一种基于日志分析功能的安全事件回溯方法及系统的制作方法
【技术领域】
[0001]本发明涉及日志分析技术领域,尤其涉及一种基于日志分析功能的安全事件回溯方法及系统。
【背景技术】
[0002]企业内部的网络信息管理系统中会设置有多台安全设备,每台安全设备都是相互独立的,每台安全设备发生的信息安全事故都可以看做是一个独立事件,企业中发生了信息安全问题,比如黑客已突破互联网防御边界,进入到企业内部网络,并在内部网络进行一定的活动,或许安全管理员能知道黑客入侵了某核心系统或某资产,比如A设备被攻击,管理员已经知晓,但是否攻击成功管理员并不清楚,或者黑客利用漏洞进入到B设备,对设备是否进行了相应的操作,这个也无法及时获悉,即对其在内网的其他活动并未能进行关联。即使针对某核心系统进行了安全防护处理,也只是治标不治本。
[0003]有鉴于此,现有技术有待改进和提尚。
【发明内容】
[0004]鉴于上述现有技术的不足之处,本发明的目的在于提供一种基于日志分析功能的安全事件回溯方法及系统,旨在解决现有企业信息安全问题中存在的治标不治本的问题。
[0005]为了达到上述目的,本发明采取了以下技术方案:
[0006]一种基于日志分析功能的安全事件回溯方法,其中,所述方法包括以下步骤:
[0007]S100、采集日志,并设定回溯条件;
[0008]S200、根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
[0009]S300、从满足回溯条件的日志中选取某个日志结果进行安全回溯。
[0010]所述的基于日志分析功能的安全事件回溯方法,其中,所述步骤SlOO中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IPo
[0011]所述的基于日志分析功能的安全事件回溯方法,其中,所述步骤S300中选取某个日志结果进行安全回溯具体包括:选取第η个日志结果进行安全回溯后,将第η个日志结果的目标IP作为第η+1个日志结果的源ΙΡ,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;
[0012]其中,第η+1个日志结果的时间早于第η个日志结果的时间,η为自然数。
[0013]一种基于日志分析功能的安全事件回溯系统,其中,包括:
[0014]设置单元,用于采集日志,并设定回溯条件;
[0015]匹配单元,用于根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
[0016]回溯单元,用于从满足回溯条件的日志中选取某个日志结果进行安全回溯。
[0017]所述的基于日志分析功能的安全事件回溯系统,其中,所述设置单元中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IPo
[0018]所述的基于日志分析功能的安全事件回溯系统,其中,所述回溯单元中选取某个日志结果进行安全回溯具体包括:选取第η个日志结果进行安全回溯后,将第η个日志结果的目标IP作为第η+1个日志结果的源ΙΡ,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;
[0019]其中,第η+1个日志结果的时间早于第η个日志结果的时间,η为自然数。
[0020]有益效果:本发明提供的基于日志分析功能的安全事件回溯方法及系统,基于日志分析功能,对于已实切发生的安全事件进行回溯,以目标源为起点,一直追溯至互联网边界,黑客在此过程中触发的安全事件根据时间点连成一条或多条安全事件链路,链路为黑客潜在攻击点。安全管理员可根据链路进行分析从而得出实际的攻击过程,后续针对实际情况进行相应的安全防护处理,可大大提高企业内部的安全等级,具有很好的市场推广应用前景。
【附图说明】
[0021]图1为本发明的基于日志分析功能的安全事件回溯方法的流程图。
[0022]图2为本发明的基于日志分析功能的安全事件回溯系统的结构框图。
【具体实施方式】
[0023]本发明提供一种基于日志分析功能的安全事件回溯方法及系统。为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0024]本发明的思路是:提供一种根据事件点将多个攻击目标串接成一条或多条追踪链路从而找出攻击者真正位置的基于日志分析功能的安全事件回溯方法。
[0025]本发明提供的一种基于日志分析功能的安全事件回溯方法,如图1所示,包括如下步骤:
[0026]S100、采集日志,并设定回溯条件;
[0027]S200、根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
[0028]S300、从满足回溯条件的日志中选取某个日志结果进行安全回溯。
[0029]下面分别针对上述步骤进行具体描述。
[0030]所述步骤SlOO为采集日志,并设定回溯条件。首先,进行日志采集,其采集方法为现有技术,可以由步骤S200中的日志分析匹配中得到的采集结果直接推动得到。然后,设置回溯条件,即回溯应当满足的要求,比如回溯时间等。在本实施例中,回溯条件具体包括:设置所需的安全事件回溯时间范围(此为必要条件);以及设置发生攻击的源IP或被攻击的目标IP。
[0031]所述步骤S200为根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志。具体来说,设置了回溯条件后,便可以根据回溯条件对采集到的日志进行匹配提取,得到满足所述回溯条件的日志。并可以列出相应的日志结果清单。
[0032]所述步骤S300为从满足回溯条件的日志中选取某个日志结果进行安全回溯。由于每个日志结果都具备源IP (攻击者)和目标IP (被攻击者),所以可以将某个日志结果的目标IP作为下一个目标结果的源IP,以此类推,从而将多个日志结果串成了一条或多条安全事件链路。
[0033]进一步地,在本实施例中,在进行安全事件链路的日志结果选择时,需要保证下一个日志结果的时间要早于前一个日志结果的时间。比如:选取第η个日志结果进行安全回溯后,将第η个日志结果的目标IP作为第η+1个日志结果的源ΙΡ,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;其中,第η+1个日志结果的时间早于第η个日志结果的时间,η为自然数。
[0034]本发明还提供了一种基于日志分析功能的安全事件回溯系统,如图2所示,其包括:
[0035]设置单元100,用于采集日志,并设定回溯条件;
[0036]匹配单元200,用于根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志;
[0037]回溯单元300,用于从满足回溯条件的日志中选取某个日志结果进行安全回溯。
[0038]进一步地,所述的基于日志分析功能的安全事件回溯系统中,所述设置单元中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP。
[0039]进一步地,所述的基于日志分析功能的安全事件回溯系统中,所述回溯单元中选取某个日志结果进行安全回溯具体包括:选取第η个日志结果进行安全回溯后,将第η个日志结果的目标IP作为第η+1个日志结果的源ΙΡ,以此类推,从而将多个日志结果串成了一条或多条安全事件链路;其中,第η+1个日志结果的时间早于第η个日志结果的时间,η为自然数。
[0040]上述基于日志分析功能的安全事件回溯系统中的各个功能模块的具体作用,都已经在上述基于日志分析功能的安全事件回溯方法中进行了介绍,这里就不多做赘述了。
[0041]综上所述,本发明提供的基于日志分析功能的安全事件回溯方法及系统,基于日志分析功能,对于已实切发生的安全事件进行回溯,以目标源为起点,一直追溯至互联网边界,黑客在此过程中触发的安全事件根据时间点连成一条或多条安全事件链路,链路为黑客潜在攻击点。安全管理员可根据链路进行分析从而得出实际的攻击过程,后续针对实际情况进行相应的安全防护处理,可大大提高企业内部的安全等级,具有很好的市场推广应用前景。
[0042]可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及本发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
【主权项】
1.一种基于日志分析功能的安全事件回溯方法,其特征在于,所述方法包括以下步骤: S100、采集日志,并设定回溯条件; S200、根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志; S300、从满足回溯条件的日志中选取某个日志结果进行安全回溯。
2.根据权利要求1所述的基于日志分析功能的安全事件回溯方法,其特征在于,所述步骤SlOO中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP。
3.根据权利要求2所述的基于日志分析功能的安全事件回溯方法,其特征在于,所述步骤S300中选取某个日志结果进行安全回溯具体包括:选取第η个日志结果进行安全回溯后,将第η个日志结果的目标IP作为第η+1个日志结果的源ΙΡ,以此类推,从而将多个日志结果串成了一条或多条安全事件链路; 其中,第η+1个日志结果的时间早于第η个日志结果的时间,η为自然数。
4.一种基于日志分析功能的安全事件回溯系统,其特征在于,包括: 设置单元,用于采集日志,并设定回溯条件; 匹配单元,用于根据所述回溯条件对日志进行匹配提取,得到满足所述回溯条件的日志; 回溯单元,用于从满足回溯条件的日志中选取某个日志结果进行安全回溯。
5.根据权利要求4所述的基于日志分析功能的安全事件回溯系统,其特征在于,所述设置单元中回溯条件具体包括:设置所需的安全事件回溯时间范围;以及设置发生攻击的源IP或被攻击的目标IP。
6.根据权利要求5所述的基于日志分析功能的安全事件回溯系统,其特征在于,所述回溯单元中选取某个日志结果进行安全回溯具体包括:选取第η个日志结果进行安全回溯后,将第η个日志结果的目标IP作为第η+1个日志结果的源ΙΡ,以此类推,从而将多个日志结果串成了一条或多条安全事件链路; 其中,第η+1个日志结果的时间早于第η个日志结果的时间,η为自然数。
【专利摘要】本发明提供了一种基于日志分析功能的安全事件回溯方法及系统,基于日志分析功能,对于已实切发生的安全事件进行回溯,以目标源为起点,一直追溯至互联网边界,黑客在此过程中触发的安全事件根据时间点连成一条或多条安全事件链路,链路为黑客潜在攻击点。安全管理员可根据链路进行分析从而得出实际的攻击过程,后续针对实际情况进行相应的安全防护处理,可大大提高企业内部的安全等级,具有很好的市场推广应用前景。
【IPC分类】H04L12-24, H04L29-06
【公开号】CN104836815
【申请号】CN201510293694
【发明人】艾解清, 龙震岳, 高尚
【申请人】广东电网有限责任公司信息中心
【公开日】2015年8月12日
【申请日】2015年6月1日