一种基于日志分析的网络攻击检测方法及装置制造方法及图纸

本发明专利技术提供了一种基于日志分析的网络攻击检测方法及装置，涉及网络信息安全技术领域。方法包括：读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；根据服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景；从预先设置的策略库中选取与扫描场景唯一对应的扫描策略；根据扫描策略对待检测日志进行扫描，生成日志安全扫描结果；根据预先设置的文件格式输出日志安全扫描结果、扫描场景及扫描策略。

A network attack detection method and device based on log analysis

The invention provides a network attack detection method and device based on log analysis, and relates to the field of network information security technology. The methods include: reading the server log file, obtaining the network address of the host, the server port number, the application type and the type of fault, and judging the format type of the server log according to the header format information of the server log file; according to the format type used by the server log and the test to be detected The network address of the host, the server port number, the application type and the type of fault, match the pre set scene type, determine the scanning scene corresponding to the detected log, select the scanning strategy that corresponds to the scan scene from the pre set policy library, and scan the detection log according to the scanning strategy, Log security scanning results are generated; log security scanning results, scanning scenarios and scanning strategies are output according to pre-set file formats.

【技术实现步骤摘要】
一种基于日志分析的网络攻击检测方法及装置
本专利技术涉及网络信息安全
，尤其涉及一种基于日志分析的网络攻击检测方法及装置。
技术介绍
当前，随着网络信息技术的不断发展，网络服务器等也同样面对各种类型的攻击。为了保证网络服务器等的安全，一般需要进行网络攻击检测。例如，针对网页服务器的网络攻击检测主要可以分为事前检测和事后检测，其中事前检测是通过预设的安全策略，对具有恶意行为特征的网络访问行为进行识别，以实现对网络入侵行为的预警和阻断。事前检测主要包括软件检测和硬件检测，其中软件检测主要包括各类终端安全防御软件、专用杀毒软件等；硬件检测主要通过专用的安全设备完成，安全设备除了包括传统的防火墙，还包括入侵检测系统、入侵防御系统、网络安全扫描设备等。另外，事后检测也可以通过软件或硬件完成，其主要原理是通过识别网络攻击者在完成攻击行为过程中留下的痕迹，实现识别网络攻击的目的，继而推断出网络攻击者的攻击路径，对特定的安全风险点进行封堵，避免同类入侵的再次发生。可能发现攻击者痕迹的位置主要包括服务器端口配置、网络设备路由配置、防火墙策略配置、网络设备日志、服务器日志、服务器软件配置、数据库数据、操作系统配置等。其中服务器端口配置、网络设备路由配置、防火墙策略配置、服务器软件配置的痕迹属于静态痕迹，可以体现入侵者攻击后的系统状态；服务器日志和网络设备日志则属于动态记录，可以体现出网络攻击进行过程中的一系列操作或访问行为，可以较为准确的对网络攻击者的行为进行识别，通过静态记录再现攻击过程。当前电力信息网络同样面对网络攻击检测的问题，而网络安全检查的重要内容是对单台网页服务器进行安全入侵的事后扫描。由于电力信息网络安全设计的独特性，不允许在检测过程中对当前的网络结构进行改变，因此无法使用硬件接入型的网络安全设备进行扫描。另外由于网络结构和对外提供的服务类型相对固定，电力信息网络单台服务器安全检测的环境较为单一。可见，当前如何对电力信息网络进行网络攻击检测成为了一个亟待解决的问题。
技术实现思路
本专利技术的实施例提供一种基于日志分析的网络攻击检测方法及装置，以实现对电力信息网络进行网络攻击检测。为达到上述目的，本专利技术采用如下技术方案：一种基于日志分析的网络攻击检测方法，包括：读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景；从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略；所述扫描策略用于表示扫描过程中所应用的扫描逻辑；根据所述扫描策略对所述待检测日志进行扫描，生成日志安全扫描结果；根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。具体的，所述读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型，包括：采用自动化的端口扫描脚本，根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型；所述网络中间件服务类型包括：IIS、Tomcat、Jboss、Weblogic以及Websphere；根据所述网络中间件服务类型，采用预先配置的默认路径及常见配置路径，通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在服务器日志文件；若所述默认路径及常见配置路径中存在服务器日志文件，读取所述服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，并根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；所述服务器日志采用的格式类型为CLF、ECLF或ExLF。具体的，根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景，包括：在预先设置的场景类型匹配内置字典中匹配查找所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型，确定待检测日志对应的扫描场景。具体的，所述扫描策略包括分组排序策略和匹配模板；所述分组排序策略包括：根据同一IP地址的单次会话对各待检测日志进行分组，以同一IP地址的单次会话的日志条目数量对各分组进行排序，并逐一对各分组进行扫描；根据同一IP地址的单次会话对各待检测日志进行分组，将同一IP地址的分组数量进行排序，并将排序后的同一IP地址的分组按照会话长度进行排序，并逐一对各分组进行扫描；根据固定时间长度对各待检测日志进行分组，并以固定时间长度内日志条目数量对各分组进行排序，并逐一对各分组进行扫描；所述匹配模板用于表示网络攻击类型，所述网络攻击类型包括：SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。具体的，根据所述扫描策略对所述待检测日志进行扫描，生成日志安全扫描结果，包括：根据所述扫描策略对所述待检测日志进行扫描；在扫描过程中，对所述待检测日志按照所述分组排序策略进行分组和排序，再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配，生成日志安全扫描结果；所述将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配，生成日志安全扫描结果，包括：将单一日志条目分组确定为有序串x，所述有序串x的长度为分组内条目个数i，将匹配模板视为有序串y，有序串y的长度为模板内访问动作的数量j，匹配算法使用最长公共子序列的动态规划算法，算法时间及空间复杂度均为i+j，获得x与y的最长公共子序列c，最长公共子序列c的长度为c[i,j]，将确定为此次匹配的吻合率；将吻合率在固定阈值以上的匹配过程中的日志目标分组确定为日志安全扫描结果；其中，xi为长度为i的有序串x，yj为长度为j的有序串y。具体的，根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略，包括：根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略；所述日志安全扫描结果中包括所述吻合率。一种基于日志分析的网络攻击检测装置，包括：日志类型识别单元，用于读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；扫描场景确定单元，用于根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景；扫描策略确定单元，用于从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略；所述扫描策略用于表示扫描过程中所应用的扫描逻辑；扫描单元，用于根据所述扫描策略对所述待检测日志进行扫描，生成日志安全扫描结果；结果输出单元，用于根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。此外，所述日志类型识别单元，具体用于：采用自动化的端口扫描脚本，根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型；所述网络中间件服务类型包括：IIS、Tom本文档来自技高网...

【技术保护点】
1.一种基于日志分析的网络攻击检测方法，其特征在于，包括：读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景；从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略；所述扫描策略用于表示扫描过程中所应用的扫描逻辑；根据所述扫描策略对所述待检测日志进行扫描，生成日志安全扫描结果；根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。

【技术特征摘要】
1.一种基于日志分析的网络攻击检测方法，其特征在于，包括：读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景；从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略；所述扫描策略用于表示扫描过程中所应用的扫描逻辑；根据所述扫描策略对所述待检测日志进行扫描，生成日志安全扫描结果；根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。2.根据权利要求1所述的基于日志分析的网络攻击检测方法，其特征在于，所述读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型，包括：采用自动化的端口扫描脚本，根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型；所述网络中间件服务类型包括：IIS、Tomcat、Jboss、Weblogic以及Websphere；根据所述网络中间件服务类型，采用预先配置的默认路径及常见配置路径，通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在服务器日志文件；若所述默认路径及常见配置路径中存在服务器日志文件，读取所述服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，并根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；所述服务器日志采用的格式类型为CLF、ECLF或ExLF。3.根据权利要求2所述的基于日志分析的网络攻击检测方法，其特征在于，根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景，包括：在预先设置的场景类型匹配内置字典中匹配查找所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型，确定待检测日志对应的扫描场景。4.根据权利要求3所述的基于日志分析的网络攻击检测方法，其特征在于，所述扫描策略包括分组排序策略和匹配模板；所述分组排序策略包括：根据同一IP地址的单次会话对各待检测日志进行分组，以同一IP地址的单次会话的日志条目数量对各分组进行排序，并逐一对各分组进行扫描；根据同一IP地址的单次会话对各待检测日志进行分组，将同一IP地址的分组数量进行排序，并将排序后的同一IP地址的分组按照会话长度进行排序，并逐一对各分组进行扫描；根据固定时间长度对各待检测日志进行分组，并以固定时间长度内日志条目数量对各分组进行排序，并逐一对各分组进行扫描；所述匹配模板用于表示网络攻击类型，所述网络攻击类型包括：SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。5.根据权利要求4所述的基于日志分析的网络攻击检测方法，其特征在于，根据所述扫描策略对所述待检测日志进行扫描，生成日志安全扫描结果，包括：根据所述扫描策略对所述待检测日志进行扫描；在扫描过程中，对所述待检测日志按照所述分组排序策略进行分组和排序，再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配，生成日志安全扫描结果；所述将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配，生成日志安全扫描结果，包括：将单一日志条目分组确定为有序串x，所述有序串x的长度为分组内条目个数i，将匹配模板视为有序串y，有序串y的长度为模板内访问动作的数量j，匹配算法使用最长公共子序列的动态规划算法，算法时间及空间复杂度均为i+j，获得x与y的最长公共子序列c，最长公共子序列c的长度为c[i,j]，将确定为此次匹配的吻合率；将吻合率在固定阈值以上的匹配过程中的日志目标分组确定为日志安全扫描结果；其中，xi为长度为i的有序串x，yj为长度为j的有序串y。6.根据权利要求5所述的基于日志分析的网络攻击检测方法，其特征在于，根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略，包括：根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略；所述日志安全扫描结果中包括所述吻合率。7.一种基于日志分析的网络攻击检测装置，其特征在于，包括：日志类型识别单元，用于读取服务器日志文件，获取待检测日志对应的主机的网络地址、服务器端口号、应用类型及故障类型，根据服务器日志文件的头部格式信息判断服务器日志采用的格式类型；扫描场景确定单元，用于根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型，与预先设置的场景类型进行匹配，确定待检测日志对应的扫描场景；扫描策略确定单元，用于从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略；所述扫描策略用于表示扫描过程中所应用的扫描逻辑；扫描单元，用于根据所述扫...

【专利技术属性】
技术研发人员：徐小天，陈乐然，李敏，孙跃，高冉馨，陈威，
申请(专利权)人：华北电力科学研究院有限责任公司，国网冀北电力有限公司电力科学研究院，国家电网公司，
类型：发明
国别省市：北京,11