[发明专利]一种基于流量还原的网络攻击事件取证方法与装置

说明书

本发明公开了一种基于流量还原的网络攻击事件取证方法与装置，属于网络安全技术领域。所述方法包括：针对原始的流量包数据，一方面运用文件分割技术经过tshark解析，经过多线程同步数据清洗，再通过rabbitmq和logstash将数据存到elasticsearch；另一方面通过suricata特征规则匹配，进行事件告警，根据协议解析的数据查询当前包的流信息从而分割pcap包，从而下载某个事件对应的流量片段。本发明针对流量包协议解析和入库较慢的问题，应用大文件分割和多线程同步解析入库的技术大大缩短了入库时间；通过对每一个告警事件进行解析，准确从原始数据包中分割该告警事件对应的完整流量片段，减少资源浪费。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于流量还原的网络攻击事件取证方法与装置。

背景技术

随着网络和科技的迅速发展，一方面为人们带来便利，一方面也存在大量安全隐患，DDOS，木马，蠕虫等攻击时有发生，互联网安全形势严峻。面对无处不在的网络攻击，通常需要通过实时对流量进行分析并且及时告警，通过流量还原进行攻击取证和溯源。

传统的流量包协议解析依靠抓包解析工具tshark解析成格式化数据，然后进行数据清洗，最后存到数据库中，这种方式无论是协议解析还是入库两个部分都耗费时间长，会导致流量分析人员不能实时的分析数据，从而导致事件告警延迟、定位和处理问题响应较慢，可能进一步导致整个系统的网络安全性能降低。

流量还原即获取告警事件的流量包片段，现有技术的方式是直接截取当前包前后2到5分钟的流量包，这种方式优点是能够截取到完整的流量包，并且能获取到当前事件前后一段时间内的部分数据，有利于事件分析，但是这种方式可能获取到很多无用的数据，会造成资源浪费，并且数据量太大，会影响分析人员的判断以及流量分析的速度。

发明内容

有鉴于此，本发明提供的一种基于流量还原的网络攻击事件取证方法，主要目的在于解决现有技术中流量包协议解析和入库较慢，以及流量还原造成资源浪费问题。

根据本发明一个方面，提供了一种基于流量还原的网络攻击事件取证方法，该方法包括：

S1协议解析：解析原始流量包以生成格式化数据组，将所述格式化数据组置于数据清洗线程池中进行数据清洗，所述数据清洗线程池中包含一个或多个数据清洗线程，所述多个数据清洗线程同时对所述多个格式化数据进行清洗；提取清洗后的有效字段并将所述有效字段存入数据库；

S2事件告警：定义suricata的攻击告警规则，通过所述suricata对所述原始流量包进行所述攻击告警规则匹配，当匹配成功则进行攻击告警，同时将所述攻击告警事件存入所述数据库；

S3攻击取证：根据所述攻击告警事件所对应的所述原始流量包的包序号和文件名从所述数据库中查询所述攻击告警事件的流，并从所述攻击告警事件的流中切割出所述攻击告警对应的流量片段进行攻击分析取证。

作为本发明的进一步改进，所述将原始流量包解析生成格式化数据组包括：对所述原始流量包进行文件分割，对分割后的文件进行tshark解析。

作为本发明的进一步改进，所述数据库为elasticsearch数据库；所述有效字段是通过消息队列rabbitmq用logstash输入所述elasticsearch数据库。

作为本发明的进一步改进，所述有效字段包括但不限于五元组、包字节长度、传输时间、流信息、所述包序号、协议类型。

作为本发明的进一步改进，所述协议类型包括TCP、HTTP、DNS、全流量协议；所述格式化数据组存入数据库时按照所述协议类型建立不同的索引。

作为本发明的进一步改进，根据所述协议类型搜索所述数据库以获取相关数据库表，再根据所述原始流量包的包序号和文件名搜索所述相关数据库表以获取所述攻击告警事件的流。