基于时间线的网络安全事件过程分析方法及系统
技术领域
本发明涉及信息安全的技术领域,尤其是涉及一种基于时间线的网络安全事件过程分析方法及系统。
背景技术
黑客攻击事件随着互联网的发展愈演愈烈,攻击手段及工具在互联网上可以随意获取。在受害群体方面,特别是政府网站及相关业务系统尤其受到黑客的攻击“青睐”,2015年度就较上一年度的攻击事件上涨了37%。人们迫切的想要知道黑客(即,攻击对象)攻击的途径,即黑客是如何通过层层设备从而实施对服务器的攻击的。
但是目前社会上的产品及提出的方法,均是针对安全事件后对某一个服务器或者设备进行取证(比如,人工查看被攻击服务器的日志,查看交换机的日志等),然后人工对这些日志进行分析。
人工分析时,无法对黑客的攻击路径进行还原,并且人工分析过程效率低下,智能程度差。
发明内容
有鉴于此,本发明的目的在于提供基于时间线的网络安全事件过程分析方法及系统,以缓解人工对网络安全事件过程进行分析时,无法还原黑客的攻击路径,并且人工分析过程效率低下,智能程度差的技术问题。
第一方面,本发明实施例提供了一种基于时间线的网络安全事件过程分析方法,所述方法包括:
获取被攻击对象的日志文件位置,其中,所述被攻击对象为与所述网络安全事件相关的对象;
读取位于所述日志文件位置处的日志文件;
根据日志时间线算法对所述日志文件中的内容进行分析,以得到所述网络安全事件中攻击对象的攻击路径,其中,所述攻击对象为对所述被攻击对象进行攻击的对象。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述被攻击对象包括以下至少之一:网络设备,安全设备,服务器设备,应用系统,数据库,交换机,防火墙,路由器。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根据日志时间线算法对所述日志文件中的内容进行分析包括:
获取所述日志文件中各个访问日志记录的访问时间戳,其中,所述访问时间戳用于表示所述访问日志记录的访问时间;
根据所述访问时间戳的时间先后顺序,对所述访问日志记录进行排序,得到第一结果;
对所述第一结果进行IP过滤筛选,以在所述第一结果中去除目标访问日志记录,得到第二结果,其中,所述目标访问日志记录与所述网络安全事件无关的访问日志记录;
将攻击事件特征库与所述第二结果中的访问日志记录进行对比,以根据对比结果确定所述网络安全事件中攻击对象的攻击路径,其中,所述对比结果用于表征所述第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录,所述攻击事件特征库为包含所述攻击事件的特征信息的数据库,所述特征信息至少包括攻击事件名称和/或危害等级。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,将攻击事件特征库与所述第二结果中的访问日志记录进行对比,以根据对比结果确定所述网络安全事件中攻击对象的攻击路径包括:
如果所述对比结果为所述第二结果中的访问日志记录为所述攻击事件所生成的访问日志记录,则根据所述对比结果生成网络攻击记录,其中,所述网络攻击记录中至少包括:所述第二结果中的访问日志记录的信息,所述特征信息;
确定与所述网络攻击记录相对应的目标被攻击对象;
按照所述访问时间戳的时间先后顺序,对所述目标被攻击对象的所述网络攻击记录进行排序,得到所述网络安全事件中攻击对象的攻击路径。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,确定与所述网络攻击记录相对应的目标被攻击对象包括:
根据所述日志文件的格式确定与所述访问日志记录对应的所述目标被攻击对象,其中,所述日志文件的格式与所述被攻击对象相关联;
控制所述网络攻击记录继承所述目标被攻击对象。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,在根据所述对比结果生成网络攻击记录之后,在确定与所述网络攻击记录相对应的目标被攻击对象之前,所述方法还包括:
将所述网络攻击记录保存至数据库;
对所述网络攻击记录进行拆解,以分别按照所述网络攻击记录的IP地址、所述网络攻击记录的端口、所述网络攻击记录的攻击事件名称和所述网络攻击记录的危害等级进行显示。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,在根据日志时间线算法对所述日志文件中的内容进行分析,以得到所述网络安全事件中攻击对象的攻击路径之后,所述方法还包括:
根据所述网络安全事件中攻击对象的攻击路径生成分析报告,其中,所述分析报告用于以列表形式表示所述网络安全事件的发生过程。
第二方面,本发明实施例还提供了一种基于时间线的网络安全事件过程分析系统,所述系统包括:
获取模块,用于获取被攻击对象的日志文件位置,其中,所述被攻击对象为与所述网络安全事件相关的对象;
读取模块,用于读取位于所述日志文件位置处的日志文件;
分析模块,用于根据日志时间线算法对所述日志文件中的内容进行分析,以得到所述网络安全事件中攻击对象的攻击路径,其中,所述攻击对象为对所述被攻击对象进行攻击的对象。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所述被攻击对象包括以下至少之一:网络设备,安全设备,服务器设备,应用系统,数据库,交换机,防火墙,路由器。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,所述分析模块包括:
获取子模块,用于获取所述日志文件中各个访问日志记录的访问时间戳,其中,所述访问时间戳用于表示所述访问日志记录的访问时间;
排序子模块,用于根据所述访问时间戳的时间先后顺序,对所述访问日志记录进行排序,得到第一结果;
过滤筛选子模块,用于对所述第一结果进行IP过滤筛选,以在所述第一结果中去除目标访问日志记录,得到第二结果,其中,所述目标访问日志记录与所述网络安全事件无关的访问日志记录;
对比子模块,用于将攻击事件特征库与所述第二结果中的访问日志记录进行对比,以根据对比结果确定所述网络安全事件中攻击对象的攻击路径,其中,所述对比结果用于表征所述第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录,所述攻击事件特征库为包含所述攻击事件的特征信息的数据库,所述特征信息至少包括攻击事件名称和/或危害等级。
本发明实施例带来了以下有益效果:本发明实施例提供了一种基于时间线的网络安全事件过程分析方法及系统,该方法包括:在移动存储器中获取被攻击对象的日志文件位置,其中,被攻击对象为与网络安全事件相关的对象;读取移动存储器中位于日志文件位置处的日志文件;根据日志时间线算法对日志文件中的内容进行分析,以得到网络安全事件中攻击对象的攻击路径,其中,攻击对象为对被攻击对象进行攻击的对象。
传统的网络安全事件分析方法中,一般是对发生安全事件的被攻击对象进行取证,然后,人工对取得的证据进行分析。与传统的网络安全事件分析方法相比,本发明中的基于时间线的网络安全事件过程分析方法中,先获取被攻击对象的日志文件位置,然后,读取位于日志文件位置处的日志文件,最后,根据日志时间线算法对日志文件中的内容进行分析,得到网络安全事件中攻击对象的攻击路径。本发明中的基于时间线的网络安全事件过程分析方法能够自动对日志文件中的内容进行分析,更加智能,提高了效率,并且,是通过日志时间线算法对日志文件中的内容进行的分析,能够得到网络安全事件中攻击对象的攻击路径,缓解了传统人工分析方法无法对攻击对象的攻击路径进行还原,并且分析效率低下,智能程度差的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于时间线的网络安全事件过程分析方法的流程图;
图2为本发明实施例提供的根据日志时间线算法对日志文件中的内容进行分析的流程图;
图3为本发明实施例提供的将攻击事件特征库与第二结果中的访问日志记录进行对比,以根据对比结果确定网络安全事件中攻击对象的攻击路径的流程图;
图4为本发明实施例提供的一种基于时间线的网络安全事件过程分析系统的结构示意图。
图标:
11-获取模块;12-读取模块;13-分析模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于时间线的网络安全事件过程分析方法进行详细介绍。
实施例一:
一种基于时间线的网络安全事件过程分析方法,参考图1,该方法包括:
S101、获取被攻击对象的日志文件位置,其中,被攻击对象为与网络安全事件相关的对象;
在具体实现过程中,用户先在被攻击对象(比如,服务器)上下载被攻击对象的日志文件,下载完成后,用户可以将日志文件保存到移动存储器中(比如U盘中),将日志文件保存至U盘中后,也就是获取得到了日志文件位置。日志文件位置除了U盘之外,也可以为其它存储位置,本发明实施例对其不做具体限制。
S102、读取位于日志文件位置处的日志文件;
在得到日志文件位置后,读取位置日志文件位置处的日志文件。
S103、根据日志时间线算法对日志文件中的内容进行分析,以得到网络安全事件中攻击对象的攻击路径,其中,攻击对象为对被攻击对象进行攻击的对象。
在得到日志文件后,就能够根据日志时间线算法对日志文件中的内容进行分析,得到网络安全事件中攻击对象的攻击路径。通过日志时间线算法对日志文件中的内容进行分析的过程在下文中再进行具体描述,在此不再赘述。
传统的网络安全事件分析方法中,一般是对发生安全事件的被攻击对象进行取证,然后,人工对取得的证据进行分析。与传统的网络安全事件分析方法相比,本发明中的基于时间线的网络安全事件过程分析方法中,先获取被攻击对象的日志文件位置,然后,读取位于日志文件位置处的日志文件,最后,根据日志时间线算法对日志文件中的内容进行分析,得到网络安全事件中攻击对象的攻击路径。本发明中的基于时间线的网络安全事件过程分析方法能够自动对日志文件中的内容进行分析,更加智能,提高了效率,并且,是通过日志时间线算法对日志文件中的内容进行的分析,能够得到网络安全事件中攻击对象的攻击路径,缓解了传统人工分析方法无法对攻击对象的攻击路径进行还原,并且分析效率低下,智能程度差的技术问题。
可选地,被攻击对象包括以下至少之一:网络设备,安全设备,服务器设备,应用系统,数据库,交换机,防火墙,路由器。
在本发明实施例中,攻击对象可以为黑客,也可以为其它攻击对象,本发明实施例对其不做具体限制。
可选地,在根据日志时间线算法对日志文件中的内容进行分析,以得到网络安全事件中攻击对象的攻击路径之后,该方法还包括:
根据网络安全事件中攻击对象的攻击路径生成分析报告,其中,分析报告用于以列表形式表示网络安全事件的发生过程。
根据日志时间线算法对日志文件中的内容进行分析的方式有多种,在一个可选地实施方式中,参考图2,根据日志时间线算法对日志文件中的内容进行分析具体包括以下步骤:
S201、获取日志文件中各个访问日志记录的访问时间戳,其中,访问时间戳用于表示访问日志记录的访问时间;
在得到日志文件后,获取日志文件中各个访问日志记录的访问时间戳。
另外,访问日志记录中还包括源IP信息,目的IP信息,访问端口信息等。
S202、根据访问时间戳的时间先后顺序,对访问日志记录进行排序,得到第一结果;
在得到访问时间戳后,就能够根据访问时间戳的时间先后顺序对访问日志记录进行排序。
其中,第一结果为对访问日志记录排序完成后的具有时间顺序的访问日志记录的结果。
S203、对第一结果进行IP过滤筛选,以在第一结果中去除目标访问日志记录,得到第二结果,其中,目标访问日志记录与网络安全事件无关的访问日志记录;
在得到第一结果后,对第一结果中的访问日志记录进行IP过滤筛选,去除与网络安全事件无关的访问日志记录,也就是去除正常的访问日志记录,得到第二结果。
S204、将攻击事件特征库与第二结果中的访问日志记录进行对比,以根据对比结果确定网络安全事件中攻击对象的攻击路径,其中,对比结果用于表征第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录,攻击事件特征库为包含攻击事件的特征信息的数据库,特征信息至少包括攻击事件名称和/或危害等级。
在得到第二结果后,将第二结果中的访问日志记录与攻击事件特征库进行对比,进而确定网络安全事件中攻击对象的攻击路径。
需要说明的是,攻击事件特征库是事先通过对网络攻击进行汇总总结得到的数据库。
可选地,参考图3,将攻击事件特征库与第二结果中的访问日志记录进行对比,以根据对比结果确定网络安全事件中攻击对象的攻击路径包括:
S301、如果对比结果为第二结果中的访问日志记录为攻击事件所生成的访问日志记录,则根据对比结果生成网络攻击记录,其中,网络攻击记录中至少包括:第二结果中的访问日志记录的信息,特征信息;
对比完成后,如果发现第二结果中的访问日志记录与攻击事件特征库中的信息匹配,那么,得到第二结果中的访问日志记录为攻击事件所生成的访问日志记录的对比结果,根据该对比结果生成网络攻击记录。
网络攻击记录中不仅包括了访问日志记录的信息,还包括了该访问日志记录所对应的攻击事件名称和危害等级的信息(也就是特征信息)。
S302、确定与网络攻击记录相对应的目标被攻击对象;
在得到网络攻击记录后,进一步确定与网络攻击记录相对应的目标被攻击对象,具体过程为:
先根据日志文件的格式确定与访问日志记录对应的目标被攻击对象,其中,日志文件的格式与被攻击对象相关联;
因为不同的被攻击对象所对应的日志文件的格式不同,所以,在得到日志文件后,先根据日志文件的格式确定其中的访问日志记录所对应的目标被攻击对象。
控制网络攻击记录继承目标被攻击对象。
因为网络攻击记录中包含了第二结果中的访问日志记录的信息,那么,网络攻击记录也就继承了与其对应的访问日志记录确定的目标被攻击对象。
S303、按照访问时间戳的时间先后顺序,对目标被攻击对象的网络攻击记录进行排序,得到网络安全事件中攻击对象的攻击路径。
因为网络攻击记录中包含了第二结果中的访问日志记录的信息,那么网络攻击记录也就有对应的访问时间戳,然后,按照访问时间戳的时间先后顺序,对目标被攻击对象的网络攻击记录进行排序,就能够得到网络安全事件中攻击对象的攻击路径。
可选地,在根据对比结果生成网络攻击记录之后,在确定与网络攻击记录相对应的目标被攻击对象之前,该方法还包括:
将网络攻击记录保存至数据库;
对网络攻击记录进行拆解,以分别按照网络攻击记录的IP地址、网络攻击记录的端口、网络攻击记录的攻击事件名称和网络攻击记录的危害等级进行显示。
实施例二:
本发明实施例还提供了一种基于时间线的网络安全事件过程分析系统,参考图4,该系统包括:
获取模块11,用于获取被攻击对象的日志文件位置,其中,被攻击对象为与网络安全事件相关的对象;
读取模块12,用于读取位于日志文件位置处的日志文件;
分析模块13,用于根据日志时间线算法对日志文件中的内容进行分析,以得到网络安全事件中攻击对象的攻击路径,其中,攻击对象为对被攻击对象进行攻击的对象。
本发明中的基于时间线的网络安全事件过程分析系统中,先获取被攻击对象的日志文件位置,然后,读取位于日志文件位置处的日志文件,最后,根据日志时间线算法对日志文件中的内容进行分析,得到网络安全事件中攻击对象的攻击路径。本发明中的基于时间线的网络安全事件过程分析系统能够自动对日志文件中的内容进行分析,更加智能,提高了效率,并且,是通过日志时间线算法对日志文件中的内容进行的分析,能够得到网络安全事件中攻击对象的攻击路径,缓解了传统人工分析方法无法对攻击对象的攻击路径进行还原,并且分析效率低下,智能程度差的技术问题。
可选地,被攻击对象包括以下至少之一:网络设备,安全设备,服务器设备,应用系统,数据库,交换机,防火墙,路由器。
可选地,分析模块包括:
获取子模块,用于获取日志文件中各个访问日志记录的访问时间戳,其中,访问时间戳用于表示访问日志记录的访问时间;
排序子模块,用于根据访问时间戳的时间先后顺序,对访问日志记录进行排序,得到第一结果;
过滤筛选子模块,用于对第一结果进行IP过滤筛选,以在第一结果中去除目标访问日志记录,得到第二结果,其中,目标访问日志记录与网络安全事件无关的访问日志记录;
对比子模块,用于将攻击事件特征库与第二结果中的访问日志记录进行对比,以根据对比结果确定网络安全事件中攻击对象的攻击路径,其中,对比结果用于表征第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录,攻击事件特征库为包含攻击事件的特征信息的数据库,特征信息至少包括攻击事件名称和/或危害等级。
可选地,对比子模块包括:
生成单元,用于如果对比结果为第二结果中的访问日志记录为攻击事件所生成的访问日志记录,则根据对比结果生成网络攻击记录,其中,网络攻击记录中至少包括:第二结果中的访问日志记录的信息,特征信息;
确定单元,用于确定与网络攻击记录相对应的目标被攻击对象;
排序单元,用于按照访问时间戳的时间先后顺序,对目标被攻击对象的网络攻击记录进行排序,得到网络安全事件中攻击对象的攻击路径。
可选地,确定单元包括:
确定子单元,用于根据日志文件的格式确定与访问日志记录对应的目标被攻击对象,其中,日志文件的格式与被攻击对象相关联;
控制子单元,用于控制网络攻击记录继承目标被攻击对象。
可选地,对比子模块还包括:
保存单元,用于将网络攻击记录保存至数据库;
拆解单元,用于对网络攻击记录进行拆解,以分别按照网络攻击记录的IP地址、网络攻击记录的端口、网络攻击记录的攻击事件名称和网络攻击记录的危害等级进行显示。
可选地,该装置还包括:
生成模块,用于根据网络安全事件中攻击对象的攻击路径生成分析报告,其中,分析报告用于以列表形式表示网络安全事件的发生过程。
该实施例二中的内容可以参考上述实施例一中的内容,在此不再进行赘述。
本发明实施例所提供的基于时间线的网络安全事件过程分析方法及系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。