n_b表示S_b的长度；

根据所述最长公共子序列的长度m_a,b是否满足预设条件，判断所述两个不同的攻击者的攻击模式信息是否相似，所述预设条件为$\left\{\begin{array}{c}{m}_{a,b}\>n_a/2\\ m_{a,b}\>n_b/2\end{array}\right.;$

若相似，则通过公式计算所述两个不同的攻击者的攻击模式信息之间的相似度。

7.根据权利要求5所述的报警关联方法，其特征在于，在所述若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息之后，所述报警关联方法还包括：

判断根据WAF报警日志得到的攻击行为信息中，是否存在所述两个不同的攻击者的攻击行为信息；

若存在，则将所述两个不同的攻击者的攻击行为信息中的标识信息修改为重新分配的标识信息。

8.一种报警关联装置，其特征在于，包括：

第一获取模块，用于根据应用防火墙WAF报警日志，得到攻击行为信息；

第二获取模块，用于根据所述攻击行为信息，获取攻击者的攻击模式信息，所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息；

关联模块，用于根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理。

9.根据权利要求8所述的报警关联装置，其特征在于，所述第一获取模块包括：

提取子模块，用于从所述WAF报警日志中提取出至少一个攻击行为，每个所述攻击行为包括：被攻击者的域名信息、攻击时间信息、攻击类型信息及攻击者的IP信息；

分配子模块，用于根据每个所述攻击者的IP信息，分配一用于标识攻击者身份的标识信息，其中，不同的IP对应于不同的标识信息；

第一确定子模块，用于将包括所述攻击行为及用于标识所述攻击行为中攻击者身份的标识信息的信息组合，作为所述攻击行为信息。

10.根据权利要求9所述的报警关联装置，其特征在于，所述第二获取模块包括：

划分子模块，用于根据所述攻击行为信息，将具有相同域名信息和相同标识信息、且攻击时间的差值小于第一预设阈值的攻击行为划分为同一个攻击过程；

第一获取子模块，用于获取每个攻击过程中的攻击类型信息；

第二确定子模块，用于将每个攻击过程对应的域名信息、标识信息及攻击类型信息作为所述标识信息所标识攻击者的攻击模式信息。

11.根据权利要求10所述的报警关联装置，其特征在于，所述第一获取子模块包括：

第一获取单元，用于根据攻击时间信息，对每个攻击过程中的各个攻击行为所对应的攻击类型信息进行排序处理，得到每个攻击过程中的攻击类型序列信息；

第二获取单元，用于将每个攻击过程的攻击类型序列信息中相邻且相同的 两个攻击类型信息进行合并处理，并将合并后的攻击类型序列信息，作为该攻击过程中的攻击类型信息。

12.根据权利要求11所述的报警关联装置，其特征在于，所述关联模块包括：

第二获取子模块，用于获取不同的攻击者的攻击模式信息之间的相似度；

分配子模块，用于若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息。

13.根据权利要求12所述的报警关联装置，其特征在于，所述第二获取子模块包括：

第三获取单元，用于分别获取两个不同的攻击者的攻击类型序列信息S_a和S_b；

第一计算单元，用于通过如下公式获取S_a和S_b的最长公共子序列的长度m_a,b：

$f\left(i,j\right)=\left\{\begin{array}{ccc}0& if& i=0orj=0\\ f\left(i-1,j-1\right)+1& if& i,j\>0and{\mathrm{Type}}_{a,i}={\mathrm{Type}}_{b,j}\\ \max \left\{f\left(i-1,j\right),f\left(i,j-1\right)\right\}& if& i,j\>0and{\mathrm{Type}}_{a,i}\≠{\mathrm{Type}}_{b,j}\end{array}\right.;$

m_a,b＝f(n_a,n_b)；

其中，Type_a,i表示S_a中的第i个攻击类型，Type_b,j表示S_b中的第j个攻击类型，n_a表示S_a的长度，n_b表示S_b的长度；

判断单元，用于根据所述最长公共子序列的长度m_a,b是否满足预设条件，判断所述两个不同的攻击者的攻击模式信息是否相似，所述预设条件为$\left\{\begin{array}{c}{m}_{a,b}\>n_a/2\\ m_{a,b}\>n_b/2\end{array}\right.;$

第二计算单元，用于若相似，则通过公式计算所述两个不同的攻击者的攻击模式信息之间的相似度。

14.根据权利要求12所述的报警关联装置，其特征在于，还包括：

判断模块，用于在所述若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息之后，判断根据WAF报警日志得到的攻击行为信息中，是否存在所述两个不同的攻击 者的攻击行为信息；

重新分配模块，用于若根据WAF报警日志得到的攻击行为信息中存在所述两个不同的攻击者的攻击行为信息，则将所述两个不同的攻击者的攻击行为信息中的标识信息修改为重新分配的标识信息。