一种安全审计方法及装置与流程

本说明书涉及网络安全
技术领域：
，尤其涉及一种安全审计方法及装置。
背景技术：
：在网络安全领域，以日志分析为主要手段的安全审计措施，是定位安全事件、分析事件影响以及进行安全事件应急处置的重要举措。目前，在对安全事件进行处理时，日志分析是先从网络中部署的各类安全设备所收集的日志开始，从安全设备统计的安全日志中分析并期望找出导致该安全事件的原因，然而对于安全设备不能识别的、或者安全设备漏报的攻击，在安全日志中不会体现，因此，如果想定位这些安全问题，安全专家需要从所有日志中进行人工分析。人为地对所有日志进行分析，并从中进行安全问题的定位，会消耗大量的时间，降低了人工分析时对安全问题进行定位的效率。技术实现要素：为克服相关技术中存在的问题，本说明书提供了一种安全审计方法及装置。根据本说明书实施方式的第一方面，提供了一种安全审计方法，包括：根据业务类型对安全设备内所记录的安全日志进行聚类分析，获取分类模型，其中，安全日志包括正常日志和告警日志；当无法根据分类模型确定接收到的流量的业务类型时，将流量标记为异常状态；提取被标记为异常状态的流量的流量特征，根据安全设备内的特征库对流量特征进行匹配；当根据特征库未匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的异常日志；当根据特征库匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的告警日志。可选的，该安全审计方法，还包括：根据安全设备内的特征库所生成的告警日志进行训练，生成告警模型；根据安全设备内的特征库对流量特征进行匹配，具体为：根据告警模型对流量特征进行匹配。可选的，该特征库为静态特征库。可选的，在安全设备中生成针对被标记为异常状态的流量的异常日志之前，还包括：查询静态特征库中关闭的安全策略；更新静态特征库，以开启静态特征库中关闭的安全策略；根据更新后的静态特征库对流量特征进行匹配。根据本说明书实施方式的第二方面，提供了一种安全审计装置应用于安全设备，装置包括：聚类单元，用于根据业务类型对安全设备内所记录的安全日志进行聚类分析，获取分类模型，其中，安全日志包括正常日志和告警日志；标记单元，用于当无法根据分类模型确定接收到的流量的业务类型时，将流量标记为异常状态；匹配单元，用于提取被标记为异常状态的流量的流量特征，根据安全设备内的特征库对流量特征进行匹配；生成单元，用于当根据特征库未匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的异常日志；当根据特征库匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的告警日志。可选的，该安全审计装置，还包括：训练单元，用于根据安全设备内的特征库所生成的告警日志进行训练，生成告警模型；匹配单元，具体用于根据告警模型对流量特征进行匹配。可选的，该特征库为静态特征库。可选的，该安全审计装置，还包括：查询单元，用于查询静态特征库中关闭的安全策略；更新单元，用于更新静态特征库，以开启静态特征库中关闭的安全策略；匹配单元，还用于根据更新后的静态特征库对流量特征进行匹配。本说明书的实施方式提供的技术方案可以包括以下有益效果：本说明书实施方式中，通过聚类对安全设备内的安全日志进行分析，获取分类模型，在接收到流量时，预先根据分类模型筛选出无法识别的流量，并进行标记，再通过特征库对无法识别的流量进行二次筛选，从中分别确定出安全事件生成对应的告警日志以及无法匹配特征库的疑似安全事件生成对应的异常日志，从而使得工作人员进行人工分析时将安全设备漏报的异常日志与正常日志中区分出来，提升进行人工分析时对安全问题进行定位的效率。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施方式，并与说明书一起用于解释本说明书的原理。图1是本申请所涉及的一种安全审计方法的流程图；图2是本申请所涉及的一种安全审计方法的组网图；图3是本申请所涉及的一种安全审计装置的示意结构图。具体实施方式这里将详细地对示例性实施方式进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施方式中所描述的实施方式并不代表与本说明书相一致的所有实施方式。本申请提供了一种安全审计方法，如图1所示，包括：s100、根据业务类型对安全设备内所记录的安全日志进行聚类分析，获取分类模型。该安全设备可以为网络防火墙或具有防火墙功能的网关设备等。在安全设备运行的过程中，会根据安全设备所设置特征库，用于根据接收到的流量中提取的流量特征进行匹配，以对确定该流量是否为攻击流量，并根据特征库对流量特征的匹配结果，对该流量进行处理，在安全设备中生成对应的安全日志。其中，安全日志包括正常日志和告警日志，正常日志是针对未匹配到特征库的流量生成的，告警日志是针对匹配到了特征库的流量生成的。在安全设备开始工作后，安全设备会收集安全日志并进行存储，由于安全设备接收到的流量大部分为正常流量，因此，可以根据业务类型对安全日志作为训练集进行聚类分析。聚类分析为一种无监督学习方式，可以根据训练集中的内容进行，具体的聚类分析方式为常见的机器自学习的分析方式，在此不做限定，例如可以采用k-均值、k-中心点等算法实现。在本申请中，可以将安全设备中的安全日志作为训练集进行聚类分析，生成包含有多个业务类的分类模型，并根据业务类型获取分类模型。该分类模型用于对流量进行分类，以确定安全设备接收到的流量所对应的类别。此时，安全设备继续接收外部流量，在接收到外部的流量时，确定该流量引起了安全事件，比如网络拥塞、网络服务缓慢或服务停止等情况，而正常业务高峰时也没有出现过以上现象，可排除网络带宽资源问题，初步确定为网络攻击所导致安全事件。当确定出现安全事件后，安全设备将会对流量进行如下处理。s102、当无法根据分类模型确定接收到的流量的业务类型时，将流量标记为异常状态。s104、提取被标记为异常状态的流量的流量特征，根据安全设备内的特征库对流量特征进行匹配。由于安全设备根据存储的安全日志进行聚类分析，获取了针对业务的分类模型，因此，安全设备在后续接收到流量时，可以基于分类模型对流量进行业务类型的判定。如果能够识别出流量的业务类型，则提取出该流量的流量特征，并基于原有的方式进行特征库的匹配。此时，如果特征库能够匹配到该流量特征，则可以认定为是攻击流量，进行阻断或丢弃，并生成针对该攻击流量的告警日志；如果特征库未能匹配到流量特征，则可以认定该流量为正常流量，对该正常流量进行放行，并生成正常日志。但在原有的方式中，被当作正常流量放行的流量，其中可能存在需要进行人工分析的流量，这些流量被放行是由于未能够被识别出来，因此，在生成安全日志时，需要对全部的正常日志进行分析才能够从中找出存在网络攻击的流量加以阻断，这一人工分析的过程需要很大的工作量。在本申请中，如果基于分类模型未能识别出流量的业务类型，则可以认为该流量为之前未曾出现的业务类型，此时，安全设备会将该流量标记为异常状态，并提取处于异常状态的流量的流量特征。这里所说的标记可以采用不同的形式，第一种情况下，可以单独设置一种日志类型称为异常日志，在后续根据特征库未匹配到该流量的流量特征时，针对该流量生成异常日志。在第二种情况下，可以使用原有的日志类型(即，经特征库匹配判定为“正常”的日志)。由于特征库匹配不成功的流量会被安全设备放行，此处不能识别的攻击流量所生成的日志会出现在所有的正常日志中。在分类模型未能匹配到这些流量的情况下，首先对这些流量进行记录，该记录可以传递至后续根据特征库进行匹配的过程，其后，在特征库进行匹配后，针对这些被记录的流量会生成一份“正常”日志，在这些“正常”日志中会被设置一个标识，用于标记该“正常”日志是针对未能识别业务类型所生成的，这种被标记的“正常”日志可以被称为异常日志，也既是将异常日志作为正常日志的一个子集。在后述内容中，将这些被标记的日志统一称为异常日志，以区分正常日志。s106、当根据特征库未匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的异常日志。s108、当根据特征库匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的告警日志。此处，特征库可以为工作人员预先在安全设备上静态特征库，也可以是将安全设备上已经配置的特征库作为训练集进行训练，生成模型。此模型可称为告警模型，该告警模型用于对处于异常状态的流量进行二次筛选，确定处于异常状态的流量是否为攻击流量。针对分类模型识别出的、并且根据特征库未匹配到的流量，可以认为是正常流量，对于正常流量可以直接放行，并在安全设备内生成正常日志。针对攻击流量的处理，无需区分分类模型是否匹配，在根据特征库匹配后，都会被安全设备进行阻断或丢弃，并生成告警日志存储在安全设备内。在根据特征库(静态特征库或者根据特征库而生成的告警模型)匹配到流量的流量特征时，则认为该流量是攻击流量进行处理，在未匹配到时，则认为该流量是未能识别出业务类型的异常流量。针对根据分类模型未能确定业务类型的流量(即，被标记为异常状态的流量)，未能根据特征库匹配到该流量的流量特征时，生成异常日志，以使该异常日志能够从大量的正常日志中被区分出来。这样一来，在工作人员后续进行安全审计的过程中，可以根据标记或日志类型从安全日志中筛选出针对未能识别的流量所对应的日志，从而缩减了工作人员从安全设备中大量的正常日志中筛选出未能识别的流量所消耗的时间，提升了人工分析时对安全问题进行定位的效率。另外，在根据特征库对被标记为异常状态的流量的流量特征进行匹配时，未匹配到流量特征可能是由于静态特征库中的部分安全策略被关闭了。因此，为了能够更准确地确定该处于异常状态的流量所生成的日志是否被标记为异常日志，在安全设备中生成针对被标记为异常状态的流量的异常日志之前，还包括：s105a、查询静态特征库中关闭的安全策略。s105b、更新静态特征库，以开启静态特征库中关闭的安全策略。s105c、根据更新后的静态特征库对流量特征进行匹配。在根据特征库未匹配到被标记为异常状态的流量时，先不生成异常日志，而是对特征库中现有的安全策略进行筛查，确定其中处于关闭(未生效)状态的安全策略。将这些安全策略的状态置于开启(生效)状态，完成对于特征库的更新。在更新之后，根据当前的特征库对流量特征再次进行匹配。具体的处理方式于步骤s106和步骤s108相似，在此不再赘述。另外，为了避免重复地根据特征库进行流量特征的匹配，此时，可以针对一个流量设置更新特征库的次数为1，即仅会更新一次特征库。并且，由于关闭某些安全策略是为了提升安全设备对流量的过滤效率，因此，在进行更新后，针对预先置为关闭状态的安全策略，还可以设置一个复位标记，即在完成针对一个流量的处理后，重新关闭更新特征库时所开启的安全策略，从而提升安全设备对于流量进行过滤的效率。下面结合一个具体的实施方式，对本申请所涉及的一种安全审计方法进行说明。在如图2所示的组网中，外部网络访问主机时，需要通过安全设备进行过滤。需要说明的是，图2仅示出了组网中的部分设备，并不作为对于本申请所应用的组网的限定。另外，针对安全设备的组网不限于图2所的形式，也可以采用其他安全设备的组网方式。s1、安全设备根据业务类型对存储的安全日志进行聚类分析，生成分类模型。在安全设备(例如防火墙)中，工作人员可以根据已知的攻击方式设置特征库，在特征库中存储有安全策略，这些安全策略可以分为特征以及对应的处理方式，例如，来自a网段的流量对应的处理为阻断等。在安全设备接收到外部网络访问主机的流量时，提取流量的流量特征，并根据特征库去匹配被提取的流量特征，确定对应的处理方式，并根据处理结果生成对应的安全日志。安全设备可以按照一定的周期对周期内所生成的安全日志进行聚类分析，生成分类模型，该分类模型可以对接收到的流量进行业务类型的区分。s2、安全设备将特征库作为训练集进行训练，生成告警模型。步骤s1和步骤s2无需区分执行的先后顺序，也可能是分别处理。s3、安全设备接收外部网络的流量，根据生成的分类模型确定该流量的业务类型。此时，如果分类模型能够匹配到流量，则认为该流量为能够被识别的流量，执行s4；如果分类模型无法匹配到流量，则认为该流量为未识别的流量，将该流量标记为异常状态，执行s5。s4、安全设备提取流量的流量特征，根据告警模型对提取出的流量特征进行匹配。如果匹配，则可以认为该流量为攻击流量，对该流量进行阻断，如图2中的流量2，并生成告警日志；如果未匹配，则可以认为该流量为正常流量，对该流量进行放行，如图2中的流量3，并生成正常日志。此时，安全设备中生成的两条安全日志，可以如下表1所示，其中，日志类型为1表示该安全日志为告警日志，日志类型为2表示该安全日志为正常日志。表1s5、安全设备提取流量的流量特征，根据告警模型对被标记为异常状态的流量进行匹配。在安全设备通过告警模型对该流量进行匹配时，可以确定该流量为未识别业务类型的流量。此时，安全设备同样需要提取该流量的流量特征，并通过告警模型对该流量特征进行匹配。如果通过告警模型匹配到了流量的流量特征，则执行步骤s6；如果通过告警模型未匹配到流量的流量特征，则执行步骤s7。s6、安全设备确定该异常流量为攻击流量，进行阻断，并生成针对该异常流量的告警日志。即使在根据分类模型未能识别该流量，并标记为异常流量，如果根据告警模型匹配到了该异常流量，则仍然将该异常流量视为攻击流量，进行阻断，并针对该异常流量生成告警日志。s7、安全设备对该异常流量进行放行处理，并生成针对该异常流量的异常日志。在表1的基础上，安全设备生成针对异常流量的异常日志，该异常日志的日志类型被记为3，最终，针对图2中所示的流量1、流量2和流量3，安全设备中生成三条安全日志，如下表2所示。日志类型流量特征1流量特征2……流量特征n1a1a2an2b1b2bn3c1c2cn表2此后，如果工作人员需要进行人工分析，则可以根据日志类型，从安全设备内存储的所有安全日志中直接获取到异常日志进行展示，以使工作人员能够提升人工分析的效率。相对应的，本申请还提供了一种安全审计装置，如图3所示，应用于安全设备，装置包括：聚类单元，用于根据业务类型对安全设备内所记录的安全日志进行聚类分析，获取分类模型，其中，安全日志包括正常日志和告警日志；标记单元，用于当无法根据分类模型确定接收到的流量的业务类型时，将流量标记为异常状态；匹配单元，用于提取被标记为异常状态的流量的流量特征，根据安全设备内的特征库对流量特征进行匹配；生成单元，用于当根据特征库未匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的异常日志；当根据特征库匹配到流量特征时，在安全设备中生成针对被标记为异常状态的流量的告警日志。可选的，该安全审计装置，还包括：训练单元，用于根据安全设备内的特征库所生成的告警日志进行训练，生成告警模型；匹配单元，具体用于根据告警模型对流量特征进行匹配。可选的，该特征库为静态特征库。可选的，该安全审计装置，还包括：查询单元，用于查询静态特征库中关闭的安全策略；更新单元，用于更新静态特征库，以开启静态特征库中关闭的安全策略；匹配单元，还用于根据更新后的静态特征库对流量特征进行匹配。本说明书实施方式中，通过聚类对安全设备内的安全日志进行分析，获取分类模型，在接收到流量时，预先根据分类模型筛选出无法识别的流量，并进行标记，再通过特征库对无法识别的流量进行二次筛选，从中分别确定出安全事件生成对应的告警日志以及无法匹配特征库的疑似安全事件生成对应的异常日志，从而使得工作人员进行人工分析时将安全设备漏报的异常日志与正常日志中区分出来，提升人工分析时对安全问题进行定位的效率。应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。以上所述仅为本说明书的较佳实施方式而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。当前第1页12