CN107769958A - 基于日志的服务器网络安全事件自动化分析方法及系统 - Google Patents
基于日志的服务器网络安全事件自动化分析方法及系统 Download PDFInfo
- Publication number
- CN107769958A CN107769958A CN201710779745.6A CN201710779745A CN107769958A CN 107769958 A CN107769958 A CN 107769958A CN 201710779745 A CN201710779745 A CN 201710779745A CN 107769958 A CN107769958 A CN 107769958A
- Authority
- CN
- China
- Prior art keywords
- log
- analysis
- daily record
- module
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及信息安全技术,旨在提供基于日志的服务器网络安全事件自动化分析方法及系统。该种基于日志的服务器网络安全事件自动化分析方法通过手动指定日志文件位置后,读取日志文件中的日志内容进行分析匹配,并与预先设置的规则进行匹配,从而返回规则匹配分析结果,实现对网络安全事件发生的过程进行溯源并展示。本发明基于正则表达特征库,能够通过对服务器日志文件进行自动分析,实现网络安全事件发生过程的溯源并进行展示的目的,并提供详细的分析报告;本发明从日志分析角度解决了安全事件分析处置困难的问题,并实现了自动化的工作流程。
Description
技术领域
本发明是关于信息安全技术领域,特别涉及基于日志的服务器网络安全事件自动化分析方法及系统。
背景技术
互联网的发展给各行业带来新机遇的同时,也带来了新的威胁。由于互联网的连通性,使得恶意分子可在任何一个连接互联网的终端上,远程对目标发起精准攻击。在发生网络安全事件时,人们迫切的想知道恶意分子是如何对服务器进行攻击的,今后又该从何处着手杜绝此类事件的再次发生。发生网络安全事件的服务器上含有大量安全事件相关信息,对这些信息进行采集并集中分析,能够有效得出安全事件发生过程,为安全事件处置提供方向。
当前在网络安全事件应急处置上的工作均靠人员手动完成,尚没有一种能够从服务器上的日志信息入手,实现对事件发生源头及过程的溯源与分析的可行技术。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一能够对网络安全事件发生的服务器上的日志信息进行分析,从而实现对事件发生源头及过程的溯源与分析的方法及系统。为解决上述技术问题,本发明的解决方案是:
提供一种基于日志的服务器网络安全事件自动化分析方法,具体包括下述步骤:
(1)获取日志文件位置;
(2)判断日志文件是否可读;
(3)判断日志文件编码;
(4)按行获取日志文件中的日志内容,并存入缓冲区;
(5)从缓冲区获取日志内容信息,并与预先设置的规则(预先设置的规则是指通过对大量网络攻击进行总结观察其结构特征,从而得出一般性的规律,然后根据规律开发的相应攻击事件判定范式;攻击事件判定范式包含相应攻击事件的名称、危害等级、及判定方法)进行匹配,判断是否属于敏感信息;
(6)按照匹配情况生成网络攻击记录(若缓冲区中的日志内容信息,满足某一攻击事件判定范式的判定方法时,则生成一条网络攻击记录;网络攻击记录内容包含从日志内容信息中获取的IP、端口信息,以及攻击事件判定范式所对应的事件名称、危害等级);
(7)将步骤(6)生成的网络攻击记录,存入本地数据库;
(8)将网络攻击记录以IP、端口、事件名称、危害等级进行显示;
(9)生成的网络攻击记录按照发生时间顺序排列。
在本发明中,步骤(4)读取日志文件内容时,以步骤(3)判别的相应的编码读取文件内容,以避免产生乱码。
在本发明中,步骤(6)中,采用正则表达特征库(正则表达特征库是对网络攻击类型的一般性规律用正则表达式进行符号化表示,是将多种网络攻击类型的符号化表示进行汇总形成的资源库,以供分析系统使用)判断日志记录是否符合网络攻击记录(若符合则生成一条网络攻击记录,若不符合则不生成网络攻击记录)。
在本发明中,涉及的网络攻击类型,即步骤(8)中的事件名称,包含但不限于:口令爆破、恶意代码上传、SQL注入、恶意扫描、表单绕过、框架注入。
提供用于所述基于日志的服务器网络安全事件自动化分析方法的自动化分析系统,包括UI界面模块、日志读取模块、日志分析模块、分析结果模块和正则表达特征库,日志读取模块、日志分析模块、分析结果模块业务相连;
所述UI界面模块用于获取日志文件位置;日志读取模块用于读取服务器日志文件的内容,并返回日志信息;所述日志分析模块用于对日志读取模块返回的日志信息,利用正则表达特征库进行匹配,得到规则匹配分析结果;所述分析结果模块用于接收日志分析模块分析后的规则匹配分析结果,并进行展示;
所述正则表达特征库是对网络攻击类型的一般性规律用正则表达式进行符号化表示的特征库。
本发明的工作原理:通过手动指定日志文件位置后,读取日志文件中的日志内容进行分析匹配,并与预先设置的规则进行匹配,从而返回规则匹配分析结果,实现对网络安全事件发生的过程进行溯源并展示。
与现有技术相比,本发明的有益效果是:
本发明基于正则表达特征库,能够通过对服务器日志文件进行自动分析,实现网络安全事件发生过程的溯源并进行展示的目的,并提供详细的分析报告。本发明从日志分析角度解决了安全事件分析处置困难的问题,并实现了自动化的工作流程。
附图说明
图1为本发明的工作原理图。
图2为本发明的工作流程图。
图3为本发明的分析效果示图。
具体实施方式
首先需要说明的是,本发明涉及日志文件分析技术,是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于:正则表达特征库、日志读取模块、日志分析模块、分析结果模块等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图2所示的一种基于日志的服务器网络安全事件自动化分析方法,通过手动指定日志文件位置后,读取日志文件中的日志内容进行分析,并与预先设置的正则表达特征库进行匹配,从而返回规则匹配分析结果,实现对网络安全事件发生的过程进行溯源并展示。
其中,所述读取日志文件中的日志内容进行分析匹配,具体包括下述步骤:
(1)获取日志文件位置。
(2)判断日志文件是否可读。
(3)判断日志文件编码。
(4)以相应的编码读取日志文件内容,避免产生乱码问题。
(5)分析日志文件内容。
(6)返回步骤(5)的分析结果。
所述与预先设置的正则表达特征库进行匹配,具体包括下述步骤:
(7)按行获取日志记录,并存入缓冲区。
(8)从缓冲区获取记录信息,并与正则表达特征库中的范式进行匹配,采用判断日志记录是否属于敏感信息,符合网络攻击记录。
所述正则表达特征库定义好敏感信息的特征,然后是对服务器日志文件进行匹配。正则表达特征库汇总了了口令爆破、恶意代码上传、SQL注入、恶意扫描、关机等恶意、敏感操作的特征。
(9)按照匹配情况生成网络攻击记录。
所述返回规则匹配分析结果,具体包括下述步骤:
(10)将步骤(9)生成的网络攻击记录,存入本地数据库;
(11)将网络攻击记录以IP、端口、事件名称、危害等级进行显示;
(12)生成的网络攻击记录按照发生时间顺序排列。
如图1所示,基于日志的服务器网络安全事件自动化分析系统包括UI界面模块、日志读取模块、日志分析模块、分析结果模块和正则表达特征库,日志读取模块、日志分析模块、分析结果模块业务相连。
所述UI界面模块用于获取日志文件位置;日志读取模块用于读取服务器日志文件的内容,并返回日志信息;所述日志分析模块用于对日志读取模块返回的日志信息,利用正则表达特征库进行匹配,得到规则匹配分析结果;所述分析结果模块用于接收日志分析模块分析后的规则匹配分析结果,并进行展示。
所述正则表达特征库具体是指:对网络攻击类型的一般性规律用正则表达式进行符号化的表示,将多种网络攻击类型的符号化表示进行汇总形成的资源库,以供分析系统使用。
下面的实施例可以使本专业的专业技术人员更全面地理解本发明,但不以任何方式限制本发明。假设有一网站服务器被攻击,攻击者上传了网页木马,现要对该服务器进行分析。
首先指定服务器日志文件位置,分析过程主要执行以下步骤:
(1)判断日志文件是否可读;
(2)判断日志文件编码;
(3)按照编码格式,读取日志文件内容,避免乱码;
(4)按照正则表达式设置,分析日志文件内容;
(5)根据分析结果生成报告,将网络安全事件发生过程以列表形式提供给用户。
分析完毕后,即可根据结果获知哪个IP对哪个IP的什么系统发起了什么样的攻击,做了什么操作。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (5)
1.一种基于日志的服务器网络安全事件自动化分析方法,其特征在于,具体包括下述步骤:
(1)获取日志文件位置;
(2)判断日志文件是否可读;
(3)判断日志文件编码;
(4)按行获取日志文件中的日志内容,并存入缓冲区;
(5)从缓冲区获取日志内容信息,并与预先设置的规则进行匹配,判断是否属于敏感信息;
(6)按照匹配情况生成网络攻击记录;
(7)将步骤(6)生成的网络攻击记录,存入本地数据库;
(8)将网络攻击记录以IP、端口、事件名称、危害等级进行显示;
(9)生成的网络攻击记录按照发生时间顺序排列。
2.根据权利要求1所述的一种基于日志的服务器网络安全事件自动化分析方法,其特征在于,步骤(4)读取日志文件内容时,以步骤(3)判别的相应的编码读取文件内容,以避免产生乱码。
3.根据权利要求1所述的一种基于日志的服务器网络安全事件自动化分析方法,其特征在于,步骤(6)中,采用正则表达特征库判断日志记录是否符合网络攻击记录。
4.根据权利要求1所述的一种基于日志的服务器网络安全事件自动化分析方法,其特征在于,涉及的网络攻击类型,即步骤(8)中的事件名称,包含但不限于:口令爆破、恶意代码上传、SQL注入、恶意扫描、表单绕过、框架注入。
5.用于权利要求1所述基于日志的服务器网络安全事件自动化分析方法的自动化分析系统,其特征在于,包括UI界面模块、日志读取模块、日志分析模块、分析结果模块和正则表达特征库,日志读取模块、日志分析模块、分析结果模块业务相连;
所述UI界面模块用于获取日志文件位置;日志读取模块用于读取服务器日志文件的内容,并返回日志信息;所述日志分析模块用于对日志读取模块返回的日志信息,利用正则表达特征库进行匹配,得到规则匹配分析结果;所述分析结果模块用于接收日志分析模块分析后的规则匹配分析结果,并进行展示;
所述正则表达特征库是对网络攻击类型的一般性规律用正则表达式进行符号化表示的特征库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710779745.6A CN107769958A (zh) | 2017-09-01 | 2017-09-01 | 基于日志的服务器网络安全事件自动化分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710779745.6A CN107769958A (zh) | 2017-09-01 | 2017-09-01 | 基于日志的服务器网络安全事件自动化分析方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107769958A true CN107769958A (zh) | 2018-03-06 |
Family
ID=61265880
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710779745.6A Pending CN107769958A (zh) | 2017-09-01 | 2017-09-01 | 基于日志的服务器网络安全事件自动化分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107769958A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
CN109614814A (zh) * | 2018-10-31 | 2019-04-12 | 平安普惠企业管理有限公司 | 基于日志监控的扫描敏感日志的方法、装置和计算机设备 |
CN111930882A (zh) * | 2020-06-30 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种服务器异常溯源方法、系统及存储介质 |
CN112187719A (zh) * | 2020-08-31 | 2021-01-05 | 新浪网技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050172019A1 (en) * | 2004-01-31 | 2005-08-04 | Williamson Matthew M. | Network management |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
CN104410532A (zh) * | 2014-12-12 | 2015-03-11 | 携程计算机技术(上海)有限公司 | 服务器及其日志过滤方法 |
CN104636494A (zh) * | 2015-03-04 | 2015-05-20 | 浪潮电子信息产业股份有限公司 | 一种基于Spark大数据平台的日志审计倒查系统 |
CN106202004A (zh) * | 2016-07-13 | 2016-12-07 | 上海轻维软件有限公司 | 基于正则表达及分隔符的组合式数据切割方法 |
CN106254318A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种网络攻击分析方法 |
-
2017
- 2017-09-01 CN CN201710779745.6A patent/CN107769958A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050172019A1 (en) * | 2004-01-31 | 2005-08-04 | Williamson Matthew M. | Network management |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
CN104410532A (zh) * | 2014-12-12 | 2015-03-11 | 携程计算机技术(上海)有限公司 | 服务器及其日志过滤方法 |
CN104636494A (zh) * | 2015-03-04 | 2015-05-20 | 浪潮电子信息产业股份有限公司 | 一种基于Spark大数据平台的日志审计倒查系统 |
CN106202004A (zh) * | 2016-07-13 | 2016-12-07 | 上海轻维软件有限公司 | 基于正则表达及分隔符的组合式数据切割方法 |
CN106254318A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种网络攻击分析方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
CN109614814A (zh) * | 2018-10-31 | 2019-04-12 | 平安普惠企业管理有限公司 | 基于日志监控的扫描敏感日志的方法、装置和计算机设备 |
CN109359098B (zh) * | 2018-10-31 | 2023-04-11 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
CN109614814B (zh) * | 2018-10-31 | 2023-12-22 | 北京方盈智能数字科技有限公司 | 基于日志监控的扫描敏感日志的方法、装置和计算机设备 |
CN111930882A (zh) * | 2020-06-30 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种服务器异常溯源方法、系统及存储介质 |
CN111930882B (zh) * | 2020-06-30 | 2024-04-02 | 国网电力科学研究院有限公司 | 一种服务器异常溯源方法、系统及存储介质 |
CN112187719A (zh) * | 2020-08-31 | 2021-01-05 | 新浪网技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
CN112187719B (zh) * | 2020-08-31 | 2023-04-14 | 新浪技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107769958A (zh) | 基于日志的服务器网络安全事件自动化分析方法及系统 | |
US20180225775A1 (en) | Remote accounting processing method and system | |
US9344390B1 (en) | Systems and methods for electronic document review | |
CN112036995A (zh) | 基于区块链的大型企业财务数据管理方法、系统和可读存储介质 | |
CN116361784A (zh) | 数据的检测方法、装置、存储介质及计算机设备 | |
CN109359251A (zh) | 应用系统使用情况的审计预警方法、装置和终端设备 | |
CN116112194A (zh) | 用户行为分析方法、装置、电子设备及计算机存储介质 | |
CN202736110U (zh) | 一种图章管理系统 | |
CN106708937A (zh) | 一种供电企业电子档案的集中管理方法 | |
CN102902494B (zh) | 一种银行或保险有价单证打印的管控方法 | |
CN112286815A (zh) | 一种接口测试脚本的生成方法及其相关设备 | |
CN102446227A (zh) | 一种交互式半自动化安全事故追溯方法与系统 | |
CN105553970A (zh) | 一种信息系统的安全检查装置以及检查结果分析方法 | |
CN103795585A (zh) | 基于黑名单的网站监控方法与系统 | |
CN207037679U (zh) | 一种快捷扫描发票信息的系统 | |
CN105022703A (zh) | 存档文件管理方法 | |
CN114840519A (zh) | 一种数据打标签的方法、设备及存储介质 | |
CN105701906B (zh) | 一种基于指纹密码锁的自助设备安全管理方法 | |
CN113779125A (zh) | 一种施工安全信息管理方法及系统 | |
CN111353116A (zh) | 内容检测方法、系统及设备、客户端设备和存储介质 | |
CN111934949A (zh) | 一种基于数据库注入测试的安全测试系统 | |
CN111274579A (zh) | 一种基于计算机的企业文档加密防护系统 | |
CN111314308A (zh) | 基于端口分析的系统安全检查方法及装置 | |
CN114860121B (zh) | 网络安全等级保护中的信息匹配方法及应用 | |
TW201617930A (zh) | 用於整理及展示多格式資料之電腦系統及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |
|
RJ01 | Rejection of invention patent application after publication |