[发明专利]一种基于攻击关联的安全检测方法和系统

说明书

本发明公开了一种基于攻击关联的检测方法和系统；其中所述方法包括：检测输入流量是否具有攻击行为，提取具有攻击行为的输入流量的信息，存入攻击源集合；并根据检测结果对日志记录结合攻击源的信息进行不同的分析，找出所述输入流量的所有的攻击行为和发现所述输入流量可能隐藏的攻击行为。本发明通过分析输入流量与日志记录的关联关系，方便高效的挖掘出输入流量的所有攻击行为和隐藏的攻击行为，使网络管理更加高效可靠。

技术领域

本发明涉及网络安全领域的检测与防护系统，尤其涉及一种基于攻击关联的安全检测方法和系统。

背景技术

随着网络安全意识的突出，越来越多企业通过购置防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备来防护攻击。黑客在对企业进行渗透攻击时，通常会被企业网络中的安全设备所拦截，通过审计设备中的日志记录，管理员可以很清楚的看到攻击者的IP、攻击时间、攻击目标等信息。这极大简化了网络管理员的工作。

但现有安全产品虽然大多实现了实时流量攻击检测与拦截，却没有对历史事件或实时业务与系统日志中的攻击行为进行关联分析，这样会导致网络的安全防御强度依赖于安全设备的实时攻击检测强度，网络中各主机事件日志、业务事件日志容易形成信息孤岛。

在此情况下，一方面，若攻击者在安全设备上架前，已经突破了网络安全设备，那么其对内网进行的渗透行为，管理员将无法得知，急需要有事后检测机制去发现这些风险。另一方面，对于拥有繁多业务的企业，若发生了网络入侵事件，企业便需要对各个业务系统、服务器进行安全审查，不仅排查难度大，也无法对隐藏的攻击行为进行有效拦截。

发明内容

本发明要解决的技术问题在于，针对现有技术的攻击者在安全设备上架前已经突破了网络安全设备，则无法得知其对内网的渗透行为，和当攻击者攻击业务繁多的企业网络时，则排查难度大并无法对隐藏的攻击行为进行有效拦截的缺陷，提供了一种基于攻击关联的安全检测方法和系统。

本发明解决其技术问题所采用的技术方案是：构造一种基于攻击关联的安全检测方法，其特征在于，所述方法包括如下步骤：

步骤S1：检测输入流量是否具有攻击行为；有，则执行步骤S2；否，则执行步骤S3；

步骤S2：阻断所述输入流量的攻击行为，并提取所述输入流量的信息，将所述信息添加至显性攻击源集合；

步骤S3：分析所述输入流量与日志记录的关联关系；

步骤S4：生成威胁报表。

进一步地，所述步骤S2中，提取所述输入流量的信息具体为：提取所述输入流量的源IP、登陆账号、及登陆时间。

进一步地，在所述步骤S3之前，还包括如下步骤：用户根据安全知识库存储的攻击规则、漏洞等信息，预定义了所述输入流量的检测规则和分类标准。

进一步地，若所述输入流量具有攻击行为，则所述步骤S3包括如下步骤：

步骤S3-1：利用预定义的所述分类标准，将所述输入流量分为高危攻击源或低危攻击源；或分为sql注入类攻击源或webshell攻击源；

步骤S3-2：将分类之后的所述输入流量按类型对指定所述日志记录进行全网分析，匹配出与所述输入流量相关联的所述日志记录，并建立所述输入流量与匹配出的所述日志记录的关联关系。

进一步地，在所述步骤S3-2中，建立所述输入流量与匹配出的所述日志记录的关联关系具体为：根据所述日志的详细记录建立所述输入流量的IP、或所述输入流量的登录账号与所述日志的关联关系。

进一步地，若所述输入流量不具有攻击行为，则所述步骤S3包括如下步骤：