[发明专利]一种基于攻击关联的安全检测方法和系统

权利要求书

1.一种基于攻击关联的安全检测方法，其特征在于，所述方法包括如下依次执行的步骤：

步骤S1：检测输入流量是否具有攻击行为；有，则执行步骤S2；否，则执行步骤S3；

步骤S2：阻断所述输入流量的攻击行为，并提取所述输入流量的信息，将所述信息添加至显性攻击源集合；

步骤S3：分析所述输入流量与日志记录的关联关系；

步骤S4：生成威胁报表；

在所述步骤S3之前，还包括如下步骤：用户根据安全知识库存储的攻击规则和漏洞信息，预定义所述输入流量的检测规则和分类标准；

若所述输入流量具有攻击行为，则所述步骤S3包括如下步骤：

步骤S3-1：利用预定义的所述分类标准，将所述输入流量分类；

步骤S3-2：将分类之后的所述输入流量指定所述日志记录进行全网分析，匹配出与所述输入流量相关联的所述日志记录，并建立所述输入流量与匹配出的所述日志记录的关联关系；

若所述输入流量不具有攻击行为，则所述步骤S3包括如下步骤：

步骤S3-11：打开分析隐藏攻击源选项，对所述日志记录结合安全知识库存储的攻击规则、漏洞信息及用户预定义好的所述检测规则进行分析，查找所述输入流量是否具有攻击行为的记录；有，则判断为隐藏攻击源，继续执行下一步骤；否，则结束；

步骤S3-22：提取所述输入流量的信息，并添加至隐藏攻击源集合；

步骤S3-33：阻断与所述隐藏攻击源集合信息相关的网络流量。

2.根据权利要求1所述的基于攻击关联的安全检测方法，其特征在于，所述步骤S2中，提取所述输入流量的信息具体为：提取所述输入流量的源IP、登陆账号、及登陆时间。

3.根据权利要求1所述的基于攻击关联的安全检测方法，其特征在于，

所述步骤S3-1进一步包括：利用预定义的所述分类标准，将所述输入流量分为高危攻击源或低危攻击源；或分为sql注入类攻击源或webshell攻击源。

4.根据权利要求3所述的基于攻击关联的安全检测方法，其特征在于，在所述步骤S3-2中，建立所述输入流量与匹配出的所述日志记录的关联关系具体为：根据所述日志的详细记录建立所述输入流量的源IP、或所述输入流量的登陆账号、或所述输入流量的登陆时间与所述日志的关联关系。

5.根据权利要求1所述的基于攻击关联的安全检测方法，其特征在于，所述日志记录包括用户对操作系统、OA系统、及WEB业务系统生成的事件记录。

6.根据权利要求1所述的基于攻击关联的安全检测方法，其特征在于，在所述步骤S2中，阻断所述输入流量攻击行为的同时，向管理员发送危险告警信息；

在所述步骤S3中，若分析出所述日志记录中有所述输入流量的攻击记录，则向管理员发送危险告警信息。

7.一种基于攻击关联的安全检测系统，其特征在于，包括：

日志管理模块，用于从不同的系统获取相关的日志记录；所述不同的系统为操作系统、OA系统、或WEB业务系统；

安全检测模块，包括检测单元、攻击源提取单元、及攻击源集合；

所述检测单元用于对输入流量进行安全检测，阻断存在威胁的所述输入流量；

所述攻击源提取单元用于提取具有攻击行为、或隐藏攻击行为的所述输入流量的信息，并将提取出的所述输入流量的信息存入所述攻击源集合；

所述攻击源集合包括显性攻击源集合和隐藏攻击源集合；

安全知识库，用于存储攻击规则及攻击所利用的漏洞信息；

信息分类模块，与所述安全知识库相连接，用于根据所述安全知识库存储的攻击规则及攻击所利用的漏洞信息制定所述输入流量的检测规则及分类标准；

攻击关联分析模块，与所述日志管理模块、所述安全检测模块、所述信息分类模块、及所述安全知识库均相连，用于根据信息分类模块制定的所述检测规则及分类标准，对所述输入流量进行分类，并对所述日志管理模块提供的所述日志记录进行分析，找出所述输入流量在全网留下的攻击记录；

威胁报表生成模块，与所述攻击关联分析模块相连，用于根据所述攻击关联分析模块对所述输入流量的全网分析结果生成威胁报表，并发送告警信息给管理员；

所述攻击关联分析模块还包括分析隐藏攻击源单元；所述分析隐藏攻击源单元用于根据所述日志记录发现所述输入流量隐藏的攻击行为，阻断所述隐藏攻击行为的输入流量、并将所述隐藏攻击行为的输入流量的信息加入所述隐藏攻击源集合。