基于日志分析的病毒溯源方法、系统、设备及储存介质技术方案

本发明专利技术公开了一种基于日志分析的病毒溯源方法、系统、设备及储存介质，该方法包括:收集计算机网络中日志信息，并统一集中于syslog服务器；对收集的日志信息进行数据清洗；对数据清洗后的日志信息进行资产信息提取、病毒日志提取以及病毒行为信息提取，并存储至数据库；对提取的资产信息、病毒日志、病毒行为信息进行关联分析，获得病毒传播路径，并存储至数据库；将数据库中存储的病毒传播路径以树形结构绘制表达；该方法解决了现有方法无法高效全面的追溯病毒传播路径的问题，该方法可从某个已发现病毒设备作为入口并追踪该病毒在计算机网络中的传播路径，能够极大的提升计算机网络中病毒溯源的效率。络中病毒溯源的效率。络中病毒溯源的效率。

【技术实现步骤摘要】
基于日志分析的病毒溯源方法、系统、设备及储存介质


[0001]本专利技术涉及网络安全
，特别是涉及一种基于日志分析的病毒溯源方法、系统、设备及储存介质。

技术介绍

[0002]随着网络科技的发展进步，信息安全也受到了越来越多的潜在威胁，成为企业和组织安全中不可忽略的一个环节。当前网络威胁攻击呈多元化、隐秘化、组织化。针对海量、异构、多源的信息安全数据缺乏统一认知和管理。攻击手段、攻击威胁链的形成，让单一手段的信息安全检测、防护都不能满足当下的信息安全威胁形式。从传统信息安全的结果数据中，如何挖掘潜在威胁，如何形成威胁攻击链，如何形成威胁溯源取证以及如何实现针对威胁攻击趋势的态势分析。就成为当下，我们信息安全威胁分析的重中之重。目前对于网络中出现的病毒，追溯病毒只能通过人工检索各个安全系统、设备、软件的日志，按照时序对日志中病毒出现的痕迹向前推导病毒传播路径，人工筛查海量日志中出现的病毒痕迹十分耗时且易产生误差。

技术实现思路

[0003]本专利技术要解决的技术问题是提供一种基于日志分析的病毒溯源方法、系统、设备及储存介质，可解决现有方法无法高效全面的追溯病毒传播路径的问题，从而克服现有技术的不足。
[0004]为解决上述技术问题，本专利技术公开有一种基于日志分析的病毒溯源方法，其包括如下步骤：
[0005]步骤一、收集计算机网络中日志信息，并统一集中于syslog服务器；
[0006]步骤二、对收集的日志信息进行数据清洗；
[0007]步骤三、对数据清洗后的日志信息进行资产信息提取、病毒日志提取以及病毒行为信息提取，并存储至数据库；
[0008]步骤四、对提取的资产信息、病毒日志、病毒行为信息进行关联分析，获得病毒传播路径，并存储至数据库；
[0009]步骤五、将数据库中存储的病毒传播路径以树形结构绘制表达。
[0010]作为本专利技术的一种改进，所述步骤一中所收集的日志信息方式包括agent采集、syslog采集、SNMP采集、kafka采集或ftp采集。
[0011]作为本专利技术的一种改进，所述步骤四中对提取的资产信息、病毒日志、病毒行为信息进行关联分析的具体步骤包括：
[0012]首先基于终端设备中病毒日志所提取的杀毒日志信息，获取全部已扫描到的病毒信息，针对已扫描到的每个病毒信息分别在网关设备处进行筛选，确定是否存在与对应病毒相关的病毒行为信息，病毒行为信息包括病毒执行时的网络行为信息、文件行为信息及进程行为信息；
[0013]基于病毒行为信息进行分析，提取获得所有与对应病毒行为相关联的终端设备信息，以获得感染病毒的终端设备；
[0014]通过网关设备的记录数据获取每个感染病毒的终端设备所对应的全部网络行为，并根据每条网络行为分析所关联的关联终端设备，进而获得网络中对应病毒所感染的全部终端设备；
[0015]根据网络行为信息中病毒传播先后顺序获知病毒感染方向，以获得病毒在终端设备传播路径，进而构建出病毒感染的树形结构。
[0016]作为本专利技术的进一步改进，所述步骤二中数据清洗过程包括无效日志过滤、日志归一化以及日志标记；
[0017]所述无效日志过滤方法包括删除重复日志、格式不正确的日志、缺失关键信息的日志或过时日志；
[0018]所述日志归一化方法包括日志规范化、将日志格式统一形成标准事件，将多源系统中的病毒发现日志、网络行为日志、进程行为日志或文件行为日志统一为一种格式；
[0019]所述日志标记方法包括时间戳、事件类型、源IP地址、目标IP地址、协议类型或事件描述，通过日志标记快速地定位和追踪病毒的传播路径。
[0020]作为本专利技术的进一种改进，所述步骤一中收集的日志信息包括网络设备、防火墙、防病毒装置的日志信息，以及终端杀毒软件、操作系统、应用程序软件的日志信息。
[0021]同时本专利技术还公开有一种基于日志分析的病毒溯源系统，其包括：
[0022]日志采集模块，用于收集计算机网络的日志信息，并统一集中于syslog服务器；
[0023]日志清洗模块，用于对日志采集模块传输的日志信息进行数据清洗；
[0024]信息提取模块，用于对日志信息进行资产信息提取、病毒记录提取以及病毒行为信息提取，并存储至数据库；
[0025]关联分析模块，用于对资产信息、病毒记录、病毒行为信息进行关联分析，获得病毒传播路径，并存储至数据库；
[0026]路径绘制模块，用于将数据库中存储的病毒传播路径以树形结构绘制出来。
[0027]作为本专利技术的进一步改进，所述日志采集模块中所收集的日志文件统一由syslog服务器上报至日志清洗模块。
[0028]作为本专利技术的进一步改进，所述信息提取模块中包括资产信息提取模块、病毒日志抽取模块以及病毒痕迹抽取模块，其中所述信息资产提取模块用于对日志信息中出现的资产信息进行提取；所述病毒日志抽取模块用于提取日志信息中出现的病毒记录；所述病毒痕迹抽取模块用于提取日志信息中病毒执行时的网络行为、文件行为及进程行为信息。
[0029]此外本专利技术还公开有一种电子设备，该电子设备包括：
[0030]至少一个处理器；以及，
[0031]与所述至少一个处理器通信连接的存储器；其中，
[0032]所述存储器存储有能够被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行时，使所述至少一个处理器执行上述的病毒溯源方法。
[0033]此外本专利技术更进一步公开有一种非暂态计算机可读存储介质，其中所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令当由至少一个处理器执行时使所述至少一个处理器执行如上述的病毒溯源方法。
[0034]采用这样的设计后，本专利技术至少具有以下优点：
[0035]本专利技术的病毒溯源方法是通过收集计算机网络中网络安全设备或防病毒软件中的日志信息，并对日志进行关联、统计、搜索、钻取分析，从而定位到病毒爆发的源头，并且绘制出病毒传播路径。该方法可对网络中病毒传播状况做出全局性的告警，可从某个已发现病毒作为入口并追踪该病毒在计算机网络中的传播路径，能够极大的提升计算机网络中病毒溯源的效率。
附图说明
[0036]上述仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，以下结合附图与具体实施方式对本专利技术作进一步的详细说明。
[0037]图1是本专利技术实施例病毒溯源方法的流程示意图。
[0038]图2是本专利技术实施例病毒溯源方法中进行关联分析的流程示意图。
[0039]图3是本专利技术实施例中病毒溯源方法系统的结构示意图。
[0040]图4是本专利技术实施例中日志采集模块进行日志采集的示意图。
具体实施方式
[0041]下面结合附图对本公开实施例进行详细描述。
[0042]以下通过特定的具体实例说明本公开的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然，所描述的实施例本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于日志分析的病毒溯源方法，其特征在于，包括如下步骤：步骤一、收集计算机网络中日志信息，并统一集中于syslog服务器；步骤二、对收集的日志信息进行数据清洗；步骤三、对数据清洗后的日志信息进行资产信息提取、病毒日志提取以及病毒行为信息提取，并存储至数据库；步骤四、对提取的资产信息、病毒日志、病毒行为信息进行关联分析，获得病毒传播路径，并存储至数据库；步骤五、将数据库中存储的病毒传播路径以树形结构绘制表达。2.根据权利要求1所述的病毒溯源方法，其特征在于，所述步骤一中所收集的日志信息方式包括agent采集、syslog采集、SNMP采集、kafka采集或ftp采集。3.根据权利要求1所述的病毒溯源方法，其特征在于，所述步骤四中对提取的资产信息、病毒日志、病毒行为信息进行关联分析的具体步骤包括：首先基于终端设备中病毒日志所提取的杀毒日志信息，获取全部已扫描到的病毒信息，针对已扫描到的每个病毒信息分别在网关设备处进行筛选，确定是否存在与对应病毒相关的病毒行为信息，病毒行为信息包括病毒执行时的网络行为信息、文件行为信息及进程行为信息；基于病毒行为信息进行分析，提取获得所有与对应病毒行为相关联的终端设备信息，以获得感染病毒的终端设备；通过网关设备的记录数据获取每个感染病毒的终端设备所对应的全部网络行为，并根据每条网络行为分析所关联的关联终端设备，进而获得网络中对应病毒所感染的全部终端设备；根据网络行为信息中病毒传播先后顺序获知病毒感染方向，以获得病毒在终端设备传播路径，进而构建出病毒感染的树形结构。4.根据权利要求1所述的病毒溯源方法，其特征在于，所述步骤二中数据清洗过程包括无效日志过滤、日志归一化以及日志标记；所述无效日志过滤方法包括删除重复日志、格式不正确的日志、缺失关键信息的日志或过时日志；所述日志归一化方法包括日志规范化、将日志格式统一形成标准事件，将多源系统中的病毒发现日志、网络行为日志、进程行为日志或文件行为日志统一为一种格式；所述日志标记方法包括...

【专利技术属性】
技术研发人员：郭昌盛，徐若愚，王磊，姜昱西，
申请(专利权)人：北京江民新科技术有限公司，
类型：发明
国别省市：