[发明专利]基于日志的服务器网络安全事件自动化分析方法及系统

说明书

技术领域

本发明是关于信息安全技术领域，特别涉及基于日志的服务器网络安全事件自动化分析方法及系统。

背景技术

互联网的发展给各行业带来新机遇的同时，也带来了新的威胁。由于互联网的连通性，使得恶意分子可在任何一个连接互联网的终端上，远程对目标发起精准攻击。在发生网络安全事件时，人们迫切的想知道恶意分子是如何对服务器进行攻击的，今后又该从何处着手杜绝此类事件的再次发生。发生网络安全事件的服务器上含有大量安全事件相关信息，对这些信息进行采集并集中分析，能够有效得出安全事件发生过程，为安全事件处置提供方向。

当前在网络安全事件应急处置上的工作均靠人员手动完成，尚没有一种能够从服务器上的日志信息入手，实现对事件发生源头及过程的溯源与分析的可行技术。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一能够对网络安全事件发生的服务器上的日志信息进行分析，从而实现对事件发生源头及过程的溯源与分析的方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种基于日志的服务器网络安全事件自动化分析方法，具体包括下述步骤：

(1)获取日志文件位置；

(2)判断日志文件是否可读；

(3)判断日志文件编码；

(4)按行获取日志文件中的日志内容，并存入缓冲区；

(5)从缓冲区获取日志内容信息，并与预先设置的规则(预先设置的规则是指通过对大量网络攻击进行总结观察其结构特征，从而得出一般性的规律，然后根据规律开发的相应攻击事件判定范式；攻击事件判定范式包含相应攻击事件的名称、危害等级、及判定方法)进行匹配，判断是否属于敏感信息；

(6)按照匹配情况生成网络攻击记录(若缓冲区中的日志内容信息，满足某一攻击事件判定范式的判定方法时，则生成一条网络攻击记录；网络攻击记录内容包含从日志内容信息中获取的IP、端口信息，以及攻击事件判定范式所对应的事件名称、危害等级)；

(7)将步骤(6)生成的网络攻击记录，存入本地数据库；

(8)将网络攻击记录以IP、端口、事件名称、危害等级进行显示；

(9)生成的网络攻击记录按照发生时间顺序排列。

在本发明中，步骤(4)读取日志文件内容时，以步骤(3)判别的相应的编码读取文件内容，以避免产生乱码。

在本发明中，步骤(6)中，采用正则表达特征库(正则表达特征库是对网络攻击类型的一般性规律用正则表达式进行符号化表示，是将多种网络攻击类型的符号化表示进行汇总形成的资源库，以供分析系统使用)判断日志记录是否符合网络攻击记录(若符合则生成一条网络攻击记录，若不符合则不生成网络攻击记录)。

在本发明中，涉及的网络攻击类型，即步骤(8)中的事件名称，包含但不限于：口令爆破、恶意代码上传、SQL注入、恶意扫描、表单绕过、框架注入。

提供用于所述基于日志的服务器网络安全事件自动化分析方法的自动化分析系统，包括UI界面模块、日志读取模块、日志分析模块、分析结果模块和正则表达特征库，日志读取模块、日志分析模块、分析结果模块业务相连；

所述UI界面模块用于获取日志文件位置；日志读取模块用于读取服务器日志文件的内容，并返回日志信息；所述日志分析模块用于对日志读取模块返回的日志信息，利用正则表达特征库进行匹配，得到规则匹配分析结果；所述分析结果模块用于接收日志分析模块分析后的规则匹配分析结果，并进行展示；

所述正则表达特征库是对网络攻击类型的一般性规律用正则表达式进行符号化表示的特征库。

本发明的工作原理：通过手动指定日志文件位置后，读取日志文件中的日志内容进行分析匹配，并与预先设置的规则进行匹配，从而返回规则匹配分析结果，实现对网络安全事件发生的过程进行溯源并展示。

与现有技术相比，本发明的有益效果是：

本发明基于正则表达特征库，能够通过对服务器日志文件进行自动分析，实现网络安全事件发生过程的溯源并进行展示的目的，并提供详细的分析报告。本发明从日志分析角度解决了安全事件分析处置困难的问题，并实现了自动化的工作流程。

附图说明

图1为本发明的工作原理图。

图2为本发明的工作流程图。

图3为本发明的分析效果示图。

具体实施方式