本发明专利技术公开了一种网络攻击分析方法,实现了根据入侵检测设备产生的海量日志,评估当前网络攻击状况,并描述当前最应关注的攻击情况。所述方法包括:获取入侵检测设备的日志,通过计算入侵检测设备日志源地址和目的地址的分布状况,判断是否存在大规模网络攻击事件;根据源地址、目的地址、事件类型三个参数上对入侵检测设备日志进行归并,检测出并报告异常地址、热点事件;统计并通过图形展示热点事件在指定时间段内的传播过程;对上述输出结果进行关联,给出当前网络攻击状况的综合评价。所述系统包括熵模块单元、三元组模块单元、热点事件传播展示模块单元、综合关联分析模块单元。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,具体涉及一种网络攻击分析方法。
技术介绍
Internet的飞速发展,为信息的传播和利用带来了极大的方便,同时也使人类社会面临着信息安全的巨大挑战。为了缓解日益严重的安全问题,入侵检测设备(IDS:IntrusionDetectionSystem)得到了越来越广泛的部署。IDS安装在被保护的网段中,其监听网卡工作在混杂模式下,分析网段中所有的数据包,进行网络攻击事件的实时检测和响应。目前IDS普遍采用误用检测技术,其检测方法为:首先对标识特定的入侵行为模式进行编码,建立误用模式库,然后对实际检测过程中得到的事件数据进行过滤,检查是否包含入侵行为的标识。如果检测到入侵行为,则产生一条对应的日志,其中包含了入侵行为发起方地址(源地址)、入侵行为目标地址(目的地址)、入侵行为描述(事件类型)等信息。入侵检测设备的大量引入一方面保护了信息系统的安全,另一方面也带来了新的问题,概况起来主要体现在以下两个方面:1.连续运行的入侵检测设备会产生海量的日志,而真正有价值的报警信息被淹没在海量日志中。由于报警量大、不相关报警多,安全管理人员的大部分精力被耗费在处理无用信息上,很难了解系统的安全威胁状况。2.现有的入侵检测设备大都是基于单个数据包进行检测的,体现在表现形式上,入侵检测设备的报警信息为孤立的入侵事件。这样当出现大规模网络异常行为时,很难从报警信息中直观获取异常行为的特点,难以从整体上评估当前的网络攻击状况。
技术实现思路
本专利技术的目的在于克服现有技术中的上述缺陷,实现对海量日志的自动分析,给出对当前网络攻击状况的评价,以提高安全管理的效率。根据本专利技术的目的,本专利技术提供了一种网络攻击分析方法,其特征在于,该方法包括以下步骤:A.用于进行熵检测的步骤:读取所述入侵检测设备日志,计算所述入侵检测设备日志的源地址和目的地址的熵分布值,判断是否存在大规模的网络攻击事件,并输出判断结果;B.用于进行三元组检测的步骤:读取所述入侵检测设备日志,根据源地址、目的地址、事件类型三个参数,对所述入侵检测设备日志进行归并,检测并报告异常地址或热点事件,并输出检测结果;C.用于进行热点事件传播展示的步骤:读取所述入侵检测设备日志,统计并展示热点事件在指定时间段内的传播过程,并输出统计结果;D.用于进行综合关联分析的步骤:根据上述三个步骤输出的判断结果、检测结果、统计结果进行关联分析,给出当前网络攻击状况的评价。根据该方法,所述步骤A中利用指数加权移动平均算法检测所述入侵检测设备日志的源地址和目的地址的熵分布值,还更进一步地进行地址分布异常判断,具体包括以下步骤:A1.学习阶段:根据设定的学习周期,建立源地址熵值、目的地址熵值的基线,所述基线包括所述熵值的正常值和波动范围;A2.实时检测阶段:根据学习阶段建立的源地址熵、目的地址熵的基线,判断当前源地址熵值、目的地址熵值是否正常,从而判断所述入侵检测设备日志的地址分布是否异常,并根据当前的地址熵值动态更新基线。根据该方法,所述步骤B对所述入侵检测设备日志进行归并后,检测并报告与源地址、目的地址、事件类型三个参数相关的事件集合。优选地,出现7种攻击情况:B1.单一方式攻击:源地址、目的地址、事件类型均相同的事件集合;B2.多种方式攻击:源地址、目的地址相同,事件类型任意的事件集合;B3.查找攻击目标:源地址、事件类型相同,目的地址任意的事件集合;B4.遭受同种攻击:目的地址、事件类型相同,源地址任意的事件集合;B5.主要攻击来源:源地址相同,目的地址、事件类型任意的事件集合;B6.濒危受害目标:目的地址相同,源地址、事件类型任意的事件集合;B7.热点事件排名:事件类型相同,源地址、目的地址任意的事件集合。根据该方法,所述步骤C中还包括根据步骤B中检测出并报告的热点事件中获取当前热点事件,然后以分钟为单位,计算出指定时间段内发出过这些事件的源地址的数量。根据该方法,所述步骤C中进行展示的方式为图形显示。根据该方法,所述步骤D给出当前网络攻击状况的评价的内容包括:源IP地址分布状况、目的IP地址分布状况、当前最活跃的攻击情况、当前的热点事件以及热点事件在过去一个设定时间段的传播过程。本专利技术的网络攻击分析方法具有以下优点:1、通过计算入侵检测设备日志的源地址和目的地址的熵分布值,能够检测出引起地址分布异常的大规模网络攻击事件,如网络扫描、分布式拒绝服务攻击等。2、根据源地址、目的地址、事件类型三个参数进行归并,能够检测出多种攻击情况,能够在发生大规模网络攻击事件时能够检测出攻击源、攻击目标和事件类型。3、通过观测和展示热点事件的传播过程,便于网络管理员判断该热点事件的发展趋势,从而制定出合理的应对措施。为了进一步说明本专利技术的原理及特性,以下结合附图和具体实施方式对本专利技术进行详细说明。附图说明图1是按照本专利技术一个实施方式的网络攻击分析系统的结构示意图。具体实施方式下面结合附图详细描述本专利技术的具体实施方式。图1是按照本专利技术一个实施方式的网络攻击分析系统的结构示意图。在按照该实施方式的网络攻击分析系统100中,包括熵模块单元101、三元组模块单元102、热点事件传播展示模块单元103、综合关联分析模块单元104。熵模块单元101用于读取一个指定时间段内的入侵检测设备日志,然后计算入侵检测设备日志的源地址和目的地址的熵分布值,判断是否存在大规模网络攻击事件,然后向综合关联分析模块单元104输出当前网络攻击事件地址分布状况的判断结果。三元组模块单元102用于读取一个时间段内的入侵检测设备日志,分别根据入侵检测设备日志的源地址、目的地址、事件类型对入侵检测设备日志进行归并,从而检测并报告异常地址、热点事件,并向综合关联分析模块单元104输出统计结果。热点事件传播展示模块单元103用于从三元组模块单元102中获取当前的热点事件,计算出指定时间段内发出过这些事件的源地址的数量,向综合关联分析模块单元104输出统计结果,同时展示热点事件在该时间段内的传播过程。优选地,上述指定时间段以分钟为单位,上述统计结果是发出热点事件的源IP地址的数量。优选地,上述展示过程采用图形方式进行显示。综合关联分析模块单元104用于分别接收来自熵模块单元101、三元组模块单元102、热点事件传播展示模块单元103的输出结果、检测结果和统计结果,并对这些接收到的结果进行关联分析。优选地,综合关联分析模块单元104对网络攻击状况进行综合评价的内容包括但不局限于:源IP地址分布状况、目的IP地址分布状况、当前最活跃的攻击情况、当前的热点事件以及热点事件在过去一个设定时间段内的传播过程。按照本专利技术的一个实施方式,三元组模块单元103向综合关联分析模块单元104输出的统计结果包括以下7种攻击情况:1、单一方式攻击:源地址、目的地址、事件类型均相同的事件集合;2、多种方式攻击:源地址、目的地址相同,事件类型任意的事件集合;3、查找攻击目标:源地址、事件类型相同,目的地址任意的事件集合;4、遭受同种攻击:目的地址、事件类型相同,源地址任意的事件集合;5、主要攻击来源:源地址相同,目的地址、事件类型任意的事件集合;6、濒危受害目标:目的地址相同,源地址、事件类型任意的事件集合;7、热点事件排名:事件类型相同,源本文档来自技高网...
【技术保护点】
一种网络攻击分析方法,通过获取海量的入侵检测设备日志,对所述入侵检测设备日志进行关联分析,其特征在于,该方法包括以下步骤:A.用于进行熵检测的步骤:读取所述入侵检测设备日志,计算所述入侵检测设备日志的源地址和目的地址的熵分布值,判断是否存在大规模的网络攻击事件,并输出判断结果;B.用于进行三元组检测的步骤:读取所述入侵检测设备日志,根据源地址、目的地址、事件类型三个参数,对所述入侵检测设备日志进行归并,检测并报告异常地址或热点事件,并输出检测结果;C.用于进行热点事件传播展示的步骤:读取所述入侵检测设备日志,统计并展示热点事件在指定时间段内的传播过程,并输出统计结果;D.用于进行综合关联分析的步骤:根据上述三个步骤输出的判断结果、检测结果、统计结果进行关联分析,给出当前网络攻击状况的评价。
【技术特征摘要】
1.一种网络攻击分析方法,通过获取海量的入侵检测设备日志,对所述入侵检测设备日志进行关联分析,其特征在于,该方法包括以下步骤:A.用于进行熵检测的步骤:读取所述入侵检测设备日志,计算所述入侵检测设备日志的源地址和目的地址的熵分布值,判断是否存在大规模的网络攻击事件,并输出判断结果;B.用于进行三元组检测的步骤:读取所述入侵检测设备日志,根据源地址、目的地址、事件类型三个参数,对所述入侵检测设备日志进行归并,检测并报告异常地址或热点事件,并输出检测结果;C.用于进行热点事件传播展示的步骤:读取所述入侵检测设备日志,统计并展示热点事件在指定时间段内的传播过程,并输出统计结果;D.用于进行综合关联分析的步骤:根据上述三个步骤输出的判断结果、检测结果、统计结果进行关联分析,给出当前网络攻击状况的评价。2.根据权利要求1所述的一种网络攻击分析方法,其特征在于,所述步骤A中利用指数加权移动平均算法检测所述入侵检测设备日志的源地址和目的地址的熵分布值,而且更进一步地进行地址分布异常判断,具体包括以下步骤:A1.学习阶段:根据设定的学习周期,建立源地址熵值...
【专利技术属性】
技术研发人员:黎健生,梁远鸿,
申请(专利权)人:柳州龙辉科技有限公司,
类型:发明
国别省市:广西;45
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。