CN108183916B - 一种基于日志分析的网络攻击检测方法及装置 - Google Patents
一种基于日志分析的网络攻击检测方法及装置 Download PDFInfo
- Publication number
- CN108183916B CN108183916B CN201810034040.6A CN201810034040A CN108183916B CN 108183916 B CN108183916 B CN 108183916B CN 201810034040 A CN201810034040 A CN 201810034040A CN 108183916 B CN108183916 B CN 108183916B
- Authority
- CN
- China
- Prior art keywords
- scanning
- detected
- server
- log
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 52
- 238000004458 analytical method Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 58
- 230000008569 process Effects 0.000 claims description 37
- 238000012163 sequencing technique Methods 0.000 claims description 25
- 238000004422 calculation algorithm Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 14
- 230000009471 action Effects 0.000 claims description 8
- 238000002347 injection Methods 0.000 claims description 6
- 239000007924 injection Substances 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 6
- 239000000126 substance Substances 0.000 claims description 6
- 230000006399 behavior Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000011451 sequencing strategy Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种基于日志分析的网络攻击检测方法及装置,涉及网络信息安全技术领域。方法包括:读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;根据服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;从预先设置的策略库中选取与扫描场景唯一对应的扫描策略;根据扫描策略对待检测的服务器日志文件进行扫描,生成日志安全扫描结果;根据预先设置的文件格式输出日志安全扫描结果、扫描场景及扫描策略。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种基于日志分析的网络攻击检测方法及装置。
背景技术
当前,随着网络信息技术的不断发展,网络服务器等也同样面对各种类型的攻击。为了保证网络服务器等的安全,一般需要进行网络攻击检测。例如,针对网页服务器的网络攻击检测主要可以分为事前检测和事后检测,其中事前检测是通过预设的安全策略,对具有恶意行为特征的网络访问行为进行识别,以实现对网络入侵行为的预警和阻断。事前检测主要包括软件检测和硬件检测,其中软件检测主要包括各类终端安全防御软件、专用杀毒软件等;硬件检测主要通过专用的安全设备完成,安全设备除了包括传统的防火墙,还包括入侵检测系统、入侵防御系统、网络安全扫描设备等。另外,事后检测也可以通过软件或硬件完成,其主要原理是通过识别网络攻击者在完成攻击行为过程中留下的痕迹,实现识别网络攻击的目的,继而推断出网络攻击者的攻击路径,对特定的安全风险点进行封堵,避免同类入侵的再次发生。可能发现攻击者痕迹的位置主要包括服务器端口配置、网络设备路由配置、防火墙策略配置、网络设备日志、服务器日志、服务器软件配置、数据库数据、操作系统配置等。其中服务器端口配置、网络设备路由配置、防火墙策略配置、服务器软件配置的痕迹属于静态痕迹,可以体现入侵者攻击后的系统状态;服务器日志和网络设备日志则属于动态记录,可以体现出网络攻击进行过程中的一系列操作或访问行为,可以较为准确的对网络攻击者的行为进行识别,通过静态记录再现攻击过程。
当前电力信息网络同样面对网络攻击检测的问题,而网络安全检查的重要内容是对单台网页服务器进行安全入侵的事后扫描。由于电力信息网络安全设计的独特性,不允许在检测过程中对当前的网络结构进行改变,因此无法使用硬件接入型的网络安全设备进行扫描。另外由于网络结构和对外提供的服务类型相对固定,电力信息网络单台服务器安全检测的环境较为单一。可见,当前如何对电力信息网络进行网络攻击检测成为了一个亟待解决的问题。
发明内容
本发明的实施例提供一种基于日志分析的网络攻击检测方法及装置,以实现对电力信息网络进行网络攻击检测。
为达到上述目的,本发明采用如下技术方案:
一种基于日志分析的网络攻击检测方法,包括:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;
根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
具体的,所述读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型,包括:
采用自动化的端口扫描脚本,根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型;所述网络中间件服务类型包括:IIS、Tomcat、Jboss、Weblogic以及Websphere;
根据所述网络中间件服务类型,采用预先配置的默认路径及常见配置路径,通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在待检测的服务器日志文件;
若所述默认路径及常见配置路径中存在待检测的服务器日志文件,读取所述待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,并根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;所述服务器日志采用的格式类型为CLF、ECLF或ExLF。
具体的,根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景,包括:
在预先设置的场景类型匹配内置字典中匹配查找所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型,确定待检测的服务器日志文件对应的扫描场景。
具体的,所述扫描策略包括分组排序策略和匹配模板;
所述分组排序策略包括:
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,以同一IP地址的单次会话的日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,将同一IP地址的分组数量进行排序,并将排序后的同一IP地址的分组按照会话长度进行排序,并逐一对各分组进行扫描;
根据固定时间长度对各待检测的服务器日志文件进行分组,并以固定时间长度内日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
所述匹配模板用于表示网络攻击类型,所述网络攻击类型包括:SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。
具体的,根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果,包括:
根据所述扫描策略对所述待检测的服务器日志文件进行扫描;
在扫描过程中,对所述待检测的服务器日志文件按照所述分组排序策略进行分组和排序,再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果;
所述将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果,包括:
将单一日志条目分组确定为有序串x,所述有序串x的长度为分组内条目个数i,将匹配模板视为有序串y,有序串y的长度为模板内访问动作的数量j,匹配算法使用最长公共子序列的动态规划算法,算法时间及空间复杂度均为i+j,获得x与y的最长公共子序列c,最长公共子序列c的长度为c[i,j],将确定为此次匹配的吻合率;将吻合率在固定阈值以上的匹配过程中的日志目标分组确定为日志安全扫描结果;其中,xi为长度为i的有序串x,yj为长度为j的有序串y。
具体的,根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略,包括:
根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略;所述日志安全扫描结果中包括所述吻合率。
一种基于日志分析的网络攻击检测装置,包括:
日志类型识别单元,用于读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;
扫描场景确定单元,用于根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
扫描策略确定单元,用于从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
扫描单元,用于根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
结果输出单元,用于根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
此外,所述日志类型识别单元,具体用于:
采用自动化的端口扫描脚本,根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型;所述网络中间件服务类型包括:IIS、Tomcat、Jboss、Weblogic以及Websphere;
根据所述网络中间件服务类型,采用预先配置的默认路径及常见配置路径,通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在待检测的服务器日志文件;
若所述默认路径及常见配置路径中存在待检测的服务器日志文件,读取所述待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,并根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;所述服务器日志采用的格式类型为CLF、ECLF或ExLF。
此外,所述扫描场景确定单元,具体用于:
在预先设置的场景类型匹配内置字典中匹配查找所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型,确定待检测的服务器日志文件对应的扫描场景。
具体的,所述扫描策略确定单元中的扫描策略包括分组排序策略和匹配模板;
所述分组排序策略包括:
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,以同一IP地址的单次会话的日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,将同一IP地址的分组数量进行排序,并将排序后的同一IP地址的分组按照会话长度进行排序,并逐一对各分组进行扫描;
根据固定时间长度对各待检测的服务器日志文件进行分组,并以固定时间长度内日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
所述匹配模板用于表示网络攻击类型,所述网络攻击类型包括:SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。
此外,所述扫描单元,具体用于:
根据所述扫描策略对所述待检测的服务器日志文件进行扫描;
在扫描过程中,对所述待检测的服务器日志文件按照所述分组排序策略进行分组和排序,再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果;
所述扫描单元中,将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果,包括:
将单一日志条目分组确定为有序串x,所述有序串x的长度为分组内条目个数i,将匹配模板视为有序串y,有序串y的长度为模板内访问动作的数量j,匹配算法使用最长公共子序列的动态规划算法,算法时间及空间复杂度均为i+j,获得x与y的最长公共子序列c,最长公共子序列c的长度为c[i,j],将确定为此次匹配的吻合率;将吻合率在固定阈值以上的匹配过程中的日志目标分组确定为日志安全扫描结果;其中,xi为长度为i的有序串x,yj为长度为j的有序串y。
此外,所述结果输出单元,具体用于:
根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略;所述日志安全扫描结果中包括所述吻合率。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;
根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
一种计算机设备,包括存储器、处理器及存储在存储上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;
根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
本发明实施例提供一种基于日志分析的网络攻击检测方法及装置,首先读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;然后,根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。可见,本发明实施例可以实现一种自动化,高效率,且便于维护的对电力信息网络进行网络攻击检测的方法。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于日志分析的网络攻击检测方法的流程图一;
图2为本发明实施例提供的一种基于日志分析的网络攻击检测方法的流程图二;
图3为本发明实施例提供的一种基于日志分析的网络攻击检测装置的结构示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在发明人研究本发明实施例的过程中发现,现有技术中对网络攻击行为进行检测存在如下方式:
使用服务器日志对网络攻击行为进行事后检测,目前主要可以通过服务器日志安全扫描工具进行扫描。日志的安全扫描工具可以检测多种系统平台的服务器日志,可以根据需要选择相应的安全扫描策略,对不同类型的网络攻击进行扫描;服务器日志安全扫描工具可以使用硬件或软件载体,通过接入目标服务器网络或在服务器上安装,可以实现日志扫描功能。日志安全扫描工具通常具有安全策略库,通过升级的方式扩展支持扫描的网络攻击类型。
然而,上述现有技术的方式存在以下众多缺点:
①、由于入侵检测系统和面向不同客户的安全扫描场景,需要内置大量的安全扫描策略,这就导致上述工具体量庞大从而不便于传递分发,而其全面的功能使得操作较为复杂,从而培训和使用成本高昂。
②、由于使用的场景不固定,需要使用人员根据环境,在预置的列表中根据实际环境选择相应的配置场景,无法自动化的识别使用场景,增加了人力成本。而且由于扫描场景本身的复杂性,往往无法完全匹配。
③、由于上述工具面向不同的系统平台,必然导致部署策略的复杂;需要较长的安装部署时间,不满足电力信息网络的应用场景。
④、在不更新策略库的情况下,上述工具对新型网络攻击无法检测,而工具提供者为了考虑各个平台下的攻击行为差异,针对特定新型攻击的行为检测策略开发周期较长,难以保证时效性。采用软件升级的方式进行策略扩充,不可以在扫描过程中动态添加策略。
为了克服上述现有技术的缺点,如图1所示,本发明实施例提供一种基于日志分析的网络攻击检测方法,包括:
步骤101、读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型。
步骤102、根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景。
步骤103、从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑。
步骤104、根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果。
步骤105、根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
本发明实施例提供一种基于日志分析的网络攻击检测方法,首先读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;然后,根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。可见,本发明实施例可以实现一种自动化,高效率,且便于维护的对电力信息网络进行网络攻击检测的方法。
为了使本领域的技术人员更好的了解本发明,下面列举一个更为详细的实施例,如图2所示,本发明实施例提供一种基于日志分析的网络攻击检测方法,包括:
步骤201、采用自动化的端口扫描脚本,根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型。
其中,所述网络(或称Web)中间件服务类型包括:IIS(互联网信息服务,InternetInformation Services)、Tomcat(一种Java Web服务器)、Jboss(一种基于J2EE的开放源代码的应用服务器)、Weblogic(一种基于JAVAEE架构的中间件)以及Websphere(一种软件平台)。
步骤202、根据所述网络中间件服务类型,采用预先配置的默认路径及常见配置路径,通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在待检测的服务器日志文件。
步骤203、若所述默认路径及常见配置路径中存在待检测的服务器日志文件,读取所述待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,并根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型。
其中,所述服务器日志采用的格式类型为NCSA(美国国家超级计算机应用中心,National Center for Supercomputing Applications)的CLF(通用日志格式,Common LogFormat)、ECLF(扩展通用日志格式,Extended Common Log Format)或万维网联盟(WorldWide Web Consortium,简称W3C)的ExLF(扩展日志格式,Extended Log Format)。此处,服务器日志无论采用上述何种格式类型,除头部信息之外,均是一系列日志条目的有序集合。
步骤204、在预先设置的场景类型匹配内置字典中匹配查找所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型,确定待检测的服务器日志文件对应的扫描场景。
例如,部署了门户系统的发生网络拥塞故障的IIS中间件服务器192.168.1.x的80端口进行访问的ExLF日志,在场景类型匹配内置字典中检索ExLF(IIS日志)日志类型、192.168.1.x:80(主机地址:端口号)、门户系统和网络拥塞故障所对应的场景ID。此处的场景类型匹配内置字典可以使用xml文件进行描述,有服务器运维人员预先提供和维护。
步骤205、从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略。
其中,所述扫描策略用于表示扫描过程中所应用的扫描逻辑。
具体的,所述扫描策略包括分组排序策略和匹配模板。
所述分组排序策略包括:
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,以同一IP地址的单次会话的日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,将同一IP地址的分组数量进行排序,并将排序后的同一IP地址的分组按照会话长度进行排序,并逐一对各分组进行扫描;
根据固定时间长度对各待检测的服务器日志文件进行分组,并以固定时间长度内日志条目数量对各分组进行排序,并逐一对各分组进行扫描。
所述匹配模板是指按照分组排序策略对待检测的服务器日志文件中的日志条目进行分组排序后,用于匹配日志条目序列的对象,是一系列日志条目中访问动作的序列,不同的匹配模板代表不同的网络攻击类型,所述网络攻击类型包括:SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。
此外,值得说明的是,一个扫描策略可以由多对分组排序策略和匹配模板组成,代表对日志文件进行了多种可能的攻击方式的检测。如果一场景下没有相应的扫描策略或需要人工选择替代的策略,可以通过进行策略导入,所导入的扫描策略以xml文件格式描述,在本次扫描中使用,并与当前场景进行匹配和保存,在下次相同的日志类型和场景组合的扫描中使用。
步骤206、根据所述扫描策略对所述待检测的服务器日志文件进行扫描。
步骤207、在扫描过程中,对所述待检测的服务器日志文件按照所述分组排序策略进行分组和排序,再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果。
此处,所述将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果,可以采用如下方式:
将单一日志条目分组确定为有序串x,所述有序串x的长度为分组内条目个数i,将匹配模板视为有序串y,有序串y的长度为模板内访问动作的数量j,匹配算法使用最长公共子序列的动态规划算法,算法时间及空间复杂度均为i+j,获得x与y的最长公共子序列c,最长公共子序列c的长度为c[i,j],将确定为此次匹配的吻合率;将吻合率在固定阈值以上的匹配过程中的日志目标分组确定为日志安全扫描结果;其中,xi为长度为i的有序串x,yj为长度为j的有序串y。
步骤208、根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略;所述日志安全扫描结果中包括所述吻合率。
xml即为可扩展标记语言,也作为文件扩展名。
通过吻合率可获知吻合率高的代表日志目标分组越符合匹配模板中所描述的网络攻击模式。通过日志安全扫描结果、所述扫描场景及扫描策略,可以快速筛选出可能符合恶意攻击模式的日志条目及相对应的访问IP,进而发现入侵路径和系统漏洞。
通过上述步骤可知,本发明实施例可用于电力行业信息系统,由于网络拓扑及系统的相对确定,仅需要内置可能出现的风险扫描策略,因此功能简洁、体量较小。使用xml格式描述扫描策略,由于xml为通用纯文本文件交换格式,以xml文件描述的识别策略具有体积小、分发方便的特点。可以由执行网络威胁分析的技术人员编写,并快速进行分发。另外,本发明实施例可以使用载体软件内置的场景字典,根据主机属性、日志类型、故障类型等信息自动确定使用的扫描策略,避免了不同技术人员自行根据场景进行扫描配置差异带来的不确定性,节省了扫描所需的时间成本。另外,本发明实施例描述的方法仅针对检测对外提供网页服务的单台网络服务器有效。本发明实施例要求主要处理逻辑使用Python脚本语言编写,使用该语言编写作为本方法的特征,具有体积小、可移植性高的特点,无需安装即可运行,具有良好的跨平台性,便于分发使用。本发明实施例扫描时使用单一策略,因此具有针对性强、扫描速度快等特点。本发明实施例描述的方法在策略筛选步骤中可以以导入策略文件的方式对支持扫描的攻击类型进行扩充,而无需提前对本方法的载体软件进行升级。可以在新型网络威胁出现后由执行网络威胁分析的技术人员编写分发,具有较强的时效性。
本发明实施例提供的基于日志分析的网络攻击检测方法与现有技术相比,存在以下众多优点:
①、将每次检测扫描的策略选择从逻辑上拆分成日志类型、场景、策略三个层次,每个层次都可以自动化的完成,最终匹配到单一的扫描策略,改良了现有方案每次扫描需要复杂的手动选择的问题。
②、检测扫描过程中可以通过导入以xml文件描述的扫描策略的方式扩充支持的攻击检测范围,相比原有方案更为灵活,针对单个新型攻击的检测以扫描策略描述文件为载体,相比现有技术的开发周期短,体量小,分发方便。
③、仅面向对外提供网页服务的单台网络服务器进行检测,采用脚本语言对扫描逻辑进行描述,直接运行无需安装,相比现有技术的客户端软件占用空间大大缩小,工具本身便于分发,跨平台型更好。
④、相比现有技术,本发明实施例中使用的算法中匹配过程为线性时空复杂度,具有良好的运算和空间效率,可以快速、定量的描述待检测的服务器日志文件中可能存在的恶意攻击类型和相似度,对技术人员进行进一步排查系统漏洞具有积极意义。
对应于上述图1和图2所对应的方法实施例,如图3所示,本发明实施例还提供一种基于日志分析的网络攻击检测装置,包括:
日志类型识别单元31,用于读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型。
扫描场景确定单元32,用于根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景。
扫描策略确定单元33,用于从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑。
扫描单元34,用于根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果。
结果输出单元35,用于根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
此外,所述日志类型识别单元31,具体用于:
采用自动化的端口扫描脚本,根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型;所述网络中间件服务类型包括:IIS、Tomcat、Jboss、Weblogic以及Websphere。
根据所述网络中间件服务类型,采用预先配置的默认路径及常见配置路径,通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在待检测的服务器日志文件。
若所述默认路径及常见配置路径中存在待检测的服务器日志文件,读取所述待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,并根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;所述服务器日志采用的格式类型为CLF、ECLF或ExLF。
此外,所述扫描场景确定单元32,具体用于:
在预先设置的场景类型匹配内置字典中匹配查找所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型,确定待检测的服务器日志文件对应的扫描场景。
具体的,所述扫描策略确定单元33中的扫描策略包括分组排序策略和匹配模板;
所述分组排序策略包括:
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,以同一IP地址的单次会话的日志条目数量对各分组进行排序,并逐一对各分组进行扫描。
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,将同一IP地址的分组数量进行排序,并将排序后的同一IP地址的分组按照会话长度进行排序,并逐一对各分组进行扫描。
根据固定时间长度对各待检测的服务器日志文件进行分组,并以固定时间长度内日志条目数量对各分组进行排序,并逐一对各分组进行扫描。
所述匹配模板用于表示网络攻击类型,所述网络攻击类型包括:SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。
此外,所述扫描单元34,具体用于:
根据所述扫描策略对所述待检测的服务器日志文件进行扫描。
在扫描过程中,对所述待检测的服务器日志文件按照所述分组排序策略进行分组和排序,再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果。
所述扫描单元34中,将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果,包括:
将单一日志条目分组确定为有序串x,所述有序串x的长度为分组内条目个数i,将匹配模板视为有序串y,有序串y的长度为模板内访问动作的数量j,匹配算法使用最长公共子序列的动态规划算法,算法时间及空间复杂度均为i+j,获得x与y的最长公共子序列c,最长公共子序列c的长度为c[i,j],将确定为此次匹配的吻合率;将吻合率在固定阈值以上的匹配过程中的日志目标分组确定为日志安全扫描结果;其中,xi为长度为i的有序串x,yj为长度为j的有序串y。
此外,所述结果输出单元35,具体用于:
根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略;所述日志安全扫描结果中包括所述吻合率。
本发明实施例提供一种基于日志分析的网络攻击检测装置,首先读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;然后,根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。可见,本发明实施例可以实现一种自动化,高效率,且便于维护的对电力信息网络进行网络攻击检测的方法。
另外,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型。
根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景。
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑。
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果。
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
另外,本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型。
根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景。
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑。
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果。
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种基于日志分析的网络攻击检测方法,其特征在于,包括:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断待检测的服务器日志文件采用的格式类型;
根据所述待检测的服务器日志文件采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
2.根据权利要求1所述的基于日志分析的网络攻击检测方法,其特征在于,所述读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型,包括:
采用自动化的端口扫描脚本,根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型;所述网络中间件服务类型包括:IIS、Tomcat、Jboss、Weblogic以及Websphere;
根据所述网络中间件服务类型,采用预先配置的默认路径及常见配置路径,通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在待检测的服务器日志文件;
若所述默认路径及常见配置路径中存在待检测的服务器日志文件,读取所述待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,并根据待检测的服务器日志文件的头部格式信息判断服务器日志采用的格式类型;所述服务器日志采用的格式类型为CLF、ECLF或ExLF。
3.根据权利要求2所述的基于日志分析的网络攻击检测方法,其特征在于,根据所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景,包括:
在预先设置的场景类型匹配内置字典中匹配查找所述服务器日志采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型,确定待检测的服务器日志文件对应的扫描场景。
4.根据权利要求3所述的基于日志分析的网络攻击检测方法,其特征在于,所述扫描策略包括分组排序策略和匹配模板;
所述分组排序策略包括:
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,以同一IP地址的单次会话的日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,将同一IP地址的分组数量进行排序,并将排序后的同一IP地址的分组按照会话长度进行排序,并逐一对各分组进行扫描;
根据固定时间长度对各待检测的服务器日志文件进行分组,并以固定时间长度内日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
所述匹配模板用于表示网络攻击类型,所述网络攻击类型包括:SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。
5.根据权利要求4所述的基于日志分析的网络攻击检测方法,其特征在于,根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果,包括:
根据所述扫描策略对所述待检测的服务器日志文件进行扫描;
在扫描过程中,对所述待检测的服务器日志文件按照所述分组排序策略进行分组和排序,再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果;
所述将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果,包括:
6.根据权利要求5所述的基于日志分析的网络攻击检测方法,其特征在于,根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略,包括:
根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略;所述日志安全扫描结果中包括所述吻合率。
7.一种基于日志分析的网络攻击检测装置,其特征在于,包括:
日志类型识别单元,用于读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断待检测的服务器日志文件采用的格式类型;
扫描场景确定单元,用于根据所述待检测的服务器日志文件采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
扫描策略确定单元,用于从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
扫描单元,用于根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
结果输出单元,用于根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
8.根据权利要求7所述的基于日志分析的网络攻击检测装置,其特征在于,所述日志类型识别单元,具体用于:
采用自动化的端口扫描脚本,根据服务器开放端口及绑定类型识别服务器上已部署的网络中间件服务类型;所述网络中间件服务类型包括:IIS、Tomcat、Jboss、Weblogic以及Websphere;
根据所述网络中间件服务类型,采用预先配置的默认路径及常见配置路径,通过文件后缀匹配查找所述默认路径及常见配置路径中是否存在待检测的服务器日志文件;
若所述默认路径及常见配置路径中存在待检测的服务器日志文件,读取所述待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,并根据待检测的服务器日志文件的头部格式信息判断待检测的服务器日志文件采用的格式类型;所述待检测的服务器日志文件采用的格式类型为CLF、ECLF或ExLF。
9.根据权利要求8所述的基于日志分析的网络攻击检测装置,其特征在于,所述扫描场景确定单元,具体用于:
在预先设置的场景类型匹配内置字典中匹配查找所述待检测的服务器日志文件采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型对应的场景类型,确定待检测的服务器日志文件对应的扫描场景。
10.根据权利要求9所述的基于日志分析的网络攻击检测装置,其特征在于,所述扫描策略确定单元中的扫描策略包括分组排序策略和匹配模板;
所述分组排序策略包括:
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,以同一IP地址的单次会话的日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
根据同一IP地址的单次会话对各待检测的服务器日志文件进行分组,将同一IP地址的分组数量进行排序,并将排序后的同一IP地址的分组按照会话长度进行排序,并逐一对各分组进行扫描;
根据固定时间长度对各待检测的服务器日志文件进行分组,并以固定时间长度内日志条目数量对各分组进行排序,并逐一对各分组进行扫描;
所述匹配模板用于表示网络攻击类型,所述网络攻击类型包括:SQL注入、敏感信息窃取、反射型跨站以及拒绝服务攻击。
11.根据权利要求10所述的基于日志分析的网络攻击检测装置,其特征在于,所述扫描单元,具体用于:
根据所述扫描策略对所述待检测的服务器日志文件进行扫描;
在扫描过程中,对所述待检测的服务器日志文件按照所述分组排序策略进行分组和排序,再将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果;
所述扫描单元中,将分组和排序后的日志条目分组按照顺序逐一与所述匹配模板中的各网络攻击类型进行匹配,生成日志安全扫描结果,包括:
12.根据权利要求11所述的基于日志分析的网络攻击检测装置,其特征在于,所述结果输出单元,具体用于:
根据xml格式输出所述日志安全扫描结果、所述扫描场景及扫描策略;所述日志安全扫描结果中包括所述吻合率。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现以下步骤:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断待检测的服务器日志文件采用的格式类型;
根据所述待检测的服务器日志文件采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
14.一种计算机设备,包括存储器、处理器及存储在存储上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
读取待检测的服务器日志文件,获取待检测的服务器日志文件对应的主机的网络地址、服务器端口号、应用类型及故障类型,根据待检测的服务器日志文件的头部格式信息判断待检测的服务器日志文件采用的格式类型;
根据所述待检测的服务器日志文件采用的格式类型、待检测主机的网络地址、服务器端口号、应用类型及故障类型,与预先设置的场景类型进行匹配,确定待检测的服务器日志文件对应的扫描场景;
从预先设置的策略库中选取与所述扫描场景唯一对应的扫描策略;所述扫描策略用于表示扫描过程中所应用的扫描逻辑;
根据所述扫描策略对所述待检测的服务器日志文件进行扫描,生成日志安全扫描结果;
根据预先设置的文件格式输出所述日志安全扫描结果、所述扫描场景及扫描策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810034040.6A CN108183916B (zh) | 2018-01-15 | 2018-01-15 | 一种基于日志分析的网络攻击检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810034040.6A CN108183916B (zh) | 2018-01-15 | 2018-01-15 | 一种基于日志分析的网络攻击检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108183916A CN108183916A (zh) | 2018-06-19 |
CN108183916B true CN108183916B (zh) | 2020-08-14 |
Family
ID=62550519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810034040.6A Active CN108183916B (zh) | 2018-01-15 | 2018-01-15 | 一种基于日志分析的网络攻击检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108183916B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110059746A (zh) * | 2019-04-18 | 2019-07-26 | 达闼科技(北京)有限公司 | 一种创建目标检测模型的方法、电子设备及存储介质 |
CN110245491B (zh) * | 2019-06-11 | 2021-01-08 | 国网安徽省电力有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
CN111092879B (zh) * | 2019-12-13 | 2022-05-31 | 杭州迪普科技股份有限公司 | 日志关联方法及装置、电子设备、存储介质 |
CN111225002B (zh) * | 2020-03-18 | 2022-05-27 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
CN113472555B (zh) * | 2020-03-30 | 2022-09-23 | 华为技术有限公司 | 故障检测方法、系统、装置、服务器及存储介质 |
CN112130759A (zh) * | 2020-09-04 | 2020-12-25 | 苏州浪潮智能科技有限公司 | 一种存储系统的参数配置方法、系统及相关装置 |
CN112165486B (zh) * | 2020-09-27 | 2023-04-25 | 杭州迪普科技股份有限公司 | 网络地址集合拆分方法及装置 |
CN112272186B (zh) * | 2020-10-30 | 2023-07-18 | 深信服科技股份有限公司 | 一种网络流量检测装置、方法及电子设备和存储介质 |
CN112468464B (zh) * | 2020-11-16 | 2022-10-28 | 深圳市永达电子信息股份有限公司 | 基于服务链的状态机完整性验证系统及方法 |
CN112738068B (zh) * | 2020-12-25 | 2023-03-07 | 北京天融信网络安全技术有限公司 | 一种网络脆弱性扫描方法及装置 |
CN114116422B (zh) * | 2021-11-19 | 2024-05-24 | 苏州浪潮智能科技有限公司 | 一种硬盘日志分析方法、硬盘日志分析装置及存储介质 |
CN115296941B (zh) * | 2022-10-10 | 2023-03-24 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
CN116170297B (zh) * | 2023-04-23 | 2023-07-14 | 北京首信科技股份有限公司 | 一种网络接入认证中lns网元监控的方法和装置 |
CN116915451B (zh) * | 2023-06-30 | 2024-03-22 | 上海螣龙科技有限公司 | 一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103379099A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及系统 |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
CN105610776A (zh) * | 2015-09-24 | 2016-05-25 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种针对云计算IaaS层高危安全漏洞检测方法和系统 |
CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090182818A1 (en) * | 2008-01-11 | 2009-07-16 | Fortinet, Inc. A Delaware Corporation | Heuristic detection of probable misspelled addresses in electronic communications |
US10298607B2 (en) * | 2015-04-16 | 2019-05-21 | Nec Corporation | Constructing graph models of event correlation in enterprise security systems |
-
2018
- 2018-01-15 CN CN201810034040.6A patent/CN108183916B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
CN103379099A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及系统 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
CN105610776A (zh) * | 2015-09-24 | 2016-05-25 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种针对云计算IaaS层高危安全漏洞检测方法和系统 |
CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108183916A (zh) | 2018-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
Kumar et al. | Signature based intrusion detection system using SNORT | |
US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
KR20090090685A (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN110677381A (zh) | 渗透测试的方法及装置、存储介质、电子装置 | |
CN110881024B (zh) | 漏洞的探测方法及装置、存储介质、电子装置 | |
CN110768951B (zh) | 验证系统漏洞的方法及装置、存储介质、电子装置 | |
CN110879891A (zh) | 基于web指纹信息的漏洞探测方法及装置 | |
CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
Wu et al. | Detect repackaged android application based on http traffic similarity | |
CN110765333A (zh) | 采集网站信息的方法及装置、存储介质、电子装置 | |
CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
CN110768949B (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
US20230205888A1 (en) | Security Event Modeling and Threat Detection Using Behavioral, Analytical, and Threat Intelligence Attributes | |
CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
CN110768950A (zh) | 渗透指令的发送方法及装置、存储介质、电子装置 | |
CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |