CN116633580A - Ids攻击日志分析方法、装置、设备及介质 - Google Patents
Ids攻击日志分析方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116633580A CN116633580A CN202310141501.0A CN202310141501A CN116633580A CN 116633580 A CN116633580 A CN 116633580A CN 202310141501 A CN202310141501 A CN 202310141501A CN 116633580 A CN116633580 A CN 116633580A
- Authority
- CN
- China
- Prior art keywords
- attack
- source
- information
- path
- logs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000014509 gene expression Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 11
- 230000010354 integration Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种IDS攻击日志分析方法、装置、设备及介质,该方法包括:获取IDS产生的多条攻击日志,每条攻击日志中包括攻击源的信息和攻击路径的信息;整合所述多条攻击日志的攻击源和攻击路径;利用整合后的攻击源和所述攻击路径建立所述多条攻击日志对应的攻击条目。本公开对攻击日志中重复的攻击源,以及相同或类似的攻击路径进行整合,来分解和简化攻击日志中包含的大量攻击信息,并且以整合后的攻击源和攻击路径建立攻击条目,得以更有条理的记录、展示攻击日志的攻击源和攻击路径,帮助工作人员快速的确认和排查网络攻击。
Description
技术领域
本公开涉及数据处理技术领域,具体涉及一种IDS攻击日志分析方法、装置、设备及介质。
背景技术
IDS(intrusion detection system,入侵检测系统)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测,许多情况下,因为可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续,它们可以与防火墙和路由器配合工作。
IDS通常部署在公司网络环境的旁路中,每天会产生大量的攻击日志,这些攻击日志中包含攻击路径、攻击源的类型、攻击目的地址、威胁等级、目的端口和源IP(InternetProtocol,网际互连协议)等各种各样庞杂的信息。因为攻击日志包含的信息庞杂且可能重复,工作人员梳理整体攻击日志中信息的工作困难且繁重,不利于对网络攻击进行快速排查和确认。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种IDS攻击日志分析方法、装置、设备及介质。
第一方面,本公开提供了一种IDS攻击日志分析方法,包括:
获取IDS产生的多条攻击日志,每条攻击日志中包括攻击源的信息和攻击路径的信息;
整合所述多条攻击日志的攻击源和攻击路径;
利用整合后的攻击源和所述攻击路径建立所述多条攻击日志对应的攻击条目。
可选的,所述攻击源的信息包括源IP;
所述整合所述多条攻击日志的攻击源,包括:
对比所述多条攻击日志中的源IP,将相同的源IP归类为同一攻击源。
可选的,所述攻击路径的信息包括域名和/或二级目录;
所述整合所述多条攻击日志的攻击路径,包括:
对所述多条攻击日志对应的域名和/或二级目录进行正则匹配;
将同一正则表达式下匹配得到的多个域名和/或二级目录归类为同一条攻击路径。
可选的,所述利用整合后的攻击源和攻击路径建立所述多条攻击日志对应的攻击条目,包括:
以整合后的每个攻击源建立一条攻击条目;
针对整合后的每个攻击源,将由所述攻击源发起攻击的每条整合后的攻击路径,放入所述攻击源对应的攻击条目下。
可选的,所述方法还包括:
调用网络威胁情报平台查询攻击源的源IP,得到源IP的情报信息,所述情报信息用于表征所述源IP作为攻击源是否为真;
将所述情报信息放入攻击源对应的攻击条目下。
可选的,所述方法还包括:
根据同一正则表达式匹配得到的多个域名和/或二级目录的数量,确定同一攻击路径对应的攻击计数;
将每条攻击路径的攻击计数记入攻击路径对应的攻击条目。
可选的,所述攻击条目中,所述攻击源和所述情报信息作为一级条目内容,所述攻击路径和所述攻击计数作为二级条目内容。
第二方面,本公开提供了一种IDS攻击日志分析装置,包括:
获取模块,用于获取IDS产生的多条攻击日志,每条攻击日志中包括攻击源的信息和攻击路径的信息;
整合模块,用于整合所述多条攻击日志的攻击源和攻击路径;
处理模块,用于利用整合后的攻击源和所述攻击路径建立所述多条攻击日志对应的攻击条目。
可选的,所述攻击源的信息包括源IP;所述整合模块在整合所述多条攻击日志的攻击源时,具体用于对比所述多条攻击日志中的源IP,将相同的源IP归类为同一攻击源。
可选的,所述攻击路径的信息包括域名和/或二级目录;所述整合模块在整合所述多条攻击日志的攻击路径时,具体用于对所述多条攻击日志对应的域名和/或二级目录进行正则匹配;将同一正则表达式下匹配得到的多个域名和/或二级目录归类为同一条攻击路径。
可选的,所述处理模块在利用整合后的攻击源和攻击路径建立所述多条攻击日志对应的攻击条目时,具体用于以整合后的每个攻击源建立一条攻击条目;针对整合后的每个攻击源,将由所述攻击源发起攻击的每条整合后的攻击路径,放入所述攻击源对应的攻击条目下。
可选的,所述处理模块还用于调用网络威胁情报平台查询攻击源的源IP,得到源IP的情报信息,所述情报信息用于表征所述源IP作为攻击源是否为真;将所述情报信息放入攻击源对应的攻击条目下。
可选的,所述处理模块还用于根据同一正则表达式匹配得到的多个域名和/或二级目录的数量,确定同一攻击路径对应的攻击计数;将每条攻击路径的攻击计数记入攻击路径对应的攻击条目。
可选的,所述攻击条目中,所述攻击源和所述情报信息作为一级条目内容,所述攻击路径和所述攻击计数作为二级条目内容。
第三方面,本公开提供了一种电子设备,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面所述的方法。
第四方面,本公开提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法。
本公开提供的技术方案与现有技术相比具有如下优点:
本公开提供的IDS攻击日志分析方法、装置、设备及介质,通过获取IDS产生的攻击日志,然后通过攻击日志中攻击源的信息和攻击路径的信息,对攻击日志中重复的攻击源,以及相同或类似的攻击路径进行整合,从而分解和简化攻击日志中包含的大量攻击信息,并且以整合后的攻击源和攻击路径建立攻击条目,得以更有条理的记录、展示攻击日志的攻击源和攻击路径,帮助工作人员快速的确认和排查网络攻击。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的IDS攻击日志分析方法流程图;
图2为本公开实施例提供的一种应用场景的示意图;
图3为本公开实施例提供的IDS攻击日志分析装置的结构示意图;
图4为本公开实施例提供的电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
IDS通常部署在公司网络环境的旁路中,每天会产生大量的攻击日志,这些攻击日志中包含攻击路径、攻击源的类型、攻击目的地址、威胁等级、目的端口和源IP(InternetProtocol,网际互连协议)等各种各样庞杂的信息。因为攻击日志包含的信息庞杂且可能重复,工作人员梳理整体攻击日志中信息的工作困难且繁重,不利于对网络攻击进行快速排查和确认。针对上述问题,本公开实施例提供了一种IDS攻击日志分析方法。
图1为本公开实施例提供的IDS攻击日志分析方法流程图。该方法可以由IDS攻击日志分析装置执行,该IDS攻击日志分析装置可以采用软件和/或硬件的方式实现,该IDS攻击日志分析装置可配置于电子设备中,例如服务器或终端,其中,终端具体包括手机、电脑或平板电脑等。另外,该方法可以应用于图2所示的应用场景,该应用场景中包括服务器201和IDS设备202。可以理解的是,本公开实施例提供的热门媒资语音识别方法还可以应用在其他场景中。示例性的,图2中的服务器201可以执行该方法。该方法包括的具体步骤如下:
S101、获取IDS产生的多条攻击日志,每条攻击日志中包括攻击源的信息和攻击路径的信息。
攻击日志是由IDS设备202产生的,通常来说IDS每天产生攻击日志有数百甚至数千万条,包含着大量攻击信息,主要包括源IP、攻击路径、攻击源的类型、攻击目的地址、威胁等级和目的端口等信息,这些攻击信息通常按照时间先后顺序显示在IDS攻击监测平台上。
服务器201可以通过与IDS设备202之间通信连接获取到IDS设备202产生的多条攻击日志,服务器201主要关注攻击日志中的攻击源的信息和攻击路径的信息。源IP是攻击源的重要体现,代表着发起此次网络攻击的设备的IP地址,通过源IP可以确定此次网络攻击的网络攻击者。攻击路径是指网络攻击者潜入到企业内部网络应用系统所采取的路径,换句话说,也就是攻击者进行攻击时所采取的相关措施。攻击途径通常代表着有明确目的性的威胁,因为它们通常经过详细的准备和规划。
S102、整合多条攻击日志的攻击源和攻击路径。
因为攻击日志的数量庞大,且其中会有很多重复和类似的信息,服务器201通过读取每条攻击日志中攻击源的信息和攻击路径的信息,来整合S101中获取的全部攻击日志中的攻击源和攻击路径,将重复的源IP整合为同一攻击源,将相同或类似的攻击路径归类为同一条攻击路径,分解和简化多条攻击日志中包含的大量攻击信息。
S103、利用整合后的攻击源和攻击路径建立多条攻击日志对应的攻击条目。
为了让攻击日志中记录的攻击源和攻击路径更加清晰地的展示出来,服务器201会以整合后的攻击源和攻击路径建立攻击条目,攻击条目可以更有条理的记录、展示这些攻击日志的攻击源和攻击路径,从而可以帮助工作人员快速的确认和排查网络攻击。
本公开实施例通过获取IDS产生的攻击日志,然后通过攻击日志中攻击源的信息和攻击路径的信息,对攻击日志中重复的攻击源,以及相同或类似的攻击路径进行整合,从而分解和简化攻击日志中包含的大量攻击信息,并且以整合后的攻击源和攻击路径建立攻击条目,得以更有条理的记录、展示攻击日志的攻击源和攻击路径,帮助工作人员快速的确认和排查网络攻击。
在上述实施例的基础上,攻击源的信息包括源IP;整合多条攻击日志的攻击源,包括:对比多条攻击日志中的源IP,将相同的源IP归类为同一攻击源。
源IP代表着发起此次网络攻击的设备的IP地址,体现了此次网络攻击的攻击源。服务器201通过对比多条攻击日志中记录的源IP,当X条攻击日志中出现了相同的源IP,则可以确定这X条攻击日志对应的网络攻击,是由同一源IP发起的,即这X条攻击日志源于同一攻击源。
在上述实施例的基础上,攻击路径的信息包括域名和/或二级目录;整合多条攻击日志的攻击路径,包括:对多条攻击日志对应的域名和/或二级目录进行正则匹配;将同一正则表达式下匹配得到的多个域名和/或二级目录归类为同一条攻击路径。
正则表达式,又称规则表达式,(Regular Expression,在代码中常简写为regex、regexp或RE),是一种文本模式,包括普通字符(例如,a到z之间的字母)和特殊字符(称为"元字符"),是计算机科学的一个概念。正则表达式使用单个字符串来描述、匹配一系列匹配某个句法规则的字符串,通常被用来检索、替换那些符合某个模式(规则)的文本。正则匹配即是用正则表达式来确定匹配正则表达式句法规则的字符串的。
域名又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识。二级目录指继承在主站目录下的子目录。攻击路径是网络攻击者潜入到企业内部网络应用系统所采取的路径,会表示为内部网络的域名和/或内部网络服务器的二级目录。由于一个网络会有多个域名和/或二级目录,网络攻击者也会通过不同的攻击路径来达成攻击目标端口的目的,表示攻击路径的域名或二级目录通常由字符串来组成,因此通过正则匹配来查询有相同域名和二级目录的攻击路径,将这些攻击归为一类,显示为同一条攻击路径。也就是说,将这些由同一正则表达式匹配到的多个域名和/或二级目录归类为同一条攻击路径。
例如攻击路径A为(Users\aaaqy\Documents\wxid_0kj1o0ykoxon11\FileStorage\File\2022-03),可以选取二级目录(Users\aaaqy)作为正则表达式的句法规则,将匹配得到的符合该句法规则的其它攻击路径和攻击路径A归为一类攻击路径。
本公开实施例通过对比多条攻击日志中的源IP,并将相同的源IP归类为同一攻击源,从而将简化多条攻击日志中重复的源IP,同时对多条攻击日志对应的域名和/或二级目录进行正则匹配,并将同一正则表达式下匹配得到的多个域名和/或二级目录归类为同一条攻击路径,从而分解简化多条攻击日志中重复或类似的攻击路径。
在上述实施例的基础上,利用整合后的攻击源和攻击路径建立多条攻击日志对应的攻击条目,包括:以整合后的每个攻击源建立一条攻击条目;针对整合后的每个攻击源,将由攻击源发起攻击的每条整合后的攻击路径,放入攻击源对应的攻击条目下。
服务器201以整合后的每个攻击源建立一条攻击条目,这条攻击条目的一级条目内容展示攻击源的源IP,然后再将由该源IP发起攻击的攻击路径放入这条攻击条目的源IP下,其中放入攻击条目下的攻击路径为整合后的攻击路径。
例如,源IP(B)发起攻击的攻击路径包括攻击路径C1、C2、D1、D2,源IP(F)发起攻击的攻击路径包括攻击路径G1、G2、G3。利用正则匹配整合攻击路径后,攻击路径C1、C2归为一类攻击路径C,攻击路径D1、D2归为一类攻击路径D,攻击路径G1、G2、G3归为一类攻击路径G,以源IP(B)建立攻击条目B,该攻击条目B下的一级条目内容即为源IP(B)的具体地址,因为攻击路径C1、C2、D1、D2为源IP(B)发起网络攻击的攻击路径,所以将整合后的攻击路径C、攻击路径D放入攻击条目B中源IP(B)的内容下作为二级条目内容,表示源IP(B)发起网络攻击的攻击路径汇总为攻击路径C和攻击路径D两条。以此类推,以源IP(F)建立攻击条目F,攻击条目F下的一级条目内容为源IP(F)的具体地址,二级条目内容包括整合后的攻击路径G,表示源IP(B)发起网络攻击的攻击路径汇总为攻击路径G一条。可以理解的是,源IP(B)、源IP(F)、攻击路径C1、C2、D1、D2、G1、G2、G3均为指代性标号,并不是实际应用中源IP和攻击路径的地址字符串。
本公开实施例通过以整合后的每个攻击源建立一条攻击条目,然后将由攻击源发起攻击的每条整合后的攻击路径,放入该攻击源对应的攻击条目下,让攻击日志的攻击源和攻击路径以攻击条目的形式记录,可以更加清晰、有条理的展示汇总后的攻击日志的攻击信息。
在上述实施例的基础上,该方法还包括:调用网络威胁情报平台查询攻击源的源IP,得到源IP的情报信息,情报信息用于表征源IP作为攻击源是否为真;将情报信息放入攻击源对应的攻击条目下。
源IP的IP地址通常是一个外网IP,服务器201通过接口调用的方式实现对此IP的查询,具体可以调用网络威胁情报平台查询源IP,例如微步网络威胁情报平台。查询完毕后会得到源IP的情报信息,包括情报内容、状态、通信样本信息等,然后将情报信息放入攻击源的攻击条目中,以{源IP:情报信息}的形式进行记录。其中,情报信息中的情报内容可以表征源IP是否是一个真正发起了网络攻击的攻击源,因为一些情况下,正常的源IP会被IDS误判为攻击源,通过调用网络威胁情报平台查询源IP得到的情报内容就可以确定该源IP是否是正常的,由此排除被IDS误判为攻击源的源IP。状态表示源IP所在的服务器是否还在正常运行等。通信样本信息通常为空,一些情况下具体是网络攻击的病毒的信息等。
在上述实施例的基础上,该方法还包括:根据同一正则表达式匹配得到的多个域名和/或二级目录的数量,确定同一攻击路径对应的攻击计数;将每条攻击路径的攻击计数记入攻击路径对应的攻击条目。
以上述内容介绍的源IP(B)、源IP(F)为例,源IP(B)的攻击路径C1、C2由同一正则表达式汇总为攻击路径C,因此攻击路径C的攻击计数为2。以此类推,攻击路径D1、D2归为一类攻击路径D,可得攻击路径D的攻击计数为2,攻击路径G1、G2、G3归为一类攻击路径G,即攻击路径G的攻击计数为3。攻击计数表示出现此类攻击的数量,可以体现某个业务路径被攻击的强度和威胁程度。将每条攻击路径的攻击计数记入攻击路径对应的攻击条目,在攻击条目中以{攻击路径:攻击计数}的形式进行记录。
在上述实施例的基础上,攻击条目中,攻击源和情报信息作为一级条目内容,攻击路径和攻击计数作为二级条目内容。
在每个攻击条目中,以{源IP:情报信息}形式记录的内容作为一级条目内容,以{攻击路径:攻击计数}形式记录的内容作为二级条目内容。攻击条目总体表示为攻击源具体的IP地址,对应的解释内容为情报信息,每个攻击源发起的网络攻击包括哪些攻击路径,攻击路径对应的解释内容为攻击计数,表示通过此条攻击路径对某个业务路径的攻击次数,可以体现该业务路径被攻击的强度和威胁程度。
本公开实施例通过将源IP的情报信息放入攻击条目来帮助工作人员确定攻击源是否为真,通过记入攻击路径的攻击计数到攻击条目中,来表示通过此条攻击路径进行网络攻击的攻击次数,从而使得攻击条目可以帮助工作人员更加快速、有效地筛查出有害的网络攻击。
图3为本公开实施例提供的IDS攻击日志分析装置的结构示意图。该IDS攻击日志分析装置可以是如上实施例的终端中的部件或组件。本公开实施例提供的IDS攻击日志分析装置可以执行IDS攻击日志分析方法实施例提供的处理流程,如图3所示,该IDS攻击日志分析装置300包括:获取模块301,用于获取IDS产生的多条攻击日志,每条攻击日志中包括攻击源的信息和攻击路径的信息;整合模块302,用于整合多条攻击日志的攻击源和攻击路径;处理模块303,用于利用整合后的攻击源和攻击路径建立多条攻击日志对应的攻击条目。
在一些实施例中,攻击源的信息包括源IP;整合模块302在整合多条攻击日志的攻击源时,具体用于对比多条攻击日志中的源IP,将相同的源IP归类为同一攻击源。
在一些实施例中,攻击路径的信息包括域名和/或二级目录;整合模块302在整合多条攻击日志的攻击路径时,具体用于对多条攻击日志对应的域名和/或二级目录进行正则匹配;将同一正则表达式下匹配得到的多个域名和/或二级目录归类为同一条攻击路径。
在一些实施例中,处理模块303在利用整合后的攻击源和攻击路径建立多条攻击日志对应的攻击条目时,具体用于以整合后的每个攻击源建立一条攻击条目;针对整合后的每个攻击源,将由攻击源发起攻击的每条整合后的攻击路径,放入攻击源对应的攻击条目下。
在一些实施例中,处理模块303还用于调用网络威胁情报平台查询攻击源的源IP,得到源IP的情报信息,情报信息用于表征源IP作为攻击源是否为真;将情报信息放入攻击源对应的攻击条目下。
在一些实施例中,处理模块303还用于根据同一正则表达式匹配得到的多个域名和/或二级目录的数量,确定同一攻击路径对应的攻击计数;将每条攻击路径的攻击计数记入攻击路径对应的攻击条目。
在一些实施例中,攻击条目中,攻击源和情报信息作为一级条目内容,攻击路径和攻击计数作为二级条目内容。
图3所示实施例的IDS攻击日志分析装置可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本公开实施例提供的电子设备的结构示意图。该电子设备可以是如上实施例所述的服务器。本公开实施例提供的电子设备可以执行IDS攻击日志分析方法实施例提供的处理流程,如图4所示,电子设备400包括:存储器401、处理器402、计算机程序和通讯接口403;其中,计算机程序存储在存储器401中,并被配置为由处理器402执行如上所述的IDS攻击日志分析方法。在特定实施例中,存储器401可以是非易失性固态存储器。在特定实施例中,存储器401包括只读存储器ROM(Read-Only Memory)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable ROM,PROM)、可擦除PROM(ElectricalProgrammable ROM,EPROM)、电可擦除PROM(Electrically Erasable Programmable ROM,EEPROM)、电可改写ROM(Electrically Alterable ROM,EAROM)或闪存,或者两个或及其以上这些的组合。
另外,本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现上述实施例所述的IDS攻击日志分析方法。其中,存储介质可以是非易失性/非临时性计算机可读存储介质,例如,非易失性/非临时性计算机可读存储介质可以是ROM、随机存取存储器(Random Access Memory,RAM)、光盘只读存储器(Compact Disc ROM,CD-ROM)、磁带、软盘和光数据存储设备等。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种IDS攻击日志分析方法,其特征在于,包括:
获取IDS产生的多条攻击日志,每条攻击日志中包括攻击源的信息和攻击路径的信息;
整合所述多条攻击日志的攻击源和攻击路径;
利用整合后的攻击源和所述攻击路径建立所述多条攻击日志对应的攻击条目。
2.如权利要求1所述的方法,其特征在于,所述攻击源的信息包括源IP;
所述整合所述多条攻击日志的攻击源,包括:
对比所述多条攻击日志中的源IP,将相同的源IP归类为同一攻击源。
3.如权利要求2所述的方法,其特征在于,所述攻击路径的信息包括域名和/或二级目录;
所述整合所述多条攻击日志的攻击路径,包括:
对所述多条攻击日志对应的域名和/或二级目录进行正则匹配;
将同一正则表达式下匹配得到的多个域名和/或二级目录归类为同一条攻击路径。
4.如权利要求3所述的方法,其特征在于,所述利用整合后的攻击源和攻击路径建立所述多条攻击日志对应的攻击条目,包括:
以整合后的每个攻击源建立一条攻击条目;
针对整合后的每个攻击源,将由所述攻击源发起攻击的每条整合后的攻击路径,放入所述攻击源对应的攻击条目下。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
调用网络威胁情报平台查询攻击源的源IP,得到源IP的情报信息,所述情报信息用于表征所述源IP作为攻击源是否为真;
将所述情报信息放入攻击源对应的攻击条目下。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
根据同一正则表达式匹配得到的多个域名和/或二级目录的数量,确定同一攻击路径对应的攻击计数;
将每条攻击路径的攻击计数记入攻击路径对应的攻击条目。
7.如权利要求6所述的方法,其特征在于,所述攻击条目中,所述攻击源和所述情报信息作为一级条目内容,所述攻击路径和所述攻击计数作为二级条目内容。
8.一种IDS攻击日志分析装置,其特征在于,包括:
获取模块,用于获取IDS产生的多条攻击日志,每条攻击日志中包括攻击源的信息和攻击路径的信息;
整合模块,用于整合所述多条攻击日志的攻击源和攻击路径;
处理模块,用于利用整合后的攻击源和所述攻击路径建立所述多条攻击日志对应的攻击条目。
9.一种电子设备,其特征在于,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310141501.0A CN116633580A (zh) | 2023-02-07 | 2023-02-07 | Ids攻击日志分析方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310141501.0A CN116633580A (zh) | 2023-02-07 | 2023-02-07 | Ids攻击日志分析方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116633580A true CN116633580A (zh) | 2023-08-22 |
Family
ID=87640538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310141501.0A Pending CN116633580A (zh) | 2023-02-07 | 2023-02-07 | Ids攻击日志分析方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116633580A (zh) |
-
2023
- 2023-02-07 CN CN202310141501.0A patent/CN116633580A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
| CN109361643B (zh) | 一种恶意样本的深度溯源方法 | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
| CN112887341B (zh) | 一种外部威胁监控方法 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
| CN113938308A (zh) | 应用集群安全防护系统、方法、电子设备及存储介质 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN114205143A (zh) | 一种面向异构安全设备的智能化协同防御的方法及系统 | |
| CN112019519A (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN110768949B (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
| CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN111625700A (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
| CN113992371B (zh) | 一种流量日志的威胁标签生成方法、装置及电子设备 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN116633580A (zh) | Ids攻击日志分析方法、装置、设备及介质 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |