一種基于攻擊關(guān)聯(lián)的安全檢測(cè)方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域的檢測(cè)與防護(hù)系統(tǒng),尤其涉及一種基于攻擊關(guān)聯(lián)的安全檢測(cè)方法和系統(tǒng)。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)安全意識(shí)的突出,越來(lái)越多企業(yè)通過(guò)購(gòu)置防火墻、入侵檢測(cè)系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)等安全設(shè)備來(lái)防護(hù)攻擊。黑客在對(duì)企業(yè)進(jìn)行滲透攻擊時(shí),通常會(huì)被企業(yè)網(wǎng)絡(luò)中的安全設(shè)備所攔截,通過(guò)審計(jì)設(shè)備中的日志記錄,管理員可以很清楚的看到攻擊者的IP、攻擊時(shí)間、攻擊目標(biāo)等信息。這極大簡(jiǎn)化了網(wǎng)絡(luò)管理員的工作。
[0003]但現(xiàn)有安全產(chǎn)品雖然大多實(shí)現(xiàn)了實(shí)時(shí)流量攻擊檢測(cè)與攔截,卻沒(méi)有對(duì)歷史事件或?qū)崟r(shí)業(yè)務(wù)與系統(tǒng)日志中的攻擊行為進(jìn)行關(guān)聯(lián)分析,這樣會(huì)導(dǎo)致網(wǎng)絡(luò)的安全防御強(qiáng)度依賴(lài)于安全設(shè)備的實(shí)時(shí)攻擊檢測(cè)強(qiáng)度,網(wǎng)絡(luò)中各主機(jī)事件日志、業(yè)務(wù)事件日志容易形成信息孤島。
[0004]在此情況下,一方面,若攻擊者在安全設(shè)備上架前,已經(jīng)突破了網(wǎng)絡(luò)安全設(shè)備,那么其對(duì)內(nèi)網(wǎng)進(jìn)行的滲透行為,管理員將無(wú)法得知,急需要有事后檢測(cè)機(jī)制去發(fā)現(xiàn)這些風(fēng)險(xiǎn)。另一方面,對(duì)于擁有繁多業(yè)務(wù)的企業(yè),若發(fā)生了網(wǎng)絡(luò)入侵事件,企業(yè)便需要對(duì)各個(gè)業(yè)務(wù)系統(tǒng)、服務(wù)器進(jìn)行安全審查,不僅排查難度大,也無(wú)法對(duì)隱藏的攻擊行為進(jìn)行有效攔截。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問(wèn)題在于,針對(duì)現(xiàn)有技術(shù)的攻擊者在安全設(shè)備上架前已經(jīng)突破了網(wǎng)絡(luò)安全設(shè)備,則無(wú)法得知其對(duì)內(nèi)網(wǎng)的滲透行為,和當(dāng)攻擊者攻擊業(yè)務(wù)繁多的企業(yè)網(wǎng)絡(luò)時(shí),則排查難度大并無(wú)法對(duì)隱藏的攻擊行為進(jìn)行有效攔截的缺陷,提供了一種基于攻擊關(guān)聯(lián)的安全檢測(cè)方法和系統(tǒng)。
[0006]本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:構(gòu)造一種基于攻擊關(guān)聯(lián)的安全檢測(cè)方法,其特征在于,所述方法包括如下步驟:
[0007]步驟S1:檢測(cè)輸入流量是否具有攻擊行為;有,則執(zhí)行步驟S2 ;否,則執(zhí)行步驟S3 ;
[0008]步驟S2:阻斷所述輸入流量的攻擊行為,并提取所述輸入流量的信息,將所述信息添加至顯性攻擊源集合;
[0009]步驟S3:分析所述輸入流量與日志記錄的關(guān)聯(lián)關(guān)系;
[0010]步驟S4:生成威脅報(bào)表。
[0011]進(jìn)一步地,所述步驟S2中,提取所述輸入流量的信息具體為:提取所述輸入流量的源IP、登陸賬號(hào)、及登陸時(shí)間。
[0012]進(jìn)一步地,在所述步驟S3之前,還包括如下步驟:用戶(hù)根據(jù)安全知識(shí)庫(kù)存儲(chǔ)的攻擊規(guī)則、漏洞等信息,預(yù)定義了所述輸入流量的檢測(cè)規(guī)則和分類(lèi)標(biāo)準(zhǔn)。
[0013]進(jìn)一步地,若所述輸入流量具有攻擊行為,則所述步驟S3包括如下步驟:
[0014]步驟S3-1:利用預(yù)定義的所述分類(lèi)標(biāo)準(zhǔn),將所述輸入流量分為高危攻擊源或低危攻擊源;或分為sql注入類(lèi)攻擊源或webshell攻擊源;
[0015]步驟S3-2:將分類(lèi)之后的所述輸入流量按類(lèi)型對(duì)指定所述日志記錄進(jìn)行全網(wǎng)分析,匹配出與所述輸入流量相關(guān)聯(lián)的所述日志記錄,并建立所述輸入流量與匹配出的所述日志記錄的關(guān)聯(lián)關(guān)系。
[0016]進(jìn)一步地,在所述步驟S3-2中,建立所述輸入流量與匹配出的所述日志記錄的關(guān)聯(lián)關(guān)系具體為:根據(jù)所述日志的詳細(xì)記錄建立所述輸入流量的IP、或所述輸入流量的登錄賬號(hào)與所述日志的關(guān)聯(lián)關(guān)系。
[0017]進(jìn)一步地,若所述輸入流量不具有攻擊行為,則所述步驟S3包括如下步驟:
[0018]步驟S3-11:打開(kāi)分析隱藏攻擊源選項(xiàng),對(duì)所述日志記錄結(jié)合安全知識(shí)庫(kù)信息進(jìn)行分析,查找所述輸入流量是否具有攻擊行為的記錄;有,則判斷為隱藏攻擊源,繼續(xù)執(zhí)行下一步驟;否,則結(jié)束;
[0019]步驟S3-22:提取所述輸入流量的信息,并添加至隱藏攻擊源集合;
[0020]步驟S3-33:阻斷與所述隱藏攻擊源集合信息相關(guān)的網(wǎng)絡(luò)流量。
[0021]進(jìn)一步地,所述日志記錄包括用戶(hù)對(duì)操作系統(tǒng)、OA系統(tǒng)、及WEB業(yè)務(wù)系統(tǒng)生成的事件記錄。
[0022]進(jìn)一步地,在所述步驟S2中,阻斷所述輸入流量攻擊行為的同時(shí),向管理員發(fā)送危險(xiǎn)告警信息;
[0023]在所述步驟S3中,若分析出所述日志記錄中有所述輸入流量的攻擊記錄,則向管理員發(fā)送危險(xiǎn)告警信息。
[0024]本發(fā)明解決其技術(shù)問(wèn)題所采用的另一技術(shù)方案是:構(gòu)造一種基于攻擊關(guān)聯(lián)的安全檢測(cè)系統(tǒng),其特征在于,所述系統(tǒng)包括:
[0025]日志管理模塊,用于從不同的系統(tǒng)獲取相關(guān)的日志記錄;所述不同的系統(tǒng)為操作系統(tǒng)、OA系統(tǒng)、或WEB ;
[0026]安全檢測(cè)模塊,包括檢測(cè)單元、攻擊源提取單元、及攻擊源集合;
[0027]所述檢測(cè)單元用于對(duì)輸入流量進(jìn)行安全檢測(cè),阻斷存在威脅的所述輸入流量;
[0028]所述攻擊源提取單元用于提取具有攻擊行為、或隱藏攻擊行為的所述輸入流量的信息,并將提取出的所述輸入流量的信息存入所述攻擊源集合;
[0029]所述攻擊源集合包括顯性攻擊源集合和隱藏攻擊源集合;
[0030]安全知識(shí)庫(kù),用于存儲(chǔ)攻擊規(guī)則及攻擊所利用的漏洞等信息;
[0031]信息分類(lèi)模塊,與所述安全知識(shí)庫(kù)相連接,用于根據(jù)所述安全知識(shí)庫(kù)的信息制定所述輸入流量的檢測(cè)規(guī)則及分類(lèi)標(biāo)準(zhǔn);
[0032]攻擊關(guān)聯(lián)分析模塊,與所述日志管理模塊、所述安全檢測(cè)模塊、所述信息分類(lèi)模塊、及所述安全知識(shí)庫(kù)均相連,用于根據(jù)信息分類(lèi)模塊制定的所述檢測(cè)規(guī)則及分類(lèi)標(biāo)準(zhǔn),對(duì)所述輸入流量進(jìn)行分類(lèi),并對(duì)所述日志管理模塊提供的所述日志記錄進(jìn)行分析,找出所述輸入流量在全網(wǎng)留下的攻擊記錄;
[0033]威脅報(bào)表生成模塊,與所述攻擊關(guān)聯(lián)分析模塊相連,用于根據(jù)所述攻擊關(guān)聯(lián)分析模塊對(duì)所述輸入流量的全網(wǎng)分析結(jié)果生成威脅報(bào)表,并發(fā)送告警信息給管理員。
[0034]進(jìn)一步地,所述攻擊關(guān)聯(lián)分析模塊還包括分析隱藏攻擊源單元;所述分析隱藏攻擊源單元用于根據(jù)所述日志記錄發(fā)現(xiàn)所述輸入流量隱藏的攻擊行為,阻斷所述隱藏的輸入流量的相關(guān)流量、并將所述隱藏的輸入流量的信息加入所述隱藏攻擊源集合。
[0035]本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn):安全檢測(cè)模塊檢測(cè)攻擊源,并根據(jù)輸入流量是否具有攻擊行為,選擇不同的處理方式,當(dāng)輸入流量具有攻擊行為時(shí),先阻斷其攻擊行為,并提取所述輸入流量的信息,添加至顯性攻擊源集合,再分析攻擊源與日志記錄的關(guān)聯(lián)關(guān)系之后,向管理員發(fā)出告警風(fēng)險(xiǎn)信息,并生成威脅報(bào)表。當(dāng)輸入流量不具有攻擊行為時(shí),直接分析該輸入流量與日志記錄的關(guān)聯(lián)關(guān)系之后,向管理員發(fā)出告警風(fēng)險(xiǎn)信息,并生成威脅報(bào)表。本發(fā)明通過(guò)分析攻擊源與日志記錄的關(guān)聯(lián)關(guān)系,方便高效的挖掘出攻擊源的所有攻擊行為和隱藏的攻擊行為,使網(wǎng)絡(luò)管理更加高效,可靠。
【附圖說(shuō)明】
[0036]下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明,附圖中:
[0037]圖1是本發(fā)明的一實(shí)施例的輸入流量具有攻擊行為時(shí)的安全檢測(cè)方法的流程圖;
[0038]圖2是圖1實(shí)施例中的步驟S3的流程圖;
[0039]圖3是本發(fā)明的另一實(shí)施例的輸入流量沒(méi)有攻擊行為時(shí)的安全檢測(cè)方法的流程圖;
[0040]圖4是本發(fā)明的系統(tǒng)原理框圖。
【具體實(shí)施方式】
[0041]為了對(duì)本發(fā)明的技術(shù)特征、目的和效果有更加清楚的理解,現(xiàn)對(duì)照附圖對(duì)輸入流量有攻擊行為時(shí)本發(fā)明對(duì)應(yīng)的【具體實(shí)施方式】和輸入流量隱藏攻擊行為時(shí)本發(fā)明對(duì)