亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種安全漏洞回溯分析方法及裝置的制造方法

文檔序號(hào):10725510閱讀:197來(lái)源:國(guó)知局
一種安全漏洞回溯分析方法及裝置的制造方法
【專(zhuān)利摘要】本發(fā)明提供了一種安全漏洞回溯分析方法及裝置。方法包括:采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的Netflow數(shù)據(jù);將采集到的日志數(shù)據(jù)和Netflow數(shù)據(jù)一同進(jìn)行格式化處理,獲得時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流;將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中;通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取到最新的安全漏洞數(shù)據(jù),將所述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則;從HDFS中提取出時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析規(guī)則計(jì)算得到受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù);根據(jù)所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)計(jì)算得到安全漏洞影響指數(shù)。本發(fā)明能夠?qū)崿F(xiàn)針對(duì)單一安全漏洞對(duì)特定企業(yè)網(wǎng)絡(luò)的影響性進(jìn)行動(dòng)態(tài)分析,且本發(fā)明基于大數(shù)據(jù)的回溯分析來(lái)分析安全漏洞的潛在影響。
【專(zhuān)利說(shuō)明】
一種安全漏洞回溯分析方法及裝置
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,更具體地說(shuō),涉及一種安全漏洞回溯分析方法及 裝置。
【背景技術(shù)】
[0002] 在互聯(lián)網(wǎng)+的發(fā)展趨勢(shì)下,網(wǎng)絡(luò)的復(fù)雜程度逐日增加,這就使得網(wǎng)絡(luò)故障的排查難 度與日倶增,未來(lái)網(wǎng)絡(luò)攻擊的模式會(huì)越來(lái)越多地以高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)的方式實(shí)施。APT攻擊是攻擊者以竊取核心資料為目的,針對(duì)客戶(hù)所發(fā)動(dòng)的網(wǎng) 絡(luò)攻擊和侵襲行為,是一種蓄謀已久的惡意商業(yè)間諜威脅。這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng) 與策劃,并具備高度的隱蔽性。APT攻擊的特征是采用新型未公開(kāi)的漏洞(Oday漏洞)執(zhí)行且 攻擊周期長(zhǎng)。
[0003] 為了保護(hù)信息的安全,企業(yè)可以投資購(gòu)買(mǎi)世界上最好的情報(bào)信息,部署最好的技 術(shù)來(lái)抵御威脅,然而其信息系統(tǒng)仍有可能受安全管理程序錯(cuò)過(guò)的簡(jiǎn)單漏洞的影響。而且在 實(shí)際應(yīng)用時(shí),大多數(shù)企業(yè)沒(méi)有足夠的人員、時(shí)間、資金、和精力來(lái)應(yīng)對(duì)威脅,企業(yè)安全投入資 源有限。因此,對(duì)安全漏洞情報(bào)數(shù)據(jù)的合理甄別,對(duì)于安全漏洞針對(duì)本企業(yè)網(wǎng)絡(luò)的威脅程度 進(jìn)行有效判定是以對(duì)抗為主體的安全防御體系下非常重要的環(huán)節(jié)。
[0004] 目前國(guó)內(nèi)外安全漏洞影響性分析的成果較少,且可使用性差。有些公司已經(jīng)發(fā)布 了網(wǎng)絡(luò)安全指數(shù),但該網(wǎng)絡(luò)安全指數(shù)是針對(duì)整個(gè)互聯(lián)網(wǎng)的安全態(tài)勢(shì),針對(duì)企業(yè)網(wǎng)絡(luò)不具備 實(shí)用價(jià)值。本發(fā)明的發(fā)明人就現(xiàn)有的安全漏洞影響分析方法來(lái)說(shuō),其主要存在以下幾個(gè)問(wèn) 題:
[0005] 1、現(xiàn)有提供的安全漏洞影響分析方法基于的是網(wǎng)絡(luò)宏觀指數(shù),沒(méi)有針對(duì)具體的漏 洞和具體的企業(yè)網(wǎng)絡(luò)做針對(duì)性分析,針對(duì)性差。
[0006] 2、現(xiàn)有提供的安全漏洞影響分析方法往往只分析當(dāng)前態(tài)勢(shì),無(wú)法體現(xiàn)潛在影響。 而實(shí)際上,APT類(lèi)攻擊往往潛伏周期長(zhǎng),必須基于網(wǎng)絡(luò)歷史數(shù)據(jù)的回溯分析,才能體現(xiàn)安全 漏洞的真正影響。

【發(fā)明內(nèi)容】

[0007] 有鑒于此,本發(fā)明提供一種安全漏洞回溯分析方法及裝置,以解決現(xiàn)有安全漏洞 影響分析方法針對(duì)性差、無(wú)法體現(xiàn)潛在影響的問(wèn)題。技術(shù)方案如下:
[0008] 基于本發(fā)明的一方面,本發(fā)明提供一種安全漏洞回溯分析方法,包括:
[0009] 采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的Netflow數(shù)據(jù);
[0010]將采集到的日志數(shù)據(jù)和Netflow數(shù)據(jù)一同進(jìn)行格式化處理,獲得時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流;
[0011] 將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于分布式文件存儲(chǔ)系統(tǒng)HDFS中;
[0012] 通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏洞數(shù)據(jù),并將所述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分 析規(guī)則;
[0013] 從所述HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析規(guī)則計(jì)算得到受 安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù);
[0014] 根據(jù)所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)計(jì)算得到安全漏洞影響指數(shù)。
[0015] 優(yōu)選地,所述將所述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則包括:
[0016] 采用正則表達(dá)式,將所述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則;
[0017] 其中,所述正則表達(dá)式中的規(guī)則內(nèi)容至少包括以下一種:漏洞名稱(chēng)、漏洞編號(hào)、廠 商、漏洞等級(jí)、影響協(xié)議、影響端口、影響操作系統(tǒng)、漏洞詳情。
[0018] 優(yōu)選地,所述從所述HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析規(guī) 則計(jì)算得到受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)包括:
[0019] 采用批處理算法,從HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流;
[0020] 根據(jù)所述回溯分析規(guī)則,獲取與所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流相匹配的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序 列;
[0021] 按照IP地址聚合計(jì)算方法,對(duì)所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列進(jìn)行計(jì)算,獲得所述受安全 漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù);其中,所述IP資產(chǎn)相關(guān)數(shù)據(jù)包括受安全漏洞影響的IP地址和 所述IP地址的統(tǒng)計(jì)信息;所述IP地址的統(tǒng)計(jì)信息包括:所述IP地址匹配命中的安全日志數(shù) 量、所述IP地址匹配命中的流量和所述IP地址受影響的總時(shí)長(zhǎng)。
[0022] 優(yōu)選地,所述根據(jù)所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)計(jì)算得到安全漏洞影響 指數(shù)包括:
[0023]
f算得到所述安全漏洞 影響指數(shù)f(x);
[0024] 其中,U為IPi的安全日志數(shù)量;
[0025] Pfi為IPi的影響流量占回溯分析周期內(nèi)總流量的比值,取值范圍為0~1;
[0026] ?。為1&的影響時(shí)長(zhǎng)占回溯分析周期內(nèi)總時(shí)長(zhǎng)的比值,取值范圍為0~1;
[0027] IPi為受安全漏洞影響的IP序列中的第i個(gè),i為正整數(shù)。
[0028]優(yōu)選地,所述采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的Netflow數(shù)據(jù)包 括:
[0029]通過(guò)系統(tǒng)日志syslog協(xié)議采集企業(yè)網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù);
[0030] 通過(guò)Netflow協(xié)議及類(lèi)Netflow協(xié)議采集路由交換設(shè)備的Netflow數(shù)據(jù)。
[0031 ]優(yōu)選地,將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中包括:
[0032] 以預(yù)設(shè)時(shí)間為周期,周期性地將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中。
[0033] 優(yōu)選地,所述將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中后,所述方法還包括:
[0034] 為存儲(chǔ)的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流增加時(shí)間戳。
[0035] 優(yōu)選地,所述通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏洞數(shù)據(jù)包括:
[0036] 通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器持續(xù)、定時(shí)地從互聯(lián)網(wǎng)安全漏洞庫(kù)中獲取最新的安全漏洞數(shù)據(jù)。 [0037]基于本發(fā)明的另一方面,本發(fā)明還提供一種安全漏洞回溯分析裝置,包括:
[0038]數(shù)據(jù)采集單元,用于采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的Netflow 數(shù)據(jù);
[0039] 格式化處理單元,用于將采集到的日志數(shù)據(jù)和Netflow數(shù)據(jù)一同進(jìn)行格式化處理, 獲得時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流;
[0040] 存儲(chǔ)單元,用于將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于分布式文件存儲(chǔ)系統(tǒng)HDFS中;
[0041] 回溯分析規(guī)則生成單元,用于通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏洞數(shù)據(jù),并將所 述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則;
[0042]第一處理單元,用于從所述HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯 分析規(guī)則計(jì)算得到受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù);
[0043] 第二處理單元,用于根據(jù)所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)、所述日志數(shù)據(jù) 和所述Netflow數(shù)據(jù)計(jì)算得到安全漏洞影響指數(shù)。
[0044] 優(yōu)選地,所述回溯分析規(guī)則生成單元具體用于,采用正則表達(dá)式,將所述安全漏洞 數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則;
[0045] 其中,所述正則表達(dá)式中的規(guī)則內(nèi)容至少包括以下一種:漏洞名稱(chēng)、漏洞編號(hào)、廠 商、漏洞等級(jí)、影響協(xié)議、影響端口、影響操作系統(tǒng)、漏洞詳情。
[0046] 優(yōu)選地,所述第一處理單元包括:
[0047] 第一處理子單元,用于采用批處理算法,從HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流; [0048]第二處理子單元,用于根據(jù)所述回溯分析規(guī)則,獲取與所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流相匹 配的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列;
[0049]第三處理子單元,用于按照IP地址聚合計(jì)算方法,對(duì)所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列進(jìn)行 計(jì)算,獲得所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù);其中,所述IP資產(chǎn)相關(guān)數(shù)據(jù)包括受安全 漏洞影響的IP地址和所述IP地址的統(tǒng)計(jì)信息;所述IP地址的統(tǒng)計(jì)信息包括:所述IP地址匹 配命中的安全日志數(shù)量、所述IP地址匹配命中的流量和所述IP地址受影響的總時(shí)長(zhǎng)。
[0050] 娜也,臓第二麵單元具體用于 計(jì)算得到所述安全漏洞影響指數(shù)f(x);
[0051 ]其中,Li為IPi的安全日志數(shù)量;
[0052] Pfi為IPi的影響流量占回溯分析周期內(nèi)總流量的比值,取值范圍為0~1;
[0053] ?^為1匕的影響時(shí)長(zhǎng)占回溯分析周期內(nèi)總時(shí)長(zhǎng)的比值,取值范圍為0~1;
[0054] IPi為受安全漏洞影響的IP序列中的第i個(gè),i為正整數(shù)。
[0055] 優(yōu)選地,所述數(shù)據(jù)采集單元包括:
[0056] 第一數(shù)據(jù)采集子單元,用于通過(guò)系統(tǒng)日志syslog協(xié)議采集企業(yè)網(wǎng)絡(luò)中安全設(shè)備的 日志數(shù)據(jù);
[0057] 第二數(shù)據(jù)采集子單元,用于通過(guò)Netf low協(xié)議及類(lèi)Netf low協(xié)議采集路由交換設(shè)備 的Netf low數(shù)據(jù)。
[0058] 優(yōu)選地,所述存儲(chǔ)單元具體用于,以預(yù)設(shè)時(shí)間為周期,周期性地將獲得的時(shí)序網(wǎng)絡(luò) 數(shù)據(jù)流存儲(chǔ)于HDFS中。
[0059] 優(yōu)選地,所述通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏洞數(shù)據(jù)包括:
[0060] 通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器持續(xù)、定時(shí)地從互聯(lián)網(wǎng)安全漏洞庫(kù)中獲取最新的安全漏洞數(shù)據(jù)。
[0061] 應(yīng)用本發(fā)明提供的安全漏洞回溯分析方法,本發(fā)明通過(guò)采集網(wǎng)絡(luò)中安全設(shè)備的日 志數(shù)據(jù)和路由交換設(shè)備的Netflow數(shù)據(jù),進(jìn)而將采集到的日志數(shù)據(jù)和Netflow數(shù)據(jù)一同進(jìn)行 格式化處理,獲得時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS(Had〇〇p Distributed File System,分布式文件存儲(chǔ)系統(tǒng))中。當(dāng)本發(fā)明通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取到最 新的安全漏洞數(shù)據(jù)時(shí),便將所述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則,且進(jìn)一步從HDFS中提 取出時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析規(guī)則計(jì)算得到受安全漏洞影響的IPdnternet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)資產(chǎn)相關(guān)數(shù)據(jù)。最后根據(jù)所述受安全漏洞影響的IP資產(chǎn)相 關(guān)數(shù)據(jù)計(jì)算得到安全漏洞影響指數(shù)。本發(fā)明能夠?qū)崿F(xiàn)針對(duì)單一安全漏洞對(duì)特定企業(yè)網(wǎng)絡(luò)或 者某具體業(yè)務(wù)部門(mén)網(wǎng)絡(luò)的影響性進(jìn)行動(dòng)態(tài)分析,且本發(fā)明基于大數(shù)據(jù)的回溯分析,針對(duì)APT 類(lèi)攻擊能夠分析出其安全漏洞的潛在影響。
【附圖說(shuō)明】
[0062] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本 發(fā)明的實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù) 提供的附圖獲得其他的附圖。
[0063] 圖1為本發(fā)明提供的一種安全漏洞回溯分析方法的流程圖;
[0064] 圖2為本發(fā)明提供的一種安全漏洞回溯分析方法的另一種流程圖;
[0065] 圖3為本發(fā)明提供的一種安全漏洞回溯分析裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0066] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于 本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0067] 請(qǐng)參閱圖1,其示出了本發(fā)明提供的一種安全漏洞回溯分析方法的流程圖,包括: [0068]步驟101,采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的Netf low數(shù)據(jù)。
[0069] 在本發(fā)明中,可以通過(guò)系統(tǒng)日志syslog協(xié)議采集企業(yè)網(wǎng)絡(luò)中安全設(shè)備的日志數(shù) 據(jù),并通過(guò)Netf low協(xié)議及類(lèi)Netf low協(xié)議采集路由交換設(shè)備的Netflow數(shù)據(jù)。其中,類(lèi) 如七;1^1〇¥協(xié)議可以包括如七31:代&111,3?1〇¥、1??1父等。
[0070] 作為本發(fā)明優(yōu)選的,本發(fā)明實(shí)時(shí)采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備 的Netflow數(shù)據(jù)。當(dāng)然,本發(fā)明也可周期性、或不定時(shí)地采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和 路由交換設(shè)備的Netf low數(shù)據(jù)。
[0071] 步驟102,將采集到的日志數(shù)據(jù)和Netflow數(shù)據(jù)一同進(jìn)行格式化處理,獲得時(shí)序網(wǎng) 絡(luò)數(shù)據(jù)流。
[0072]本發(fā)明會(huì)將采集到的日志數(shù)據(jù)和Netf low數(shù)據(jù)同時(shí)進(jìn)行格式化處理,從而獲得時(shí) 序網(wǎng)絡(luò)數(shù)據(jù)流。
[0073] 本發(fā)明中時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流的格式可以設(shè)計(jì)為如下統(tǒng)一格式:
[0074] Option Field lType= "數(shù)據(jù)分類(lèi)" index = 0;
[0075] Option Field 2Type= "源地址" index = l;
[0076] Option Field 3Type= "目的地址" index = 2;
[0077] Option Field 4Type= "源端口" index = 3;
[0078] Option Field 5Type= "目的端口" index = 4;
[0079] Option Field 6Type= "協(xié)議" index = 5;
[0080] Option Field 7Type= "應(yīng)用協(xié)議" index = 6;
[0081] Option Field 8Type= "事件分類(lèi)" index = 7;
[0082] Option Field 9Type= "事件等級(jí)" index = 8;
[0083] Option Field 10Type= "資產(chǎn)分類(lèi)" index = 9;
[0084] Option Field llType= "資產(chǎn)操作系統(tǒng)" index = 10;
[0085] Option Field 12Type= "發(fā)生時(shí)間" index = 11。
[0086] 步驟103,將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中。
[0087] 在本發(fā)明中,本發(fā)明會(huì)將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流及時(shí)、持續(xù)地存儲(chǔ)在HDFS中。其中 作為本發(fā)明優(yōu)選的,本發(fā)明可以以預(yù)設(shè)時(shí)間為周期,周期性地將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存 儲(chǔ)于HDFS中。例如,以天為周期,將每天獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中的一個(gè)分區(qū), 或以一小時(shí)為周期,將每小時(shí)獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中的一個(gè)分區(qū)等。
[0088] 此外,本發(fā)明在將時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中后,還可以為存儲(chǔ)的時(shí)序網(wǎng)絡(luò)數(shù) 據(jù)流增加時(shí)間戳。例如,在以天為周期,將每天獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中的一個(gè) 分區(qū)后,可以在存儲(chǔ)的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流上增加 day的時(shí)間戳,在以一小時(shí)為周期,將每小時(shí) 獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中的一個(gè)分區(qū)后,可以在存儲(chǔ)的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流上增加 hour的時(shí)間戳。本發(fā)明為存儲(chǔ)的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流增加時(shí)間戳,以便于本發(fā)明進(jìn)行回溯分析 時(shí)可以高效地提取出需要的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流。
[0089] 步驟104,通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏洞數(shù)據(jù),并將所述安全漏洞數(shù)據(jù)轉(zhuǎn)化 為回溯分析規(guī)則。
[0090] 在本發(fā)明中,可以采用互聯(lián)網(wǎng)安全漏洞庫(kù),如CNCERT國(guó)家互聯(lián)網(wǎng)應(yīng)急中心提供的 漏洞公告,通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器持續(xù)、定時(shí)地從互聯(lián)網(wǎng)安全漏洞庫(kù)中獲取最新的安全漏洞數(shù)據(jù)。 本發(fā)明中,每當(dāng)獲取到最新的安全漏洞數(shù)據(jù)時(shí),便將該獲得的安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分 析規(guī)則。
[0091] 具體的,本發(fā)明采用正則表達(dá)式,將獲得的最新的安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析 規(guī)則。其中,所述正則表達(dá)式中的規(guī)則內(nèi)容至少包括以下一種:漏洞名稱(chēng)、漏洞編號(hào)、廠商、 漏洞等級(jí)、影響協(xié)議、影響端口、影響操作系統(tǒng)、漏洞詳情。
[0092] 在本發(fā)明中,安全漏洞的格式可以設(shè)計(jì)為如下統(tǒng)一格式:
[0093] Option Field lType= "漏洞名稱(chēng)" index = 0;
[0094] Option Field 2Type= "漏洞編號(hào)" index = l;
[0095] Option Field 3Type= "廠商" index = 2;
[0096] Option Field 4Type= "漏洞等級(jí)" index = 3;
[0097] Option Field 5Type= "影響協(xié)議" index = 4;
[0098] Option Field 6Type= "影響端口" index = 5;
[0099] Option Field 7Type= "影響操作系統(tǒng)" index = 6;
[0100] Option Field 8Type= "漏洞詳情" index = 7〇
[0101] 步驟105,從所述HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析規(guī)則計(jì) 算得到受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)。
[0102] 在本發(fā)明中,每當(dāng)通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取到最新的安全漏洞數(shù)據(jù),并將所述安全漏 洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則后,便從HDFS中提取出時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,進(jìn)而根據(jù)所述回溯分 析規(guī)則計(jì)算得到受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)。
[0103] 具體地,本發(fā)明中的步驟105包括,如圖2所示:
[0104] 步驟1051,采用批處理算法,從HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流。
[0105] 本發(fā)明采用批處理算法,從HDFS中提取出時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流。同時(shí),本發(fā)明還可以采 用逐段分析的策略,將每小時(shí)提取出的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)至計(jì)算機(jī)內(nèi)存。
[0106] 步驟1052,根據(jù)所述回溯分析規(guī)則,獲取與所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流相匹配的時(shí)序網(wǎng) 絡(luò)數(shù)據(jù)序列。
[0107] 步驟1053,按照IP地址聚合計(jì)算方法,對(duì)所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列進(jìn)行計(jì)算,獲得所 述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)。
[0108] 其中,所述IP資產(chǎn)相關(guān)數(shù)據(jù)包括受安全漏洞影響的IP地址和所述IP地址的統(tǒng)計(jì)信 息。所述IP地址的統(tǒng)計(jì)信息進(jìn)一步包括:所述IP地址匹配命中的安全日志數(shù)量、所述IP地址 匹配命中的流量和所述IP地址受影響的總時(shí)長(zhǎng)。
[0109] 作為本發(fā)明優(yōu)選地,本發(fā)明可以將所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)存儲(chǔ)至 計(jì)算機(jī)內(nèi)存中。
[0110] 步驟106,根據(jù)所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)計(jì)算得到安全漏洞影響指 數(shù)。
[0111] 在本發(fā)明中,根據(jù)回溯分析結(jié)果,假設(shè)受安全漏洞影響的IP序列為{IPhlP^IPs, IP4JP5.......,IPn},其中,IPi為受安全漏洞影響的IP序列中的第i個(gè),i為正整數(shù)。
[0112] 那么,其對(duì)應(yīng)的安全日志數(shù)量的序列為:{Li,L2,L3,L4,L5.......L n},Li為IPi的安 全日志數(shù)量。
[0113] 其對(duì)應(yīng)的流量占比序列為:{ Pf i,Pf 2,Pf 3,Pf 4,Pf 5.......,Pf n },Pf i為I Pi的影響流 量占回溯分析周期內(nèi)總流量的比值,取值范圍為〇~1;
[0114] 其對(duì)應(yīng)的影響總時(shí)長(zhǎng)序列為JPthPthPthPthPts.......,Ptn},Pti為IPi的影響 時(shí)長(zhǎng)占回溯分析周期內(nèi)總時(shí)長(zhǎng)的比值,取值范圍為0~1;
[0115] 此外,本發(fā)明中定義IPi的事件影響頻度計(jì)算為:
,取值范圍為〇 ~1 〇
[0116] 此時(shí),
計(jì)算得到所述安全 漏洞影響指數(shù)f(x)。
[0117] 在本發(fā)明中,安全漏洞影響指數(shù)f(x)的取值范圍為0~100。本發(fā)明可以預(yù)先設(shè)定 不同的判定標(biāo)準(zhǔn),例如,當(dāng)f (X)的值位于7 6~10 0之間時(shí),表示當(dāng)前受安全漏洞影響較高;當(dāng) f(x)的值位于51~75之間時(shí),表示當(dāng)前受安全漏洞影響中等;當(dāng)f(x)的值位于26~50之間 時(shí),表示當(dāng)前受安全漏洞影響較低;當(dāng)f(x)的值位于〇~25之間時(shí),表示當(dāng)前受安全漏洞影 響非常低。當(dāng)然,本發(fā)明也可以根據(jù)不同的網(wǎng)絡(luò)環(huán)境,對(duì)判定標(biāo)準(zhǔn)進(jìn)行相應(yīng)調(diào)整。
[0118] 因此應(yīng)用本發(fā)明上述技術(shù)方案,本發(fā)明通過(guò)采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路 由交換設(shè)備的Netflow數(shù)據(jù),進(jìn)而將采集到的日志數(shù)據(jù)和Netflow數(shù)據(jù)一同進(jìn)行格式化處 理,獲得時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中。當(dāng)本發(fā)明通過(guò)網(wǎng)絡(luò)爬 蟲(chóng)器獲取到最新的安全漏洞數(shù)據(jù)時(shí),便將所述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則,且進(jìn)一 步從HDFS中提取出時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析規(guī)則計(jì)算得到受安全漏洞影響的 IP資產(chǎn)相關(guān)數(shù)據(jù)。最后根據(jù)所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)計(jì)算得到安全漏洞影響 指數(shù)。本發(fā)明能夠?qū)崿F(xiàn)針對(duì)單一安全漏洞對(duì)特定企業(yè)網(wǎng)絡(luò)或者某具體業(yè)務(wù)部門(mén)網(wǎng)絡(luò)的影響 性進(jìn)行動(dòng)態(tài)分析,且本發(fā)明基于大數(shù)據(jù)的回溯分析,針對(duì)APT類(lèi)攻擊能夠分析出其安全漏洞 的潛在影響。
[0119] 基于前文本發(fā)明提供的一種安全漏洞回溯分析方法,本發(fā)明還提供一種安全漏洞 回溯分析裝置,如圖3所示,包括:數(shù)據(jù)采集單元100、格式化處理單元200、存儲(chǔ)單元300、回 溯分析規(guī)則生成單元400、第一處理單元500和第二處理單元600。其中,
[0120] 數(shù)據(jù)采集單元100,用于采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的 Netf low 數(shù)據(jù)。
[0121] 在本發(fā)明中,數(shù)據(jù)采集單元100進(jìn)一步包括:
[0122] 第一數(shù)據(jù)采集子單元101,用于通過(guò)系統(tǒng)日志syslog協(xié)議采集企業(yè)網(wǎng)絡(luò)中安全設(shè) 備的日志數(shù)據(jù);
[0123] 第二數(shù)據(jù)采集子單元102,用于通過(guò)Netf low協(xié)議及類(lèi)Netf low協(xié)議采集路由交換 設(shè)備的Netf low數(shù)據(jù)。
[0124] 作為本發(fā)明優(yōu)選的,本發(fā)明中的第一數(shù)據(jù)采集子單元101實(shí)時(shí)采集企業(yè)網(wǎng)絡(luò)中安 全設(shè)備的日志數(shù)據(jù),第二數(shù)據(jù)采集子單元102實(shí)時(shí)采集企業(yè)網(wǎng)絡(luò)中路由交換設(shè)備的Netflow 數(shù)據(jù)。當(dāng)然,本發(fā)明也可周期性、或不定時(shí)地采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè) 備的Netf low數(shù)據(jù)。
[0125] 格式化處理單元200,用于將采集到的日志數(shù)據(jù)和Netf low數(shù)據(jù)一同進(jìn)行格式化處 理,獲得時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流。
[0126] 本發(fā)明中時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流的格式可以設(shè)計(jì)為如下統(tǒng)一格式:
[0127] Option Field lType= "數(shù)據(jù)分類(lèi)" index = 0;
[0128] Option Field 2Type= "源地址" index = l;
[0129] Option Field 3Type= "目的地址" index = 2;
[0130] Option Field 4Type= "源端口" index = 3;
[0131] Option Field 5Type= "目的端口" index = 4;
[0132] Option Field 6Type= "協(xié)議" index = 5;
[0133] Option Field 7Type= "應(yīng)用協(xié)議" index = 6;
[0134] Option Field 8Type= "事件分類(lèi)" index = 7;
[0135] Option Field 9Type= "事件等級(jí)" index = 8;
[0136] Option Field 10Type= "資產(chǎn)分類(lèi)" index = 9;
[0137] Option Field llType= "資產(chǎn)操作系統(tǒng)" index = 10;
[0138] Option Field 12Type= "發(fā)生時(shí)間" index = 11。
[0139]存儲(chǔ)單元300,用于將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中。
[0140] 本發(fā)明中,存儲(chǔ)單元300會(huì)將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流及時(shí)、持續(xù)地存儲(chǔ)在HDFS中。 其中作為本發(fā)明優(yōu)選的,存儲(chǔ)單元300還具體用于,以預(yù)設(shè)時(shí)間為周期,周期性地將獲得的 時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中。例如,以天為周期,將每天獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于 HDFS中的一個(gè)分區(qū),或以一小時(shí)為周期,將每小時(shí)獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中的 一個(gè)分區(qū)等。
[0141] 回溯分析規(guī)則生成單元400,用于通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏洞數(shù)據(jù),并將 所述安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則。
[0142] 在本發(fā)明中,可以采用互聯(lián)網(wǎng)安全漏洞庫(kù),如CNCERT國(guó)家互聯(lián)網(wǎng)應(yīng)急中心提供的 漏洞公告,通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器持續(xù)、定時(shí)地從互聯(lián)網(wǎng)安全漏洞庫(kù)中獲取最新的安全漏洞數(shù)據(jù)。
[0143] 具體在本發(fā)明中,回溯分析規(guī)則生成單元400具體用于,采用正則表達(dá)式,將所述 安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則。其中,所述正則表達(dá)式中的規(guī)則內(nèi)容至少包括以下一 種:漏洞名稱(chēng)、漏洞編號(hào)、廠商、漏洞等級(jí)、影響協(xié)議、影響端口、影響操作系統(tǒng)、漏洞詳情。
[0144] 在本發(fā)明中,安全漏洞的格式可以設(shè)計(jì)為如下統(tǒng)一格式:
[0145] Option Field lType= "漏洞名稱(chēng)" index = 0;
[0146] Option Field 2Type= "漏洞編號(hào)" index = l;
[0147] Option Field 3Type= "廠商" index = 2;
[0148] Option Field 4Type= "漏洞等級(jí)" index = 3;
[0149] Option Field 5Type= "影響協(xié)議" index = 4;
[0150] Option Field 6Type= "影響端口" index = 5;
[0151] Option Field 7Type= "影響操作系統(tǒng)" index = 6;
[0152] Option Field 8Type= "漏洞詳情" index = 7〇
[0153] 第一處理單元500,用于從所述HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回 溯分析規(guī)則計(jì)算得到受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)。
[0154] 在本發(fā)明中,每當(dāng)回溯分析規(guī)則生成單元400將安全漏洞數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī) 則后,第一處理單元500便從HDFS中提取出時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,進(jìn)而根據(jù)所述回溯分析規(guī)則計(jì) 算得到受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)。
[0155] 具體地,本發(fā)明中第一處理單元500包括:
[0156] 第一處理子單元501,用于采用批處理算法,從HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù) 流;
[0157] 第二處理子單元502,用于根據(jù)所述回溯分析規(guī)則,獲取與所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流相 匹配的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列;
[0158] 第三處理子單元503,用于按照IP地址聚合計(jì)算方法,對(duì)所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列進(jìn) 行計(jì)算,獲得所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù);其中,所述IP資產(chǎn)相關(guān)數(shù)據(jù)包括受安 全漏洞影響的IP地址和所述IP地址的統(tǒng)計(jì)信息;所述IP地址的統(tǒng)計(jì)信息包括:所述IP地址 匹配命中的安全日志數(shù)量、所述IP地址匹配命中的流量和所述IP地址受影響的總時(shí)長(zhǎng)。
[0159] 第二處理單元600,用于根據(jù)所述受安全漏洞影響的IP資產(chǎn)相關(guān)數(shù)據(jù)、所述日志數(shù) 據(jù)和所述Netflow數(shù)據(jù)計(jì)算得到安全漏洞影響指數(shù)。
[0160] 在本發(fā)明中,第二處理單元600具體用于:
計(jì)算得到所述安全漏洞影響指數(shù)f(x);
[0161] 其中,U為IPi的安全日志數(shù)量;
[0162] Pfi為IPi的影響流量占回溯分析周期內(nèi)總流量的比值,取值范圍為0~1;
[0163] ?^為1匕的影響時(shí)長(zhǎng)占回溯分析周期內(nèi)總時(shí)長(zhǎng)的比值,取值范圍為0~1;
[0164] IPi為受安全漏洞影響的IP序列中的第i個(gè),i為正整數(shù)。
[0165] 需要說(shuō)明的是,本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重 點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可。 對(duì)于裝置類(lèi)實(shí)施例而言,由于其與方法實(shí)施例基本相似,所以描述的比較簡(jiǎn)單,相關(guān)之處參 見(jiàn)方法實(shí)施例的部分說(shuō)明即可。
[0166] 最后,還需要說(shuō)明的是,在本文中,諸如第一和第二等之類(lèi)的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將 一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái),而不一定要求或者暗示這些實(shí)體或操作 之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語(yǔ)"包括"、"包含"或者其任何其他變體意 在涵蓋非排他性的包含,從而使得包括一系列要素的過(guò)程、方法、物品或者設(shè)備不僅包括那 些要素,而且還包括沒(méi)有明確列出的其他要素,或者是還包括為這種過(guò)程、方法、物品或者 設(shè)備所固有的要素。在沒(méi)有更多限制的情況下,由語(yǔ)句"包括一個(gè)……"限定的要素,并不排 除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同要素。
[0167] 以上對(duì)本發(fā)明所提供的一種安全漏洞回溯分析方法及裝置進(jìn)行了詳細(xì)介紹,本文 中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫 助理解本發(fā)明的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思 想,在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì) 本發(fā)明的限制。
【主權(quán)項(xiàng)】
1. 一種安全漏桐回溯分析方法,其特征在于,包括: 采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的化tflow數(shù)據(jù); 將采集到的日志數(shù)據(jù)和化tflow數(shù)據(jù)一同進(jìn)行格式化處理,獲得時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流; 將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于分布式文件存儲(chǔ)系統(tǒng)皿FS中; 通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏桐數(shù)據(jù),并將所述安全漏桐數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī) 則; 從所述HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析規(guī)則計(jì)算得到受安全 漏桐影響的IP資產(chǎn)相關(guān)數(shù)據(jù); 根據(jù)所述受安全漏桐影響的IP資產(chǎn)相關(guān)數(shù)據(jù)計(jì)算得到安全漏桐影響指數(shù)。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述將所述安全漏桐數(shù)據(jù)轉(zhuǎn)化為回溯分析 規(guī)則包括: 采用正則表達(dá)式,將所述安全漏桐數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則; 其中,所述正則表達(dá)式中的規(guī)則內(nèi)容至少包括W下一種:漏桐名稱(chēng)、漏桐編號(hào)、廠商、漏 桐等級(jí)、影響協(xié)議、影響端口、影響操作系統(tǒng)、漏桐詳情。3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述從所述皿FS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù) 據(jù)流,并根據(jù)所述回溯分析規(guī)則計(jì)算得到受安全漏桐影響的IP資產(chǎn)相關(guān)數(shù)據(jù)包括: 采用批處理算法,從皿FS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流; 根據(jù)所述回溯分析規(guī)則,獲取與所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流相匹配的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列; 按照IP地址聚合計(jì)算方法,對(duì)所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列進(jìn)行計(jì)算,獲得所述受安全漏桐 影響的IP資產(chǎn)相關(guān)數(shù)據(jù);其中,所述IP資產(chǎn)相關(guān)數(shù)據(jù)包括受安全漏桐影響的IP地址和所述 IP地址的統(tǒng)計(jì)信息;所述IP地址的統(tǒng)計(jì)信息包括:所述IP地址匹配命中的安全日志數(shù)量、所 述IP地址匹配命中的流量和所述IP地址受影響的總時(shí)長(zhǎng)。4. 根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于,所述根據(jù)所述受安全漏桐影響的 IP資產(chǎn)相關(guān)數(shù)據(jù)計(jì)算得到安全漏桐影響指數(shù)包括: 利用公式開(kāi)算得到所述安全漏桐影響 指數(shù)f(x); 其中,Li為IPi的安全日志數(shù)量; Pf功IPi的影響流量占回溯分析周期內(nèi)總流量的比值,取值范圍為0~1; Pti為IPi的影響時(shí)長(zhǎng)占回溯分析周期內(nèi)總時(shí)長(zhǎng)的比值,取值范圍為0~1; IPi為受安全漏桐影響的IP序列中的第i個(gè),i為正整數(shù)。5. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路 由交換設(shè)備的化tf low數(shù)據(jù)包括: 通過(guò)系統(tǒng)日志syslog協(xié)議采集企業(yè)網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù); 通過(guò)化tf low協(xié)議及類(lèi)化tf low協(xié)議采集路由交換設(shè)備的化tf low數(shù)據(jù)。6. 根據(jù)權(quán)利要求1所述的方法,其特征在于,將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于皿FS中包 括: W預(yù)設(shè)時(shí)間為周期,周期性地將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于皿FS中。7. 根據(jù)權(quán)利要求6所述的方法,其特征在于,所述將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于HDFS中 后,所述方法還包括: 為存儲(chǔ)的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流增加時(shí)間戳。8. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏桐 數(shù)據(jù)包括: 通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器持續(xù)、定時(shí)地從互聯(lián)網(wǎng)安全漏桐庫(kù)中獲取最新的安全漏桐數(shù)據(jù)。9. 一種安全漏桐回溯分析裝置,其特征在于,包括: 數(shù)據(jù)采集單元,用于采集網(wǎng)絡(luò)中安全設(shè)備的日志數(shù)據(jù)和路由交換設(shè)備的化tflow數(shù)據(jù); 格式化處理單元,用于將采集到的日志數(shù)據(jù)和化tflow數(shù)據(jù)一同進(jìn)行格式化處理,獲得 時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流. 存儲(chǔ)單元,用于將所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于分布式文件存儲(chǔ)系統(tǒng)皿FS中; 回溯分析規(guī)則生成單元,用于通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏桐數(shù)據(jù),并將所述安 全漏桐數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則; 第一處理單元,用于從所述HDFS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)所述回溯分析 規(guī)則計(jì)算得到受安全漏桐影響的IP資產(chǎn)相關(guān)數(shù)據(jù); 第二處理單元,用于根據(jù)所述受安全漏桐影響的IP資產(chǎn)相關(guān)數(shù)據(jù)、所述日志數(shù)據(jù)和所 述化tflow數(shù)據(jù)計(jì)算得到安全漏桐影響指數(shù)。10. 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述回溯分析規(guī)則生成單元具體用于,采 用正則表達(dá)式,將所述安全漏桐數(shù)據(jù)轉(zhuǎn)化為回溯分析規(guī)則; 其中,所述正則表達(dá)式中的規(guī)則內(nèi)容至少包括W下一種:漏桐名稱(chēng)、漏桐編號(hào)、廠商、漏 桐等級(jí)、影響協(xié)議、影響端口、影響操作系統(tǒng)、漏桐詳情。11. 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述第一處理單元包括: 第一處理子單元,用于采用批處理算法,從皿FS中提取出所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流; 第二處理子單元,用于根據(jù)所述回溯分析規(guī)則,獲取與所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流相匹配的 時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列. 第Ξ處理子單元,用于按照IP地址聚合計(jì)算方法,對(duì)所述時(shí)序網(wǎng)絡(luò)數(shù)據(jù)序列進(jìn)行計(jì)算, 獲得所述受安全漏桐影響的IP資產(chǎn)相關(guān)數(shù)據(jù);其中,所述IP資產(chǎn)相關(guān)數(shù)據(jù)包括受安全漏桐 影響的IP地址和所述IP地址的統(tǒng)計(jì)信息;所述IP地址的統(tǒng)計(jì)信息包括:所述IP地址匹配命 中的安全日志數(shù)量、所述IP地址匹配命中的流量和所述IP地址受影響的總時(shí)長(zhǎng)。12. 根據(jù)權(quán)利要求9-11任一項(xiàng)所述的裝置,其特征在于,所述第二處理單元具體用于, 利用公式十算得到所述安全漏桐影響指數(shù) f (x); 其中,Li為IPi的安全日志數(shù)量; Pf功IPi的影響流量占回溯分析周期內(nèi)總流量的比值,取值范圍為0~1; Pti為IPi的影響時(shí)長(zhǎng)占回溯分析周期內(nèi)總時(shí)長(zhǎng)的比值,取值范圍為0~1; IPi為受安全漏桐影響的IP序列中的第i個(gè),i為正整數(shù)。13. 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述數(shù)據(jù)采集單元包括: 第一數(shù)據(jù)采集子單元,用于通過(guò)系統(tǒng)日志syslog協(xié)議采集企業(yè)網(wǎng)絡(luò)中安全設(shè)備的日志 數(shù)據(jù); 第二數(shù)據(jù)采集子單元,用于通過(guò)Netflow協(xié)議及類(lèi)化tf low協(xié)議采集路由交換設(shè)備的 Netf low 數(shù)據(jù)。14. 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述存儲(chǔ)單元具體用于,W預(yù)設(shè)時(shí)間為周 期,周期性地將獲得的時(shí)序網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)于皿FS中。15. 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器獲取最新的安全漏 桐數(shù)據(jù)包括: 通過(guò)網(wǎng)絡(luò)爬蟲(chóng)器持續(xù)、定時(shí)地從互聯(lián)網(wǎng)安全漏桐庫(kù)中獲取最新的安全漏桐數(shù)據(jù)。
【文檔編號(hào)】G06F21/56GK106096406SQ201610371183
【公開(kāi)日】2016年11月9日
【申請(qǐng)日】2016年5月30日
【發(fā)明人】張延佳
【申請(qǐng)人】北京啟明星辰信息安全技術(shù)有限公司, 啟明星辰信息技術(shù)集團(tuán)股份有限公司
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1