CN111478889B - 一种告警方法及装置 - Google Patents
一种告警方法及装置 Download PDFInfo
- Publication number
- CN111478889B CN111478889B CN202010233827.2A CN202010233827A CN111478889B CN 111478889 B CN111478889 B CN 111478889B CN 202010233827 A CN202010233827 A CN 202010233827A CN 111478889 B CN111478889 B CN 111478889B
- Authority
- CN
- China
- Prior art keywords
- access
- monitoring
- logs
- log
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种告警方法及装置,用以解决现有技术中在服务器受到安全威胁时不能及时告警的问题。告警方法包括:从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,多个监控设备用于监控多个服务器是否受到安全威胁,访问日志中包括访问多个服务器的访问设备的访问IP和访问时间戳,监控日志中包括监控到的对多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,访问日志和监控日志为统一格式化后的日志;对访问日志和监控日志进行关联分析,确定是否存在目标IP,目标IP在访问日志中对应的访问时间戳和在监控日志对应的告警时间戳相同;若存在目标IP,则基于目标IP进行威胁告警。这样,可以及时告警且告警准确度高。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种告警方法及装置。
背景技术
在服务器对外提供服务的过程中,可以使用监控设备对服务器是否受到安全威胁进行监控。通常,可以使用多个监控设备(比如防火墙和威胁情报设备)对服务器进行监控,在根据监控结果确定服务器受到安全威胁时,对服务器进行安全告警。
然而,在实际应用中,不同监控设备的监控结果可能不一致,导致对服务器的监控结果不准确。为了提高准确度,目前通常由工作人员对服务器和监控设备的日志进行分析,以根据分析结果确定服务器是否受到安全威胁。然而,工作人员对日志进行分析的工作量较大且操作复杂,导致工作人员的工作效率低,无法快速地确定服务器是否受到安全威胁,进而导致服务器在受到安全威胁时不能及时告警。
发明内容
本申请实施例提供一种告警方法,用以解决现有技术中在服务器受到安全威胁时不能及时告警的问题。
本申请实施例还提供一种告警装置,用以解决现有技术中在服务器受到安全威胁时不能及时告警的问题。
本申请实施例采用下述技术方案:
一种告警方法,包括:
从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,所述多个监控设备用于监控所述多个服务器是否受到安全威胁,所述访问日志中包括访问所述多个服务器的访问设备的访问IP和访问时间戳,所述监控日志中包括监控到的对所述多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,所述访问日志和所述监控日志为统一格式化后的日志;
对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,所述目标IP在所述访问日志中对应的访问时间戳和在所述监控日志对应的告警时间戳相同;
若存在所述目标IP,则基于所述目标IP进行威胁告警。
一种告警装置,包括:
获取单元,用于从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,所述多个监控设备用于监控所述多个服务器是否受到安全威胁,所述访问日志中包括访问所述多个服务器的访问设备的访问IP和访问时间戳,所述监控日志中包括监控到的对所述多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,所述访问日志和所述监控日志为统一格式化后的日志;
确定单元,用于对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,所述目标IP在所述访问日志中对应的访问时间戳和在所述监控日志对应的告警时间戳相同;
告警单元,用于若存在所述目标IP,则基于所述目标IP进行威胁告警。本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
一方面,由于可以预先将多个服务器的访问日志和多个监控设备的监控日志进行统一格式化后存储在日志数据库中,在获取访问日志和监控日志时,可以直接从日志数据库中获取格式统一的访问日志和监控日志,因此,可以降低获取日志时的操作复杂度,提高工作效率,进而在服务器受到安全威胁时,可以及时地进行威胁告警;另一方面,在进行威胁告警时,由于是在对监控日志和访问日志进行关联分析,并在确定存在相关联的目标IP的情况下才进行威胁告警,因此,可以避免不同的监控设备的监控结果不一致而产生的误告警问题,提高告警的准确度。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种告警方法的具体流程示意图;
图2为本申请实施例提供的一种告警方法的具体流程示意图;
图3为本申请实施例提供的一种告警系统的场景示意图;
图4为本申请实施例提供的一种告警装置的具体结构示意图。
具体实施方式
在服务器对外提供服务的过程中,可以使用多个不同的监控设备对服务器是否受到安全威胁进行监控,但是,不同的监控设备对安全威胁的敏感程度可能不同,这便使得不同的监控设备的监控结果可能不一致,导致无法准确判断服务器是否受到安全威胁。
比如,在服务器1对外提供服务的过程中,监控设备A和监控设备B可以同时对服务器1是否受到安全威胁进行监控。其中,若监控设备A对安全威胁的敏感程度过低,监控设备B对安全威胁的敏感程度过高,则就会出现如下监控结果:监控设备A监控到服务器1没有受到安全威胁,监控设备B监控到服务器1受到安全威胁,监控设备A和B的监控结果不一致,无法准确判断服务器1是否受到安全威胁。
为了提高监控结果的准确度,目前通常由工作人员对服务器和监控设备的日志进行分析,再根据分析结果确定服务器是否受到安全威胁。然而,工作人员对日志分析的工作量较大且操作复杂。
具体地,工作人员可以先分别登录多个服务器的后台获取多个服务器的日志,基于多个服务器的日志编写大量的日志分析脚本,再登录多个监控设备的后台获取多个监控设备的日志,基于多个监控设备的日志编写大量的日志分析脚本,最后,通过人工的方式对多个服务器的日志分析脚本和多个监控设备的日志分析脚本进行分析,根据分析结果确定服务器是否受到安全威胁。
从上述过程可以看出,工作人员不仅需要依次登录多个服务器的后台和多个监控设备的后台获取大量日志,还要基于这些日志编写日志分析脚本,再根据日志分析脚本进行分析,工作量较大且操作复杂,导致工作人员的工作效率低,在服务器受到安全威胁时不能及时告警。
为了解决上述问题,本申请实施例提出一种告警方法及装置,该方法包括:从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,所述多个监控设备用于监控所述多个服务器是否受到安全威胁,所述访问日志中包括访问所述多个服务器的访问设备的访问IP和访问时间戳,所述监控日志中包括监控到的对所述多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,所述访问日志和所述监控日志为统一格式化后的日志;对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,所述目标IP在所述访问日志中对应的访问时间戳和在所述监控日志对应的告警时间戳相同;若存在所述目标IP,则基于所述目标IP进行威胁告警。
这样,一方面,由于可以预先将多个服务器的访问日志和多个监控设备的监控日志进行统一格式化后存储在日志数据库中,在获取访问日志和监控日志时,可以直接从日志数据库中获取格式统一的访问日志和监控日志,因此,可以降低获取日志时的操作复杂度,提高工作效率,进而在服务器受到安全威胁时,可以及时地进行威胁告警;另一方面,在进行威胁告警时,由于是在对监控日志和访问日志进行关联分析,并在确定存在相关联的目标IP的情况下才进行威胁告警,因此,可以避免不同的监控设备的监控结果不一致而产生的误告警问题,提高告警的准确度。
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
本申请实施例提供的一种告警方法,用以解决现有技术中在服务器受到安全威胁时不能及时告警的问题。
本申请实施例所提供的告警方法的具体实现流程示意图如图1所示,主要包括下述步骤:
步骤11,从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,所述多个监控设备用于监控所述多个服务器是否受到安全威胁,所述访问日志中包括访问所述多个服务器的访问设备的访问IP和访问时间戳,所述监控日志中包括监控到的对所述多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,所述访问日志和所述监控日志为统一格式化后的日志。
在步骤11中,在多个服务器对外提供服务的过程中,多个监控设备可以对多个服务器是否受到安全威胁进行监控。其中,多个服务器在对外提供服务的过程中,外部的访问设备可以访问服务器,服务器中可以产生访问设备的访问日志,访问日志中可以包括访问多个服务器的访问IP和访问时间戳,多个监控设备在对多个服务器进行监控的过程中,可以生成监控日志,监控日志中可以包括监控到的对多个服务器产生安全威胁的访问设备的告警IP和告警时间戳。
本申请实施例中,可以将多个服务器的访问日志和多个监控设备的监控日志存储在日志数据库中。这样,在获取访问日志和监控日志,以便基于这些日志进行威胁告警时,可以从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志。
具体地,多个服务器的访问日志可以通过以下方式存储到日志数据库中:
首先,获取访问多个服务器的访问设备的原始访问日志,其中,不同服务器对应的原始访问日志的格式不同。
在获取原始访问日志时,一种可能的实现方式如下:
为了便于获取原始访问日志,在本实施例中,可以提供数据收集代理Nxlog,用于收集多个服务器中的原始访问日志,为了便于收集多个服务器中的原始访问日志,可以预先将Nxlog安装在多个服务器中。
此外,还可以提供日志管理工具Graylog以及日志采集服务器,其中,Graylog用于获取原始访问日志,将Graylog安装在日志采集服务器中,日志采集服务器可以通过Graylog获取原始访问日志。
具体地,可以通过Nxlog收集访问多个服务器的访问设备的原始访问日志,之后,Nxlog可以通过Syslog协议将多个服务器的原始访问日志推送给Graylog,Graylog通过Syslog协议可以监听Nxlog推送的原始访问日志,这样,日志采集服务器便可以通过Graylog获取原始访问日志。
需要说明的是,由于多个服务器编写日志的规则可能并不相同,因此,从不同的服务器获取的原始访问日志的格式不同。
其次,基于预设的格式转化协议,对多个服务器对应的原始访问日志进行格式化,得到多个服务器的访问日志。
由于从不同的服务器获取的原始访问日志的格式不同,不同格式的原始访问日志不便进行后续关联分析,因此,可以基于预设的格式转化协议,对来自多个服务器的原始访问日志进行格式化,从而得到多个服务器的格式统一的访问日志。
具体地,预设的格式转化协议可以是GELF协议或JSON协议,在日志采集服务器通过Graylog获取到原始访问日志之后,Graylog可以基于GELF协议或JSON协议对原始访问日志进行格式化,得到多个服务器的格式统一的访问日志。
最后,对多个服务器的访问日志创建索引,基于创建的索引将多个服务器的访问日志存储在日志数据库中。
在得到多个服务器的访问日志之后,可以将多个服务器的访问日志存储在日志数据库中。其中,为了便于快速地获取日志数据库中的访问日志,可以对多个服务器的访问日志创建索引,并基于创建的索引将多个服务器的访问日志存储在日志数据库中。这样,在后续需要从日志数据库中获取访问日志时,可以基于索引快速地查找到访问日志并获取。
在一种实现方式中,监控设备中可以包括防火墙设备和/或威胁情报设备,防火墙设备和威胁情报设备可以用于监控多个服务器是否受到安全威胁,其中,防火墙设备的个数可以是一个或多个,威胁情报设备的个数也可以是一个或多个,本实施例中,可以以防火墙设备和威胁情报设备的个数均为多个为例进行说明。
监控设备的监控日志中具体可以包括防火墙设备的监控日志和/或威胁情报设备的监控日志。其中,防火墙设备的监控日志中除了可以包括对多个服务器产生安全威胁的访问设备的告警IP和告警时间戳之外,还可以包括防火墙威胁告警信息级别,防火墙威胁告警信息级别由防火墙设备根据告警IP的危险程度确定,威胁情报设备的监控日志中除了可以包括对多个服务器产生安全威胁的访问设备的告警IP,告警时间戳之外,还可以包括威胁情报库IP信息,威胁情报库IP信息为对告警IP表征的安全威胁的具体描述,比如,告警IP表征的安全威胁是木马病毒,蠕虫病毒等。
本实施例中,在多个监控设备包括多个防火墙设备的情况下,多个防火墙设备的监控日志通过以下方式存储至日志数据库中:
首先,获取多个防火墙设备的原始监控日志,其中,不同防火墙设备对应的原始监控日志的格式不同。
在一种可能地实现方式中,可以基于防火墙设备的Syslog吐出功能,将多个防火墙设备的原始监控日志通过上述Syslog协议推送给上述Graylog,Graylog通过Syslog协议监听多个防火墙设备推送的原始监控日志,这样,上述日志采集服务器便可以基于Graylog获取原始监控日志。
需要说明的是,由于多个防火墙设备编写日志的规则可能并不相同,因此,从不同的防火墙设备获取的原始监控日志的格式不同。
其次,基于预设的格式转化协议,对多个防火墙设备对应的原始监控日志进行格式化,得到多个防火墙设备的监控日志。
由于从不同的防火墙设备获取的原始监控日志的格式不同,不同格式的原始监控日志不便进行后续关联分析,因此,可以基于预设的格式转化协议,对来自多个防火墙设备的原始监控日志进行格式化,从而得到多个防火墙设备的格式统一的监控日志。
预设的格式转化协议可以是GELF协议或JSON协议,在上述日志采集服务器通过Graylog获取到原始监控日志之后,Graylog可以基于GELF协议或JSON协议对原始监控日志进行格式化,得到多个防火墙设备的格式统一的访问日志。
最后,对多个防火墙设备的监控日志创建索引,基于创建的索引将多个防火墙设备的监控日志存储在日志数据库中。
在得到多个防火墙设备的监控日志之后,可以将多个防火墙设备的监控日志存储在日志数据库中。其中,为了便于快速地获取日志数据库中的监控日志,可以对多个防火墙设备的监控日志创建索引,并基于创建的索引将多个防火墙设备的监控日志存储在日志数据库中。这样,在后续需要从日志数据库中获取监控日志时,可以基于索引快速地查找到监控日志并获取。
在多个监控设备包括多个威胁情报设备的情况下,多个威胁情报设备的监控日志通过以下方式存储到日志数据库中:
首先,获取多个威胁情报设备的原始监控日志,其中,不同威胁情报设备对应的原始监控日志的格式不同。
在一种可能地实现方式中,多个威胁情报设备可以通过HTTP POSTS(一种调用接口的方式)调用威胁情报设备中的原始监控日志,将威胁情报设备中的原始监控日志推送给上述Graylog,Graylog通过REST API协议接口接收威胁情报设备推送过来的原始监控日志,这样,上述日志采集服务器便可以基于Graylog获取原始监控日志。
需要说明的是,由于多个威胁情报设备编写日志的规则可能并不相同,因此,从不同的威胁情报设备获取的原始监控日志的格式不同。
其次,基于预设的格式转化协议,对多个威胁情报设备对应的原始监控日志进行格式化,得到多个威胁情报设备的监控日志。
由于从不同的威胁情报设备获取的原始监控日志的格式不同,不同格式的原始监控日志不便进行后续关联分析,因此,可以基于预设的格式转化协议,对来自多个威胁情报设备的原始监控日志进行格式化,从而得到多个威胁情报设备的格式统一的监控日志。
预设的格式转化协议可以是GELF协议或JSON协议,在上述日志采集服务器通过Graylog获取到原始监控日志之后,Graylog可以基于GELF协议或JSON协议对原始监控日志进行格式化,得到多个威胁情报设备的格式统一的访问日志。
最后,对多个威胁情报设备的监控日志创建索引,基于创建的索引将多个威胁情报设备的监控日志存储在日志数据库中。
在得到多个威胁情报设备的监控日志之后,可以将多个威胁情报设备的监控日志存储在日志数据库中。其中,为了便于快速地获取日志数据库中的监控日志,可以对多个威胁情报设备的监控日志创建索引,并基于创建的索引将多个威胁情报设备的监控日志存储在日志数据库中。这样,在后续需要从日志数据库中获取监控日志时,可以基于索引快速地查找到监控日志并获取。
在通过上述记载的方法将多个服务器的访问日志和多个监控设备的监控日志存储在日志数据库中后,在根据多个监控设备的监控结果进行告警时,可以从日志数据库中获取访问日志和监控日志。
由于可以预先将多个服务器的访问日志和多个监控设备的监控日志进行统一格式化后存储在日志数据库中,在获取访问日志和监控日志时,可以直接从日志数据库中获取统一格式的访问日志和监控日志,因此,可以降低获取访问日志和监控日志的操作复杂度,提高工作效率,进而在服务器受到安全威胁时,可以及时地进行威胁告警。
步骤12,对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,所述目标IP在所述访问日志中对应的访问时间戳和在所述监控日志对应的告警时间戳相同。
在本实施例中,为了解决不同监控设备对服务器的监控结果不一致,导致对服务器的监控结果不准确的问题,可以对访问日志和监控日志进行关联分析,确定是否存在目标IP,其中,目标IP在访问日志中对应的访问时间戳和在监控日志中对应的告警时间戳是相同的。
也就是说,可以基于访问日志中的访问时间戳和监控日志中的告警时间戳,对访问日志中的访问IP和监控日志中的告警IP取交集,确定在相同的时间戳下是否存在相同的访问IP和告警IP,若存在这样的IP,则可以说明多个监控设备同时监控到了访问多个服务器的高危IP,在这样的情况下进行威胁告警,可以提高告警准确度,避免由于不同的监控设备的监控结果不一致导致的误告警问题。
在进行关联分析时,在一种可能的实现方式中,可以提供威胁关联服务器,用于对访问日志和监控日志进行关联分析,此外,可以使用OpenResty辅助威胁关联服务器进行关联分析,其中,OpenResty可以理解为一个基于NGINX的可伸缩的Web平台,具体地,威胁关联服务器可以基于日志数据库的SQL功能与OpenResty提供的REST API查询接口功能对访问日志和监控日志进行关联分析。
其中,威胁关联服务器基于SQL功能和REST API查询接口功能对访问日志和监控日志进行关联分析的过程如下:
可以针对任一服务器对应的访问日志中的任一访问时间戳,在服务器对应的监控日志中查找是否存在与访问时间戳相同的告警时间戳;若存在,则可以判断访问时间戳对应的访问IP和告警时间戳对应的告警IP是否相同;若相同,则可以确定存在目标IP。
步骤13,若存在所述目标IP,则基于所述目标IP进行威胁告警。
在步骤13中,在基于目标IP进行威胁告警时,可以根据目标IP确定目标服务器,并对目标服务器进行威胁告警。其中,目标IP可以理解为高危IP,目标服务器可以理解为受到安全威胁的服务器,访问目标服务器的访问设备的IP中包括目标IP。
在根据目标IP确定目标服务器时,一种可能的实现方式如下:
访问日志中还可以包括多个服务器的标识,其中,多个服务器的标识、访问每个服务器的访问设备的访问IP和访问时间戳可以对应存储在访问日志中,在确定目标服务器时,可以根据目标IP在访问日志中查找与目标IP对应的服务器标识,并将查找到的服务器的标识对应的服务器确定为目标服务器。
在确定目标服务器之后,可以对目标服务器进行威胁告警。
这样,一方面,由于可以预先将多个服务器的访问日志和多个监控设备的监控日志进行统一格式化后存储在日志数据库中,在获取访问日志和监控日志时,可以直接从日志数据库中获取格式统一的访问日志和监控日志,因此,可以降低获取日志时的操作复杂度,提高工作效率,进而在服务器受到安全威胁时,可以及时地进行威胁告警;另一方面,在进行威胁告警时,由于是在对监控日志和访问日志进行关联分析,并在确定存在相关联的目标IP的情况下才进行威胁告警,因此,可以避免不同的监控设备的监控结果不一致而产生的误告警问题,提高告警的准确度。
可选地,在确定存在目标IP之后,还可以根据目标IP确定与目标IP对应的访问日志和监控日志,并将与目标IP对应的访问日志和监控日志进行存储,以便后续可以查找到威胁告警记录。其中,在存储目标IP对应的访问日志和监控日志时,可以存储在威胁告警数据库中。
例如,在多个监控设备包括多个防火墙设备和多个威胁情报设备的情况下,可以根据目标IP确定与目标IP对应的访问日志,防火墙设备的监控日志和威胁情报设备的监控日志,并将与目标IP对应的访问日志,防火墙设备的监控日志和威胁情报设备的监控日志存储在威胁告警数据库中,具体地,可以在威胁告警数据库中存储目标IP,与目标IP对应的时间戳,与目标IP对应的防火墙威胁告警信息级别,与目标IP对应的威胁情报库IP信息。
可选地,本实施例中还可以提供配置管理数据库CMDB,CMDB是基于信息技术基础架构库ITIL的原则建立的配置管理数据库,用于存储多个服务器的详细信息,在对目标服务器进行威胁告警之后,为了便于对目标服务器进行维护,可以根据目标服务器在CMDB中查找与目标服务器对应的详细信息,以便根据目标服务器的详细信息进行维护。
其中,CMDB中存储的多个服务器的详细信息包括但不限于:多个服务器的资产号,型号,存放位置,IP地址产品,序列号,与多个服务器连接的交换机的信息,交换机的主机名,多个服务器之间的连接关系,配置信息,负责多个服务器的管理员资料。
采用本申请实施例提供的告警方法,一方面,由于可以预先将多个服务器的访问日志和多个监控设备的监控日志进行统一格式化后存储在日志数据库中,在获取访问日志和监控日志时,可以直接从日志数据库中获取格式统一的访问日志和监控日志,因此,可以降低获取日志时的操作复杂度,提高工作效率,进而在服务器受到安全威胁时,可以及时地进行威胁告警;另一方面,在进行威胁告警时,由于是在对监控日志和访问日志进行关联分析,并在确定存在相关联的目标IP的情况下才进行威胁告警,因此,可以避免不同的监控设备的监控结果不一致而产生的误告警问题,提高告警的准确度。
为了便于理解本发明实施例提供的技术方案,可以参见图2。图2为本发明的一个实施例告警方法的流程示意图,具体可以包括以下步骤:
步骤21,获取访问多个服务器的访问设备的原始访问日志和多个监控设备的原始监控日志。
多个监控设备用于监控多个服务器是否受到安全威胁,监控设备中可以包括防火墙设备和/或威胁情报设备。在本实施例中,可以以多个监控设备中包括多个防火墙设备和多个威胁情报设备为例进行说明。这样,在获取日志时,可以获取访问多个服务器的访问设备的原始访问日志,多个防火墙设备的原始监控日志和多个威胁情报设备的原始监控日志。
需要说明的是,由于多个服务器编写日志的规则可能并不相同,因此,从不同服务器获取的原始访问日志的格式不同;由于多个防火墙设备编写日志的规则可能并不相同,因此,从不同的防火墙设备获取的原始监控日志的格式不同;由于多个威胁情报设备编写日志的规则可能并不相同,因此,从不同威胁情报设备获取的原始监控日志的格式不同。
步骤22,基于预设的格式转化协议,对多个服务器对应的原始访问日志和多个监控设备对应的原始监控日志进行格式化,得到多个服务器的访问日志和多个监控设备的监控日志。
具体地,预设的格式转化协议可以是GELF协议或JSON协议,基于GELF协议或JSON协议可以对原始访问日志进行格式化,得到多个服务器的格式统一的访问日志,其中,访问日志中可以包括访问多个服务器的访问设备的访问IP和访问时间戳。
基于GELF协议或JSON协议还可以对多个防火墙设备的原始监控日志和多个威胁情报设备的原始监控日志进行格式化,得到多个防火墙设备的格式统一的监控日志和多个威胁情报设备的格式统一的监控日志,其中,多个防火墙设备的监控日志可以包括监控到的对多个服务器产生安全威胁的访问设备的告警IP,告警时间戳和防火墙威胁告警信息级别,多个威胁情报设备的监控日志中可以包括监控到的对多个服务器产生安全威胁的访问设备的告警IP,告警时间戳和威胁情报库IP信息。
步骤23,对多个服务器的访问日志和多个监控设备的监控日志创建索引,基于创建的索引将多个服务器的访问日志和多个监控设备的监控日志存储在日志数据库中。
其中,为了便于快速地获取日志数据库中的监控日志,可以对多个服务器的访问日志,多个防火墙设备的监控日志和多个威胁情报设备的监控日志创建索引,基于创建的索引将多个服务器的访问日志,多个防火墙设备的监控日志和多个威胁情报设备的监控日志存储在日志数据库中。
步骤24,从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志。
步骤25,对访问日志和监控日志进行关联分析,确定是否存在目标IP。
为了解决不同监控设备对服务器的监控结果不一致,导致对服务器的监控结果不准确的问题,可以对访问日志和监控日志进行关联分析,确定是否存在目标IP,其中,目标IP在访问日志中对应的访问时间戳和在监控日志对应的告警时间戳相同。
具体地,可以针对任一服务器对应的访问日志中的任一访问时间戳,在服务器对应的监控日志中查找是否存在与访问时间戳相同的告警时间戳;若存在,则可以判断访问时间戳对应的访问IP和告警时间戳对应的告警IP是否相同;若相同,则可以确定存在目标IP。
步骤26,若存在目标IP,则基于目标IP进行威胁告警。
在基于目标IP进行威胁告警时,可以根据目标IP确定目标服务器,并对目标服务器进行威胁告警。
具体地,访问日志中还可以包括多个服务器的标识,其中,多个服务器的标识、访问每个服务器的访问设备的访问IP和访问时间戳可以对应存储在访问日志中,在确定存在目标IP的情况下,可以根据目标IP在访问日志中查找与目标IP对应的服务器标识,根据查找到的服务器的标识,确定目标服务器。
在确定目标服务器之后,可以对目标服务器进行威胁告警。
采用本申请实施例提供的告警方法,一方面,由于可以预先将多个服务器的访问日志和多个监控设备的监控日志进行统一格式化后存储在日志数据库中,在获取访问日志和监控日志时,可以直接从日志数据库中获取格式统一的访问日志和监控日志,因此,可以降低获取日志时的操作复杂度,提高工作效率,进而在服务器受到安全威胁时,可以及时地进行威胁告警;另一方面,在进行威胁告警时,由于是在对监控日志和访问日志进行关联分析,并在确定存在相关联的目标IP的情况下才进行威胁告警,因此,可以避免不同的监控设备的监控结果不一致而产生的误告警问题,提高告警的准确度。
为了实现本申请实施例提供的上述告警方法,本申请实施例还提供一种告警系统,如图3所示。
图3中,告警系统中可以包括服务器,防火墙设备,威胁情报设备,日志收集服务器,日志数据库,威胁关联分析服务器,CMDB和威胁告警数据库。
在实现上述告警方法的过程中,服务器可以将外部访问设备的原始访问日志推送给日志收集服务器,其中,原始访问日志中具体可以包括服务器标识,访问服务器的访问设备(图3中未示出)的访问IP,访问时间戳。
同样的,防火墙设备和威胁情报设备也可以将监控过程中产生的原始监控日志推送给日志收集服务器,其中,防火墙设备的原始监控日志1中具体可以包括服务器标识,告警IP,告警时间戳,防火墙威胁告警信息级别;威胁情报设备的原始监控日志2中具体可以包括服务器标识,告警IP,告警时间戳,威胁情报库IP信息。
日志收集服务器在收集到原始访问日志,原始监控日志1和原始监控日志2之后,可以基于预设的格式转化协议对原始访问日志,原始监控日志1和原始监控日志2进行格式化,得到格式统一的访问日志,监控日志1和监控日志2。
之后,可以对格式统一的访问日志,监控日志1和监控日志2创建索引,基于创建的索引将访问日志,监控日志1和监控日志2存储在日志数据库中。具体地,针对访问日志,可以在日志数据库中存储索引名1,服务器标识,访问IP和访问时间戳,针对监控日志1,可以在日志数据库中存储索引名2,服务器标识,告警IP,告警时间戳和防火墙威胁告警信息级别,针对监控日志2,可以在日志数据库中存储索引名3,服务器标识,告警IP,告警时间戳和威胁情报库IP信息。
在将访问日志、监控日志1和监控日志2存储在日志服务器后,威胁关联分析服务器在进行关联分析时,可以从日志数据库中获取访问日志,监控日志1和监控日志2,并对访问日志、监控日志1和监控日志2进行关联分析,确定是否存在目标IP,其中,目标IP在访问日志中对应的访问时间戳,在监控日志1对应的告警时间戳和在监控日志2对应的告警时间戳相同。在确定存在相关联的目标IP时,威胁关联分析服务器可以进行威胁告警,并将威胁告警记录发送至威胁告警数据库。
威胁告警数据库中可以存储威胁告警记录,以便后续可以查找到威胁告警记录,威胁告警记录中可以包括目标IP,与目标IP对应的时间戳,与目标IP对应的防火墙威胁告警信息级别,与目标IP对应的威胁情报库IP信息。
图3中,CMDB可以存储服务器的详细信息,在威胁关联分析服务器进行威胁告警之后,可以基于CMDB中服务器的详细信息对服务器进行维护。
另外,本申请实施例提供的一种告警装置,用以解决现有技术中在服务器受到安全威胁时不能及时告警的问题该装置的具体结构示意图如图4所示,包括:获取单元41、确定单元42以及告警单元43。
其中,获取单元41,用于从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,所述多个监控设备用于监控所述多个服务器是否受到安全威胁,所述访问日志中包括访问所述多个服务器的访问设备的访问IP和访问时间戳,所述监控日志中包括监控到的对所述多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,所述访问日志和所述监控日志为统一格式化后的日志;
确定单元42,用于对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,所述目标IP在所述访问日志中对应的访问时间戳和在所述监控日志对应的告警时间戳相同;
告警单元43,用于若存在所述目标IP,则基于所述目标IP进行威胁告警。
在一种实现方式中,所述确定单元42,用于:
获取访问所述多个服务器的访问设备的原始访问日志,不同服务器对应的原始访问日志的格式不同;
基于预设的格式转化协议,对所述多个服务器对应的原始访问日志进行格式化,得到所述多个服务器的访问日志;
对所述多个服务器的访问日志创建索引,基于创建的索引将所述多个服务器的访问日志存储在所述日志数据库中。
在一种实现方式中,所述监控设备中包括防火墙设备和/或威胁情报设备,所述防火墙设备的监控日志中包括防火墙威胁告警信息级别,所述威胁情报设备的监控日志中包括威胁情报库IP信息;
其中,所述确定单元42,用于:
获取所述多个监控设备的原始监控日志,不同监控设备对应的原始监控日志的格式不同;
基于预设的格式转化协议,对所述多个监控设备对应的原始监控日志进行格式化,得到所述多个监控设备的监控日志;
对所述多个监控设备的监控日志创建索引,基于创建的索引将所述多个监控设备的监控日志存储在所述日志数据库中。
在一种实现方式中,所述确定单元42,用于:
针对任一服务器对应的访问日志中的任一访问时间戳,在所述服务器对应的监控日志中查找是否存在与所述访问时间戳相同的告警时间戳;
若存在,则判断所述访问时间戳对应的访问IP和所述告警时间戳对应的告警IP是否相同;
若相同,则确定存在所述目标IP。
在一种实现方式中,所述确定单元42,还用于:
确定与所述目标IP对应的访问日志和监控日志;
将与所述目标IP对应的访问日志和监控日志存储在威胁告警数据库中。
在一种实现方式中,所述告警单元43,用于:
根据所述目标IP,确定目标服务器,其中,访问所述目标服务器的访问设备的IP中包括所述目标IP;
对所述目标服务器进行威胁告警。
在一种实现方式中,所述确定单元42,用于:
所述访问日志中还包括多个服务器的标识,其中,多个服务器的标识、访问每个服务器的访问设备的访问IP和访问时间戳对应存储在所述访问日志中;
根据所述目标IP在所述日志数据库查找与所述目标IP对应的服务器的标识;
根据查找到的所述服务器的标识,确定所述目标服务器。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种告警方法,其特征在于,包括:
从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,所述多个监控设备用于监控所述多个服务器是否受到安全威胁,所述访问日志中包括访问所述多个服务器的访问设备的访问IP和访问时间戳,所述监控日志中包括监控到的对所述多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,所述访问日志和所述监控日志为统一格式化后的日志;
对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,所述目标IP在所述访问日志中对应的访问时间戳和在所述监控日志对应的告警时间戳相同;
若存在所述目标IP,则基于所述目标IP进行威胁告警;
其中,所述多个服务器的访问日志通过以下方式确定得到:
获取访问所述多个服务器的访问设备的原始访问日志,不同服务器对应的原始访问日志的格式不同;
基于预设的格式转化协议,对所述多个服务器对应的原始访问日志进行格式化,得到所述多个服务器的访问日志;
对所述多个服务器的访问日志创建索引,基于创建的索引将所述多个服务器的访问日志存储在所述日志数据库中;
所述监控设备中包括防火墙设备和/或威胁情报设备,所述防火墙设备的监控日志中包括防火墙威胁告警信息级别,所述威胁情报设备的监控日志中包括威胁情报库IP信息;
其中,所述多个监控设备的监控日志通过以下方式确定得到:
获取所述多个监控设备的原始监控日志,不同监控设备对应的原始监控日志的格式不同;
基于预设的格式转化协议,对所述多个监控设备对应的原始监控日志进行格式化,得到所述多个监控设备的监控日志;
对所述多个监控设备的监控日志创建索引,基于创建的索引将所述多个监控设备的监控日志存储在所述日志数据库中;
对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,包括:
针对任一服务器对应的访问日志中的任一访问时间戳,在所述服务器对应的监控日志中查找是否存在与所述访问时间戳相同的告警时间戳;
若存在,则判断所述访问时间戳对应的访问IP和所述告警时间戳对应的告警IP是否相同;
若相同,则确定存在所述目标IP。
2.根据权利要求1所述的方法,其特征在于,在确定存在所述目标IP之后,所述方法还包括:
确定与所述目标IP对应的访问日志和监控日志;
将与所述目标IP对应的访问日志和监控日志存储在威胁告警数据库中。
3.根据权利要求1所述的方法,其特征在于,基于所述目标IP进行威胁告警,包括:
根据所述目标IP,确定目标服务器,其中,访问所述目标服务器的访问设备的IP中包括所述目标IP;
对所述目标服务器进行威胁告警。
4.根据权利要求3所述的方法,其特征在于,根据所述目标IP,确定目标服务器,包括:
所述访问日志中还包括多个服务器的标识,其中,多个服务器的标识、访问每个服务器的访问设备的访问IP和访问时间戳对应存储在所述访问日志中;
根据所述目标IP在所述日志数据库查找与所述目标IP对应的服务器的标识;
根据查找到的所述服务器的标识,确定所述目标服务器。
5.一种告警装置,其特征在于,包括:
获取单元,用于从日志数据库中获取多个服务器的访问日志和多个监控设备的监控日志,所述多个监控设备用于监控所述多个服务器是否受到安全威胁,所述访问日志中包括访问所述多个服务器的访问设备的访问IP和访问时间戳,所述监控日志中包括监控到的对所述多个服务器产生安全威胁的访问设备的告警IP和告警时间戳,所述访问日志和所述监控日志为统一格式化后的日志;
确定单元,用于对所述访问日志和所述监控日志进行关联分析,确定是否存在目标IP,所述目标IP在所述访问日志中对应的访问时间戳和在所述监控日志对应的告警时间戳相同;
告警单元,用于若存在所述目标IP,则基于所述目标IP进行威胁告警;
其中,所述多个服务器的访问日志通过以下方式确定得到:
获取访问所述多个服务器的访问设备的原始访问日志,不同服务器对应的原始访问日志的格式不同;
基于预设的格式转化协议,对所述多个服务器对应的原始访问日志进行格式化,得到所述多个服务器的访问日志;
对所述多个服务器的访问日志创建索引,基于创建的索引将所述多个服务器的访问日志存储在所述日志数据库中;
所述监控设备中包括防火墙设备和/或威胁情报设备,所述防火墙设备的监控日志中包括防火墙威胁告警信息级别,所述威胁情报设备的监控日志中包括威胁情报库IP信息;
其中,所述多个监控设备的监控日志通过以下方式确定得到:
获取所述多个监控设备的原始监控日志,不同监控设备对应的原始监控日志的格式不同;
基于预设的格式转化协议,对所述多个监控设备对应的原始监控日志进行格式化,得到所述多个监控设备的监控日志;
对所述多个监控设备的监控日志创建索引,基于创建的索引将所述多个监控设备的监控日志存储在所述日志数据库中;
所述确定单元,用于:
针对任一服务器对应的访问日志中的任一访问时间戳,在所述服务器对应的监控日志中查找是否存在与所述访问时间戳相同的告警时间戳;
若存在,则判断所述访问时间戳对应的访问IP和所述告警时间戳对应的告警IP是否相同;
若相同,则确定存在所述目标IP。
6.根据权利要求5所述的装置,其特征在于,所述确定单元,还用于:
确定与所述目标IP对应的访问日志和监控日志;
将与所述目标IP对应的访问日志和监控日志存储在威胁告警数据库中。
7.根据权利要求5所述的装置,其特征在于,所述告警单元,用于:
根据所述目标IP,确定目标服务器,其中,访问所述目标服务器的访问设备的IP中包括所述目标IP;
对所述目标服务器进行威胁告警。
8.根据权利要求7所述的装置,其特征在于,所述确定单元,用于:
所述访问日志中还包括多个服务器的标识,其中,多个服务器的标识、访问每个服务器的访问设备的访问IP和访问时间戳对应存储在所述访问日志中;
根据所述目标IP在所述日志数据库查找与所述目标IP对应的服务器的标识;
根据查找到的所述服务器的标识,确定所述目标服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010233827.2A CN111478889B (zh) | 2020-03-27 | 2020-03-27 | 一种告警方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010233827.2A CN111478889B (zh) | 2020-03-27 | 2020-03-27 | 一种告警方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111478889A CN111478889A (zh) | 2020-07-31 |
CN111478889B true CN111478889B (zh) | 2022-09-02 |
Family
ID=71747923
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010233827.2A Active CN111478889B (zh) | 2020-03-27 | 2020-03-27 | 一种告警方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111478889B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113301012B (zh) * | 2021-04-13 | 2023-02-24 | 新浪网技术(中国)有限公司 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
CN113505067B (zh) * | 2021-07-09 | 2024-02-20 | 上海沄熹科技有限公司 | 基于openresty的分布式数据库tpc-c测试优化方法及系统 |
CN113890821B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
CN113923406B (zh) * | 2021-09-29 | 2023-05-12 | 四川警察学院 | 视频监控覆盖区域的调节方法、装置、设备和存储介质 |
CN116915509A (zh) * | 2023-09-12 | 2023-10-20 | 北京微步在线科技有限公司 | 一种流量告警处理方法、装置、计算机设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110149421A (zh) * | 2019-05-30 | 2019-08-20 | 世纪龙信息网络有限责任公司 | 域名系统的异常监测方法、系统、装置和计算机设备 |
CN110691213A (zh) * | 2018-07-04 | 2020-01-14 | 视联动力信息技术股份有限公司 | 一种告警方法和装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103532754B (zh) * | 2013-10-12 | 2016-08-17 | 北京首信科技股份有限公司 | 一种通过高速内存、分布式处理海量日志的系统及方法 |
CN106992876A (zh) * | 2017-03-04 | 2017-07-28 | 郑州云海信息技术有限公司 | 云平台日志管理方法及系统 |
CN108763031B (zh) * | 2018-04-08 | 2022-05-24 | 奇安信科技集团股份有限公司 | 一种基于日志的威胁情报检测方法及装置 |
CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
CN110224858B (zh) * | 2019-05-16 | 2022-12-02 | 平安科技(深圳)有限公司 | 基于日志的告警方法及相关装置 |
CN110175152A (zh) * | 2019-05-30 | 2019-08-27 | 深圳前海微众银行股份有限公司 | 一种日志查询方法、中转服务器集群及日志查询系统 |
CN110430159B (zh) * | 2019-06-20 | 2022-01-11 | 国网辽宁省电力有限公司信息通信分公司 | 一种平台服务器防火墙策略开放范围过大预警方法 |
CN110351280B (zh) * | 2019-07-15 | 2022-05-27 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
-
2020
- 2020-03-27 CN CN202010233827.2A patent/CN111478889B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110691213A (zh) * | 2018-07-04 | 2020-01-14 | 视联动力信息技术股份有限公司 | 一种告警方法和装置 |
CN110149421A (zh) * | 2019-05-30 | 2019-08-20 | 世纪龙信息网络有限责任公司 | 域名系统的异常监测方法、系统、装置和计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN111478889A (zh) | 2020-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111478889B (zh) | 一种告警方法及装置 | |
CN108763957B (zh) | 一种数据库的安全审计系统、方法及服务器 | |
CN111522922B (zh) | 日志信息查询方法、装置、存储介质及计算机设备 | |
EP3425524A1 (en) | Cloud platform-based client application data calculation method and device | |
CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
CN111935082B (zh) | 一种网络威胁信息关联分析系统及方法 | |
CN112416645B (zh) | 一种基于人工智能的故障根因推断定位方法及装置 | |
CN111078513A (zh) | 日志处理方法、装置、设备、存储介质及日志告警系统 | |
CN113965389B (zh) | 一种基于防火墙日志的网络安全管理方法、设备及介质 | |
CN109344046B (zh) | 一种数据处理方法、装置、介质及电子设备 | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
CN113536304A (zh) | 一种基于运维审计系统的防绕行方法及设备 | |
CN115757318A (zh) | 日志查询方法、装置、存储介质以及电子设备 | |
CN115712552A (zh) | 一种api和数据库的关联审计方法及系统 | |
Klinkhamhom et al. | Threat Hunting for Digital Forensic Using GRR Rapid Response with NIST Framework | |
CN114301709B (zh) | 报文的处理方法和装置、存储介质及计算设备 | |
CN112541183B (zh) | 数据处理方法及装置、边缘计算设备、存储介质 | |
CN110166421B (zh) | 基于日志监控的入侵控制方法、装置及终端设备 | |
CN117573468A (zh) | 日志的处理方法及装置、存储介质和处理器 | |
CN116841830A (zh) | 一种数据中台运维方法、装置、设备及介质 | |
CN114944929B (zh) | 网络异常行为检测方法、装置、电子设备及存储介质 | |
CN114710392B (zh) | 事件信息的获取方法及装置 | |
CN115442279B (zh) | 一种告警源定位方法、装置、设备及存储介质 | |
CN118282870A (zh) | 网络故障分析方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230317 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee before: Sina.com Technology (China) Co.,Ltd. |