[发明专利]基于时间线的网络安全事件过程分析方法及系统有效
| 申请号: | 201710802670.9 | 申请日: | 2017-09-07 |
| 公开(公告)号: | CN107454103B | 公开(公告)日: | 2021-02-26 |
| 发明(设计)人: | 梅岳星;范渊;黄进 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京超凡志成知识产权代理事务所(普通合伙) 11371 | 代理人: | 张海洋 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 时间 网络安全 事件 过程 分析 方法 系统 | ||
1.一种基于时间线的网络安全事件过程分析方法,其特征在于,所述方法包括:
获取被攻击对象的日志文件位置,其中,所述被攻击对象为与所述网络安全事件相关的对象;
读取位于所述日志文件位置处的日志文件;
根据日志时间线算法对所述日志文件中的内容进行分析,以得到所述网络安全事件中攻击对象的攻击路径,其中,所述攻击对象为对所述被攻击对象进行攻击的对象;
其中,根据日志时间线算法对所述日志文件中的内容进行分析包括:
获取所述日志文件中各个访问日志记录的访问时间戳,其中,所述访问时间戳用于表示所述访问日志记录的访问时间;
根据所述访问时间戳的时间先后顺序,对所述访问日志记录进行排序,得到第一结果;
对所述第一结果进行IP过滤筛选,以在所述第一结果中去除目标访问日志记录,得到第二结果,其中,所述目标访问日志记录与所述网络安全事件无关的访问日志记录;
将攻击事件特征库与所述第二结果中的访问日志记录进行对比,以根据对比结果确定所述网络安全事件中攻击对象的攻击路径,其中,所述对比结果用于表征所述第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录,所述攻击事件特征库为包含所述攻击事件的特征信息的数据库,所述特征信息至少包括攻击事件名称和/或危害等级;
其中,将攻击事件特征库与所述第二结果中的访问日志记录进行对比,以根据对比结果确定所述网络安全事件中攻击对象的攻击路径包括:
如果所述对比结果为所述第二结果中的访问日志记录为所述攻击事件所生成的访问日志记录,则根据所述对比结果生成网络攻击记录,其中,所述网络攻击记录中至少包括:所述第二结果中的访问日志记录的信息,所述特征信息;
确定与所述网络攻击记录相对应的目标被攻击对象;
按照所述访问时间戳的时间先后顺序,对所述目标被攻击对象的所述网络攻击记录进行排序,得到所述网络安全事件中攻击对象的攻击路径。
2.根据权利要求1所述的方法,其特征在于,所述被攻击对象包括:网络设备。
3.根据权利要求1所述的方法,其特征在于,确定与所述网络攻击记录相对应的目标被攻击对象包括:
根据所述日志文件的格式确定与所述访问日志记录对应的所述目标被攻击对象,其中,所述日志文件的格式与所述被攻击对象相关联;
控制所述网络攻击记录继承所述目标被攻击对象。
4.根据权利要求1所述的方法,其特征在于,在根据所述对比结果生成网络攻击记录之后,在确定与所述网络攻击记录相对应的目标被攻击对象之前,所述方法还包括:
将所述网络攻击记录保存至数据库;
对所述网络攻击记录进行拆解,以分别按照所述网络攻击记录的IP地址、所述网络攻击记录的端口、所述网络攻击记录的攻击事件名称和所述网络攻击记录的危害等级进行显示。
5.根据权利要求1所述的方法,其特征在于,在根据日志时间线算法对所述日志文件中的内容进行分析,以得到所述网络安全事件中攻击对象的攻击路径之后,所述方法还包括:
根据所述网络安全事件中攻击对象的攻击路径生成分析报告,其中,所述分析报告用于以列表形式表示所述网络安全事件的发生过程。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710802670.9/1.html,转载请声明来源钻瓜专利网。
