一种安全漏洞回溯分析方法及装置的制造方法

一种安全漏洞回溯分析方法及装置的制造方法
【专利摘要】本发明提供了一种安全漏洞回溯分析方法及装置。方法包括：采集网络中安全设备的日志数据和路由交换设备的Netflow数据；将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网络数据流；将获得的时序网络数据流存储于HDFS中；通过网络爬虫器获取到最新的安全漏洞数据，将所述安全漏洞数据转化为回溯分析规则；从HDFS中提取出时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IP资产相关数据；根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数。本发明能够实现针对单一安全漏洞对特定企业网络的影响性进行动态分析，且本发明基于大数据的回溯分析来分析安全漏洞的潜在影响。
【专利说明】
一种安全漏洞回溯分析方法及装置
技术领域
[0001 ]本发明涉及信息安全技术领域，更具体地说，涉及一种安全漏洞回溯分析方法及 装置。
【背景技术】
[0002] 在互联网+的发展趋势下，网络的复杂程度逐日增加，这就使得网络故障的排查难 度与日倶增，未来网络攻击的模式会越来越多地以高级持续性威胁(Advanced Persistent Threat，APT)的方式实施。APT攻击是攻击者以窃取核心资料为目的，针对客户所发动的网 络攻击和侵袭行为，是一种蓄谋已久的恶意商业间谍威胁。这种行为往往经过长期的经营 与策划，并具备高度的隐蔽性。APT攻击的特征是采用新型未公开的漏洞(Oday漏洞)执行且 攻击周期长。
[0003] 为了保护信息的安全，企业可以投资购买世界上最好的情报信息，部署最好的技 术来抵御威胁，然而其信息系统仍有可能受安全管理程序错过的简单漏洞的影响。而且在 实际应用时，大多数企业没有足够的人员、时间、资金、和精力来应对威胁，企业安全投入资 源有限。因此，对安全漏洞情报数据的合理甄别，对于安全漏洞针对本企业网络的威胁程度 进行有效判定是以对抗为主体的安全防御体系下非常重要的环节。
[0004] 目前国内外安全漏洞影响性分析的成果较少，且可使用性差。有些公司已经发布 了网络安全指数，但该网络安全指数是针对整个互联网的安全态势，针对企业网络不具备 实用价值。本发明的发明人就现有的安全漏洞影响分析方法来说，其主要存在以下几个问 题：
[0005] 1、现有提供的安全漏洞影响分析方法基于的是网络宏观指数，没有针对具体的漏 洞和具体的企业网络做针对性分析，针对性差。
[0006] 2、现有提供的安全漏洞影响分析方法往往只分析当前态势，无法体现潜在影响。 而实际上，APT类攻击往往潜伏周期长，必须基于网络历史数据的回溯分析，才能体现安全 漏洞的真正影响。

【发明内容】

[0007] 有鉴于此，本发明提供一种安全漏洞回溯分析方法及装置，以解决现有安全漏洞 影响分析方法针对性差、无法体现潜在影响的问题。技术方案如下：
[0008] 基于本发明的一方面，本发明提供一种安全漏洞回溯分析方法，包括：
[0009] 采集网络中安全设备的日志数据和路由交换设备的Netflow数据；
[0010]将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网络数据流；
[0011] 将所述时序网络数据流存储于分布式文件存储系统HDFS中；
[0012] 通过网络爬虫器获取最新的安全漏洞数据，并将所述安全漏洞数据转化为回溯分 析规则；
[0013] 从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受 安全漏洞影响的IP资产相关数据；
[0014] 根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指数。
[0015] 优选地，所述将所述安全漏洞数据转化为回溯分析规则包括：
[0016] 采用正则表达式，将所述安全漏洞数据转化为回溯分析规则；
[0017] 其中，所述正则表达式中的规则内容至少包括以下一种：漏洞名称、漏洞编号、厂 商、漏洞等级、影响协议、影响端口、影响操作系统、漏洞详情。
[0018] 优选地，所述从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规 则计算得到受安全漏洞影响的IP资产相关数据包括：
[0019] 采用批处理算法，从HDFS中提取出所述时序网络数据流；
[0020] 根据所述回溯分析规则，获取与所述时序网络数据流相匹配的时序网络数据序 列；
[0021] 按照IP地址聚合计算方法，对所述时序网络数据序列进行计算，获得所述受安全 漏洞影响的IP资产相关数据;其中，所述IP资产相关数据包括受安全漏洞影响的IP地址和 所述IP地址的统计信息;所述IP地址的统计信息包括:所述IP地址匹配命中的安全日志数 量、所述IP地址匹配命中的流量和所述IP地址受影响的总时长。
[0022] 优选地，所述根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响 指数包括：
[0023]
f算得到所述安全漏洞 影响指数f(x);
[0024] 其中，U为IPi的安全日志数量；
[0025] Pfi为IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0~1;
[0026] ?。为1&的影响时长占回溯分析周期内总时长的比值，取值范围为0~1;
[0027] IPi为受安全漏洞影响的IP序列中的第i个，i为正整数。
[0028]优选地，所述采集网络中安全设备的日志数据和路由交换设备的Netflow数据包 括：
[0029]通过系统日志syslog协议采集企业网络中安全设备的日志数据；
[0030] 通过Netflow协议及类Netflow协议采集路由交换设备的Netflow数据。
[0031 ]优选地，将所述时序网络数据流存储于HDFS中包括：
[0032] 以预设时间为周期，周期性地将获得的时序网络数据流存储于HDFS中。
[0033] 优选地，所述将所述时序网络数据流存储于HDFS中后，所述方法还包括：
[0034] 为存储的时序网络数据流增加时间戳。
[0035] 优选地，所述通过网络爬虫器获取最新的安全漏洞数据包括：
[0036] 通过网络爬虫器持续、定时地从互联网安全漏洞库中获取最新的安全漏洞数据。 [0037]基于本发明的另一方面，本发明还提供一种安全漏洞回溯分析装置，包括：
[0038]数据采集单元，用于采集网络中安全设备的日志数据和路由交换设备的Netflow 数据；
[0039] 格式化处理单元，用于将采集到的日志数据和Netflow数据一同进行格式化处理， 获得时序网络数据流；
[0040] 存储单元，用于将所述时序网络数据流存储于分布式文件存储系统HDFS中；
[0041] 回溯分析规则生成单元，用于通过网络爬虫器获取最新的安全漏洞数据，并将所 述安全漏洞数据转化为回溯分析规则；
[0042]第一处理单元，用于从所述HDFS中提取出所述时序网络数据流，并根据所述回溯 分析规则计算得到受安全漏洞影响的IP资产相关数据；
[0043] 第二处理单元，用于根据所述受安全漏洞影响的IP资产相关数据、所述日志数据 和所述Netflow数据计算得到安全漏洞影响指数。
[0044] 优选地，所述回溯分析规则生成单元具体用于，采用正则表达式，将所述安全漏洞 数据转化为回溯分析规则；
[0045] 其中，所述正则表达式中的规则内容至少包括以下一种:漏洞名称、漏洞编号、厂 商、漏洞等级、影响协议、影响端口、影响操作系统、漏洞详情。
[0046] 优选地，所述第一处理单元包括：
[0047] 第一处理子单元，用于采用批处理算法，从HDFS中提取出所述时序网络数据流； [0048]第二处理子单元，用于根据所述回溯分析规则，获取与所述时序网络数据流相匹 配的时序网络数据序列；
[0049]第三处理子单元，用于按照IP地址聚合计算方法，对所述时序网络数据序列进行 计算，获得所述受安全漏洞影响的IP资产相关数据;其中，所述IP资产相关数据包括受安全 漏洞影响的IP地址和所述IP地址的统计信息；所述IP地址的统计信息包括:所述IP地址匹 配命中的安全日志数量、所述IP地址匹配命中的流量和所述IP地址受影响的总时长。
[0050] 娜也，臓第二麵单元具体用于 计算得到所述安全漏洞影响指数f(x);
[0051 ]其中，Li为IPi的安全日志数量；
[0052] Pfi为IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0~1;
[0053] ?^为1匕的影响时长占回溯分析周期内总时长的比值，取值范围为0~1;
[0054] IPi为受安全漏洞影响的IP序列中的第i个，i为正整数。
[0055] 优选地，所述数据采集单元包括：
[0056] 第一数据采集子单元，用于通过系统日志syslog协议采集企业网络中安全设备的 日志数据；
[0057] 第二数据采集子单元，用于通过Netf low协议及类Netf low协议采集路由交换设备 的Netf low数据。
[0058] 优选地，所述存储单元具体用于，以预设时间为周期，周期性地将获得的时序网络 数据流存储于HDFS中。
[0059] 优选地，所述通过网络爬虫器获取最新的安全漏洞数据包括：
[0060] 通过网络爬虫器持续、定时地从互联网安全漏洞库中获取最新的安全漏洞数据。
[0061] 应用本发明提供的安全漏洞回溯分析方法，本发明通过采集网络中安全设备的日 志数据和路由交换设备的Netflow数据，进而将采集到的日志数据和Netflow数据一同进行 格式化处理，获得时序网络数据流，并将获得的时序网络数据流存储于HDFS(Had〇〇p Distributed File System，分布式文件存储系统）中。当本发明通过网络爬虫器获取到最 新的安全漏洞数据时，便将所述安全漏洞数据转化为回溯分析规则，且进一步从HDFS中提 取出时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的IPdnternet Protocol，网络之间互连的协议)资产相关数据。最后根据所述受安全漏洞影响的IP资产相 关数据计算得到安全漏洞影响指数。本发明能够实现针对单一安全漏洞对特定企业网络或 者某具体业务部门网络的影响性进行动态分析，且本发明基于大数据的回溯分析，针对APT 类攻击能够分析出其安全漏洞的潜在影响。
【附图说明】
[0062] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据 提供的附图获得其他的附图。
[0063] 图1为本发明提供的一种安全漏洞回溯分析方法的流程图；
[0064] 图2为本发明提供的一种安全漏洞回溯分析方法的另一种流程图；
[0065] 图3为本发明提供的一种安全漏洞回溯分析装置的结构示意图。
【具体实施方式】
[0066] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。
[0067] 请参阅图1，其示出了本发明提供的一种安全漏洞回溯分析方法的流程图，包括： [0068]步骤101，采集网络中安全设备的日志数据和路由交换设备的Netf low数据。
[0069] 在本发明中，可以通过系统日志syslog协议采集企业网络中安全设备的日志数 据，并通过Netf low协议及类Netf low协议采集路由交换设备的Netflow数据。其中，类 如七;1^1〇￥协议可以包括如七31:代&111，3?1〇￥、1??1父等。
[0070] 作为本发明优选的，本发明实时采集网络中安全设备的日志数据和路由交换设备 的Netflow数据。当然，本发明也可周期性、或不定时地采集网络中安全设备的日志数据和 路由交换设备的Netf low数据。
[0071] 步骤102,将采集到的日志数据和Netflow数据一同进行格式化处理，获得时序网 络数据流。
[0072]本发明会将采集到的日志数据和Netf low数据同时进行格式化处理，从而获得时 序网络数据流。
[0073] 本发明中时序网络数据流的格式可以设计为如下统一格式：
[0074] Option Field lType= "数据分类" index = 0;
[0075] Option Field 2Type= "源地址" index = l;
[0076] Option Field 3Type= "目的地址" index = 2;
[0077] Option Field 4Type= "源端口" index = 3;
[0078] Option Field 5Type= "目的端口" index = 4;
[0079] Option Field 6Type= "协议" index = 5;
[0080] Option Field 7Type= "应用协议" index = 6;
[0081] Option Field 8Type= "事件分类" index = 7;
[0082] Option Field 9Type= "事件等级" index = 8;
[0083] Option Field 10Type= "资产分类" index = 9;
[0084] Option Field llType= "资产操作系统" index = 10;
[0085] Option Field 12Type= "发生时间" index = 11。
[0086] 步骤103，将所述时序网络数据流存储于HDFS中。
[0087] 在本发明中，本发明会将获得的时序网络数据流及时、持续地存储在HDFS中。其中 作为本发明优选的，本发明可以以预设时间为周期，周期性地将获得的时序网络数据流存 储于HDFS中。例如，以天为周期，将每天获得的时序网络数据流存储于HDFS中的一个分区， 或以一小时为周期，将每小时获得的时序网络数据流存储于HDFS中的一个分区等。
[0088] 此外，本发明在将时序网络数据流存储于HDFS中后，还可以为存储的时序网络数 据流增加时间戳。例如，在以天为周期，将每天获得的时序网络数据流存储于HDFS中的一个 分区后，可以在存储的时序网络数据流上增加 day的时间戳，在以一小时为周期，将每小时 获得的时序网络数据流存储于HDFS中的一个分区后，可以在存储的时序网络数据流上增加 hour的时间戳。本发明为存储的时序网络数据流增加时间戳，以便于本发明进行回溯分析 时可以高效地提取出需要的时序网络数据流。
[0089] 步骤104,通过网络爬虫器获取最新的安全漏洞数据，并将所述安全漏洞数据转化 为回溯分析规则。
[0090] 在本发明中，可以采用互联网安全漏洞库，如CNCERT国家互联网应急中心提供的 漏洞公告，通过网络爬虫器持续、定时地从互联网安全漏洞库中获取最新的安全漏洞数据。 本发明中，每当获取到最新的安全漏洞数据时，便将该获得的安全漏洞数据转化为回溯分 析规则。
[0091] 具体的，本发明采用正则表达式，将获得的最新的安全漏洞数据转化为回溯分析 规则。其中，所述正则表达式中的规则内容至少包括以下一种:漏洞名称、漏洞编号、厂商、 漏洞等级、影响协议、影响端口、影响操作系统、漏洞详情。
[0092] 在本发明中，安全漏洞的格式可以设计为如下统一格式：
[0093] Option Field lType= "漏洞名称" index = 0;
[0094] Option Field 2Type= "漏洞编号" index = l;
[0095] Option Field 3Type= "厂商" index = 2;
[0096] Option Field 4Type= "漏洞等级" index = 3;
[0097] Option Field 5Type= "影响协议" index = 4;
[0098] Option Field 6Type= "影响端口" index = 5;
[0099] Option Field 7Type= "影响操作系统" index = 6;
[0100] Option Field 8Type= "漏洞详情" index = 7〇
[0101] 步骤105,从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计 算得到受安全漏洞影响的IP资产相关数据。
[0102] 在本发明中，每当通过网络爬虫器获取到最新的安全漏洞数据，并将所述安全漏 洞数据转化为回溯分析规则后，便从HDFS中提取出时序网络数据流，进而根据所述回溯分 析规则计算得到受安全漏洞影响的IP资产相关数据。
[0103] 具体地，本发明中的步骤105包括，如图2所示：
[0104] 步骤1051，采用批处理算法，从HDFS中提取出所述时序网络数据流。
[0105] 本发明采用批处理算法，从HDFS中提取出时序网络数据流。同时，本发明还可以采 用逐段分析的策略，将每小时提取出的时序网络数据流存储至计算机内存。
[0106] 步骤1052,根据所述回溯分析规则，获取与所述时序网络数据流相匹配的时序网 络数据序列。
[0107] 步骤1053,按照IP地址聚合计算方法，对所述时序网络数据序列进行计算，获得所 述受安全漏洞影响的IP资产相关数据。
[0108] 其中，所述IP资产相关数据包括受安全漏洞影响的IP地址和所述IP地址的统计信 息。所述IP地址的统计信息进一步包括:所述IP地址匹配命中的安全日志数量、所述IP地址 匹配命中的流量和所述IP地址受影响的总时长。
[0109] 作为本发明优选地，本发明可以将所述受安全漏洞影响的IP资产相关数据存储至 计算机内存中。
[0110] 步骤106,根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响指 数。
[0111] 在本发明中，根据回溯分析结果，假设受安全漏洞影响的IP序列为{IPhlP^IPs， IP4JP5.......，IPn}，其中，IPi为受安全漏洞影响的IP序列中的第i个，i为正整数。
[0112] 那么，其对应的安全日志数量的序列为：{Li，L2，L3，L4，L5.......L n}，Li为IPi的安 全日志数量。
[0113] 其对应的流量占比序列为：{ Pf i，Pf 2，Pf 3，Pf 4，Pf 5.......，Pf n }，Pf i为I Pi的影响流 量占回溯分析周期内总流量的比值，取值范围为〇~1;
[0114] 其对应的影响总时长序列为JPthPthPthPthPts.......，Ptn}，Pti为IPi的影响 时长占回溯分析周期内总时长的比值，取值范围为0~1;
[0115] 此外，本发明中定义IPi的事件影响频度计算为：
，取值范围为〇 ~1 〇
[0116] 此时，
计算得到所述安全 漏洞影响指数f(x)。
[0117] 在本发明中，安全漏洞影响指数f(x)的取值范围为0~100。本发明可以预先设定 不同的判定标准，例如，当f (X)的值位于7 6~10 0之间时，表示当前受安全漏洞影响较高；当 f(x)的值位于51~75之间时，表示当前受安全漏洞影响中等；当f(x)的值位于26~50之间 时，表示当前受安全漏洞影响较低；当f(x)的值位于〇~25之间时，表示当前受安全漏洞影 响非常低。当然，本发明也可以根据不同的网络环境，对判定标准进行相应调整。
[0118] 因此应用本发明上述技术方案，本发明通过采集网络中安全设备的日志数据和路 由交换设备的Netflow数据，进而将采集到的日志数据和Netflow数据一同进行格式化处 理，获得时序网络数据流，并将获得的时序网络数据流存储于HDFS中。当本发明通过网络爬 虫器获取到最新的安全漏洞数据时，便将所述安全漏洞数据转化为回溯分析规则，且进一 步从HDFS中提取出时序网络数据流，并根据所述回溯分析规则计算得到受安全漏洞影响的 IP资产相关数据。最后根据所述受安全漏洞影响的IP资产相关数据计算得到安全漏洞影响 指数。本发明能够实现针对单一安全漏洞对特定企业网络或者某具体业务部门网络的影响 性进行动态分析，且本发明基于大数据的回溯分析，针对APT类攻击能够分析出其安全漏洞 的潜在影响。
[0119] 基于前文本发明提供的一种安全漏洞回溯分析方法，本发明还提供一种安全漏洞 回溯分析装置，如图3所示，包括:数据采集单元100、格式化处理单元200、存储单元300、回 溯分析规则生成单元400、第一处理单元500和第二处理单元600。其中，
[0120] 数据采集单元100,用于采集网络中安全设备的日志数据和路由交换设备的 Netf low 数据。
[0121] 在本发明中，数据采集单元100进一步包括：
[0122] 第一数据采集子单元101，用于通过系统日志syslog协议采集企业网络中安全设 备的日志数据；
[0123] 第二数据采集子单元102,用于通过Netf low协议及类Netf low协议采集路由交换 设备的Netf low数据。
[0124] 作为本发明优选的，本发明中的第一数据采集子单元101实时采集企业网络中安 全设备的日志数据，第二数据采集子单元102实时采集企业网络中路由交换设备的Netflow 数据。当然，本发明也可周期性、或不定时地采集网络中安全设备的日志数据和路由交换设 备的Netf low数据。
[0125] 格式化处理单元200,用于将采集到的日志数据和Netf low数据一同进行格式化处 理，获得时序网络数据流。
[0126] 本发明中时序网络数据流的格式可以设计为如下统一格式：
[0127] Option Field lType= "数据分类" index = 0;
[0128] Option Field 2Type= "源地址" index = l;
[0129] Option Field 3Type= "目的地址" index = 2;
[0130] Option Field 4Type= "源端口" index = 3;
[0131] Option Field 5Type= "目的端口" index = 4;
[0132] Option Field 6Type= "协议" index = 5;
[0133] Option Field 7Type= "应用协议" index = 6;
[0134] Option Field 8Type= "事件分类" index = 7;
[0135] Option Field 9Type= "事件等级" index = 8;
[0136] Option Field 10Type= "资产分类" index = 9;
[0137] Option Field llType= "资产操作系统" index = 10;
[0138] Option Field 12Type= "发生时间" index = 11。
[0139]存储单元300，用于将所述时序网络数据流存储于HDFS中。
[0140] 本发明中，存储单元300会将获得的时序网络数据流及时、持续地存储在HDFS中。 其中作为本发明优选的，存储单元300还具体用于，以预设时间为周期，周期性地将获得的 时序网络数据流存储于HDFS中。例如，以天为周期，将每天获得的时序网络数据流存储于 HDFS中的一个分区，或以一小时为周期，将每小时获得的时序网络数据流存储于HDFS中的 一个分区等。
[0141] 回溯分析规则生成单元400,用于通过网络爬虫器获取最新的安全漏洞数据，并将 所述安全漏洞数据转化为回溯分析规则。
[0142] 在本发明中，可以采用互联网安全漏洞库，如CNCERT国家互联网应急中心提供的 漏洞公告，通过网络爬虫器持续、定时地从互联网安全漏洞库中获取最新的安全漏洞数据。
[0143] 具体在本发明中，回溯分析规则生成单元400具体用于，采用正则表达式，将所述 安全漏洞数据转化为回溯分析规则。其中，所述正则表达式中的规则内容至少包括以下一 种:漏洞名称、漏洞编号、厂商、漏洞等级、影响协议、影响端口、影响操作系统、漏洞详情。
[0144] 在本发明中，安全漏洞的格式可以设计为如下统一格式：
[0145] Option Field lType= "漏洞名称" index = 0;
[0146] Option Field 2Type= "漏洞编号" index = l;
[0147] Option Field 3Type= "厂商" index = 2;
[0148] Option Field 4Type= "漏洞等级" index = 3;
[0149] Option Field 5Type= "影响协议" index = 4;
[0150] Option Field 6Type= "影响端口" index = 5;
[0151] Option Field 7Type= "影响操作系统" index = 6;
[0152] Option Field 8Type= "漏洞详情" index = 7〇
[0153] 第一处理单元500,用于从所述HDFS中提取出所述时序网络数据流，并根据所述回 溯分析规则计算得到受安全漏洞影响的IP资产相关数据。
[0154] 在本发明中，每当回溯分析规则生成单元400将安全漏洞数据转化为回溯分析规 则后，第一处理单元500便从HDFS中提取出时序网络数据流，进而根据所述回溯分析规则计 算得到受安全漏洞影响的IP资产相关数据。
[0155] 具体地，本发明中第一处理单元500包括：
[0156] 第一处理子单元501，用于采用批处理算法，从HDFS中提取出所述时序网络数据 流；
[0157] 第二处理子单元502,用于根据所述回溯分析规则，获取与所述时序网络数据流相 匹配的时序网络数据序列；
[0158] 第三处理子单元503,用于按照IP地址聚合计算方法，对所述时序网络数据序列进 行计算，获得所述受安全漏洞影响的IP资产相关数据;其中，所述IP资产相关数据包括受安 全漏洞影响的IP地址和所述IP地址的统计信息；所述IP地址的统计信息包括:所述IP地址 匹配命中的安全日志数量、所述IP地址匹配命中的流量和所述IP地址受影响的总时长。
[0159] 第二处理单元600,用于根据所述受安全漏洞影响的IP资产相关数据、所述日志数 据和所述Netflow数据计算得到安全漏洞影响指数。
[0160] 在本发明中，第二处理单元600具体用于：
计算得到所述安全漏洞影响指数f(x);
[0161] 其中，U为IPi的安全日志数量；
[0162] Pfi为IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0~1;
[0163] ?^为1匕的影响时长占回溯分析周期内总时长的比值，取值范围为0~1;
[0164] IPi为受安全漏洞影响的IP序列中的第i个，i为正整数。
[0165] 需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重 点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。 对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参 见方法实施例的部分说明即可。
[0166] 最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将 一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作 之间存在任何这种实际的关系或者顺序。而且，术语"包括"、"包含"或者其任何其他变体意 在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那 些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者 设备所固有的要素。在没有更多限制的情况下，由语句"包括一个……"限定的要素，并不排 除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0167] 以上对本发明所提供的一种安全漏洞回溯分析方法及装置进行了详细介绍，本文 中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮 助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思 想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对 本发明的限制。
【主权项】
1. 一种安全漏桐回溯分析方法，其特征在于，包括： 采集网络中安全设备的日志数据和路由交换设备的化tflow数据； 将采集到的日志数据和化tflow数据一同进行格式化处理，获得时序网络数据流； 将所述时序网络数据流存储于分布式文件存储系统皿FS中； 通过网络爬虫器获取最新的安全漏桐数据，并将所述安全漏桐数据转化为回溯分析规 则； 从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析规则计算得到受安全 漏桐影响的IP资产相关数据； 根据所述受安全漏桐影响的IP资产相关数据计算得到安全漏桐影响指数。2. 根据权利要求1所述的方法，其特征在于，所述将所述安全漏桐数据转化为回溯分析 规则包括： 采用正则表达式，将所述安全漏桐数据转化为回溯分析规则； 其中，所述正则表达式中的规则内容至少包括W下一种:漏桐名称、漏桐编号、厂商、漏 桐等级、影响协议、影响端口、影响操作系统、漏桐详情。3. 根据权利要求1所述的方法，其特征在于，所述从所述皿FS中提取出所述时序网络数 据流，并根据所述回溯分析规则计算得到受安全漏桐影响的IP资产相关数据包括： 采用批处理算法，从皿FS中提取出所述时序网络数据流； 根据所述回溯分析规则，获取与所述时序网络数据流相匹配的时序网络数据序列； 按照IP地址聚合计算方法，对所述时序网络数据序列进行计算，获得所述受安全漏桐 影响的IP资产相关数据;其中，所述IP资产相关数据包括受安全漏桐影响的IP地址和所述 IP地址的统计信息;所述IP地址的统计信息包括:所述IP地址匹配命中的安全日志数量、所 述IP地址匹配命中的流量和所述IP地址受影响的总时长。4. 根据权利要求1-3任一项所述的方法，其特征在于，所述根据所述受安全漏桐影响的 IP资产相关数据计算得到安全漏桐影响指数包括： 利用公式开算得到所述安全漏桐影响 指数f(x); 其中，Li为IPi的安全日志数量； Pf功IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0~1; Pti为IPi的影响时长占回溯分析周期内总时长的比值，取值范围为0~1; IPi为受安全漏桐影响的IP序列中的第i个，i为正整数。5. 根据权利要求1所述的方法，其特征在于，所述采集网络中安全设备的日志数据和路 由交换设备的化tf low数据包括： 通过系统日志syslog协议采集企业网络中安全设备的日志数据； 通过化tf low协议及类化tf low协议采集路由交换设备的化tf low数据。6. 根据权利要求1所述的方法，其特征在于，将所述时序网络数据流存储于皿FS中包 括： W预设时间为周期，周期性地将获得的时序网络数据流存储于皿FS中。7. 根据权利要求6所述的方法，其特征在于，所述将所述时序网络数据流存储于HDFS中 后，所述方法还包括： 为存储的时序网络数据流增加时间戳。8. 根据权利要求1所述的方法，其特征在于，所述通过网络爬虫器获取最新的安全漏桐 数据包括： 通过网络爬虫器持续、定时地从互联网安全漏桐库中获取最新的安全漏桐数据。9. 一种安全漏桐回溯分析装置，其特征在于，包括： 数据采集单元，用于采集网络中安全设备的日志数据和路由交换设备的化tflow数据； 格式化处理单元，用于将采集到的日志数据和化tflow数据一同进行格式化处理，获得 时序网络数据流. 存储单元，用于将所述时序网络数据流存储于分布式文件存储系统皿FS中； 回溯分析规则生成单元，用于通过网络爬虫器获取最新的安全漏桐数据，并将所述安 全漏桐数据转化为回溯分析规则； 第一处理单元，用于从所述HDFS中提取出所述时序网络数据流，并根据所述回溯分析 规则计算得到受安全漏桐影响的IP资产相关数据； 第二处理单元，用于根据所述受安全漏桐影响的IP资产相关数据、所述日志数据和所 述化tflow数据计算得到安全漏桐影响指数。10. 根据权利要求9所述的装置，其特征在于，所述回溯分析规则生成单元具体用于，采 用正则表达式，将所述安全漏桐数据转化为回溯分析规则； 其中，所述正则表达式中的规则内容至少包括W下一种:漏桐名称、漏桐编号、厂商、漏 桐等级、影响协议、影响端口、影响操作系统、漏桐详情。11. 根据权利要求9所述的装置，其特征在于，所述第一处理单元包括： 第一处理子单元，用于采用批处理算法，从皿FS中提取出所述时序网络数据流； 第二处理子单元，用于根据所述回溯分析规则，获取与所述时序网络数据流相匹配的 时序网络数据序列. 第Ξ处理子单元，用于按照IP地址聚合计算方法，对所述时序网络数据序列进行计算， 获得所述受安全漏桐影响的IP资产相关数据;其中，所述IP资产相关数据包括受安全漏桐 影响的IP地址和所述IP地址的统计信息；所述IP地址的统计信息包括:所述IP地址匹配命 中的安全日志数量、所述IP地址匹配命中的流量和所述IP地址受影响的总时长。12. 根据权利要求9-11任一项所述的装置，其特征在于，所述第二处理单元具体用于， 利用公式十算得到所述安全漏桐影响指数 f (x)； 其中，Li为IPi的安全日志数量； Pf功IPi的影响流量占回溯分析周期内总流量的比值，取值范围为0~1; Pti为IPi的影响时长占回溯分析周期内总时长的比值，取值范围为0~1; IPi为受安全漏桐影响的IP序列中的第i个，i为正整数。13. 根据权利要求9所述的装置，其特征在于，所述数据采集单元包括： 第一数据采集子单元，用于通过系统日志syslog协议采集企业网络中安全设备的日志 数据； 第二数据采集子单元，用于通过Netflow协议及类化tf low协议采集路由交换设备的 Netf low 数据。14. 根据权利要求9所述的装置，其特征在于，所述存储单元具体用于，W预设时间为周 期，周期性地将获得的时序网络数据流存储于皿FS中。15. 根据权利要求9所述的装置，其特征在于，所述通过网络爬虫器获取最新的安全漏 桐数据包括： 通过网络爬虫器持续、定时地从互联网安全漏桐库中获取最新的安全漏桐数据。
【文档编号】G06F21/56GK106096406SQ201610371183
【公开日】2016年11月9日
【申请日】2016年5月30日
【发明人】张延佳
【申请人】北京启明星辰信息安全技术有限公司, 启明星辰信息技术集团股份有限公司