当前位置：首页 > 电学技术 > 电通讯技术> 一种网络威胁信息关联系统及方法独创技术30709字

一种网络威胁信息关联系统及方法

2021-02-17 02:01:54

一种网络威胁信息关联系统及方法

　　技术领域

　　本发明涉及网络系统技术领域，尤其涉及一种网络威胁信息关联分析系统及方法。

　　背景技术

　　随着网络规模的不断扩大，以及对网络攻击手段的增多，网络系统可通过多种方式来获取威胁信息，例如：分布式拒绝服务攻击(Distributed denial of serviceattack，DDOS)威胁预警系统、反抓站检测系统、互联网数据中心(Internet Data Center，IDC)防火墙系统、开放威胁交换(Open Threat Exchange，OTX)开源威胁情报查询系统等。

　　由于获取到的威胁信息的来源不同，存在各自不同的数据格式和信息分析方法，形成了威胁信息的孤岛。而若要将各种威胁信息进行汇总分析，现有技术需要工人登陆各自的信息平台，进行手工检索威胁信息，并人工关联各种威胁信息。

　　面对庞大的信息量，采用人工的方式对各种网络威胁信息进行关联分析的效率低下，无法将威胁信息有效聚合，快速形成强有力的威胁分析。

　　发明内容

　　本发明实施例的目的是提供一种网络威胁信息关联分析系统及方法，以解决面对庞大的信息量，采用人工的方式对各种网络威胁信息进行关联分析的效率低下，无法将威胁信息有效聚合，快速形成强有力的威胁分析的问题。

　　为了解决上述技术问题，本发明实施例是这样实现的：

　　第一方面，本发明实施例提供了一种网络威胁信息关联分析系统，包括：日志收集服务器、日志采集数据库、情报关联分析服务器和关联分析结果数据库；

　　所述日志收集服务器用于采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库；其中，所述威胁信息日志包括：IP地址；

　　所述情报关联分析服务器用于从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库中包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库。

　　第二方面，本发明实施例提供了一种基于如上所述的网络威胁信息关联分析系统的网络威胁信息关联分析方法，包括：

　　通过日志收集服务器，采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库；其中，所述威胁信息日志包括：IP地址；

　　通过情报关联分析服务器，从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库中包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库。

　　由以上本发明实施例提供的技术方案可见，本发明实施例通过日志收集服务器、日志采集数据库、情报关联分析服务器和关联分析结果数据库；所述日志收集服务器用于采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库；其中，所述威胁信息日志包括：IP地址；所述情报关联分析服务器用于从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库中包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库。通过本发明实施例，实现了对各种网络威胁信息的快速关联分析，将威胁信息有效聚合，快速形成强有力的威胁分析。

　　附图说明

　　为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

　　图1为本发明实施例提供的网络威胁信息关联分析系统的第一种网络架构示意图；

　　图2为本发明实施例提供的网络威胁信息关联分析系统的第二种网络架构示意图；

　　图3为本发明实施例提供的网络威胁信息关联分析系统的第三种网络架构示意图；

　　图4为本发明实施例提供的网络威胁信息关联分析方法的流程示意图；

　　图5为实现本发明各个实施例的一种电子设备的结构示意图。

　　具体实施方式

　　本发明实施例提供了一种网络威胁信息关联分析系统及方法。

　　为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

　　如图1所示，本发明实施例提供一种网络威胁信息关联分析系统，所述系统包括：日志收集服务器10、日志采集数据库11、情报关联分析服务器12和关联分析结果数据库13；

　　所述日志收集服务器10用于采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库11；其中，所述威胁信息日志包括：IP地址；所述情报关联分析服务器12用于从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库11包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库13。

　　在实施中，针对不同的攻击方式，在网络中预先部署了多个威胁信息监测系统，用于监测是否产生了对应的攻击行为，并获取相应的威胁数据。

　　进一步地，所述威胁信息监测系统的种类有很多，以下仅给出其中的三种举例说明，所述各威胁信息监测系统包括但不限于：分布式拒绝服务攻击DDOS威胁预警系统、反抓站检测系统和互联网数据中心IDC防火墙系统。

　　为了便于对采集到的威胁信息日志进行汇总，网络威胁信息关联分析系统将威胁信息日志的采集工作交由预先设置的日志收集服务器10统一执行。

　　进一步地，所述日志收集服务器10的种类有很多，以下仅给出一种举例说明，所述日志收集服务器10为Graylog分布式日志收集服务器。

　　所述日志收集服务器10根据各种威胁信息监测系统的特性，采用与威胁信息监测系统对应的数据采集方式，在各威胁信息监测系统判定存在攻击行为时，向日志收集服务器10发送与攻击行为对应的威胁数据。

　　日志收集服务器10对接收到的威胁数据进行预设的格式化处理，提取其中的关键信息，并按照预设的数据格式组成威胁信息日志记录到所述日志采集数据库11中。针对每一种威胁信息监测系统具体举例说明如下：

　　1.分布式拒绝服务攻击DDOS威胁预警系统

　　DDOS威胁预警系统通过由日志收集服务器10提供的REST API接口，在判定存在攻击行为时，将JSON格式的威胁数据，以HTTP协议的形式发送给日志收集服务器10。

　　日志收集服务器10对接收到威胁数据进行格式化，以得到威胁信息日志，其数据格式如下：

　　[DDOS威胁标记][攻击者的IP地址]，

　　所述DDOS威胁标记用于表征对应的攻击行为的种类。

　　2.反抓站检测系统

　　反抓站检测系统通过由日志收集服务器10提供的REST API接口，在判定存在攻击行为时，例如，短时间内接收到源于同一主机的大规模抓站请求，将JSON格式的威胁数据，以HTTP协议的形式发送给日志收集服务器10。

　　日志收集服务器10对接收到威胁数据进行格式化，以得到威胁信息日志，其数据格式如下：

　　[反抓站行为标记][抓站请求主机的IP地址]，

　　其中，反抓站行为标记用于表征对应的攻击行为的种类。

　　3.互联网数据中心IDC防火墙系统

　　日志收集服务器10开放UDP网络监听，创建一个UDP Syslog监听端口，在所述IDC防火墙判定存在攻击行为时，例如，外网攻击行为，或是内部服务请求外部恶意服务的行为等，将发送Syslog协议的威胁数据传送给日志收集服务器10。

　　日志收集服务器10对接收到威胁数据进行格式化，以得到威胁信息日志，其数据格式如下：

　　[IDC防火墙威胁标记][攻击者的IP地址]，

　　其中，IDC防火墙威胁标记用于表征对应的攻击行为的种类。

　　所述日志收集服务器10得到的威胁信息日志至少包括攻击行为发起方的IP地址，例如，上述威胁信息日志中的攻击者的IP地址和抓站请求主机的IP地址。在所述威胁信息日志中还可以根据实际的需要设置更多的字段信息，例如，被攻击服务的IP地址等，在此不作具体地限定。

　　所述日志收集服务器10将从上述各威胁信息监测系统采集到的威胁信息日志，以上述数据格式记录到日志采集数据库11。

　　进一步地，所述日志采集数据库11的种类有很多，本发明实施例仅给出了其中的一种举例说明，所述日志采集数据库为Elastic Search日志采集数据库集群。

　　所述Elastic Search日志采集数据库集群，用于基于预设的数据格式对记录的威胁信息日志创建对应的索引信息。

　　在实施中，在所述日志收集服务器10将采集到的威胁信息日志记录到日志采集数据库11时，所述日志采集数据库11将根据预设的搜索引擎创建数据库索引，在每条威胁信息日志中添加相应的索引名。例如，Elastic Search日志采集数据库集群将根据ElasticSearch搜索引擎创建数据库索引，此时，记录到所述日志采集数据库11的威胁信息日志具体为：

　　[索引名][DDOS威胁标记][攻击者的IP地址]；

　　[索引名][反抓站行为标记][抓站请求主机的IP地址]；

　　[索引名][IDC防火墙威胁标记][攻击者的IP地址]。

　　另外，所述情报关联分析服务器12将根据各威胁信息日志包含的IP地址，向开源威胁情报查询系统发送IP查询请求。

　　所述开源威胁情报查询系统中保存了预先获取的所有恶意主机的IP地址以及对应的威胁描述信息。在接收到IP查询请求后，提取所述IP查询请求中的IP地址，与保存的恶意主机的IP地址进行比对，若根据比对结果判定所述IP地址为恶意主机的IP地址，则将该恶意主机的IP地址的威胁描述信息记录到查询答复中回复给情报关联分析服务器12；而若根据比对结果判定所述IP地址不是恶意主机的IP地址，则可以采用不回复，或者回复包含空的威胁描述信息的查询答复的方式。

　　进一步地，所述开源威胁情报查询系统的种类有很多，本发明实施例仅给出了以下一种举例说明，所述开源威胁情报查询系统为开放威胁交换开源威胁情报查询系统。

　　所述情报关联分析服务器12，对接收到查询答复进行格式化后，同样以威胁信息日志的形式记录到所述日志采集数据库11，其数据格式如下所示：

　　[索引名][OTX威胁情报库标记][恶意主机的IP地址][威胁描述信息]。

　　所述OTX威胁情报库标记用于表征该威胁信息日志的来源。

　　由所述情报关联分析服务器12对记录在日志采集数据库11中的各威胁信息日志进行汇总分析。

　　根据各威胁信息日志中的IP地址，所述情报关联分析服务器12对包含相同IP地址的威胁信息日志进行关联打标签，并且分析得到与各IP地址分别对应的关联分析结果。所述关联分析结果的数据格式举例如下：

　　[IP地址][DDOS威胁标记][反抓站行为标记][IDC防火墙威胁标记][OTX威胁情报库标记][威胁描述信息]

　　所述情报关联分析服务器12对威胁信息日志进行汇总分析的过程可以根据实际的需要进行设定，例如，所述关联分析结果中的IP地址可以仅包含恶意主机的IP地址。

　　所述情报关联分析服务器12将得到关联分析结果保存到预设的关联分析结果数据库13，所述关联分析结果数据库13可以为MySQL数据库，通过所述关联分析结果数据库13可以对关联分析结果的进行查看和展示，方便了对于威胁信息的分享与问题溯源，提高了对于威胁响应定位的速度。

　　基于上述实施例，进一步的，如图2所示，所述情报关联分析服务器还用于从地理位置信息系统查询所述IP地址对应的地理位置信息，并记录到所述IP地址的关联分析结果中。

　　为了便于对攻击者进行定位，所述情报关联分析服务器在通过对威胁信息日志进行合并得到关联分析结果后，从地理位置信息系统中查询所述关联分析结果中各IP地址的地理位置信息，所述地理位置信息具体可以包括地图经纬度坐标和国家城市名称信息等。

　　进一步地，所述地理位置信息系统有很多种，本发明实施例仅给出以下一种进行举例说明，所述地理位置信息系统为GeoLite IP地理位置信息系统。

　　通过所述GeoLite IP地理位置信息系统提供的REST API接口，所述情报关联分析服务器可以查询到各IP地址的地理位置信息，并将该地理位置信息也记录到对应的关联分析结果中。

　　由以上本发明实施例提供的技术方案可见，本发明实施例通过从地理位置信息系统查询所述IP地址对应的地理位置信息，并记录到所述IP地址的关联分析结果中，实现了对各种网络威胁信息的快速关联分析，将威胁信息有效聚合，快速形成强有力的威胁分析，并对攻击者进行快速定位。

　　基于上述实施例，如图2所示，进一步地，所述系统包括：日志收集服务器10、日志采集数据库11、情报关联分析服务器12、关联分析结果数据库13和结果展示服务器14；所述结果展示服务器14用于将所述关联分析结果数据库中各IP地址的关联分析结果进行可视化展示。

　　需要说明的是，本发明实施例中所述日志收集服务器10、日志采集数据库11、情报关联分析服务器12和关联分析结果数据库13的作用与上述实施例中的作用相同，为避免重复，这里不再赘述。

　　所述结果展示服务器14可以将所述关联分析结果数据库13中保存的关联分析结果进行可视化展示，例如，对各种类型的关联分析结果的变化趋势、占比等进行展示，也可以对各IP地址的地理位置信息分布情况进行展示等。

　　进一步地，所述关联分析结果数据库13设置了用于接收外部查询的查询接口。

　　所述关联分析结果数据库13还设置了对外的查询接口，从而运维人员可以根据实际的需要，通过向该查询接口发送查询请求，获取需要的威胁信息查询结果。

　　由以上本发明实施例提供的技术方案可见，本发明实施例通过结果展示服务器和关联分析结果数据库的查询接口，实现了对威胁信息的可视化显示和查询，方便了对于威胁信息的分享与问题溯源，提高了对于威胁响应定位的速度。

　　如图3所示，本发明实施例给出所述网络威胁信息关联分析系统整体网络架构的一种举例说明。

　　通过Graylog分布式日志收集服务器分别从DDOS威胁预警系统、反抓站检测系统、IDC防火墙系统，获取威胁信息日志并存入Elastic Search日志采集数据库集群。情报关联分析服务器从OTX开源威胁情报查询系统获取IP地址为恶意主机的IP地址的威胁描述信息，并与Elastic Search日志采集数据库集群中包含相同IP地址的威胁信息日志进行关联分析，同时，从GeoLite IP地理位置信息查询系统获取各IP地址的地理位置信息，将关联分析结果与地理位置信息相结合，存入MySQL关联分析结果数据库中。根据实际的需要，由结果展示服务器对MySQL关联分析结果数据库中的关联分析结果进行可视化展示。

　　本发明实施例通过日志收集服务器采集威胁信息日志，可以支持多种网络协议传输的数据收集方式，并且改变现有技术中在多系统间频繁切换进行人工审计与脚本审计的低效率。按照统一的数据格式存入日志采集数据库中，可以不占用各威胁信息监测系统的硬件资源和性能消耗，并且实现了数据格式的统一。在所述日志采集数据库中保存的威胁信息日志，可以根据预设的生命管理周期，自动进行清理。通过关联分析各系统产生的威胁信息日志，并通过外部的开源威胁情报系统和地理位置信息系统进行信息补充，可以更好得解决本地信息积累不足的问题。关联分析结果存入关联分析结果数据库，并采用多种形式对关联分析结果数据库进行访问和查询，增加了用户对威胁发现的手段，弥补商业化威胁情报库本地威胁信息情报积累的缺失，增进企业内部系统之间威胁信息共享，为安全事件应急提供分析工具，提高发现威胁与问题溯源的效率，减少攻击危害的事件的发生。

　　对应上述实施例提供的网络威胁信息关联分析系统，基于相同的技术构思，本发明实施例还提供了一种网络威胁信息关联分析方法，图4为本发明实施例提供的网络威胁信息关联分析方法的流程示意图，如图4所示，所述方法包括：

　　步骤S01、通过日志收集服务器，采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库；其中，所述威胁信息日志包括：IP地址；

　　步骤S02、通过情报关联分析服务器，从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库中包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库。

　　由以上本发明实施例提供的技术方案可见，本发明实施例通过日志收集服务器，采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库；其中，所述威胁信息日志包括：IP地址；通过情报关联分析服务器，从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库中包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库，实现了对各种网络威胁信息的快速关联分析，将威胁信息有效聚合，快速形成强有力的威胁分析。

　　进一步地，所述方法还包括：通过所述情报关联分析服务器从地理位置信息系统查询所述IP地址对应的地理位置信息，并记录到所述IP地址的关联分析结果中。

　　进一步地，所述方法还包括：通过结果展示服务器将所述关联分析结果数据库中各IP地址的关联分析结果进行可视化展示。

　　进一步地，所述关联分析结果数据库设置了查询接口。

　　进一步地，所述日志收集服务器为Graylog分布式日志收集服务器。

　　进一步地，所述各威胁信息监测系统包括但不限于：分布式拒绝服务攻击威胁预警系统、反抓站检测系统和互联网数据中心防火墙系统。

　　进一步地，所述日志采集数据库为ElasticSearch日志采集数据库集群。

　　通过所述ElasticSearch日志采集数据库集群基于预设的数据格式对记录的威胁信息日志创建对应的索引信息。

　　进一步地，所述开源威胁情报查询系统为开放威胁交换开源威胁情报查询系统。

　　进一步地，所述地理位置信息系统为GeoLite IP地理位置信息系统。

　　本发明实施例提供的网络威胁信息关联分析方法能够实现上述网络威胁信息关联分析系统对应的实施例中的各个过程，为避免重复，这里不再赘述。

　　需要说明的是，本发明实施例提供的网络威胁信息关联分析方法与本发明实施例提供的网络威胁信息关联分析系统基于同一发明构思，因此该实施例的具体实施可以参见前述网络威胁信息关联分析系统的实施，重复之处不再赘述。

　　对应上述实施例提供的网络威胁信息关联分析方法，基于相同的技术构思，本发明实施例还提供了一种电子设备，该电子设备用于执行上述的网络威胁信息关联分析方法，图5为实现本发明各个实施例的一种电子设备的结构示意图，如图5所示。电子设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器501和存储器502，存储器502中可以存储有一个或一个以上存储应用程序或数据。其中，存储器502可以是短暂存储或持久存储。存储在存储器502的应用程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对电子设备中的一系列计算机可执行指令。更进一步地，处理器501可以设置为与存储器502通信，在电子设备上执行存储器502中的一系列计算机可执行指令。电子设备还可以包括一个或一个以上电源503，一个或一个以上有线或无线网络接口504，一个或一个以上输入输出接口505，一个或一个以上键盘506。

　　具体在本实施例中，电子设备包括有处理器、通信接口、存储器和通信总线；其中，所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信；所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存放的程序，实现以下方法步骤：

　　本申请实施例还提供一种计算机可读存储介质，所述存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现以下方法步骤：

　　本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

　　本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

　　这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

　　这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

　　在一个典型的配置中，电子设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

　　内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

　　计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

　　还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

　　本领域技术人员应明白，本申请的实施例可提供为方法、装置或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

　　以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

《一种网络威胁信息关联系统及方法.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

文档为doc格式(或pdf格式)

电通讯技术图文推荐

上一篇：车载多功能网关模块

下一篇：一种通用抗宽带压制干扰模块