一種基于日志分析功能的安全事件回溯方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及日志分析技術(shù)領(lǐng)域�����,尤其涉及一種基于日志分析功能的安全事件回溯方法及系統(tǒng)����。
【背景技術(shù)】
[0002]企業(yè)內(nèi)部的網(wǎng)絡(luò)信息管理系統(tǒng)中會(huì)設(shè)置有多臺(tái)安全設(shè)備,每臺(tái)安全設(shè)備都是相互獨(dú)立的����,每臺(tái)安全設(shè)備發(fā)生的信息安全事故都可以看做是一個(gè)獨(dú)立事件,企業(yè)中發(fā)生了信息安全問題�����,比如黑客已突破互聯(lián)網(wǎng)防御邊界����,進(jìn)入到企業(yè)內(nèi)部網(wǎng)絡(luò),并在內(nèi)部網(wǎng)絡(luò)進(jìn)行一定的活動(dòng)�,或許安全管理員能知道黑客入侵了某核心系統(tǒng)或某資產(chǎn),比如A設(shè)備被攻擊�,管理員已經(jīng)知曉,但是否攻擊成功管理員并不清楚��,或者黑客利用漏洞進(jìn)入到B設(shè)備��,對(duì)設(shè)備是否進(jìn)行了相應(yīng)的操作���,這個(gè)也無(wú)法及時(shí)獲悉��,即對(duì)其在內(nèi)網(wǎng)的其他活動(dòng)并未能進(jìn)行關(guān)聯(lián)�����。即使針對(duì)某核心系統(tǒng)進(jìn)行了安全防護(hù)處理���,也只是治標(biāo)不治本。
[0003]有鑒于此�,現(xiàn)有技術(shù)有待改進(jìn)和提尚�。
【發(fā)明內(nèi)容】
[0004]鑒于上述現(xiàn)有技術(shù)的不足之處�,本發(fā)明的目的在于提供一種基于日志分析功能的安全事件回溯方法及系統(tǒng),旨在解決現(xiàn)有企業(yè)信息安全問題中存在的治標(biāo)不治本的問題����。
[0005]為了達(dá)到上述目的,本發(fā)明采取了以下技術(shù)方案:
[0006]一種基于日志分析功能的安全事件回溯方法�����,其中�,所述方法包括以下步驟:
[0007]S100、采集日志��,并設(shè)定回溯條件��;
[0008]S200�、根據(jù)所述回溯條件對(duì)日志進(jìn)行匹配提取,得到滿足所述回溯條件的日志��;
[0009]S300����、從滿足回溯條件的日志中選取某個(gè)日志結(jié)果進(jìn)行安全回溯。
[0010]所述的基于日志分析功能的安全事件回溯方法,其中��,所述步驟SlOO中回溯條件具體包括:設(shè)置所需的安全事件回溯時(shí)間范圍����;以及設(shè)置發(fā)生攻擊的源IP或被攻擊的目標(biāo)IPo
[0011]所述的基于日志分析功能的安全事件回溯方法���,其中�����,所述步驟S300中選取某個(gè)日志結(jié)果進(jìn)行安全回溯具體包括:選取第η個(gè)日志結(jié)果進(jìn)行安全回溯后��,將第η個(gè)日志結(jié)果的目標(biāo)IP作為第η+1個(gè)日志結(jié)果的源ΙΡ����,以此類推��,從而將多個(gè)日志結(jié)果串成了一條或多條安全事件鏈路���;
[0012]其中�,第η+1個(gè)日志結(jié)果的時(shí)間早于第η個(gè)日志結(jié)果的時(shí)間��,η為自然數(shù)。
[0013]一種基于日志分析功能的安全事件回溯系統(tǒng)����,其中,包括:
[0014]設(shè)置單元����,用于采集日志,并設(shè)定回溯條件�;
[0015]匹配單元,用于根據(jù)所述回溯條件對(duì)日志進(jìn)行匹配提取�,得到滿足所述回溯條件的日志;
[0016]回溯單元���,用于從滿足回溯條件的日志中選取某個(gè)日志結(jié)果進(jìn)行安全回溯��。
[0017]所述的基于日志分析功能的安全事件回溯系統(tǒng)���,其中,所述設(shè)置單元中回溯條件具體包括:設(shè)置所需的安全事件回溯時(shí)間范圍����;以及設(shè)置發(fā)生攻擊的源IP或被攻擊的目標(biāo)IPo
[0018]所述的基于日志分析功能的安全事件回溯系統(tǒng),其中�,所述回溯單元中選取某個(gè)日志結(jié)果進(jìn)行安全回溯具體包括:選取第η個(gè)日志結(jié)果進(jìn)行安全回溯后��,將第η個(gè)日志結(jié)果的目標(biāo)IP作為第η+1個(gè)日志結(jié)果的源ΙΡ����,以此類推�����,從而將多個(gè)日志結(jié)果串成了一條或多條安全事件鏈路�;
[0019]其中��,第η+1個(gè)日志結(jié)果的時(shí)間早于第η個(gè)日志結(jié)果的時(shí)間���,η為自然數(shù)����。
[0020]有益效果:本發(fā)明提供的基于日志分析功能的安全事件回溯方法及系統(tǒng)���,基于日志分析功能�����,對(duì)于已實(shí)切發(fā)生的安全事件進(jìn)行回溯����,以目標(biāo)源為起點(diǎn),一直追溯至互聯(lián)網(wǎng)邊界��,黑客在此過程中觸發(fā)的安全事件根據(jù)時(shí)間點(diǎn)連成一條或多條安全事件鏈路���,鏈路為黑客潛在攻擊點(diǎn)��。安全管理員可根據(jù)鏈路進(jìn)行分析從而得出實(shí)際的攻擊過程��,后續(xù)針對(duì)實(shí)際情況進(jìn)行相應(yīng)的安全防護(hù)處理�����,可大大提高企業(yè)內(nèi)部的安全等級(jí)�����,具有很好的市場(chǎng)推廣應(yīng)用前景���。
【附圖說明】
[0021]圖1為本發(fā)明的基于日志分析功能的安全事件回溯方法的流程圖。
[0022]圖2為本發(fā)明的基于日志分析功能的安全事件回溯系統(tǒng)的結(jié)構(gòu)框圖�。
【具體實(shí)施方式】
[0023]本發(fā)明提供一種基于日志分析功能的安全事件回溯方法及系統(tǒng)。為使本發(fā)明的目的���、技術(shù)方案及效果更加清楚���、明確���,以下參照附圖并舉實(shí)施例對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解���,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明�����,并不用于限定本發(fā)明���。
[0024]本發(fā)明的思路是:提供一種根據(jù)事件點(diǎn)將多個(gè)攻擊目標(biāo)串接成一條或多條追蹤鏈路從而找出攻擊者真正位置的基于日志分析功能的安全事件回溯方法��。
[0025]本發(fā)明提供的一種基于日志分析功能的安全事件回溯方法�����,如圖1所示��,包括如下步驟:
[0026]S100��、采集日志,并設(shè)定回溯條件����;
[0027]S200、根據(jù)所述回溯條件對(duì)日志進(jìn)行匹配提取�����,得到滿足所述回溯條件的日志�;
[0028]S300、從滿足回溯條件的日志中選取某個(gè)日志結(jié)果進(jìn)行安全回溯��。
[0029]下面分別針對(duì)上述步驟進(jìn)行具體描述��。
[0030]所述步驟SlOO為采集日志����,并設(shè)定回溯條件。首先�,進(jìn)行日志采集,其采集方法為現(xiàn)有技術(shù)����,可以由步驟S200中的日志分析匹配中得到的采集結(jié)果直接推動(dòng)得到。然后�����,設(shè)置回溯條件,即回溯應(yīng)當(dāng)滿足的要求�����,比如回溯時(shí)間等���。在本實(shí)施例中���,回溯條件具體包括:設(shè)置所需的安全事件回溯時(shí)間范圍(此為必要條件);以及設(shè)置發(fā)生攻擊的源IP或被攻擊的目標(biāo)IP�����。
[0031]所述步驟S200為根據(jù)所述回溯條件對(duì)日志進(jìn)行匹配提取�����,得到滿足所述回溯條件的日志���。具體來說,設(shè)置了回溯條件后���,便可以根據(jù)回溯條件對(duì)采集到的日志進(jìn)行匹配提取��,得到滿足所述回溯條件的日志���。并可以列出相應(yīng)的日志結(jié)果清單��。
[0032]所述步驟S300為從滿足回溯條件的日志中選取某個(gè)日志結(jié)果進(jìn)行安全回溯�。由于每個(gè)日志結(jié)果都具備源IP (攻擊者)和目標(biāo)IP (被攻擊者)��,所以可以將某個(gè)日志結(jié)果的目標(biāo)IP作為下一個(gè)目標(biāo)結(jié)果的源IP����,以此類推,從而將多個(gè)日志結(jié)果串成了一條或多條安全事件鏈路����。
[0033]進(jìn)一步地,在本實(shí)施例中���,在進(jìn)行安全事件鏈路的日志結(jié)果選擇時(shí)��,需要保證下一個(gè)日志結(jié)果的時(shí)間要早于前一個(gè)日志結(jié)果的時(shí)間�。比如:選取第η個(gè)日志結(jié)果進(jìn)行安全回溯后,將第η個(gè)日志結(jié)果的目標(biāo)IP作為第η+1個(gè)日志結(jié)果的源ΙΡ����,以此類推,從而將多個(gè)日志結(jié)果串成了一條或多條安全事件鏈路�����;其中����,第η+1個(gè)日志結(jié)果的時(shí)間早于第η個(gè)日志結(jié)果的時(shí)間,η為自然數(shù)���。
[0034]本發(fā)明還提供了一種基于日志分析功能的安全事件回溯系統(tǒng)���,如圖2所示,其包括:
[0035]設(shè)置單元100���,用于采集日志�,并設(shè)定回溯條件�����;
[0036]匹配單元200�,用于根據(jù)所述回溯條件對(duì)日志進(jìn)行匹配提取,得到滿足所述回溯條件的日志����;
[0037]回溯單元300,用于從滿足回溯條件的日志中選取某個(gè)日志結(jié)果進(jìn)行安全回溯����。
[0038]進(jìn)一步地,所述的基于日志分析功能的安全事件回溯系統(tǒng)中�,所述設(shè)置單元中回溯條件具體包括:設(shè)置所需的安全事件回溯時(shí)間范圍;以及設(shè)置發(fā)生攻擊的源IP或被攻擊的目標(biāo)IP���。
[0039]進(jìn)一步地���,所述的基于日志分析功能的安全事件回溯系統(tǒng)中,所述回溯單元中選取某個(gè)日志結(jié)果進(jìn)行安全回溯具體包括:選取第η個(gè)日志結(jié)果進(jìn)行安全回溯后�,將第η個(gè)日志結(jié)果的目標(biāo)IP作為第η+1個(gè)日志結(jié)果的源ΙΡ,以此類推���,從而將多個(gè)日志結(jié)果串成了一條或多條安全事件鏈路��;其中���,第η+1個(gè)日志結(jié)果的時(shí)間早于第η個(gè)日志結(jié)果的時(shí)間����,η為自然數(shù)����。
[0040]上述基于日志分析功能的安全事件回溯系統(tǒng)中的各個(gè)功能模塊的具體作用,都已經(jīng)在上述基于日志分析功能的安全事件回溯方法中進(jìn)行了介紹�,這里就不多做贅述了。
[0041]綜上所述�����,本發(fā)明提供的基于日志分析功能的安全事件回溯方法及系統(tǒng)�,基于日志分析功能,對(duì)于已實(shí)切發(fā)生的安全事件進(jìn)行回溯��,以目標(biāo)源為起點(diǎn)����,一直追溯至互聯(lián)網(wǎng)邊界,黑客在此過程中觸發(fā)的安全事件根據(jù)時(shí)間點(diǎn)連成一條或多條安全事件鏈路����,鏈路為黑客潛在攻擊點(diǎn)�。安全管理員可根據(jù)鏈路進(jìn)行分析從而得出實(shí)際的攻擊過程����,后續(xù)針對(duì)實(shí)際情況進(jìn)行相應(yīng)的安全防護(hù)處理�,可大大提高企業(yè)內(nèi)部的安全等級(jí),具有很好的市場(chǎng)推廣應(yīng)用前景��。
[0042]可以理解的是�����,對(duì)本領(lǐng)域普通技術(shù)人員來說,可以根據(jù)本發(fā)明的技術(shù)方案及本發(fā)明構(gòu)思加以等同替換或改變,而所有這些改變或替換都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍����。
【主權(quán)項(xiàng)】
1.一種基于日志分析功能的安全事件回溯方法,其特征在于����,所述方法包括以下步驟: S100���、采集日志���,并設(shè)定回溯條件�����; S200��、根據(jù)所述回溯條件對(duì)日志進(jìn)行匹配提取�����,得到滿足所述回溯條件的日志���; S300、從滿足回溯條件的日志中選取某個(gè)日志結(jié)果進(jìn)行安全回溯�。
2.根據(jù)權(quán)利要求1所述的基于日志分析功能的安全事件回溯方法,其特征在于����,所述步驟SlOO中回溯條件具體包括:設(shè)置所需的安全事件回溯時(shí)間范圍;以及設(shè)置發(fā)生攻擊的源IP或被攻擊的目標(biāo)IP��。
3.根據(jù)權(quán)利要求2所述的基于日志分析功能的安全事件回溯方法�,其特征在于,所述步驟S300中選取某個(gè)日志結(jié)果進(jìn)行安全回溯具體包括:選取第η個(gè)日志結(jié)果進(jìn)行安全回溯后����,將第η個(gè)日志結(jié)果的目標(biāo)IP作為第η+1個(gè)日志結(jié)果的源ΙΡ��,以此類推�,從而將多個(gè)日志結(jié)果串成了一條或多條安全事件鏈路�; 其中,第η+1個(gè)日志結(jié)果的時(shí)間早于第η個(gè)日志結(jié)果的時(shí)間��,η為自然數(shù)��。
4.一種基于日志分析功能的安全事件回溯系統(tǒng)���,其特征在于,包括: 設(shè)置單元����,用于采集日志,并設(shè)定回溯條件�����; 匹配單元��,用于根據(jù)所述回溯條件對(duì)日志進(jìn)行匹配提取�����,得到滿足所述回溯條件的日志; 回溯單元����,用于從滿足回溯條件的日志中選取某個(gè)日志結(jié)果進(jìn)行安全回溯。
5.根據(jù)權(quán)利要求4所述的基于日志分析功能的安全事件回溯系統(tǒng)����,其特征在于,所述設(shè)置單元中回溯條件具體包括:設(shè)置所需的安全事件回溯時(shí)間范圍�����;以及設(shè)置發(fā)生攻擊的源IP或被攻擊的目標(biāo)IP���。
6.根據(jù)權(quán)利要求5所述的基于日志分析功能的安全事件回溯系統(tǒng)�,其特征在于�����,所述回溯單元中選取某個(gè)日志結(jié)果進(jìn)行安全回溯具體包括:選取第η個(gè)日志結(jié)果進(jìn)行安全回溯后�����,將第η個(gè)日志結(jié)果的目標(biāo)IP作為第η+1個(gè)日志結(jié)果的源ΙΡ���,以此類推�,從而將多個(gè)日志結(jié)果串成了一條或多條安全事件鏈路; 其中����,第η+1個(gè)日志結(jié)果的時(shí)間早于第η個(gè)日志結(jié)果的時(shí)間,η為自然數(shù)�。
【專利摘要】本發(fā)明提供了一種基于日志分析功能的安全事件回溯方法及系統(tǒng),基于日志分析功能���,對(duì)于已實(shí)切發(fā)生的安全事件進(jìn)行回溯,以目標(biāo)源為起點(diǎn)���,一直追溯至互聯(lián)網(wǎng)邊界�,黑客在此過程中觸發(fā)的安全事件根據(jù)時(shí)間點(diǎn)連成一條或多條安全事件鏈路�,鏈路為黑客潛在攻擊點(diǎn)。安全管理員可根據(jù)鏈路進(jìn)行分析從而得出實(shí)際的攻擊過程�,后續(xù)針對(duì)實(shí)際情況進(jìn)行相應(yīng)的安全防護(hù)處理,可大大提高企業(yè)內(nèi)部的安全等級(jí)���,具有很好的市場(chǎng)推廣應(yīng)用前景����。
【IPC分類】H04L12-24, H04L29-06
【公開號(hào)】CN104836815
【申請(qǐng)?zhí)枴緾N201510293694
【發(fā)明人】艾解清, 龍震岳, 高尚
【申請(qǐng)人】廣東電網(wǎng)有限責(zé)任公司信息中心
【公開日】2015年8月12日
【申請(qǐng)日】2015年6月1日