[发明专利]一种告警日志关联的网络攻击事件分析方法及装置

说明书

本发明涉及一种告警日志关联的网络攻击事件分析方法，包括，S1、获取日志的原始文件并对原始文件预处理；S2、对预处理后的原始文件进行异常判断分析；根据判断分析结果，组建攻击规则指纹库，再逐步对攻击规则指纹库进行完善；S3、将攻击规则指纹库与告警日志的事件关联；再将联后的事件进行汇总、合并，组建告警事件库；S4、根据告警事件库，进行事件响应与处理，本发明还公开了一种告警日志关联的网络攻击事件分析装置。本发明能够组建攻击规则指纹库，同时通过特征属性系统化、概率统计方法、动态跟踪法等方法对攻击规则指纹库进行不断完善，从而确保及时应对不同的网络攻击事件。

技术领域

本发明涉及网络安全事件分析领域，更具体涉及一种告警日志关联的网络攻击事件分析方法及装置。

背景技术

随着公司信息化建设不断深入完善，在公司内部形成了庞大的信息网络。在互联网上危害较大的多种恶意代码(僵尸网络、木马、勒索软件等)也在不断威胁着信息网络，各种主机以及终端设备中也可能潜伏着多种恶意代码，如果不及时解决，这些恶意代码问题，会给公司的信息化建设带来不良后果，如公司人员信息泄露、公司内部机密文件泄露等等。

由于全网主机和终端设备数量多，分布范围广、用户安全意识层次不齐，看似平静的信息网络中充斥着各类高危的主机和高危的终端设备，如何及时准确发现信息网络内存在的各类高危的主机和高危的终端设备是亟待解决的技术问题。

发明内容

本发明所要解决的技术问题在于提供一种告警日志关联的网络攻击事件分析方法及装置，以及时准确发现信息网络内存在的各类高危的主机和高危的终端设备。

为解决上述问题，本发明提供如下技术方案：

一种告警日志关联的网络攻击事件分析方法，包括：

S1、获取日志的原始文件并对原始文件预处理；

S2、对预处理后的原始文件进行异常判断分析；根据判断分析结果，组建攻击规则指纹库，再对攻击规则指纹库进行完善及更新；

S3、将攻击规则指纹库与告警日志的事件关联；再将联后的事件进行汇总、合并，组建告警事件库；

S4、根据告警事件库，进行事件响应与处理。

作为本发明进一步的方案：所述步骤S1中获取原始文件包括：

1)通过核心交换机端口镜像技术对信息网络中的网络流量信息进行采集，并生成pcap文件；

2)采集桌管系统、防病毒系统、IDS、WAF、防火墙、攻击溯源系统、漏洞扫描设备数据的syslog日志。

作为本发明进一步的方案：所述步骤S1中原始文件预处理包括：

应用大数据平台对pcap文件进行剥离预处理，将pcap文件细化分为访问目标IP地址、访问源IP地址、源端口、目的端口、网络协议；

应用大数据平台对syslog日志进行剥离预处理，预处理包括事件格式统一化、无用安全事件的过滤、重复事件归并处理，从而形成了统一的事件文件。

作为本发明进一步的方案：所述步骤S2包括：

所述组建攻击规则指纹库包括：

建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库；建立被动高危主机的攻击规则指纹库或者被动高危的终端设备的攻击规则指纹库、建立远程控制的高危主机的攻击规则指纹库或者远程控制的高危主机的终端设备的攻击规则指纹库，建立脱管主机的攻击规则指纹库或者脱管的终端设备的攻击规则指纹库，其中，

建立主动恶意高危主机的攻击规则指纹库或者恶意高危的终端设备的攻击规则指纹库，包括：