一种安全漏洞回溯分析方法及装置制造方法及图纸

本发明专利技术提供了一种安全漏洞回溯分析方法及装置。方法包括：采集网络中安全设备的日志数据和路由交换设备的Netflow数据；将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网络数据流；将获得的时序网络数据流存储于HDFS中；通过网络爬虫器获取到最新的安全漏洞数据，将所述安全漏洞数据转化为回溯分析规则；从HDFS中提取出时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据；根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数。本发明专利技术能够实现针对单一安全漏洞对特定企业网络的影响性进行动态分析，且本发明专利技术基于大数据的回溯分析来分析安全漏洞的潜在影响。

【技术实现步骤摘要】

本专利技术涉及信息安全
，更具体地说，涉及一种安全漏洞回溯分析方法及装置。
技术介绍
在互联网+的发展趋势下，网络的复杂程度逐日增加，这就使得网络故障的排查难度与日俱增，未来网络攻击的模式会越来越多地以高级持续性威胁(Advanced Persistent Threat，APT)的方式实施。APT攻击是攻击者以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的恶意商业间谍威胁。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT攻击的特征是采用新型未公开的漏洞(0day漏洞)执行且攻击周期长。为了保护信息的安全，企业可以投资购买世界上最好的情报信息，部署最好的技术来抵御威胁，然而其信息系统仍有可能受安全管理程序错过的简单漏洞的影响。而且在实际应用时，大多数企业没有足够的人员、时间、资金、和精力来应对威胁，企业安全投入资源有限。因此，对安全漏洞情报数据的合理甄别，对于安全漏洞针对本企业网络的威胁程度进行有效判定是以对抗为主体的安全防御体系下非常重要的环节。目前国内外安全漏洞影响性分析的成果较少，且可使用性差。有些公司已经发布了网络安全指数，但该网络安全指数是针对整个互联网的安全态势，针对企业网络不具备实用价值。本专利技术的专利技术人就现有的安全漏洞影响分析方法来说，其主要存在以下几个问题：1、现有提供的安全漏洞影响分析方法基于的是网络宏观指数，没有针对具体的漏洞和具体的企业网络做针对性分析，针对性差。2、现有提供的安全漏洞影响分析方法往往只分析当前态势，无法体现潜在影响。而实际上，APT类攻击往往潜伏周期长，必须基于网络历史数据的回溯分析，才能体现安全漏洞的真正影响。
技术实现思路
有鉴于此，本专利技术提供一种安全漏洞回溯分析方法及装置，以解决现有安全漏洞影响分析方法针对性差、无法体现潜在影响的问题。技术方案如下：基于本专利技术的一方面，本专利技术提供一种安全漏洞回溯分析方法，包括：采集网络中安全设备的日志数据和路由交换设备的Netflow数据；将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网络数据流；将所述时序网络数据流存储于分布式文件存储系统HDFS中；通过网络爬虫器获取最新的安全漏洞数据，并将所述安全漏洞数据转化为回溯分析规则；从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据；根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数。优选地，所述将所述安全漏洞数据转化为回溯分析规则包括：采用正则表达式，将所述安全漏洞数据转化为回溯分析规则；其中，所述正则表达式中的规则内容至少包括以下一种：漏洞名称、漏洞编号、厂商、漏洞等级、影响协议、影响端口、影响操作系统、漏洞详情。优选地，所述从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据包括：采用批处理算法，从HDFS中提取出所述时序网络数据流；根据所述回溯分析规则，获取与所述时序网络数据流相匹配的时序网络数据序列；按照IP地址聚合计算方法，对所述时序网络数据序列进行计算，获得所述受安全漏洞影响的IP资产相关数据；其中，所述IP资产相关数据包括受安全漏洞影响的IP地址和所述IP地址的统计信息；所述IP地址的统计信息包括：所述IP地址匹配命中的安全日志数量、所述IP地址匹配命中的流量和所述IP地址受影响的总时长。优选地，所述根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数包括：利用公式计算得到所述安全漏洞影响指数f(x)；其中，Li为IPi的安全日志数量；Pfi为IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0～1；Pti为IPi的影响时长占回溯分析周期内总时长的比值，取值范围为0～1；IPi为受安全漏洞影响的IP序列中的第i个，i为正整数。优选地，所述采集网络中安全设备的日志数据和路由交换设备的Netflow数据包括：通过系统日志syslog协议采集企业网络中安全设备的日志数据；通过Netflow协议及类Netflow协议采集路由交换设备的Netflow数据。优选地，将所述时序网络数据流存储于HDFS中包括：以预设时间为周期，周期性地将获得的时序网络数据流存储于HDFS中。优选地，所述将所述时序网络数据流存储于HDFS中后，所述方法还包括：为存储的时序网络数据流增加时间戳。优选地，所述通过网络爬虫器获取最新的安全漏洞数据包括：通过网络爬虫器持续、定时地从互联网安全漏洞库中获取最新的安全漏洞数据。基于本专利技术的另一方面，本专利技术还提供一种安全漏洞回溯分析装置，包括：数据采集单元，用于采集网络中安全设备的日志数据和路由交换设备的Netflow数据；格式化处理单元，用于将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网络数据流；存储单元，用于将所述时序网络数据流存储于分布式文件存储系统HDFS中；回溯分析规则生成单元，用于通过网络爬虫器获取最新的安全漏洞数据，并将所述安全漏洞数据转化为回溯分析规则；第一处理单元，用于从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据；第二处理单元，用于根据所述受安全漏洞影响的IP资产相关数据、所述日志数据和所述Netflow数据计算得到安全漏洞影响指数。优选地，所述回溯分析规则生成单元具体用于，采用正则表达式，将所述安全漏洞数据转化为回溯分析规则；其中，所述正则表达式中的规则内容至少包括以下一种：漏洞名称、漏洞编号、厂商、漏洞等级、影响协议、影响端口、影响操作系统、漏洞详情。优选地，所述第一处理单元包括：第一处理子单元，用于采用批处理算法，从HDFS中提取出所述时序网络数据流；第二处理子单元，用于根据所述回溯分析规则，获取与所述时序网络数据流相匹配的时序网络数据序列；第三处理子单元，用于按照IP地址聚合计算方法，对所述时序网络数据序列进行计算，获得所述受安全漏洞影响的IP资产相关数据；其中，所述IP资产相关数据包括受安全漏洞影响的IP地址和所述IP地址的统计信息；所述IP地址的统计信息包括：所述IP地址匹配命中的安全日志数量、所述IP地址匹配命中的流量和所述IP地址受影响的总时长。优选地，所述第二处理单元具体用于，利用公式计算得到所述安全漏洞影响指数f(x)；其中，Li为IPi的安全日志数量；Pfi为IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0～1；Pti为IPi的影响时长占回溯分析周期内总时长的比值，取值范围为0～1；IPi为受安全漏洞影响的IP序列中的第i个，i为正整数。优选地，所述数据采集单元包括：第一数据采集子单元，用于通过系统日志syslog协议采集企业网络中安全设备的日志数据；第二数据采集子单元，用于通过Netflow协议及类Netflow协议采集路由交换设备的Netflow数据。优选地，所述存储单元具体用于，以预设时间为周期，周期性地将获得的时序网络数据流存储于HDFS中。优选地，所述通过网络爬虫器获取最新的安全漏洞数据包括：通过网络爬虫器持续、定时地从互联网安全漏洞库中获取最新的安全漏洞数据。应用本专利技术提供的安全漏洞回溯分析方法，本专利技术通过采集网络本文档来自技高网...

【技术保护点】
一种安全漏洞回溯分析方法，其特征在于，包括：采集网络中安全设备的日志数据和路由交换设备的Netflow数据；将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网络数据流；将所述时序网络数据流存储于分布式文件存储系统HDFS中；通过网络爬虫器获取最新的安全漏洞数据，并将所述安全漏洞数据转化为回溯分析规则；从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据；根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数。

【技术特征摘要】
1.一种安全漏洞回溯分析方法，其特征在于，包括：采集网络中安全设备的日志数据和路由交换设备的Netflow数据；将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网络数据流；将所述时序网络数据流存储于分布式文件存储系统HDFS中；通过网络爬虫器获取最新的安全漏洞数据，并将所述安全漏洞数据转化为回溯分析规则；从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据；根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数。2.根据权利要求1所述的方法，其特征在于，所述将所述安全漏洞数据转化为回溯分析规则包括：采用正则表达式，将所述安全漏洞数据转化为回溯分析规则；其中，所述正则表达式中的规则内容至少包括以下一种：漏洞名称、漏洞编号、厂商、漏洞等级、影响协议、影响端口、影响操作系统、漏洞详情。3.根据权利要求1所述的方法，其特征在于，所述从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据包括：采用批处理算法，从HDFS中提取出所述时序网络数据流；根据所述回溯分析规则，获取与所述时序网络数据流相匹配的时序网络数据序列；按照IP地址聚合计算方法，对所述时序网络数据序列进行计算，获得所述受安全漏洞影响的IP资产相关数据；其中，所述IP资产相关数据包括受安全漏洞影响的IP地址和所述IP地址的统计信息；所述IP地址的统计信息包括：所述IP地址匹配命中的安全日志数量、所述IP地址匹配命中的流量和所述IP地址受影响的总时长。4.根据权利要求1-3任一项所述的方法，其特征在于，所述根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数包括：利用公式计算得到所述安全漏洞影响指数f(x)；其中，Li为IPi的安全日志数量；Pfi为IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0～1；Pti为IPi的影响时长占回溯分析周期内总时长的比值，取值范围为0～1；IPi为受安全漏洞影响的IP序列中的第i个，i为正整数。5.根据权利要求1所述的方法，其特征在于，所述采集网络中安全设备的日志数据和路由交换设备的Netflow数据包括：通过系统日志syslog协议采集企业网络中安全设备的日志数据；通过Netflow协议及类Netflow协议采集路由交换设备的Netflow数据。6.根据权利要求1所述的方法，其特征在于，将所述时序网络数据流存储于HDFS中包括：以预设时间为周期，周期性地将获得的时序网络数据流存储于HDFS中。7.根据权利要求6所述的方法，其特征在于，所述将所述时序网络数据流存储于HDFS中后，所述方法还包括：为存储的时序网络数据流增加时间戳。8.根据权利要求1所述的方法，其特征在于，所述通过网络爬虫器获取最新的安全漏洞数据包括：通过网络爬虫器持续、定时地从...

【专利技术属性】
技术研发人员：张延佳，
申请(专利权)人：北京启明星辰信息安全技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京;11