CN112769599A - 一种资源自动接入方法、系统及可读存储介质 - Google Patents
一种资源自动接入方法、系统及可读存储介质 Download PDFInfo
- Publication number
- CN112769599A CN112769599A CN202011583927.4A CN202011583927A CN112769599A CN 112769599 A CN112769599 A CN 112769599A CN 202011583927 A CN202011583927 A CN 202011583927A CN 112769599 A CN112769599 A CN 112769599A
- Authority
- CN
- China
- Prior art keywords
- log
- source
- log information
- accessed
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0889—Techniques to speed-up the configuration process
Abstract
本申请公开了一种资源自动接入方法,SIEM分析系统及可读存储介质,该方法包括:识别待接入资源的传输方式,并基于该传输方式接收待接入资源发送的日志信息;获取日志信息来源的源IP;若源IP未接入配置,则提取日志信息的日志特征;利用日志特征识别出对应的具体资源类型;基于具体资源类型、源IP以及传输方式,进行接入配置,以便对接入的资源进行安全监管。在该方法中,SIEM分析系统可以自行发现未被接入的IT资源,并通过自动识别传输方式、IP地址以及从安全信息日志中提取出的具体设备类型,自动完成接入配置,能够以达到简化用户操作和优化接入体验的目的。
Description
技术领域
本申请涉及安全技术领域,特别是涉及一种资源自动接入方法、SIEM分析系统及可读存储介质。
背景技术
将IT资源接入SIEM(Security Information and Event Management,安全信息和事件管理)分析系统时,需要人工手动配置好该设备的IP地址、传输方式以及设备类型。完成配置之后,SIEM分析系统才能正确地解析并分析其日志信息,发现其中的威胁并告警。
然而,网络中的IT资源往往种类繁多,数量也不少,如果对每个IT资源都进行配置操作十分繁琐,且无法保障准确率。具体的,目前的配置方式都是人工操作,因而存在缺点:人工操作一旦有一个参数配置错误会导致SIEM分析系统无法正确分析安全日志;当IT资源数量较多时,人工操作耗时且繁琐。
综上所述,如何有效地解决SIEM的IT资源接入配置等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种资源自动接入方法、系统及可读存储介质,以通过自动获取IT资源的IP地址、传输方式以及具体设备类型,然后基于IP地址、传输方式以及具体设备类型进行自动接入配置,以提高配置准确率,并省去人工操作。
为解决上述技术问题,本申请提供如下技术方案:
一方面,本申请提供了一种资源自动接入方法,应用于SIEM分析系统,包括:
识别待接入资源的传输方式,并基于该传输方式接收所述待接入资源发送的日志信息;
获取所述日志信息来源的源IP;
若所述源IP未接入配置,则提取所述日志信息的日志特征;
利用所述日志特征识别出对应的具体资源类型;
基于所述具体资源类型、所述源IP以及所述传输方式,进行接入配置,以便对接入的资源进行安全监管。
优选地,还包括:
若所述源IP已接入配置,则基于接收的所述日志信息进行分析,以便对接入的资源进行安全监管。
另一方面,本申请还提供了另一种资源自动接入方法,应用于SIEM分析系统,包括:
识别待接入资源的传输方式,并基于该传输方式接收所述待接入资源发送的日志信息;
获取所述日志信息来源的源IP;
提取所述日志信息的日志特征;
利用所述日志特征识别出对应的具体资源类型;
若所述源IP以及所述具体资源类型对应的资源未接入配置,则基于所述具体资源类型、所述源IP以及所述传输方式,进行接入配置,以便对接入的资源进行安全监管。
优选地,在所述获取所述日志信息来源的源IP之后,还包括:
若所述源IP已接入配置,则基于接收的所述日志信息进行分析,以便对接入的资源进行安全监管。
优选地,所述利用所述日志特征识别出对应的具体资源类型,包括:
基于所述传输方式和所述日志特征识别所述具体资源类型。
优选地,在所述利用所述日志特征识别出对应的具体资源类型之后,还包括:
在可视化界面输出所述具体资源类型;
相应地,进行接入配置操作包括:
在从所述可视化界面中获取到设备接入指令的情况下,进行接入配置。
优选地,所述获取所述日志信息来源的源IP,包括:
对所述日志信息进行解析,得到所述源IP。
优选地,在所述提取所述日志信息的日志特征之前,还包括:
按照接收各个日志信息的先后次序,将本次接收的所述日志信息写入日志队列;
相应地,所述提取所述日志信息的日志特征,包括:
从所述日志队列中按照先入先出的规则,获取所述日志信息,并提取该日志信息的日志特征。
另一方面,本申请还提供了一种SIEM分析系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述资源自动接入方法的步骤。
另一方面,本申请还提供了一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述资源自动接入方法的步骤。
SIEM分析系统中应用本申请实施例所提供的方法,包括:识别待接入资源的传输方式,并基于该传输方式接收待接入资源发送的日志信息;获取日志信息来源的源IP;若源IP未接入配置,则提取日志信息的日志特征;利用日志特征识别出对应的具体资源类型;基于具体资源类型、源IP以及传输方式,进行接入配置,以便对接入的资源进行安全监管。
在本方法中,SIEM分析系统自动识别源IP以及传输方式,在得到对应的源IP之后,若源IP未配置,则通过提取日志的日志特征,并基于该日志特征识别出具体设备类型。如此,便可基于该具体设备类型、IP地址以及传输方式进行接入配置,从而实现对相应IT资源进行安全监管。也就是说,SIEM分析系统可以自行发现未被接入的IT资源,并通过自动识别传输方式、IP地址以及从安全信息日志中提取出的具体设备类型,自动完成接入配置,能够以达到简化用户操作和优化接入体验的目的。
相应地,本申请实施例还提供了与上述资源自动接入方法相对应的SIEM分析系统和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种资源自动接入方法的实施流程图;
图2为本申请实施例中一种资源自动接入方法的具体实施示意图
图3为本申请实施例中另一种资源自动接入方法的实施流程图;
图4为本申请实施例中另一种资源自动接入方法的具体实施示意图;
图5为本申请实施例中一种SIEM分析系统的结构示意图;
图6为本申请实施例中一种SIEM分析系统的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一:
请参考图1,图1为本申请实施例中一种资源自动接入方法的流程图,该方法可以应用于SIEM分析系统,该方法包括以下步骤:
S101、识别待接入资源的传输方式,并基于该传输方式接收待接入资源发送的日志信息。
其中,待接入资源可以具体为IT资源,具体包括网络、系统和应用。传输方式可以包括syslog、文件等传输方式中的任意一种或多种。
在本实施例中,可以基于接入端口来确定待接入资源的传输方式。还可以通过文件、通过消息队列或者通过监听具体网络端口ID等来确定传输方式,在此不再一一赘述。
基于该传输方式,可以接收待接入资源发送的日志信息。该日志信息可以具体为任意一种日志信息。例如,该日志信息可以为安全日志信息、系统日志信息。
S102、获取日志信息来源的源IP。
在本实施例中,可以具体对日志信息进行解析,得到源IP,即从日志信息中提取出源IP,例如日志信息中即记载了IP信息,通过对日志信息进行解析,便可从日志信息中直接读取出该源IP。
当然,实际应用中,也可以在与待接入资源进行通信连接建立的过程中获得,如采用握手机制建立通信连接时,即可获取日志信息来源的源IP。
此外,还可以解析与待接入资源之间的通信数据包中的五元组信息,从而得到该源IP。其中,五元组信息包括源IP地址,源端口,目的IP地址,目的端口,和传输层协议。例如:五元组192.168.1.1 10000TCP 121.14.88.76 80,具体指:一个源IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接,即可将发起连接请求的源IP地址192.168.1.1确定为源IP。
S103、若源IP未接入配置,则提取日志信息的日志特征。
可以在每一次接入资源之后,便将对应的源IP记录下来,如写入接入记录表中。如此,便可通过查询已接入源IP的方式,确定出该源IP是否接入配置。
当然,也可以从配置文件中对已配置资源对应的源IP进行检索,从而确定该源IP是否已接入配置。
在确定该源IP未接入配置的情况下,便可提取该日志信息的日志特征,以便进一步基于该日志特征识别出对应的具体资源类型。
具体的,可对日志信息的记录内容,以及记录格式、传输等进行分析,得到文本信息特征、日志格式和传输特征等特征信息,将这些特征信息作为日志特征。即,日志特征可具体包括目标日志所记录的文本信息特征,以及记录内容所采用的格式等。
在本申请的一种具体实施方式中,若源IP已接入配置,则基于接收的日志信息进行分析,以便对接入的资源进行安全监管。也就是说,对于已完成了接入配置的源IP,则无需进行特征提取,而是直接基于接收到日志信息进行分析,从而实现对接入的资源进行安全监管,保障资源安全。
S104、利用日志特征识别出对应的具体资源类型。
可以预先将不同的具体资源类型对应的日志特征进行记录。在提取到未接入资源对应的日志特征之后,便可通过比较该日志特征与各个具体资源类型对应的日志特征进行比较,找出与该日志特征匹配的已有日志特征,并将该已有日志特征对应的具体资源类型确定为该日志特征对应的具体资源类型。如此,便可基于日志特征识别出对应的具体资源类型。
S105、基于具体资源类型、源IP以及传输方式,进行接入配置,以便对接入的资源进行安全监管。
得到具体资源类型、源IP和传输方式之后,便可进行接入配置。在完成接入配置之后,便可对接入的资源进行安全监管。
SIEM分析系统中应用本申请实施例所提供的方法,包括:识别待接入资源的传输方式,并基于该传输方式接收待接入资源发送的日志信息;获取日志信息来源的源IP;若源IP未接入配置,则提取日志信息的日志特征;利用日志特征识别出对应的具体资源类型;基于具体资源类型、源IP以及传输方式,进行接入配置,以便对接入的资源进行安全监管。
在本方法中,SIEM分析系统自动识别源IP以及传输方式,在得到对应的源IP之后,若源IP未配置,则通过提取日志的日志特征,并基于该日志特征识别出具体设备类型。如此,便可基于该具体设备类型、IP地址以及传输方式进行接入配置,从而实现对相应IT资源进行安全监管。也就是说,SIEM分析系统可以自行发现未被接入的IT资源,并通过自动识别传输方式、IP地址以及从安全信息日志中提取出的具体设备类型,自动完成接入配置,能够以达到简化用户操作和优化接入体验的目的。
为便于理解,下面以日志信息为具体的安全信息日志为例,对上述实施例一的具体实现,进行详细说明。
请参考图2,图2为本申请实施例中一种资源自动接入方法的具体实施示意图。具体实施过程,包括以下环节:
1、各个IT资源将其安全信息日志以syslog或文件等方式发送到SIEM分析系统。
2、SIEM分析系统接收到安全信息日志后,若该安全信息日志的源IP地址未配置接入,则将安全信息日志发送给信息队列等待下一步处理;并且,若该安全信息日志的源IP地址已配置接入,则可将该安全信息日志发送给SIEM分析模块进行关联分析,发现其中的安全威胁并告警。
3、SIEM分析系统会实时对信息队列里的安全信息日志按顺序处理,根据该安全信息日志的日志特征进行匹配识别,若识别失败,则将该安全信息日志丢弃;若能成功识别到具体资源类型,SIEM分析系统可根据当前系统的配置情况,自动将该安全信息日志的源IP地址、对应的传输方式和设备类型进行新增或更新的配置操作。
4、SIEM分析系统对安全信息日志的传输特征识别成功并进行自动配置后,会将该信息也发送到SIEM分析模块进行关联分析。
通过SIEM分析系统,将未知来源(指该来源的IP地址未在SIEM分析系统上进行过配置)的安全信息日志收集起来,根据其日志特征匹配来识别其具体资源类型,当识别成功之后,SIEM分析系统会自动基于该源IP地址、对应的传输方式和设备类型配置到系统上,以达到简化用户操作和优化接入体验的目的。
实施例二:
请参考图3,图3为本申请实施例中一种资源自动接入方法的流程图,该方法可以应用于SIEM分析系统,该方法包括以下步骤:
S201、识别待接入资源的传输方式,并基于该传输方式接收待接入资源发送的日志信息。
S202、获取日志信息来源的源IP。
S203、提取日志信息的日志特征。
需要注意的是,上述步骤S202和S203的执行顺序还可以为先执行S203,再执行S202,还可以并行执行S202与S203。
考虑到,对于不同IT资源类型可能会具备相同的源IP,因此,为了在它们的源IP地址都相同,也能够将各个不同的IT资源接入SIEM分析系统,可采用本申请该实施例。例如,一台服务器设备它本身有Linux系统应用信息,又有Apache的web应用信息,这两种资源信息都需要接入SIEM分析系统,以便对Linux系统应用信息和Apache的web应用信息进行安全分析。
因此,在本实施例中,对每一条日志信息都需要进行特征提取,以便基于日志特征识别出同一个源IP对应的不同具体资源类型,最终实现将同一源IP对应的不同资源类型的资源均接入配置到SIEM分析系统。
具体的,在接收到待接入资源发送的日志信息之后,便可直接提取该日志信息的日志特征。对于如何提取日志特征可参照上述实施例的描述,在此不再一一赘述。
S204、利用日志特征识别出对应的具体资源类型。
S205、若源IP以及具体资源类型对应的资源未接入配置,则基于具体资源类型、源IP以及传输方式,进行接入配置,以便对接入的资源进行安全监管。
在识别出具体资源类型之后,可基于源IP和具体资源类型判断对应的资源是否已接入配置,当源IP以及具体资源类型对应的资源未接入配置,则基于具体资源类型、源IP以及传输方式,进行接入配置,从而实现对接入的资源进行安全监管。
其中,源IP以及具体资源类型对应的资源未接入配置,具体指,原IP+具体资源类型对应资源这一个组合是否未接入配置,而并非单指源IP或者具体资源类型对应的资源。
举例说明,若源IP为:192.168.1.8,对应识别的具体资源类型包括A类型和B类型,则需要判断192.168.1.8+A类型对应的资源,192.168.1.8+B类型对应的资源,这两个组合是否属于未接入配置。如此,即便是192.168.1.8+A类型对应的资源已接入配置的情况下,也不会影响确定出192.168.1.8+B类型对应的资源未接入配置,在确定192.168.1.8+B类型对应的资源未接入配置,则可以对192.168.1.8+B类型对应的资源+对应接入方式进行接入配置,最终可对同一个IP:192.168.1.8,A类型和B类型的资源均进行分析,保障同一个源IP对应的不同具体类型的资源。
在本申请的一种具体实施方式中,若源IP以及具体资源类型对应的资源已接入配置,则可以基于接收的日志信息进行分析,以便对接入的资源进行安全监管。若源IP以及具体资源类型对应的资源已接入配置,则可直接基于日志信息进行分析,从而对已接入的资源进行安全监管。然而,由于本申请实施例会对所有的日志进行资源类型识别,因此,如果在确定源IP以及具体资源类型已接入时,再进行分析,会导致整个系统的处理效率较低,因此,可以在获取到源IP之后之后,判断该源IP是否已接入配置过,若是,则直接进行关联分析,如此会导致若对应资源之前已经配置过,则分析是正确的,若资源未配置过,则会分析失败,在分析失败时,可继续等待新资源接入配置后再进行分析。采用这种方式,可在一定程度上提高系统分析处理效率。
在SIEM分析系统中应用本实施例所提供的资源自动接入方法,包括:识别待接入资源的传输方式,并基于该传输方式接收待接入资源发送的日志信息;获取日志信息来源的源IP;提取日志信息的日志特征;利用日志特征识别出对应的具体资源类型;若源IP以及具体资源类型对应的资源未接入配置,则基于具体资源类型、源IP以及传输方式,进行接入配置,以便对接入的资源进行安全监管。
在本方法中,SIEM分析系统自动识别源IP以及传输方式,并通过提取日志的日志特征,并基于该日志特征识别出具体设备类型。如此,便可基于源IP以及该具体设备类型,确定该源IP和该具体设备类型的资源是否已接入配置,若未配置,则按照该具体设备类型、IP地址以及传输方式进行接入配置,从而实现对同一个源IP,但存在至少两种具体资源类型的资源进行安全监管。也就是说,即便是相同源IP的情况下,SIEM分析系统仍然可以自行发现未被接入的IT资源,并通过自动识别传输方式、IP地址以及从安全信息日志中提取出的具体设备类型,自动完成接入配置,能够以达到简化用户操作和优化接入体验的目的。
为便于理解,下面以日志信息为具体的安全信息日志为例,对上述实施例二的具体实现,进行详细说明。
请参考图4,图4为本申请实施例中另一种资源自动接入方法的具体实施示意图。具体实施过程,包括以下环节:
1、各个IT资源将其安全信息日志以syslog或文件等方式发送到SIEM分析系统。
2、SIEM分析系统接收到安全信息日志后,无论该安全信息日志的源IP地址是否已经配置接入系统,都会发送给信息队列等待下一步处理;并且,若检测到该源IP地址已配置接入,可将该安全信息日志发送给SIEM分析模块进行关联分析,发现其中的安全威胁并告警,从而提高分析效率。
3、SIEM分析系统会实时对信息队列里的安全信息日志按顺序处理,根据该安全信息日志的传输方式和文本等日志特征进行匹配识别,若识别失败,则将该信息丢弃;若能成功识别到具体资源类型,SIEM分析系统会根据当前系统的配置情况,自动将该安全信息日志的源IP、对应的传输方式和具体资源类型进行新增或更新的配置操作,从而使得未接入的资源能够自动接入。
4、SIEM分析系统对安全信息日志的传输特征识别成功并进行自动配置后,可将该安全信息日志也发送到SIEM分析模块进行关联分析。
SIEM分析系统,将未知来源的传输信息收集起来,根据其传输特征进行匹配来识别其具体设备类型,随后根据识别结果自动将该来源的参数配置到系统上,以达到简化用户操作和优化接入体验的目的。
需要说明的是,基于上述实施例一和实施例二,本申请实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在本文的优选/改进实施例中不再一一赘述。
在本申请的一种具体实施方式中,上述实施例一或实施例二中的步骤:利用日志特征识别出对应的具体资源类型,可以具体包括:基于传输方式和日志特征识别具体资源类型。由于具体资源类型对应的资源的传输方式也是相对固定,为了提高具体资源类型的识别准确率,在识别具体资源类型时,还可结合传输方式与日志特征共同来识别具体资源类型。
可以预先将各个具体资源类型对应的传输方式和日志特征进行绑定,通过比对,便可确定出当前的传输方式+日志特征与哪一个具体资源类型对应。当然,也可以分别找出与该传输方式对应的具体资源类型集合A,以及该日志特征对应的具体资源类型集合B,然后计算具体资源类型集合A与具体资源类型集合B的交集,将交集对应的具体资源类型确定为该具体资源类型。当然,为了提高识别效率,还可在确定出具体资源类型集合A之后,从具体资源类型集合A中寻找与日志特征对应的具体资源类型,从而快速确定出该具体资源类型。反之,从具体资源类型集合B中基于传输方式确定具体资源类型亦可。
可见,在本具体实施方式中,通过结合传输方式和日志特征,不仅可以提高具体资源类型识别准确率,还可以通过设置不同的识别流程,从而提高识别速度。
在本申请的一种具体实施方式中,在执行实施例一或实施例二中的步骤:在利用日志特征识别出对应的具体资源类型之后,还可以在可视化界面输出具体资源类型;相应地,上述实施例一或实施例二中的步骤进行接入配置操作,具体包括:在从可视化界面中获取到设备接入指令的情况下,进行接入配置。
也就是说,在识别出具体资源类型之后,还可以在可视化界面进行输出展示,以便用户根据需求确定是否进行接入配置。具体的,用户可以操作可视化界面从而发起识别接入指令,如用户点击可视化界面的确认按钮,即视为发起了识别接入指令。如此,便可从可视化界面中获取到设备接入指令。在获取到设备接入指令的情况下,进行接入配置。
可见,在本具体实施方式中,通过在可视化输出具体资源类型,并通过设备接入指令进行接入配置,可以避免因全自动接入配置,导致将无需或无权进行分析的资源接入到了SIEM分析系统;能够使得接入配置安全可控。
在本申请的一种具体实施方式中,在执行上述实施例一或实施例二中的步骤提取日志信息的日志特征之前,还可以按照接收各个日志信息的先后次序,将本次接收的日志信息写入日志队列;相应地,上述实施例一或实施例二中的步骤提取日志信息的日志特征,具体为从日志队列中按照先入先出的规则,获取日志信息,并提取该日志信息的日志特征。
为了便于管理,在接收到日志信息之后,可将各个日志信息按照接收的先后顺序,将本次接收的日志信息写入日志队列。如此,便可按照先进先出的原则,对日志信息进行特征提取。如此,能够避免出现日志信息长期未处理,未响应的情况。
实施例三:
相应于上面的方法实施例,本申请实施例还提供了一种SIEM分析系统,下文描述的一种SIEM分析系统与上文描述的一种资源自动接入方法可相互对应参照。
参见图5所示,该SIEM分析系统包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的资源自动接入方法的步骤。
具体的,请参考图6,图6为本实施例提供的一种SIEM分析系统的具体结构示意图,该SIEM分析系统可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理系统中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储器332通信,在SIEM分析系统301上执行存储器332中的一系列指令操作。
SIEM分析系统301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的资源自动接入方法中的步骤可以由SIEM分析系统的结构实现。
实施例四:
相应于上面的方法实施例,本申请实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种资源自动接入方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的资源自动接入方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
Claims (10)
1.一种资源自动接入方法,其特征在于,应用于SIEM分析系统,包括:
识别待接入资源的传输方式,并基于该传输方式接收所述待接入资源发送的日志信息;
获取所述日志信息来源的源IP;
若所述源IP未接入配置,则提取所述日志信息的日志特征;
利用所述日志特征识别出对应的具体资源类型;
基于所述具体资源类型、所述源IP以及所述传输方式,进行接入配置,以便对接入的资源进行安全监管。
2.如权利要求1所述的资源自动接入方法,其特征在于,还包括:
若所述源IP已接入配置,则基于接收的所述日志信息进行分析,以便对接入的资源进行安全监管。
3.一种资源自动接入方法,其特征在于,应用于SIEM分析系统,包括:
识别待接入资源的传输方式,并基于该传输方式接收所述待接入资源发送的日志信息;
获取所述日志信息来源的源IP;
提取所述日志信息的日志特征;
利用所述日志特征识别出对应的具体资源类型;
若所述源IP以及所述具体资源类型对应的资源未接入配置,则基于所述具体资源类型、所述源IP以及所述传输方式,进行接入配置,以便对接入的资源进行安全监管。
4.如权利要求3所述的资源自动接入方法,其特征在于,在所述获取所述日志信息来源的源IP之后,还包括:
若所述源IP已接入配置,则基于接收的所述日志信息进行分析,以便对接入的资源进行安全监管。
5.根据权利要求1至4中任一项所述的资源自动接入方法,其特征在于,所述利用所述日志特征识别出对应的具体资源类型,包括:
基于所述传输方式和所述日志特征识别所述具体资源类型。
6.根据权利要求1至4中任一项所述的资源自动接入方法,其特征在于,在所述利用所述日志特征识别出对应的具体资源类型之后,还包括:
在可视化界面输出所述具体资源类型;
相应地,进行接入配置操作包括:
在从所述可视化界面中获取到设备接入指令的情况下,进行接入配置。
7.根据权利要求1至4中任一项所述的资源自动接入方法,其特征在于,所述获取所述日志信息来源的源IP,包括:
对所述日志信息进行解析,得到所述源IP。
8.根据权利要求1至4中任一项所述的资源自动接入方法,其特征在于,在所述提取所述日志信息的日志特征之前,还包括:
按照接收各个日志信息的先后次序,将本次接收的所述日志信息写入日志队列;
相应地,所述提取所述日志信息的日志特征,包括:
从所述日志队列中按照先入先出的规则,获取所述日志信息,并提取该日志信息的日志特征。
9.一种SIEM分析系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述资源自动接入方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述资源自动接入方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011583927.4A CN112769599B (zh) | 2020-12-28 | 2020-12-28 | 一种资源自动接入方法、系统及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011583927.4A CN112769599B (zh) | 2020-12-28 | 2020-12-28 | 一种资源自动接入方法、系统及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769599A true CN112769599A (zh) | 2021-05-07 |
| CN112769599B CN112769599B (zh) | 2022-11-22 |
Family
ID=75696507
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011583927.4A Active CN112769599B (zh) | 2020-12-28 | 2020-12-28 | 一种资源自动接入方法、系统及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769599B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166984A (zh) * | 2011-12-09 | 2013-06-19 | 中国航天科工集团第二研究院七0六所 | 对网络视频监控设备控件进行控制及自动更新的系统、方法 |
| US20180234457A1 (en) * | 2017-02-15 | 2018-08-16 | Intuit Inc. | Method for automated siem custom correlation rule generation through interactive network visualization |
| CN109788382A (zh) * | 2019-01-25 | 2019-05-21 | 深圳大学 | 一种分布式麦克风阵列拾音系统及方法 |
| US20190207981A1 (en) * | 2018-01-04 | 2019-07-04 | Opaq Networks, Inc. | Control maturity assessment in security operations environments |
-
2020
- 2020-12-28 CN CN202011583927.4A patent/CN112769599B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166984A (zh) * | 2011-12-09 | 2013-06-19 | 中国航天科工集团第二研究院七0六所 | 对网络视频监控设备控件进行控制及自动更新的系统、方法 |
| US20180234457A1 (en) * | 2017-02-15 | 2018-08-16 | Intuit Inc. | Method for automated siem custom correlation rule generation through interactive network visualization |
| US20190207981A1 (en) * | 2018-01-04 | 2019-07-04 | Opaq Networks, Inc. | Control maturity assessment in security operations environments |
| CN109788382A (zh) * | 2019-01-25 | 2019-05-21 | 深圳大学 | 一种分布式麦克风阵列拾音系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769599B (zh) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110287163B (zh) | 安全日志采集解析方法、装置、设备及介质 | |
| CN111866016B (zh) | 日志的分析方法及系统 | |
| CN114157502B (zh) | 一种终端识别方法、装置、电子设备及存储介质 | |
| CN110266670A (zh) | 一种终端网络外联行为的处理方法及装置 | |
| CN113923057B (zh) | 卫星测运控平台的数据处理方法、装置、电子设备及介质 | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| US20140082634A1 (en) | Determining Relationship Data Associated with Application Programs | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN113507461B (zh) | 基于大数据的网络监控系统及网络监控方法 | |
| CN110727572A (zh) | 埋点数据处理方法、装置、设备及存储介质 | |
| CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
| CN113923192A (zh) | 一种流量审计方法、装置、系统、设备和介质 | |
| US20160205118A1 (en) | Cyber black box system and method thereof | |
| CN115442259A (zh) | 系统识别方法及装置 | |
| CN105207829B (zh) | 一种入侵检测数据处理方法、装置,及系统 | |
| CN112565232B (zh) | 一种基于模板和流量状态的日志解析方法及系统 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN112769599B (zh) | 一种资源自动接入方法、系统及可读存储介质 | |
| CN112887289A (zh) | 一种网络数据处理方法、装置、计算机设备及存储介质 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN112688924A (zh) | 网络协议分析系统 | |
| CN110324199B (zh) | 一种通用的协议解析框架的实现方法及装置 | |
| CN115766258A (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN114153641A (zh) | 基于拦截器技术的审计日志动态实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |