[发明专利]基于时间线的网络安全事件过程分析方法及系统

说明书

本发明提供了一种基于时间线的网络安全事件过程分析方法及系统，该方法包括：获取被攻击对象的日志文件位置；读取位于日志文件位置处的日志文件；根据日志时间线算法对日志文件中的内容进行分析，以得到网络安全事件中攻击对象的攻击路径。本发明中的基于时间线的网络安全事件过程分析方法能够自动对日志文件中的内容进行分析，更加智能，提高了效率，并且，是通过日志时间线算法对日志文件中的内容进行的分析，能够得到网络安全事件中攻击对象的攻击路径，缓解了传统人工分析方法无法对攻击对象的攻击路径进行还原，并且分析效率低下，智能程度差的技术问题。

技术领域

本发明涉及信息安全的技术领域，尤其是涉及一种基于时间线的网络安全事件过程分析方法及系统。

背景技术

黑客攻击事件随着互联网的发展愈演愈烈，攻击手段及工具在互联网上可以随意获取。在受害群体方面，特别是政府网站及相关业务系统尤其受到黑客的攻击“青睐”，2015年度就较上一年度的攻击事件上涨了37％。人们迫切的想要知道黑客(即，攻击对象)攻击的途径，即黑客是如何通过层层设备从而实施对服务器的攻击的。

但是目前社会上的产品及提出的方法，均是针对安全事件后对某一个服务器或者设备进行取证(比如，人工查看被攻击服务器的日志，查看交换机的日志等)，然后人工对这些日志进行分析。

人工分析时，无法对黑客的攻击路径进行还原，并且人工分析过程效率低下，智能程度差。

发明内容

有鉴于此，本发明的目的在于提供基于时间线的网络安全事件过程分析方法及系统，以缓解人工对网络安全事件过程进行分析时，无法还原黑客的攻击路径，并且人工分析过程效率低下，智能程度差的技术问题。

第一方面，本发明实施例提供了一种基于时间线的网络安全事件过程分析方法，所述方法包括：

获取被攻击对象的日志文件位置，其中，所述被攻击对象为与所述网络安全事件相关的对象；

读取位于所述日志文件位置处的日志文件；

根据日志时间线算法对所述日志文件中的内容进行分析，以得到所述网络安全事件中攻击对象的攻击路径，其中，所述攻击对象为对所述被攻击对象进行攻击的对象。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述被攻击对象包括以下至少之一：网络设备，安全设备，服务器设备，应用系统，数据库，交换机，防火墙，路由器。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，根据日志时间线算法对所述日志文件中的内容进行分析包括：

获取所述日志文件中各个访问日志记录的访问时间戳，其中，所述访问时间戳用于表示所述访问日志记录的访问时间；

根据所述访问时间戳的时间先后顺序，对所述访问日志记录进行排序，得到第一结果；

对所述第一结果进行IP过滤筛选，以在所述第一结果中去除目标访问日志记录，得到第二结果，其中，所述目标访问日志记录与所述网络安全事件无关的访问日志记录；

将攻击事件特征库与所述第二结果中的访问日志记录进行对比，以根据对比结果确定所述网络安全事件中攻击对象的攻击路径，其中，所述对比结果用于表征所述第二结果中的访问日志记录是否为攻击事件所生成的访问日志记录，所述攻击事件特征库为包含所述攻击事件的特征信息的数据库，所述特征信息至少包括攻击事件名称和/或危害等级。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，将攻击事件特征库与所述第二结果中的访问日志记录进行对比，以根据对比结果确定所述网络安全事件中攻击对象的攻击路径包括：