[发明专利]一种基于Web日志的入侵研判方法及系统

权利要求书

1.一种基于Web日志的入侵研判方法，其特征在于，包括以下步骤：

根据默认分割符和默认引用符，切割原始日志，将原始日志切割为字段；

自动识别字段格式，进行字段格式的快速匹配，并解析统一处理存储到web日志库内；

分批读取入库的日志，进行日志匹配规则检测；所述日志的匹配规则检测包括：根据威胁情报规则判定web日志的访问者IP是否为恶意，对访问者IP为恶意的web日志增加恶意标签；根据IP信誉库判定web日志的访问者IP的IP信誉；根据关键字规则判定web日志的访问者IP的访问设备；根据安全检测规则，判定web日志的攻击类型；根据登陆检测规则，检测web日志是否存在登陆行为；

对完成匹配规则检测的日志进行更新，并写回web日志库；

根据web日志的攻击者IP和账号信息对带恶意标签的web日志进行聚合，生成web攻击事件，并根据同一IP在同一时间段内攻击、登录和下载行为，判定该入侵者是否攻击成功；

根据生成的web攻击时间和研判结果，根据人工确认的该次入侵的影响范围，生成和提交防护和处理报告。

2.根据权利要求1所述的基于Web日志的入侵研判方法，其特征在于，所述字段格式的快速匹配还包括：

针对同一批次中处理的第一个日志，根据识别的字段格式，给出推荐字段，发送至管理员以供管理员进行人工确认。

3.根据权利要求1所述的基于Web日志的入侵研判方法，其特征在于，所述IP信誉库内的IP信息包括IP来源和IP威胁类型。

4.根据权利要求3所述的基于Web日志的入侵研判方法，其特征在于，所述IP来源为境内家庭用户、境内IDC、外IDC或境外家庭用户；所述IP威胁类型为该IP历史进行过攻击、包含垃圾邮件或web攻击。

5.根据权利要求1所述的基于Web日志的入侵研判方法，其特征在于，所述用户的访问设备为爬虫访问、移动端设备访问或PC设备访问。

6.根据权利要求1所述的基于Web日志的入侵研判方法，其特征在于，所述日志的攻击类型为SQL注入攻击、XSS、PHP注入或JAVA漏洞注入。

7.根据权利要求1所述的基于Web日志的入侵研判方法，其特征在于，所述根据默认分割符和默认引用符切割原始日志，将原始日志切割为字段之前还包括：

设置默认分割符和默认引用符；所述默认分割符为逗号和空格，所述默认引用符为双引号、括号和单引号。

8.一种基于Web日志的入侵研判系统，其特征在于，包括：

解析模块，用于根据默认分割符和默认引用符将原始日志切割成字段，并自动识别字段的格式，对字段进行格式快速匹配，解析统一处理入库；

日志匹配规则引擎，用于根据规则对解析入库的日志进行规则匹配判定；

攻击聚合引擎，用于根据web日志的攻击者IP对完成规则匹配判定的web日志进行聚合，生成web日志事件，并判定是否攻击成功；

存储模块，用于存储日志和IP信誉库。

9.根据权利要求8所述的基于Web日志的入侵研判系统，其特征在于，所述日志匹配规则引擎包括：

威胁情报规则判定模块，用于根据威胁情报规则判定模块对解析入库的日志进行

IP信誉判定模块，用于根据IP信誉库对web日志的访问者IP进行信誉判定；

关键字规则判定模块，用于根据关键字规则通过日志的用户代理字段判定用户的访问设备；

安全检测规则模块，用于根据web日志的请求详情判定web日志的攻击类型；

登录检测规则模块，用于检测web日志是否存在登录行为。