【技术实现步骤摘要】
一种报警关联方法及装置
本专利技术涉及数据安全
,特别是指一种报警关联方法及装置。
技术介绍
当Web应用越来越为丰富的同时,Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标,结构化查询语言(StructuredQueryLanguage,简称SQL)注入、网页篡改、网页挂马等安全事件频繁发生,因此Web应用防火墙(WebApplicationFirewall,简称WAF)应运而生。WAF工作在应用层,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。WAF在运行过程中会产生大量报警且每条报警只能反映单个攻击行为,而由于现实的网络攻击往往结合多种工具和方法在一定的时间和空间跨度内实施多步攻击,WAF报警中分散的单个攻击行为可能只是同一次攻击的组成部分,只着眼于单个攻击行为不利于发现攻击者真实的攻击意图,因此如何将多个分散但有逻辑关系的细粒度的攻击行为组合成粗粒度的攻击过程是一个所面临的重要问题。目前国内对于报警关联方法的研究主要集中在入侵检测系统(IntrusionDetectionSystem,简称IDS)领域,关联方法主要分为三大类:1.基于报警之间的相似性这类方法通过计算不同的报警之间属性值的相似性来衡量报警的相似性,进而对报警进行聚类。2.基于攻击的因果关系这类方法首先标识出每个攻击类型的前提和结果,然后通过匹配不同的攻击行为之间因果关系建立多步攻击的关联。3.基于已知攻击场景这类方法通过把报警和已知的攻击场景相匹配来关联不同的攻 ...
【技术保护点】
一种报警关联方法,其特征在于,包括:根据应用防火墙WAF报警日志,得到攻击行为信息;根据所述攻击行为信息,获取攻击者的攻击模式信息,所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息;根据不同的攻击者的攻击模式信息之间的相似度,对不同的攻击者进行关联处理。
【技术特征摘要】
1.一种报警关联方法,其特征在于,包括:根据应用防火墙WAF报警日志,得到攻击行为信息;根据所述攻击行为信息,获取攻击者的攻击模式信息,所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息;根据不同的攻击者的攻击模式信息之间的相似度,对不同的攻击者进行关联处理。2.根据权利要求1所述的报警关联方法,其特征在于,所述根据应用防火墙WAF报警日志,得到攻击行为信息,包括:从所述WAF报警日志中提取出至少一个攻击行为,每个所述攻击行为包括:被攻击者的域名信息、攻击时间信息、攻击类型信息及攻击者的IP信息;根据每个所述攻击者的IP信息,分配一用于标识攻击者身份的标识信息,其中,不同的IP对应于不同的标识信息;将包括所述攻击行为及用于标识所述攻击行为中攻击者身份的标识信息的信息组合,作为所述攻击行为信息。3.根据权利要求2所述的报警关联方法,其特征在于,所述根据所述攻击行为信息,获取攻击者的攻击模式信息,包括:根据所述攻击行为信息,将具有相同域名信息和相同标识信息、且攻击时间的差值小于第一预设阈值的攻击行为划分为同一个攻击过程;获取每个攻击过程中的攻击类型信息;将每个攻击过程对应的域名信息、标识信息及攻击类型信息作为所述标识信息所标识攻击者的攻击模式信息。4.根据权利要求3所述的报警关联方法,其特征在于,所述获取每个攻击过程中的攻击类型信息,包括:根据攻击时间信息,对每个攻击过程中的各个攻击行为所对应的攻击类型信息进行排序处理,得到每个攻击过程中的攻击类型序列信息;将每个攻击过程的攻击类型序列信息中相邻且相同的两个攻击类型信息进行合并处理,并将合并后的攻击类型序列信息,作为该攻击过程中的攻击类型信息。5.根据权利要求4所述的报警关联方法,其特征在于,所述根据不同的攻击者的攻击模式信息之间的相似度,对不同的攻击者进行关联处理,包括:获取不同的攻击者的攻击模式信息之间的相似度;若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值,则为所述两个不同的攻击者重新分配同一标识信息。6.根据权利要求5所述的报警关联方法,其特征在于,所述获取不同的攻击者的攻击模式信息之间的相似度,包括:分别获取两个不同的攻击者的攻击类型序列信息Sa和Sb;通过如下公式获取Sa和Sb的最长公共子序列的长度ma,b:ma,b=f(na,nb);其中,Typea,i表示Sa中的第i个攻击类型,Typeb,j表示Sb中的第j个攻击类型,na表示Sa的长度,nb表示Sb的长度;根据所述最长公共子序列的长度ma,b是否满足预设条件,判断所述两个不同的攻击者的攻击模式信息是否相似,所述预设条件为若相似,则通过公式计算所述两个不同的攻击者的攻击模式信息之间的相似度。7.根据权利要求5所述的报警关联方法,其特征在于,在所述若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值,则为所述两个不同的攻击者重新分配同一标识信息之后,所述报警关联方法还包括:判断根据WAF报警日志得到的攻击行为信息中,是否存在所述两个不同的攻击者的攻击行为信息;若存在,则将所述两个不同的攻击者的攻击行为信息中的标识信息修改为重新分配的标识信息。8.一种报警关联装置,其特征在于,包括:第一获取模块,用于根据应用防火墙WAF报警日志,得到攻击行为信息;第二获...
【专利技术属性】
技术研发人员:杭小勇,孙乾,杨凯,王一村,马冰珂,程叶霞,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。