(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111510920.4 (22)申请日 2021.12.10 (71)申请人 苏州浪潮智能科技有限公司 地址 215100 江苏省苏州市吴中经济开发 区郭巷街道官浦路1号9幢 (72)发明人 王柏森　纪柏雄　卢彦呈　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 代理人 侯绪军 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于系统日志建构防御攻击的方法、 装置、 设备、 介质 (57)摘要 本发明属于网络安全技术领域， 具体提供一 种基于系统日志建构防御攻击的方法、 装置、 设 备、 介质， 所述方法包括如下步骤： 接收导入的流 量封包； 将接收到的流量封包进行分析； 将流量 封包的信息与系统日志进行分析比较， 确定封包 是否是攻击封包； 若是， 阻断发送攻击封包的IP 拦截攻击封包； 若否， 限制流量控制封包进入的 速度； 同时， 收集数据以及IP并发送到管理端。 根 据封包的内容去做分析， 将封包分析以判断是否 需要屏蔽攻击或是降低流量， 改善了因大量封包 流入或遭受攻击时， 导致的网络断线或是被入侵 的状态。 权利要求书2页 说明书8页 附图2页 CN 114374537 A 2022.04.19 CN 114374537 A 1.一种基于系统日志建构防御攻击的方法， 其特 征在于， 包括如下步骤： 接收导入的流 量封包； 将接收到的流 量封包进行分析； 将流量封包的信息与系统日志进行分析比较， 确定 封包是否是攻击 封包； 若是， 阻断发送攻击 封包的IP拦截攻击 封包； 若否， 限制流 量控制封包进入的速度； 同时， 收集数据以及IP并发送到管理端。 2.根据权利要求1所述的基于系统日志建构防御攻击的方法， 其特征在于， 将接收到的 流量封包进行分析的步骤 包括： 对接收到的流量封包进行分析获取流量封包 的通讯协议、 源IP、 源端 口号、 目标IP、 目 标端口号。 3.根据权利要求2所述的基于系统日志建构防御攻击的方法， 其特征在于， 将分析后的 信息与系统日志进行比较， 确定 封包是否是攻击 封包的步骤 包括： 分析系统日志获取封包记录在两个IP之间传输用量统计； 查找封包记录在两个IP之间传输用量大于设定的流量阈值的源IP， 判定该IP为可疑 IP； 根据查找的可疑IP将系统日志过 滤找到特定IP的数据； 将获取的流量封包的数据与特定IP数据进行数据累加与分析， 判断封包是否为攻击封 包。 4.根据权利要求3所述的基于系统日志建构防御攻击的方法， 其特征在于， 根据查找的 可疑IP将系统日志过 滤找到特定IP的数据的步骤 包括： 统计系统日志中所有可疑IP在各统计周期内接收到的网络流 量值； 筛选单个周期内接收到的流量超过第一 阈值的IP生成IP集合， 记录并存储IP对应的流 量值； 对IP集合中的每个IP， 读取其历史流量值， 若有IP的历史流量值不存在或者IP的历史 流量值小于其当前流 量值的N倍， 则判定该IP为特定IP。 5.根据权利要求4所述的基于系统日志建构防御攻击的方法， 其特征在于， 限制流量控 制封包进入的速度的步骤 包括： 获取封包 源IP和源端口号； 设置该端口IP的网络 速度低于第一阈值。 6.根据权利要求5所述的基于系统日志建构防御攻击的方法， 其特征在于， 阻断发送攻 击封包的IP拦截攻击 封包的IP的步骤 包括： 对攻击封包进行拆包和分析,通过传输跳变的方式， 改写攻击封包的攻击目标IP为空 闲IP， 并将空闲IP分配到 设定主机， 等待设定主机响应后将返回的包重新封包， 将源IP改写 为原攻击请求的目标IP。 7.一种基于系统日志建构防御攻击的装置， 其特征在于， 包括接收模块、 分析模块、 处 理判断模块、 阻断模块、 流 量限制模块、 收集发送模块； 接收模块， 用于 接收导入的流 量封包； 分析模块， 用于将接收到的流 量封包进行分析；权　利　要　求　书 1/2 页 2 CN 114374537 A 2处理判断模块， 用于将流量封包的信息与系统日志进行分析比较， 确定封包是否是攻 击封包； 阻断模块， 用于阻断发送攻击 封包的IP拦截攻击 封包； 流量限制模块， 用于限制流 量控制封包进入的速度； 收集发送模块， 用于收集数据以及IP并发送到管理端。 8.根据权利要求7所述的基于系统日志建构防御攻击的装置， 其特征在于， 处理判断模 块包括分析获取 单元、 查找单 元、 过滤处理单元、 判断处 理单元； 分析获取 单元， 用于分析系统日志获取封包记录在两个IP之间传输用量统计； 查找单元， 用于查找封包记录在两个IP之间传输用量大于设定的流量阈值的源IP， 判 定该IP为可疑IP； 过滤处理单元， 用于根据查找的可疑IP将系统日志过 滤找到特定IP的数据； 判断处理单元， 用于将获取的流量封包的数据与特定IP数据进行数据累加与分析， 判 断封包是否为 攻击封包。 9.一种计算机设备， 其特征在于， 包括处理器和存储器， 所述处理器和所述存储器通过 总线完成相互间的通信； 所述存储器存储有可被所述处理器执行 的程序指令， 所述处理器 调用所述程序指令能够执行如权利要求1至6任一项权利要求所述的基于系统日志建构防 御攻击的方法。 10.一种非暂态计算机可读存储介质， 其特征在于， 所述非暂态计算机可读存储介质存 储计算机指令， 所述计算机指 令使所述计算机执行如权利要求1至6任一项权利要求所述的 基于系统日志建构防御攻击的方法。权　利　要　求　书 2/2 页 3 CN 114374537 A 3