CN111092879A - 日志关联方法及装置、电子设备、存储介质 - Google Patents
日志关联方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN111092879A CN111092879A CN201911280995.0A CN201911280995A CN111092879A CN 111092879 A CN111092879 A CN 111092879A CN 201911280995 A CN201911280995 A CN 201911280995A CN 111092879 A CN111092879 A CN 111092879A
- Authority
- CN
- China
- Prior art keywords
- user behavior
- attack
- log
- event
- behavior event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Abstract
本申请提供一种日志关联方法及装置、电子设备、存储介质;该方法可以根据本次攻击的攻击模式在预先建立的映射关系中查找到对应的用户行为事件集合,并读取该集合中的样本用户行为事件;然后将实际发生的用户行为事件与样本用户行为事件进行匹配,并基于记录的用户行为事件能够匹配到样本用户行为事件的用户行为日志与记录有本次攻击的攻击日志建立关联关系。通过本申请的技术方案,能够筛选出实际可能引发本次攻击的用户行为事件,并将记录有该用户行为事件的日志与记录有本次攻击的日志进行关联,在减少日志分析的人力成本的同时,提高了日志分析的准确度。
Description
技术领域
本申请涉及网络安全领域,特别涉及一种日志关联方法及装置、电子设备、存储介质。
背景技术
随着用户对网络资源的需求不断增加,网络的安全问题也被日益重视。而日志作为一种能够反映设备在网络环境中所处状况的文件,其应用备受开发人员的关注。然而,在实际应用中,由于日志多而杂的特性,开发人员难以根据日志内容对设备当前所处状况进行准确分析,进而无法针对设备的真实状况及时采取相应的措施,导致容易引发安全问题。
发明内容
有鉴于此,本申请提供一种日志关联方法及装置、电子设备、存储介质,能够从大量日志中筛选出分别与各个攻击日志相关联的用户行为日志,并建立各个攻击日志与相应用户行为日志之间的关联关系,进而帮助用户更好地分析引发攻击的原因。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种日志关联方法,包括:
获取对应于用户设备的攻击日志,并基于所述攻击日志确定本次攻击的攻击模式;
根据预设映射关系查找与确定出的攻击模式对应的目标用户行为事件集合,并读取所述目标用户行为事件集合中的目标样本用户行为事件;所述映射关系包含攻击模式和用户行为事件集合的对应关系,任一用户行为事件集合中包含有引发属于相应攻击模式的攻击的样本用户行为事件;
在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,并将查找到的用户行为日志与所述攻击日志建立关联关系。
根据本申请的第二方面,提出了一种日志关联装置,包括:
获取单元,获取对应于用户设备的攻击日志,并基于所述攻击日志确定本次攻击的攻击模式;
读取单元,根据预设映射关系查找与确定出的攻击模式对应的目标用户行为事件集合,并读取所述目标用户行为事件集合中的目标样本用户行为事件;所述映射关系包含攻击模式和用户行为事件集合的对应关系,任一用户行为事件集合中包含有引发属于相应攻击模式的攻击的样本用户行为事件;
匹配单元,在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,并将查找到的用户行为日志与所述攻击日志建立关联关系。
根据本申请的第三方面,提供一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如上述实施例中任一所述的方法。
根据本申请的第四方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述实施例中任一所述方法的步骤。
在本申请的技术方案中,预先建立攻击模式与用户行为事件集合之间的映射关系,在这样的机制下,执行设备可以根据任一攻击的攻击模式确定与之相应的样本用户行为事件,并将实际发生的用户行为事件与确定的样本用户行为事件进行匹配,能够确定出可能引发该任一攻击的实际发生的用户行为事件,进而在减少人工参与的同时,提高了用户进行日志分析的准确度。
附图说明
图1是本申请一示例性实施例示出的一种日志关联方法的流程图。
图2是本申请一示例性实施例示出的一种映射关系生成方法的流程图。
图3是本申请一示例性实施例示出的一种日志处理方法的流程图。
图4是本申请一示例性实施例示出的另一种日志关联方法的流程图。
图5是本申请一示例性实施例示出的一种电子设备的结构示意图。
图6是本申请一示例性实施例示出的一种日志关联装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参考图1,图1是本申请一示例性实施例示出的一种日志关联方法的流程图。如图1所示,该方法可以包括以下步骤:
步骤S102,获取对应于用户设备的攻击日志,并基于所述攻击日志确定本次攻击的攻击模式。
在相关技术中,设备会根据日志的类型将其进行分类,并会按照日志的不同类型在不同页面中分别展示,但是给日志之间建立关联关系的工作全部由用户进行。
举例而言,当设备遭受到外部攻击时,用户需要根据记录有该攻击的攻击日志对其他日志进行分析,并最终确定记录有引发本次攻击的用户行为(或称用户事件、用户行为事件)的日志(为方便表述,在本说明书中,记录有用户行为事件的日志称为用户行为日志)。
在实际操作中,该过程需要用户根据攻击日志初步确定与本次攻击相关的用户行为日志,并在各个页面中对各个类型的用户行为日志进行分析和筛选,再整合从各个页面筛选得到的用户行为日志,并最终确定出引发本次攻击的用户行为事件,过程十分繁殖。
在本实施例中,日志通常由网关设备采集,而执行本方法的设备可以为用户设备,也可以为网关设备。用户行为事件也可以包括:WEB搜索审计、邮件往来、即时通讯、文件传输等。
在一实施例中,该方法由用户设备执行。网关设备会将采集到的对应于该用户设备的所有日志发送给该用户设备,发送的过程可以设定成定时发送。此时,本步骤中获取对应于用户设备的攻击日志,可以由该用户设备接收到网关设备发送的日志后,从中筛选出攻击日志,并基于该攻击日志确定本次攻击的攻击模式。具体的,用户设备可以扫描该攻击日志,并根据日志记载的内容确定其攻击模式。举例而言,本领域技术人员可以预先将各种攻击的名称以及其攻击模式制成一张映射关系表,以便用户设备可以根据该映射关系表确定各种攻击的攻击模式。当然,该举例仅是示意性的,本领域技术人员完全可以根据实际情况设定不同攻击内容与攻击模式的映射关系。
在另一实施例中,该方法由网关设备执行。此时,网关设备只需在采集到的所有日志中筛选对应于任一用户设备的攻击日志即可,并基于该攻击日志确定本次攻击的攻击模式。具体如何基于攻击日志确定攻击模式可参考上一实施例,在此不作赘述。
针对上述两实施例,该方法由用户设备执行的优势在于,可以减少日志分析对网关设备处理资源的占用,以提高网关设备的性能;而该方法应用于网关设备的优势在于,将针对多台用户设备的日志分析均在同一网关设备中进行,便于对各个用户设备的日志进行集中管理。
步骤S104,根据预设映射关系查找与确定出的攻击模式对应的目标用户行为事件集合,并读取所述目标用户行为事件集合中的目标样本用户行为事件;所述映射关系包含攻击模式和用户行为事件集合的对应关系,任一用户行为事件集合中包含有引发属于相应攻击模式的攻击的样本用户行为事件。
在本实施例中,可以预先建立攻击模式与用户行为事件集合之间的对应关系。举例而言,可以将可能引发属于某一类攻击模式的攻击的用户行为事件加入对应于该攻击模式的用户行为事件集合中。具体的,可参考表1。
攻击模式 | 用户行为事件集合 | 用户行为事件 |
攻击模式A | 集合a | 事件1、事件2、事件3、事件4 |
攻击模式B | 集合b | 事件5、事件6 |
表1
由表1可知,事件1、事件2、事件3、事件4属于集合a,集合a对应于攻击模式A,其实际含义为:事件1、事件2、事件3、事件4可能为引起属于攻击模式A的攻击的用户行为事件。同理,攻击模式B与攻击模式A类似,在此不作赘述。
承接上述举例,假设本次确定的攻击模式为A,本步骤中根据预设映射关系查找确定出的攻击模式对应的目标用户行为事件集合,即为根据攻击模式A确定出目标用户事件集合为集合a;集合a中的用户行为事件1、事件2、事件3、事件4即为读取到的目标样本用户行为事件。
在一实施例中,上述映射关系可以通过人工设置的方式得到。具体的,可以由安全专家根据工作经验和专业知识确定类似上述表1中的映射关系,再通过输入界面将其输入执行设备,以由执行设备接收到相应指令后,将读取到的映射关系保存到预先分配的存储空间中。
针对上述实施例,由人工确定用户行为事件与攻击模式的对应关系的优势在于,由于通常都由本领域技术人员确定该对应关系,其凭借的是本领域的专业知识以及多年从事本领域工作的经验,考虑到的因素会非常多,使得确定的对应关系通常都较为准确。
步骤S106,在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,并将查找到的用户行为日志与所述攻击日志建立关联关系。
在本实施例中,为了减少待匹配日志的数量,首先需要确定获取用户行为日志的范围。
在一实施例中,可以优先确定本次攻击的攻击时刻,并以该攻击时刻为界,将所记录的用户行为事件的发生时刻早于该攻击时刻用户行为日志确定为待匹配日志;然后,将确定的待匹配日志中记录的用户行为事件与步骤S104中确定的目标样本用户行为事件进行匹配,将记录的用户行为事件能够匹配到目标样本用户行为事件的待匹配日志与攻击日志建立关联关系。
进一步的,在另一实施例中,还可以基于本次攻击时刻和上一攻击时刻确定本次攻击与上一次攻击的时间间隔,并将记录的用户行为事件的发生时刻在该时间间隔内的用户行为日志确定为待匹配日志。确定待匹配日志后的过程与上一实施例一致,在此不作赘述。
在本实施例中,可以通过KMP算法在获取到的用户行为日志中查找所记录的用户行为事件与目标样本用户行为事件相匹配的用户行为日志。具体的,在预设阶段,将属于同一集合的用户行为事件对应的代码通过串接的方式组成长字符串。在匹配的过程中,将与待匹配日志对应的字符串作为待匹配子串,并将确定的目标用户行为事件集合对应的长字符串作为匹配主串;将待匹配字符串在匹配主串中通过KMP算法进行匹配。KMP的主要思路是当待匹配子串在主串中匹配到N位字符时,在N位字符中又存在与前缀重复的字符时,即可直接让子串位移前缀与重复字符串之间的位数差,以继续执行匹配的。
举例而言,假设当前存在匹配主串与匹配子串如下:
主串:ABCABGHKPLABCD
字串:ABCABX
由上述字符串可知,匹配子串与匹配主串前5位字符,即“ABCAB”相同,但第6位“G”与“X”不同,此时无需向后位移一位一一匹配,可直接向后位移3位继续匹配,位移后结果如下:
主串:ABCABGHKPLABCD
字串:ABCABX
由此可知,在匹配的过程中由于无需逐位位移进行匹配,大幅提高了匹配的效率。
在本实施例中,将查找到的用户行为日志与攻击日志建立关联关系的形式可以为:将确定的用户行为日志与攻击日志存储于同一存储空间中,当然也可以将确定的用户行为日志与攻击日志关联展示在同一页面中。
进一步的,在一实施例中,可以将查找到的用户行为日志按照所记录的用户行为事件的类型进一步进行分类,并在特定页面中关联展示完成分类的用户行为日志与攻击日志。
在特定页面关联展示的做法,使得用户在同一页面中即可同时审阅攻击日志以及与其存在关联关系的不同用户行为日志,这样的方式方便了用户对用户行为日志和攻击日志进行分析,更加准确地确定引发本次攻击的用户行为事件。
当用户根据关联展示的用户行为日志和攻击日志确定出引发本次攻击的用户行为事件时,即可点击相应的用户行为日志。此时,执行设备可以接收用户发送的选择指令,该指令中包含用户从完成分类的用户行为日志中选择出的关联日志,该关联日志记录的即为引发所述本次攻击的用户行为事件;执行设备根据该选择指令即可在完成分类的用户行为日志中定位所述关联日志。
由上述技术方案可知,在本申请的技术方案中,预先建立有可能引起某些攻击模式下攻击的用户行为事件与相应攻击模式之间的映射关系,在这种机制下,通过将实际发生的用户行为事件与映射关系中相应攻击模式下的用户行为事件进行匹配的方式,从大量用户行为日志中筛选出了记录有可能引发本次攻击的用户行为事件的用户行为日志,使得用户可以基于筛选出的用户行为日志更为准确地确定引发本次攻击的用户行为事件。
由上述内容可知,本申请的技术方案涉及到两个阶段,接下来分别针对两个阶段对本申请的技术方案进行介绍。
1、配置阶段
参考图2,图2是本申请一示例性实施例示出的一种映射关系生成方法的流程图。如图2所示,该方法可以包括以下步骤:
步骤S201,接收用户发送的映射关系配置指令。
在本实施例中,攻击模式与用户行为事件集合的映射关系通过人工配置的方式得到。在这种方式中,上述对应关系由本领域技术人员根据自己的专业知识以及工作经验得到。
在实际操作中,可以在执行设备中专门提供一个配置页面。本领域技术人员通过该配置页面将确定的对应关系发送给执行设备,以便该执行设备根据输入的对应关系建立相应的配置指令,并根据该配置指令在执行设备中建立相应的映射关系。
步骤S202,读取所述映射关系中包含的攻击模式与用户行为事件集合之间的对应关系。
在本实施例中,映射关系至少包含攻击模式与用户行为事件集合之间的对应关系。其中,任一用户行为事件集合中包含至少一种引发属于相应攻击模式的攻击的用户行为事件。
在一实施例中,在该映射关系中还可以包括对应于攻击模式下的不同攻击。举例而言,可参考下表2。
表2
在上表中,右侧三列内容的含义与表1一致,在此不作赘述。针对第一列内容,其含义为:任一用户行为事件集合中的用户行为事件可能引发相应攻击模式下的至少一种攻击。以攻击模式A为例,属于攻击模式A的攻击有攻击1、攻击2、攻击3,其对应的集合a中包含事件1、事件2、事件3、事件4。那么,事件1、事件2、事件3、事件4这四个事件中的任一事件或任意组合均可能引发攻击1、攻击2、攻击3中的至少一种。
将各种攻击加入映射关系的方式,使得在确定攻击的攻击模式时,能够通过该映射关系直接得到,而无需基于攻击日志的具体内容得到。
步骤S203,将读取到的对应关系以及用户行为事件集合中的样本用户行为事件保存至预先配置的存储空间中。
在本实施例中,可以预先分配一定的存储空间以用于存储攻击模式与用户事件集合之间的映射关系。
由上述技术方案可知,本申请预先建立攻击模式和用户行为事件集合之间的映射关系,使得在确定任一攻击的攻击模式的基础上,能够获取可能引起该任一攻击的样本用户行为事件。通过这样的方式,可以将样本用户行为事件作为参考,从实际发生的用户行为事件中筛选出可能引发本次攻击的用户行为事件。
进一步的,还可以将各攻击模式下的各种攻击加入映射关系,使得在获取到任一攻击日志时,可以直接根据映射关系确定对应的攻击模式,而无需根据该攻击日志的具体内容确定攻击模式,减少了对执行设备处理资源的占用。
2、关联阶段
参考图3,图3为本申请一示例性实施例示出的一种日志处理方法的流程图。由图3可知,该方法可以包括以下步骤:
步骤S301,接收网关设备发送的日志。
在实际应用中,由于网关设备对应于多台用户设备,本身工作负荷较高,所以对日志进行分析、关联等操作通常不会由网关设备执行。因此,在本实施例中,该方法由用户设备执行,但日志采集的工作仍由网关设备进。当然,网关设备也可以进一步对接收到的日志进行分类,并以不同的格式保存不同类型的日志。通过这样的方式,用户设备在读取到日志时只需根据存储格式即可判断属于何种类型的日志。
在本实施例中,网关设备采集的日志包括该网关设备所管理的用户设备的所有日志。因此,针对任一用户设备,网关设备只向该任一用户设备返回对应于该用户设备的日志。在实际操作中,网关设备可以定时向所管理的用户设备发送对应于各个用户设备的日志。
步骤S302,从接收到的日志中筛选出攻击日志。
在本实施例中,用户设备可以通过日志的内容以确定哪些日志为攻击日志。当然,也可以根据日志的特征确定攻击日志,比如可以通过步骤S301中所述的存储格式确定哪些日志为攻击日志,具体的,可以由本领域技术人员根据实际情况进行设定,在此不作限定。
步骤S303,将筛选出的攻击日志与相应的用户行为日志建立关联关系。
在本实施例中,接收到的日志中包含了大量用户行为日志,这些用户行为日志记录了大量的用户行为事件,这些用户行为事件描述了过去发生的某些用户操作。将用户行为日志与攻击日志建立关联关系的目的在于,帮助用户对攻击日志所记录的攻击事件进行更为准确的分析,以确定引发该攻击的用户操作。
在本实施例中,从接收到的日志中筛选得到的攻击日志可能包括多个攻击日志,为了给每一个攻击日志关联相应的用户行为日志,针对这多个攻击日志中的任一攻击日志可以执行如图4所示的步骤。
接下来,结合图4介绍步骤S303中如何将任一攻击日志与相应的用户行为日志建立关联关系的方法。参考图4,图4为本申请一示例性实施例示出的另一种日志关联方法的流程图,该方法可以包括以下步骤:
在步骤S401中,确定本次攻击的攻击模式和攻击时刻。
在本实施例中,该步骤中的本次攻击指的是当前正在进行日志关联的攻击日志所记录的攻击。在本实施例中,可以根据记录有该攻击的攻击日志确定本次攻击的攻击模式和攻击时刻。具体的,可以通过扫描该攻击日志以确定本次攻击的攻击模式和攻击时刻。
在步骤S402中,基于确定的攻击模式从预设映射关系中确定对应的用户行为事件集合。
在本实施例中,由步骤S401获得的攻击模式即可在预设的映射关系中确定与之对应的用户行为事件集合。为方便理解,承接表1的举例。假设在步骤S401中确定本次攻击的攻击模式为攻击模式A,那么即可由表1所示的映射关系确定对应的用户行为事件集合为集合a。
在步骤S403中,读取所述用户行为事件集合中的样本用户行为事件。
继续承接上述举例,在本步骤中,所读取到的样本用户行为事件即为事件1、事件2、事件3和事件4。
在步骤S404中,基于确定的攻击时刻和上一攻击时刻确定时间间隔。
在本实施例中,假设确定本次攻击的攻击时刻为:10:30,上一次攻击时刻为10:20,那么,本步骤确定的时间间隔即为“10:20-10:30”。
在实际操作中,保存的日志中通常都是按照时间顺序排序的,因此,在确定记录有本次攻击的攻击日志后,可按照时间顺序找到上一攻击日志,而上一攻击时刻可以根据上一攻击日志确定。具体的,用户设备可以通过扫描上一攻击日志的内容进而确定上一攻击时刻(即上一次攻击的攻击时刻)。
在步骤S405中,读取时间间隔内的用户行为日志。
继续承接上述举例,在步骤S404确定时间间隔后,用户设备即可根据该时间间隔确定实际发生的与本次攻击有关的用户行为日志。举例而言,假设在“10:10-10:30”之间实际发生的用户行为事件包括如表3所示的用户行为事件。
用户行为事件 | 发生时刻 | 用户行为事件 | 发生时刻 |
事件8 | 10:11 | 事件7 | 10:22 |
事件5 | 10:15 | 事件2 | 10:25 |
事件6 | 10:18 | 事件3 | 10:27 |
表3
由上表可知,在上表中发生时刻在确定的时间间隔内的用户行为事件有:事件7、事件2、事件3,即在本步骤中读取到的用户行为日志为分别记录有事件7、事件2、事件3的用户行为日志。
值得注意的是,在实际操作中,用户行为日志的存储顺序通常都是按日志生成的时间顺序进行存储的,而日志生成的时间顺序与所记录的用户行为事件发生的顺序通常也是一致的。因此,在实际操作过程中,可以直接将存储位置在记录有本次攻击的攻击日志与上一攻击日志之间的用户行为日志确定为本步骤所要读取的用户行为日志。可见,在实际操作中,步骤S404中的时间间隔可以由两攻击日志的生成时间确定,甚至可以将步骤S404中确定的时间间隔修改为由两攻击日志存储位置确定的存储范围,此时,本步骤只需直接读取该存储范围内的用户行为日志即可。当然,上述举例仅是示意性的,具体如何读取记录有实际发生的用户行为日志可由本领域技术人员根据实际情况确定,在此不作限定。
在步骤S406中,将读取到的用户行为日志中记录的用户行为事件与确定的样本用户行为事件进行匹配。
继续承接上述举例,由步骤S403得到的样本用户行为事件为“事件1、事件2、事件3、事件4”,由S405得到的实际发生的用户行为事件为“事件7、事件2、事件3”。由此可知,在实际发生的用户行为事件中能够匹配到样本用户行为事件的事件有事件2和事件3。
在步骤S407中,将记录的用户行为事件能够匹配到相应样本用户行为事件的用户行为日志确定为待关联日志。
继续承接上述举例,由于在步骤S406中确定事件2和事件3能够匹配到对应的样本用户行为事件。因此,在本步骤中将分别记录有事件2和事件3的用户行为日志确定为待关联日志。
在步骤S408中,将确定的待关联日志与记录有本次攻击的攻击日志建立关联关系。
继续承接上述举例,在本步骤中,即可将确定的分别记录有事件2和事件3的用户行为日志与记录有本次攻击的攻击日志建立关联关系。
步骤S304,将针对各个攻击日志建立的关联关系在特定页面中进行关联展示。
在本实施例中,在特定页面关联展示之前,可以将与任一攻击日志关联的多个用户行为日志进一步进行分类,使得在特定页面关联展示时,用户可以基于不同类型的用户行为日志更好地进行分析。
步骤S305,接收用户发送的选择指令,并定位相应的关联日志。
在本实施例中,当用户在特定页面中看到关联展示的用户行为日志和攻击日志后,便可基于展示的内容进行分析,从而知晓到底是哪些用户行为日志记录的用户行为事件引发了相关联的攻击日志记录的攻击。此时,用户便可点击相应的用户行为日志,以向用户设备发送选择指令;用户设备接收到该选择指令后即可定位相应的用户行为日志。
由上述技术方案可知,本申请通过预先建立的映射关系确定与攻击对应的样本用户行为事件,并将实际发生的用户行为事件与确定的样本用户行为事件进行匹配,确定出了可能引发当前攻击的实际发生的用户行为事件。
进一步的,建立确定的用户行为日志与攻击日志之间的关联关系,并在特定页面中关联展示,使得用户能够基于与相应攻击日志关联展示的用户行为日志确定实际引发对应攻击的用户行为事件。由此可见,本申请的技术方案使得用户只需分析少量的用户行为日志即可获得较为准确的分析结果。换言之,本申请的技术方在减少了人工成本的同时,提高了日志分析的准确度。
图5为本申请的一示例性实施例示出一种电子设备的示意结构图。请参考图5,在硬件层面,该电子设备包括处理器502、内部总线504、网络接口506、内存508以及非易失性存储器510,当然还可能包括其他业务所需要的硬件。处理器502从非易失性存储器510中读取对应的计算机程序到内存508中然后运行,在逻辑层面上形成日志关联装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图6,在软件实施方式中,该日志关联装置可以包括:
获取单元601,获取对应于用户设备的攻击日志,并基于所述攻击日志确定本次攻击的攻击模式;
读取单元602,根据预设映射关系查找与确定出的攻击模式对应的目标用户行为事件集合,并读取所述目标用户行为事件集合中的目标样本用户行为事件;所述映射关系包含攻击模式和用户行为事件集合的对应关系,任一用户行为事件集合中包含有引发属于相应攻击模式的攻击的样本用户行为事件;
匹配单元603,在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,并将查找到的用户行为日志与所述攻击日志建立关联关系。
可选的,所述匹配单元603具体用于:
获取所记录的用户行为事件的发生时刻早于本次攻击时刻的用户行为日志;
在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志。
可选的,所述匹配单元603进一步用于:
基于所述本次攻击时刻与上一攻击时刻确定时间间隔;
获取所记录的用户行为事件的发生时刻在所述时间间隔内的用户行为日志。
可选的,还包括:
展示单元604,将查找到的用户行为日志按照所记录的用户行为事件的类型进行分类;在特定展示页面中关联展示完成分类的用户行为日志与所述攻击日志。
可选的,还包括:
定位单元605,接收用户发送的选择指令,所述选择指令包含用户从完成分类的用户行为日志中选择出的关联日志,所述关联日志记录有引发所述本次攻击的用户行为事件;根据所述选择指令在完成分类的用户行为日志中定位所述关联日志。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由日志关联装置的处理器执行以实现如上述实施例中任一所述的方法,比如该方法可以包括:获取对应于用户设备的攻击日志,并基于所述攻击日志确定本次攻击的攻击模式;根据预设映射关系查找与确定出的攻击模式对应的目标用户行为事件集合,并读取所述目标用户行为事件集合中的目标样本用户行为事件;所述映射关系包含攻击模式和用户行为事件集合的对应关系,任一用户行为事件集合中包含有引发属于相应攻击模式的攻击的样本用户行为事件;在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,并将查找到的用户行为日志与所述攻击日志建立关联关系。
其中,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等,本申请并不对此进行限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种日志关联方法,其特征在于,包括:
获取对应于用户设备的攻击日志,并基于所述攻击日志确定本次攻击的攻击模式;
根据预设映射关系查找与确定出的攻击模式对应的目标用户行为事件集合,并读取所述目标用户行为事件集合中的目标样本用户行为事件;所述映射关系包含攻击模式和用户行为事件集合的对应关系,任一用户行为事件集合中包含有引发属于相应攻击模式的攻击的样本用户行为事件;
在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,并将查找到的用户行为日志与所述攻击日志建立关联关系。
2.根据权利要求1所述的方法,其特征在于,所述在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,包括:
获取所记录的用户行为事件的发生时刻早于本次攻击时刻的用户行为日志;
在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志。
3.根据权利要求2所述的方法,其特征在于,所述获取所记录的用户行为事件的发生时刻早于本次攻击时刻的用户行为日志,包括:
基于所述本次攻击时刻与上一攻击时刻确定时间间隔;
获取所记录的用户行为事件的发生时刻在所述时间间隔内的用户行为日志。
4.根据权利要求1所述的方法,其特征在于,还包括:
将查找到的用户行为日志按照所记录的用户行为事件的类型进行分类;
在特定展示页面中关联展示完成分类的用户行为日志与所述攻击日志。
5.根据权利要求4所述的方法,其特征在于,还包括:
接收用户发送的选择指令,所述选择指令用于指示用户从完成分类的用户行为日志中选择出的关联日志;
根据所述选择指令在完成分类的用户行为日志中定位所述关联日志,并将所述关联日志记录的用户行为事件确定为引发所述本次攻击的用户行为事件。
6.一种日志关联装置,其特征在于,包括:
获取单元,获取对应于用户设备的攻击日志,并基于所述攻击日志确定本次攻击的攻击模式;
读取单元,根据预设映射关系查找与确定出的攻击模式对应的目标用户行为事件集合,并读取所述目标用户行为事件集合中的目标样本用户行为事件;所述映射关系包含攻击模式和用户行为事件集合的对应关系,任一用户行为事件集合中包含有引发属于相应攻击模式的攻击的样本用户行为事件;
匹配单元,在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志,并将查找到的用户行为日志与所述攻击日志建立关联关系。
7.根据权利要求6所述的装置,其特征在于,所述匹配单元具体用于:
获取所记录的用户行为事件的发生时刻早于本次攻击时刻的用户行为日志;
在获取到的用户行为日志中查找所记录的用户行为事件与所述目标样本用户行为事件相匹配的用户行为日志。
8.根据权利要求7所述的装置,其特征在于,所述匹配单元进一步用于:
基于所述本次攻击时刻与上一攻击时刻确定时间间隔;
获取所记录的用户行为事件的发生时刻在所述时间间隔内的用户行为日志。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行任务的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-7中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911280995.0A CN111092879B (zh) | 2019-12-13 | 2019-12-13 | 日志关联方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911280995.0A CN111092879B (zh) | 2019-12-13 | 2019-12-13 | 日志关联方法及装置、电子设备、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111092879A true CN111092879A (zh) | 2020-05-01 |
CN111092879B CN111092879B (zh) | 2022-05-31 |
Family
ID=70396084
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911280995.0A Active CN111092879B (zh) | 2019-12-13 | 2019-12-13 | 日志关联方法及装置、电子设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111092879B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112261006A (zh) * | 2020-09-27 | 2021-01-22 | 中孚安全技术有限公司 | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 |
CN114338190A (zh) * | 2021-12-30 | 2022-04-12 | 奇安信科技集团股份有限公司 | 实体行为关联分析方法、装置、电子设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2114050A1 (en) * | 2008-04-30 | 2009-11-04 | Deutsche Telekom AG | Method and system for allocating resources of a Web-server based on classified usage behavior also for identifying and blocking bot generated HTTP-GET attacks |
CN103312544A (zh) * | 2013-06-14 | 2013-09-18 | 青岛海信传媒网络技术有限公司 | 一种控制终端上报日志文件的方法、设备和系统 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN107124419A (zh) * | 2017-05-05 | 2017-09-01 | 北京奇安信科技有限公司 | 一种安全检测方法和装置 |
CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
CN107590227A (zh) * | 2017-09-05 | 2018-01-16 | 成都知道创宇信息技术有限公司 | 一种结合爬虫的日志分析方法 |
US20180020022A1 (en) * | 2015-06-08 | 2018-01-18 | Illusive Networks Ltd. | Predicting and preventing an attacker's next actions in a breached network |
CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
CN109191021A (zh) * | 2018-10-30 | 2019-01-11 | 全球能源互联网研究院有限公司 | 电网异常事件的关联规则匹配方法及装置 |
-
2019
- 2019-12-13 CN CN201911280995.0A patent/CN111092879B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2114050A1 (en) * | 2008-04-30 | 2009-11-04 | Deutsche Telekom AG | Method and system for allocating resources of a Web-server based on classified usage behavior also for identifying and blocking bot generated HTTP-GET attacks |
CN103312544A (zh) * | 2013-06-14 | 2013-09-18 | 青岛海信传媒网络技术有限公司 | 一种控制终端上报日志文件的方法、设备和系统 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
US20180020022A1 (en) * | 2015-06-08 | 2018-01-18 | Illusive Networks Ltd. | Predicting and preventing an attacker's next actions in a breached network |
CN107124419A (zh) * | 2017-05-05 | 2017-09-01 | 北京奇安信科技有限公司 | 一种安全检测方法和装置 |
CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
CN107590227A (zh) * | 2017-09-05 | 2018-01-16 | 成都知道创宇信息技术有限公司 | 一种结合爬虫的日志分析方法 |
CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
CN109191021A (zh) * | 2018-10-30 | 2019-01-11 | 全球能源互联网研究院有限公司 | 电网异常事件的关联规则匹配方法及装置 |
Non-Patent Citations (1)
Title |
---|
姜燕: "计算机取证中日志分析技术综述", 《电子设计工程》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112261006A (zh) * | 2020-09-27 | 2021-01-22 | 中孚安全技术有限公司 | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 |
CN112261006B (zh) * | 2020-09-27 | 2022-07-19 | 中孚安全技术有限公司 | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 |
CN114338190A (zh) * | 2021-12-30 | 2022-04-12 | 奇安信科技集团股份有限公司 | 实体行为关联分析方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111092879B (zh) | 2022-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104281672B (zh) | 日志数据的处理方法和装置 | |
US7941425B2 (en) | Techniques for scoring and comparing query execution plans | |
CN110292775B (zh) | 获取差异数据的方法及装置 | |
US8495039B2 (en) | Method for indexed-field based difference detection and correction | |
CN111092879B (zh) | 日志关联方法及装置、电子设备、存储介质 | |
US20180139222A1 (en) | Method and device for detecting website attack | |
CN109460386B (zh) | 基于多维模糊哈希匹配的恶意文件同源性分析方法及装置 | |
CN114637989A (zh) | 基于分布式系统的apt攻击追溯方法、系统及存储介质 | |
CN110489317B (zh) | 基于工作流的云系统任务运行故障诊断方法与系统 | |
CN111460011A (zh) | 页面数据展示方法、装置、服务器及存储介质 | |
CN105159884A (zh) | 行业词典的建立方法和装置及行业识别方法和装置 | |
CN109377383A (zh) | 产品数据同步方法、装置、计算机设备及存储介质 | |
CN111026765A (zh) | 严格平衡二叉树的动态处理方法、设备、存储介质及装置 | |
CN107330031B (zh) | 一种数据存储的方法、装置及电子设备 | |
CN108038124B (zh) | 一种基于大数据的pdf文档采集处理方法、系统及装置 | |
CN110955710B (zh) | 一种数据交换作业中脏数据的处理方法及装置 | |
CN112765118B (zh) | 一种日志查询方法、装置、设备及存储介质 | |
CN109582744B (zh) | 一种用户满意度评分方法及装置 | |
CN112532414A (zh) | 确定isp归属的方法、装置、设备及计算机存储介质 | |
CN112527813A (zh) | 业务系统的数据处理方法及装置、电子设备、存储介质 | |
CN116303627B (zh) | 半导体测试数据的查询方法、装置、电子设备及存储介质 | |
CN115203057B (zh) | 低代码测试自动化方法、装置、设备及存储介质 | |
KR101871600B1 (ko) | 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템 | |
CN108776707B (zh) | 针对探索性查询的抽样方法 | |
CN113806321A (zh) | 一种日志处理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |