(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211108187.8 (22)申请日 2022.09.13 (71)申请人 杭州迪普科技股份有限公司 地址 310051 浙江省杭州市滨江区通和路 68号中财大厦6楼 (72)发明人 于京琦　 (74)专利代理 机构 北京金讯知识产权代理事务 所(特殊普通 合伙) 11554 专利代理师 黄剑飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 异常流量日志处 理方法和装置 (57)摘要 本公开涉及一种DDoS异常流量日志处理及 展示方法和装置， 该方法包括： 接收异常流量检 测设备发送的异常流量日志； 判断所接收到的异 常流量日志中的异常流量所对应的DDOS攻击的 攻击属性， 并根据攻击属性对所接收到的异常流 量日志进行属性标识； 判断所接收到的异常流量 日志中的异常流量所对应DDoS攻击的攻击状态； 基于所接收到的异常流量日志中的异常流量所 对应的DDoS攻击的攻击状态， 将所接收到的异常 流量日志存储在告警处置数据表或处置记录数 据表中， 其中在告警处置数据表和处置记录数据 表均存储有所接收到的异常流量日志的攻击属 性； 基于告警处置数据表或处置记录数据表， 对 所接收到的异常流量日志及其攻击属性进行展 示。 权利要求书3页 说明书11页 附图4页 CN 115412363 A 2022.11.29 CN 115412363 A 1.一种DDoS异常流 量日志处 理及展示方法， 包括： 接收异常流 量检测设备发送的异常流 量日志； 判断所接收到的异常流量日志中的异常流量所对应的DDOS攻击的攻击属性， 并根据所 述攻击属 性对所接 收到的异常流量日志进行属 性标识， 所述攻击属 性包括全局 流量、 群组 流量、 黑洞流 量以及自定义 流量； 判断所接收到的异常流量日志中的异常流量所对应DDoS攻击的攻击状态， 所述攻击状 态包括攻击开始、 攻击持续或攻击结束； 基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击状态， 将所接收 到的异常流量日志存储在告警处置数据表或处置记录数据 表中， 所述告警处置数据表和所 述处置记录数据表均存 储有所接收到的异常流 量日志的攻击属性； 基于所述告警处置数据表或所述处置记录数据表， 对所接收到的异常流量日志及其攻 击属性进行展示， 其中， 基于所述告警处置数据表展示攻击状态属于攻击开始或攻击持续 的异常流 量日志， 基于所述处置记录数据表展示 攻击状态属于攻击结束的异常流 量日志。 2.根据权利要求1所述的DDoS异常流量日志处理及展示方法， 在基于所述告警处置数 据表展示 攻击状态属于攻击开始或攻击持续的异常流 量日志时， 其还 包括： 针对所展示的异常流量日志， 展示手动告警处置功能的接口， 以使用户可以直接通过 所述接口对所述异常流 量日志所对应的D DoS攻击使用告警处置功能进行相应的处置 。 3.根据权利要求2所述的DDoS异常流量日志处理及展示方法， 其中， 展示的手动告警处 置功能包括清洗处置和黑洞处置 。 4.根据权利要求1所述的DDoS异常流量日志处理及展示方法， 在基于所述告警处置数 据表展示 攻击状态属于攻击开始或攻击持续的异常流 量日志时， 其还 包括： 针对所展示的异常流量日志， 对其所对应的DDoS攻击的多维度信息进行展示， 以使用 户在对异常流量日志进行查看时， 实现包括对所述异常流量日志所对应的当前告警的整体 信息的查看。 5.根据权利要求4所述的DDoS异常流量日志处理及展示方法， 其中， 对所述异常流量日 志所对应的当前告警的整体信息的查看， 包括： 对异常/清洗总流量、 最大流量/最大清洗速 率、 检测/防护类型的查看。 6.根据权利要求4所述的DDoS异常流量日志处理及展示方法， 其中， 对所述异常流量日 志所对应的当前告警的整体信息的查看， 包括： 对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击 类型、 流量趋势以及各种攻击类型的分布情况的查看。 7.根据权利要求1所述的DDoS异常流量日志处理及展示方法， 在基于所述处置记录数 据表展示 攻击状态属于攻击结束的异常流 量日志时， 其还 包括： 针对展示的异常流量日志， 展示所述异常流量日志中异常流量所对应的DDoS攻击的处 置状态， 所述处置状态包括以已清洗处置、 已黑洞处置和未处置 。 8.根据权利要求1所述的D DoS异常流 量日志处 理及展示方法， 其还 包括： 针对所接收到的异常流量日志中需要进行告警处置的异常流量日志， 创建告警信息， 所述告警信息包括对所述异常流量日志中的异常流量所对应的DDoS攻击的可实施的告警 处置方式；权　利　要　求　书 1/3 页 2 CN 115412363 A 2将所述告警信息通过远程 通讯的方式向用户移动终端 进行发送； 在接收到用户返回的选 中的远程告警处置方式后， 对所述异常流量日志中的异常流量 所对应的D DoS攻击实施与所述远程告警处置方式相一 致的告警处置 。 9.根据权利要求8所述的DDoS异常流量日志处理及展示方法， 其中， 在将所述告警信息 通过远程 通讯的方式向用户移动终端 进行发送时， 包括： 针对所述异常流 量日志， 判断告警级别； 基于所述告警级别向用户发送与所述告警级别相对应的频次的所述告警信息 。 10.一种D DoS异常流 量日志处 理及展示装置， 包括： 日志接收组件， 用于 接收异常流 量检测设备发送的异常流 量日志； 攻击属性判断组件， 用于判断所接收到的异常流量日志中的异常流量所对应的DDOS攻 击的攻击属 性， 并根据所述攻击属 性对所接 收到的异常流量日志进行属 性标识， 所述攻击 属性包括全局流 量、 群组流 量、 黑洞流 量以及自定义 流量； 攻击状态判断组件， 用于判断所接收到的异常流量日志中的异常流量所对应DDoS攻击 的攻击状态， 所述 攻击状态包括 攻击开始、 攻击持续或攻击结束； 存储组件， 用于基于所接收到的异常流量日志中的异常流量所对应的DDoS攻击的攻击 状态， 将所接 收到的异常流量日志存储在告警处置数据表或处置记录数据表中， 所述告警 处置数据表和所述处置记录数据表均存 储有所述异常流 量日志的攻击属性； 展示组件， 用于基于所述告警处置数据表或所述处置记录数据表， 对所接收到的异常 流量日志及其攻击属 性进行展示， 其中， 基于所述告警处置数据表展示攻击状态属于攻击 开始或攻击持续的异常流量日志， 基于所述处置记录数据 表展示攻击状态属于攻击结束的 异常流量日志。 11.根据权利要求10所述的DDoS异常流量日志处理及展示装置， 其中所述展示组件还 包括： 手动处置告警功能展示组件， 用于针对所展示的异常流量日志， 展示手动告警处置功 能的接口， 以使用户可以直接通过所述接口对所述异常流量日志所对应的DDoS攻击使用告 警处置功能进行相应的处置 。 12.根据权利要求11所述的DDoS异常流量日志处理及展示装置， 其中， 展示的手动告警 处置功能包括清洗处置和黑洞处置 。 13.根据权利要求10所述的D DoS异常流 量日志处 理及展示装置， 所述展示组件 还包括： 整体信息展示组件， 用于针对所展示的异常流量日志， 对其所对应的DDoS攻击的多维 度信息进行展示， 以使用户在对异常流量日志进行查看时， 实现包括对所述异常流量日志 所对应的当前告警的整体信息的查看。 14.根据权利要求13所述的DDoS异常流量日志处理及展示装置， 其中， 对所述异常流量 日志所对应的当前告警的整体信息的查看， 包括： 对异常/清洗总流量、 最大流量/最大清洗 速率、 检测/防护类型的查看。 15.根据权利要求13所述的DDoS异常流量日志处理及展示装置， 其中， 对所述异常流量 日志所对应的当前告警的整体信息的查看， 包括： 对与针对展示的异常流量日志所对应的当前告警相对应的各种异常/清洗对应的攻击 类型、 流量趋势以及各种攻击类型的分布情况的查看。权　利　要　求　书 2/3 页 3 CN 115412363 A 3