基于路由器日志分析的网络攻击检测系统及检测方法技术方案

本发明专利技术公开了一种基于路由器日志分析的网络攻击检测系统，主要解决现有技术存在的适应性低、计算复杂度高的问题，他包括四个子系统，其中日志模板抽取子系统，从路由器事件日志中提取各个事件的模板；模板特征分类子系统，将日志模板抽取子系统提供的事件模板进行降维操作，完成事件模板的分类，并将事件模板及其分类输出至数据库存储子系统或攻击事件检测子系统；数据库存储子系统，存储模板特征分类子系统提供的降维后的模板特征及其分类，并向攻击事件检测子系统提供查询功能；攻击事件检测子系统对事件模板进行决断，并将决断结果供其他安全软件和风险评估系统使用。本发明专利技术提高了攻击检测的准确度，降低了计算，可用于保障网络空间安全。

【技术实现步骤摘要】
基于路由器日志分析的网络攻击检测系统及检测方法
本专利技术属于信息安全
，特别涉及一种网络攻击检测系统，可用于保障网络空间安全。
技术介绍
随着信息技术的快速发展，计算机网络覆盖范围的增广与应用的增多，使得人们越来越重视计算机网络的安全性。路由器作为计算机网络的核心基础设施，其安全尤为受到人们的关注。在计算机网络通信中，路由器具有记录网络拓扑变化、网络设备接口状态变化、网络带宽利用率等重要信息的功能。因此，对于攻击者来说，攻破路由器的安全机制并获取网络拓扑变化、网络设备接口状态变化、网络带宽利用率等信息对其进一步控制整个计算机网络有着重要的意义。然而，由于不同厂商路由器提供的日志结构、日志内容具有较大的差别，路由器管理员难以根据统一的规则分析路由器日志，导致其无法及时发现计算机网络中存在的针对路由器的攻击事件，最终造成重大损失。目前，针对路由器日志分析方法及系统的研究还处于初级阶段。网络设备提供商及科研人员均对路由器日志分析方法及系统进行了初步的研究。其涉及内容如下：北京优特捷信息技术有限公司开发的产品“日志易”，该产品是一款日志管理工具，具有对日志进行集中采集和准实时索引处理的特点，并提供搜索、分析、监控和可视化等功能。但是，“日志易”存在可识别的网络设备日志类型偏少、无法自适应日志模板等问题，尤其是面对不同厂商的众多路由器日志模板时，“日志易”无法有效的对日志进行搜索、分析、监控和可视化。申请号为201610819389.1的专利申请公开了一种“基于时间序列的日志分析方法和日志分析装置”，该装置通过配置并解析日志的时间模型，获得日志的采集策略和分析策略，并对具有相同采集策略和分析策略的日志进行分析，分析它们之间的关联关系。但是，该装置只提供了一种日志的分析方法，并没有提供基于日志分析的网络攻击检测手段，无法利用该装置及方法保障计算机网络的安全。申请号为201610486225.1的专利申请公开了一种“网络攻击的检测方法、装置及系统”，该系统能够降低网络攻击检测中由于统计样本不准确而造成的网络攻击误判的概率，并提升了网络攻击检测的准确程度。但是，该系统在采样时，需要经历多个采样周期，并且在计算每个采用周期中样本的方差、信息熵、卷积时没有对样本进行降维操作，使得样本中的干扰属性被添加到最后的结果中，造成准确度的下降和计算复杂度的增加。申请号为201610775342.X的专利申请公开了“一种基于日志分析的主机安全防护方法及系统”，该系统通过筛选服务日志获取对应的IP地址，并将获取到的IP地址写入防火墙的禁止访问规则中。但是，该系统对服务日志的筛选局限于对IP地址出现次数、IP地址扫描周期这种显式特征的筛选，并没有针对服务日志的内在特征的筛选，如服务事件的日志结构等。并且该方案中筛选的结果是拉黑相应的IP地址，由于IP地址的可伪造性，这种方案的安全性很低。
技术实现思路
本专利技术的目的在于针对现有技术的不足，提出一种基于路由器日志分析的网络攻击检测系统，以增强对不同路由器型号的适应性，提高对攻击检测的准确度。为实现上述目的，本专利技术基于路由器日志分析的网络攻击检测系统，包括：日志模板抽取子系统1，用于从安全人员预先提供的路由器事件日志或实际网络的路由器事件日志中提取各个事件的模板，并将提取的事件模板提供给模板特征分类子系统；模板特征分类子系统2，用于将日志模板抽取子系统提供的事件模板进行降维操作，完成事件模板的分类，并将事件模板及其分类输出至数据库存储子系统或攻击事件检测子系统；该事件模板分为两类，一类是攻击事件模板，一类是正常事件模板，其中攻击事件模板又分为SSL攻击事件模板、网关监听攻击事件模板、IP洪泛攻击事件模板、ARP洪泛攻击事件模板、DOS攻击事件模板和暴力破解事件模板；数据库存储子系统3，用于对模板特征分类子系统提供的降维后的模板特征及其分类进行存储，并向攻击事件检测子系统提供查询功能；攻击事件检测子系统4，用于对模板特征分类子系统提供的事件模板进行如下决断，并将决断结果供其他安全软件和风险评估系统使用；若事件模板与数据库存储子系统中存储的攻击事件的模板特征匹配，则决断该事件模板对应的事件为攻击事件，并判断出攻击事件的具体类型；若事件模板与数据库存储子系统中存储的正常事件的模板特征匹配，则决断为该事件模板对应的事件为正常事件；否则，决断为该实际网络事件模板对应的事件为未知事件。基于上述系统，本专利技术进行网络攻击检测的方法包括如下步骤：1)安全人员向日志模板抽取子系统输入预先准备的路由器事件日志；2)日志模板抽取子系统提取各个路由器事件的模板；3)安全人员向模板特征分类子系统输入原始特征键值对[模板特征，日志事件类别]，对预先准备的事件模板进行降维操作，并对降维后的模板进行分类；4)数据库存储子系统存储降维后的模板及其分类；5)将实际网络的路由器事件日志用户输入给日志模板抽取子系统，该子系统提取出各个路由器事件的模板；6)模板特征分类子系统对提取出的实际网络事件模板进行降维操作；7)攻击事件检测子系统在数据库存储子系统中搜索与步骤6)中降维后的实际网络事件模板相匹配的预先准备的事件模板，并根据搜索结果进行决断：若实际网络事件模板与数据库存储子系统中存储的攻击事件的模板特征匹配，则决断该事件模板对应的事件为攻击事件，并判断出攻击事件的具体类型；若实际网络事件模板与数据库存储子系统中存储的正常事件的模板特征匹配，则决断为该事件模板对应的事件为正常事件；否则，决断为该实际网络事件模板对应的事件为未知事件。本专利技术具有以下优点：1.本专利技术提出的网络攻击检测系统与现有商用日志分析系统相比，在具有自动化日志分析能力的情况下，可以识别多种不同型号的路由器日志，具有普适性。2.本专利技术提出的网络攻击检测系统与现有网络攻击检测系统相比，通过抽取路由器事件日志模板，并采用降维算法及聚类算法实现日志模板的匹配，具有检测准确率高、算法复杂度低和安全性高的优点。3.本专利技术基于网络攻击检测系统的检测方法与现有网络攻击检测方法相比，通过训练阶段与检测阶段的处理，将路由器日志的事件模板特征作为决断依据，具有检测准确率高的优点。附图说明图1是本专利技术网络攻击检测系统的架构图；图2是本专利技术基于网络攻击检测系统的检测方法流程图；图3是本专利技术中提取路由器事件模板的子流程图；图4是本专利技术中对预先准备的事件模板进行降维操作及分类的子流程图；图5是本专利技术中对提取出的实际网络事件模板进行降维操作的子流程图；图6是本专利技术中对实际网络事件模板进行决断的子流程图；具体实施方式以下结合附图对本专利技术作进一步详细描述。参照图1，本专利技术包括日志模板抽取子系统1、模板特征分类子系统2、数据库存储子系统3和攻击事件检测子系统4，其中：日志模板抽取子系统1，从安全人员预先提供的路由器事件日志或实际网络的路由器事件日志中提取各个事件的模板，并将提取的事件模板提供给模板特征分类子系统2；模板特征分类子系统2，将日志模板抽取子系统提供的事件模板进行降维操作，完成事件模板的分类，并将事件模板及其分类输出至数据库存储子系统或攻击事件检测子系统3，该事件模板分为两类，一类是攻击事件模板，一类是正常事件模板，其中攻击事件模板又分为SSL攻击事件模板、网关监听攻击事件模板、本文档来自技高网...

【技术保护点】
一种基于路由器日志分析的网络攻击检测系统，其特征在于，包括：日志模板抽取子系统(1)，用于从安全人员预先提供的路由器事件日志或实际网络的路由器事件日志中提取各个事件的模板，并将提取的事件模板提供给模板特征分类子系统；模板特征分类子系统(2)，用于将日志模板抽取子系统提供的事件模板进行降维操作，完成事件模板的分类，并将事件模板及其分类输出至数据库存储子系统或攻击事件检测子系统；该事件模板分为两类，一类是攻击事件模板，一类是正常事件模板，其中攻击事件模板又分为SSL攻击事件模板、网关监听攻击事件模板、IP洪泛攻击事件模板、ARP洪泛攻击事件模板、DOS攻击事件模板和暴力破解事件模板；数据库存储子系统(3)，用于对模板特征分类子系统提供的降维后的模板特征及其分类进行存储，并向攻击事件检测子系统提供查询功能；攻击事件检测子系统(4)，用于对模板特征分类子系统提供的事件模板进行如下决断，并将决断结果供其他安全软件和风险评估系统使用；若事件模板与数据库存储子系统中存储的攻击事件的模板特征匹配，则决断该事件模板对应的事件为攻击事件，并判断出攻击事件的具体类型；若事件模板与数据库存储子系统中存储的正常事件的模板特征匹配，则决断为该事件模板对应的事件为正常事件；否则，决断为该事件模板对应的事件为未知事件。...

【技术特征摘要】
1.一种基于路由器日志分析的网络攻击检测系统，其特征在于，包括：日志模板抽取子系统(1)，用于从安全人员预先提供的路由器事件日志或实际网络的路由器事件日志中提取各个事件的模板，并将提取的事件模板提供给模板特征分类子系统；模板特征分类子系统(2)，用于将日志模板抽取子系统提供的事件模板进行降维操作，完成事件模板的分类，并将事件模板及其分类输出至数据库存储子系统或攻击事件检测子系统；该事件模板分为两类，一类是攻击事件模板，一类是正常事件模板，其中攻击事件模板又分为SSL攻击事件模板、网关监听攻击事件模板、IP洪泛攻击事件模板、ARP洪泛攻击事件模板、DOS攻击事件模板和暴力破解事件模板；数据库存储子系统(3)，用于对模板特征分类子系统提供的降维后的模板特征及其分类进行存储，并向攻击事件检测子系统提供查询功能；攻击事件检测子系统(4)，用于对模板特征分类子系统提供的事件模板进行如下决断，并将决断结果供其他安全软件和风险评估系统使用；若事件模板与数据库存储子系统中存储的攻击事件的模板特征匹配，则决断该事件模板对应的事件为攻击事件，并判断出攻击事件的具体类型；若事件模板与数据库存储子系统中存储的正常事件的模板特征匹配，则决断为该事件模板对应的事件为正常事件；否则，决断为该事件模板对应的事件为未知事件。2.根据权利要求1所述的系统，其特征在于，所述的日志模板抽取子系统(1)，包括：日志收集模块(11)，用于将路由器事件日志作为输入数据，由用户从中选取所需规模的路由器事件日志输出至模板抽取引擎；模板抽取引擎(12)，用于在接收到日志收集模块的输出数据后，建立一棵以日志内单词为节点的树，并统计每个日志的事件模板，将日志的事件模板输出至模板特征分类子系统(2)。3.根据权利要求1所述的系统，其特征在于，所述的模板特征分类子系统(2)，包括：降维引擎(21)，用于接收路由器事件的日志特征，并在完成对路由器事件日志特征的降维操作后，将低维的路由器事件日志特征输出至日志事件分类器；日志事件分类器(22)，用于接收低维的事件日志特征，并将其按照正常事件、SSL层攻击、网关监听攻击、IP洪泛攻击、ARP洪泛攻击、DOS攻击及暴力破解攻击进行分类，并将分类结果与对应的事件日志特征以键值对的方式输出至数据库存储子系统(3)。4.根据权利要求1所述的系统，其特征在于，所述的数据库存储子系统(3)，包括：数据库模块(31)，用于对模板特征分类子系统(2)降维后的模板特征和事件类型进行存储，并通过读接口提供记录读取功能，通过写接口提供记录写入功能；读接口(32)，用于向其他子系统提供从数据库模块读取记录的功能；写接口(33)，用于向其他子系统提供向数据库模块写入记录的功能。5.根据权利要求1所述的系统，其特征在于，所...

【专利技术属性】
技术研发人员：马建峰，李腾，魏大卫，孙聪，习宁，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61