CN111597084B - 安全预警方法及装置、电子设备、存储介质 - Google Patents
安全预警方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN111597084B CN111597084B CN201910125335.9A CN201910125335A CN111597084B CN 111597084 B CN111597084 B CN 111597084B CN 201910125335 A CN201910125335 A CN 201910125335A CN 111597084 B CN111597084 B CN 111597084B
- Authority
- CN
- China
- Prior art keywords
- log
- security
- event
- early warning
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开是关于一种安全预警方法及装置、电子设备、存储介质,涉及集成电路技术领域,该方法包括:获取监控对象对应的安全基线以及安全白名单机制;通过所述安全基线以及所述安全白名单机制,对所述监控对象的日志以及第三方监控日志进行过滤;将过滤后的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警。本公开通过安全基线以及安全白名单机制对监控对象的日志和第三方监控日志进行过滤,能够准确识别非安全事件,并且能够及时对非安全事件进行预警。
Description
技术领域
本公开涉及集成电路技术领域,具体而言,涉及一种安全预警方法、安全预警装置、电子设备以及计算机可读存储介质。
背景技术
在集成电路生产和测试过程中,机台的安全性是保证产品质量的关键因素,因此在机台发生不安全事件时需要及时处理。
相关技术中,大部分机台通过接入第三方安全管理系统实现安全监控,但是这种方式只能发现安全隐患,而无法进行安全预警或者是发送预警通知,从而不能及时告知相关人员来处理安全问题,降低机台性能的稳定性和安全性。另外,机台控制系统一般会对运行日志进行本地分析,从而消耗大量系统资源,降低机台处理速度。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种安全预警方法及装置、电子设备、存储介质,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的不能及时进行安全预警的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种安全预警方法,包括:获取监控对象对应的安全基线以及安全白名单机制;通过所述安全基线以及所述安全白名单机制,对所述监控对象的日志以及第三方监控日志进行过滤;将过滤后的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警。
在本公开的一种示例性实施例中,通过所述安全基线以及所述安全白名单机制,对所述监控对象的日志以及第三方监控日志进行过滤包括:对所述监控对象的多个事件进行分类,得到监控对象的每类事件的日志;基于所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的日志以及所述第三方监控日志进行过滤。
在本公开的一种示例性实施例中,基于所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的日志以及所述第三方监控日志进行过滤包括:采用正向表列算法,通过所述安全基线以及所述安全白名单机制对所述监控对象的每类事件的日志以及所述第三方监控日志进行过滤。
在本公开的一种示例性实施例中,采用正向表列算法,通过所述安全基线以及所述安全白名单机制对所述监控对象的每类事件的日志以及所述第三方监控日志进行过滤包括:若所述监控对象的日志与所述第三方监控日志符合所述安全基线或所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为安全事件;若所述监控对象的日志与所述第三方监控日志不符合所述安全基线以及所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为非安全事件。
在本公开的一种示例性实施例中,将过滤后的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警包括:若所述非安全事件为已知的非安全事件,则直接生成预警数据并通过所述预警数据对所述非安全事件进行预警。
在本公开的一种示例性实施例中,通过所述预警数据对所述非安全事件进行预警包括:确定所述监控对象的日志以及所述第三方监控日志的级别类型;根据所述级别类型将表示所述监控对象的日志以及所述第三方监控日志对应的非安全事件的预警数据发送至所述级别类型对应的目标对象,以进行预警。
在本公开的一种示例性实施例中,所述预警数据包括文字、声音、图片中的一种或多种。
在本公开的一种示例性实施例中,所述方法还包括:若所述非安全事件为未知的非安全事件,则确定预设时间段内发生所述未知的非安全事件的比例;若所述比例达到预设值,则根据所述比例对所述未知的非安全事件进行预测,以进行预警。
在本公开的一种示例性实施例中,所述方法还包括:接收由至少一个终端通过开放日志协议发送的所述监控对象的所有事件的日志。
在本公开的一种示例性实施例中,所述监控对象包括机台。
根据本公开的一个方面,提供一种安全预警装置,包括:机制获取模块,用于获取监控对象对应的安全基线以及安全白名单机制;日志过滤模块,用于通过所述安全基线以及所述安全白名单机制,对所述监控对象的日志以及第三方监控日志进行过滤;预警控制模块,用于将过滤后的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警。
在本公开的一种示例性实施例中,所日志过滤模块包括:分类模块,用于对所述监控对象的多个事件进行分类,得到监控对象的每类事件的日志;日志过滤控制模块,用于基于所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的日志以及所述第三方监控日志进行过滤。
在本公开的一种示例性实施例中,所述日志过滤控制模块包括:过滤控制模块,用于采用正向表列算法,通过所述安全基线以及所述安全白名单机制对所述监控对象的每类事件的日志以及所述第三方监控日志进行过滤。
根据本公开的一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的安全预警方法。
根据本公开的一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的安全预警方法。
本公开示例性实施例中提供的安全预警方法、安全预警装置、电子设备以及计算机可读存储介质中,一方面,通过安全基线和安全白名单机制对监控对象的日志以及第三方监控日志进行过滤来确定非安全事件,并通过预警数据对非安全事件进行预警,避免了相关技术中第三方监控系统只能发现安全隐患而不能进行预警的问题,能够通过预警数据直接及时地进行安全预警和通知安全隐患,能够使相关人员及时处理安全问题,提高了监控对象性能的稳定性和安全性。另一方面,由于是通过安全基线和安全白名单机制,对监控对象的日志和第三方监控日志进行过滤,从而进行预警,实现了对日志的远端分析,避免了本地分析导致的资源消耗较多的问题,减少资源消耗,从而提高处理速度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开示例性实施例中一种安全预警方法的示意图。
图2示意性示出本公开示例性实施例中安全预警架构的示意图。
图3示意性示出本公开示例性实施例中一种安全预警装置的框图。
图4示意性示出本公开示例性实施例中一种电子设备的框图。
图5示意性示出本公开示例性实施例中一种程序产品。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本示例实施方式中首先提供了一种安全预警方法,可以应用于机台或者是其它服务器的系统进行安全监控和预警的应用场景。本示例性实施例中的执行主体可以为服务器,参考图1所示对该安全预警方法进行详细描述。
在步骤S110中,获取监控对象对应的安全基线以及安全白名单机制。
本示例性实施例中,监控对象例如可以为集成电路生产过程以及集成电路测试过程中的机台。机台可以包括工艺机台,例如湿法刻蚀机台、焊机机台等等;机台也可以为测试机台,例如高温测试机台或低温测试机台等等;除此之外,还可以包括用于执行其他功能的机台,此处不作特殊限定。安全基线指的是预先在机台系统中定义好的基线,用于表示判断监控对象上发生的事件是否安全的判断依据。
具体而言,监控对象中的操作系统OS(Operating System)、数据库DB(Database)、应用程序APP(Application)以及硬件等涉及安全问题的参数,这些参数的安全风险相对较大,恶意行为能够通过这些参数对系统进行攻击、破坏、窃取等不安全行为。安全基线就是这些参数的可靠值或者可靠状态,安全基线是根据某种、某类或者是某系列的安全行为来定义的。安全基线主要针对的对象为机台中的参数,例如温度、压力、湿度等等。安全基线的主要作用是做安全加固,安全加固的原理就是将这些参数修改成安全值或者安全状态,限制恶意行为的发生,对已知的潜在安全风险进行控制。
安全白名单机制与安全基线的作用基本相同,但是安全白名单机制与安全基线所作用的对象不同。安全白名单机制针对的对象主要为机台系统中不包含的参数或者是人为设置的对象,例如用户等等。安全白名单机制中例如可以包括完全无危险的事件,例如使用具有登录权限的用户名登录机台系统;也可以包括可能存在小程度的危险但是出现频率较高的事件,例如集成电路制造过程中,湿法刻蚀工艺中频繁出现的换酸事件等等。除此之外,安全白名单机制还可包含软件系统文件、用户等。在首次建立安全白名单机制时,可通过系统全扫描的方式建立;在后续的建立过程中,可根据机台运行过程中的实际需求更新安全白名单机制,例如为首次建立的安全白名单机制增加或者是减少事件。
本示例性实施例中,通过建立了安全基线和安全白名单机制,则在安全基线和安全白名单机制范围内的参数会优先通过,大大提高了安全性和快捷性。通过更新安全白名单机制,能够及时以及准确地确定安全事件。
在步骤S120中,通过所述安全基线以及所述安全白名单机制,对所述监控对象的日志以及第三方监控日志进行过滤。
本示例性实施例中,监控对象的日志指的是监控对象的所有事件对应的日志数据。在每个事件发生时,都会产生对应的日志。日志指的即是日志数据,日志数据就是一条日志消息里用来描述为什么生成日志消息的信息。例如,Web服务器一般会在有用户访问Web页面请求资源(图片、文件等等)的时候记录日志。如果用户访问的页面需要通过认证,日志数据将会包含用户名。
日志可以包括信息、调试、警告、错误等几种类型。其中,信息类型的日志数据被配置为告诉用户和管理员一些没有风险的事情发生了。调试类型的日志数据是系统在应用程序代码运行时生成调试信息,是为了给软件开发人员提供故障检测和定位问题的帮助。警告类型的日志数据是在系统需要或者丢失东西,而又不影响操作系统的情况下生成的。错误类型的日志数据是用来传达系统中出现的各种级别的错误。例如,操作系统在无法同步缓冲区到磁盘的时候会生成错误信息。
一般而言,日志可包含数据库、操作系统、硬件、商业应用软件、定制开发应用等的日志数据。本示例性实施例中以定制开发应用的日志、定制系统或数据库脚本运行日志为例进行说明。日志中至少应包含应用或脚本运行的过程状态记录、功能异常记录等。日志的类型例如可以为非结构化数据即文本,也可以为结构化数据(数据库中存储的数据)。
监控对象的多个事件可以包括进机台时间、出机台时间、调整温度、调整压力等事件。监控对象的多个事件中包括安全事件,也包括不安全事件,因此可通过步骤S110的安全基线和安全白名单机制对所有的事件进行过滤,以准确区分安全事件和不安全事件。对于安全事件,可直接过滤掉,以避免其对不安全事件产生干扰。对于不安全事件,可按照实际需求进行报警或者是进行提示。
第三方监控日志指的是由任何第三方系统提供的专业安全产品的日志,根据产品不同,第三方监控日志也不同。第三方监控日志指的是一种安全防护工具,其自身也具备一定的判断方法,例如白名单、黑名单、样本库等等,但是第三方监控日志不具备事件过滤和告警等功能。本示例性实施例中,第三方监控日志指的是与监控对象的日志关联的日志数据,二者可用于描述同一个事件。通过对监控对象的日志以及第三方监控日志的过滤,可准确判断和识别事件中存在的危险或者是威胁。
在此基础上,通过所述安全基线以及所述安全白名单机制,对所述监控对象的日志以及第三方监控日志进行过滤的具体步骤包括:对所述监控对象的多个事件进行分类,得到监控对象的每类事件的日志;基于所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的日志以及所述第三方监控日志进行过滤。
首先可对多个事件进行分类,具体可根据所有事件的日志的关键字对多个事件进行分类,例如将关键字相同的事件归为一类。举例而言,可将多个事件分为制造工艺事件、测试事件、登录事件等等,得到监控对象的每类事件的日志。在对事件进行分类之后,可根据安全基线和安全白名单机制对分类后监控对象的日志以及第三方监控日志进行过滤,得到每类日志中安全基线和安全白名单机制之外的日志,例如得到制造工艺事件中除安全事件之外的其他事件的日志等等。其中,监控对象的日志代表的即为监控对象的多个事件的日志。
在分类之后,可根据关键字将每类事件的日志以及第三方监控日志,结合安全基线和安全白名单机制进行对比,从而实现日志过滤。具体地,可通过正向表列算法进行对比。正向表列算法指的是按照日志的生成时间由小到大的顺序正向进行对比的算法。也可以通过其他算法将监控对象的日志以及第三方监控日志与设置的安全基线和安全白名单机制进行对比,例如监督学习算法或者是无监督学习算法等等。
在进行对比时,可将监控对象的日志以及第三方监控日志,与安全基线和安全白名单机制进行匹配操作。若所述日志与所述第三方监控日志符合所述安全基线或所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为安全事件;若所述日志与所述第三方监控日志不符合所述安全基线以及所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为非安全事件。可以理解为:若监控对象的日志与第三方监控日志处于安全基线或安全白名单机制内,则可将日志对应的事件确定为安全事件,例如监控对象的日志中的参数的数值、第三方监控日志的数值处于安全基线以及安全白名单机制的数值范围内,则可认为监控对象的日志和第三方监控日志对应的事件为安全事件。通过同样的方式,可将处于所述安全基线以及所述安全白名单机制外或者是不满足安全基线以及安全白名单机制的数值范围的日志对应的事件确定为不安全事件,通过安全基线和安全白名单机制,以及通过关键字过滤,能够在大量日志数据中,快速准确地确定安全事件和非安全事件。
需要说明的是,在对监控对象的日志以及第三方监控日志进行过滤之前,该方法还可以包括:接收由至少一个终端通过开放日志协议发送的所述监控对象的所有事件的日志。此处的至少一个终端例如可以为图2中所示的客户端,具体包括操作系统、硬件管理、数据库、应用软件、反病毒以及其他对象等等。开放日志协议例如可以为Syslog日志。Syslog日志既可以记录在本地文件中,也可以通过网络发送到接收Syslog的服务器。接收Syslog的服务器可以对多个设备的Syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。
完整的Syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或Level)、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上,能够按程序模块和严重性的组合来决定什么样的日志数据是否需要记录,记录到什么地方,是否需要发送到一个接收Syslog的服务器等。通过开放日志协议,能够增加应用范围。
本示例性实施例中,将服务器接收的日志以及非安全事件的日志存储至远程的日志文件和数据库中,避免了相关技术中,由于机台的存储空间有限而导致的新的日志覆盖旧的日志的情况,也避免了无法追溯和查询历史出现过的非安全事件的日志,延长了机台控制系统中各种日志的保存时限,为日志分析和对比、查询等操作提供了便利。
在步骤S130中,将过滤后的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警。
本示例性实施例中,在步骤S120的基础上,可将过滤后的处于安全基线和安全白名单机制之外的监控对象的日志和第三方监控日志对应的事件确定为非安全事件。非安全事件中包括两种情况,第一种是已知的非安全事件,已知的非安全事件指的是数据库或者是服务器中存储的或者是之前出现过的非安全事件,例如可以为陌生账号登录机台系统等非安全事件。第二种是未知的非安全事件,即之前未出现过、未存储于数据库或服务器,但是又处于安全基线和安全白名单机制之外的事件。
本步骤中,对非安全事件进行预警具体包括:若所述非安全事件为已知的非安全事件,则直接生成预警数据并通过所述预警数据对所述非安全事件进行预警。举例而言,若确定监控对象的日志A以及第三方监控日志AA与安全基线和安全白名单机制不匹配,则可确定监控对象的日志A以及第三方监控日志AA对应的事件1为非安全事件。进一步地,如果确定非安全事件为出现过的已知的非安全事件,则可以直接进行预警,此处的预警指的是告警。在检测到已知的非安全事件时,可通过预警数据对非安全事件进行预警。预警数据包括用于表示预警状态的数据,其表现形式可以为数字、文字、图片、声音中的一种或多种。本示例性实施例中,对预警数据的类型不作特殊限定,只要能起到提醒和预警的作用即可。
具体地,在通过所述预警数据进行预警时,可根据所述监控对象的日志以及所述第三方监控日志的级别类型,将表示所述日志对应的非安全事件的预警数据发送至对应的目标对象,以进行预警。日志的级别类型可由人工按照一定的排列顺序进行设定,例如可根据重要程度进行设置,分为一级日志、二级日志以及三级日志等等,其中一级日志可以为重要程度最低的日志,二级日志可以为重要程度中等的日志,三级日志可以为重要程度最高的日志。对于不同级别类型的日志,可分别确定不同的目标对象。目标对象指的是接收预警数据的对象的终端。根据日志重要程度的排列顺序,可依次确定不同等级或者是确定不同部门的目标对象。可例如,对于一级日志,其目标对象可以为一线运维人员的终端;对于二级日志,其目标对象可以为基层管理人员的终端;对于三级日志,其目标对象可以为技术专家的终端;除此之外,对于其他处于常规维护范围内的日志,可进行智能判断,直接给予自动处理。
本示例性实施例中的终端可以包括手机、手表、电脑或者是其它能够接收消息的设备。在确定目标对象后,可将预警数据发送至目标对象,以使相关人员及时得知检测到了已知的非安全事件,从而及时对已知的非安全事件进行处理,避免由于已知的非安全事件而导致的系统稳定性差的问题,提高系统稳定性以及安全性。
除此之外,本示例性实施例中的安全预警方法还包括:若所述非安全事件为未知的非安全事件,则确定预设时间段内发生所述未知的非安全事件的比例;若所述比例达到预设值,则根据所述比例对所述未知的非安全事件进行预测,以进行预警。预设时间段例如可以为10分钟或者是20分钟等等,可根据实际需求进行设置。也就是说,若当前时间检测到数据库中未存储的未知的非安全事件2,则可确定以当前时间为起点的20分钟内再次产生与非安全事件2同类型、同性质的非安全事件的比例。预设值指的是事先设置的数值,用于表示预计的非安全事件,例如可以为与非安全事件2同类型的非安全事件占20分钟内所有事件的比例。若20分钟内再次产生与非安全事件2同类型、同性质的非安全事件的比例达到设置的预设值,则可以根据这个比例对未知的非安全事件2进行预测,即如果达到预设值,则可预先告警在多长时间内会产生非安全事件2以及安全威胁,以对未知的非安全事件进行预警。除此之外,此处的比例也可以替换为次数,以对未知的非安全事件进行预测和趋势分析。需要补充的是,此处预测的未知的非安全事件一般会作为正向表列内容或者是特征库的内容,从而生成黑名单。
图2中示出了本示例性实施例中对机台进行安全预警的架构图,其中包括以下步骤:
在步骤S21中,日志发送。所有客户端通过Syslog等开放日志协议将日志传送至服务器端,客户端包括操作系统、硬件管理、数据库、应用软件、反病毒以及其他对象,服务器端包括日志分析服务器。
在步骤S22中,日志存储。具体包括两种方式:步骤S221,日志分析服务器分别以文件形式和结构化数据形式将日志存到日志文件;步骤S222,将日志存储至数据库中。
对于存储至日志文件中的日志,执行步骤S23;对于存储至数据库中的日志,执行步骤S24。
在步骤S23中,将日志文件中的日志进行分析、关键字过滤、告警派发以及自动处理等,并发送至用户。
在步骤S24中,日志查询服务器通过Web方式提供查询接口,根据用户不同的查询条件将数据库中的信息反馈给用户。
通过图2中的步骤,主要执行了以下功能:开放日志协议、日志存档、日志查询、日志分析以及预警发送等过程。可根据日志分析,及时对产生的非安全事件进行预警,从而提高了系统安全性和稳定性。
本公开还提供了一种安全预警装置。参考图3所示,该安全预警装置300可以包括:
机制获取模块301,可以用于获取监控对象对应的安全基线以及安全白名单机制;
日志过滤模块302,可以用于通过所述安全基线以及所述安全白名单机制,对所述监控对象的日志以及第三方监控日志进行过滤;
预警控制模块303,可以用于将过滤后的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警。
在本公开的一种示例性实施例中,事件过滤模块包括:分类模块,用于对所述监控对象的多个事件进行分类,得到监控对象的每类事件的日志;日志过滤控制模块,用于基于所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的日志以及所述第三方监控日志进行过滤。
在本公开的一种示例性实施例中,日志过滤控制模块包括:过滤控制模块,用于采用正向表列算法,通过所述安全基线以及所述安全白名单机制对所述监控对象的每类事件的日志以及所述第三方监控日志进行过滤。
在本公开的一种示例性实施例中,过滤控制模块包括:安全事件确定模块,用于若所述监控对象的日志与所述第三方监控日志符合所述安全基线或所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为安全事件;非安全事件确定模块,用于若所述监控对象的日志与所述第三方监控日志不符合所述安全基线以及所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为非安全事件。
在本公开的一种示例性实施例中,预警控制模块包括:预警数据发送模块,用于若所述非安全事件为已知的非安全事件,则直接生成预警数据并通过所述预警数据对所述非安全事件进行预警。
在本公开的一种示例性实施例中,预警数据发送模块包括:级别确定模块,用于确定所述监控对象的日志以及所述第三方监控日志的级别类型;目标对象确定模块,用于根据所述级别类型将表示所述监控对象的日志以及所述第三方监控日志对应的非安全事件的预警数据发送至所述级别类型对应的目标对象,以进行预警。
在本公开的一种示例性实施例中,所述预警数据包括文字、声音、图片中的一种或多种。
在本公开的一种示例性实施例中,所述装置还包括:比例确定模块,用于若所述非安全事件为未知的非安全事件,则确定预设时间段内发生所述未知的非安全事件的比例;事件预测模块,用于若所述比例达到预设值,则根据所述比例对所述未知的非安全事件进行预测,以进行预警。
在本公开的一种示例性实施例中,所述装置还包括:日志接收模块,用于接收由至少一个终端通过开放日志协议发送的所述监控对象的所有事件的日志。
在本公开的一种示例性实施例中,所述监控对象包括机台。
需要说明的是,上述安全预警装置中各模块的具体细节已经在对应的安全预警方法中进行了详细描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图4来描述根据本发明的这种实施方式的电子设备400。图4显示的电子设备400仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400以通用计算设备的形式表现。电子设备400的组件可以包括但不限于:上述至少一个处理单元410、上述至少一个存储单元420、连接不同系统组件(包括存储单元420和处理单元410)的总线430。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元410执行,使得所述处理单元410执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元410可以执行如图1中所示的步骤。
存储单元420可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)4201和/或高速缓存存储单元4202,还可以进一步包括只读存储单元(ROM)4203。
存储单元420还可以包括具有一组(至少一个)程序模块4205的程序/实用工具4204,这样的程序模块4205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线430可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
显示单元440可以为具有显示功能的显示器,以通过该显示器展示由处理单元410执行本示例性实施例中的方法而得到的处理结果。显示器包括但不限于液晶显示器或者是其它显示器。
电子设备400也可以与一个或多个外部设备600(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备400交互的设备通信,和/或与使得该电子设备400能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口450进行。并且,电子设备400还可以通过网络适配器460与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器460通过总线430与电子设备400的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备400使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图5所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品500,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
Claims (10)
1.一种安全预警方法,其特征在于,包括:
获取监控对象对应的安全基线以及安全白名单机制;所述安全基线用于针对监控对象中的参数,所述安全白名单机制用于针对所述监控对象中不包含的参数或是人为设置的对象;所述监控对象为集成电路生产过程以及测试过程中的机台;
接收由至少一个终端通过开放日志协议发送的所述监控对象的所有事件的日志;
根据所有事件的日志的关键字对所述监控对象的多个事件进行分类,得到监控对象的每类事件的日志,通过所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的每类事件的日志以及第三方监控日志进行过滤;
将过滤后的处于安全基线以及安全白名单机制外的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警,对不同级别类型的日志确定不同的目标对象,所述目标对象为接收预警数据的对象的终端;
其中,通过预警数据对所述非安全事件进行预警,包括:
若所述非安全事件为已知的非安全事件,则直接生成预警数据并通过所述预警数据对所述非安全事件进行预警;
若所述非安全事件为未知的非安全事件,则确定预设时间段内发生所述未知的非安全事件的比例;若所述比例达到预设值,则根据所述比例,对所述未知的非安全事件进行预测,以进行预警。
2.根据权利要求1所述的安全预警方法,其特征在于,基于所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的日志以及所述第三方监控日志进行过滤包括:
采用正向表列算法,通过所述安全基线以及所述安全白名单机制对所述监控对象的每类事件的日志以及所述第三方监控日志进行过滤。
3.根据权利要求2所述的安全预警方法,其特征在于,采用正向表列算法,通过所述安全基线以及所述安全白名单机制对所述监控对象的每类事件的日志以及所述第三方监控日志进行过滤包括:
若所述监控对象的日志与所述第三方监控日志符合所述安全基线或所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为安全事件;
若所述监控对象的日志与所述第三方监控日志不符合所述安全基线以及所述安全白名单机制,则确定所述监控对象的日志与所述第三方监控日志对应的事件为非安全事件。
4.根据权利要求1所述的安全预警方法,其特征在于,通过所述预警数据对所述非安全事件进行预警包括:
确定所述监控对象的日志以及所述第三方监控日志的级别类型;
根据所述级别类型将表示所述监控对象的日志以及所述第三方监控日志对应的非安全事件的预警数据发送至所述级别类型对应的目标对象,以进行预警。
5.根据权利要求4所述的安全预警方法,其特征在于,所述预警数据包括文字、声音、图片中的一种或多种。
6.根据权利要求1所述的安全预警方法,其特征在于,所述监控对象包括机台。
7.一种安全预警装置,其特征在于,包括:
机制获取模块,用于获取监控对象对应的安全基线以及安全白名单机制;所述安全基线用于针对监控对象中的参数,所述安全白名单机制用于针对所述监控对象中不包含的参数或是人为设置的对象;所述监控对象为集成电路生产过程以及测试过程中的机台;
接收由至少一个终端通过开放日志协议发送的所述监控对象的所有事件的日志;
日志过滤模块,用于根据所有事件的日志的关键字对所述监控对象的多个事件进行分类,得到监控对象的每类事件的日志,通过所述安全基线以及所述安全白名单机制,根据关键字对所述监控对象的每类事件的日志以及第三方监控日志进行过滤;
预警控制模块,用于将过滤后的处于安全基线以及安全白名单机制外的所述监控对象的日志以及所述第三方监控日志对应的事件确定为非安全事件,并通过预警数据对所述非安全事件进行预警,对不同级别类型的日志确定不同的目标对象,所述目标对象为接收预警数据的对象的终端;
其中,通过预警数据对所述非安全事件进行预警,包括:
若所述非安全事件为已知的非安全事件,则直接生成预警数据并通过所述预警数据对所述非安全事件进行预警;
若所述非安全事件为未知的非安全事件,则确定预设时间段内发生所述未知的非安全事件的比例;若所述比例达到预设值,则根据所述比例对所述未知的非安全事件进行预测,以进行预警。
8.根据权利要求7所述的安全预警装置,其特征在于,所述日志过滤模块包括:
过滤控制模块,用于采用正向表列算法,通过所述安全基线以及所述安全白名单机制对所述监控对象的每类事件的日志以及所述第三方监控日志进行过滤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6任意一项所述的安全预警方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-6任意一项所述的安全预警方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910125335.9A CN111597084B (zh) | 2019-02-20 | 2019-02-20 | 安全预警方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910125335.9A CN111597084B (zh) | 2019-02-20 | 2019-02-20 | 安全预警方法及装置、电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111597084A CN111597084A (zh) | 2020-08-28 |
| CN111597084B true CN111597084B (zh) | 2023-06-16 |
Family
ID=72184903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910125335.9A Active CN111597084B (zh) | 2019-02-20 | 2019-02-20 | 安全预警方法及装置、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111597084B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| CN106330532A (zh) * | 2016-08-16 | 2017-01-11 | 汉柏科技有限公司 | 网络信息处理方法及系统、网络管理设备、网络监控设备 |
| CN106371986A (zh) * | 2016-09-08 | 2017-02-01 | 上海新炬网络技术有限公司 | 一种日志处理运维监控系统 |
| CN107566163A (zh) * | 2017-08-10 | 2018-01-09 | 北京奇安信科技有限公司 | 一种用户行为分析关联的告警方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610172B2 (en) * | 2006-06-16 | 2009-10-27 | Jpmorgan Chase Bank, N.A. | Method and system for monitoring non-occurring events |
| CN101668012B (zh) * | 2009-09-23 | 2013-01-30 | 成都市华为赛门铁克科技有限公司 | 安全事件检测方法及装置 |
| CN102413013B (zh) * | 2011-11-21 | 2013-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| US20130275444A1 (en) * | 2012-04-16 | 2013-10-17 | International Business Machines Corporation | Management of Log Data in a Networked System |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN104994075A (zh) * | 2015-06-01 | 2015-10-21 | 广东电网有限责任公司信息中心 | 基于安全系统输出日志的安全事件处理方法、系统及终端 |
| CN105740121B (zh) * | 2016-01-26 | 2018-08-28 | 中国银行股份有限公司 | 一种日志文本监控与预警方法、装置 |
| CN109361548B (zh) * | 2018-11-20 | 2021-09-07 | 国家电网有限公司 | 一种基于主动安全的ims网络行为诊断预警方法及装置 |
-
2019
- 2019-02-20 CN CN201910125335.9A patent/CN111597084B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| CN106330532A (zh) * | 2016-08-16 | 2017-01-11 | 汉柏科技有限公司 | 网络信息处理方法及系统、网络管理设备、网络监控设备 |
| CN106371986A (zh) * | 2016-09-08 | 2017-02-01 | 上海新炬网络技术有限公司 | 一种日志处理运维监控系统 |
| CN107566163A (zh) * | 2017-08-10 | 2018-01-09 | 北京奇安信科技有限公司 | 一种用户行为分析关联的告警方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| Semantic and Syntactic Data Flow in Web Service Composition;Freddy Lecue;《2018 IEEE International Conference on Web Services》;摘要 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111597084A (zh) | 2020-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12120146B1 (en) | Systems and methods for applying attack tree models and physics-based models for detecting cyber-physical threats | |
| US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
| US11403389B2 (en) | System and method of detecting unauthorized access to computing resources for cryptomining | |
| CN107239388A (zh) | 一种监测告警方法及系统 | |
| CN112419130B (zh) | 基于网络安全监控和数据分析的应急响应系统及方法 | |
| US9508044B1 (en) | Method and apparatus for managing configurations | |
| CN113282474A (zh) | 基于堡垒机的用户行为监控方法、系统、设备及介质 | |
| CN110765090B (zh) | 日志数据管理方法及装置、存储介质、电子设备 | |
| JP5240709B2 (ja) | シンプトンを評価するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
| US11675647B2 (en) | Determining root-cause of failures based on machine-generated textual data | |
| US20240045990A1 (en) | Interactive cyber security user interface | |
| CN111614614B (zh) | 应用于物联网的安全监测方法和装置 | |
| CN111597084B (zh) | 安全预警方法及装置、电子设备、存储介质 | |
| KR20110037969A (ko) | 모니터링 시스템에서의 메시지의 타겟화된 사용자 통지 | |
| CN116483663A (zh) | 用于平台的异常告警方法和装置 | |
| CN114938300B (zh) | 基于设备行为分析的工控系统态势感知方法及其系统 | |
| CN115396151A (zh) | 一种基于人工智能网络安全事件快速响应系统 | |
| CN115085956A (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| CN110858170A (zh) | 沙盒组件、数据异常监控方法、设备和存储介质 | |
| CN116980239B (zh) | 一种基于sase的网络安全监控预警方法及系统 | |
| CN114884801B (zh) | 告警方法、装置、电子设备及存储介质 | |
| CN113590424A (zh) | 一种故障监控方法、装置、设备及存储介质 | |
| Kaleem | Cyber Security Framework for Real-time Malicious Network Traffic Detection and Prevention using SIEM and Deep Learning | |
| CN113890819A (zh) | 故障处理方法、装置及系统 | |
| CN118606137A (zh) | 监控系统的控制方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |