一種網絡攻擊事件定量分級算法的實現方法
【技術領域】
[0001 ]本發明涉及信息安全領域,具體是網絡安全事件審計和分析領域。
【背景技術】
[0002] "互聯網+"戰略就是利用互聯網的平臺,利用信息通信技術,把互聯網和包括傳統 行業在內的各行各業結合起來,在新的領域創造一種新的生態。在這種戰略背景下,網絡安 全的重要性已經上升的國家戰略的高度。《中華人民共和國網絡安全法》"第五十條因維護 國家安全和社會公共秩序,處置重大突發社會安全事件的需要,國務院或者省、自治區、直 轄市人民政府經國務院批準,可以在部分地區對網絡通信采取限制等臨時措施"。在這樣的 環境下,必須對網絡攻擊事件有非常明確、有效的定量分級,才能讓網絡安全決策措施科 學、合理。
[0003] 當前對網絡攻擊事件嚴重等級的往往采用單一安全設備(如防病毒系統、防火墻、 入侵檢測系統、漏洞掃描系統、UTM等)通過各自獨立的檢測算法提供的,這樣的分級包括 "特別重大事件"、"重大事件"、"較大事件"、"一般事件"。這樣的網絡攻擊事件分級有如下 缺點:
[0004] ?僅是定性判斷,不夠精確也難以納入信息安全工作流處置流程;
[0005] ?單點判斷,準確性差,決策價值低
[0006] 信息安全事件的管理包括事前管理、事中監控、事后審計的管理理念。事前管理, 系統引入了主動管理方式,能夠在威脅發生之前就前攝性地進行事前安全管理。系統事前 管理包括:日志收集管理、安全威脅預警管理、主動漏洞掃描管理。事中監控,系統引入日志 實時關聯分析技術,能夠在威脅正在發生時進行預警管理,系統事中監控管理主要包括,事 件實時展示、實時統計、關聯分析、事件拓撲展示、風險管理。事后審計,系統引入事件查詢 與追溯的管理方式,能夠在事件發生后系統上進行相關事件的查詢取證。系統事后審計包 括:事件查詢、報表等。在安全事件的決策過程中,每一個環節,安全事件嚴重等級的正確評 估都非常重要。因此,必須把安全事件的嚴重等級正確評估,才能正確決策。
【發明內容】
[0007] 本發明的目的是為了克服現有技術的缺點,提供一種網絡攻擊事件定量分級方 法,本方法采集安全設備報送的網絡攻擊事件,采用正則表達算法獲得網絡攻擊定性分級 值(PV),實時采集網絡鏡像流量并根據流量分析算法獲得攻擊事件相關的會話信息,基于 攻擊事件的全網影響比率計算網絡攻擊定量分級值(CV);從而最終實現攻擊事件的定量分 級。本方法實現了對安全設備產生的安全事件進行定量分級計算,解決了當前安全事件分 級不精確、不統一的問題。為安全決策提供有效可靠的依據。
[0008] 本發明的目的是通過以下技術方案實現的:
[0009] -種可容錯的分布式安全事件數據傳輸協議的實現方法,其特征在于:
[0010] A、以Syslog協議或日志文本讀取的方式獲取網絡攻擊事件,每一條網絡攻擊事件 稱為Event,采用正則表達算法解析該網絡攻擊事件的五元組信息,該五元組信息內容包 括:攻擊源IP、攻擊目的IP、攻擊開始時間、攻擊結束時間、攻擊嚴重等級;所述攻擊嚴重等 級包括"嚴重"、"輕微"的定性表達;
[0011] B、通過事件等級映射表將該網絡攻擊事件的攻擊嚴重等級映射為1,2,3,4,5,6, 7,8數值,該數值稱為網絡攻擊定性分級值pv;
[0012] C、通過鏡像流量技術采集被攻擊網絡的流量數據包數據,采用流量分析算法獲得 網絡會話信息數據,該網絡會話信息數據內容包括:源IP、目的IP、源端口、目的端口、協議、 會話開始時間、會話結束時間、會話包含的字節數、會話包含的數據包數,每一條網絡會話 信息數據稱為flow。網絡會話信息數據包含了網絡所有的會話信息,將所有網絡會話信息 數據緩存至哈希映射表結構中;
[0013] D、采集并解析一條網絡攻擊事件Event后,按照該網絡攻擊事件的攻擊源IP、攻擊 目的IP、攻擊開始時間、攻擊結束時間屬性從網絡會話信息數據緩存中檢索和該網絡攻擊 事件Event相關的網絡會話信息數據flow,每一條網絡攻擊事件Event對應1條或多條網絡 會話信息數據flow,依據網絡會話信息數據flow數據計算該網絡攻擊事件的攻擊定量分級 值CV;
[0014] E、通過以下算法計算網絡攻擊事件Event的攻擊等級測量值:
[0015] Level = ( 1 · 25*pv+cv)/2。
[0016] 優選的,在步驟A中的采用正則表達算法解析該網絡攻擊事件五元組是指:對接收 的網絡攻擊事件的五元組解析處理,根據配置文件,按照其配置文件中的字段定義,對事件 進行歸一化,配置文件采用XML配置日志的具體字段定義,可以進行擴展支持任意格式的日 志內容。可支持多個配置文件,每個配置文件配置一種或多種日志格式。
[0017] 事件的五元組解析采用分級歸一化,首先采用正則表達式將日志中的公有字段提 取出來,對于其他私有字段進行二次提取,避免了重復掃描,又具有靈活性,這種分級歸一 化可以較大地提高解析日志的性能。
[0018] 優選的,在步驟B中的攻擊事件嚴重等級映射關系為:
[0019] 〈8,緊急(Emergencies)〉
[0020] 〈7,告警(Alerts)〉
[0021] 〈6,嚴重的(Critical)〉
[0022] 〈5,錯誤(Errors)〉
[0023] 〈4,警告(Warnings)〉
[0024] 〈3,通知(Notifications)〉
[0025] 〈2,信息(Informational)〉
[0026] 〈1,調試(Debugging)〉
[0027] 優選的,在步驟C中采用流量分析算法獲得網絡會話信息數據,該流量分析算法采 用特征向量組方法確定會話,上述特征向量組選取為{:源IP地址,源端口,目的IP地址,目的 端口和傳輸層協議號},這五個量組成的一個集合,采用TCP頭中的TCP序列號 SequenceNumber來保證數據報文的順序。
[0028] 優選的,在步驟D中網絡攻擊事件Event的攻擊定量分級值(cv)的計算方法為: [0029] 通過檢索獲得攻擊事件Event相關的網絡會話信息數據f low為:(f lowi,f loW2, fl〇W3,fl〇W4, ···,f loWn),
[0030] 對應的會話字節數為:(byti,byt2,byt3,byt4,···,bytn),攻擊期間(攻擊事件Event 的開始時間至結束時間)內全網總會話數為Tb;
[0031 ] 對應的會話包數為:(pkti,pkt2,pkt3,pkt4,…,pktn),攻擊期間(攻擊事件Event的 開始時間至結束時間)內全網總包數為TP;
[0032] 則攻擊事件Event的全網影響比率為:
[0033]
[0034] 進而,網絡攻擊事件Event的攻擊定量分級值(cv)為: Γ CUH
[0035] η卜11() * 0.':t 若.ir > 旦 k < 0,1 V 10jir>CU
【附圖說明】
[0036] 圖1是本發明方法的流程示意圖;
【具體實施方式】
[0037] -種可容錯的分布式安全事件數據傳輸協議的實現方法,其特征在于:
[0038] A、以Syslog協議或日志文本讀取的方式獲取網絡攻擊事件,每一條網絡攻擊事件 稱為Event,采用正則表達算法解析該網絡攻擊事件的五元組信息,該五元組信息內容包 括:攻擊源IP、攻擊目的IP、攻擊開始時間、攻擊結束時間、攻擊嚴重等級,所述攻擊嚴重等 級包括"嚴重"、"輕微"的定性表達;
[0039] B、通過事件等級映射表將該網絡攻擊事件的攻擊嚴重等級映射為1,2,3,4,5,6, 7,8數值,該數值稱為網絡攻擊定性分級值pv;
[0040] C、通過鏡像流量技術采集被攻擊網絡的流量數據包數據,采用流量分析算法獲得 網絡會話信息數據,該網絡會話信息數據內容包括:源IP、目的IP、源端口、目的端口、協議、 會話開始時間、會話結束時間、會話包含的字節數、會話包含的數據包數,每一條網絡會話 信息數據稱為flow。網絡會話信息數據包含了網絡所有的會話信息,將所有網絡會話信息 數據緩存至哈希映射表結構中;
[0041 ] D、采集并解析一條網絡攻擊事件Event后,按照該網絡攻擊事件的攻擊源IP、攻擊 目的IP、攻擊開始時間、攻擊結束時間屬性從網絡會話信息數據緩存中檢索和該網絡攻擊 事件Event相關的網絡會話信息數據flow,每一條網絡攻擊事件Event對應1條或多條網絡 會話信息數據flow,依據網絡會話信息數據flow數據計算該網絡攻擊事件的攻擊定量分級 值CV;
[0042] E、通過以下算法計算網絡攻擊事件Event的攻擊等級測量值:
[0043] Level = ( 1 · 25*pv+cv)/2。
[0044] 優選的,在步驟A中的采用正則表達算法解析該網絡攻擊事件五元組的方法為:
[0045]對接收的網絡攻擊事件的五元組解析處理,根據配置文件,按照其配置文件中的 字段定義,對事件進行歸一化,配置文件采用XML配置日志的具體字段定義,可以進行擴展 支持任意格式的日志內容。可支持多個配置文件,每個配置文件配置一種或多種日志格式。 [0046]對于日志格式的解析提取采用正則表達式進行處理,同時采用映射賦值和直接賦 值進行字段統一表示,例如將不同設備的事件等級映射為標準的等級。
[0047] 事件的五元組解析采用分級歸一化,首先采用正則表達式將日志中的公有字段提 取出來