网络分析攻击回溯的方法及网络安全设备转让专利
申请号 : CN201510520780.7
文献号 : CN105208000B
文献日 : 2019-02-22
发明人 : 王本春
申请人 : 深信服网络科技(深圳)有限公司
摘要 :
本发明公开了一种网络分析攻击回溯的方法及网络安全设备,网络分析攻击回溯的方法包括:网络安全设备收集多维度的历史网络日志;当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据;将所述网络攻击数据整理为本次网络攻击对应的安全事件,本发明能够自动获取到准确的网络攻击数据,大大降低了网络安全事件的分析难度,为网络的安全防范提供良好的条件。
权利要求 :
1.一种网络分析攻击回溯的方法,其特征在于,包括:
网络安全设备收集多维度的历史网络日志;
当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据;
将所述网络攻击数据整理为本次网络攻击对应的安全事件;
所述当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据,包括:当检测到网络攻击时,将预先获取的攻击模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配;当匹配成功时,根据匹配的结果获取一次攻击事件。
2.如权利要求1所述的网络分析攻击回溯的方法,其特征在于,所述当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据的步骤包括:收集所述历史网络日志中的漏洞,基于检测到的网路攻击,当判断出所述漏洞中存在与本次网络攻击对应的漏洞时,从所述本次网络日志及所述本次网路攻击对应的漏洞的历史网络日志中获取攻击设备的IP地址;
和/或,
当检测到内网终端执行异常网络行为时,获取所述内网终端本次执行异常网络行为的网络日志,根据本次执行异常网络行为的网络日志及历史网络日志获取攻击链。
3.如权利要求1或2所述的网络分析攻击回溯的方法,其特征在于,在所述将所述网络攻击数据整理为本次网络攻击对应的安全事件的步骤之后还包括:在接收到内网终端的查看指令时,将所述安全事件发送给所述内网终端,以供所述内网终端进行显示。
4.如权利要求1或2所述的网络分析攻击回溯的方法,其特征在于,在所述将所述网络攻击数据整理为本次网络攻击对应的安全事件的步骤之后还包括:根据所述安全事件进行安全防护。
5.一种网络安全设备,其特征在于,包括:
收集模块,用于收集多维度的历史网络日志;
回溯分析模块,用于当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据;
整理模块,用于将所述网络攻击数据整理为本次网络攻击对应的安全事件;
所述回溯分析模块,还用于当检测到网络攻击时,将预先获取的攻击模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配;当匹配成功时,根据匹配的结果获取一次攻击事件。
6.如权利要求5所述的网络安全设备,其特征在于,所述回溯分析模块包括:第一回溯分析单元,用于收集所述历史网络日志中的漏洞,基于检测到的网路攻击,当判断出所述漏洞中存在与本次网络攻击对应的漏洞时,从所述本次网络日志及所述本次网路攻击对应的漏洞的历史网络日志中获取攻击设备的IP地址;和/或第三回溯分析单元,用于当检测到内网终端执行异常网络行为时,获取所述内网终端本次执行异常网络行为的网络日志,根据本次执行异常网络行为的网络日志及历史网络日志获取攻击链。
7.如权利要求5或6所述的网络安全设备,其特征在于,所述网络安全设备还包括:发送模块,用于在接收到内网终端的查看指令时,将所述安全事件发送给所述内网终端,以供所述内网终端进行显示。
8.如权利要求5或6所述的网络安全设备,其特征在于,所述网络安全设备还包括:安全防护模块,用于根据所述安全事件进行安全防护。
说明书 :
网络分析攻击回溯的方法及网络安全设备
技术领域
[0001] 本发明涉及网络安全技术领域,尤其涉及一种网络分析攻击回溯的方法及网络安全设备。
背景技术
[0002] 目前,网络安全设备的安全检测方法很多,终端上产生的安全日志也很多,普通用户在面对这些安全日志时,不知道如何进行分析,也不知道哪些安全日志需要关注,哪些服务器或用户终端需要加强防范等;对于有网络安全经验的用户,需要通过手动搜索时间段及IP等较原始的方法来查看一些疑似网络攻击的安全日志,然后再通过其网络安全经验进行分析,确认网络攻击是否存在以及网络攻击的过程和影响范围,这种方法需要用户手动进行操作,效率很低;依据用户的经验进行分析,尤其是经验不足的用户,分析结果较为主观,无法保证准确性,可能较易遗漏一些已经上报的安全隐患,进而未能提前预防,从而可能造成网络安全事故。
[0003] 上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
[0004] 本发明的主要目的在于提供一种网络分析攻击回溯的方法及网络安全设备,旨在解决如何自动获取到准确的网络攻击数据的技术问题。
[0005] 为实现上述目的,本发明提供一种网络分析攻击回溯的方法,所述网络分析攻击回溯的方法包括以下步骤:
[0006] 网络安全设备收集多维度的历史网络日志;
[0007] 当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据;
[0008] 将所述网络攻击数据整理为本次网络攻击对应的安全事件。
[0009] 优选地,所述当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据的步骤包括:
[0010] 收集所述历史网络日志中的漏洞,基于检测到的网路攻击,当判断出所述漏洞中存在与本次网络攻击对应的漏洞时,从所述本次网络日志及所述本次网路攻击对应的漏洞的历史网络日志中获取攻击设备的IP地址;
[0011] 和/或,
[0012] 当检测到网络攻击时,将预先获取的攻击模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配;当匹配成功时,根据匹配的结果获取一次攻击事件;
[0013] 和/或,
[0014] 当检测到内网终端执行异常网络行为时,获取所述内网终端本次执行异常网络行为的网络日志,根据本次执行异常网络行为的网络日志及历史网络日志获取攻击链。
[0015] 优选地,在所述将所述网络攻击数据整理为本次网络攻击对应的安全事件的步骤之后还包括:
[0016] 在接收到内网终端的查看指令时,将所述安全事件发送给所述内网终端,以供所述内网终端进行显示。
[0017] 优选地,在所述将所述网络攻击数据整理为本次网络攻击对应的安全事件的步骤之后还包括:
[0018] 根据所述安全事件进行安全防护。
[0019] 此外,为实现上述目的,本发明还提供一种网络安全设备,所述网络安全设备包括:
[0020] 收集模块,用于收集多维度的历史网络日志;
[0021] 回溯分析模块,用于当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据;
[0022] 整理模块,用于将所述网络攻击数据整理为本次网络攻击对应的安全事件。
[0023] 优选地,所述回溯分析模块包括:
[0024] 第一回溯分析单元,用于收集所述历史网络日志中的漏洞,基于检测到的网路攻击,当判断出所述漏洞中存在与本次网络攻击对应的漏洞时,从所述本次网络日志及所述本次网路攻击对应的漏洞的历史网络日志中获取攻击设备的IP地址;和/或[0025] 第二回溯分析单元,用于当检测到网络攻击时,将预先获取的攻击模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配;若是,则根据匹配的结果获取一次攻击事件;和/或
[0026] 第三回溯分析单元,用于当检测到内网终端执行异常网络行为时,获取所述内网终端本次执行异常网络行为的网络日志,根据本次执行异常网络行为的网络日志及历史网络日志获取攻击链。
[0027] 优选地,所述网络安全设备还包括:
[0028] 发送模块,用于在接收到内网终端的查看指令时,将所述安全事件发送给所述内网终端,以供所述内网终端进行显示。
[0029] 优选地,所述网络安全设备还包括:
[0030] 安全防护模块,用于根据所述安全事件进行安全防护。
[0031] 本发明实施例提供了一种网络分析攻击回溯的方法及网络安全设备,通过多维度的方式收集网络日志,基于回溯分析的方法对网络日志进行深度挖掘,将分散的大量网络日志进行关联,整理归并成直观的对应网络攻击数据的安全事件,不需要用户进行手动操作并依据个人的网络安全经验进行安全分析,能够自动获取到准确的网络攻击数据,大大降低了网络安全事件的分析难度,为网络的安全防范提供良好的条件。
附图说明
[0032] 图1为本发明网络分析攻击回溯的方法第一实施例的流程示意图;
[0033] 图2为图1中当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据的步骤的细化流程示意图;
[0034] 图3为本发明网络分析攻击回溯的方法第二实施例的流程示意图;
[0035] 图4为本发明网络分析攻击回溯的方法第三实施例的流程示意图;
[0036] 图5为本发明网络安全设备第一实施例的功能模块示意图;
[0037] 图6为本发明网络安全设备第二实施例的功能模块示意图;
[0038] 图7为本发明网络安全设备第三实施例的功能模块示意图。
[0039] 本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0040] 应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0041] 本发明提供一种网络分析攻击回溯的方法,参照图1,在一实施例中,该网络分析攻击回溯的方法包括:
[0042] S1步骤,网络安全设备收集多维度的历史网络日志。
[0043] 本实施例中,网络安全设备收集历史网络日志,所收集的历史网络日志包括但不限于:服务器存在的业务系统(例如IIS(Internet Information Services,互联网信息服务)、MYSQL)的日志,服务器遭受的各种攻击所产生的日志、服务器主动发起的异常链接的日志、内网终端访问非法链接产生的日志、内网终端发起的异常链接的日志等。
[0044] 本实施例中,通过多维度收集历史网络日志,历史网络日志的收集维度越大,数量越多,越能准确的还原出黑客进行网络攻击的过程和手段。
[0045] S2步骤,当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据。
[0046] 本实施例中,当检测到网络攻击时,获取本次受到的网络攻击产生的网络日志,通过本次网络日志及历史网络日志进行数据挖掘等形式的回溯分析,以回溯出网络攻击的过程数据,回溯分析的方法包括但不限定于:将本次网络攻击与历史网络日志中的漏洞结合,回溯分析出网络攻击数据;通过找出黑客进行网络攻击的特征,将该特征与网络日志进行网络行为的匹配,回溯分析出黑客进行网络攻击的网络攻击数据;对所有的网络日志进行回溯分析,获取到整个攻击链的网络攻击数据等等。
[0047] 本实施例中可以采用上述的任一种回溯分析的方法,也可以采用这些回溯分析的方法的组合来获取到网络攻击数据。
[0048] S3步骤,将所述网络攻击数据整理为本次网络攻击对应的安全事件。
[0049] 本实施例中,将所获取的网络攻击数据整理为本次网络攻击对应的安全事件,这样,在用户查看时,能够直观地查看到一起的安全事件,使得用户只重点关注较少的安全事件,而不必对大量的安全日志进行分析。
[0050] 本实施例中,通过多维度的方式收集网络日志,基于回溯分析的方法对网络日志进行深度挖掘,将分散的大量网络日志进行关联,整理归并成直观的对应网络攻击数据的安全事件,不需要用户进行手动操作并依据个人的网络安全经验进行安全分析,能够自动获取到准确的网络攻击数据,大大降低了网络安全事件的分析难度,为网络的安全防范提供良好的条件。
[0051] 在一优选的实施例中,如图2所示,在上述图1的实施例的基础上,上述S2步骤包括:
[0052] S21步骤,收集所述历史网络日志中的漏洞,基于检测到的网路攻击,当判断出所述漏洞中存在与本次网络攻击对应的漏洞时,从所述本次网络日志及所述本次网路攻击对应的漏洞的历史网络日志中获取攻击设备的IP地址;和/或
[0053] S22步骤,当检测到网络攻击时,将预先获取的攻击模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配;当匹配成功时,根据匹配的结果获取一次攻击事件;和/或
[0054] S23步骤,当检测到内网终端执行异常网络行为时,获取所述内网终端本次执行异常网络行为的网络日志,根据本次执行异常网络行为的网络日志及历史网络日志获取攻击链。
[0055] 在S21步骤中,当检测到网络攻击时,收集历史网络日志中的漏洞,查看这些漏洞中是否存在与本次网络攻击对应的漏洞,如果不存在对应的漏洞,则认为本次网络攻击是探测性的网络攻击;如果存在对应的漏洞,则认为本次网络攻击是有效性的网络攻击,同时该对应的漏洞被标记为有效漏洞。
[0056] 通过以上方法,将有效性网络攻击与有效漏洞关联结合,得出已经被黑客发现和利用的漏洞。这些网络攻击和对应的漏洞,是优先需要进行安全防护处理的,以弥补已经发生的网络攻击和预防下次针对这些漏洞的网络攻击。
[0057] 然后进一步分析本次网络日志及该漏洞对应的历史网络日志,找到攻击设备所使用的IP地址,进而找到黑客针对这些服务系统进行了哪些网络攻击,最终回溯分析得到系列的网络攻击数据。
[0058] 在S22步骤中,预先提取黑客常用的网络攻击手段和攻击过程的特征,抽象出具体的模板。当检测到网络攻击时,将该模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配,进而识别哪些网络日志是针对内网服务器进行的网络攻击事件,哪些网络日志只是没有目的性的扫描。
[0059] 当一系列的网络日志与模板匹配成功时,这些网络日志即被认为是一次攻击事件。将这一系列的网络日志整理归纳,即可得到系列的网络攻击数据。
[0060] 在S23步骤中,当检测到内网终端(即局域网中的终端)执行异常网络行为时,例如检测到内网终端用户访问了不安全的链接、内网终端下载的文件存在病毒、内网终端存在的异常链接,连接指挥控制服务器、内网终端发起其他攻击或被盗取重要信息和资料等网络行为时,获取内网终端本次执行异常网络行为的网络日志,对内网终端异常网络行为进行综合分析,同时分析历史网络日志,找出内网终端被控制的整个过程,即找出从内网终端被诱导访问不安全链接到下载病毒或木马、到被黑客控制、最终成为傀儡对其他服务器发起网络攻击或泄露信息的整个过程,形成攻击链,然后将相关的网络日志整理归纳,可得到系列的网络攻击数据,即还原出整个内网终端被网络攻击的过程。
[0061] 在本实施例中,可以采用上述的S21、S22或S23步骤的任意一种方式来进行回溯分析得到系列的网络攻击数据,也可以采用这三种方式的组合得到系列的网络攻击数据。
[0062] 本实施例中,通过对网络日志的深度数据挖掘,能够将网络安全设备所保护的内网用户(如服务器或终端)所受到的网络攻击进行回溯分析,得到系列的网络攻击数据,并整理为安全事件,不需要用户进行手动操作并依据个人的网络安全经验进行安全分析,能够自动获取到准确的网络攻击数据。
[0063] 在一优选的实施例中,如图3所示,在上述图1的实施例的基础上,还包括:S4,在接收到内网终端的查看指令时,将所述安全事件发送给所述内网终端,以供所述内网终端进行显示。
[0064] 本实施例中,当进行回溯分析得到网络攻击数据对应的安全事件后,在接收到内网终端的查看指令时,将安全事件发送给内网终端,内网终端显示安全事件,通过这种方式,用户在查看具体安全防护事件时再将遭受攻击的详细网络攻击数据清晰明确的展现在用户面前,使用户只关注少量的安全防护事件,省时省力。
[0065] 在一优选的实施例中,如图4所示,在上述图1的实施例的基础上,还包括:S4,根据所述安全事件进行安全防护。
[0066] 本实施例中,根据安全事件进行安全防护,根据上述的攻击设备所使用的IP地址或者所形成的攻击链等进行有针对性的安全防护,能够有效地进行安全防护,防止发生遗漏而造成网络攻击事故。
[0067] 本发明还提供一种网络安全设备,如图5所示,在一实施例中,所述网络安全设备包括:
[0068] 收集模块101,用于收集多维度的历史网络日志;
[0069] 本实施例中,网络安全设备收集历史网络日志,所收集的历史网络日志包括但不限于:服务器存在的业务系统(例如IIS(Internet Information Services,互联网信息服务)、MYSQL)的日志,服务器遭受的各种攻击所产生的日志、服务器主动发起的异常链接的日志、内网终端访问非法链接产生的日志、内网终端发起的异常链接的日志等。
[0070] 本实施例中,通过多维度收集历史网络日志,历史网络日志的收集维度越大,数量越多,越能准确的还原出黑客进行网络攻击的过程和手段。
[0071] 回溯分析模块102,用于当检测到网络攻击时,获取本次网络日志,根据所述本次网络日志及所述历史网络日志进行回溯分析,并根据回溯分析的结果获取网络攻击数据。
[0072] 本实施例中,当检测到网络攻击时,获取本次受到的网络攻击产生的网络日志,通过本次网络日志及历史网络日志进行数据挖掘等形式的回溯分析,以回溯出网络攻击的过程数据,回溯分析的方法包括但不限定于:将本次网络攻击与历史网络日志中的漏洞结合,回溯分析出网络攻击数据;通过找出黑客进行网络攻击的特征,将该特征与网络日志进行网络行为的匹配,回溯分析出黑客进行网络攻击的网络攻击数据;对所有的网络日志进行回溯分析,获取到整个攻击链的网络攻击数据等等。
[0073] 本实施例中可以采用上述的任一种回溯分析的方法,也可以采用这些回溯分析的方法的组合来获取到网络攻击数据。
[0074] 整理模块103,用于将所述网络攻击数据整理为本次网络攻击对应的安全事件。
[0075] 本实施例中,将所获取的网络攻击数据整理为本次网络攻击对应的安全事件,这样,在用户查看时,能够直观地查看到一起起的安全事件,使得用户只重点关注较少的安全事件,而不必对大量的安全日志进行分析。
[0076] 本实施例中,通过多维度的方式收集网络日志,基于回溯分析的方法对网络日志进行深度挖掘,将分散的大量网络日志进行关联,整理归并成直观的对应网络攻击数据的安全事件,不需要用户进行手动操作并依据个人的网络安全经验进行安全分析,能够自动获取到准确的网络攻击数据,大大降低了网络安全事件的分析难度,为网络的安全防范提供良好的条件。
[0077] 在一优选的实施例中,在上述图5的实施例的基础上,所述回溯分析模块102包括:
[0078] 第一回溯分析单元,用于收集所述历史网络日志中的漏洞,基于检测到的网路攻击,当判断出所述漏洞中存在与本次网络攻击对应的漏洞时,从所述本次网络日志及所述本次网路攻击对应的漏洞的历史网络日志中获取攻击设备的IP地址;和/或[0079] 第二回溯分析单元,用于当检测到网络攻击时,将预先获取的攻击模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配;当匹配成功时,根据匹配的结果获取一次攻击事件;和/或
[0080] 第三回溯分析单元,用于当检测到内网终端执行异常网络行为时,获取所述内网终端本次执行异常网络行为的网络日志,根据本次执行异常网络行为的网络日志及历史网络日志获取攻击链。
[0081] 在第一回溯分析单元中,当检测到网络攻击时,收集所述历史网络日志中的漏洞,查看这些漏洞中是否存在与本次网络攻击对应的漏洞,如果不存在对应的漏洞,则认为本次网络攻击是探测性的网络攻击;如果存在对应的漏洞,则认为本次网络攻击是有效性的网络攻击,同时该对应的漏洞被标记为有效漏洞。
[0082] 通过以上方法,将有效性网络攻击与有效漏洞关联结合,得出已经被黑客发现和利用的漏洞。这些网络攻击和对应的漏洞,是优先需要进行安全防护处理的,以弥补已经发生的网络攻击和预防下次针对这些漏洞的网络攻击。
[0083] 然后进一步分析本次网络日志及该漏洞对应的历史网络日志,找到攻击设备所使用的IP地址,进而找到黑客针对这些服务系统进行了哪些网络攻击,最终回溯分析得到系列的网络攻击数据。
[0084] 在第二回溯分析单元中,预先提取黑客常用的网络攻击手段和攻击过程的特征,抽象出具体的模板。当检测到网络攻击时,将该模板与本次网络攻击产生的网络日志及历史网络日志进行网络行为匹配,进而识别哪些网络日志是针对内网服务器进行的网络攻击事件,哪些网络日志只是没有目的性的扫描。
[0085] 当一系列的网络日志与模板匹配成功时,这些网络日志即被认为是一次攻击事件。将这一系列的网络日志整理归纳,即可得到系列的网络攻击数据。
[0086] 在第三回溯分析单元中,当检测到内网终端执行异常网络行为时,例如检测到内网终端用户访问了不安全的链接、内网终端下载的文件存在病毒、内网终端存在的异常链接,连接指挥控制服务器、内网终端发起其他攻击或被盗取重要信息和资料等网络行为时,获取内网终端本次执行异常网络行为的网络日志,对内网终端异常网络行为进行综合分析,同时分析历史网络日志,找出内网终端被控制的整个过程,即找出从内网终端被诱导访问不安全链接到下载病毒或木马、到被黑客控制、最终成为傀儡对其他服务器发起网络攻击或泄露信息的整个过程,形成攻击链,然后将相关的网络日志整理归纳,可得到系列的网络攻击数据,即还原出整个内网终端被网络攻击的过程。
[0087] 在本实施例中,可以采用上述的第一回溯分析单元、第二回溯分析单元、第三回溯分析单元中的任意一种方式来进行回溯分析得到系列的网络攻击数据,也可以采用这三种方式的组合得到系列的网络攻击数据。
[0088] 本实施例中,通过对网络日志的深度数据挖掘,能够将网络安全设备所保护的内网用户(如服务器或终端)所受到的网络攻击进行回溯分析,得到系列的网络攻击数据,并整理为安全事件,不需要用户进行手动操作并依据个人的网络安全经验进行安全分析,能够自动获取到准确的网络攻击数据。
[0089] 在一优选的实施例中,如图6所示,在上述图5的实施例的基础上,所述网络安全设备还包括:
[0090] 发送模块104,用于在接收到内网终端的查看指令时,将所述安全事件发送给所述内网终端,以供所述内网终端进行显示。
[0091] 本实施例中,当进行回溯分析得到网络攻击数据对应的安全事件后,在接收到内网终端的查看指令时,将安全事件发送给内网终端,内网终端显示安全事件,通过这种方式,用户在查看具体安全防护事件时再将遭受攻击的详细网络攻击数据清晰明确的展现在用户面前,使用户只关注少量的安全防护事件,省时省力。
[0092] 在一优选的实施例中,如图7所示,在上述图5的实施例的基础上,所述网络安全设备还包括:
[0093] 安全防护模块105,用于根据所述安全事件进行安全防护。
[0094] 本实施例中,根据安全事件进行安全防护,根据上述的攻击设备所使用的IP地址或者所形成的攻击链等进行有针对性的安全防护,能够有效地进行安全防护,防止发生遗漏而造成网络攻击事故。
[0095] 以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。