CN104836815B - 一种基于日志分析功能的安全事件回溯方法及系统 - Google Patents
一种基于日志分析功能的安全事件回溯方法及系统 Download PDFInfo
- Publication number
- CN104836815B CN104836815B CN201510293694.7A CN201510293694A CN104836815B CN 104836815 B CN104836815 B CN 104836815B CN 201510293694 A CN201510293694 A CN 201510293694A CN 104836815 B CN104836815 B CN 104836815B
- Authority
- CN
- China
- Prior art keywords
- backtracking
- security incident
- logged result
- condition
- logged
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/064—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种基于日志分析功能的安全事件回溯方法及系统,基于日志分析功能,对于已实切发生的安全事件进行回溯,以目标源为起点,一直追溯至互联网边界,黑客在此过程中触发的安全事件根据时间点连成一条或多条安全事件链路,链路为黑客潜在攻击点。安全管理员可根据链路进行分析从而得出实际的攻击过程,后续针对实际情况进行相应的安全防护处理,可大大提高企业内部的安全等级,具有很好的市场推广应用前景。
Description
技术领域
本发明涉及日志分析技术领域,尤其涉及一种基于日志分析功能的安全事件回溯方法及系统。
背景技术
企业内部的网络信息管理系统中会设置有多台安全设备,每台安全设备都是相互独立的,每台安全设备发生的信息安全事故都可以看做是一个独立事件,企业中发生了信息安全问题,比如黑客已突破互联网防御边界,进入到企业内部网络,并在内部网络进行一定的活动,或许安全管理员能知道黑客入侵了某核心系统或某资产,比如A设备被攻击,管理员已经知晓,但是否攻击成功管理员并不清楚,或者黑客利用漏洞进入到B设备,对设备是否进行了相应的操作,这个也无法及时获悉,即对其在内网的其他活动并未能进行关联。即使针对某核心系统进行了安全防护处理,也只是治标不治本。
有鉴于此,现有技术有待改进和提高。
发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供一种基于日志分析功能的安全事件回溯方法及系统,旨在解决现有企业信息安全问题中存在的治标不治本的问题。
为了达到上述目的,本发明采取了以下技术方案:
一种基于日志分析功能的安全事件回溯方法,其中,所述方法包括以下步骤:
S100、采集日志,并设定回溯条件;
S200、根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
S300、从满足回溯条件的日志中选取某个日志结果进行安全回溯。
所述的基于日志分析功能的安全事件回溯方法,其中,所述步骤S100中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP。
所述的基于日志分析功能的安全事件回溯方法,其中,所述步骤S300中选取某个日志结果进行安全回溯具体包括:选取第n个日志结果进行安全回溯后,将第n个日志结果的目标IP作为第n+1个日志结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;
其中,第n+1个日志结果的时间早于第n个日志结果的时间,n为自然数。
一种基于日志分析功能的安全事件回溯系统,其中,包括:
设置单元,用于采集日志,并设定回溯条件;
匹配单元,用于根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
回溯单元,用于从满足回溯条件的日志中选取某个日志结果进行安全回溯。
所述的基于日志分析功能的安全事件回溯系统,其中,所述设置单元中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP。
所述的基于日志分析功能的安全事件回溯系统,其中,所述回溯单元中选取某个日志结果进行安全回溯具体包括:选取第n个日志结果进行安全回溯后,将第n个日志结果的目标IP作为第n+1个日志结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;
其中,第n+1个日志结果的时间早于第n个日志结果的时间,n为自然数。
有益效果:本发明提供的基于日志分析功能的安全事件回溯方法及系统,基于日志分析功能,对于已实切发生的安全事件进行回溯,以目标源为起点,一直追溯至互联网边界,黑客在此过程中触发的安全事件根据时间点连成一条或多条安全事件链路,链路为黑客潜在攻击点。安全管理员可根据链路进行分析从而得出实际的攻击过程,后续针对实际情况进行相应的安全防护处理,可大大提高企业内部的安全等级,具有很好的市场推广应用前景。
附图说明
图1为本发明的基于日志分析功能的安全事件回溯方法的流程图。
图2为本发明的基于日志分析功能的安全事件回溯系统的结构框图。
具体实施方式
本发明提供一种基于日志分析功能的安全事件回溯方法及系统。为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明的思路是:提供一种根据事件点将多个攻击目标串接成一条或多条追踪链路从而找出攻击者真正位置的基于日志分析功能的安全事件回溯方法。
本发明提供的一种基于日志分析功能的安全事件回溯方法,如图1所示,包括如下步骤:
S100、采集日志,并设定回溯条件;
S200、根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
S300、从满足回溯条件的日志中选取某个日志结果进行安全回溯。
下面分别针对上述步骤进行具体描述。
所述步骤S100为采集日志,并设定回溯条件。首先,进行日志采集,其采集方法为现有技术,可以由步骤S200中的日志分析匹配中得到的采集结果直接推动得到。然后,设置回溯条件,即回溯应当满足的要求,比如回溯时间等。在本实施例中,回溯条件具体包括:设置所需的安全事件回溯时间范围(此为必要条件);以及设置发生攻击的源IP或被攻击的目标IP。
所述步骤S200为根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志。具体来说,设置了回溯条件后,便可以根据回溯条件对采集到的日志进行匹配提取,得到满足所述回溯条件的日志。并可以列出相应的日志结果清单。
所述步骤S300为从满足回溯条件的日志中选取某个日志结果进行安全回溯。由于每个日志结果都具备源IP(攻击者)和目标IP(被攻击者),所以可以将某个日志结果的目标IP作为下一个目标结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路。
进一步地,在本实施例中,在进行安全事件链路的日志结果选择时,需要保证下一个日志结果的时间要早于前一个日志结果的时间。比如:选取第n个日志结果进行安全回溯后,将第n个日志结果的目标IP作为第n+1个日志结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;其中,第n+1个日志结果的时间早于第n个日志结果的时间,n为自然数。
本发明还提供了一种基于日志分析功能的安全事件回溯系统,如图2所示,其包括:
设置单元100,用于采集日志,并设定回溯条件;
匹配单元200,用于根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
回溯单元300,用于从满足回溯条件的日志中选取某个日志结果进行安全回溯。
进一步地,所述的基于日志分析功能的安全事件回溯系统中,所述设置单元中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP。
进一步地,所述的基于日志分析功能的安全事件回溯系统中,所述回溯单元中选取某个日志结果进行安全回溯具体包括:选取第n个日志结果进行安全回溯后,将第n个日志结果的目标IP作为第n+1个日志结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;其中,第n+1个日志结果的时间早于第n个日志结果的时间,n为自然数。
上述基于日志分析功能的安全事件回溯系统中的各个功能模块的具体作用,都已经在上述基于日志分析功能的安全事件回溯方法中进行了介绍,这里就不多做赘述了。
综上所述,本发明提供的基于日志分析功能的安全事件回溯方法及系统,基于日志分析功能,对于已实切发生的安全事件进行回溯,以目标源为起点,一直追溯至互联网边界,黑客在此过程中触发的安全事件根据时间点连成一条或多条安全事件链路,链路为黑客潜在攻击点。安全管理员可根据链路进行分析从而得出实际的攻击过程,后续针对实际情况进行相应的安全防护处理,可大大提高企业内部的安全等级,具有很好的市场推广应用前景。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及本发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
Claims (2)
1.一种基于日志分析功能的安全事件回溯方法,其特征在于,所述方法包括以下步骤:
S100、采集日志,并设定回溯条件;
S200、根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
S300、从满足回溯条件的日志中选取某个日志结果进行安全回溯;所述步骤S100中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP;
所述步骤S300中选取某个日志结果进行安全回溯具体包括:选取第n个日志结果进行安全回溯后,将第n个日志结果的目标IP作为第n+1个日志结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;
其中,第n+1个日志结果的时间早于第n个日志结果的时间,n为自然数。
2.一种基于日志分析功能的安全事件回溯系统,其特征在于,包括:
设置单元,用于采集日志,并设定回溯条件;
匹配单元,用于根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
回溯单元,用于从满足回溯条件的日志中选取某个日志结果进行安全回溯;
所述设置单元中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP;
所述回溯单元中选取某个日志结果进行安全回溯具体包括:选取第n个日志结果进行安全回溯后,将第n个日志结果的目标IP作为第n+1个日志结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;
其中,第n+1个日志结果的时间早于第n个日志结果的时间,n为自然数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510293694.7A CN104836815B (zh) | 2015-06-01 | 2015-06-01 | 一种基于日志分析功能的安全事件回溯方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510293694.7A CN104836815B (zh) | 2015-06-01 | 2015-06-01 | 一种基于日志分析功能的安全事件回溯方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104836815A CN104836815A (zh) | 2015-08-12 |
| CN104836815B true CN104836815B (zh) | 2018-07-20 |
Family
ID=53814451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510293694.7A Active CN104836815B (zh) | 2015-06-01 | 2015-06-01 | 一种基于日志分析功能的安全事件回溯方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104836815B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454103B (zh) * | 2017-09-07 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| CN110704837A (zh) * | 2019-09-25 | 2020-01-17 | 南京源堡科技研究院有限公司 | 一种网络安全事件统计分析方法 |
| CN112822147B (zh) * | 2019-11-18 | 2022-12-06 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
| CN112187719B (zh) * | 2020-08-31 | 2023-04-14 | 新浪技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030039732A (ko) * | 2001-11-14 | 2003-05-22 | 한국전자통신연구원 | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 |
| JP2010231568A (ja) * | 2009-03-27 | 2010-10-14 | Fujitsu Ltd | イベント判別装置、イベント判別プログラム、イベント判別方法 |
| CN103473370A (zh) * | 2013-09-29 | 2013-12-25 | 贵州省广播电视信息网络股份有限公司 | 一种实现广电系统故障动态回溯的方法 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
-
2015
- 2015-06-01 CN CN201510293694.7A patent/CN104836815B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030039732A (ko) * | 2001-11-14 | 2003-05-22 | 한국전자통신연구원 | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 |
| JP2010231568A (ja) * | 2009-03-27 | 2010-10-14 | Fujitsu Ltd | イベント判別装置、イベント判別プログラム、イベント判別方法 |
| CN103473370A (zh) * | 2013-09-29 | 2013-12-25 | 贵州省广播电视信息网络股份有限公司 | 一种实现广电系统故障动态回溯的方法 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于Android系统的移动终端稳定性测试方法的研究与实践;董川;《中国优秀硕士学位论文全文数据库 信息科技辑》;20130215(第02期);第I138-648页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104836815A (zh) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11336669B2 (en) | Artificial intelligence cyber security analyst | |
| Weinberger | Is this the start of cyberwarfare? Last year's Stuxnet virus attack represented a New kind of threat to critical infrastructure | |
| Almohannadi et al. | Cyber threat intelligence from honeypot data using elasticsearch | |
| van der Knijff | Control systems/SCADA forensics, what's the difference? | |
| Schindler | Anomaly detection in log data using graph databases and machine learning to defend advanced persistent threats | |
| CN104836815B (zh) | 一种基于日志分析功能的安全事件回溯方法及系统 | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| CN112417477A (zh) | 一种数据安全监测方法、装置、设备及存储介质 | |
| Subbulakshmi et al. | Detection of DDoS attacks using Enhanced Support Vector Machines with real time generated dataset | |
| Lee et al. | Open source intelligence base cyber threat inspection framework for critical infrastructures | |
| Kott et al. | The promises and challenges of continuous monitoring and risk scoring | |
| US20170134411A1 (en) | Methods and Automated Systems to Effectively Resist (PAMD) Cyber Attacks | |
| CN107547526A (zh) | 一种云地结合的数据处理方法及装置 | |
| Lee et al. | Toward the SIEM architecture for cloud-based security services | |
| US20230135660A1 (en) | Educational Tool for Business and Enterprise Risk Management | |
| US10805326B1 (en) | Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN105069158B (zh) | 数据挖掘方法及系统 | |
| Hyun et al. | Security operation implementation through big data analysis by using open source ELK stack | |
| Szabó | Cybersecurity issues in industrial control systems | |
| Choo et al. | Introduction to the minitrack on cyber threat intelligence and analytics | |
| Patrascu et al. | Cyber protection of critical infrastructures using supervised learning | |
| Hyder et al. | Towards digital forensics investigation of wordpress applications running over kubernetes | |
| Richter et al. | Conception and Implementation of Professional Laboratory Exercises in the field of ICS/SCADA Security Part II: Red Teaming and Blue Teaming | |
| Pack | Situational awareness for SCADA systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |