[发明专利]一种基于日志分析功能的安全事件回溯方法及系统

说明书

本发明提供了一种基于日志分析功能的安全事件回溯方法及系统，基于日志分析功能，对于已实切发生的安全事件进行回溯，以目标源为起点，一直追溯至互联网边界，黑客在此过程中触发的安全事件根据时间点连成一条或多条安全事件链路，链路为黑客潜在攻击点。安全管理员可根据链路进行分析从而得出实际的攻击过程，后续针对实际情况进行相应的安全防护处理，可大大提高企业内部的安全等级，具有很好的市场推广应用前景。

技术领域

本发明涉及日志分析技术领域，尤其涉及一种基于日志分析功能的安全事件回溯方法及系统。

背景技术

企业内部的网络信息管理系统中会设置有多台安全设备，每台安全设备都是相互独立的，每台安全设备发生的信息安全事故都可以看做是一个独立事件，企业中发生了信息安全问题，比如黑客已突破互联网防御边界，进入到企业内部网络，并在内部网络进行一定的活动，或许安全管理员能知道黑客入侵了某核心系统或某资产，比如A设备被攻击，管理员已经知晓，但是否攻击成功管理员并不清楚，或者黑客利用漏洞进入到B设备，对设备是否进行了相应的操作，这个也无法及时获悉，即对其在内网的其他活动并未能进行关联。即使针对某核心系统进行了安全防护处理，也只是治标不治本。

有鉴于此，现有技术有待改进和提高。

发明内容

鉴于上述现有技术的不足之处，本发明的目的在于提供一种基于日志分析功能的安全事件回溯方法及系统，旨在解决现有企业信息安全问题中存在的治标不治本的问题。

为了达到上述目的，本发明采取了以下技术方案：

一种基于日志分析功能的安全事件回溯方法，其中，所述方法包括以下步骤：

S100、采集日志，并设定回溯条件；

S200、根据所述回溯条件对日志进行匹配提取，得到满足所述回溯条件的日志；

S300、从满足回溯条件的日志中选取某个日志结果进行安全回溯。

所述的基于日志分析功能的安全事件回溯方法，其中，所述步骤S100中回溯条件具体包括：设置所需的安全事件回溯时间范围；以及设置发生攻击的源IP或被攻击的目标IP。

所述的基于日志分析功能的安全事件回溯方法，其中，所述步骤S300中选取某个日志结果进行安全回溯具体包括:选取第n个日志结果进行安全回溯后，将第n个日志结果的目标IP作为第n+1个日志结果的源IP，以此类推，从而将多个日志结果串成了一条或多条安全事件链路；

其中，第n+1个日志结果的时间早于第n个日志结果的时间，n为自然数。

一种基于日志分析功能的安全事件回溯系统，其中，包括：

设置单元，用于采集日志，并设定回溯条件；

匹配单元，用于根据所述回溯条件对日志进行匹配提取，得到满足所述回溯条件的日志；

回溯单元，用于从满足回溯条件的日志中选取某个日志结果进行安全回溯。

所述的基于日志分析功能的安全事件回溯系统，其中，所述设置单元中回溯条件具体包括：设置所需的安全事件回溯时间范围；以及设置发生攻击的源IP或被攻击的目标IP。

所述的基于日志分析功能的安全事件回溯系统，其中，所述回溯单元中选取某个日志结果进行安全回溯具体包括:选取第n个日志结果进行安全回溯后，将第n个日志结果的目标IP作为第n+1个日志结果的源IP，以此类推，从而将多个日志结果串成了一条或多条安全事件链路；

其中，第n+1个日志结果的时间早于第n个日志结果的时间，n为自然数。