公开(公告)号：CN114915479A

公开(公告)日：2022-08-16

申请号：CN202210547657.4

申请日：2022-05-18

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  尼杰硕 ,  曹雅琴 ,  赵建军 ,  刘潮歌 ,  冯云 ,  代峰

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明公开了一种基于Web日志的Web攻击阶段分析方法及系统。本方法为：1)获取待检测网站的访问日志文件并对其进行解析，得到该待检测网站的源日志数据；2)对所述源日志数据进行攻击检测，得到该待检测网站受到的攻击事件；3)根据该待检测网站受到的攻击事件构建攻击事件图，以图的形式记录和存储检测出的攻击事件的详细信息；4)基于所述攻击事件图，获取各所述攻击事件之间的关联关系；5)根据所述关联关系将同属一个多步Web攻击过程的各攻击事件进行聚合，还原多步Web攻击的攻击场景，确定各个攻击场景的攻击阶段并评估攻击的危害程度。本发明能分担应急响应中的分析工作，使其只着重关注攻击阶段较深入、重要的攻击事件。

公开(公告)号：CN114915479B

公开(公告)日：2023-06-27

申请号：CN202210547657.4

申请日：2022-05-18

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  尼杰硕 ,  曹雅琴 ,  赵建军 ,  刘潮歌 ,  冯云 ,  代峰

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明公开了一种基于Web日志的Web攻击阶段分析方法及系统。本方法为：1)获取待检测网站的访问日志文件并对其进行解析，得到该待检测网站的源日志数据；2)对所述源日志数据进行攻击检测，得到该待检测网站受到的攻击事件；3)根据该待检测网站受到的攻击事件构建攻击事件图，以图的形式记录和存储检测出的攻击事件的详细信息；4)基于所述攻击事件图，获取各所述攻击事件之间的关联关系；5)根据所述关联关系将同属一个多步Web攻击过程的各攻击事件进行聚合，还原多步Web攻击的攻击场景，确定各个攻击场景的攻击阶段并评估攻击的危害程度。本发明能分担应急响应中的分析工作，使其只着重关注攻击阶段较深入、重要的攻击事件。