一种网络攻击事件定量分级算法的实现方法
【技术领域】
[0001 ]本发明涉及信息安全领域,具体是网络安全事件审计和分析领域。
【背景技术】
[0002] "互联网+"战略就是利用互联网的平台,利用信息通信技术,把互联网和包括传统 行业在内的各行各业结合起来,在新的领域创造一种新的生态。在这种战略背景下,网络安 全的重要性已经上升的国家战略的高度。《中华人民共和国网络安全法》"第五十条因维护 国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直 辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施"。在这样的 环境下,必须对网络攻击事件有非常明确、有效的定量分级,才能让网络安全决策措施科 学、合理。
[0003] 当前对网络攻击事件严重等级的往往采用单一安全设备(如防病毒系统、防火墙、 入侵检测系统、漏洞扫描系统、UTM等)通过各自独立的检测算法提供的,这样的分级包括 "特别重大事件"、"重大事件"、"较大事件"、"一般事件"。这样的网络攻击事件分级有如下 缺点:
[0004] ?仅是定性判断,不够精确也难以纳入信息安全工作流处置流程;
[0005] ?单点判断,准确性差,决策价值低
[0006] 信息安全事件的管理包括事前管理、事中监控、事后审计的管理理念。事前管理, 系统引入了主动管理方式,能够在威胁发生之前就前摄性地进行事前安全管理。系统事前 管理包括:日志收集管理、安全威胁预警管理、主动漏洞扫描管理。事中监控,系统引入日志 实时关联分析技术,能够在威胁正在发生时进行预警管理,系统事中监控管理主要包括,事 件实时展示、实时统计、关联分析、事件拓扑展示、风险管理。事后审计,系统引入事件查询 与追溯的管理方式,能够在事件发生后系统上进行相关事件的查询取证。系统事后审计包 括:事件查询、报表等。在安全事件的决策过程中,每一个环节,安全事件严重等级的正确评 估都非常重要。因此,必须把安全事件的严重等级正确评估,才能正确决策。
【发明内容】
[0007] 本发明的目的是为了克服现有技术的缺点,提供一种网络攻击事件定量分级方 法,本方法采集安全设备报送的网络攻击事件,采用正则表达算法获得网络攻击定性分级 值(PV),实时采集网络镜像流量并根据流量分析算法获得攻击事件相关的会话信息,基于 攻击事件的全网影响比率计算网络攻击定量分级值(CV);从而最终实现攻击事件的定量分 级。本方法实现了对安全设备产生的安全事件进行定量分级计算,解决了当前安全事件分 级不精确、不统一的问题。为安全决策提供有效可靠的依据。
[0008] 本发明的目的是通过以下技术方案实现的:
[0009] -种可容错的分布式安全事件数据传输协议的实现方法,其特征在于:
[0010] A、以Syslog协议或日志文本读取的方式获取网络攻击事件,每一条网络攻击事件 称为Event,采用正则表达算法解析该网络攻击事件的五元组信息,该五元组信息内容包 括:攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间、攻击严重等级;所述攻击严重等 级包括"严重"、"轻微"的定性表达;
[0011] B、通过事件等级映射表将该网络攻击事件的攻击严重等级映射为1,2,3,4,5,6, 7,8数值,该数值称为网络攻击定性分级值pv;
[0012] C、通过镜像流量技术采集被攻击网络的流量数据包数据,采用流量分析算法获得 网络会话信息数据,该网络会话信息数据内容包括:源IP、目的IP、源端口、目的端口、协议、 会话开始时间、会话结束时间、会话包含的字节数、会话包含的数据包数,每一条网络会话 信息数据称为flow。网络会话信息数据包含了网络所有的会话信息,将所有网络会话信息 数据缓存至哈希映射表结构中;
[0013] D、采集并解析一条网络攻击事件Event后,按照该网络攻击事件的攻击源IP、攻击 目的IP、攻击开始时间、攻击结束时间属性从网络会话信息数据缓存中检索和该网络攻击 事件Event相关的网络会话信息数据flow,每一条网络攻击事件Event对应1条或多条网络 会话信息数据flow,依据网络会话信息数据flow数据计算该网络攻击事件的攻击定量分级 值CV;
[0014] E、通过以下算法计算网络攻击事件Event的攻击等级测量值:
[0015] Level = ( 1 · 25*pv+cv)/2。
[0016] 优选的,在步骤A中的采用正则表达算法解析该网络攻击事件五元组是指:对接收 的网络攻击事件的五元组解析处理,根据配置文件,按照其配置文件中的字段定义,对事件 进行归一化,配置文件采用XML配置日志的具体字段定义,可以进行扩展支持任意格式的日 志内容。可支持多个配置文件,每个配置文件配置一种或多种日志格式。
[0017] 事件的五元组解析采用分级归一化,首先采用正则表达式将日志中的公有字段提 取出来,对于其他私有字段进行二次提取,避免了重复扫描,又具有灵活性,这种分级归一 化可以较大地提高解析日志的性能。
[0018] 优选的,在步骤B中的攻击事件严重等级映射关系为:
[0019] 〈8,紧急(Emergencies)〉
[0020] 〈7,告警(Alerts)〉
[0021] 〈6,严重的(Critical)〉
[0022] 〈5,错误(Errors)〉
[0023] 〈4,警告(Warnings)〉
[0024] 〈3,通知(Notifications)〉
[0025] 〈2,信息(Informational)〉
[0026] 〈1,调试(Debugging)〉
[0027] 优选的,在步骤C中采用流量分析算法获得网络会话信息数据,该流量分析算法采 用特征向量组方法确定会话,上述特征向量组选取为{:源IP地址,源端口,目的IP地址,目的 端口和传输层协议号},这五个量组成的一个集合,采用TCP头中的TCP序列号 SequenceNumber来保证数据报文的顺序。
[0028] 优选的,在步骤D中网络攻击事件Event的攻击定量分级值(cv)的计算方法为: [0029] 通过检索获得攻击事件Event相关的网络会话信息数据f low为:(f lowi,f loW2, fl〇W3,fl〇W4, ···,f loWn),
[0030] 对应的会话字节数为:(byti,byt2,byt3,byt4,···,bytn),攻击期间(攻击事件Event 的开始时间至结束时间)内全网总会话数为Tb;
[0031 ] 对应的会话包数为:(pkti,pkt2,pkt3,pkt4,…,pktn),攻击期间(攻击事件Event的 开始时间至结束时间)内全网总包数为TP;
[0032] 则攻击事件Event的全网影响比率为:
[0033]
[0034] 进而,网络攻击事件Event的攻击定量分级值(cv)为: Γ CUH
[0035] η卜11() * 0.':t 若.ir > 旦 k < 0,1 V 10jir>CU
【附图说明】
[0036] 图1是本发明方法的流程示意图;
【具体实施方式】
[0037] -种可容错的分布式安全事件数据传输协议的实现方法,其特征在于:
[0038] A、以Syslog协议或日志文本读取的方式获取网络攻击事件,每一条网络攻击事件 称为Event,采用正则表达算法解析该网络攻击事件的五元组信息,该五元组信息内容包 括:攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间、攻击严重等级,所述攻击严重等 级包括"严重"、"轻微"的定性表达;
[0039] B、通过事件等级映射表将该网络攻击事件的攻击严重等级映射为1,2,3,4,5,6, 7,8数值,该数值称为网络攻击定性分级值pv;
[0040] C、通过镜像流量技术采集被攻击网络的流量数据包数据,采用流量分析算法获得 网络会话信息数据,该网络会话信息数据内容包括:源IP、目的IP、源端口、目的端口、协议、 会话开始时间、会话结束时间、会话包含的字节数、会话包含的数据包数,每一条网络会话 信息数据称为flow。网络会话信息数据包含了网络所有的会话信息,将所有网络会话信息 数据缓存至哈希映射表结构中;
[0041 ] D、采集并解析一条网络攻击事件Event后,按照该网络攻击事件的攻击源IP、攻击 目的IP、攻击开始时间、攻击结束时间属性从网络会话信息数据缓存中检索和该网络攻击 事件Event相关的网络会话信息数据flow,每一条网络攻击事件Event对应1条或多条网络 会话信息数据flow,依据网络会话信息数据flow数据计算该网络攻击事件的攻击定量分级 值CV;
[0042] E、通过以下算法计算网络攻击事件Event的攻击等级测量值:
[0043] Level = ( 1 · 25*pv+cv)/2。
[0044] 优选的,在步骤A中的采用正则表达算法解析该网络攻击事件五元组的方法为:
[0045]对接收的网络攻击事件的五元组解析处理,根据配置文件,按照其配置文件中的 字段定义,对事件进行归一化,配置文件采用XML配置日志的具体字段定义,可以进行扩展 支持任意格式的日志内容。可支持多个配置文件,每个配置文件配置一种或多种日志格式。 [0046]对于日志格式的解析提取采用正则表达式进行处理,同时采用映射赋值和直接赋 值进行字段统一表示,例如将不同设备的事件等级映射为标准的等级。
[0047] 事件的五元组解析采用分级归一化,首先采用正则表达式将日志中的公有字段提 取出来