一种报警关联方法及装置制造方法及图纸

本发明专利技术提供了一种报警关联方法及装置，解决现实的网络攻击往往结合多种工具和方法在一定的时间和空间跨度内实施多步攻击，而WAF报警只着眼于单个攻击行为，不利于发现攻击者真实的攻击意图的问题。本发明专利技术包括：根据应用防火墙WAF报警日志，得到攻击行为信息；根据攻击行为信息，获取攻击者的攻击模式信息，攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为对应的攻击类型信息；根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理。本发明专利技术通过将多个分散但有逻辑关系的细粒度的攻击行为组合成粗粒度的攻击过程，能够为消除冗余报警、重现攻击场景、分析攻击者攻击意图等相关工作提供基础和便捷。

【技术实现步骤摘要】
一种报警关联方法及装置
本专利技术涉及数据安全
，特别是指一种报警关联方法及装置。
技术介绍
当Web应用越来越为丰富的同时，Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标，结构化查询语言(StructuredQueryLanguage，简称SQL)注入、网页篡改、网页挂马等安全事件频繁发生，因此Web应用防火墙(WebApplicationFirewall，简称WAF)应运而生。WAF工作在应用层，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。WAF在运行过程中会产生大量报警且每条报警只能反映单个攻击行为，而由于现实的网络攻击往往结合多种工具和方法在一定的时间和空间跨度内实施多步攻击，WAF报警中分散的单个攻击行为可能只是同一次攻击的组成部分，只着眼于单个攻击行为不利于发现攻击者真实的攻击意图，因此如何将多个分散但有逻辑关系的细粒度的攻击行为组合成粗粒度的攻击过程是一个所面临的重要问题。目前国内对于报警关联方法的研究主要集中在入侵检测系统(IntrusionDetectionSystem，简称IDS)领域，关联方法主要分为三大类：1.基于报警之间的相似性这类方法通过计算不同的报警之间属性值的相似性来衡量报警的相似性，进而对报警进行聚类。2.基于攻击的因果关系这类方法首先标识出每个攻击类型的前提和结果，然后通过匹配不同的攻击行为之间因果关系建立多步攻击的关联。3.基于已知攻击场景这类方法通过把报警和已知的攻击场景相匹配来关联不同的攻击行为，重建多步攻击场景。在传统的面向IDS报警的报警关联方法中，基于报警之前的相似性的报警关联方法由于只立足于攻击形式、攻击来源上的相似性对攻击行为聚类，难以对具有多种攻击形式、多种攻击来源的多步攻击完成聚类。基于攻击的因果关系和基于已知攻击场景的报警关联方法由于需要大量先验知识，难以构造完善的先验知识库，而且需要不断更新先验知识库来适应新的攻击方法、攻击过程。由于WAF报警与IDS报警所包含的信息不尽相同，如WAF报警中攻击者访问的域名就是IDS报警中不具备的信息，无法直接使用面向IDS报警的报警关联方法来关联WAF报警，因此如何设计一个面向WAF报警的报警关联方法是一个所面临的重要问题。
技术实现思路
本专利技术的目的在于提供一种报警关联方法及装置，用以解决WAF报警只着眼于单个攻击行为，不能将多个分散但有逻辑关系的细粒度的攻击行为组合成粗粒度的攻击过程，从而不利于发现攻击者真实的攻击意图的问题。为了实现上述目的，本专利技术提供了一种报警关联方法，包括：根据应用防火墙WAF报警日志，得到攻击行为信息；根据所述攻击行为信息，获取攻击者的攻击模式信息，所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息；根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理。其中，所述根据应用防火墙WAF报警日志，得到攻击行为信息，包括：从所述WAF报警日志中提取出至少一个攻击行为，每个所述攻击行为包括：被攻击者的域名信息、攻击时间信息、攻击类型信息及攻击者的IP信息；根据每个所述攻击者的IP信息，分配一用于标识攻击者身份的标识信息，其中，不同的IP对应于不同的标识信息；将包括所述攻击行为及用于标识所述攻击行为中攻击者身份的标识信息的信息组合，作为所述攻击行为信息。其中，所述根据所述攻击行为信息，获取攻击者的攻击模式信息，包括：根据所述攻击行为信息，将具有相同域名信息和相同标识信息、且攻击时间的差值小于第一预设阈值的攻击行为划分为同一个攻击过程；获取每个攻击过程中的攻击类型信息；将每个攻击过程对应的域名信息、标识信息及攻击类型信息作为所述标识信息所标识攻击者的攻击模式信息。其中，所述获取每个攻击过程中的攻击类型信息，包括：根据攻击时间信息，对每个攻击过程中的各个攻击行为所对应的攻击类型信息进行排序处理，得到每个攻击过程中的攻击类型序列信息；将每个攻击过程的攻击类型序列信息中相邻且相同的两个攻击类型信息进行合并处理，并将合并后的攻击类型序列信息，作为该攻击过程中的攻击类型信息。其中，所述根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理，包括：获取不同的攻击者的攻击模式信息之间的相似度；若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息。其中，所述获取不同的攻击者的攻击模式信息之间的相似度，包括：分别获取两个不同的攻击者的攻击类型序列信息Sa和Sb；通过如下公式获取Sa和Sb的最长公共子序列的长度ma,b：ma,b＝f(na,nb)；其中，Typea,i表示Sa中的第i个攻击类型，Typeb,j表示Sb中的第j个攻击类型，na表示Sa的长度，nb表示Sb的长度；根据所述最长公共子序列的长度ma,b是否满足预设条件，判断所述两个不同的攻击者的攻击模式信息是否相似，所述预设条件为若相似，则通过公式计算所述两个不同的攻击者的攻击模式信息之间的相似度。其中，在所述若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息之后，所述报警关联方法还包括：判断根据WAF报警日志得到的攻击行为信息中，是否存在所述两个不同的攻击者的攻击行为信息；若存在，则将所述两个不同的攻击者的攻击行为信息中的标识信息修改为重新分配的标识信息。本专利技术还提供了一种报警关联装置，包括：第一获取模块，用于根据应用防火墙WAF报警日志，得到攻击行为信息；第二获取模块，用于根据所述攻击行为信息，获取攻击者的攻击模式信息，所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息；关联模块，用于根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理。其中，所述第一获取模块包括：提取子模块，用于从所述WAF报警日志中提取出至少一个攻击行为，每个所述攻击行为包括：被攻击者的域名信息、攻击时间信息、攻击类型信息及攻击者的IP信息；分配子模块，用于根据每个所述攻击者的IP信息，分配一用于标识攻击者身份的标识信息，其中，不同的IP对应于不同的标识信息；第一确定子模块，用于将包括所述攻击行为及用于标识所述攻击行为中攻击者身份的标识信息的信息组合，作为所述攻击行为信息。其中，所述第二获取模块包括：划分子模块，用于根据所述攻击行为信息，将具有相同域名信息和相同标识信息、且攻击时间的差值小于第一预设阈值的攻击行为划分为同一个攻击过程；第一获取子模块，用于获取每个攻击过程中的攻击类型信息；第二确定子模块，用于将每个攻击过程对应的域名信息、标识信息及攻击类型信息作为所述标识信息所标识攻击者的攻击模式信息。其中，所述第一获取子模块包括：第一获取单元，用于根据攻击时间信息，对每个攻击过程中的各个攻击行为所对应的攻击类型信息进行排序处理，得到每个攻击过程中的攻击类型序列信息；第二获取单元，用于将每个攻击过程的攻击类型序列信息中相邻且相同的两个攻击类型信息进行合并处理，并将合并后的攻击类型序列信息，作为该攻击过程中的攻击类型信息。其中，所述关联模块本文档来自技高网...

【技术保护点】
一种报警关联方法，其特征在于，包括：根据应用防火墙WAF报警日志，得到攻击行为信息；根据所述攻击行为信息，获取攻击者的攻击模式信息，所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息；根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理。

【技术特征摘要】
1.一种报警关联方法，其特征在于，包括：根据应用防火墙WAF报警日志，得到攻击行为信息；根据所述攻击行为信息，获取攻击者的攻击模式信息，所述攻击模式信息包括攻击者在一个攻击过程中的各个攻击行为所对应的攻击类型信息；根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理。2.根据权利要求1所述的报警关联方法，其特征在于，所述根据应用防火墙WAF报警日志，得到攻击行为信息，包括：从所述WAF报警日志中提取出至少一个攻击行为，每个所述攻击行为包括：被攻击者的域名信息、攻击时间信息、攻击类型信息及攻击者的IP信息；根据每个所述攻击者的IP信息，分配一用于标识攻击者身份的标识信息，其中，不同的IP对应于不同的标识信息；将包括所述攻击行为及用于标识所述攻击行为中攻击者身份的标识信息的信息组合，作为所述攻击行为信息。3.根据权利要求2所述的报警关联方法，其特征在于，所述根据所述攻击行为信息，获取攻击者的攻击模式信息，包括：根据所述攻击行为信息，将具有相同域名信息和相同标识信息、且攻击时间的差值小于第一预设阈值的攻击行为划分为同一个攻击过程；获取每个攻击过程中的攻击类型信息；将每个攻击过程对应的域名信息、标识信息及攻击类型信息作为所述标识信息所标识攻击者的攻击模式信息。4.根据权利要求3所述的报警关联方法，其特征在于，所述获取每个攻击过程中的攻击类型信息，包括：根据攻击时间信息，对每个攻击过程中的各个攻击行为所对应的攻击类型信息进行排序处理，得到每个攻击过程中的攻击类型序列信息；将每个攻击过程的攻击类型序列信息中相邻且相同的两个攻击类型信息进行合并处理，并将合并后的攻击类型序列信息，作为该攻击过程中的攻击类型信息。5.根据权利要求4所述的报警关联方法，其特征在于，所述根据不同的攻击者的攻击模式信息之间的相似度，对不同的攻击者进行关联处理，包括：获取不同的攻击者的攻击模式信息之间的相似度；若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息。6.根据权利要求5所述的报警关联方法，其特征在于，所述获取不同的攻击者的攻击模式信息之间的相似度，包括：分别获取两个不同的攻击者的攻击类型序列信息Sa和Sb；通过如下公式获取Sa和Sb的最长公共子序列的长度ma,b：ma,b＝f(na,nb)；其中，Typea,i表示Sa中的第i个攻击类型，Typeb,j表示Sb中的第j个攻击类型，na表示Sa的长度，nb表示Sb的长度；根据所述最长公共子序列的长度ma,b是否满足预设条件，判断所述两个不同的攻击者的攻击模式信息是否相似，所述预设条件为若相似，则通过公式计算所述两个不同的攻击者的攻击模式信息之间的相似度。7.根据权利要求5所述的报警关联方法，其特征在于，在所述若两个不同的攻击者的攻击模式信息之间的相似度大于第二预设阈值，则为所述两个不同的攻击者重新分配同一标识信息之后，所述报警关联方法还包括：判断根据WAF报警日志得到的攻击行为信息中，是否存在所述两个不同的攻击者的攻击行为信息；若存在，则将所述两个不同的攻击者的攻击行为信息中的标识信息修改为重新分配的标识信息。8.一种报警关联装置，其特征在于，包括：第一获取模块，用于根据应用防火墙WAF报警日志，得到攻击行为信息；第二获...

【专利技术属性】
技术研发人员：杭小勇，孙乾，杨凯，王一村，马冰珂，程叶霞，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京,11