[发明专利]基于日志和流量采集的网络系统事件溯源方法及系统

说明书

本发明涉及信息安全技术，能够提供基于日志和流量采集的网络系统事件溯源方法及系统，所述方法包括：通过分布式日志采集方法，在核心交换机通过流量镜像方式获取所有网络安全设备的入网出网流量数据并保存到各采集实例的流量数据库中；采用集中式的日志收集方法，采集各网络安全设备产生的日志；对采集到的日志进行过滤、处理、并存储到日志数据库中；抽取日志标识的IP和发生时间，在流量数据库中检索事件发生时间点和之后一段时间内的此IP的全部流量数据；汇总展现数据。本发明实例解决了在攻击事件发生后，难以溯源和无法分析攻击手段的问题，并可根据相应的事件展现具体攻击路径和攻击目标。

本申请涉及网络和信息安全技术领域，具体涉及一种基于日志和流量采集的网络系统事件溯源方法及系统

技术背景

互联网的发展使得任何个人或组织在任何地方都能连接到网络，保障网络安全、服务的连续性也一直是服务提供者的首要目标，但是，不可避免的，跟外界有联通的系统均有被攻击的可能，当网络安全事件发生时，除了依靠安全设备对攻击进行防御时，我们还想知道恶意攻击是如何影响服务器的，具体的恶意攻击方法是什么，今后又该从何处着手杜绝此类事件的再次发生。依靠网络安全设备的日志，我们能够在一定程度上了解恶意攻击的分类，但是市面上绝大多数的安全设备都不提供基于网络流量采集的具体攻击负载展示和分析功能，如果我们能用一种更加专业的手段来获取攻击者的恶意代码和攻击手段，我们便能在对抗中占据更多主动权，无疑对我们的业务环境和安全保障都是有极大益处的。

现在市场上的安全设备，均是针对安全事件发生后，对存储在安全设备上的日志进行查看，人工判断分析事件的影响程度

人工分析判断时，缺乏一个综合性的日志展现和专业的攻击负载展现平台，效率低下，无法还原攻击者的攻击路径。

发明内容

基于此种情况，本发明的目的在于提供一种基于日志和流量采集的网络系统事件溯源方法及系统，以缓解人工分析对网络安全事件处理的效率低下，无法还原攻击路径的技术问题。

第一方面，本申请实施例提供了一种基于日志和流量采集的网络系统事件溯源方法，所述方法包括：

通过分布式日志采集方法，采集所有网络安全设备的流量并保存；

采用集中式的日志收集方法，采集网络安全设备产生的日志

对采集到的日志进行过滤、处理、并存储到日志数据库中

抽取事件日志对应的IP和发生时间，在流量数据库中检索事件流量数据

汇总展现数据

可选的，上述溯源方法中，所述采用分布式日志采集方法，采集所有入网出网流量并保存，包括：

基于流量镜像和策略路由，对每个网络安全设备，均配置一个流量镜像端口，通过流量镜像的方式，采集经过流量镜像端口的数据并保存为标准PCAP格式文件

可选的，上述溯源方法中，所述采用集中式的日志收集方法，采集网络安全设备产生的日志，包括：

使用syslog方式，通过自定义的UDP端口10514进行收集

可选的，上述溯源方法中，所述对采集到的日志进行过滤、处理、并存储到日志数据库中，包括：

使用logstash软件收集各设备的syslog日志，使用grok方法对不同来源的日志作处理

可选的，上述溯源方法中，所述抽取事件日志对应的IP和发生时间，在流量数据库中检索事件流量数据，包括：

采用IP+时间点的方式，构造查询语句，使用elastic search作为流量数据库的搜索引擎，采用分布式查询方法，对各网络安全设备的流量数据库进行查询，输出查询结果，查询结果为JSON格式，同时可提供标准PCAP格式文件下载