基于时间线的网络安全事件过程分析方法及系统技术方案

本发明专利技术提供了一种基于时间线的网络安全事件过程分析方法及系统，该方法包括：获取被攻击对象的日志文件位置；读取位于日志文件位置处的日志文件；根据日志时间线算法对日志文件中的内容进行分析，以得到网络安全事件中攻击对象的攻击路径。本发明专利技术中的基于时间线的网络安全事件过程分析方法能够自动对日志文件中的内容进行分析，更加智能，提高了效率，并且，是通过日志时间线算法对日志文件中的内容进行的分析，能够得到网络安全事件中攻击对象的攻击路径，缓解了传统人工分析方法无法对攻击对象的攻击路径进行还原，并且分析效率低下，智能程度差的技术问题。

Analysis method and system of network security event process based on time line

The present invention provides a kind of network security events based on the time line analysis method and system, comprising the steps of: obtaining the object of attack log file location at the location of the log file; reading log files; according to the log time line algorithm to analyze the log file in the content object to get network attack attack path in the event of security. The invention of the network security event time line process analysis method can automatically log files in the content analysis, based on more intelligence, improve efficiency, and is based on the analysis of the contents of the log file for log time line algorithm, attack path object attack can get network security events, relief the traditional manual analysis method cannot attack path to attack the object of reduction, and analysis of low efficiency, poor intelligence technical problems.

【技术实现步骤摘要】
基于时间线的网络安全事件过程分析方法及系统
本专利技术涉及信息安全的
，尤其是涉及一种基于时间线的网络安全事件过程分析方法及系统。
技术介绍
黑客攻击事件随着互联网的发展愈演愈烈，攻击手段及工具在互联网上可以随意获取。在受害群体方面，特别是政府网站及相关业务系统尤其受到黑客的攻击“青睐”，2015年度就较上一年度的攻击事件上涨了37％。人们迫切的想要知道黑客(即，攻击对象)攻击的途径，即黑客是如何通过层层设备从而实施对服务器的攻击的。但是目前社会上的产品及提出的方法，均是针对安全事件后对某一个服务器或者设备进行取证(比如，人工查看被攻击服务器的日志，查看交换机的日志等)，然后人工对这些日志进行分析。人工分析时，无法对黑客的攻击路径进行还原，并且人工分析过程效率低下，智能程度差。
技术实现思路
有鉴于此，本专利技术的目的在于提供基于时间线的网络安全事件过程分析方法及系统，以缓解人工对网络安全事件过程进行分析时，无法还原黑客的攻击路径，并且人工分析过程效率低下，智能程度差的技术问题。第一方面，本专利技术实施例提供了一种基于时间线的网络安全事件过程分析方法，所述方法包括：获取被攻击对象的日志文件位置，其中，所述被攻击对象为与所述网络安全事件相关的对象；读取位于所述日志文件位置处的日志文件；根据日志时间线算法对所述日志文件中的内容进行分析，以得到所述网络安全事件中攻击对象的攻击路径，其中，所述攻击对象为对所述被攻击对象进行攻击的对象。结合第一方面，本专利技术实施例提供了第一方面的第一种可能的实施方式，其中，所述被攻击对象包括以下至少之一：网络设备，安全设备，服务器设备，应用系统，数据库，交换机，防火墙，路由器。结合第一方面，本专利技术实施例提供了第一方面的第二种可能的实施方式，其中，根据日志时间线算法对所述日志文件中的内容进行分析包括：获取所述日志文件中各个访问日志记录的访问时间戳，其中，所述访问时间戳用于表示所述访问日志记录的访问时间；根据所述访问时间戳的时间先后顺序，对所述访问日志记录进行排序，得到第一结果；对所述第一结果进行IP过滤筛选，以在所述第一结果中去除目标访问日志记录，得到第二结果，其中，所述目标访问日志记录与所述网络安全事件无关的访问日志记录；将攻击事件特征库与所述第二结果中的访问日志记录进行对比，以根据对比结果确定所述网络安全事件中攻击对象的攻击路径，其中，所述对比结果用于表征所述第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录，所述攻击事件特征库为包含所述攻击事件的特征信息的数据库，所述特征信息至少包括攻击事件名称和/或危害等级。结合第一方面，本专利技术实施例提供了第一方面的第三种可能的实施方式，其中，将攻击事件特征库与所述第二结果中的访问日志记录进行对比，以根据对比结果确定所述网络安全事件中攻击对象的攻击路径包括：如果所述对比结果为所述第二结果中的访问日志记录为所述攻击事件所生成的访问日志记录，则根据所述对比结果生成网络攻击记录，其中，所述网络攻击记录中至少包括：所述第二结果中的访问日志记录的信息，所述特征信息；确定与所述网络攻击记录相对应的目标被攻击对象；按照所述访问时间戳的时间先后顺序，对所述目标被攻击对象的所述网络攻击记录进行排序，得到所述网络安全事件中攻击对象的攻击路径。结合第一方面，本专利技术实施例提供了第一方面的第四种可能的实施方式，其中，确定与所述网络攻击记录相对应的目标被攻击对象包括：根据所述日志文件的格式确定与所述访问日志记录对应的所述目标被攻击对象，其中，所述日志文件的格式与所述被攻击对象相关联；控制所述网络攻击记录继承所述目标被攻击对象。结合第一方面，本专利技术实施例提供了第一方面的第五种可能的实施方式，其中，在根据所述对比结果生成网络攻击记录之后，在确定与所述网络攻击记录相对应的目标被攻击对象之前，所述方法还包括：将所述网络攻击记录保存至数据库；对所述网络攻击记录进行拆解，以分别按照所述网络攻击记录的IP地址、所述网络攻击记录的端口、所述网络攻击记录的攻击事件名称和所述网络攻击记录的危害等级进行显示。结合第一方面，本专利技术实施例提供了第一方面的第六种可能的实施方式，其中，在根据日志时间线算法对所述日志文件中的内容进行分析，以得到所述网络安全事件中攻击对象的攻击路径之后，所述方法还包括：根据所述网络安全事件中攻击对象的攻击路径生成分析报告，其中，所述分析报告用于以列表形式表示所述网络安全事件的发生过程。第二方面，本专利技术实施例还提供了一种基于时间线的网络安全事件过程分析系统，所述系统包括：获取模块，用于获取被攻击对象的日志文件位置，其中，所述被攻击对象为与所述网络安全事件相关的对象；读取模块，用于读取位于所述日志文件位置处的日志文件；分析模块，用于根据日志时间线算法对所述日志文件中的内容进行分析，以得到所述网络安全事件中攻击对象的攻击路径，其中，所述攻击对象为对所述被攻击对象进行攻击的对象。结合第二方面，本专利技术实施例提供了第二方面的第一种可能的实施方式，其中，所述被攻击对象包括以下至少之一：网络设备，安全设备，服务器设备，应用系统，数据库，交换机，防火墙，路由器。结合第二方面，本专利技术实施例提供了第二方面的第二种可能的实施方式，其中，所述分析模块包括：获取子模块，用于获取所述日志文件中各个访问日志记录的访问时间戳，其中，所述访问时间戳用于表示所述访问日志记录的访问时间；排序子模块，用于根据所述访问时间戳的时间先后顺序，对所述访问日志记录进行排序，得到第一结果；过滤筛选子模块，用于对所述第一结果进行IP过滤筛选，以在所述第一结果中去除目标访问日志记录，得到第二结果，其中，所述目标访问日志记录与所述网络安全事件无关的访问日志记录；对比子模块，用于将攻击事件特征库与所述第二结果中的访问日志记录进行对比，以根据对比结果确定所述网络安全事件中攻击对象的攻击路径，其中，所述对比结果用于表征所述第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录，所述攻击事件特征库为包含所述攻击事件的特征信息的数据库，所述特征信息至少包括攻击事件名称和/或危害等级。本专利技术实施例带来了以下有益效果：本专利技术实施例提供了一种基于时间线的网络安全事件过程分析方法及系统，该方法包括：在移动存储器中获取被攻击对象的日志文件位置，其中，被攻击对象为与网络安全事件相关的对象；读取移动存储器中位于日志文件位置处的日志文件；根据日志时间线算法对日志文件中的内容进行分析，以得到网络安全事件中攻击对象的攻击路径，其中，攻击对象为对被攻击对象进行攻击的对象。传统的网络安全事件分析方法中，一般是对发生安全事件的被攻击对象进行取证，然后，人工对取得的证据进行分析。与传统的网络安全事件分析方法相比，本专利技术中的基于时间线的网络安全事件过程分析方法中，先获取被攻击对象的日志文件位置，然后，读取位于日志文件位置处的日志文件，最后，根据日志时间线算法对日志文件中的内容进行分析，得到网络安全事件中攻击对象的攻击路径。本专利技术中的基于时间线的网络安全事件过程分析方法能够自动对日志文件中的内容进行分析，更加智能，提高了效率，并且，是通过日志时间线算法对日志文件中的内容进行的分析，能够得到网络安全事件中攻击对象的攻击路径，缓解了传统人工分析方法无法对本文档来自技高网...

【技术保护点】
一种基于时间线的网络安全事件过程分析方法，其特征在于，所述方法包括：获取被攻击对象的日志文件位置，其中，所述被攻击对象为与所述网络安全事件相关的对象；读取位于所述日志文件位置处的日志文件；根据日志时间线算法对所述日志文件中的内容进行分析，以得到所述网络安全事件中攻击对象的攻击路径，其中，所述攻击对象为对所述被攻击对象进行攻击的对象。

【技术特征摘要】
1.一种基于时间线的网络安全事件过程分析方法，其特征在于，所述方法包括：获取被攻击对象的日志文件位置，其中，所述被攻击对象为与所述网络安全事件相关的对象；读取位于所述日志文件位置处的日志文件；根据日志时间线算法对所述日志文件中的内容进行分析，以得到所述网络安全事件中攻击对象的攻击路径，其中，所述攻击对象为对所述被攻击对象进行攻击的对象。2.根据权利要求1所述的方法，其特征在于，所述被攻击对象包括以下至少之一：网络设备，安全设备，服务器设备，应用系统，数据库，交换机，防火墙，路由器。3.根据权利要求1所述的方法，其特征在于，根据日志时间线算法对所述日志文件中的内容进行分析包括：获取所述日志文件中各个访问日志记录的访问时间戳，其中，所述访问时间戳用于表示所述访问日志记录的访问时间；根据所述访问时间戳的时间先后顺序，对所述访问日志记录进行排序，得到第一结果；对所述第一结果进行IP过滤筛选，以在所述第一结果中去除目标访问日志记录，得到第二结果，其中，所述目标访问日志记录与所述网络安全事件无关的访问日志记录；将攻击事件特征库与所述第二结果中的访问日志记录进行对比，以根据对比结果确定所述网络安全事件中攻击对象的攻击路径，其中，所述对比结果用于表征所述第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录，所述攻击事件特征库为包含所述攻击事件的特征信息的数据库，所述特征信息至少包括攻击事件名称和/或危害等级。4.根据权利要求3所述的方法，其特征在于，将攻击事件特征库与所述第二结果中的访问日志记录进行对比，以根据对比结果确定所述网络安全事件中攻击对象的攻击路径包括：如果所述对比结果为所述第二结果中的访问日志记录为所述攻击事件所生成的访问日志记录，则根据所述对比结果生成网络攻击记录，其中，所述网络攻击记录中至少包括：所述第二结果中的访问日志记录的信息，所述特征信息；确定与所述网络攻击记录相对应的目标被攻击对象；按照所述访问时间戳的时间先后顺序，对所述目标被攻击对象的所述网络攻击记录进行排序，得到所述网络安全事件中攻击对象的攻击路径。5.根据权利要求4所述的方法，其特征在于，确定与所述网络攻击记录相对应的目标被攻击对象包括：根据所述日志文件的格式确定与所述访问日志记录对应的所述目标被攻击对象，其中，所述日志文件的格式与所述被攻击对象相关联...

【专利技术属性】
技术研发人员：梅岳星，范渊，黄进，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33