(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111457582.2 (22)申请日 2021.12.02 (71)申请人 中盈优创资 讯科技有限公司 地址 200000 上海市嘉定区安亭镇杭桂 路 1112号10层10 04室-4 (72)发明人 张琳琳　 (74)专利代理 机构 上海嘉蓝专利代理事务所 (普通合伙) 31407 代理人 金波 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/069(2022.01) (54)发明名称 一种基于网络设备日志实现自动压制和防 护的方法及装置 (57)摘要 本发明公开一种基于网络设备日志实现自 动压制和防护的方法及装置， 其中， 该方法包括： 通过配置各资源池的前置机服务器分别采集网 络设备日志信息， 并进行分类和预处理； 安全防 护管理系统接收到预处理后的告警和流量信息 进行分析和入库， 并实时动态呈现； 安全防护管 理系统根据获取的IP告警和流量信息、 IP防护级 别、 告警通知阈值和自动压制阈值， 执行自动压 制逻辑， 判断目前是否存在实时压制任务， 压制 是否处于等待期或观察期， 进而实施或调整相应 防护策略并下 发。 该方法及装置根据自身业务特 征和需求， 灵活配置资源池IP防护策略， 降低运 维管理人员的工作难度； 根据网络设备日志中的 流量值动态调整相应压制或防护规则， 提高网络 安全防护效率。 权利要求书3页 说明书9页 附图2页 CN 114244584 A 2022.03.25 CN 114244584 A 1.一种基于网络设备日志实现自动压制和防护的方法， 其特 征在于， 该 方法包括： 通过配置各资源池的前置机服务器分别采集网络设备日志信息， 并进行分类和预处 理； 安全防护管理系统接收到预处理后的告警和流量信 息进行分析和入库， 并实时动态呈 现； 安全防护管理系统根据获取的资源池IP告警和流量信息、 资源池IP的防护级别、 资源 池告警通知阈值和资源池自动压制阈值， 执行自动压制 逻辑， 判断目前是否存在实时的压 制任务， 压制是否处于等待期或观察期， 进 而实施或调整相应的防护策略并下发。 2.根据权利要求1所述的基于网络设备 日志实现自动压制和防护的方法， 其特征在于， 通过配置各资源池的前置机服务器分别采集网络设备日志信息， 并进行分类和预处理， 包 括： 通过配置各资源池的前置机服务器分别采集网络设备 日志， 并将采集到的网络设备 日 志信息分为告警日志信息和流量日志信息， 通过分析告警日志信息中的告警开始和结束时 间， 将告警日志信息分为实时告警日志信息和历史告警日志信息， 将流量日志信息和实时 告警日志信息通过资源 池IP进行匹配； 将采集到的网络设备 日志信息中无用的字段信 息进行删减， 将低于流量基础阈值的日 志进行丢弃。 3.根据权利要求1所述的基于网络设备 日志实现自动压制和防护的方法， 其特征在于， 安全防护管理系统接 收到预处理后的告警和流量信息进行分析和入库， 并实时动态呈现， 包括： 安全防护管理系统接收到预处理后的告警和流量信息， 通过与预配置的资源池IP各类 信息进行匹配， 判断告警IP的防护级别， 并将告警和流 量信息入库， 并展示在前端页面。 4.根据权利要求1所述的基于网络设备 日志实现自动压制和防护的方法， 其特征在于， 安全防护管理系统根据获取的资源池IP告警和流量信息、 资源池IP的防护级别、 资源池告 警通知阈值和资源池自动压制阈值， 执行自动压制 逻辑， 判断目前是否存在实时的压制任 务， 压制是否处于等待期或观察期， 进 而实施或调整相应的防护策略并下发， 包括： 安全防护管理系统获取到资源池IP告警和流量信息、 资源池IP的防护级别、 资源池告 警通知阈值和资源池自动压制阈值； 其中资源池IP的防护级别包括白名单、 VIP名单、 黑名 单及黑+名单， 白名单仅发送告警通知不启动压制， V IP名单启动海外压制， 黑名单逐步升级 压制级别， 其中海外压制级别大于网间压制级别， 网间压制级别大于全网压制级别， 黑+名 单直接启动全网压制； 若流量值大于自动压制阈值， 且没有正在执行的压制任务， 则根据资源池IP的防护级 别， 启动相应的压制任务,并将压制任务置为 等待期； 若流量值大于自动压制阈值， 且存在正在执行的压制任务， 压制级别为全 网压制， 则继 续执行压制任务； 若流量值大于自动压制阈值， 且存在正在执行的压制任务， 压制级别为海外压制或网 间压制， 且资源池IP的防护级别为黑名单， 则判断压制任务是否在等待期或者观察期， 不在 等待期和观察期的压制任务， 升级到更高级别的压制任务， 其中升级到全网压制的黑名单 自动调整为 黑+名单； 在观察期的压制任务， 变更回原压制级别， 继续执 行压制任务；权　利　要　求　书 1/3 页 2 CN 114244584 A 2若定时任务检测到压制任务为等待期状态， 则15分钟后自动将压制任务置为压制中状 态； 若定时任务检测到 压制任务已执 行超过2小时， 则将压制任务设置为观察期状态； 若定时任务检测到 压制任务已执 行24小时， 则调用解压 接口关闭压制； 所有的压制和防护策略下发成功后， 安全防护管理系统通过短信和邮件的方式通知用 户防护成功。 5.一种基于网络设备日志实现自动压制和防护的装置， 其特 征在于， 该装置包括： 网络设备 日志采集模块， 用于通过配置各资源池的前置机服务器分别采集网络设备 日 志信息， 并进行分类和预处 理； 告警数据存储展示模块， 用于安全防护管理系统接收到预处理后的告警和流量信 息进 行分析和入库， 并实时动态呈现； 自动压制和防护模块， 用于安全 防护管理系统根据获取的资源池IP告警和流量信息、 资源池IP的防护级别、 资源池告警通知阈值和资源池自动压制阈值， 执行自动压制逻辑， 判 断目前是否存在实时的压制任务， 压制是否处于等待期或观察期， 进而实施或调整相 应的 防护策略并下发。 6.根据权利要求5所述的基于网络设备 日志实现自动压制和防护的方法， 其特征在于， 所述网络设备日志采集模块， 具体用于： 通过配置各资源池的前置机服务器分别采集网络设备 日志， 并将采集到的网络设备 日 志信息分为告警日志信息和流量日志信息， 通过分析告警日志信息中的告警开始和结束时 间， 将告警日志信息分为实时告警日志信息和历史告警日志信息， 将流量日志信息和实时 告警日志信息通过资源 池IP进行匹配； 将采集到的网络设备 日志信息中无用的字段信 息进行删减， 将低于流量基础阈值的日 志进行丢弃。 7.根据权利要求5所述的基于网络设备 日志实现自动压制和防护的方法， 其特征在于， 所述告警数据存 储展示模块， 具体用于： 安全防护管理系统接收到预处理后的告警和流量信息， 通过与预配置的资源池IP各类 信息进行匹配， 判断告警IP的防护级别， 并将告警和流 量信息入库， 并展示在前端页面。 8.根据权利要求5所述的基于网络设备 日志实现自动压制和防护的方法， 其特征在于， 所述自动压制和防护模块， 具体用于： 安全防护管理系统获取到资源池IP告警和流量信息、 资源池IP的防护级别、 资源池告 警通知阈值和资源池自动压制阈值； 其中资源池IP的防护级别包括白名单、 VIP名单、 黑名 单及黑+名单， 白名单仅发送告警通知不启动压制， V IP名单启动海外压制， 黑名单逐步升级 压制级别， 其中海外压制级别大于网间压制级别， 网间压制级别大于全网压制级别， 黑+名 单直接启动全网压制； 若流量值大于自动压制阈值， 且没有正在执行的压制任务， 则根据资源池IP的防护级 别， 启动相应的压制任务,并将压制任务置为 等待期； 若流量值大于自动压制阈值， 且存在正在执行的压制任务， 压制级别为全 网压制， 则继 续执行压制任务； 若流量值大于自动压制阈值， 且存在正在执行的压制任务， 压制级别为海外压制或网权　利　要　求　书 2/3 页 3 CN 114244584 A 3