CN110149350B - 一种告警日志关联的网络攻击事件分析方法及装置 - Google Patents
一种告警日志关联的网络攻击事件分析方法及装置 Download PDFInfo
- Publication number
- CN110149350B CN110149350B CN201910548121.2A CN201910548121A CN110149350B CN 110149350 B CN110149350 B CN 110149350B CN 201910548121 A CN201910548121 A CN 201910548121A CN 110149350 B CN110149350 B CN 110149350B
- Authority
- CN
- China
- Prior art keywords
- attack
- fingerprint
- library
- risk
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 56
- 238000007781 pre-processing Methods 0.000 claims abstract description 23
- 238000007619 statistical method Methods 0.000 claims abstract description 9
- 230000004044 response Effects 0.000 claims abstract description 7
- 230000006399 behavior Effects 0.000 claims description 25
- 230000002155 anti-virotic effect Effects 0.000 claims description 18
- 241000700605 Viruses Species 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 12
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 12
- 230000010365 information processing Effects 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000007418 data mining Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种告警日志关联的网络攻击事件分析方法,包括,S1、获取日志的原始文件并对原始文件预处理;S2、对预处理后的原始文件进行异常判断分析;根据判断分析结果,组建攻击规则指纹库,再逐步对攻击规则指纹库进行完善;S3、将攻击规则指纹库与告警日志的事件关联;再将联后的事件进行汇总、合并,组建告警事件库;S4、根据告警事件库,进行事件响应与处理,本发明还公开了一种告警日志关联的网络攻击事件分析装置。本发明能够组建攻击规则指纹库,同时通过特征属性系统化、概率统计方法、动态跟踪法等方法对攻击规则指纹库进行不断完善,从而确保及时应对不同的网络攻击事件。
Description
技术领域
本发明涉及网络安全事件分析领域,更具体涉及一种告警日志关联的网络攻击事件分析方法及装置。
背景技术
随着公司信息化建设不断深入完善,在公司内部形成了庞大的信息网络。在互联网上危害较大的多种恶意代码(僵尸网络、木马、勒索软件等)也在不断威胁着信息网络,各种主机以及终端设备中也可能潜伏着多种恶意代码,如果不及时解决,这些恶意代码问题,会给公司的信息化建设带来不良后果,如公司人员信息泄露、公司内部机密文件泄露等等。
由于全网主机和终端设备数量多,分布范围广、用户安全意识层次不齐,看似平静的信息网络中充斥着各类高危的主机和高危的终端设备,如何及时准确发现信息网络内存在的各类高危的主机和高危的终端设备是亟待解决的技术问题。
发明内容
本发明所要解决的技术问题在于提供一种告警日志关联的网络攻击事件分析方法及装置,以及时准确发现信息网络内存在的各类高危的主机和高危的终端设备。
为解决上述问题,本发明提供如下技术方案:
一种告警日志关联的网络攻击事件分析方法,包括:
S1、获取日志的原始文件并对原始文件预处理;
S2、对预处理后的原始文件进行异常判断分析;根据判断分析结果,组建攻击规则指纹库,再对攻击规则指纹库进行完善及更新;
S3、将攻击规则指纹库与告警日志的事件关联;再将联后的事件进行汇总、合并,组建告警事件库;
S4、根据告警事件库,进行事件响应与处理。
作为本发明进一步的方案:所述步骤S1中获取原始文件包括:
1)通过核心交换机端口镜像技术对信息网络中的网络流量信息进行采集,并生成pcap文件;
2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。
作为本发明进一步的方案:所述步骤S1中原始文件预处理包括:
应用大数据平台对pcap文件进行剥离预处理,将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议;
应用大数据平台对syslog日志进行剥离预处理,预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理,从而形成了统一的事件文件。
作为本发明进一步的方案:所述步骤S2包括:
所述组建攻击规则指纹库包括:
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库;建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,其中,
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库,包括:
1)通过扫描高危主机或终端设备,判断是否存在黑客工具进程,是的话,将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库;
2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞;是的话,将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库;
3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名,是的话,将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库;
4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录,是的话,将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库;
建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者,包括:
21)防病毒系统中是否存在已知的蠕虫、木马告警信息,是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库;
22)网络流量监控系统中是否存在黑名单域名访问,是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库;
23)判断防火墙日志是否存在主动外联记录,或是否存在针对非法目标地址DIP的访问记录,是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库;
建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,包括:
31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录,是的话,将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库;
32)防病毒日志是否存在若干病毒告警,是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库;
33)该远程控制的高危主机或终端是否存在高危漏洞,是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库;并判定为被远程控制的高危主机或终端;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;
对攻击规则指纹库进行完善,包括:
A、利用多特征属性系统化的数据来源项进行分析,完善攻击规则指纹库;
B、利用概率统计方法对数据来源项中的行为进行汇总分析,完善攻击规则指纹库;
C、利用动态跟踪法对网络行为进行追踪,并结合数据挖掘的分析方法对网络行为进行分类、标识,完善攻击规则指纹库;
D、对现实环境中的网络行为进行收集及验证,完善攻击规则指纹库;
通过A、B、C、D四种方法实时跟踪录入攻击指纹库中每条信息,将指纹库中出现次数最小的规则删除;针对攻击情况超出上述所列攻击规则指纹库,新增一条新的攻击指纹,同时重复所述组建攻击规则指纹库的步骤,对指纹进行重新录入攻击规则指纹库;实现对攻击指纹库的更新。
作为本发明进一步的方案:所述步骤S3包括,在获取的攻击规则指纹库的基础上,通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进行逐层关联,实现异常主机或终端信息与告警日志的事件相关联,将关联的事件进行汇总、合并,最终形成告警事件库;
所述事件包括告警名称、攻击源IP、攻击类型、恶意域名、告警时间、处理建议。。
一种采用告警日志关联的网络攻击事件分析方法的分析装置,包括:
预处理模块,用于获取原始文件;并对原始文件预处理;
攻击规则指纹库组建模块,用于对预处理后的原始文件进行异常判断分析;根据判断分析结果,组建攻击规则指纹库,再对攻击规则指纹库进行完善及更新;
关联模块,用于将攻击规则指纹库与告警日志的事件关联;用于将联后的事件进行汇总、合并,组建告警事件库;
响应与处理模块,用于根据告警事件库,进行事件响应与处理。
作为本发明进一步的方案:所述预处理模块中获取原始文件包括:
1)通过核心交换机端口镜像技术,实现对信息网络中的网络流量信息的采集,并生成pcap文件;
2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。
作为本发明进一步的方案:所述预处理模块中原始文件处理包括:
应用大数据平台对pcap文件进行剥离预处理,将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议;
应用大数据平台对syslog日志进行剥离预处理,预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理,从而形成了统一的事件文件。
作为本发明进一步的方案:所述攻击规则指纹库组建模块还包括:
所述组建攻击规则指纹库包括:
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库;建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,其中,
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库,包括:
1)通过扫描高危主机或终端设备,判断是否存在黑客工具进程,是的话,将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库;
2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞;是的话,将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库;
3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名,是的话,将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库;
4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录,是的话,将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库;
建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者,包括:
21)防病毒系统中是否存在已知的蠕虫、木马告警信息,是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库;
22)网络流量监控系统中是否存在黑名单域名访问,是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库;
23)判断防火墙日志是否存在若干主动外联记录,或是否存在若干针对非法目标地址DIP的访问记录,是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库;
建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,包括:
31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录,是的话,将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库;32)防病毒日志是否存在若干病毒告警,是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库;
33)该远程控制的高危主机或终端是否存在高危漏洞,是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库;并判定为被远程控制的高危主机或终端;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;
对攻击规则指纹库进行完善,包括:
A、利用多特征属性系统化的数据来源项进行分析,完善攻击规则指纹库;
B、利用概率统计方法对数据来源项中的行为进行汇总分析,完善攻击规则指纹库;
C、利用动态跟踪法对网络行为进行追踪,并结合数据挖掘的分析方法对网络行为进行分类、标识,完善攻击规则指纹库;
D、对现实环境中的网络行为进行收集及验证,完善攻击规则指纹库;
通过A、B、C、D四种方法实时跟踪录入攻击指纹库中每条信息,将指纹库中出现次数最小的规则删除;针对攻击情况超出上述所列攻击规则指纹库,新增一条新的攻击指纹,同时重复所述组建攻击规则指纹库的步骤,对指纹进行重新录入攻击规则指纹库;实现对攻击指纹库的更新。
作为本发明进一步的方案:所述关联模块还包括:
在获取的攻击规则指纹库的基础上,通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进行逐层关联,实现异常主机或终端信息与告警日志的事件相关联,将关联的事件进行汇总、合并,最终形成告警事件库;
所述事件包括告警名称、攻击源IP、攻击类型、恶意域名、告警时间、处理建议。
与现有技术相比,本发明的有益效果是:
1、本发明通过从睿眼网络版、S6000中桌管系统等获取相关的数据信息,从而尽可能包含了所有可能导致主机或者终端存在安全威胁的数据信息,对预处理后的原始文件同步进行异常判断分析,并建立了主机与终端的攻击指纹库,将不符合要求的攻击指纹从攻击规则指纹库中抛弃,这样能够大大提高了检测效率,能够第一时间发现信息网络内部存在的各类存在安全威胁的主机或终端设备,方便及时处理。
2、本发明能够组建攻击规则指纹库,同时通过特征属性系统化、概率统计方法、动态跟踪法等方法对攻击规则指纹库进行不断完善及更新,从而确保及时应对不同的网络攻击事件。
3、本发明能够通过对存在安全风险的设备进行分析,对分析结果中存在安全隐患的事件进行响应,提供信息网络内部存在的各类存在安全威胁的主机或终端设备清单及告警事件,确保信息网络的安全、稳定。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。
图1为本发明实施例1提供的告警日志关联的网络攻击事件分析方法的流程方框图。
图2为本发明实施例2提供的告警日志关联的网络攻击事件分析装置结构示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例1
图1为本发明实施例1提供的告警日志关联的网络攻击事件分析方法的流程方框图,如图1,本发明实施例中,一种告警日志关联的网络攻击事件分析方法,包括:
S1、获取日志的原始文件并对原始文件预处理;
所述获取日志的原始文件包括:
1)通过核心交换机端口镜像技术,实现对信息网络中的网络流量信息的采集,并生成pcap文件;PCAP是一个数据包抓取库;
2)采集桌管系统、防病毒系统、IDS(Intrusion Detection Systems)、WAF(WebApplication Firewall)、防火墙、攻击溯源系统、漏洞扫描设备等数据的syslog日志;
所述原始文件预处理包括:
应用大数据平台对已获取的原始文件进行预处理,包括:
应用大数据平台对pcap文件进行剥离预处理,pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议,
应用大数据平台对syslog日志进行剥离预处理,包括事件格式统一化、无用安全事件的过滤、重复事件归并处理,从而形成了统一的事件文件;
为了尽可能囊括所有与病毒、漏洞等攻击相关的数据信息,日志的原始文件数据来源如下表:
S2、对预处理后的原始文件进行异常判断分析;根据判断分析结果,组建攻击规则指纹库,再对攻击规则指纹库进行完善及更新;
所述组建攻击规则指纹库包括:
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库、建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,其中,每种攻击指纹库的建立方法可以同步进行;这样能够大大提高了检测效率
其中:
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库,包括:
1)通过扫描高危主机或终端设备,判断是否存在黑客工具进程,是的话,将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库;
2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞;是的话,将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库;
3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名,是的话,将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库;
4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录,是的话,将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库;
建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者,包括:
21)防病毒系统中是否存在已知的蠕虫、木马告警信息,是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库;
22)网络流量监控系统中是否存在黑名单域名访问,是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库;
23)判断防火墙日志是否存在主动外联记录,或是否存在针对非法目标地址DIP的访问记录,是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库;
建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,包括:
31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录,是的话,将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库,TCP连接记录和主动外联记录的次数可以根据实际单位工作情况确定;
32)防病毒日志是否存在若干病毒告警,是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库,病毒告警次数可以根据实际单位工作情况进行判断;
33)该远程控制的高危主机或终端是否存在高危漏洞,是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库;并判定为被远程控制的高危主机或终端;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;将无关的数据信息抛弃,从而加快了检测效率;
为了满足和加强对网络攻击的分析力度与准确性,实时跟踪及完善攻击指纹库规则,从而逐步完成攻击规则指纹库的完善,完善方法如下:
A、利用多特征属性系统化的数据来源项进行分析,完善攻击规则指纹库;所述多特征属性是指网络行为中存在的IP地址、端口、流量大小等特征情况,完善攻击规则指纹库;
B、利用概率统计方法对数据来源项中的行为进行汇总分析,完善攻击规则指纹库;所述概率统计方法是对网络数据与日志进行多次采集与分析,从而进行统计、汇总,完善攻击规则指纹库;
C、利用动态跟踪法对网络行为进行追踪,并结合数据挖掘的分析方法对行为进行分类及标识,从而完善攻击规则指纹库;其中,动态跟踪法是常规的技术方案,此处不再说明;
D、对现实环境中的网络行为进行收集及验证,通过该方法完善攻击规则指纹库;
通过A、B、C、D四种方法,实时跟踪录入攻击指纹库中每条信息,将指纹库中出现次数最小的规则删除,直至准确性达到90%以上;针对攻击情况超出上述所列攻击规则指纹库,新增一条新的攻击指纹,同时重复所述组建攻击规则指纹库的步骤,对指纹进行重新录入攻击规则指纹库;实现对攻击指纹库的更新。
S3、将攻击规则指纹库与告警日志的事件关联,组件告警事件库;
在获取的攻击规则指纹库的基础上,通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进行逐层关联,实现异常主机或终端信息与告警日志的事件相关联,事件主要包括告警名称、攻击源IP、攻击类型、恶意域名、告警时间、处理建议等内容;将完成的事件进行汇总、合并,最终形成告警事件库;
S4、事件响应与处理;
存在安全风险的设备进行分析,对分析结果中存在安全隐患的事件进行响应,并及时处理及整改,通过对存在安全风险的设备进行分析,对分析结果中存在安全隐患的事件进行响应,提供信息网络内部存在的各类存在安全威胁的主机或终端设备清单及告警事件,确保信息网络的安全、稳定。
实施例2
图2为本发明实施例2提供的告警日志关联的网络攻击事件分析装置结构示意图,如图2,一种采用告警日志关联的网络攻击事件分析方法的分析装置,包括:
预处理模块,用于获取原始文件;并对原始文件预处理;
攻击规则指纹库组建模块,用于对预处理后的原始文件进行异常判断分析;根据判断分析结果,组建攻击规则指纹库,再对攻击规则指纹库进行完善及更新;
关联模块,用于将攻击规则指纹库与告警日志的事件关联;用于将联后的事件进行汇总、合并,组建告警事件库;
响应与处理模块,用于根据告警事件库,进行事件响应与处理。
进一步的,所述预处理模块中获取原始文件包括:
1)通过核心交换机端口镜像技术,实现对信息网络中的网络流量信息的采集,并生成pcap文件;
2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。
进一步的,所述预处理模块中原始文件处理包括:
应用大数据平台对pcap文件进行剥离预处理,将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议;
应用大数据平台对syslog日志进行剥离预处理,预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理,从而形成了统一的事件文件。
进一步的,所述攻击规则指纹库组建模块还包括:
所述组建攻击规则指纹库包括:
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库;建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,其中,
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库,包括:
1)通过扫描高危主机或终端设备,判断是否存在黑客工具进程,是的话,将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库;
2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞;是的话,将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库;
3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名,是的话,将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库;
4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录,是的话,将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库;
建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者,包括:
21)防病毒系统中是否存在已知的蠕虫、木马告警信息,是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库;
22)网络流量监控系统中是否存在黑名单域名访问,是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库;
23)判断防火墙日志是否存在主动外联记录,或是否存在针对非法目标地址DIP的访问记录,是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库;
建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,包括:
31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录,是的话,将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库;
32)防病毒日志是否存在若干病毒告警,是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库;
33)该远程控制的高危主机或终端是否存在高危漏洞,是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库;并判定为被远程控制的高危主机或终端;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;
对攻击规则指纹库进行完善,包括:
A、利用多特征属性系统化的数据来源项进行分析,完善攻击规则指纹库;
B、利用概率统计方法对数据来源项中的行为进行汇总分析,完善攻击规则指纹库;
C、利用动态跟踪法对网络行为进行追踪,并结合数据挖掘的分析方法对网络行为进行分类、标识,完善攻击规则指纹库;
D、对现实环境中的网络行为进行收集及验证,完善攻击规则指纹库;
通过A、B、C、D四种方法实时跟踪录入攻击指纹库中每条信息,将指纹库中出现次数最小的规则删除;针对攻击情况超出上述所列攻击规则指纹库,新增一条新的攻击指纹,实现实时更新调整指纹库更新规则,同时重复所述组建攻击规则指纹库的步骤,对指纹进行重新录入攻击规则指纹库;实现对攻击指纹库的更新。
进一步的,所述关联模块还包括:
在获取的攻击规则指纹库的基础上,通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进行逐层关联,实现异常主机或终端信息与告警日志的事件相关联,将关联的事件进行汇总、合并,最终形成告警事件库;
所述事件包括告警名称、攻击源IP、攻击类型、恶意域名、告警时间、处理建议。
在本发明的描述中,除非另有明确的规定和限定,术语安装、相连、连接应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种告警日志关联的网络攻击事件分析方法,其特征在于,包括,
S1、获取日志的原始文件并对原始文件预处理;
S2、对预处理后的原始文件进行异常判断分析;根据判断分析结果,组建攻击规则指纹库,再对攻击规则指纹库进行完善及更新;
所述步骤S2包括:
所述组建攻击规则指纹库包括:
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库;建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,其中;
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库,包括:
1)通过扫描高危主机或终端设备,判断是否存在黑客工具进程,是的话,将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库;
2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞;是的话,将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库;
3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名,是的话,将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库;
4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录,是的话,将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库;
建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者,包括:
21)防病毒系统中是否存在已知的蠕虫、木马告警信息,是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库;
22)网络流量监控系统中是否存在黑名单域名访问,是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库;
23)判断防火墙日志是否存在主动外联记录,或是否存在针对非法目标地址DIP的访问记录,是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库;
建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,包括:
31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录,是的话,将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库;
32)防病毒日志是否存在若干病毒告警,是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库;
33)该远程控制的高危主机或终端是否存在高危漏洞,是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库;并判定为被远程控制的高危主机或终端;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;
对攻击规则指纹库进行完善,包括:
A、利用多特征属性系统化的数据来源项进行分析,完善攻击规则指纹库;
B、利用概率统计方法对数据来源项中的行为进行汇总分析,完善攻击规则指纹库;
C、利用动态跟踪法对网络行为进行追踪,并结合数据挖掘的分析方法对网络行为进行分类、标识,完善攻击规则指纹库;
D、对现实环境中的网络行为进行收集及验证,完善攻击规则指纹库;
通过A、B、C、D四种方法实时跟踪录入攻击指纹库中每条信息,将指纹库中出现次数最小的规则删除;针对攻击情况超出上述所列攻击规则指纹库,新增一条新的攻击指纹,同时重复所述组建攻击规则指纹库的步骤,对指纹进行重新录入攻击规则指纹库;实现对攻击指纹库的更新;
S3、将攻击规则指纹库与告警日志的事件关联;再将联后的事件进行汇总、合并,组建告警事件库;
S4、根据告警事件库,进行事件响应与处理。
2.根据权利要求1所述的告警日志关联的网络攻击事件分析方法,其特征在于,所述步骤S1中获取日志的原始文件的过程包括:
1)通过核心交换机端口镜像技术对信息网络中的网络流量信息进行采集,并生成pcap文件;
2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。
3.根据权利要求2所述的告警日志关联的网络攻击事件分析方法,其特征在于,所述步骤S1中原始文件预处理包括:
应用大数据平台对pcap文件进行剥离预处理,将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议;
应用大数据平台对syslog日志进行剥离预处理,预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理。
4.根据权利要求1所述的告警日志关联的网络攻击事件分析方法,其特征在于,所述步骤S3包括,在获取的攻击规则指纹库的基础上,通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进行逐层关联,实现异常主机或终端信息与告警日志的事件相关联,将关联的事件进行汇总、合并,最终形成告警事件库;
所述事件包括告警名称、攻击源IP、攻击类型、恶意域名、告警时间、处理建议。
5.一种采用权利要求1-4任一所述的告警日志关联的网络攻击事件分析方法的分析装置,其特征在于,包括:
预处理模块,用于获取原始文件;并对原始文件预处理;
攻击规则指纹库组建模块,用于对预处理后的原始文件进行异常判断分析;根据判断分析结果,组建攻击规则指纹库,再对攻击规则指纹库进行完善及更新;还包括:
所述组建攻击规则指纹库包括:
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库;建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,其中,
建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库,包括:
1)通过扫描高危主机或终端设备,判断是否存在黑客工具进程,是的话,将该存在黑客工具进程的数据信息作为攻击指纹并录入指纹库;
2)根据漏洞设备的扫描数据判断高危主机或终端设备是否存在高危漏洞;是的话,将该存在高危漏洞的数据信息作为攻击指纹并录入指纹库;
3)通过流量记录分析高危主机或终端设备是否存在经常访问某一个固定的网址或者域名,是的话,将该存在经常访问某一个固定的网址或者域名的数据信息作为攻击指纹并录入指纹库;
4)判断IPS/WAF系统是否存在高危主机或终端设备的攻击历史纪录,是的话,将该存在高危主机或终端设备的攻击历史纪录的数据信息作为攻击指纹并录入指纹库;
建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库或者,包括:
21)防病毒系统中是否存在已知的蠕虫、木马告警信息,是的话将该存在已知的蠕虫、木马告警信息的数据信息作为攻击指纹并录入指纹库;
22)网络流量监控系统中是否存在黑名单域名访问,是的话将该存在黑名单域名访问的数据信息作为攻击指纹并录入指纹库;
23)判断防火墙日志是否存在主动外联记录,或是否存在针对非法目标地址DIP的访问记录,是的话将存在主动外联记录、存在针对非法目标地址DIP的访问记录的数据信息作为攻击指纹并录入指纹库;
建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库,包括:
31)判断WAF、溯源、IDS日志是否存在若干TCP连接记录和主动外联记录,是的话,将该存在若干TCP连接记录和主动外联记录的数据信息作为攻击指纹并录入指纹库;
32)防病毒日志是否存在若干病毒告警,是的话将该存在若干病毒告警的数据信息作为攻击指纹并录入指纹库;
33)该远程控制的高危主机或终端是否存在高危漏洞,是的话将该是否存在高危漏洞的数据信息作为攻击指纹并录入指纹库;并判定为被远程控制的高危主机或终端;
建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库,包括:
将脱管主机或脱管的终端设备发包的源地址信息与桌管系统中的台账信息进行匹配对比,当源地址信息存在于桌管系统的台账信息中时,则抛弃该源地址信息;当不存在该条地址信息时,将该源地址信息与脱管主机或者终端设备检测记录进行关联,关联后,若脱管主机或者终端设备源地址信息的处理时间比源地址信息发生时间晚,则抛弃该源地址信息;剩余的源地址信息中,如果脱管主机或者脱管的终端设备无关于该源地址信息处理记录,则将该源地址信息录入指纹库;
对攻击规则指纹库进行完善,包括:
A、利用多特征属性系统化的数据来源项进行分析,完善攻击规则指纹库;
B、利用概率统计方法对数据来源项中的行为进行汇总分析,完善攻击规则指纹库;
C、利用动态跟踪法对网络行为进行追踪,并结合数据挖掘的分析方法对网络行为进行分类、标识,完善攻击规则指纹库;
D、对现实环境中的网络行为进行收集及验证,完善攻击规则指纹库;
通过A、B、C、D四种方法实时跟踪录入攻击指纹库中每条信息,将指纹库中出现次数最小的规则删除;针对攻击情况超出上述所列攻击规则指纹库,新增一条新的攻击指纹,同时重复所述组建攻击规则指纹库的步骤,对指纹进行重新录入攻击规则指纹库;实现对攻击指纹库的更新;
关联模块,用于将攻击规则指纹库与告警日志的事件关联;用于将联后的事件进行汇总、合并,组建告警事件库;
响应与处理模块,用于根据告警事件库,进行事件响应与处理。
6.根据权利要求5所述的告警日志关联的网络攻击事件分析方法的分析装置,其特征在于,所述预处理模块中获取原始文件包括:
1)通过核心交换机端口镜像技术,实现对信息网络中的网络流量信息的采集,并生成pcap文件;
2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。
7.根据权利要求6所述的告警日志关联的网络攻击事件分析方法的分析装置,其特征在于,所述预处理模块中原始文件处理包括:
应用大数据平台对pcap文件进行剥离预处理,将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议;
应用大数据平台对syslog日志进行剥离预处理,预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理,从而形成了统一的事件文件。
8.根据权利要求7所述的告警日志关联的网络攻击事件分析方法的分析装置,其特征在于,所述关联模块还包括:
在获取的攻击规则指纹库的基础上,通过IDS、WAF、防火墙、攻击溯源系统中的告警日志进行逐层关联,实现异常主机或终端信息与告警日志的事件相关联;将关联的事件进行汇总、合并,最终形成告警事件库;
所述事件包括告警名称、攻击源IP、攻击类型、恶意域名、告警时间、处理建议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910548121.2A CN110149350B (zh) | 2019-06-24 | 2019-06-24 | 一种告警日志关联的网络攻击事件分析方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910548121.2A CN110149350B (zh) | 2019-06-24 | 2019-06-24 | 一种告警日志关联的网络攻击事件分析方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110149350A CN110149350A (zh) | 2019-08-20 |
CN110149350B true CN110149350B (zh) | 2021-11-05 |
Family
ID=67596301
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910548121.2A Expired - Fee Related CN110149350B (zh) | 2019-06-24 | 2019-06-24 | 一种告警日志关联的网络攻击事件分析方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110149350B (zh) |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110826067B (zh) * | 2019-10-31 | 2022-08-09 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
CN111225002B (zh) * | 2020-03-18 | 2022-05-27 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
CN111555902B (zh) * | 2020-03-25 | 2022-10-14 | 国网思极网安科技(北京)有限公司 | 一种网络传输异常的定位系统和方法 |
CN113542204B (zh) * | 2020-04-22 | 2023-04-07 | 中国电信股份有限公司 | 防护规则生成方法、装置和存储介质 |
CN111726342B (zh) * | 2020-06-08 | 2022-08-02 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
CN111858482B (zh) * | 2020-07-15 | 2021-10-15 | 北京市燃气集团有限责任公司 | 一种攻击事件追踪溯源方法、系统、终端及存储介质 |
CN111880708A (zh) * | 2020-07-31 | 2020-11-03 | 北京微步在线科技有限公司 | 一种网络攻击事件图的交互方法及存储介质 |
CN111818103B (zh) * | 2020-09-09 | 2020-12-15 | 信联科技(南京)有限公司 | 一种网络靶场中基于流量的溯源攻击路径方法 |
CN112615865B (zh) * | 2020-12-21 | 2021-08-31 | 上海德吾信息科技有限公司 | 基于大数据和人工智能的数据防入侵方法及大数据服务器 |
CN112671781A (zh) * | 2020-12-24 | 2021-04-16 | 北京华顺信安信息技术有限公司 | 基于rasp的防火墙系统 |
CN113259316A (zh) * | 2021-04-02 | 2021-08-13 | 国家电网有限公司 | 电力系统内部的攻击路径可视化方法、系统和电子设备 |
CN113259371B (zh) * | 2021-06-03 | 2022-04-19 | 上海雾帜智能科技有限公司 | 基于soar系统的网络攻击事件阻止方法及系统 |
CN113315785B (zh) * | 2021-06-23 | 2023-05-12 | 深信服科技股份有限公司 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
CN113660115B (zh) * | 2021-07-28 | 2023-10-03 | 上海纽盾科技股份有限公司 | 基于告警的网络安全数据处理方法、装置及系统 |
CN113347634B (zh) * | 2021-08-04 | 2022-01-04 | 中国科学院信息工程研究所 | 一种基于信号及信令指纹的4g、5g空口攻击检测方法 |
CN113726790B (zh) * | 2021-09-01 | 2023-06-16 | 中国移动通信集团广西有限公司 | 网络攻击源的识别和封堵方法、系统、装置及介质 |
CN113765915B (zh) * | 2021-09-06 | 2023-04-21 | 杭州安恒信息技术股份有限公司 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
CN113794717A (zh) * | 2021-09-14 | 2021-12-14 | 京东科技信息技术有限公司 | 一种安全调度方法、装置及相关设备 |
CN113890821B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
CN114363044B (zh) * | 2021-12-30 | 2024-04-09 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
CN114884707A (zh) * | 2022-04-24 | 2022-08-09 | 金祺创(北京)技术有限公司 | 一种面向大规模网络攻击的智能安全监测及联网告警方法和系统 |
CN114915478B (zh) * | 2022-05-19 | 2023-03-10 | 东南大学溧阳研究院 | 基于多代理的分布式关联分析的智慧园区工控系统网络攻击场景识别方法、系统及存储介质 |
CN115412363B (zh) * | 2022-09-13 | 2024-06-28 | 杭州迪普科技股份有限公司 | 异常流量日志处理方法和装置 |
CN115603989A (zh) * | 2022-10-08 | 2023-01-13 | 东南大学溧阳研究院(Cn) | 一种源网荷储协同控制系统的网络攻击关联性分析方法 |
CN115913683B (zh) * | 2022-11-07 | 2024-04-30 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
CN115664853A (zh) * | 2022-12-15 | 2023-01-31 | 北京六方云信息技术有限公司 | 网络安全数据关联分析方法、装置、系统以及存储介质 |
CN115883258B (zh) * | 2023-02-15 | 2023-08-01 | 北京微步在线科技有限公司 | Ip信息处理方法、装置、电子设备和存储介质 |
CN116527353B (zh) * | 2023-04-24 | 2024-02-20 | 中国工程物理研究院计算机应用研究所 | 基于攻击行为模拟的网络防护设备有效性验证系统及方法 |
CN117009911B (zh) * | 2023-10-08 | 2023-12-08 | 深圳安天网络安全技术有限公司 | 一种目标事件的异常判定方法、装置、介质及电子设备 |
CN117421188A (zh) * | 2023-10-30 | 2024-01-19 | 新华三科技服务有限公司 | 告警定级方法、装置、设备及可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103324886A (zh) * | 2013-06-05 | 2013-09-25 | 中国科学院计算技术研究所 | 一种网络攻击检测中指纹库的提取方法和系统 |
CN106685746A (zh) * | 2017-03-28 | 2017-05-17 | 上海以弈信息技术有限公司 | 一种异常日志和流量关联分析的方法 |
US9807092B1 (en) * | 2013-07-05 | 2017-10-31 | Dcs7, Llc | Systems and methods for classification of internet devices as hostile or benign |
CN107360192A (zh) * | 2017-08-29 | 2017-11-17 | 四川长虹电器股份有限公司 | 提高漏洞扫描效率和精度的指纹识别方法 |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
CN109450946A (zh) * | 2018-12-27 | 2019-03-08 | 浙江大学 | 一种基于报警关联分析的未知攻击场景检测方法 |
CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
-
2019
- 2019-06-24 CN CN201910548121.2A patent/CN110149350B/zh not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103324886A (zh) * | 2013-06-05 | 2013-09-25 | 中国科学院计算技术研究所 | 一种网络攻击检测中指纹库的提取方法和系统 |
US9807092B1 (en) * | 2013-07-05 | 2017-10-31 | Dcs7, Llc | Systems and methods for classification of internet devices as hostile or benign |
CN106685746A (zh) * | 2017-03-28 | 2017-05-17 | 上海以弈信息技术有限公司 | 一种异常日志和流量关联分析的方法 |
CN107360192A (zh) * | 2017-08-29 | 2017-11-17 | 四川长虹电器股份有限公司 | 提高漏洞扫描效率和精度的指纹识别方法 |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
CN109450946A (zh) * | 2018-12-27 | 2019-03-08 | 浙江大学 | 一种基于报警关联分析的未知攻击场景检测方法 |
CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于数据挖掘技术的安全事件分析平台的研究与设计;潘凤;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20100215(第2期);正文第三章、第五章 * |
Also Published As
Publication number | Publication date |
---|---|
CN110149350A (zh) | 2019-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
KR20190010956A (ko) | 지능형 보안로그 분석방법 | |
CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
EP4185975B1 (en) | Detection of anomalous count of new entities | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
CN116451215A (zh) | 关联分析方法及相关设备 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
Debashi et al. | Sonification of network traffic for detecting and learning about botnet behavior | |
Mathew et al. | Real-time multistage attack awareness through enhanced intrusion alert clustering | |
US20160381052A1 (en) | Url selection method, url selection system, url selection device, and url selection program | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
Roponena et al. | Towards a Human-in-the-Loop Intelligent Intrusion Detection System. | |
Asha et al. | Analysis on botnet detection techniques | |
Athavale et al. | Framework for threat analysis and attack modelling of network security protocols | |
KR102377784B1 (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
Kang et al. | Whitelist generation technique for industrial firewall in SCADA networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20211105 |
|
CF01 | Termination of patent right due to non-payment of annual fee |