安全态势感知可视化方法和装置
技术领域
本公开涉及可视化方法和装置,尤其是涉及一种安全态势感知可视化方法和装置。
背景技术
随着互联网的发展普及,网络的重要性及其对社会的影响越来越大,网络规模不断壮大,网络结构也在日益复杂。随之,网络病毒、DoS/DDoS等网络安全问题也越来越突出,网络入侵和攻击行为呈正向分布化、规模化、复杂化、间接化发展趋势。因此,对网络安全威胁态势感知提出了需求,对网络的安全状态进行监控和预警,以识别恶意网络行为,并在恶意网络行为造成的影响无法控制之前,给出相应的对策。网络安全态势感知的安全状态通常以可视化的形式展现。以往的可视化方法,以树形结构展示网站结构,并仅基于网络中受到攻击网站的树形结构图显示各路径受攻击数量,不够直观,无法直观体现网站的整体态势。
因此,需要一种改进的安全态势感知可视化方法。
发明内容
本公开的示例性实施例的目的在于克服现有技术中的上述的和/或其他的问题。
因此,根据本公开的一个方面,提供了一种安全态势感知可视化方法,包括:
获取镜像流量;
基于镜像流量确定攻击日志;
解析攻击日志中的URL,将所述URL的路径逐级拆分为多个节点,确定节点间的父子层级关系;以及
对应于每个URL,对应于其根节点及其逐级子节点,赋予对应于的节点图标和子节点图标;以及
组合每个URL的节点图标和子节点图标,使得子节点图标发源于其所属的节点图标,并选择一种攻击形象图标作为URL的末级节点图标。
可选的,通过URL的末级节点图标的攻击形象图标的密集程度显示同一URL攻击程度。
可选的,基于攻击日志,通过设定时间内属于同一根节点图标上的末级节点图标的攻击形象图标的密集程度,显示网站安全态势级别。
可选的,基于攻击日志,通过设定时间内属于同一根节点图标上的同一末级节点图标的攻击形象图标的颜色深浅度,显示网站安全态势级别。
可选的,赋予对应于的节点图标和子节点图标包括:
赋予每个根节点对应的树根状图标;
赋予末级节点树叶状攻击图标;以及
赋予根节点与末级节点之间逐级子节点对应的树枝状图标。
根据本公开的另一个方面,提供了一种安全态势感知可视化装置,包括:
流量获取单元,用于获取镜像流量;
日志确定单元,基于镜像流量确定攻击日志;
图标赋予单元,用于对应于每个URL,对应于其根节点及其逐级子节点,赋予对应于的节点图标和子节点图标;
图标组合单元,用于组合每个URL的节点图标和子节点图标,使得子节点图标发源于其所属的节点图标,并选择一种攻击形象图标作为URL的末级节点图标。
可选的,URL攻击程度显示单元,用于通过URL的末级节点图标的攻击形象图标的密集程度显示同一URL攻击程度。
可选的,第一网站安全态势级别显示单元,用于基于攻击日志,通过设定时间内属于同一根节点图标上的同一末级节点图标的攻击形象图标的颜色深浅度,显示网站安全态势级别。
可选的,第二网站安全态势级别显示单元,用于基于攻击日志,通过设定时间内属于同一根节点图标上的末级节点图标的攻击形象图标的密集程度,显示网站安全态势级别。
根据本说明书实施例的另一方面,提供了一种计算设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机指令,所述处理器执行所述指令时实现如上所述安全态势感知可视化方法的步骤。
根据本说明书实施例的另一方面,提供了一种计算机可读存储介质,其存储有计算机指令,其特征在于,该指令被处理器执行时实现如上所述安全态势感知可视化方法的步骤。
根据示例性实施例,从镜像流量中提取URL并确定攻击日志,将URL路径逐级拆分为多个节点,确定节点间的父子层级关系;赋予各节点图标,组合各节点图标,使得子节点图标发源于其所属的节点图标,并选择一种攻击形象图标作为URL的末级节点图标,这样,通过URL的末级节点图标的攻击形象图标的密集程度或颜色深浅度显示节点的攻击程度,进而基于攻击日志显示网站的安全态势级别,显示更加直观。
附图说明
通过结合附图对于本公开的示例性实施例进行描述,可以更好地理解本公开,在附图中:
图1所示的是根据本公开实施例的计算设备的示意性结构框图;
图2所示的是根据本公开实施例的安全态势感知可视化方法示意性流程图;
图3是示出根据本公开实施例的安全态势感知可视化装置结构示意图;
图4所示的是根据本公开的安全态势感知可视化方法形成的单网站安全态势示意图;
图5所示的是根据本公开的安全态势感知可视化方法形成的多网站安全态势示意图。
具体实施方式
以下将描述本公开的具体实施方式,需要指出的是,在这些实施方式的具体描述过程中,为了进行简明扼要的描述,本说明书不可能对实际的实施方式的所有特征均作详尽的描述。应当可以理解的是,在任意一种实施方式的实际实施过程中,正如在任意一个工程项目或者设计项目的过程中,为了实现开发者的具体目标,为了满足系统相关的或者商业相关的限制,常常会做出各种各样的具体决策,而这也会从一种实施方式到另一种实施方式之间发生改变。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本公开公开的内容相关的本领域的普通技术人员而言,在本公开揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本公开的内容不充分。
除非另作定义,权利要求书和说明书中使用的技术术语或者科学术语应当为本公开所属技术领域内具有一般技能的人士所理解的通常意义。本公开专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“一个”或者“一”等类似词语并不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在“包括”或者“包含”前面的元件或者物件涵盖出现在“包括”或者“包含”后面列举的元件或者物件及其等同元件,并不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,也不限于是直接的还是间接的连接。
图1示出了根据本说明书一实施例的计算设备100的结构框图。该计算设备100的部件包括但不限于存储器110和处理器120。处理器120与存储器110通过总线130相连接,数据库150用于保存数据。
计算设备100还包括接入设备140,接入设备140使得计算设备100能够经由一个或多个网络160通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备140可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备100的上述部件以及图1中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图1所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备100可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备100还可以是移动式或静止式的服务器。
其中,处理器120可以执行图2所示方法中的步骤。
图2是示出了根据本申请一实施例的安全态势感知可视化方法的示意性流程图,包括步骤201至步骤205。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
步骤201:获取镜像流量。
在本申请实施例中,接收交换机观察端口发送的镜像报文,获取镜像流量,所述的镜像报文是交换机镜像端口转发的所在网络的业务报文。例如,所述的交换机可以是IDC(互联网数据中心)机房汇聚交换机或核心交换机,对交换机的镜像端口、观察端口配置后,交换机所在网络的网络业务流量通过交换机时,镜像端口将所述网络业务流量转发到观察端口,通过接收交换机观察端口发送的镜像报文,就可以获取进出所述网络的全部业务报文,也就是获取了镜像流量。
步骤202:基于镜像流量确定攻击日志。
在本申请实施例中,解析镜像报文,判定报文协议类型,如果报文协议类型是HTTP协议,则从镜像报文中提取URL。具体地,基于镜像报文的报文载荷对协议类型进行判定。通常地,不同的协议类型具有不同特征的报文载荷。例如,HTTP协议报文载荷中,包含URL(统一资源定位符)以及“GET、POST、PUT、DELETE、HOST”开头的字符段等特征,将所述镜像报文与HTTP所述特征通过Aho-Crassick、PCRE方法等DPI(深度报文检测)方法进行特征匹配,如果所述镜像报文的协议类型是HTTP协议,提取URL,保存提取的URL。
例如,镜像报文包含如下内容时:
GET/A/B/C HTTP/1.1
HOST:xxx.com
可以确定报文协议类型是HTTP,提取的URL为:http://xxx.com/A/B/C,其中http是协议,xxx.com是域名,/A/B/C是路径。
在本申请实施例中,解析镜像报文,进行攻击特征检测,确定是否存在攻击。如果存在攻击,则将攻击记录记入攻击日志。具体地,解析镜像报文,将镜像报文特征与已知的攻击特征库中的特征进行匹配,例如,使用误用检测方法,得到匹配结果。若镜像报文包含至少一种攻击特征,则将攻击情况记入攻击日志。所述的攻击日志包括IP地址、命中特征、所述的提取的URL、攻击时间以及攻击负载等信息。
步骤203:解析攻击日志中的URL,将所述URL的路径逐级拆分为多个节点,确定节点间的父子层级关系。
在本申请实施例中,解析攻击日志中的URL,将所述URL路径逐级拆分为多个节点,例如:
攻击日志中包含六条URL记录,
http://www.example.com/a/e/
http://www.example.com/a/f/
http://www.example.com/b/
http://www.example.com/c/g/
http://www.example.com/c/h/
http://www.example.com/d/
六条URL记录共拆分确定9个节点,分别是根节点、a节点、b节点、c节点、d节点、e节点、f节点、g节点和h节点。
并且,根据URL路径可以确定节点间的父子层级关系。例如,上述9个节点可以确定表1所示的节点父子层级关系。
表1
步骤204:对应于每个URL,对应于其根节点及其逐级子节点,赋予对应于的节点图标和子节点图标。
在本申请实施例中,对应于每个URL,对应于其根节点及其逐级子节点,赋予对应于的节点图标和子节点图标。具体地,可以赋予每个根节点对应的树根状图标;赋予末级节点树叶状图标;以及赋予根节点与末级节点之间逐级子节点对应的树枝状图标。所述的末级子节点是没有对应子节点的节点。例如,对于表1中的根节点赋予树枝状图标,表1中的b、d、e、f、g和h节点赋予树叶状态图标,表1中的a和c节点赋予树枝状图标。
步骤205:组合每个URL的节点图标和子节点图标,使得子节点图标发源于其所属的节点图标,并选择一种攻击形象图标作为URL的末级节点图标。
在本申请实施例中,根据确定的每个URL节点父子层级关系,组合每个URL的节点图标和子节点图标,使得子节点图标发源于其所属的节点图标,并选择一种攻击形象图标作为URL的末级节点图标。例如,如果赋予每个根节点对应的树根状图标;赋予末级节点树叶状图标;以及赋予根节点与末级节点之间逐级子节点对应的树枝状图标后,组合的节点图标和子节点图标后,就可以以一幅树形图直观展示网站各节点间的层级关系。所述的攻击形象图标可以是五角星图标。这样,例如,如果末级节点受到攻击是,可以在所述树形图上末级节点树叶状图标显示五角星图标。
在本申请实施例中,通过URL的末级节点图标的攻击形象图标的密集程度显示同一URL攻击程度。例如,如果用树枝状图标表示的父节点对应多个子节点,则多个子节点显示攻击形象的图标越密集,所述的父节点攻击程度越严重。
在本申请实施例中,基于攻击日志,通过设定时间内属于同一根节点图标上的末级节点图标的攻击形象图标的密集程度,可以显示网站节点受攻击程度,显示网站安全态势级别。例如,对设定时间内攻击日志中所有URL,按照路径逐级拆分为多个节点,确定节点间的父子层级关系;赋予每个根节点对应的树根状图标;赋予末级节点树叶状图标;以及赋予根节点与末级节点之间逐级子节点对应的树枝状图标;组合URL的节点图标和子节点图标,使得子节点图标发源于其所属的节点图标,并选择五角星图标作为URL的末级节点图标,这样,树形图上,同一个父节点对应的末级节点五角星图标的密集程度就可以表示所述父节点的受攻击程度,进而从整个树形图上可以整体上显示设定时间内网站安全态势级别。
在本申请实施例中,基于攻击日志,通过设定时间内属于同一根节点图标上的同一末级节点图标的攻击形象图标的颜色深浅度,显示网站安全态势级别。例如,用红色五角星末级节点攻击程度严重,用绿色五角星表示末级节点攻击程度一般。设定时间内,同一个根节点中红色图五角星越多,显示网站安全态势级别越严重。
在本申请实施例中,在设定时间内,镜像流量中每个网站形成一幅树状图,显示对应网站的安全态势级别,这样,各网站可以形成网站森林,所述的网站森林用来显示镜像流量对应网络的安全态势级别。
与上述方法实施例相对应,本说明书还提供了安全态势感知可视化装置实施例,图3示出了本说明书一个实施例的安全态势感知可视化装置300结构示意图。如图3所示,该装置包括:
流量获取单元301,用于获取镜像流量;
日志确定单元302,基于镜像流量确定攻击日志;
图标赋予单元303,用于对应于每个URL,对应于其根节点及其逐级子节点,赋予对应于的节点图标和子节点图标;
图标组合单元304,用于组合每个URL的节点图标和子节点图标,使得子节点图标发源于其所属的节点图标,并选择一种攻击形象图标作为URL的末级节点图标。
可选的,所述的安全态势感知可视化装置,包括:
URL攻击程度显示单元,用于通过URL的末级节点图标的攻击形象图标的密集程度显示同一URL攻击程度。
可选的,所述的安全态势感知可视化装置,包括:
第一网站安全态势级别显示单元,用于基于攻击日志,通过设定时间内属于同一根节点图标上的同一末级节点图标的攻击形象图标的颜色深浅度,显示网站安全态势级别。
可选的,所述的URL攻击程度显示单元,包括:
第二网站安全态势级别显示单元,用于基于攻击日志,通过设定时间内属于同一根节点图标上的末级节点图标的攻击形象图标的密集程度,显示网站安全态势级别。
图4所示的是根据本公开的安全态势感知可视化方法形成的单网站安全态势示意图。如图4所示,界面展示网站目录结构的时候,从根节点开始,先画一个树根,读取父节点为根节点的节点,在树根上添加一级枝干。通过遍历一级枝干,查找父节点为一级枝干的节点,在一级枝干上分别画上二级枝干。以此类推,直到该节点没有子节点为止。可选择地,枝干太多时,可选取一定量枝干进行展示,其余的合并到一只枝干上。
如图4所示,界面展示攻击日志时,以网站目录结构为基础,找到对应的枝干,然后在枝干上画上花朵,花朵的颜色由浅入深,安全问题严重级别越高,颜色越深。当攻击日志数量较多时,可将花朵展示为攻击日志严重级别的统计值,例如高风险、中风险、低风险,分为三朵,分别用颜色深浅区分,花朵上可展示各自的数量。
图5所示的是根据本公开的安全态势感知可视化方法形成的多网站安全态势示意图。不同的域名对应的网站分别按照本公开的方法和系统获得如图3所示的网站安全态势图之后,可以得到一片网站的森林,森林中的每棵树是一个网站的缩略图,其颜色代表网站产生的攻击日志数量。
基于图4和5所示意显示,可见,本方法可以很直观的展示出当前用户网络中各网站的安全态势,通过用户非常熟悉的树和森林,以及颜色的区分,可以一目了然的知道当前网络中各网站的安全状况,便于采取必要的安全措施。
本申请一实施例还提供一种计算机可读存储介质,其存储有计算机指令,该指令被处理器执行时实现如前所述安全态势感知可视化方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的安全态势感知可视化方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述安全态势感知可视化方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
综上所述,根据示例性实施例,从镜像流量中提取URL并确定攻击日志,将URL路径逐级拆分为多个节点,确定节点间的父子层级关系;赋予各节点图标,组合各节点图标,使得子节点图标发源于其所属的节点图标,并选择一种攻击形象图标作为URL的末级节点图标,这样,通过URL的末级节点图标的攻击形象图标的密集程度或颜色深浅度显示节点的攻击程度,进而基于攻击日志显示网站的安全态势级别,显示更加直观。
需要指出的是,在本公开的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
