一种告警日志关联的网络攻击事件分析方法及装置制造方法及图纸

本发明专利技术涉及一种告警日志关联的网络攻击事件分析方法，包括，S1、获取日志的原始文件并对原始文件预处理；S2、对预处理后的原始文件进行异常判断分析；根据判断分析结果，组建攻击规则指纹库，再逐步对攻击规则指纹库进行完善；S3、将攻击规则指纹库与告警日志的事件关联；再将联后的事件进行汇总、合并，组建告警事件库；S4、根据告警事件库，进行事件响应与处理，本发明专利技术还公开了一种告警日志关联的网络攻击事件分析装置。本发明专利技术能够组建攻击规则指纹库，同时通过特征属性系统化、概率统计方法、动态跟踪法等方法对攻击规则指纹库进行不断完善，从而确保及时应对不同的网络攻击事件。

An Analysis Method and Device for Network Attack Events Associated with Alarm Logs

【技术实现步骤摘要】
一种告警日志关联的网络攻击事件分析方法及装置
本专利技术涉及网络安全事件分析领域，更具体涉及一种告警日志关联的网络攻击事件分析方法及装置。
技术介绍
随着公司信息化建设不断深入完善，在公司内部形成了庞大的信息网络。在互联网上危害较大的多种恶意代码(僵尸网络、木马、勒索软件等)也在不断威胁着信息网络，各种主机以及终端设备中也可能潜伏着多种恶意代码，如果不及时解决，这些恶意代码问题，会给公司的信息化建设带来不良后果，如公司人员信息泄露、公司内部机密文件泄露等等。由于全网主机和终端设备数量多，分布范围广、用户安全意识层次不齐，看似平静的信息网络中充斥着各类高危的主机和高危的终端设备，如何及时准确发现信息网络内存在的各类高危的主机和高危的终端设备是亟待解决的技术问题。
技术实现思路
本专利技术所要解决的技术问题在于提供一种告警日志关联的网络攻击事件分析方法及装置，以及时准确发现信息网络内存在的各类高危的主机和高危的终端设备。为解决上述问题，本专利技术提供如下技术方案：一种告警日志关联的网络攻击事件分析方法，包括：S1、获取日志的原始文件并对原始文件预处理；S2、对预处理后的原始文件进行异常判断分析；根据判断分析结果，组建攻击规则指纹库，再对攻击规则指纹库进行完善及更新；S3、将攻击规则指纹库与告警日志的事件关联；再将联后的事件进行汇总、合并，组建告警事件库；S4、根据告警事件库，进行事件响应与处理。作为本专利技术进一步的方案：所述步骤S1中获取原始文件包括：1)通过核心交换机端口镜像技术对信息网络中的网络流量信息进行采集，并生成pcap文件；2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。作为本专利技术进一步的方案：所述步骤S1中原始文件预处理包括：应用大数据平台对pcap文件进行剥离预处理，将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议；应用大数据平台对syslog日志进行剥离预处理，预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理，从而形成了统一的事件文件。作为本专利技术进一步的方案：所述步骤S2包括：所述组建攻击规则指纹库包括：建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库；建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库，建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库，其中，建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库，包括：1)通过扫描高危主机或终端设备，判断是否存在黑客工具进程，是的话，将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库；2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞；是的话，将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库；3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名，是的话，将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库；4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录，是的话，将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库；建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者，包括：21)防病毒系统中是否存在已知的蠕虫、木马告警信息，是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库；22)网络流量监控系统中是否存在黑名单域名访问，是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库；23)判断防火墙日志是否存在主动外联记录，或是否存在针对非法目标地址DIP的访问记录，是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库；建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库，包括：31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录，是的话，将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库；32)防病毒日志是否存在若干病毒告警，是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库；33)该远程控制的高危主机或终端是否存在高危漏洞，是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库；并判定为被远程控制的高危主机或终端；建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库，包括：将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比，当源地址信息存在于桌管系统的台账信息中时，则抛弃该源地址信息；当不存在该条地址信息时，将该源地址信息与脱管主机或者终端设备检测记录进行关联，关联后，若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚，则抛弃该源地址信息；剩余的源地址信息中，如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录，则将该源地址信息录入指纹库；对攻击规则指纹库进行完善，包括：A、利用多特征属性系统化的数据来源项进行分析，完善攻击规则指纹库；B、利用概率统计方法对数据来源项中的行为进行汇总分析，完善攻击规则指纹库；C、利用动态跟踪法对网络行为进行追踪，并结合数据挖掘的分析方法对网络行为进行分类、标识，完善攻击规则指纹库；D、对现实环境中的网络行为进行收集及验证，完善攻击规则指纹库；通过A、B、C、D四种方法实时跟踪录入攻击指纹库中每条信息，将指纹库中出现次数最小的规则删除；针对攻击情况超出上述所列攻击规则指纹库，新增一条新的攻击指纹，同时重复所述组建攻击规则指纹库的步骤，对指纹进行重新录入攻击规则指纹库；实现对攻击指纹库的更新。作为本专利技术进一步的方案：所述步骤S3包括，在获取的攻击规则指纹库的基础上，通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进行逐层关联，实现异常主机或终端信息与告警日志的事件相关联，将关联的事件进行汇总、合并，最终形成告警事件库；所述事件包括告警名称、攻击源IP、攻击类型、恶意域名、告警时间、处理建议。。一种采用告警日志关联的网络攻击事件分析方法的分析装置，包括：预处理模块，用于获取原始文件；并对原始文件预处理；攻击规则指纹库组建模块，用于对预处理后的原始文件进行异常判断分析；根据判断分析结果，组建攻击规则指纹库，再对攻击规则指纹库进行完善及更新；关联模块，用于将攻击规则指纹库与告警日志的事件关联；用于将联后的事件进行汇总、合并，组建告警事件库；响应与处理模块，用于根据告警事件库，进行事件响应与处理。作为本专利技术进一步的方案：所述预处理模块中获取原始文件包括：1)通过核心交换机端口镜像技术，实现对信息网络中的网络流量信息的采集，并生成pcap文件；2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。作为本专利技术进一步的方案：所述预处理模块中原始文件处理包括：应用大数据平台对pcap文件进行剥离预处理，将pcap文件细化分为访问目标IP地址、访问源IP地址、源本文档来自技高网...

【技术保护点】
1.一种告警日志关联的网络攻击事件分析方法，其特征在于，包括，S1、获取日志的原始文件并对原始文件预处理；S2、对预处理后的原始文件进行异常判断分析；根据判断分析结果，组建攻击规则指纹库，再对攻击规则指纹库进行完善及更新；S3、将攻击规则指纹库与告警日志的事件关联；再将联后的事件进行汇总、合并，组建告警事件库；S4、根据告警事件库，进行事件响应与处理。

【技术特征摘要】
1.一种告警日志关联的网络攻击事件分析方法，其特征在于，包括，S1、获取日志的原始文件并对原始文件预处理；S2、对预处理后的原始文件进行异常判断分析；根据判断分析结果，组建攻击规则指纹库，再对攻击规则指纹库进行完善及更新；S3、将攻击规则指纹库与告警日志的事件关联；再将联后的事件进行汇总、合并，组建告警事件库；S4、根据告警事件库，进行事件响应与处理。2.根据权利要求1所述的告警日志关联的网络攻击事件分析方法，其特征在于，所述步骤S1中获取日志的原始文件的过程包括：1)通过核心交换机端口镜像技术对信息网络中的网络流量信息进行采集，并生成pcap文件；2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。3.根据权利要求2所述的告警日志关联的网络攻击事件分析方法，其特征在于，所述步骤S1中原始文件预处理包括：应用大数据平台对pcap文件进行剥离预处理，将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议；应用大数据平台对syslog日志进行剥离预处理，预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理。4.根据权利要求1所述的告警日志关联的网络攻击事件分析方法，其特征在于，所述步骤S2包括：所述组建攻击规则指纹库包括：建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库；建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库，建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库，其中，建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库，包括：1)通过扫描高危主机或终端设备，判断是否存在黑客工具进程，是的话，将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库；2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞；是的话，将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库；3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名，是的话，将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库；4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录，是的话，将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库；建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者，包括：21)防病毒系统中是否存在已知的蠕虫、木马告警信息，是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库；22)网络流量监控系统中是否存在黑名单域名访问，是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库；23)判断防火墙日志是否存在主动外联记录，或是否存在针对非法目标地址DIP的访问记录，是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库；建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库，包括：31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录，是的话，将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库；32)防病毒日志是否存在若干病毒告警，是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库；33)该远程控制的高危主机或终端是否存在高危漏洞，是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库；并判定为被远程控制的高危主机或终端；建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库，包括：将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比，当源地址信息存在于桌管系统的台账信息中时，则抛弃该源地址信息；当不存在该条地址信息时，将该源地址信息与脱管主机或者终端设备检测记录进行关联，关联后，若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚，则抛弃该源地址信息；剩余的源地址信息中，如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录，则将该源地址信息录入指纹库；建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库，包括：将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比，当源地址信息存在于桌管系统的台账信息中时，则抛弃该源地址信息；当不存在该条地址信息时，将该源地址信息与脱管主机或者终端设备检测记录进行关联，关联后，若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚，则抛弃该源地址信息；剩余的源地址信息中，如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录，则将该源地址信息录入指纹库；对攻击规则指纹库进行完善，包括：A、利用多特征属性系统化的数据来源项进行分析，完善攻击规则指纹库；B、利用概率统计方法对数据来源项中的行为进行汇总分析，完善攻击规则指纹库；C、利用动态跟踪法对网络行为进行追踪，并结合数据挖掘的分析方法对网络行为进行分类、标识，完善攻击规则指纹库；D、对现实环境中的网络行为进行收集及验证，完善攻击规则指纹库；通过A、B、C、D四种方法实时跟踪录入攻击指纹库中每条信息，将指纹库中出现次数最小的规则删除；针对攻击情况超出上述所列攻击规则指纹库，新增一条新的攻击指纹，同时重复所述组建攻击规则指纹库的步骤，对指纹进行重新录入攻击规则指纹库；实现对攻击指纹库的更新。5.根据权利要求1所述的告警日志关联的网络攻击事件分析方法，其特征在于，所述步骤S3包括，在获取的攻击规则指纹库的基础上，通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进...

【专利技术属性】
技术研发人员：方圆，李明，蒋明，俞骏豪，张亮，蔡梦臣，盛剑桥，宫帅，管建超，孙强，马永，吴跃，程航，曹弯弯，许畅，姚振，郭洋，
申请(专利权)人：国网安徽省电力有限公司信息通信分公司，国家电网有限公司，
类型：发明
国别省市：安徽,34