本發明專利技術公開了一種網絡攻擊分析系統,包括:熵模塊單元、三元組模塊單元、熱點事件傳播展示模塊單元、綜合關聯分析模塊單元;其中所述熵模塊單元讀取所述入侵檢測設備日志,計算源地址和目的地址的熵分布值,判斷是否存在大規模網絡安全事件,并將判斷結果輸出給所述綜合關聯分析模塊單元;所述三元組模塊單元讀取入侵檢測設備的日志,對所述入侵檢測設備日志進行歸并,檢測并報告異常地址或熱點事件。本發明專利技術的分析系統通過計算入侵檢測設備日志的源地址和目的地址的熵分布值,能夠檢測出引起地址分布異常的大規模網絡安全事件,如網絡掃描、分布式拒絕服務攻擊等。
【技術實現步驟摘要】
本專利技術涉及信息安全領域,具體涉及一種網絡攻擊分析系統。
技術介紹
Internet的飛速發展,為信息的傳播和利用帶來了極大的方便,同時也使人類社會面臨著信息安全的巨大挑戰。為了緩解日益嚴重的安全問題,入侵檢測設備(IDS:IntrusionDetectionSystem)得到了越來越廣泛的部署。IDS安裝在被保護的網段中,其監聽網卡工作在混雜模式下,分析網段中所有的數據包,進行網絡攻擊事件的實時檢測和響應。目前IDS普遍采用誤用檢測技術,其檢測方法為:首先對標識特定的入侵行為模式進行編碼,建立誤用模式庫,然后對實際檢測過程中得到的事件數據進行過濾,檢查是否包含入侵行為的標識。如果檢測到入侵行為,則產生一條對應的日志,其中包含了入侵行為發起方地址(源地址)、入侵行為目標地址(目的地址)、入侵行為描述(事件類型)等信息。入侵檢測設備的大量引入一方面保護了信息系統的安全,另一方面也帶來了新的問題,概況起來主要體現在以下兩個方面:1.連續運行的入侵檢測設備會產生海量的日志,而真正有價值的報警信息被淹沒在海量日志中。由于報警量大、不相關報警多,安全管理人員的大部分精力被耗費在處理無用信息上,很難了解系統的安全威脅狀況。2.現有的入侵檢測設備大都是基于單個數據包進行檢測的,體現在表現形式上,入侵檢測設備的報警信息為孤立的入侵事件。這樣當出現大規模網絡異常行為時,很難從報警信息中直觀獲取異常行為的特點,難以從整體上評估當前的網絡攻擊狀況。
技術實現思路
本專利技術的目的在于克服現有技術中的上述缺陷,實現對海量日志的自動分析,給出對當前網絡攻擊狀況的評價,以提高安全管理的效率。根據本專利技術的目的,本專利技術提供了一種網絡攻擊分析系統,通過獲取海量的入侵檢測設備日志,對所述入侵檢測設備日志進行關聯分析,其特征在于,該系統包括:熵模塊單元、三元組模塊單元、熱點事件傳播展示模塊單元、綜合關聯分析模塊單元;其中所述熵模塊單元讀取所述入侵檢測設備日志,計算源地址和目的地址的熵分布值,判斷是否存在大規模網絡安全事件,并將判斷結果輸出給所述綜合關聯分析模塊單元;所述三元組模塊單元讀取入侵檢測設備的日志,根據源地址、目的地址、事件類型三個參數,對所述入侵檢測設備日志進行歸并,檢測并報告異常地址或熱點事件,并將檢測結果輸出給所述綜合關聯分析模塊單元;所述熱點事件傳播展示模塊單元讀取入侵檢測設備的日志,統計并展示熱點事件在指定時間段內的傳播過程,并將統計結果輸出給所述綜合關聯分析模塊單元;所述綜合關聯分析模塊單元接收上述三個模塊單元輸出的判斷結果、檢測結果、統計結果,并對這些結果進行關聯分析,給出當前網絡安全狀況的評價。根據該系統,所述熱點事件傳播展示模塊單元進行展示的方式為圖形顯示。根據該系統,所述綜合關聯分析模塊單元給出當前網絡安全狀況的評價的內容包括:源IP地址分布狀況、目的IP地址分布狀況、當前最活躍的攻擊情況、當前的熱點事件以及熱點事件在過去一個設定時間段的傳播過程。根據該系統,所述三元組模塊單元將其檢測結果同時輸出到所述熱點事件傳播展示模塊單元,所述熱點事件傳播展示模塊單元接收到所述檢測結果之后,獲得當前的熱點事件在指定時間段內的傳播過程。本專利技術的網絡攻擊分析系統具有以下優點:1、通過計算入侵檢測設備日志的源地址和目的地址的熵分布值,能夠檢測出引起地址分布異常的大規模網絡攻擊事件,如網絡掃描、分布式拒絕服務攻擊等。2、根據源地址、目的地址、事件類型三個參數進行歸并,能夠檢測出多種攻擊情況,能夠在發生大規模網絡攻擊事件時能夠檢測出攻擊源、攻擊目標和事件類型。3、通過觀測和展示熱點事件的傳播過程,便于網絡管理員判斷該熱點事件的發展趨勢,從而制定出合理的應對措施。為了進一步說明本專利技術的原理及特性,以下結合附圖和具體實施方式對本專利技術進行詳細說明。附圖說明圖1是按照本專利技術一個實施方式的網絡攻擊分析系統的結構示意圖。具體實施方式下面結合附圖詳細描述本專利技術的具體實施方式。圖1是按照本專利技術一個實施方式的網絡攻擊分析系統的結構示意圖。在按照該實施方式的網絡攻擊分析系統100中,包括熵模塊單元101、三元組模塊單元102、熱點事件傳播展示模塊單元103、綜合關聯分析模塊單元104。熵模塊單元101用于讀取一個指定時間段內的入侵檢測設備日志,然后計算入侵檢測設備日志的源地址和目的地址的熵分布值,判斷是否存在大規模網絡攻擊事件,然后向綜合關聯分析模塊單元104輸出當前網絡攻擊事件地址分布狀況的判斷結果。三元組模塊單元102用于讀取一個時間段內的入侵檢測設備日志,分別根據入侵檢測設備日志的源地址、目的地址、事件類型對入侵檢測設備日志進行歸并,從而檢測并報告異常地址、熱點事件,并向綜合關聯分析模塊單元104輸出統計結果。熱點事件傳播展示模塊單元103用于從三元組模塊單元102中獲取當前的熱點事件,計算出指定時間段內發出過這些事件的源地址的數量,向綜合關聯分析模塊單元104輸出統計結果,同時展示熱點事件在該時間段內的傳播過程。優選地,上述指定時間段以分鐘為單位,上述統計結果是發出熱點事件的源IP地址的數量。優選地,上述展示過程采用圖形方式進行顯示。綜合關聯分析模塊單元104用于分別接收來自熵模塊單元101、三元組模塊單元102、熱點事件傳播展示模塊單元103的輸出結果、檢測結果和統計結果,并對這些接收到的結果進行關聯分析。優選地,綜合關聯分析模塊單元104對網絡攻擊狀況進行綜合評價的內容包括但不局限于:源IP地址分布狀況、目的IP地址分布狀況、當前最活躍的攻擊情況、當前的熱點事件以及熱點事件在過去一個設定時間段內的傳播過程。按照本專利技術的一個實施方式,三元組模塊單元103向綜合關聯分析模塊單元104輸出的統計結果包括以下7種攻擊情況:1、單一方式攻擊:源地址、目的地址、事件類型均相同的事件集合;2、多種方式攻擊:源地址、目的地址相同,事件類型任意的事件集合;3、查找攻擊目標:源地址、事件類型相同,目的地址任意的事件集合;4、遭受同種攻擊:目的地址、事件類型相同,源地址任意的事件集合;5、主要攻擊來源:源地址相同,目的地址、事件類型任意的事件集合;6、瀕危受害目標:目的地址相同,源地址、事件類型任意的事件集合;7、熱點事件排名:事件類型相同,源地址、目的地址任意的事件集合。更進一步地,按照本專利技術的一個實施方式,假設三元組模塊單元103設置成獲取每種攻擊中排名最高的攻擊情況,則如果某個檢測周期內入侵檢測設備共檢測到以下攻擊事件:1.主機192.168.0.1對主機192.168.1.1實施了50次“SYN_FLOOD拒絕服務攻擊”;2.主機192.168.0.2對主機192.168.1.2實施了10次“FTP口令猜測攻擊”;3.主機192.168.0.3對主機192.168.1.1~192.168.1.100共100臺主機各進行了一次“HTTP端口掃描攻擊”;4.主機192.168.0.1對主機192.168.1.1實施了30次“MS_LSA_遠程緩沖區溢出漏洞利用攻擊”;5.主機192.168.0.4對主機192.168.1.1實施了40次“SYN_FLOOD拒絕服務攻擊”;那么,三元組模塊單元103檢測出并報告的攻擊情況為:單一方式攻擊:源地址:192.本文檔來自技高網...
【技術保護點】
一種網絡攻擊分析系統,通過獲取海量的入侵檢測設備日志,對所述入侵檢測設備日志進行關聯分析,其特征在于,該系統包括:熵模塊單元、三元組模塊單元、熱點事件傳播展示模塊單元、綜合關聯分析模塊單元;其中所述熵模塊單元讀取所述入侵檢測設備日志,計算源地址和目的地址的熵分布值,判斷是否存在大規模網絡安全事件,并將判斷結果輸出給所述綜合關聯分析模塊單元;所述三元組模塊單元讀取入侵檢測設備的日志,根據源地址、目的地址、事件類型三個參數,對所述入侵檢測設備日志進行歸并,檢測并報告異常地址或熱點事件,并將檢測結果輸出給所述綜合關聯分析模塊單元;所述熱點事件傳播展示模塊單元讀取入侵檢測設備的日志,統計并展示熱點事件在指定時間段內的傳播過程,并將統計結果輸出給所述綜合關聯分析模塊單元;所述綜合關聯分析模塊單元接收上述三個模塊單元輸出的判斷結果、檢測結果、統計結果,并對這些結果進行關聯分析,給出當前網絡安全狀況的評價。
【技術特征摘要】
1.一種網絡攻擊分析系統,通過獲取海量的入侵檢測設備日志,對所述入侵檢測設備日志進行關聯分析,其特征在于,該系統包括:熵模塊單元、三元組模塊單元、熱點事件傳播展示模塊單元、綜合關聯分析模塊單元;其中所述熵模塊單元讀取所述入侵檢測設備日志,計算源地址和目的地址的熵分布值,判斷是否存在大規模網絡安全事件,并將判斷結果輸出給所述綜合關聯分析模塊單元;所述三元組模塊單元讀取入侵檢測設備的日志,根據源地址、目的地址、事件類型三個參數,對所述入侵檢測設備日志進行歸并,檢測并報告異常地址或熱點事件,并將檢測結果輸出給所述綜合關聯分析模塊單元;所述熱點事件傳播展示模塊單元讀取入侵檢測設備的日志,統計并展示熱點事件在指定時間段內的傳播過程,并將統計結果輸出給所述綜合關聯分析模塊單元;所述綜合關聯分析...
【專利技術屬性】
技術研發人員:黎健生,梁遠鴻,
申請(專利權)人:柳州龍輝科技有限公司,
類型:發明
國別省市:廣西;45
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。