CN116319077A - 网络攻击检测方法和装置、设备、存储介质和产品 - Google Patents
网络攻击检测方法和装置、设备、存储介质和产品 Download PDFInfo
- Publication number
- CN116319077A CN116319077A CN202310542342.5A CN202310542342A CN116319077A CN 116319077 A CN116319077 A CN 116319077A CN 202310542342 A CN202310542342 A CN 202310542342A CN 116319077 A CN116319077 A CN 116319077A
- Authority
- CN
- China
- Prior art keywords
- attack
- node
- database
- target
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 69
- 238000004458 analytical method Methods 0.000 claims abstract description 49
- 230000004927 fusion Effects 0.000 claims abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000007499 fusion processing Methods 0.000 claims abstract description 7
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012216 screening Methods 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 9
- 238000009960 carding Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 4
- 238000013075 data extraction Methods 0.000 claims description 4
- 230000000875 corresponding effect Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 11
- 239000000243 solution Substances 0.000 description 11
- 238000012098 association analyses Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000013499 data model Methods 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 238000012097 association analysis method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 102100033189 Diablo IAP-binding mitochondrial protein Human genes 0.000 description 2
- 101710101225 Diablo IAP-binding mitochondrial protein Proteins 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种网络攻击检测方法和装置、设备、存储介质和产品,属于网络检测技术领域。该方法包括:获取至少两台安全设备的告警日志数据;根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据;其中,每一所述安全设备的所述目标日志数据的格式相同;从所述目标日志数据提取出实体信息和关系数据;根据所述实体信息和所述关系数据构建实体关系数据;将所述实体关系数据导入至预设的数据库;获取待检测的攻击节点信息;基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系。本申请实施例能够提升网络攻击检测的关联性。
Description
技术领域
本申请涉及网络检测技术领域,尤其涉及一种网络攻击检测方法和装置、设备、存储介质和产品。
背景技术
在联邦靶场的网络攻防演练、网络安全人才培养、网络安全技术科学评测等领域的活动应用中,往往会涉及多个安全设备进行协同工作。但是各个安全设备都是独立研发导致各个安全设备之间比较隔离,无法联合共同分析潜在的攻击信息。因此,如何联合各个安全设备进行网络攻击检测,成为了亟待解决的技术问题。
发明内容
本申请实施例的主要目的在于提出一种网络攻击检测方法和装置、设备及存储介质,旨在融合多个安全设备的信息进行关联分析,提高网络攻击检测的关联性。
为实现上述目的,本申请实施例的第一方面提出了一种网络攻击检测方法,所述方法包括:
获取至少两台安全设备的告警日志数据;
根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据;其中,每一所述安全设备的所述目标日志数据的格式相同;
从所述目标日志数据提取出实体信息和关系数据;
根据所述实体信息和所述关系数据构建实体关系数据;
将所述实体关系数据导入至预设的数据库;
获取待检测的攻击节点信息;
基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系。
在一些实施例,在所述根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据之前,所述网络攻击检测方法还包括:
构建所述字段融合规则,具体包括:
获取告警日志数据的原始字段;
根据所述原始字段和预设的目标字段进行映射关系构建,得到所述字段融合规则。
在一些实施例,所述根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据,包括:
根据所述字段融合规则从所述告警日志数据中提取与所述目标字段对应的原始字段,得到选定字段;
根据所述选定字段从所述告警日志数据中提取原始字段内容;
根据所述目标字段和所述原始字段内容构建成所述目标日志数据。
在一些实施例,所述从所述目标日志数据提取出实体信息和关系数据,包括:
获取所述目标日志数据中所述目标字段的字段类型;
获取所述字段类型为实体类型的所述原始字段内容,得到所述实体信息;
获取所述字段类型为关系类型的所述原始字段内容,得到所述关系数据。
在一些实施例,所述攻击节点信息包括:攻击节点和攻击时序信息;所述基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系,包括:
基于所述数据库的多跳查询能力分析规则在所述数据库中查找所述攻击节点的邻居节点,得到关联节点;
基于所述攻击节点和所述关联节点生成候选攻击序列;
根据攻击时序信息对所述候选攻击序列进行筛选处理,得到目标攻击序列;
根据所述目标攻击序列生成目标关联攻击关系。
在一些实施例,所述基于所述数据库的多跳查询能力分析规则在所述数据库中查找所述攻击节点的邻居节点,得到关联节点,包括:
将所述攻击节点作为参考节点;
基于所述数据库的多跳查询能力分析规则在所述数据库中判断所述参考节点是否存在邻居节点;
若所述数据库中存在与所述攻击节点不相同的邻居节点,从所述数据库提取与所述攻击节点不同的所述邻居节点更新为所述参考节点;
基于更新的所述参考节点在所述数据库中查找邻居节点,以更新所述参考节点,直至邻居节点不存在则停止查找;
将与所述攻击节点关联的所述邻居节点进行梳理,得到所述关联节点。
在一些实施例,所述根据所述攻击时序信息对所述候选攻击序列进行筛选处理,得到目标攻击序列,包括:
获取所述候选攻击序列的时序信息,得到候选时序信息;
根据所述候选时序信息和所述攻击时序信息对所述候选攻击序列进行筛选处理,得到所述目标攻击序列。
在一些实施例,所述将所述实体关系数据导入至预设的数据库,包括以下任意一种:
将所述实体关系数据导入至预设的图数据库;
将所述实体关系数据导入至预设的关系型数据库。
在一些实施例,所述攻击节点信息包括:攻击节点和攻击时序信息;若所述数据库为图数据库,所述基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系,包括:
基于所述图数据库的多跳查询能力分析规则在所述图数据库中查找所述攻击节点的关联节点,得到至少一个选定节点;
将所述至少一个选定节点梳理成攻击关联序列;
根据所述攻击时序信息对所述攻击关联序列进行筛选处理,得到选定攻击序列;
将所述选定攻击序列转换为所述目标关联攻击关系。
为实现上述目的,本申请实施例的第二方面提出了一种网络攻击检测装置,所述装置包括:
数据获取模块,用于获取至少两台安全设备的告警日志数据;
日志融合模块,用于根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据;其中,每一所述安全设备的所述目标日志数据的格式相同;
数据提取模块,用于从所述目标日志数据提取出实体信息和关系数据;
关系构建模块,用于根据所述实体信息和所述关系数据构建实体关系数据;
数据导入模块,用于将所述实体关系数据导入至预设的数据库;
信息获取模块,用于获取待检测的攻击节点信息;
攻击关系查找模块,用于基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系。
为实现上述目的,本申请实施例的第三方面提出了一种电子设备,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的网络攻击检测方法。
为实现上述目的,本申请实施例的第四方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的网络攻击检测方法。
为实现上述目的,本申请实施例的第五方面提出了一种计算机程序产品,该计算机程序产品包括计算机程序,所述计算机程序被计算机设备的处理器读取并执行,使得该计算机设备执行第一方面所述的网络攻击检测方法。
本申请提出的网络攻击检测方法和装置、设备、存储介质和产品,其通过根据字段融合规则对不同的安全设备的告警日志数据融合为统一的日志格式的目标日志数据,并对统一的目标日志数据提取实体信息和关系数据,基于实体信息和关系数据生成实体关系数据导入到数据库。最后通过数据库的多跳查询能力分析规则结合攻击节点所发生的告警先后的时序信息,准确分析出攻击序列,以提升网络攻击检测的关联性。
附图说明
图1是本申请实施例提供的网络攻击检测方法的流程图;
图2是本申请另一实施例提供的网络攻击检测方法的流程图;
图3是本申请一实施例提供的网络攻击检测方法中日志数据融合过程的示意图;
图4是图1中的步骤S102的流程图;
图5是图1中的步骤S103的流程图;
图6是图1中的步骤S107的流程图;
图7是图6中的步骤S601的流程图;
图8是本申请一实施例提供的网络攻击检测方法中攻击序列的示意图;
图9是图6中的步骤S603的流程图;
图10是本申请一实施例提供的网络攻击检测方法中攻击关系查找的详细流程图;
图11是本申请实施例提供的网络攻击检测装置的结构示意图;
图12是本申请实施例提供的网络攻击检测方法的系统架构图;
图13是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
首先,对本申请中涉及的若干名词进行解析:
网络靶场(Cyber Range):是一个供5方角色协同使用的网络系统仿真平台。用于支撑网络安全人才培养、网络攻防训练、安全产品评测和网络新技术验证。网络安全人员要就攻防技术进行训练、演练;一项新的网络技术要试验,不能在互联网上进行(造成不可逆的破坏),于是需要建立网络靶场,把网络的要素虚拟到网络靶场。
图数据库(Graph database):并非指存储图片的数据库,而是以图这种数据结构存储和查询数据。图形数据库是一种在线数据库管理系统,具有处理图形数据模型的创建,读取,更新和删除(CRUD)操作。与其他数据库不同,关系在图数据库中占首要地位。这意味着应用程序不必使用外键或带外处理(如MapReduce)来推断数据连接。与关系数据库或其他NoSQL数据库相比,图数据库的数据模型也更加简单,更具表现力。图形数据库是为与事务(OLTP)系统一起使用而构建的,并且在设计时考虑了事务完整性和操作可用性。
关系型数据库:是指采用了关系模型来组织数据的数据库,其以行和列的形式存储数据,以便于用户理解,关系型数据库这一系列的行和列被称为表,一组表组成了数据库。用户通过查询来检索数据库中的数据,而查询是一个用于限定数据库中某些区域的执行代码。关系模型可以简单理解为二维表格模型,而一个关系型数据库就是由二维表及其之间的关系组成的一个数据组织。
入侵检测系统(Intrusion Detection System,IDS):是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
在联邦靶场的网络攻防演练、网络安全人才培养、网络安全技术科学评测等领域的活动应用中,往往会涉及异构网络平台中多个安全设备包括防火墙、WAF(WebApplication Firewall)、上网行为审计管理、IDS(intrusion detection system)、IPS(Intrusion Prevention System)等安全设备进行协同工作。各个安全设备由于是不同厂家之间独立研发的产品,在部署及产生的安全设备告警日志数据形式上也比较独立,因此导致各个安全设备之间比较隔离,无法联合共同分析潜在的攻击信息。
相关技术中,为了解决各个安全设备之间隔离的问题,一般分为基于规则推理的告警关联和概率关联分析方法。在基于规则推理的告警关联分析中,需要将领域内的知识表示成一组规则,匹配符合当前状态的所有规则构成规则冲突集,然后选择冲突集中最为匹配的规则。基于规则推理的告警关联分析方法优点在于表达直观灵活,格式清楚,但系统中规则的提取和维护较为困难,需要领域专业人才进行维护,效率低下,比较难匹配到新出现的攻击类型。基于概率关联分析方法,通过采用相似度计算方法对报警信息进行关联分析,以计算不同报警信息字段属性的相似度,按照特征的相似度函数和概率极小匹配原则将告警进行聚类,这种方法可以有效的压缩告警信息的数据量,对于融合过程中告警信息的不同属性,需要生成一张表以存储被融合的信息。但是相似度函数的选择和极小匹配规则的定义均需要专家知识来完成,可拓展性不强。
基于此,本申请实施例提供了一种网络攻击检测方法和装置、设备、存储介质和产品,通过结合安全设备产生的告警日志数据进行网络攻击检测,通过基于易于扩展的字段融合规则将多个安全设备的告警日志数据进行融合,然后将融合后告警日志数据中的实体信息和关系数据导入数据库,基于数据库表示以及攻击节点信息准确地分析出与攻击节点信息相关联的攻击关系,得到更加准确且全面的网络攻击关联关系,提高网络靶场攻击检测的准确性。
本申请实施例提供的网络攻击检测方法,涉及网络检测技术领域。本申请实施例提供的网络攻击检测方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现网络攻击检测方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
需要说明的是,在本申请的各个具体实施方式中,当涉及到需要根据用户信息、用户行为数据,用户历史数据以及用户位置信息等与用户身份或特性相关的数据进行相关处理时,都会先获得用户的许可或者同意,而且,对这些数据的收集、使用和处理等,都会遵守相关法律法规和标准。此外,当本申请实施例需要获取用户的敏感个人信息时,会通过弹窗或者跳转到确认页面等方式获得用户的单独许可或者单独同意,在明确获得用户的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要的用户相关数据。
图1是本申请实施例提供的网络攻击检测方法的一个可选的流程图,图1中的方法可以包括但不限于包括步骤S101至步骤S107。
步骤S101,获取至少两台安全设备的告警日志数据;
步骤S102,根据预设的字段融合规则将每一告警日志数据进行融合处理,得到目标日志数据;其中,每一安全设备的目标日志数据的格式相同;
步骤S103,从目标日志数据提取出实体信息和关系数据;
步骤S104,根据实体信息和关系数据构建实体关系数据;
步骤S105,将实体关系数据导入至预设的数据库;
步骤S106,获取待检测的攻击节点信息;
步骤S107,基于数据库的多跳查询能力分析规则和攻击节点信息在数据库中进行攻击关系查找,得到目标关联攻击关系。
本申请实施例所示意的步骤S101至步骤S107,通过采集多个安全设备的告警日志数据,并根据预先设定的字段融合规则将告警日志数据中的每一字段进行融合以得到日志格式相同的目标日志数据,然后从目标日志数据中提取出实体信息和关系数据,且关系数据表征实体信息的关系。基于实体信息和关系数据构建成实体关系数据,并将实体关系数据存入到预设的数据库。因此,采用数据库的存储形式将实体信息和关联数据表征出来,所以基于数据库的多跳查询能力分析规则结合待检测的攻击节点信息在数据库中查找出关联的攻击关系。因此,通过融合多个安全设备的告警日志数据进行关联分析,再结合传统数据库特点进行攻击关联信息查找,以准确地分析出与攻击节点信息相关的信息,以提升网络攻击检测的准确性。
在一些实施例的步骤S101中,安全设备包括以下任意一种:防火墙、WAF(WebApplication Firewall)、上网行为审计管理、IDS(intrusion detection system)、IPS(Intrusion Prevention System),且安全设备的类型不限于此。在本实施例中,本申请的安全设备为IDS安全设备,在其他实施例中安全设备可以采用其他类型的安全设备。
需要说明的是,在本实施例中获取至少两台IDS安全设备的IDS告警数据。但是不同IDS安全设备的IDS告警数据的格式不同,所以无法都导入到数据库中,需要统一IDS安全设备的IDS告警数据的格式。
在一些实施例的步骤S102之前,该网络攻击方法还包括:构建字段融合规则,该字段融合规则用于将不同格式的告警日志数据融合成相同格式的数据。具体地,该字段融合规则需要表现的信息是目标字段的内容,需要从原始的告警日志数据中提取目标字段对应的内容,所以字段融合规则也可以称为目标字段到原始字段的一个映射规则。
请参阅图2,在一些实施例中,构建字段融合规则可以包括但不限于包括步骤S201至步骤S202:
步骤S201,获取告警日志数据的原始字段;
步骤S202,根据原始字段和预设的目标字段进行映射关系构建,得到字段融合规则。
在一些实施例的步骤S201中,不同的IDS安全设备存在不同格式的告警日志数据,所以为了统一多种IDS安全设备的告警日志数据需要事先构建字段融合规则。获取每一安全设备的告警日志数据的原始字段,以根据原始字段可以知晓原始告警日志数据包含哪些数据字段。
在一些实施例的步骤S202中,目标字段也是所有安全设备的告警日志数据统一后的数据字段,以确定了所有的告警日志数据统一后的数据字段之后,将原始字段和目标字段进行映射关系构建得到字段融合规则,使得字段融合规则构建简易。
需要说明的是,建立字段融合规则是在靶场网络的NAO体系中建立原始字段到目标字段之间的映射关系以得到字段融合规则。告警日志数据中的攻击类型含有ba_id,ba_id为某种攻击类型,融合规则的目的是将不同安全设备的日志格式字段融合为统一的日志格式字段,所以构建字段融合规则,以便于不同字段的告警日志数据进行融合。
具体地,由于各个安全设备的告警日志数据中存在大多数与攻击关系分析无关的数据字段,但是也存在一些共通的数据字段。根据目标字段从原始字段中筛选出与攻击关系分析关联的数据字段,去除无关无用的数据字段,保留攻击关系分析需要用到且各个安全设备共通的数据字段。因此,根据各个安全设备共通且与攻击关系分析相关的数据字段构建成目标字段,以根据原始字段和目标字段建立映射关系,也即建立原始字段到目标字段的一个映射规则。所以根据需要表现的目标字段从原始的告警日志数据中提取哪些原始字段。在本实施例中,建立多跳关系分析使用共通的目标字段包括以下几个字段:src,dst,smac,dmac,type,time,equipment。其中,src为IDS安全设备的告警日志数据中发起攻击的服务ip地址,dst为IDS安全设备的告警日志数据中受到攻击的服务IP地址,smac为IDS安全设备的告警日志数据中发起攻击的服务mac地址,dmac为IDS安全设备的告警日志数据中受到攻击的服务mac地址,type为本次攻击对应的网络攻击本体体系的攻击类型,且攻击类型包括:SQL注入、XSS攻击,equipment为产生告警信息的设备信息。如图3所示,若原始的告警日志数据如图3中原始的告警日志数据所示,可以知晓原始的告警日志数据中存在与攻击关系分析无关的字段,所以从原始的告警日志数据中提取出与目标字段相关联的原始字段,再建立原始字段和目标字段之间的映射关系得到字段融合规则,且字段融合规则如图3所示。对于相同安全设备的告警日志数据中字段相同,所以同一安全设备对应的字段融合规则,但是不同的安全设备之间的字段融合规则不同,以根据不同安全设备的告警日志数据采用不同的字段融合规则,以构建日志格式统一的目标日志数据。
在本实施例所示意的步骤S201至步骤S202,通过获取每一安全设备的告警日志数据的原始字段,并构建原始字段和目标字段之间的映射关系得到字段融合规则,以便于每一安全设备的告警日志数据可以通过字段融合规则进行字段融合,得到统一格式的目标日志数据。因此,为了将不同安全设备的告警日志数据融合为统一的数据字段形式,提前构建字段融合规则,以便于不同安全设备的告警日志数据都能够融合为统一日志格式的日志数据。
构建了统一日志格式的目标日志数据之后,请参照图4,在一些实施例中,步骤S102可以包括但不限于包括步骤S401至步骤S403:
步骤S401,根据字段融合规则从告警日志数据中提取与目标字段对应的原始字段,得到选定字段;
步骤S402,根据选定字段从告警日志数据中提取原始字段内容;
步骤S403,根据目标字段和原始字段内容构建成目标日志数据。
在一些实施例的步骤S4O1中,根据字段融合规则确定每一安全设备的告警日志数据中哪些原始字段需要被选中以得到选定字段。通过选定字段可以知晓哪些字段对应的字段内容需要提取作为目标日志数据。
在一些实施例的步骤S402中,根据选定字段从告警日志数据进行字段内容提取以原始字段内容。通过图3可知,目标字段src对应原始字段为src_addr,那么src_addr作为选定字段,并根据选定字段src_addr从告警日志数据中提取对应的字段内容为“92.118.xx.xx”,以选出告警日志数据中与告警关联分析且共通的字段内容。
在一些实施例的步骤S403中,为了构建统一字段格式的日志数据,将提取的原始字段内容和对应的目标字段进行组合以得到目标日志数据。例如,目标字段为src对应的原始字段内容为“92.118.xx.xx”,所以组合目标字段和原始字段内容得到目标日志数据中的日志段为"src":"92.118.xx.xx"。
在本实施例所示意的步骤S401至步骤S403,通过组合将每一目标字段与其对应的原始字段内容进行组合以构建统一日志格式的目标日志数据,以通过将目标日志数据导入数据库进行关联关系分析,使得网络攻击的关联关系分析更加简易且准确。
将不同安全设备的告警日志数据融合为统一日志格式的目标日志数据之后,需要将统一日志格式的目标日志数据导入数据库,以便于网络攻击关系的分析。
需要说明的是,为了将融合后的目标日志数据导入到数据库中,以采用数据结构存储目标日志数据,便于从数据库中查找目标日志数据简易。
请参照图5,在一些实施例中,步骤S103可以包括但不限于包括步骤S501至步骤S503:
步骤S501,获取目标日志数据中目标字段的字段类型;
步骤S502,获取字段类型为实体类型的原始字段内容,得到实体信息;
步骤S503,获取字段类型为关系类型的原始字段内容,得到关系数据。
在一些实施例的步骤S501中,通过获取目标日志数据中每一目标字段的字段类型,以根据字段类型可以知晓每一目标字段所描述的内容。
在一些实施例的步骤S502中,字段类型包括实体类型和关系类型,所以通过字段类型即可知晓每一目标字段表征是实体类型还是关系类型。通过将字段类型表征为实体类型的目标字段所对应的原始字段内容作为实体信息。
需要说明的是,在本实施例中每一条目标日志数据提出两个实体信息和一条关系数据,且实体信息的组织形式统一描述为:实体id,属性1,属性2,……属性n。
在一些实施例的步骤S503中,通过在候选日志数据中提取字段类型表征为关系类型的目标字段所对应的原始字段内容作为关系数据,以便于关系数据查找简易。
需要说明的是,关系的组织形式统一描述为:起始id,终止id,关系类型,关系区分字段,关系属性1,关系属性2,……关系属性n。
在本申请实施例所示意的步骤S501至步骤S503,通过获取目标日志数据中每一目标字段的字段类型,且字段类型包括:实体类型和关系类型,从目标日志数据中提取实体类型的目标字段所对应的原始字段内容得到实体信息,从目标日志数据中提取关系类型的目标字段对应的原始字段内容得到关系数据,使得实体信息和关系数据的提取简易。
在一些实施例的步骤S104中,将实体信息和关系数据进行相关联得到实体关系数据。其中,实体信息采集两个,且实体信息的描述符为vertex_id、ip和mac中的任意一种,vertex_id为实体信息的id,且由ip地址和mac地址生成,ip为发起/受到攻击节点的ip地址,mac为发起/受到攻击节点的mac地址。因此,通过获取目标日志数据中发起/受到攻击节点的地址作为实体信息。而关系数据的描述符包括以下任意一种:src_id、dst_id、ba_id、rank、time、equipment,src_id为关系起始节点的ip地址,dst_id为关系终止节点的ip地址,ba_id为关系类型,且关系类型也可为攻击类型,rank为关系区分字段,相同两点存在多跳关系时关系区分字段的值不同,且本实施例该字段取攻击类型ba_id对应的关系区字段,time为关系属性1,且关系属性1在本实施例定义为攻击发生的时间戳,equipment为关系属性2,且关系属性2在本实施例定义为产生告警信息的安全设备。因此,本实施例以发起/受到攻击的地址作为实体信息,然后将实体信息和关系数据之间关联以得到实体关系数据,以通过实体关系数据可以知晓每一安全设备之间的关系,以便于导入到数据库后对安全设备进行关联分析。
构建实体关系数据之后,在一些实施例,步骤S105包括以下任意一种:
S1、将实体关系数据导入至预设的图数据库;
S2、将实体关系数据导入至预设的关系型数据库。
通过步骤S1和步骤S2可知,本实施例采用数据库可以为图数据库或者为关系型数据库。其中,关系型数据库是建立在关系数据库模型基础上的数据库,所以将实体关系数据导入到关系型数据库,以将所有实体信息和实体信息之间联系的集合构建成一个关系型数据库,以便于实体信息之间的关系分析,也即根据告警日志数据分析不同安全设备之间的关联情况,以实现网络攻击的检测。图数据库是以图的数据结构存储和查询数据,具备处理图形数据模型的创建读取、更新和删除操作,所以与其他数据库不同,图数据库的数据模型更加简单和更具备表现力。通过将实体关系数据导入到图数据库,以便于通过图数据库可以更加清晰地查找出每一实体信息之间的关联关系。
完成实体关系数据导入到数据库之后,可以基于数据库的查询分析功能对攻击关联关系进行查找,以分析出攻击相关联的实体信息,便于基于攻击关联关系进行网络攻击检测。在一些实施例的步骤S106中,获取待检测的攻击节点信息,以根据攻击节点信息确定需要制定分析关联关系的实体信息。其中,攻击节点信息包括:攻击节点和攻击时序信息,所以根据攻击节点和攻击时序信息在数据库中查找出相关联的节点以得到目标关联攻击关系。
在一些实施例中,若所述数据库为图数据库,步骤S107可以包括但不限于包括:
基于图数据库的多跳查询能力分析规则在图数据库中查找攻击节点的关联节点,得到至少一个选定节点;
将至少一个选定节点梳理成攻击关联序列;
根据攻击时序信息对攻击关联序列进行筛选处理,得到选定攻击序列;
将选定攻击序列转换为目标关联攻击关系。
通过上述步骤可知,图数据库与其他数据库不同,图数据库的数据模型更加简单和更具备表现力。因此,通过图数据库的多跳查询能力分析规则结合攻击时序信息从图数据库中查找出攻击关联序列,使得攻击关系分析更加简易。
请参阅图6,在一些实施例中,步骤S107可以包括但不限于包括步骤S601至步骤S604:
步骤S601,基于数据库的多跳查询能力分析规则在数据库中查找攻击节点的邻居节点,得到关联节点;
步骤S602,基于攻击节点和关联节点生成候选攻击序列;
步骤S603,根据攻击时序信息对候选攻击序列进行筛选处理,得到目标攻击序列;
步骤S604,根据目标攻击序列生成目标关联攻击关系。
在一些实施例的步骤S601中,基于数据库的多跳查询能力分析规则在数据库中查找与攻击节点相关联的节点作为关联节点。其中,攻击节点的邻居节点,包括攻击节点相邻的节点,也包括攻击节点相邻的节点再相邻的节点,以逐步查找邻居节点作为关联节点。攻击节点的关联节点可以为至少一个节点,且攻击节点的关联节点也可以不存在。其中,在本实施例中数据库采用图数据库,当确定攻击节点时,通过图数据库的多跳查询能力规则对图数据库进行邻居节点查找,若不存在邻居节点则没有关联节点,以生成只包括攻击节点相关的序列。
需要说明的是,本实施例中的攻击节点和相邻节点也即为安全设备,所以查找攻击节点的关联节点,也即查找目标安全设备相关联的其他安全设备,以实现网络攻击检测。
在一些实施例的步骤S602中,关联节点存在时,将攻击节点和关联节点进行梳理以生成候选攻击序列,且候选攻击序列表示指定攻击节点为起始节点到多跳分析之后得到的节点为止的一系列攻击序列。
在一些实施例的步骤S603和步骤S604中,由于候选攻击序列中包含攻击节点存在且关联的节点,但不是所有关联的节点都满足要求。所以需要对候选攻击序列进行筛选过滤。在本实施例中采用攻击时序信息作为筛选条件,以根据攻击时序信息对候选攻击序列进行筛选,以筛选出满足时间要求的攻击序列作为目标攻击序列。最后,目标攻击序列表征为以攻击节点为起始节点且时间满足要求的节点组合成的序列,所以基于目标攻击序列即可确定攻击节点的目标关联攻击关系。
在本实施例所示意的步骤S601至步骤S604,基于数据库特有的多跳查询能力分析规则在数据库中查找出与攻击节点相邻的节点作为关联节点,再基于攻击节点和关联节点生成候选攻击序列,且根据攻击时序信息对候选攻击序列筛选成目标攻击序列,以根据目标攻击序列生成攻击节点的目标关联攻击关系,以根据目标攻击关联关系可以清楚且准确地知晓攻击节点相关联的节点以实现网络攻击检测。
请参阅图7,在一些实施例中,步骤S601可以包括但不限于包括步骤S701至步骤S705:
步骤S701,将攻击节点作为参考节点;
步骤S702,基于数据库的多跳查询能力分析规则在数据库中判断参考节点是否存在邻居节点;
步骤S703,若数据库中存在与攻击节点不相同的邻居节点,从数据库提取与攻击节点不同的邻居节点更新为参考节点;
步骤S704,基于更新的参考节点在数据库中查找邻居节点,以更新参考节点,直至邻居节点不存在则停止查找;
步骤S705,将与攻击节点关联的邻居节点进行梳理,得到关联节点。
在一些实施例的步骤S701和步骤S702中,将攻击节点作为参考节点,并基于数据库的多跳查询能力分析规则在数据库中查找参考节点的邻居节点,先判断数据库中是否存在与参考节点不相同的邻居节点,以判断目标安全设备是否相关联的安全设备。
在一些实施例的步骤S703中,若存在与参考节点不相同的邻居节点,将该邻居节点作为关联节点,并将该邻居节点更新为参考节点。因此,基于攻击节点查找邻居节点,并不仅限于参考攻击节点的邻居节点查询,还查找邻居节点的相邻节点,以梳理出与攻击节点相关联的节点。
需要说明的是,若不存在与参考节点不相同的邻居节点,直接基于攻击节点完成梳理形成攻击序列。
在一些实施例的步骤S704中,基于更新的参考节点重新再数据库中查找邻居节点,若存在邻居节点重复步骤S703以将新的邻居节点作为参考节点再进行邻居节点查找,直至不再查找到邻居节点以完成相关联节点的查找。
完成所有邻居节点查找之后,在一些实施例的步骤S705中,将所有查找到的邻居节点进行梳理作为关联节点,以查找出与攻击节点相关联的节点。
例如,如图8所示,若攻击节点为IP1,基于多跳查询能力分析规则在图数据库查找攻击节点IP1的邻居节点为IP2,将邻居节点IP2作为参考节点继续在图数据库进行邻居节点查找。然后查找到参考节点IP2的邻居节点为IP3,再将IP3作为参考节点在图数据库进行邻居节点查找得到邻居节点IP4。然后将邻居节点IP4作为参考节点在图数据库中没有查找到邻居节点,那么得到与攻击节点IP1的关联节点为IP2、IP3、IP4,因此基于攻击节点和关联节点生成候选攻击序列如图8所示,也即以攻击节点为起始节点到最终一条查询遍历到的节点IP4的一跳攻击链路。
需要说明的是,对于关系型数据库,也可以基于关系型数据库的多跳查询分析能力规则对攻击节点的关联节点进行查找。例如,若存在以下字段src_id,dst_id,ba_id,rank,time,equipment的一张表edge_table,用来存储融合后的实体关系数据,对于输入某个攻击节点的ip查询其一跳邻居节点可以执行:select dst from edge_table where src=’IP1’;即可查询出攻击节点为IP1的邻居节点,并替换查询条件中的参考节点src=’IP2’可进一步查询出二跳邻居节点,最终可以得到一条候选攻击序列,使得攻击序列查找简易。
在本实施例所示意的步骤S701至步骤S705,通过基于数据库的多跳查询能力规则查找参考节点的邻居节点,并将查找到的邻居节点替换为参考节点,如此反复查找以得到与攻击节点相关联的节点作为关联节点,使得关联节点查找简易。
请参阅图9,在一些实施例,步骤S603包括但不限于包括步骤S901至步骤S902:
步骤S901,获取候选攻击序列的时序信息,得到候选时序信息;
步骤S902,根据候选时序信息和攻击时序信息对候选攻击序列进行筛选处理,得到目标攻击序列。
在一些实施例的步骤S901中,为了判断候选攻击序列中的关联节点是否满足时间的筛选条件,获取候选攻击序列的时序信息,也即获取候选攻击序列中每一关联节点的时序信息得到候选时序信息。
在一些实施例的步骤S902中,根据候选时序信息和攻击时序信息对候选攻击序列进行筛选过滤,以保留候选攻击序列中后攻击关系的时间大于前序攻击关系的时间的攻击序列得到目标攻击序列,以查找出满足后续攻击关系的时间大于前序攻击关系的时间的序列,得到准确的目标攻击序列。例如,若候选攻击序列如图8所示,且每一节点上都标注上了节点的地址信息和时序信息,且IP1的地址信息为ba-313650,时序信息为:1679362666;IP2的地址信息为ba-340233,时序信息为:1679363146;IP3的地址信息为ba-340234,时序信息为:1679363446,通过图8可知,每一节点的时序信息都是后续攻击关系的时序大于前序攻击关系的时序,所以图8所示的候选攻击序列作为目标攻击序列,以便于分析攻击节点相关联的节点,以实现更加准确地网络攻击检测。
在本实施例所示意的步骤S901至步骤S902,通过确定候选攻击序列中每一关联节点的时序信息作为候选时序信息,以根据攻击时序信息和候选攻击时序信息,以获取后续攻击关系的时间大于前序攻击关系的时间的攻击序列作为目标攻击序列,以便于根据目标攻击序列可以清楚且准确地分析出攻击节点相关联的节点,使得网络攻击检测更加准确。
请参阅图10,图10是基于图数据库的多跳查询能力分析规则查找攻击关系的流程图。其中,查找攻击关系的具体步骤如下:
步骤一:对指定输入的攻击节点作为参考节点,通过图数据库的一跳查询获取输入参考节点的邻居节点;
步骤二:判定是否查询到邻居节点,有则转入步骤三筛选邻居节点作为参考节点,否则转入到步骤四梳理攻击序列;
步骤三:从查询出的邻居节点中筛选出与参考节点不同的邻居节点,新的节点按步骤一继续查询一跳节点,如此往复查询直到没有新的邻居节点为止;
步骤四:攻击序列梳理,经过步骤三这一循环查询过程可以得到由攻击节点为起始节点到多跳分析之后得到的关联节点为止的一系列候选攻击序列;
步骤五:结合攻击时序信息和候选时序信息对得到的候选攻击序列进行筛选过滤,筛选条件以time时间属性作为条件,只保留后序攻击关系的time时间属性大于前序攻击关系的time时间属性的攻击序列,如此形成一条攻击链路,即目标攻击序列。
请参阅图11,本申请实施例还提供一种网络攻击检测装置,可以实现上述网络攻击检测方法,该装置包括:
数据获取模块1101,用于获取至少两台安全设备的告警日志数据;
日志融合模块1102,用于根据预设的字段融合规则将每一告警日志数据进行融合处理,得到目标日志数据;其中,每一安全设备的目标日志数据的格式相同;
数据提取模块1103,用于从目标日志数据提取出实体信息和关系数据;
关系构建模块1104,用于根据实体信息和关系数据构建实体关系数据;
数据导入模块1105,用于将实体关系数据导入至预设的数据库;
信息获取模块1106,用于获取待检测的攻击节点信息;
攻击关系查找模块1107,用于基于数据库的多跳查询能力分析规则和攻击节点信息在数据库中进行攻击关系查找,得到目标关联攻击关系。
请参照图12,图12是网络攻击检测方法的系统架构图,网络攻击检测装置1201连接安全设备1202,且安全设备1202可以包括以下至少一种:IDS/IPS安全设备、防护墙、EDR和其他安全设备。其中,网络攻击检测装置1201包括日志融合子系统1203、攻击关系分析子系统1204和图数据库1205,且日志融合子系统1203包括:数据获取模块1101和日志融合模块1102,攻击关系分析子系统1204包括:数据提取模块1103、关系构建模块1104、数据导入模块1105、信息获取模块1106和攻击关系查找模块1107。日志融合子系统1203获取不同安全设备的告警日志数据,并将告警日志数据融合得到目标日志数据,并基于目标日志数据形成实体关系数据存入到图数据库1205中。当需要分析攻击关系时,通过攻击关系分析子系统1204基于图数据库1205的多跳查询能力分析规则和攻击节点信息在图数据库1205中查找出关联关系以生成为攻击序列的目标关联攻击关系。
该网络攻击检测装置的具体实施方式与上述网络攻击检测方法的具体实施例基本相同,在此不再赘述。
本申请实施例还提供了一种电子设备,电子设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述网络攻击检测方法。该电子设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图13,图13示意了另一实施例的电子设备的硬件结构,电子设备包括:
处理器1301,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器1302,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器1302可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1302中,并由处理器1301来调用执行本申请实施例的网络攻击检测方法;
输入/输出接口1303,用于实现信息输入及输出;
通信接口1304,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线1305,在设备的各个组件(例如处理器1301、存储器1302、输入/输出接口1303和通信接口1304)之间传输信息;
其中处理器1301、存储器1302、输入/输出接口1303和通信接口1304通过总线1305实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述网络攻击检测方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序。计算机设备的处理器读取该计算机程序并执行,使得该计算机设备执行实现上述的网络攻击检测方法。
本申请实施例提供的网络攻击检测方法和装置、设备、存储介质和产品,其通过字段融合规则融合各个安全设备之间所产生的告警日志数据;再使用包括但不限于图数据库或传统关系型数据库的特性,分析攻击节点和其他节点之间的关系;然后结合数据库的多跳查询分析能力规则及各个安全设备之间告警日志数据的先后时序信息分析攻击节点的关联关系,准确分析出攻击关系序列,提升网络攻击检测的准确性。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。
Claims (13)
1.一种网络攻击检测方法,其特征在于,所述方法包括:
获取至少两台安全设备的告警日志数据;
根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据;其中,每一所述安全设备的所述目标日志数据的格式相同;
从所述目标日志数据提取出实体信息和关系数据;
根据所述实体信息和所述关系数据构建实体关系数据;
将所述实体关系数据导入至预设的数据库;
获取待检测的攻击节点信息;
基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系。
2.根据权利要求1所述的方法,其特征在于,在所述根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据之前,所述网络攻击检测方法还包括:
构建所述字段融合规则,具体包括:
获取告警日志数据的原始字段;
根据所述原始字段和预设的目标字段进行映射关系构建,得到所述字段融合规则。
3.根据权利要求2所述的方法,其特征在于,所述根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据,包括:
根据所述字段融合规则从所述告警日志数据中提取与所述目标字段对应的原始字段,得到选定字段;
根据所述选定字段从所述告警日志数据中提取原始字段内容;
根据所述目标字段和所述原始字段内容构建成所述目标日志数据。
4.根据权利要求3所述的方法,其特征在于,所述从所述目标日志数据提取出实体信息和关系数据,包括:
获取所述目标日志数据中所述目标字段的字段类型;
获取所述字段类型为实体类型的所述原始字段内容,得到所述实体信息;
获取所述字段类型为关系类型的所述原始字段内容,得到所述关系数据。
5.根据权利要求1所述的方法,其特征在于,所述攻击节点信息包括:攻击节点和攻击时序信息;所述基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系,包括:
基于所述数据库的多跳查询能力分析规则在所述数据库中查找所述攻击节点的邻居节点,得到关联节点;
基于所述攻击节点和所述关联节点生成候选攻击序列;
根据所述攻击时序信息对所述候选攻击序列进行筛选处理,得到目标攻击序列;
根据所述目标攻击序列生成目标关联攻击关系。
6.根据权利要求1所述的方法,其特征在于,所述基于所述数据库的多跳查询能力分析规则在所述数据库中查找所述攻击节点的邻居节点,得到关联节点,包括:
将所述攻击节点作为参考节点;
基于所述数据库的多跳查询能力分析规则在所述数据库中判断所述参考节点是否存在邻居节点;
若所述数据库中存在与所述攻击节点不相同的邻居节点,从所述数据库提取与所述攻击节点不同的所述邻居节点更新为所述参考节点;
基于更新的所述参考节点在所述数据库中查找邻居节点,以更新所述参考节点,直至邻居节点不存在则停止查找;
将与所述攻击节点关联的所述邻居节点进行梳理,得到所述关联节点。
7.根据权利要求5所述的方法,其特征在于,所述根据所述攻击时序信息对所述候选攻击序列进行筛选处理,得到目标攻击序列,包括:
获取所述候选攻击序列的时序信息,得到候选时序信息;
根据所述候选时序信息和所述攻击时序信息对所述候选攻击序列进行筛选处理,得到所述目标攻击序列。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述将所述实体关系数据导入至预设的数据库,包括以下任意一种:
将所述实体关系数据导入至预设的图数据库;
将所述实体关系数据导入至预设的关系型数据库。
9.根据权利要求8所述的方法,其特征在于,所述攻击节点信息包括:攻击节点和攻击时序信息;若所述数据库为图数据库,所述基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系,包括:
基于所述图数据库的多跳查询能力分析规则在所述图数据库中查找所述攻击节点的关联节点,得到至少一个选定节点;
将所述至少一个选定节点梳理成攻击关联序列;
根据所述攻击时序信息对所述攻击关联序列进行筛选处理,得到选定攻击序列;
将所述选定攻击序列转换为所述目标关联攻击关系。
10.一种网络攻击检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取至少两台安全设备的告警日志数据;
日志融合模块,用于根据预设的字段融合规则将每一所述告警日志数据进行融合处理,得到目标日志数据;其中,每一所述安全设备的所述目标日志数据的格式相同;
数据提取模块,用于从所述目标日志数据提取出实体信息和关系数据;
关系构建模块,用于根据所述实体信息和所述关系数据构建实体关系数据;
数据导入模块,用于将所述实体关系数据导入至预设的数据库;
信息获取模块,用于获取待检测的攻击节点信息;
攻击关系查找模块,用于基于所述数据库的多跳查询能力分析规则和所述攻击节点信息在所述数据库中进行攻击关系查找,得到目标关联攻击关系。
11.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至9任一项所述的网络攻击检测方法。
12.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至9中任一项所述的网络攻击检测方法。
13.一种计算机程序产品,该计算机程序产品包括计算机程序,所述计算机程序被计算机设备的处理器读取并执行,使得该计算机设备执行根据权利要求1至9任一项所述的网络攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310542342.5A CN116319077B (zh) | 2023-05-15 | 2023-05-15 | 网络攻击检测方法和装置、设备、存储介质和产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310542342.5A CN116319077B (zh) | 2023-05-15 | 2023-05-15 | 网络攻击检测方法和装置、设备、存储介质和产品 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116319077A true CN116319077A (zh) | 2023-06-23 |
CN116319077B CN116319077B (zh) | 2023-08-22 |
Family
ID=86826111
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310542342.5A Active CN116319077B (zh) | 2023-05-15 | 2023-05-15 | 网络攻击检测方法和装置、设备、存储介质和产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116319077B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743508A (zh) * | 2023-08-15 | 2023-09-12 | 四川新立高科科技有限公司 | 一种电力系统网络攻击链检测方法、装置、设备及介质 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
CN111930886A (zh) * | 2020-07-06 | 2020-11-13 | 国网江西省电力有限公司电力科学研究院 | 日志处理方法、系统、存储介质及计算机设备 |
US10958667B1 (en) * | 2016-06-03 | 2021-03-23 | Mcafee Llc | Determining computing system incidents using node graphs |
US20210112092A1 (en) * | 2017-03-27 | 2021-04-15 | New H3C Technologies Co., Ltd. | Preventing advanced persistent threat attack |
CN113609234A (zh) * | 2021-06-17 | 2021-11-05 | 国家计算机网络与信息安全管理中心 | 一种网络实体行为关联构建方法及系统 |
CN113783896A (zh) * | 2021-11-10 | 2021-12-10 | 北京金睛云华科技有限公司 | 一种网络攻击路径追踪方法和装置 |
CN113923003A (zh) * | 2021-09-30 | 2022-01-11 | 苏州浪潮智能科技有限公司 | 一种攻击者画像生成方法、系统、设备以及介质 |
CN114363036A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
CN114844707A (zh) * | 2022-05-07 | 2022-08-02 | 南京南瑞信息通信科技有限公司 | 一种基于图数据库的电网网络安全分析方法及系统 |
CN115242438A (zh) * | 2022-06-15 | 2022-10-25 | 国家计算机网络与信息安全管理中心 | 基于异质信息网络的潜在受害群体定位方法 |
CN115396147A (zh) * | 2022-07-22 | 2022-11-25 | 浙江工业大学 | 一种融合云网端日志与威胁知识的apt检测方法 |
US20230034910A1 (en) * | 2021-07-28 | 2023-02-02 | Accenture Global Solutions Limited | Discovering cyber-attack process model based on analytical attack graphs |
-
2023
- 2023-05-15 CN CN202310542342.5A patent/CN116319077B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
US10958667B1 (en) * | 2016-06-03 | 2021-03-23 | Mcafee Llc | Determining computing system incidents using node graphs |
US20210112092A1 (en) * | 2017-03-27 | 2021-04-15 | New H3C Technologies Co., Ltd. | Preventing advanced persistent threat attack |
CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
CN111930886A (zh) * | 2020-07-06 | 2020-11-13 | 国网江西省电力有限公司电力科学研究院 | 日志处理方法、系统、存储介质及计算机设备 |
CN113609234A (zh) * | 2021-06-17 | 2021-11-05 | 国家计算机网络与信息安全管理中心 | 一种网络实体行为关联构建方法及系统 |
US20230034910A1 (en) * | 2021-07-28 | 2023-02-02 | Accenture Global Solutions Limited | Discovering cyber-attack process model based on analytical attack graphs |
CN113923003A (zh) * | 2021-09-30 | 2022-01-11 | 苏州浪潮智能科技有限公司 | 一种攻击者画像生成方法、系统、设备以及介质 |
CN113783896A (zh) * | 2021-11-10 | 2021-12-10 | 北京金睛云华科技有限公司 | 一种网络攻击路径追踪方法和装置 |
CN114363036A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
CN114844707A (zh) * | 2022-05-07 | 2022-08-02 | 南京南瑞信息通信科技有限公司 | 一种基于图数据库的电网网络安全分析方法及系统 |
CN115242438A (zh) * | 2022-06-15 | 2022-10-25 | 国家计算机网络与信息安全管理中心 | 基于异质信息网络的潜在受害群体定位方法 |
CN115396147A (zh) * | 2022-07-22 | 2022-11-25 | 浙江工业大学 | 一种融合云网端日志与威胁知识的apt检测方法 |
Non-Patent Citations (3)
Title |
---|
LARS DIEDERICHSEN ET AL.: "A Graph Database-Based Approach to Analyze Network Log File", NETWORK AND SYSTEM SECUITY * |
李洪江;周保群;赵彬;: "安全事件综合分析系统框架及关键技术", 计算机工程, no. 17 * |
陈兴蜀等: "基于告警属性聚类的攻击场景关联规则挖掘方法研究", 工程科学与技术, no. 03 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743508A (zh) * | 2023-08-15 | 2023-09-12 | 四川新立高科科技有限公司 | 一种电力系统网络攻击链检测方法、装置、设备及介质 |
CN116743508B (zh) * | 2023-08-15 | 2023-11-14 | 四川新立高科科技有限公司 | 一种电力系统网络攻击链检测方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116319077B (zh) | 2023-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chhabra et al. | Cyber forensics framework for big data analytics in IoT environment using machine learning | |
EP3287927B1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
US10031973B2 (en) | Method and system for identifying a sensor to be deployed in a physical environment | |
US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
CN112100545A (zh) | 网络资产的可视化方法、装置、设备和可读存储介质 | |
CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
US8949271B2 (en) | Method for monitoring a number of machines and monitoring system | |
CN116319077B (zh) | 网络攻击检测方法和装置、设备、存储介质和产品 | |
CN112765366A (zh) | 基于知识图谱的apt组织画像构建方法 | |
KR102095853B1 (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
CN112256880A (zh) | 文本识别方法和装置、存储介质及电子设备 | |
Prathibha et al. | Design of a hybrid intrusion detection system using snort and hadoop | |
CN108280102A (zh) | 上网行为记录方法、装置及用户终端 | |
Huang et al. | On the understanding of interdependency of mobile app usage | |
CN107220262B (zh) | 信息处理方法和装置 | |
CN115659375A (zh) | 数据处理方法、装置、存储介质及电子设备 | |
CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
CN114153713A (zh) | 用户行为检测方法、装置和计算机设备 | |
CN113572781A (zh) | 网络安全威胁信息归集方法 | |
CN103078771A (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 | |
Chen et al. | Research on ontology-based network security knowledge map | |
CN112084504A (zh) | 病毒文件的处理方法、装置、电子设备及可读存储介质 | |
She et al. | An improved malicious code intrusion detection method based on target tree for space information network | |
Howden et al. | Moments in time: A forensic view of twitter |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |