一种网络安全事件溯源分析方法、装置、介质及电子设备与流程

1.本发明涉及网络安全技术领域，更具体地说，它涉及一种网络安全事件溯源分析方法、装置、介质及电子设备。


背景技术：

2.在网络日益发展的今天，安全隐患陡然增加，随着网络安全隐患的日益增加，安全攻击分析不再是单一的告警能够解决的问题，更多的需要一种分析方法可以快速的进行交互式关联分析，告别以单一告警为依据的分析，需要以多条件关联的方式进行分析。
3.因此，如何解决传统的网络安全单一分析解决不了事件误报是目前亟需解决的问题。


技术实现要素：

4.本发明所解决的技术问题是传统的网络安全单一分析解决不了事件误报，本发明的目的是提供一种网络安全事件溯源分析方法，本发明弥补了传统的单一告警所带来的误报以及无法全局溯源的问题，提高了安全分析的全局性、完整性、准确性。
5.本发明的上述技术目的是通过以下技术方案得以实现的：
6.第一方面，本发明提供一种网络安全事件溯源分析方法，包括以下步骤：
7.选取设备的告警入口，获取告警入口的五元组以及告警时间；
8.以五元组的同源ip地址为主元素获取若干个设备告警入口，根据告警时间和含有告警入口的设备ip地址绘制攻击拓扑溯源图。
9.进一步的，选取设备的告警入口，获取告警入口的五元组以及告警时间，根据五元组的源ip地址为主元素选取具有相同的源ip地址的另一个设备的告警入口，设备按照告警时间顺序进行排序。
10.进一步的，根据设备与另一个设备五元组的同源ip地址为主元素选取具有相同的源ip地址的第三个设备的告警入口，设备按照告警时间的先后顺序进行排序。
11.进一步的，根据三个设备的同源ip地址选取具有相同的源ip地址的第n个设备的告警入口，设备按照告警时间的先后顺序进行排序。
12.进一步的，对设备告警时间顺序进行排序获取攻击时间瀑布，以告警入口的设备ip为拓扑绘制依据获取攻击事件信息，结合攻击事件信息、告警时间顺序以及设备ip地址绘制攻击拓扑溯源图。
13.进一步的，对不同源ip地址的攻击事件信息进行分析获取告警日志数据，对告警日志数据进行预处理操作获取有效告警日志数据。
14.进一步的，预处理操作包括去除噪声、数据冗余或无效日志。
15.第二方面，本发明提供一种网络安全事件溯源分析装置，用以实现权利要求1-7任一项所述的一种网络安全事件溯源分析方法，装置包括：
16.数据获取模块，用于选取设备的告警入口，获取告警入口的五元组以及告警时间；
17.分析模块，用于以五元组的同源ip地址为主元素选取若干个设备告警入口，根据告警时间和设备ip地址绘制攻击拓扑溯源图。
18.第三方面，本发明提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述的一种网络安全事件溯源分析方法的步骤。
19.第四方面，本发明提供一种电子设备，包括：存储器，其上存储有计算机程序；以及处理器，用于执行所述存储器中的所述计算机程序，以实现所述的一种网络安全事件溯源分析方法。
20.与现有技术相比，本发明具有以下有益效果：
21.本发明选取入口告警，以同源ip选取另一个设备告警，以同源ip选取第三个设备告警；，以同源ip选取其他n个设备告警，形成攻击事件时间瀑布以及拓扑顺序。本发明弥补了传统的单一告警所带来的误报以及无法全局溯源的问题，提高了安全分析的全局性、完整性、准确性。
附图说明
22.此处所说明的附图用来提供对本发明实施例的进一步理解，构成本技术的一部分，并不构成对本发明实施例的限定。在附图中：
23.图1为本发明一实施例提供的网络安全事件溯源分析方法流程图；
24.图2为本发明一实施例提供的网络安全事件攻击溯源拓扑图；
25.图3为本发明一实施例提供的网络安全事件溯源分析装置各模块框架图；
具体实施方式
26.为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。
27.需说明的是，当部件被称为“固定于”或“设置于”另一个部件，它可以直接在另一个部件上或者间接在该另一个部件上。当一个部件被称为是“连接于”另一个部件，它可以是直接或者间接连接至该另一个部件上。
28.需要理解的是，术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
29.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
30.实施例一
31.本实施例一提供一种网络安全事件溯源分析方法，如图1所示，包括以下步骤：
32.s1，选取设备的告警入口，获取告警入口的五元组以及告警时间；
33.s2，以五元组的同源ip地址为主元素获取若干个设备告警入口，根据告警时间和
含有告警入口的设备ip地址绘制攻击拓扑溯源图。
34.具体的，在s1中，选取设备的一个告警入口，获取该告警入口的五元组以及告警时间；五元组包括源ip地址、源端口、目的ip地址、目的端口和传输层协议。
35.在s2中，以告警入口的五元组的同源ip地址为主元素获取若干个设备告警入口，根据告警时间和含有告警入口的设备ip地址绘制攻击拓扑溯源图。
36.以1个入口告警为主元素，通过五元组信息和时间为关联条件，形成全局n个设备告警的关联，形成以同源ip地址为主键的时间排序形成攻击时间瀑布，同时以告警设备的ip地址为拓扑依据，形成攻击溯源拓扑。
37.优先地，选取设备的告警入口，获取告警入口的五元组以及告警时间，根据五元组的源ip地址为主元素选取具有相同的源ip地址的另一个设备的告警入口，设备按照告警时间顺序进行排序。
38.具体的，如图2所示，图2为本发明一实施例提供的网络安全事件攻击溯源拓扑图，选取安全设备入口告警a的告警a1为入口告警，取其五元组信息以及时间，以a1告警信息五元组的源ip为主元素，以a1告警的生成时间为关联分析条件，取安全设备b的关联告警b1为关联事件，取其五元组和时间，以a1&b1的同源ip为主要关联元素，按照告警时间顺序进行排序。根据首次发生时间、最新发生时间，查看设备在某个时间段发生了何种行为，查看关联设备是否有异常行为，判断是否连接了其余设备资产。通过多种视角线索，在攻击面与被攻击面之间寻找隐藏的线索关联，分析出具体的一个攻击链行为。
39.优先地，根据设备与另一个设备五元组的同源ip地址为主元素选取具有相同的源ip地址的第三个设备的告警入口，设备按照告警时间的先后顺序进行排序。
40.具体的，如图2所示，图2为本发明一实施例提供的网络安全事件攻击溯源拓扑图，以a1&b1的同源ip为主元素，以a1&b1告警的生成时间为关联分析条件，取安全设备c的关联告警c1为关联事件，取其五元组和时间，以a1&b1&c1的同源ip为主要关联元素，按照告警时间顺序进行排序。
41.优先地，根据三个设备的同源ip地址选取具有相同的源ip地址的第n个设备的告警入口，设备按照告警时间的先后顺序进行排序。
42.具体的，如图2所示，图2为本发明一实施例提供的网络安全事件攻击溯源拓扑图，以a1&b1&c1的同源ip为主要关联元素，以a1&b1&c1告警的生成时间为关联分析条件，取安全设备n的关联告警n1为关联事件，取其五元组和时间，以a1&b1&c1&n1的同源ip为主要关联元素，按照告警时间顺序进行排序。
43.优先地，对设备告警时间顺序进行排序获取攻击时间瀑布，以告警入口的设备ip为拓扑绘制依据获取攻击事件信息，结合攻击事件信息、告警时间顺序以及设备ip地址绘制攻击拓扑溯源图。
44.具体的，将所有收集的1 n的告警，以同源ip为主要关联元素，按照告警时间顺序进行排序，形成攻击时间瀑布，以告警事件的设备ip为拓扑绘制依据，提取攻击事件信息，对不同源提取的攻击事件，通过攻击事件关联分析，并结合时间顺序和设备ip绘制攻击拓扑溯源图。
45.优先地，对不同源ip地址的攻击事件信息进行分析获取告警日志数据，对告警日志数据进行预处理操作获取有效告警日志数据。
46.具体的，以告警事件的设备ip为拓扑绘制依据，提取攻击事件信息，对不同源提取的攻击事件，进入融合分析，通过预处理提取有效报警日志数据，形成具有较高可信度的网络攻击事件。
47.优先地，预处理操作包括去除噪声、数据冗余或无效日志。
48.具体的，一台主机的失陷过程，难免会出现误报事件，预处理操作可以采取一些常见方法，比如风险筛选法、规则筛选法、目标筛选法、失陷筛选法等提取有效报警日志数据，企业日常防护告警中，高风险告警占比较低，如果只关注这些高风险告警，那么分析工作量就可以大大减少。
49.综上所述，本发明提供一种网络安全事件溯源分析方法通过收集多种网络安全防护设备产生的报警日志，记录网络传输的数据流中的关键信息(时间、源地址、目的地址)，可以反向进行追踪，分析出一次攻击的整个攻击过程。由于融合了多元日志，所以分析出的攻击事件信息可以更完整、更可靠地刻画网络遭受的攻击，而且通过攻击事件的关联分析得到攻击场景能够更清晰地展现攻击者意图、反映网络面临的安全威胁状态。
50.实施例二
51.本实施例二提供一种网络安全事件溯源分析装置，用以实现如实施例一所述的网络安全事件溯源分析方法的具体步骤，此处不再赘述，如图3所示，图3为本发明一实施例提供的分析装置各模块框架图，装置包括以下模块，
52.数据获取模块110，用于选取设备的告警入口，获取告警入口的五元组以及告警时间；
53.分析模块120，用于以五元组的同源ip地址为主元素选取若干个设备告警入口，根据告警时间和设备ip地址绘制攻击拓扑溯源图。
54.综上所述，本发明提供一种网络安全事件溯源分析装置通过收集多种网络安全防护设备产生的报警日志，记录网络传输的数据流中的关键信息(时间、源地址、目的地址)，可以反向进行追踪，分析出一次攻击的整个攻击过程。由于融合了多元日志，所以分析出的攻击事件信息可以更完整、更可靠地刻画网络遭受的攻击，而且通过攻击事件的关联分析得到攻击场景能够更清晰地展现攻击者意图、反映网络面临的安全威胁状态
55.实施例三
56.本实施例三提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以上内容中任一项所述调整漆包线漆膜厚度方法的步骤。本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或综合软件和硬件方面的实施例的形势。而且，本发明可采用再一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)
或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
57.实施例四
58.本实施例四提供了一种电子设备，包括：存储器，其上存储有计算机程序；以及处理器，用于执行所述存储器中的所述计算机程序，以实现以上内容中任一项所述网络安全事件溯源分析方法的步骤。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现再流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储再能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得再计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而再计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
59.以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。