CN110278213B - 一种网络安全日志关键信息提取方法及系统 - Google Patents

Abstract

本发明公开了一种网络安全日志关键信息提取方法及系统，涉及网络监控领域。包括：步骤S1：于网络安全日志中获取防火墙告警日志和内部网关登录日志；步骤S2：对防火墙告警日志进行处理得到内网结果IP列表；内网结果IP列表中包括若干内网IP地址；步骤S3：根据内网结果IP列表于内部网关登录日志中进行检索，并根据检索结果生成内网用户使用记录列表；内网用户使用记录列表包括各内网IP地址，以及与内网IP地址对应的分配日志和用户登录信息；步骤S4：将内网用户使用记录列表存入预先生成的待分析数据库中，以供更进一步的分析使用。结合防火墙告警日志和内部网关登陆信息，匹配出内网IP地址，减少了分析工作量，目标明确且指向性强。

Description

一种网络安全日志关键信息提取方法及系统

技术领域

本发明涉及网络监控技术领域，尤其涉及一种网络安全日志关键信息提取方法及系统。

背景技术

网络安全是一个关系着国家安全和主权、关系着社会稳定、关系着国民经济发展的重要问题。它的重要性，随着全球信息化步伐的加快变的越来越重要，同时也随着信息技术的深入和互联网高速发展，网络入侵事件日益增多，给人们带来了巨大的经济损失，有些甚至威胁到国家安全。网络入侵事件的检测和防御是网络安全保障中的关键问题。在传统的方法中，研究者们从网络安全日志、数据流量、恶意代码、系统漏洞等渠道来分析网络入侵行为。但是，传统的分析方法无法应对当前网络环境的安全防护需求。

当前，已经存在了大量的关联分析方法，如同IP关联、同域名关联等，但是这些关联分析方法大多数从宏观入手，例如WHOIS信息库等，比如探讨一个域名曾用过几个IP地址，一个IP地址层被多个域名使用过等，却没有对同一个监控对象(一个单位)进行分析和整合。

发明内容

本发明为了解决上述问题，现提出一种网络安全日志关键信息提取方法，包括以下步骤：

步骤S1：于网络安全日志中获取防火墙告警日志和内部网关登录日志；

步骤S2：对所述防火墙告警日志进行处理得到内网结果IP列表；

所述内网结果IP列表中包括若干内网IP地址；

步骤S3：根据所述内网结果IP列表于所述内部网关登录日志中进行检索，并根据检索结果生成内网用户使用记录列表；

所述内网用户使用记录列表包括各所述内网IP地址，以及与所述内网IP地址对应的分配日志和用户登录信息；

步骤S4：将所述内网用户使用记录列表存入预先生成的待分析数据库中，以供更进一步的分析使用。

优选的，所述步骤S2具体包括：

步骤S21：按照预设规则对所述防火墙告警日志进行过滤得到有效告警日志列表；

所述有效告警日志列表中包括若干条有效告警日志；

步骤S22：根据各所述有效告警日志中源地址和目的地址的指向，将各所述有效告警日志进行分组得到出口告警日志组、入口告警日志组以及内部告警日志组；

步骤S23：对所述出口告警日志组进行关键信息提取得到外网访问IP列表；

所述外网访问IP列表中包括若干外网目的IP地址；

步骤S24：根据所述外网访问IP列表于所述入口告警日志组中进行检索，并根据检索结果生成第一内网访问记录列表；

所述第一内网访问记录列表中包括若干被各所述外网目的IP地址访问的第一内网目的IP地址；

步骤S25：根据所述第一内网访问记录表于所述内部告警日志组中进行检索，并根据检索结果生成第二内网访问记录列表；

所述第二内网访问记录列表中包括若干被所述第一内网目的IP地址访问的第二内网目的IP地址；

步骤S26：于所述出口告警日志组中提取访问所述外网访问IP列表中的各所述外网目的IP地址的若干内网源IP地址，并存储为内网源IP地址列表；

步骤S27：提取同时出现在所述第一内网访问记录列表、所述第二内网访问记录列表以及所述内网源IP地址列表中的内网IP地址，并存储为内网结果IP列表。

优选的，所述步骤S21中，所述有效告警日志中至少包括设备IP地址、源IP地址以及目的IP地址。

优选的，所述步骤S21中，所述预设规则为采用正则表达式匹配的方式以得到所述有效告警日志列表。

优选的，所述用户使用记录列表中包括各所述内网IP地址对应的用户ID号，和/或登陆时间，和/或在线时长。

优选的，所述步骤S22中，

所述出口告警日志组中包括若干出口告警日志，且所述出口告警日志中的源IP地址为内网IP地址，所述出口告警日志中的目的IP地址为外网IP地址；以及

所述入口告警日志组中包括若干入口告警日志，且所述入口告警日志中的源IP地址为外网IP地址，所述所述入口告警日志中的目的IP地址为内网IP地址；以及

所述内部告警日志组中包括若干内部告警日志，且所述内部告警日志中的源IP地址为内网IP地址，所述内部告警日志中的目的IP地址为内网IP地址。

优选的，一种网络安全日志关键信息提取的系统，应用于网络安全日志关键信息提取的方法，具体包括：

获取模块，用于于网络安全日志中获取防火墙告警日志和内部网关登录日志；

处理模块，连接所述获取模块，用于对所述防火墙告警日志进行处理得到内网结果IP列表；

所述内网结果IP列表中包括若干内网IP地址；

生成模块，分别连接所述处理模块和所述获取模块，用于根据所述内网结果IP列表于所述内部网关登录日志中进行检索，并根据检索结果生成内网用户使用记录列表；

所述内网用户使用记录列表包括各所述内网IP地址，以及与所述内网IP地址对应的分配日志和用户登录信息；

存入模块，连接所述生成模块，用于将所述内网用户使用记录列表存入预先生成的待分析数据库中，以供更进一步的分析使用。

优选的，所述处理模块具体包括：

过滤单元，用于按照预设规则对所述防火墙告警日志进行过滤得到有效告警日志列表；

所述有效告警日志列表中包括若干条有效告警日志；

分组单元，连接所述过滤单元，用于根据各所述有效告警日志中源地址和目的地址的指向，将各所述有效告警日志进行分组得到出口告警日志组、入口告警日志组以及内部告警日志组；

第一提取单元，连接所述分组单元，用于对所述出口告警日志组进行关键信息提取得到外网访问IP列表；

所述外网访问IP列表中包括若干外网目的IP地址；

第一生成单元，分别连接所述第一提取单元和所述分组单元，用于根据所述外网访问IP列表于所述入口告警日志组中进行检索，并根据检索结果生成第一内网访问记录列表；

所述第一内网访问记录列表中包括若干被各所述外网目的IP地址访问的第一内网目的IP地址；

第二生成单元，分别连接所述第一生成单元和所述分组单元，用于根据所述第一内网访问记录表于所述内部告警日志组中进行检索，并根据检索结果生成第二内网访问记录列表；

所述第二内网访问记录列表中包括若干被所述第一内网目的IP地址访问的第二内网目的IP地址；

第二提取单元，分别连接所述第一提取单元和所述分组单元，用于于所述出口告警日志组中提取访问所述外网访问IP列表中的各所述外网目的IP地址的若干内网源IP地址，并存储为内网源IP地址列表；

第三提取单元，分别连接所述第一生成单元、所述第二生成单元及所述第二提取单元，用于提取同时出现在所述第一内网访问记录列表、所述第二内网访问记录列表以及所述内网源IP地址列表中的内网IP地址，并存储为内网结果IP列表。

本发明的有益效果：

该发明可以有效结合防火墙产生的告警日志和内部网关登陆信息，匹配出作为源地址和目的地址同时出现在出口告警和入口告警日志中的内网IP地址，通过内网IP地址的分配记录追溯到使用该主机的用户，将其行为记录放入待分析数据库，以便做更进一步的分析，大大减少了管理员的分析工作量，具有目标明确，指向性强的特点。

附图说明

图1为本发明较佳的实施例中，一种网络安全日志关键信息提取方法的流程示意图；

图2为本发明较佳的实施例中，对防火墙告警日志进行处理的流程示意图；

图3为本发明较佳的实施例中，一种网络安全日志关键信息提取的系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

本发明为了解决上述问题，现提供一种网络安全日志关键信息提取方法，如图1所示，包括以下步骤：

步骤S1：于网络安全日志中获取防火墙告警日志和内部网关登录日志；

步骤S2：对防火墙告警日志进行处理得到内网结果IP列表；

内网结果IP列表中包括若干内网IP地址；

步骤S3：根据内网结果IP列表于内部网关登录日志中进行检索，并根据检索结果生成内网用户使用记录列表；

内网用户使用记录列表包括各内网IP地址，以及与内网IP地址对应的分配日志和用户登录信息；

步骤S4：将内网用户使用记录列表存入预先生成的待分析数据库中，以供更进一步的分析使用。

具体地，本实施例中，从防火墙告警日志中处理得到内网结果IP列表，然后将该内网结果IP列表在内部网关登陆日志中进行检索并生成内网用户使用列表，将内网用户使用记录列表中的IP地址和其对应的分配日志和用户登陆信息存入待分析数据库中，以供进一步分析。

本发明较佳的实施例中，如图2所示，步骤S2具体包括：

步骤S21：按照预设规则对防火墙告警日志进行过滤得到有效告警日志列表；

有效告警日志列表中包括若干条有效告警日志；

步骤S22：根据各有效告警日志中源地址和目的地址的指向，将各有效告警日志进行分组得到出口告警日志组、入口告警日志组以及内部告警日志组；

步骤S23：对出口告警日志组进行关键信息提取得到外网访问IP列表；

外网访问IP列表中包括若干外网目的IP地址；

步骤S24：根据外网访问IP列表于入口告警日志组中进行检索，并根据检索结果生成第一内网访问记录列表；

第一内网访问记录列表中包括若干被各外网目的IP地址访问的第一内网目的IP地址；

步骤S25：根据第一内网访问记录表于内部告警日志组中进行检索，并根据检索结果生成第二内网访问记录列表；

第二内网访问记录列表中包括若干被第一内网目的IP地址访问的第二内网目的IP地址；

步骤S26：于出口告警日志组中提取访问外网访问IP列表中的各外网目的IP地址的若干内网源IP地址，并存储为内网源IP地址列表；

步骤S27：提取同时出现在第一内网访问记录列表、第二内网访问记录列表以及内网源IP地址列表中的内网IP地址，并存储为内网结果IP列表。

具体地，本实施例中，该网络安全日志关键信息提取方法从出口告警日志组入手，在出口告警日志中出现很可能因为内部网络被攻击了，进而向外网发送消息。出口告警日志组中存在的外网IP地址，如果在入口告警日志组中也有存在，且两者在一定的时间间隔内，则表明这两条日志可能存在关联。那么，根据入口告警日志组中的内网IP地址确定内网使用者，依据内网使用者的IP地址和ID账号等消息，查找内网网关日志，将内网用户对内网数据的访问情况进行汇总，再进行分析。

上述防火墙告警日志中包括若干IP地址，该IP地址一般构成为如下形式，logger_IP_tuple＝(设备IP(device_IP)，(源地址(src_IP)，目的地址(dst_IP))…)，将上述防火墙告警日志按照日志类型字段分类，可以分为：只含设备IP地址的日志；只含设备IP地址和单个其他IP地址的日志；含设备IP地址、源IP地址和目的IP地址的日志；含设备IP地址、一组以上的源IP地址和目的IP地址组合的日志，其中上述其他IP地址包括源IP地址的目的IP地址。由于只含设备IP地址的日志以及只含设备IP地址和单个其他IP地址的日志未记录数据访问的指向，不具有分析价值，因此本发明的技术方案中，在对上述防火墙告警日志进行关键信息提取前首先过滤掉只含有设备IP的日志以及只含设备IP地址和单个其他IP地址的日志，并将过滤后的结果存储为有效告警日志列表，将有效告警日志列表表示为(filter_logger_list),则该有效告警日志列表的一般构成为如下形式：filter_logger_list＝[(源地址(src_IP_1)，目的地址(dst_IP_1)，告警日志记录时间LOGGER_TIME_1),...]，从而完成对防火墙告警日志过滤得到有效告警日志列表。

将过滤后列表，即上述有效告警日志列表的成员中的IP地址分类为内网IP地址和外网IP地址，根据源IP地址和目的IP地址的指向的不同进行分类：将源IP地址为内网IP地址，目的IP地址为外网IP地址的告警日志记为出口告警日志组；将源IP地址为外网IP地址，目的IP地址为内网IP地址的告警日志记为入口告警日志组；将源IP地址为内网IP地址，目的IP地址为内网IP地址的告警日志记为内部告警日志组。

提取出口告警日志组(export_warning_logger)中的外网访问IP列表(export_IP_outer_list),export_IP_outer_list＝[IP_outer_1,IP_outer_2,...]，以外网访问IP地址(例如，IP_outer_1)为查找关键词(key_outer)，查找入口告警日志组(entrance_warning_logger)中的被export_IP_outer_list中的的IP访问过的内网主机，查找结果以IP地址标识，结果存储为第一内网访问记录列表(IP_outer2inner_list)。

再以第一内网访问记录列表(IP_outer2inner_list)中的第一内网目的IP地址为查找关键词(key_inner)，查找内部告警日志组(inner_warning_logger)，查找所有被(IP_outer2inner_list)中的内网IP地址访问过的其他内网主机，查找结果以IP地址标识，结果存储为第二内网访问记录列表(IP_inner2inner_list)。第二内网访问记录列表中包括若干被第一内网目的IP地址访问的第二内网目的IP地址。

提取出口告警日志(export_warning_logger)中的内网源IP地址，记为内网源IP地址列表(export_IP_inner_list)。

提取同时出现在第一内网访问记录列表、第二内网访问记录列表以及内网源IP地址列表中的内网IP地址，并存储为内网结果IP列表(IP_result_list)。

本发明的一个较为优选的实施例中，获取一条防火墙告警日志，该防火墙告警日志为Cisco防火墙syslog格式告警日志，具体为：

Mar 10 00:00:12 172.16.1.33:Mar 10 00:05:50GMT:％ASA-session-4-500004:Invalid transport field for protocol＝UDP,from 10.10.90.87/0to117.91.97.122/0

应用本发明的技术方案对该防火墙告警日志进行关键信息提取，具体包括：

1).用正则表达式提取防火墙告警日志中的IP地址，10.10.90.87(源地址)，172.16.1.33(目的地址)和117.91.97.122，其中172.16.1.33为设备IP地址，丢弃不用。

2).判断IP地址内外网归属，10.10.90.87为内网IP地址，117.91.97.122为外网IP地址，该防火墙告警日志的源IP地址到目的IP地址的指向为从内网到外网，归为外网访问IP列表并存储。

3).用外网访问IP列表中的IP地址：117.91.97.122作为关键字，到分类后的入口告警日志组中进行查找，查找到对应的告警记录为(117.91.97.122,[10.10.90.32,10.24.10.16])，即访问过的第一内网目的IP地址列表为IP_outer2inner_list＝[10.10.90.32,10.24.10.16]，并记为第一内网访问记录列表。

4).用第一内网访问记录列表IP_outer2inner_list的目的IP地址为key，查找到访问过的第二内网目的IP地址,记为第二内网访问记录列表：IP_inner2inner_list＝[10.10.128.21,10.240.3.139,10.10.91.107,10.240.3.60,10.24.60.135]。

5).将IP_outer2inner_list与IP_inner2inner_list两者进行合并，IP_inner_dst_list＝[10.10.128.21,10.240.3.139,10.10.91.107,10.240.3.60,10.24.60.135,10.10.90.32,10.24.10.16]。

6).提取出口告警日志(export_warning_logger)中的内网源IP地址(export_IP_inner_list)，查询同时出现在export_IP_inner_list和IP_inner_list中的内网IP地址，存储为内网结果IP列表IP_result_list＝[10.10.90.32]。

7).用IP_result_list查询内部网关登录日志，得到内网用户使用记录列表(10.10.90.32,Group＝SSLVPN,Username＝songxushou，login_time＝Mar 10 00:01:12，Duration＝2h:55m:07s)。

本发明较佳的实施例中，步骤S21中，有效告警日志中至少包括设备IP地址、源IP地址以及目的IP地址。

本发明较佳的实施例中，步骤S21中，预设规则为采用正则表达式匹配的方式以得到有效告警日志列表。

本发明较佳的实施例中，用户使用记录列表中包括各内网IP地址对应的用户ID号，和/或登陆时间，和/或在线时长。

本发明较佳的实施例中，步骤S22中，

出口告警日志组中包括若干出口告警日志，且出口告警日志中的源IP地址为内网IP地址，出口告警日志中的目的IP地址为外网IP地址；以及

入口告警日志组中包括若干入口告警日志，且入口告警日志中的源IP地址为外网IP地址，入口告警日志中的目的IP地址为内网IP地址；以及

内部告警日志组中包括若干内部告警日志，且内部告警日志中的源IP地址为内网IP地址，内部告警日志中的目的IP地址为内网IP地址。

本发明较佳的实施例中，一种网络安全日志关键信息提取的系统，应用于一种网络安全日志关键信息提取的方法，如图3所示，具体包括：

获取模块1，用于于网络安全日志中获取防火墙告警日志和内部网关登录日志；

处理模块2，连接获取模块1，用于对防火墙告警日志进行处理得到内网结果IP列表；

内网结果IP列表中包括若干内网IP地址；

生成模块3，分别连接处理模块2和获取模块1，用于根据内网结果IP列表于内部网关登录日志中进行检索，并根据检索结果生成内网用户使用记录列表；

内网用户使用记录列表包括各内网IP地址，以及与内网IP地址对应的分配日志和用户登录信息；

存入模块4，连接生成模块3，用于将内网用户使用记录列表存入预先生成的待分析数据库中，以供更进一步的分析使用。

具体地，本实施例中，处理模块2连接获取模块1用于处理防火墙日志来得到内网结果IP列表，将内网结果IP列表在生成模块3中的内部网关登陆日志中进行检索得到内网用户使用记录列表；再将内网用户使用记录列表经过存入模块4到待分析数据库中，用来进一步分析。

本发明较佳的实施例中，处理模块具体包括：

过滤单元21，用于按照预设规则对防火墙告警日志进行过滤得到有效告警日志列表；

有效告警日志列表中包括若干条有效告警日志；

分组单元22，连接过滤单元21，用于根据各有效告警日志中源地址和目的地址的指向，将各有效告警日志进行分组得到出口告警日志组、入口告警日志组以及内部告警日志组；

第一提取单元23，连接分组单元22，用于对出口告警日志组进行关键信息提取得到外网访问IP列表；

外网访问IP列表中包括若干外网目的IP地址；

第一生成单元24，分别连接第一提取单元23和分组单元22，用于根据外网访问IP列表于入口告警日志组中进行检索，并根据检索结果生成第一内网访问记录列表；

第一内网访问记录列表中包括若干被各外网目的IP地址访问的第一内网目的IP地址；

第二生成单元25，分别连接第一生成单元24和分组单元22，用于根据第一内网访问记录表于内部告警日志组中进行检索，并根据检索结果生成第二内网访问记录列表；

第二内网访问记录列表中包括若干被第一内网目的IP地址访问的第二内网目的IP地址；

第二提取单元26，分别连接所述第一提取单元23和所述分组单元22，用于于出口告警日志组中提取访问外网访问IP列表中的各外网目的IP地址的若干内网源IP地址，并存储为内网源IP地址列表；

第三提取单元27，分别连接第一生成单元24、第二生成单元25及第二提取单元26，用于提取同时出现在第一内网访问记录列表、第二内网访问记录列表以及内网源IP地址列表中的内网IP地址，并存储为内网结果IP列表。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。

Claims (6)

1.一种网络安全日志关键信息提取方法，其特征在于，包括以下步骤：

步骤S1：于网络安全日志中获取防火墙告警日志和内部网关登录日志；

步骤S2：对所述防火墙告警日志进行处理得到内网结果IP列表；

所述内网结果IP列表中包括若干内网IP地址；

步骤S3：根据所述内网结果IP列表于所述内部网关登录日志中进行检索，并根据检索结果生成内网用户使用记录列表；

所述内网用户使用记录列表包括各所述内网IP地址，以及与所述内网IP地址对应的分配日志和用户登录信息；

步骤S4：将所述内网用户使用记录列表存入预先生成的待分析数据库中，以供更进一步的分析使用；

所述步骤S2具体包括：

步骤S21：按照预设规则对所述防火墙告警日志进行过滤得到有效告警日志列表；

所述有效告警日志列表中包括若干条有效告警日志；

步骤S22：根据各所述有效告警日志中源地址和目的地址的指向，将各所述有效告警日志进行分组得到出口告警日志组、入口告警日志组以及内部告警日志组；

步骤S23：对所述出口告警日志组进行关键信息提取得到外网访问IP列表；

所述外网访问IP列表中包括若干外网目的IP地址；

步骤S24：根据所述外网访问IP列表于所述入口告警日志组中进行检索，并根据检索结果生成第一内网访问记录列表；

所述第一内网访问记录列表中包括若干被各所述外网目的IP地址访问的第一内网目的IP地址；

步骤S25：根据所述第一内网访问记录列表于所述内部告警日志组中进行检索，并根据检索结果生成第二内网访问记录列表；

所述第二内网访问记录列表中包括若干被所述第一内网目的IP地址访问的第二内网目的IP地址；

步骤S26：于所述出口告警日志组中提取访问所述外网访问IP列表中的各所述外网目的IP地址的若干内网源IP地址，并存储为内网源IP地址列表；

步骤S27：提取同时出现在所述第一内网访问记录列表、所述第二内网访问记录列表以及所述内网源IP地址列表中的内网IP地址，并存储为内网结果IP列表。

2.根据权利要求1所述的网络安全日志关键信息提取方法，其特征在于，所述步骤S21中，所述有效告警日志中至少包括设备IP地址、源IP地址以及目的IP地址。

3.根据权利要求1所述的网络安全日志关键信息提取方法，其特征在于，所述步骤S21中，所述预设规则为采用正则表达式匹配的方式以得到所述有效告警日志列表。

4.根据权利要求1所述的网络安全日志关键信息提取方法，其特征在于，所述用户使用记录列表中包括各所述内网IP地址对应的用户ID号，和/或登陆时间，和/或在线时长。

5.根据权利要求1所述的网络安全日志关键信息提取方法，其特征在于，所述步骤S22中，

所述出口告警日志组中包括若干出口告警日志，且所述出口告警日志中的源IP地址为内网IP地址，所述出口告警日志中的目的IP地址为外网IP地址；以及

所述入口告警日志组中包括若干入口告警日志，且所述入口告警日志中的源IP地址为外网IP地址，所述所述入口告警日志中的目的IP地址为内网IP地址；以及

所述内部告警日志组中包括若干内部告警日志，且所述内部告警日志中的源IP地址为内网IP地址，所述内部告警日志中的目的IP地址为内网IP地址。

6.一种网络安全日志关键信息提取的系统，其特征在于，应用如权利要求1-5中任意一项所述的网络安全日志关键信息提取的方法，具体包括：

获取模块，用于于网络安全日志中获取防火墙告警日志和内部网关登录日志；

处理模块，连接所述获取模块，用于对所述防火墙告警日志进行处理得到内网结果IP列表；

所述内网结果IP列表中包括若干内网IP地址；

生成模块，分别连接所述处理模块和所述获取模块，用于根据所述内网结果IP列表于所述内部网关登录日志中进行检索，并根据检索结果生成内网用户使用记录列表；

所述内网用户使用记录列表包括各所述内网IP地址，以及与所述内网IP地址对应的分配日志和用户登录信息；

存入模块，连接所述生成模块，用于将所述内网用户使用记录列表存入预先生成的待分析数据库中，以供更进一步的分析使用；

所述处理模块具体包括：

过滤单元，用于按照预设规则对所述防火墙告警日志进行过滤得到有效告警日志列表；

所述有效告警日志列表中包括若干条有效告警日志；

分组单元，连接所述过滤单元，用于根据各所述有效告警日志中源地址和目的地址的指向，将各所述有效告警日志进行分组得到出口告警日志组、入口告警日志组以及内部告警日志组；

第一提取单元，连接所述分组单元，用于对所述出口告警日志组进行关键信息提取得到外网访问IP列表；

所述外网访问IP列表中包括若干外网目的IP地址；

第一生成单元，分别连接所述第一提取单元和所述分组单元，用于根据所述外网访问IP列表于所述入口告警日志组中进行检索，并根据检索结果生成第一内网访问记录列表；

所述第一内网访问记录列表中包括若干被各所述外网目的IP地址访问的第一内网目的IP地址；

第二生成单元，分别连接所述第一生成单元和所述分组单元，用于根据所述第一内网访问记录列表于所述内部告警日志组中进行检索，并根据检索结果生成第二内网访问记录列表；

所述第二内网访问记录列表中包括若干被所述第一内网目的IP地址访问的第二内网目的IP地址；

第二提取单元，分别连接所述第一提取单元和所述分组单元，用于于所述出口告警日志组中提取访问所述外网访问IP列表中的各所述外网目的IP地址的若干内网源IP地址，并存储为内网源IP地址列表；

第三提取单元，分别连接所述第一生成单元、所述第二生成单元及所述第二提取单元，用于提取同时出现在所述第一内网访问记录列表、所述第二内网访问记录列表以及所述内网源IP地址列表中的内网IP地址，并存储为内网结果IP列表。

Images