,对于其他私有字段进行二次提取,避免了重复扫描,又具有灵活性,这种分级归一 化可以较大地提高解析日志的性能。
[0048] 采用正则表达算法解析该网络攻击事件五元组的具体表达式如下:
[0049] 〈Node Name = "srcIp"Description ="事件源地址"Index = "l"Format = ""Value
[0050] 〈fieldvalue Match = "~[0, l]"Value = "l"/>
[0051 ] 〈/Node〉
[0052] 〈Node Name = "dstIp"Description = "事件目的IP"Index = "2"Format = ""Value
[0053] 〈fieldvalue Match = "~[0, l]"Value = "l"/>
[0054] 〈/Node〉
[0055] 〈Node Name = "priority"Description ="事件等级"Index = "3"Format ="" Value = 〃〃>
[0056] 〈fieldvalue Match = "~[0, l]"Value = "l"/>
[0057] 〈/Node〉
[0058] 〈Node Name = "startTime"Description ="开始时间"Index = "4"Format = //// Value = 〃〃>
[0059] 〈fieldvalue Match = "~[0, l]"Value = "l"/>
[0060] 〈/Node〉
[0061 ] 〈Node Name = "endTime"Description ="结束时间"Index = "5"Format = ""Value
[0062] 〈fieldvalue Match = "~[0, l]"Value = "l"/>
[0063] 〈/Node〉
[0064] 其中Node字段定义如下:
[0065] Name:对应字段名称;
[0066] Index:对应第一次提取的字段索引,对应event的Match中的正则表达式的组数, 从1开始;
[0067 ] Format:针对时间格式,只对时间字段有效;
[0068] Value:对于此字段直接赋值。
[0069] 优选的,在步骤B中的攻击事件严重等级映射关系为:
[0070] 〈8,紧急(Emergencies)〉
[0071] 〈7,告警(Alerts)〉
[0072] 〈6,严重的(Critical)〉
[0073] 〈5,错误(Errors)〉
[0074] 〈4,警告(Warnings)〉
[0075] 〈3,通知(Notifications)〉
[0076] 〈2,信息(Informational)〉
[0077] 〈1,调试(Debugging)〉
[0078] 优选的,在步骤C中采用流量分析算法获得网络会话信息数据,该流量分析算法采 用特征向量组方法确定会话,上述特征向量组选取为{:源IP地址,源端口,目的IP地址,目的 端口和传输层协议号},这五个量组成的一个集合,采用TCP头中的TCP序列号 SequenceNumber来保证数据报文的顺序。
[0079] 优选的,在步骤D中网络攻击事件Event的攻击定量分级值(cv)的计算方法为:
[0080] 通过检索获得攻击事件Event相关的网络会话信息数据f low为:(f lowi,f loW2, fl〇W3,fl〇W4, ···,f l〇Wn),
[0081 ] 对应的会话字节数为:(byti,byt2,byt3,byt4,···,bytn),攻击期间(攻击事件Event 的开始时间至结束时间)内全网总会话数为Tb;
[0082] 对应的会话包数为:(pkti,pkt2,pkt3,pkt4,…,pktn),攻击期间(攻击事件Event的 开始时间至结束时间)内全网总包数为Tp;
[0083] 则攻击事件Event的全网影响比率为:
[0084]
[0085] 进而,网络攻击事件Event的攻击定量分级值(cv)为: ? :!;:,若1!乂0、獻
[0086] - < 10 ?Γ, .? ir > 0,01 ir < 0,1 I 1|若泠2 (},1
[0087]本发明的实施方式不限于此,在本发明上述基本技术思想前提下,按照本领域的 普通技术知识和惯用手段对本
【发明内容】
所做出其它多种形式的修改、替换或变更,均落在 本发明权利保护范围之内。
【主权项】
1. 一种可容错的分布式安全事件数据传输协议的实现方法,其特征在于包括以下步 骤: A、 以Syslog协议或日志文本读取的方式获取网络攻击事件,每一条网络攻击事件称为 Even t,采用正则表达算法解析该网络攻击事件的五元组信息,该五元组信息内容包括:攻 击源IP、攻击目的IP、攻击开始时间、攻击结束时间、攻击严重等级; B、 通过事件等级映射表将该网络攻击事件的攻击严重等级映射为1,2,3,4,5,6,7,8数 值,该数值称为网络攻击定性分级值pv; C、 通过镜像流量技术采集被攻击网络的流量数据包数据,采用流量分析算法获得网络 会话信息数据,该网络会话信息数据内容包括:源IP、目的IP、源端口、目的端口、协议、会话 开始时间、会话结束时间、会话包含的字节数、会话包含的数据包数,每一条网络会话信息 数据称为flow; D、 采集并解析一条网络攻击事件Event后,按照该网络攻击事件的攻击源IP、攻击目的 IP、攻击开始时间、攻击结束时间属性从网络会话信息数据缓存中检索和该网络攻击事件 Event相关的网络会话信息数据flow,每一条网络攻击事件Event对应1条或多条网络会话 信息数据flow,依据网络会话信息数据flow数据计算该网络攻击事件的攻击定量分级值 CV ; E、 计算网络攻击事件Event的攻击等级测量值: Level = (1.25*pv+cv)/2。2. 根据权利要求1所述的方法,其特征在于:在步骤A中的采用正则表达算法解析该网 络攻击事件五元组是指:对接收的网络攻击事件的五元组解析处理,根据配置文件,按照其 配置文件中的字段定义,对事件进行归一化,配置文件采用XML配置日志的具体字段定义, 每个配置文件配置一种或多种日志格式;分级归一化是首先采用正则表达式将日志中的公 有字段提取出来,对于其他私有字段进行二次提取。3. 根据权利要求1所述的方法,其特征在于:步骤B中的攻击事件严重等级映射关系为: 〈8,紧急(Emergencies)〉 〈7,告警(Alerts)〉 〈6,严重的(Critical)〉 〈5,错误(Errors)〉 〈4,警告(Warnings) > 〈3,通知(Notifi cat ions)〉 〈2,信息(Informational )> 〈1,调试(Debugging)〉。4. 根据权利要求1所述的方法,其特征在于:在步骤C中采用流量分析算法获得网络会 话信息数据,该流量分析算法采用特征向量组方法确定会话,所述特征向量组选取为{:源IP 地址,源端口,目的IP地址,目的端□和传输层协议号}这五个量组成的一个集合,采用TCP 头中的TCP序列号SequenceNumber来保证数据报文的顺序。5. 根据权利要求1所述的方法,其特征在于:在步骤D中网络攻击事件Event的攻击定量 分级值cv的计算方法为: 通过检索获得攻击事件Event相关的网络会话信息数据f low为:f Iowi,f loW2,f loW3, fl〇W4, · · ·,fl〇Wn), 对应的会话字节数为:(byti,byt2,byt3,byt4, . . .,bytn),攻击期间内全网总会话数为 Tb; 对应的会话包数为:(pkti,pkt2,pkt3,pkt4,. . .,pktn),攻击期间内全网总包数为Tp; 则攻击事件Event的全网影响比率为:进而,网络攻击事件Event的攻击定量分级值(cv)为:6. 根据权利要求1-5任意一项所述的方法,其特征在于:所述攻击期间为攻击事件 Event的开始时间至结束时间。7. 根据权利要求6所述的方法,其特征在于:所述攻击严重等级包括"严重"、"轻微"的 定性表达。8. 根据权利要求7所述的方法,其特征在于:网络会话信息数据包含了网络所有的会话 信息,将所有网络会话信息数据缓存至哈希映射表结构中。
【专利摘要】本发明的目的在于提供一种网络攻击事件定量分级算法的实现方法,本方法采集安全设备报送的网络攻击事件,采用正则表达算法获得网络攻击定性分级值(pv),实时采集网络镜像流量并根据流量分析算法获得攻击事件相关的会话信息,基于攻击事件的全网影响比率计算网络攻击定量分级值(cv);从而最终实现攻击事件的定量分级。本方法实现了对安全设备产生的安全事件进行定量分级计算,解决了当前安全事件分级不精确、不统一的问题。为安全决策提供有效可靠的依据。
【IPC分类】H04L29/06
【公开号】CN105530243
【申请号】CN201510884075
【发明人】梁志宏, 樊凯, 吕华辉, 赵俊峰, 胡岸波
【申请人】中国南方电网有限责任公司信息中心, 北京启明星辰信息安全技术有限公司
【公开日】2016年4月27日
【申请日】2015年12月3日