[发明专利]基于路由器日志分析的网络攻击检测系统及检测方法

说明书

技术领域

本发明属于信息安全技术领域，特别涉及一种网络攻击检测系统，可用于保障网络空间安全。

背景技术

随着信息技术的快速发展，计算机网络覆盖范围的增广与应用的增多，使得人们越来越重视计算机网络的安全性。路由器作为计算机网络的核心基础设施，其安全尤为受到人们的关注。

在计算机网络通信中，路由器具有记录网络拓扑变化、网络设备接口状态变化、网络带宽利用率等重要信息的功能。因此，对于攻击者来说，攻破路由器的安全机制并获取网络拓扑变化、网络设备接口状态变化、网络带宽利用率等信息对其进一步控制整个计算机网络有着重要的意义。然而，由于不同厂商路由器提供的日志结构、日志内容具有较大的差别，路由器管理员难以根据统一的规则分析路由器日志，导致其无法及时发现计算机网络中存在的针对路由器的攻击事件，最终造成重大损失。

目前，针对路由器日志分析方法及系统的研究还处于初级阶段。网络设备提供商及科研人员均对路由器日志分析方法及系统进行了初步的研究。其涉及内容如下：

北京优特捷信息技术有限公司开发的产品“日志易”，该产品是一款日志管理工具，具有对日志进行集中采集和准实时索引处理的特点，并提供搜索、分析、监控和可视化等功能。但是，“日志易”存在可识别的网络设备日志类型偏少、无法自适应日志模板等问题，尤其是面对不同厂商的众多路由器日志模板时，“日志易”无法有效的对日志进行搜索、分析、监控和可视化。

申请号为201610819389.1的专利申请公开了一种“基于时间序列的日志分析方法和日志分析装置”，该装置通过配置并解析日志的时间模型，获得日志的采集策略和分析策略，并对具有相同采集策略和分析策略的日志进行分析，分析它们之间的关联关系。但是，该装置只提供了一种日志的分析方法，并没有提供基于日志分析的网络攻击检测手段，无法利用该装置及方法保障计算机网络的安全。

申请号为201610486225.1的专利申请公开了一种“网络攻击的检测方法、装置及系统”，该系统能够降低网络攻击检测中由于统计样本不准确而造成的网络攻击误判的概率，并提升了网络攻击检测的准确程度。但是，该系统在采样时，需要经历多个采样周期，并且在计算每个采用周期中样本的方差、信息熵、卷积时没有对样本进行降维操作，使得样本中的干扰属性被添加到最后的结果中，造成准确度的下降和计算复杂度的增加。

申请号为201610775342.X的专利申请公开了“一种基于日志分析的主机安全防护方法及系统”，该系统通过筛选服务日志获取对应的IP地址，并将获取到的IP地址写入防火墙的禁止访问规则中。但是，该系统对服务日志的筛选局限于对IP地址出现次数、IP地址扫描周期这种显式特征的筛选，并没有针对服务日志的内在特征的筛选，如服务事件的日志结构等。并且该方案中筛选的结果是拉黑相应的IP地址，由于IP地址的可伪造性，这种方案的安全性很低。

发明内容

本发明的目的在于针对现有技术的不足，提出一种基于路由器日志分析的网络攻击检测系统，以增强对不同路由器型号的适应性，提高对攻击检测的准确度。

为实现上述目的，本发明基于路由器日志分析的网络攻击检测系统，包括：

日志模板抽取子系统1，用于从安全人员预先提供的路由器事件日志或实际网络的路由器事件日志中提取各个事件的模板，并将提取的事件模板提供给模板特征分类子系统；

模板特征分类子系统2，用于将日志模板抽取子系统提供的事件模板进行降维操作，完成事件模板的分类，并将事件模板及其分类输出至数据库存储子系统或攻击事件检测子系统；该事件模板分为两类，一类是攻击事件模板，一类是正常事件模板，其中攻击事件模板又分为SSL攻击事件模板、网关监听攻击事件模板、IP洪泛攻击事件模板、ARP洪泛攻击事件模板、DOS攻击事件模板和暴力破解事件模板；

数据库存储子系统3，用于对模板特征分类子系统提供的降维后的模板特征及其分类进行存储，并向攻击事件检测子系统提供查询功能；

攻击事件检测子系统4，用于对模板特征分类子系统提供的事件模板进行如下决断，并将决断结果供其他安全软件和风险评估系统使用；

若事件模板与数据库存储子系统中存储的攻击事件的模板特征匹配，则决断该事件模板对应的事件为攻击事件，并判断出攻击事件的具体类型；

若事件模板与数据库存储子系统中存储的正常事件的模板特征匹配，则决断为该事件模板对应的事件为正常事件；

否则，决断为该实际网络事件模板对应的事件为未知事件。

基于上述系统，本发明进行网络攻击检测的方法包括如下步骤：