本發明公開了一種基于流量還原的網絡攻擊事件取證方法與裝置，屬于網絡安全技術領域。所述方法包括：針對原始的流量包數據，一方面運用文件分割技術經過tshark解析，經過多線程同步數據清洗，再通過rabbitmq和logstash將數據存到elasticsearch；另一方面通過suricata特征規則匹配，進行事件告警，根據協議解析的數據查詢當前包的流信息從而分割pcap包，從而下載某個事件對應的流量片段。本發明針對流量包協議解析和入庫較慢的問題，應用大文件分割和多線程同步解析入庫的技術大大縮短了入庫時間；通過對每一個告警事件進行解析，準確從原始數據包中分割該告警事件對應的完整流量片段，減少資源浪費。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種基于流量還原的網絡攻擊事件取證方法與裝置。

背景技術

隨著網絡和科技的迅速發展，一方面為人們帶來便利，一方面也存在大量安全隱患，DDOS，木馬，蠕蟲等攻擊時有發生，互聯網安全形勢嚴峻。面對無處不在的網絡攻擊，通常需要通過實時對流量進行分析并且及時告警，通過流量還原進行攻擊取證和溯源。

傳統的流量包協議解析依靠抓包解析工具tshark解析成格式化數據，然后進行數據清洗，最后存到數據庫中，這種方式無論是協議解析還是入庫兩個部分都耗費時間長，會導致流量分析人員不能實時的分析數據，從而導致事件告警延遲、定位和處理問題響應較慢，可能進一步導致整個系統的網絡安全性能降低。

流量還原即獲取告警事件的流量包片段，現有技術的方式是直接截取當前包前后2到5分鐘的流量包，這種方式優點是能夠截取到完整的流量包，并且能獲取到當前事件前后一段時間內的部分數據，有利于事件分析，但是這種方式可能獲取到很多無用的數據，會造成資源浪費，并且數據量太大，會影響分析人員的判斷以及流量分析的速度。

發明內容

有鑒于此，本發明提供的一種基于流量還原的網絡攻擊事件取證方法，主要目的在于解決現有技術中流量包協議解析和入庫較慢，以及流量還原造成資源浪費問題。

根據本發明一個方面，提供了一種基于流量還原的網絡攻擊事件取證方法，該方法包括：

S1協議解析：解析原始流量包以生成格式化數據組，將所述格式化數據組置于數據清洗線程池中進行數據清洗，所述數據清洗線程池中包含一個或多個數據清洗線程，所述多個數據清洗線程同時對所述多個格式化數據進行清洗；提取清洗后的有效字段并將所述有效字段存入數據庫；

S2事件告警：定義suricata的攻擊告警規則，通過所述suricata對所述原始流量包進行所述攻擊告警規則匹配，當匹配成功則進行攻擊告警，同時將所述攻擊告警事件存入所述數據庫；

S3攻擊取證：根據所述攻擊告警事件所對應的所述原始流量包的包序號和文件名從所述數據庫中查詢所述攻擊告警事件的流，并從所述攻擊告警事件的流中切割出所述攻擊告警對應的流量片段進行攻擊分析取證。

作為本發明的進一步改進，所述將原始流量包解析生成格式化數據組包括：對所述原始流量包進行文件分割，對分割后的文件進行tshark解析。

作為本發明的進一步改進，所述數據庫為elasticsearch數據庫；所述有效字段是通過消息隊列rabbitmq用logstash輸入所述elasticsearch數據庫。

作為本發明的進一步改進，所述有效字段包括但不限于五元組、包字節長度、傳輸時間、流信息、所述包序號、協議類型。

作為本發明的進一步改進，所述協議類型包括TCP、HTTP、DNS、全流量協議；所述格式化數據組存入數據庫時按照所述協議類型建立不同的索引。

作為本發明的進一步改進，根據所述協議類型搜索所述數據庫以獲取相關數據庫表，再根據所述原始流量包的包序號和文件名搜索所述相關數據庫表以獲取所述攻擊告警事件的流。